时间:2022-02-01 17:45:15
引言:易发表网凭借丰富的文秘实践,为您精心挑选了九篇食物安全论文范例。如需获取更多原创内容,可随时联系我们的客服老师。
1.外来施工人员的设备安全防护性能差因为缺乏相应的安全保护意识,外来施工人员不注重安全防护工具的质量与更新,与正式的职工相比,外来施工人员的安全工具防护性能较差,不能有效的避免在施工过程中发生的安全事故,在使用过程中,没有对出现老化现象的安全防护工具进行及时的更换,导致外来施工人员安全事故的时有发生。
2.对外来施工单位资质的把关不严目前,在电力企业作业中,由于对外来施工单位的资质没有进行严格的检查,出现了很多外来施工单位的资质与招标时要求的资质不一致的现象,有时候还出现外包单位不具备建筑资质的情况,违反了电力作业的标准与要求,加大了外来施工人员安全事故发生的可能性,增加了外来施工人员管理的难度。
3.安全管理监督机制不健全电力企业忽视外来施工人员安全管理机制的重要性,没有建立完善的外来人员安全管理机制,导致在电力作业中缺乏对外来施工人员进行安全管理的根据。因为安全管理监督机制的缺乏,电力作业的负责人不能对外来施工人员进行及时的监督,没能及时发现外来施工人员的违规操作以及出现的安全问题,不能有效的预防施工安全事故的发生。
二、外来施工队伍安全管理的措施
1.在高难度作业中建立健全的监督机制外来施工人员在电力维修与新高架线作业中的比例比较高,因为外来施工人员没有接受专业的技能培训,因此,在电力维修与新高架线作业时,电力企业需要配置专业的及时人员对外来人员的施工进行专业的技术指导,对整个施工过程进行监督,一旦发现施工安全问题,要及时制止解决。根据施工现场的实际情况,制定相应的施工安全责任制,将高难度作业中的施工安全责任具体到每个部门或个人,建立相应的奖惩制度,强化电力作业相关负责人的施工安全意识,调动其工作的积极性,保证外来施工人员的施工安全,提高外来施工队伍的安全管理水平。
2.提升外来施工人员的技术水平和安全意识外来施工人员的技术水平是提升外来施工队伍安全管理的重要因素,所以,电力企业在选择外来施工企业时,不仅要注重外来施工人员的身体素质,还要对外来施工人员的技术水平有一定的要求。在外来施工人员正式进入施工现场时,要严格测试外来施工人员的技术水平与文化素养,保证聘用的外来施工人员的技术要求满足施工的要求。对已聘用的外来施工人员,电力企业要定期对其进行技术培训,构建技术交流的平台,提升外来施工人员的技术水平,提升整个施工队伍的文化素养,确保电力工程的施工质量和施工安全,加强对外来施工人员安全意识的培训,增强其自我保护的意识,加大外来施工人员安全管理的保障。
3.严格检查施工现场的安全对施工现场的安全进行严格的检查,能够有效的保证外来施工人员的安全,提升外来施工队伍安全管理的水平。所以,电力企业要严格检查施工现场的指导书和安全责任机制、外来人员的技术水平、外来施工队伍的施工和组织流程、外来施工人员的作业分工等,确保其符合施工的要求,防止施工安全事故的发生,影响电力工程的施工进度和施工质量。此外,还要检查外来施工人员设备的安全防护性能,及时更换安全防护性能差与发生老化的设备,保证外来施工人员的施工安全。
4.严格管理外包工程采取科学的手段对外包工程进行严格管理,可以确保电力工程的施工安全。电力企业对外来施工人员的工作资质进行严格的检查,确保外来施工人员工作资质的真实性;制定外来施工人员的考核试用机制;针对外来施工人员的安全管理,制定奖罚机制,奖励进行优质作业的外来施工人员,惩罚违规操作的外来施工人员,以调动外来施工人员的工作积极性,增强外来施工人员的安全责任感,提升电力工程的施工质量,提高安全管理水平。
三、结语
1.1环境安全知识缺乏大学生对实验室安全的认知率较低,调查表明物理性安全认知率为28.9%、化学性安全认知率为47.6%,对生物性安全认知率仅为13.6%,而全部都知道仅为0.9%[5]。50%以上的学生对实验室生物安全防护的概念、动物实验的生物危害因素、职业暴露后的处理等问题不了解[6]。对急救常识和用电常识知之甚少,对实验室配备的灭火器不会使用。
1.2实验过程中个人防护不到位学生到实验室后,书包到处乱放,不穿工作服,甚至于吃东西、喝水。有一些学生不注意实验动物操作技术,觉得实验动物好玩,对实验动物进行抚摸;或在实验中抓持实验动物方法不规范,出现被动物抓伤、咬伤的现象;对动物产生的分泌物、排泄物,如尿液、粪便等,不能及时、规范处理,增加受感染的机会。
1.3化学试剂及其废弃物管理不善在管理过程中对有毒有害、危险化学品、易制毒化学品存放和管理不当,容易引发事故。由于动物医学实验室化学品数量众多、品种繁杂、性质各异,在储存和使用过程中潜在着极大危险性,稍有疏忽,就容易造成失火、爆炸、中毒、环境污染等事故,危及师生的生命及财产安全[7]。在试验后化学试剂类废弃物没有分类储存,存在随意丢弃或倒入下水道或扔到垃圾箱的现象,可能造成对环境的污染。
1.4实验动物、组织以及受感染物品处理不规范动物医学实验室与其他普通实验室很大的区别就是要经常、大量使用动物、动物尸体和组织,甚至于是含有病原菌的动物和组织,而这些动物尸体和组织可能使与它接触的一次性手套、注射器、针头等物品受到污染。这些废弃物处理不当,会给周围环境以及师生健康带来很大的威胁。
2实验室环境安全管理措施
2.1规范实验室管理制度为了保证实验室工作质量和环境安全,使实验室管理管理有章可循,实验室安全规章制度的建立是安全管理实施过程必不可少的。我校教学实验室环境管理体系于2006年11月30日取得了ISO14001环境质量体系认证证书,2012年12月我院教学实验室现通过了国家级动物实验教学示范中心的验收。学院以ISO14001环境质量体系为标准,以国家级动物实验教学示范中心的验收为契机,根据自身学科的特点和实际情况制定一系列适合运行管理记录和文件[9]。日常管理方面建立健全实验室各种记录和日志制度;仪器方面包括核查登记表、仪器的维修、使用借还等记录;试剂使用方面包括有毒有害化学品、易致毒化学品、麻醉品等的保管、领用记录,废弃物处理方面,包括危险化学废弃物的回收处置记录、动物尸体组织的储存和处理记录、一次性实验用品的处置记录等。并将一部分制度上墙或上台明示,做到有章可循、有法可依,建立实验室安全管理制度,更有利于加强日常管理。
2.2加强安全教育安全教育是对学生进行安全知识的讲解、安全政策的宣传、安全案例的警示、安全措施的认识和理解,使学生从思想上予以重视,提高执行政策的自觉性,提高安全防范的主动性,防患于未然的过程[10]。中心每年分别对全体教工、研究生和本科生举办为期3d的安全培训,培训内容包括动物生物安全知识、实验室化学品安全使用及防护、实验室安全防火等内容。取得培训合格证后,凭合格证进入实验室。
2.3规范实验室操作规范实验室管理会大大提高实验人员的工作效率和实验过程的可控性,保障实验操作人员的健康安全,对培养学生严谨的科研精神、娴熟的实验操作和良好的实验室安全意识非常必要,同时这也是实验室质量控制的保障[12-13]。第一次试验时首先对学生进行课程规范操作和注意事项培训,在实验过程中将产生的化学废弃物按要求分类倒入不同的废液桶,杜绝顺手倒进水池;对产生的感染性动物废料分别放入不同的特制塑料袋,在塑料袋外面贴上标签,标明组织名称,实验名称等信息,由实验室管理处回收处理。给每个学生配备口罩、一次性乳胶手套等防护用品。规范动物实验操作技术,动物实验操作时尽量做到动作轻柔,小心操作,避免因抓取不当被动物抓伤、咬伤、挠伤,掌握常用实验器械的使用方法,避免被实验器械损伤等现象发生。
2.4加强实验室安全管理力度动物医学实验中心在实验室安全管理工作中,加强岗位责任制。理顺管理体制、明确管理职能、落实安全责任制。中心建立了院系一级的安全管理体制,行政副院长为第一责任人。中心主任、副主任、实验技术人员逐级签订“实验室安全管理责任书”,并结合ISO14001文件化的质量管理体系,做到“谁主管、谁负责”、“谁管理、谁负责”、“责任到人,每个实验员有自己的安全管理责任区,直接管理本区域的安全工作”使环境管理从部分参与逐步转向全员参与。
2.5改善实验室安全硬件设施动物医学专业的学生需要要掌握动物的内脏器官、肌肉、骨骼等解剖结构,会用福尔马林处理动物标本,由于福尔马林易挥发,常常使实验场所充满有毒和异味废气,根据需要已配备了大功率通风系统,并保证通风换气设备的正常运转。对大功率用电的设备配备专用电线,定期组织后勤部门对线路进行维护。将传染病实验室、感染实验室以及解剖实验室从教学实验室分离出去,分别建立了单独的解剖楼和感染楼。专门配备高压灭菌柜对实验用品及生物废弃品进行消毒。以消除实验室之间的交叉污染和污染传播,杜绝生物安全问题的发生。
2.6建立应急机制应急预案准备及演练。ISO14001体系要求对不同的灾害和应急事件要有切实可行的预防方案,并保证方案的执行。实验中心成立了事故应急小组,每个实验室配备4~6个灭火器,对实验人员和学生培训灭火器的使用方法,并对紧急情况下的逃生路线进行了模拟演练,对灾害发生时的应对常识、简单救护知识进行普及性培训,尽量减少灾害、突发事件的发生,在发生突发事件中,能够正确处理,将损失降到最低限度。
3结语
1-5题:BBCBA6-10题:BCDBA11-15题:CBCCD
二、多项选择题
1、ABCE2、ABCDE 3、ACDE4、BC
5、ABCE6、ABD 7、ABCDE 8、CE
9、ABCDE 10、ABCDE 11、ABDE
12、ABC 13、ABCDE 14、ABCDE
15、BCE 16、BC17、CE
18、BCD19、ABCDE 20、ABCE
三、判断题
1-5题:××√√√6-10题:×√×××
四、简答题
1、答:
(1)要首先做重要而急迫的事情;
(2)其次做重要而不急迫的事情;
(3)再然后做急迫而不重要的事情;
(4)不急不重要的事情,可最后做。
还应该注意:
(1)明确工作任务和职责;
(2)处理好日常工作和临时交办的事务;
(3)工作中善于思考;
(4)合理分配时间,精明使用时间;
(5)使用办公辅助手段提高办公效率;
(6)安排工作要适应流程运转;
(7)坚持写工作日志;
(8)良好的执行能力。
2、答:
一般来说,商务文员工作的基本性质有:(1)辅;(2)角色的多重性;(3)具体事务的操办性;(4)作息边界的模糊性;(5)主辅运作的协同性;(6)工作业绩的半隐透性。
3、答案要点:
(1)心理准备:① “诚恳”的心情;②合作的精神。
(2)物质准备:①环境准备:包括前台、会客室、办公室、走廊、楼梯;②办公用品的准备。
(3)业务知识和能力的准备:企业的发展历史、产品特点、规格、种类、各部门设置及领导职工的情况;较完备的资料,如当地宾馆名胜古迹、游览路线、娱乐场所的名称、地点、联系方式,本市的政治、经济、文化等情况。
(4)了解来宾的基本情况:包括来宾的人数、姓名、性别、年龄、 民族、职务等。
(5)确定接待规格。
(6)制定接待工作计划。主要内容:确定接待规格、拟定日程安排、提供经费列支。
五、论述题
1、在信息反馈中,处理好报喜报忧的关系,要根据情况来决定如何给上级将信息反馈的内容如实上报,使上级对事情有一个全面周到的处理和决策。
在日常工作中,有些人存在报喜不报忧或报忧不报喜的错误思想,而信息反馈的目的正是检查信息输出的真实性,对信息传递进行检验与调整,为角色提供依据。因此,商务文员在了解到各方面的信息反馈后,对领导要做到既要报喜也要报忧。掌握好时效性、准确性,使领导能够快速了解问题,纠正偏差,从而修正和完善决策,找出最适合的解决措施,做出新的决策。
2、外贸出口流程一般是国外客户询盘报价收到客户订单生产租船订舱验货制作出口单据商检安排拖柜报关货物装船起运付款取得提单交单结汇核销退税(并做出分析)
六、案例分析题
1、答:(1)一种可能是张尧使用“Shift+Delete”快捷键将文稿彻底从计算机内删除,所以他在“回收站”里并没有发现这篇被删掉的文稿。还有一种可能是张尧将回收站设置成“删除时不将文件移入回收站,而是彻底删除”了。
(2)避免再次出现这种问题要养成良好的计算机使用习惯,取消“回收站”的 “删除时不将文件移入回收站,而是彻底删除”这一选项,并且尽量避免使用“Shift+Delete”快捷键来删除文件。确认“回收站”内存放的文件没有作用的时候再清空“回收站”。
2、答:(1)杨洋应该把这封信送到采购部,因为装箱单抬头写明:Sold To Customer:SHANGHAIFUHUAFURNITURECO.,LTD,证明上海富华家具公司是买方,是公司采购商品,所以送至采购部。
(2)这是一份装箱单,抬头已经注明:PACKINGLIST。这份信件来自美国,从单据的:CountryofOrigin:U.S.A,可以判定,从单据的落款处:WASHINTONINTERNATIONALTRADECO.华盛顿国际贸易公司同样可以判定
3、(1)以后在安排合影时,不仅要摆好首排座椅,而且要确定这首排由那些人就座,并把人名贴在相应的座椅依靠上,这样人去了就不会发生这种混乱。
(2)人的就座安排最主要就是要遵循贵左贱右的原则。
七、英文写作题:
答题要点:
Dear John:
We are sorry that we cannot come to dinner you are giving this 2011to January 1 for your son is wedding.Because we have promised with L company for talking aboutthe collaborative project of the new year in that day, so we can't change the time.
We do appreciate you invite us and hope that you will have a very happy day.Very best wishes to the young couple and we look forward to seeing you before too long.
Yours sincerely
关键字:WLAN,WEP,SSID,DHCP,安全措施
1、引言
WLAN是WirelessLAN的简称,即无线局域网。所谓无线网络,顾名思义就是利用无线电波作为传输媒介而构成的信息网络,由于WLAN产品不需要铺设通信电缆,可以灵活机动地应付各种网络环境的设置变化。WIAN技术为用户提供更好的移动性、灵活性和扩展性,在难以重新布线的区域提供快速而经济有效的局域网接入,无线网桥可用于为远程站点和用户提供局域网接入。但是,当用户对WLAN的期望日益升高时,其安全问题随着应用的深入表露无遗,并成为制约WLAN发展的主要瓶颈。[1]
2、威胁无线局域网的因素
首先应该被考虑的问题是,由于WLAN是以无线电波作为上网的传输媒介,因此无线网络存在着难以限制网络资源的物理访问,无线网络信号可以传播到预期的方位以外的地域,具体情况要根据建筑材料和环境而定,这样就使得在网络覆盖范围内都成为了WLAN的接入点,给入侵者有机可乘,可以在预期范围以外的地方访问WLAN,窃听网络中的数据,有机会入侵WLAN应用各种攻击手段对无线网络进行攻击,当然是在入侵者拥有了网络访问权以后。
其次,由于WLAN还是符合所有网络协议的计算机网络,所以计算机病毒一类的网络威胁因素同样也威胁着所有WLAN内的计算机,甚至会产生比普通网络更加严重的后果。
因此,WLAN中存在的安全威胁因素主要是:窃听、截取或者修改传输数据、置信攻击、拒绝服务等等。
IEEE802.1x认证协议发明者VipinJain接受媒体采访时表示:“谈到无线网络,企业的IT经理人最担心两件事:首先,市面上的标准与安全解决方案太多,使得用户无所适从;第二,如何避免网络遭到入侵或攻击?无线媒体是一个共享的媒介,不会受限于建筑物实体界线,因此有人要入侵网络可以说十分容易。”[1]因此WLAN的安全措施还是任重而道远。
3、无线局域网的安全措施
3.1采用无线加密协议防止未授权用户
保护无线网络安全的最基本手段是加密,通过简单的设置AP和无线网卡等设备,就可以启用WEP加密。无线加密协议(WEP)是对无线网络上的流量进行加密的一种标准方法。许多无线设备商为了方便安装产品,交付设备时关闭了WEP功能。但一旦采用这种做法,黑客就能利用无线嗅探器直接读取数据。建议经常对WEP密钥进行更换,有条件的情况下启用独立的认证服务为WEP自动分配密钥。另外一个必须注意问题就是用于标识每个无线网络的服务者身份(SSID),在部署无线网络的时候一定要将出厂时的缺省SSID更换为自定义的SSID。现在的AP大部分都支持屏蔽SSID广播,除非有特殊理由,否则应该禁用SSID广播,这样可以减少无线网络被发现的可能。[2]
但是目前IEEE802.11标准中的WEP安全解决方案,在15分钟内就可被攻破,已被广泛证实不安全。所以如果采用支持128位的WEP,破解128位的WEP的是相当困难的,同时也要定期的更改WEP,保证无线局域网的安全。如果设备提供了动态WEP功能,最好应用动态WEP,值得我们庆幸的,WindowsXP本身就提供了这种支持,您可以选中WEP选项“自动为我提供这个密钥”。同时,应该使用IPSec,VPN,SSH或其他
WEP的替代方法。不要仅使用WEP来保护数据。
3.2改变服务集标识符并且禁止SSID广播
SSID是无线接人的身份标识符,用户用它来建立与接入点之间的连接。这个身份标识符是由通信设备制造商设置的,并且每个厂商都用自己的缺省值。例如,3COM的设备都用“101”。因此,知道这些标识符的黑客可以很容易不经过授权就享受你的无线服务。你需要给你的每个无线接入点设置一个唯一并且难以推测的SSID。如果可能的话。还应该禁止你的SSID向外广播。这样,你的无线网络就不能够通过广播的方式来吸纳更多用户.当然这并不是说你的网络不可用.只是它不会出现在可使用网络的名单中。[3]
3.3静态IP与MAC地址绑定
无线路由器或AP在分配IP地址时,通常是默认使用DHCP即动态IP地址分配,这对无线网络来说是有安全隐患的,“不法”分子只要找到了无线网络,很容易就可以通过DHCP而得到一个合法的IP地址,由此就进入了局域网络中。因此,建议关闭DHCP服务,为家里的每台电脑分配固定的静态IP地址,然后再把这个IP地址与该电脑网卡的MAC地址进行绑定,这样就能大大提升网络的安全性。“不法”分子不易得到合法的IP地址,即使得到了,因为还要验证绑定的MAC地址,相当于两重关卡。[4]设置方法如下:
首先,在无线路由器或AP的设置中关闭“DHCP服务器”。然后激活“固定DHCP”功能,把各电脑的“名称”(即Windows系统属陆里的“计算机描述”),以后要固定使用的IP地址,其网卡的MAC地址都如实填写好,最后点“执行”就可以了。
3.4VPN技术在无线网络中的应用
对于高安全要求或大型的无线网络,VPN方案是一个更好的选择。因为在大型无线网络中维护工作站和AP的WEP加密密钥、AP的MAC地址列表都是非常艰巨的管理任务。
对于无线商用网络,基于VPN的解决方案是当今WEP机制和MAC地址过滤机制的最佳替代者。VPN方案已经广泛应用于Internet远程用户的安全接入。在远程用户接入的应用中,VPN在不可信的网络(Internet)上提供一条安全、专用的通道或者隧道。各种隧道协议,包括点对点的隧道协议和第二层隧道协议都可以与标准的、集中的认证协议一起使用。同样,VPN技术可以应用在无线的安全接入上,在这个应用中,不可信的网络是无线网络。AP可以被定义成无WEP机制的开放式接入(各AP仍应定义成采用SSID机制把无线网络分割成多个无线服务子网),但是无线接入网络VLAN(AP和VPN服务器之问的线路)从局域网已经被VPN服务器和内部网络隔离出来。VPN服务器提供网络的认征和加密,并允当局域网网络内部。与WEP机制和MAC地址过滤接入不同,VPN方案具有较强的扩充、升级性能,可应用于大规模的无线网络。
3.5无线入侵检测系统
无线入侵检测系统同传统的入侵检测系统类似,但无线入侵检测系统增加了无线局域网的检测和对破坏系统反应的特性。侵入窃密检测软件对于阻拦双面恶魔攻击来说,是必须采取的一种措施。如今入侵检测系统已用于无线局域网。来监视分析用户的活动,判断入侵事件的类型,检测非法的网络行为,对异常的网络流量进行报警。无线入侵检测系统不但能找出入侵者,还能加强策略。通过使用强有力的策略,会使无线局域网更安全。无线入侵检测系统还能检测到MAC地址欺骗。他是通过一种顺序分析,找出那些伪装WAP的无线上网用户无线入侵检测系统可以通过提供商来购买,为了发挥无线入侵检测系统的优良的性能,他们同时还提供无线入侵检测系统的解决方案。[1]
3.6采用身份验证和授权
当攻击者了解网络的SSID、网络的MAC地址或甚至WEP密钥等信息时,他们可以尝试建立与AP关联。目前,有3种方法在用户建立与无线网络的关联前对他们进行身份验证。开放身份验证通常意味着您只需要向AP提供SSID或使用正确的WEP密钥。开放身份验证的问题在于,如果您没有其他的保护或身份验证机制,那么您的无线网络将是完全开放的,就像其名称所表示的。共享机密身份验证机制类似于“口令一响应”身份验证系统。在STA与AP共享同一个WEP密钥时使用这一机制。STA向AP发送申请,然后AP发回口令。接着,STA利用口令和加密的响应进行回复。这种方法的漏洞在于口令是通过明文传输给STA的,因此如果有人能够同时截取口令和响应,那么他们就可能找到用于加密的密钥。采用其他的身份验证/授权机制。使用802.1x,VPN或证书对无线网络用户进行身份验证和授权。使用客户端证书可以使攻击者几乎无法获得访问权限。
[5]
3.7其他安全措施
除了以上叙述的安全措施手段以外我们还要可以采取一些其他的技术,例如设置附加的第三方数据加密方案,即使信号被盗听也难以理解其中的内容;加强企业内部管理等等的方法来加强WLAN的安全性。
4、结论
无线网络应用越来越广泛,但是随之而来的网络安全问题也越来越突出,在文中分析了WLAN的不安全因素,针对不安全因素给出了解决的安全措施,有效的防范窃听、截取或者修改传输数据、置信攻击、拒绝服务等等的攻击手段,但是由于现在各个无线网络设备生产厂商生产的设备的功能不一样,所以现在在本文中介绍的一些安全措施也许在不同的设备上会有些不一样,但是安全措施的思路是正确的,能够保证无线网络内的用户的信息和传输消息的安全性和保密性,有效地维护无线局域网的安全。
参考文献
[1]李园,王燕鸿,张钺伟,顾伟伟.无线网络安全性威胁及应对措施[J].现代电子技术.2007,(5):91-94.
[2]王秋华,章坚武.浅析无线网络实施的安全措施[J].中国科技信息.2005,(17):18.
[3]边锋.不得不说无线网络安全六种简单技巧[J].计算机与网络.2006,(20):6.
[关键词]无线网络安全防范措施
随着信息化技术的飞速发展,很多网络都开始实现无线网络的覆盖以此来实现信息电子化交换和资源共享。无线网络和无线局域网的出现大大提升了信息交换的速度和质量,为很多的用户提供了便捷和子偶的网络服务,但同时也由于无线网络本身的特点造成了安全上的隐患。具体的说来,就是无线介质信号由于其传播的开放性设计,使得其在传输的过程中很难对传输介质实施有效的保护从而造成传输信号有可能被他人截获,被不法之徒利用其漏洞来攻击网络。因此,如何在组网和网络设计的时候为无线网络信号和无线局域网实施有效的安全保护机制就成为了当前无线网络面临的重大课题。
一、无线网络的安全隐患分析
无线局域网的基本原理就是在企业或者组织内部通过无线通讯技术来连接单个的计算机终端,以此来组成可以相互连接和通讯的资源共享系统。无线局域网区别于有线局域网的特点就是通过空间电磁波来取代传统的有限电缆来实施信息传输和联系。对比传统的有线局域网,无线网络的构建增强了电脑终端的移动能力,同时它安装简单,不受地理位置和空间的限制大大提高了信息传输的效率,但同时,也正是由于无线局域网的特性,使得其很难采取和有线局域网一样的网络安全机制来保护信息传输的安全,换句话无线网络的安全保护措施难度原因大于有线网络。
IT技术人员在规划和建设无线网络中面临两大问题:首先,市面上的标准与安全解决方案太多,到底选什么好,无所适从;第二,如何避免网络遭到入侵或攻击?在有线网络阶段,技术人员可以通过部署防火墙硬件安全设备来构建一个防范外部攻击的防线,但是,“兼顾的防线往往从内部被攻破”。由于无线网络具有接入方便的特点,使得我们原先耗资部署的有线网络防范设备轻易地就被绕过,成为形同虚设的“马奇诺防线”。
针对无线网络的主要安全威胁有如下一些:
1.数据窃听。窃听网络传输可导致机密敏感数据泄漏、未加保护的用户凭据曝光,引发身份盗用。它还允许有经验的入侵者手机有关用户的IT环境信息,然后利用这些信息攻击其他情况下不易遭到攻击的系统或数据。甚至为攻击者提供进行社会工程学攻击的一系列商信息。
2.截取和篡改传输数据。如果攻击者能够连接到内部网络,则他可以使用恶意计算机通过伪造网关等途径来截获甚至修改两个合法方之剑正常传输的网络数据。
二、常见的无线网络安全措施
综合上述针对无线网络的各种安全威胁,我们不难发现,把好“接入关”是我们保障企业无线网络安全性的最直接的举措。目前的无线网络安全措施基本都是在接入关对入侵者设防,常见的安全措施有以下各种。
1.MAC地址过滤
MAC地址过滤在有线网络安全措施中是一种常见的安全防范手段,因此其操作方法也和在有线网络中操作交换机的方式一致。通过无线控制器将指定的无线网卡的物理地址(MAC地址)下发到各个AP中,或者直接存储在无线控制器中,或者在AP交换机端进行设置。
2.隐藏SSID
SSID(ServiceSetIdentifier,服务标识符)是用来区分不同的网络,其作用类似于有线网络中的VLAN,计算机接入某一个SSID的网络后就不能直接与另一个SSID的网络进行通信了,SSID经常被用来作为不同网络服务的标识。一个SSID最多有32个字符构成,无线终端接入无线网路时必须提供有效的SIID,只有匹配的SSID才可接入。一般来说,无线AP会广播SSID,这样,接入终端可以通过扫描获知附近存在哪些可用的无线网络,例如WINDOWSXP自带扫描功能,可以将能联系到的所有无线网络的SSID罗列出来。因此,出于安全考虑,可以设置AP不广播SSID,并将SSID的名字构造成一个不容易猜解的长字符串。这样,由于SSID被隐藏起来了,接入端就不能通过系统自带的功能扫描到这个实际存在的无线网络,即便他知道有一个无线网络存在,但猜不出SSID全名也是无法接入到这个网络中去的。
三、无线网络安全措施的选择
应用的方便性与安全性之间永远是一对矛盾。安全性越高,则一定是以丧失方便性为代价的。但是在实际的无线网络的应用中,我们不能不考虑应用的方便性。因此,我们在对无线网路安全措施的选择中应该均衡考虑方便性和安全性。
在接入无线AP时采用WAP加密模式,又因为不论SSID是否隐藏攻击者都能通过专用软件探测到SSID,因此不隐藏SSID,以提高接入的方便性。这样在接入时只要第一次需要输入接入密码,以后就可以不用输入接入密码了。
使用强制Portal+802.1x这两种认证方式相结合的方法能有效地解决无线网络的安全,具有一定的现实意义。来访用户所关心的是方便和快捷,对安全性的要求不高。强制Portal认证方式在用户端不需要安装额外的客户端软件,用户直接使用Web浏览器认证后即可上网。采用此种方式,对来访用户来说简单、方便、快速,但安全性比较差。
此外,如果在资金可以保证的前提下,在无线网络中使用无线网络入侵检测设备进行主动防御,也是进一步加强无线网络安全性的有效手段。
最后,任何的网络安全技术都是在人的使用下发挥作用的,因此,最后一道防线就是使用者,只有每一个使用者加强无线网络安全意识,才能真正实现无线网络的安全。否则,黑客或攻击者的一次简单的社会工程学攻击就可以在2分钟内使网络管理人员配置的各种安全措施变得形同虚设。
现在,不少企业和组织都已经实现了整个的无线覆盖。但在建设无线网络的同时,因为对无线网络的安全不够重视,对局域网无线网络的安全考虑不及时,也造成了一定的影响和破坏。做好无线网络的安全管理工作,并完成全校无线网络的统一身份验证,是当前组建无线网必须要考虑的事情。只有这样才能做到无线网络与现有有线网络的无缝对接,确保无线网络的高安全性,提高企业的信息化的水平。
参考文献:
[1]谭润芳.无线网络安全性探讨[J].信息科技,2008,37(6):24-26.
最近一段时间,交通安全问题又成为全国都普遍关注的热点问题。对于地方公务员考试特别是四川省的招警考试来说,这个问题非常值得我们关注和重视。在申论考试中极有可能会成为考试的出题点。为了帮助大家详细地了解和掌握这个问题,我将详细地给大家阐述一下。
二、背景分析
道路交通安全是建设社会主义和谐社会的重要内容。我国政府一直高度重视道路交通安全。随着国民经济社会的快速发展和道路交通安全形势的变化,我国道路交通安全还存在不少突出的矛盾和问题。特别是最近一段时间,交通事故频发、无证驾驶、酒后驾驶等现象屡禁不止,这些不仅造成了人员的死亡和财产的巨大损失,而且给整个经济和社会的发展都带来了严重的影响。据中国公安部交通管理局透露,今年上半年,中国共发生道路交通事故107193起,造成29866人死亡、直接财产损失4.1亿元。最近发生的“杭州胡斌案”、“成都孙伟铭案”等案件更是引起了广泛的讨论。
针对这些情况,国家和各省自治区直辖市等地方政府开始紧抓交通安全,加强对交通的集中整治,严查酒后驾车,严厉打击各种违法、违章行为,排除交通安全隐患。
三、原因分析
目前,重大交通事故频发的原因不仅有基础设施建设的不足,又有技术、法规、教育和观念、体制、机制等方面的深层次矛盾。具体来说,引起交通安全问题的原因主要有以下几个方面:
(一)交通安全意识淡薄
目前,交通安全事故的频发,与交通参与者的道路交通安全意识淡薄关系密切。交通参与者主要包括机动车驾驶员、非机动车驾驶人、行人、乘客等。对于机动车驾驶员来说,我国机动车驾驶员基数庞大、增长迅猛,造成驾驶人的素质参差不齐,同时,超速、疲劳驾驶、酒后驾车、无证驾驶的违法行为的大量存在是交通事故频发的主要原因。
非机动车驾驶人主要是骑自行车、人力三轮、电动车等的人。这类骑车人中也有很多不遵守交通规则,缺乏自我保护意识,经常乱闯红灯、抢行猛拐、骑车带人,不仅扰通秩序,危及自身安全,也酿成很多交通事故。
行人和乘客也是参与交通的重要人群,而这类人群中存在大量的乱闯红灯、不遵守交通秩序的现象,有些人为了少走一段路,甚至去翻越栏杆或是抄近路等,这同样不仅扰乱了交通秩序,也是造成交通事故的重要原因。
(二)机动车辆的安全性能较差
我国机动车种类庞杂、数量大。但是,机动车安全配置水平比较低。尤其是经济型汽车安全配置更低,安全气囊、车轮驱动力控制、电子稳定装置、防撞、倒车雷达等安全装置,在经济型汽车上很少应用。造成我国汽车安全性能差的一个重要的原因就是车辆安全标准低和对车辆的管理不严格。与一些发达国家和地区相比,我国车辆安全标准较低。造成机动车辆安全性能差的另一个重要的原因是我国许多机动车厂商对安全问题重视不够,一些机动车在设计时缺少安全上的考虑。同时,由于对车辆的管理不严格,一些人购买一些淘汰的、已近报废的车辆,有的人擅自改变车辆的构造和用途,有的对车辆长期使用,缺少维修。大量报废车、非法拼组装车、无牌无证车违法上路行驶,这些都导致了交通事故的频发。
(三)道路基础设施建设不足
作为基础设施,道路对交通安全的作用非常重要。目前,我国许多大城市道路基础设施建设比较滞后,不能紧跟经济和社会的发展,造成道路资源紧张、交通拥挤,人车混行、机非混行问题严重,非机动车与机动车和行人争道抢行现象普遍存在。同时,道路的质量较差,很多城市刚修建的新路,使用不到一年就出现了坑坑洼洼,需要重新修建,造成资源的大量浪费。此外,道路的技术等级整体水平比较低,很多道路都是低级别的,根本不符合道路标准。许多道路设置不合理,没有经过专业性的设计就开工建设,在道路线形、视距、路面状态、行车道宽度、道路景观等方面缺乏人性化考虑,交通标志、标牌、标线和交通控制设施不完善。还有很多道路没有经过安全评估就投入使用。
(四)道路交通安全管理和运行机制存在缺陷
首先,我国对道路交通安全管理条块分割、政出多门的现象没有得到有效、彻底的解决。一方面职能划分太细,缺乏一个统一、权威的综合管理机构;另一方面管理机构职能重叠、协调难度大,各地区、各部门缺乏一致的认识和行动。其次,道路交通安全的整体管理水平还较低。很多交通管理部门没有将道路安全管理纳入道路交通管理的全过程。一些部门对道路交通安全工作不重视,对道路交通安全的规律把握不够,管理措施缺乏科学性。管理手段单一,过多依赖人工管理,科技水平高、成本低、效果显著的现代化管理手段没有得到广泛应用。
(五)道路交通安全的法制建设
道路交通安全的法律法规不健全,很多相关的法律都还没有制定出来。同时,我国道路交通安全在法制建设上存在立法层次不高、操作性不强、多头执法的问题,《道路安全交通法》在保护道路交通安全上,一些规定的可操作性还不强。
(六)道路安全宣传教育不完善
道路交通安全的宣传教育还存在盲点和薄弱地区。道路安全教育对象的范围有限,主要是针对机动车驾驶员,对于非机动车驾驶员、行人以及其他人的宣传教育严重不足。同时,道路交通安全教育不够系统和完善,经常性教育少,教育的持续性和经常化不够。
四、相关理论
科学发展观是坚持以人为本,全面、协调、可持续的发展观。以人为本,就是要以实现人的全面发展为目标,把人民的利益作为一切工作的出发点和落脚点,不断满足人民群众日益增长的物质文化需要,切实保障人民群众的经济、政治和文化权益,让发展的成果惠及全体人民。
五、对策及措施
针对以上问题,可以采取以下的对策或措施进行解决:
(一)加强交通立法,健全交通法律、法规。从中央来说,要建立以《道路交通安全法》为基本法,以中央和地方政府制定的,行政法规和规章为配套的道路交通安全法规体系;对于各个地方政府而言,要依据本地区的实际,制定出适合本地区实际的交通安全法规,使交通安全问题真正做到有法可依。同时,在执法时,要加强监督,真正做到有法必依、执法必严,严格按照法律法规的规定处理交通安全问题。
(二)加快制定安全标准,提升机动车辆安全性能。要制定胡扯与发达国家或地区相同甚至更高的安全标准,加强对机动车生产厂商的监督检查,责令其重视安全问题。提高经济型汽车的安全配置,让安全气囊、一些其他电子安全装置都能装备到经济型机动车辆上。加大对包非机动车、无
(三)深入开展整顿工作,坚决杜绝交通事故隐患。要加强对道路交通安全的整顿工作。加强整顿,一方面要对交通秩序进行整顿,另一方面要加强对报废汽车、无牌无证车的检查和整顿,同时,加大对汽车安全性能的检查,以杜绝事故隐患。
(四)强化道路安全标准,推进道路交通安全措施。各级政府要制定出道路交通安全的技术标注和应用,并在各个地区全面推进道路安全措施,并严格的监督标准和安全措施的执行,及时解决新问题。
(五)加快道路建设,解决后顾之忧。目前,很多城市的道路建设跟不上发展步伐,带来很多问题。因而,各级政府要把加快道路基础设施建设作为一项重要的工作来做,对于每一条道路都要严格设计,进行安全和质量评估,同时在道路线形、视距、路面状态、行车道宽度、道路景观等方面实现人性化考虑,完善交通标志、标牌、标线和交通控制设施。这样既可以保证城市道路的使用寿命,也能为经济建设解决后顾之忧。
1管理维护人员少
我局信息系统管理维护工作主要由计算机中心负责,下设软件科、系统科、综合科共14名在编人员。信息系统的维护管理工作主要由系统科4名人员负责。一方面在开展系统维护工作时人手不足,无法覆盖到区县;另一方面由于新技术更新较快,人员对新知识与新技术的掌握不足,不利于有效的开展信息安全维护管理工作。
2系统漏洞影响大
税务信息系统对数据完整性与服务实时性高要求非常高,当今漏洞挖掘技术极大缩短系统漏洞的发现周期,经常性对核心应用系统进行升级补丁将对系统数据完整性与保障系统服务及时性造成一定的风险。
3黑客攻击与计算机病毒传播路径广
我局内部业务网已连接到全市23个下属单位,黑客可通过任何一个单位对我局核心业务应用发起攻击。同时随着移动互联网的快速发展,wfif、手机连接到终端计算机等都有可能成为业务内网与互联网的接口,使我局核心业务应用遭受到互联网的攻击。同时移动存储介质不安全的使用方式、工作员通过互联网下载的软件等都有可能导致病毒大规模传播。
二、新形势税务信息安全管理工作实践
1信息安全管理工作分解,明确分工与职责
我局信息安全工作的未来发展方向与符合我局实际情况的管理要求、监督指导执行层落实工作信息安全工作、考评执行层与支撑层的工作绩效。为全局的信息安全保障工作发挥着规划、指导、监督、考评作用,推动我局各项信息安全管理工作得以落实。执行层由各区县局单位指派在编工作人员担任,目前我局在各区县局设立信息岗,由具备一定计算机基础知识的工作人员担任。主要工任务是按照市局的管理要求开展日常的信息安全维护工作,并处理常规信息安全问题、向其他工作人员宣传市局既定的管理要求,提高全员的信息安全意识。通过执行层开展的信息安全工作,使市局规划的各项信息安全管理要求在基层得到落实。为提高执行层的工作能力,市局定期集中工作人员开展培训,传达市局信息安全工作思路、讲解工作中涉及的信息安全技术、宣传信息安全形势等。支撑层由第三方公司担任,为使我局信息安全管理工作更高效,我局将信息系统各项技术维护工作外包给各技术领域有一定实力的公司,由公司安排具备工作经验与能力的专业技术人员常驻我局,开展技术维护工作。我局管理人员根据制定的管理要求对各公司的维护工作进行考评。
2周期性检测,评估安全风险
漏洞挖掘技术很大程度的缩短了系统漏洞的发现周期,对税务系统是个非常大的安全隐患,常规的运行维护难以发现深层次的安全漏洞。因此我局将对信息系统及终端计算机的安全检测列入周期性的工作计划,不流于风险评估与等级保护测评的工作形式。以实质性的发现系统与终端安全漏洞为手段;以采取有效、可靠、安全的处置方法,降低系统安全风险为目标。将安全检测工作委托第三方专业的公司定期开展,将检查结果转交各类技术的维护公司进行处理。并对安全专业公司的检测能力,各类技术维护公司的处置能力纳入到统一考评体系,确保我局安全漏洞检测的全面性、准确性,问题处理的正常性、有效性。3建立以制度为依据、以技术为支撑的监督、管理工作流程为解决我局终端数量多、地域分布广、安全管理难度大的难题,管理层经讨论、研究针对终端安全及网络边界管理的方法,论证管理要求与技术实现的可行性,制定终端安全管理与网络边界管理的总体纲领策略。并测试、采购符合我局安全管理需求的安全技术实施部署。市局下发针对性的安全管理要求文件,安全技术根据市局管理要求部署基本的控制与审计策略。为更好的发挥技术平台的管理功效,市局将基本安全管理策略之外的管理权限下放到各区县局,由各单位根据自身实际情况制定管理规则。市局根据平台产生的数据,对违规使用资源、违规操作的个人与单位进行监督与通报,并纳入对各单位的考评。通过管理要求与技术平台的有机结合,使我局各项信息安全管理制度得到落实,并定期召集各单位对信息安全管理工作的经验进行交流与推广,提高全局的信息安全管理水平。
三、新形势税务信息安全管理探索方向
信息安全管理工作在设计上需成体系、在落实上需有支撑,这项工作有着一定的复杂性、周密性与完整性。并非依靠制定一系列的管理规定,或部署完善的信息安全技术就能立即提高信息安全管理水平。而是需要规划整体的安全管理方针与目标;根据方针与目标制定基础的保障框架;逐步完成基础保障框架中的管理、技术与过程建设;并在运行维护中不断的找出管理、技术与过程建设存在的不足,并进行改进,使信息安全管理水平不断的提高,逐渐形成适合我局的信息安全管理体系。目前我局制定信息安全管理的基本方针是建立以风险管理为核心的信息安全管理体系。在该方针的指导下,我局计划建立的基本信息安全保障框架为:
(1)以采取一切手段发现整体信息系统中存在的安全问题为基础。
(2)以评估发现的问题对信息系统可能产生的安全风险为支撑。
(3)以找出问题的有效、可靠、安全处置机制为保障。
(4)以监督、评估问题处置的有效性,降低安全风险为目标。因此在已定的安全保障框架下,管理层还需继续探索符合我局实际情况的信息安全管理方法,以管理有效方法为基础制定管理策略、以管理策略为依据选购安全技术、以安全技术为支撑开展具体管理工作、以具体管理工作为监督推动管理落实、以管理落实效果为依据检验管理方法、以优化管理方法目标提高安全管理效益。
四、结语
1.1建立食品安全小组
动物血制品加工企业在决定开展食品安全管理体系认证时,首先要建立食品安全小组,食品安全小组成员应具备多学科的知识和建立与实施动物血制品加工食品安全管理体系的经验,包括从事动物血制品研发、工艺制定、原辅料采购、生产控制、质量检验控制、设备维护、仓储运输、产品销售等知识、技能或经验。食品安全小组负责制定和修改食品安全管理体系文件,并监督食品安全管理体系运行情况,定期对于食品安全管理体系运行情况进行内部审核,并采取纠偏措施。
1.2原辅料描述
食品安全小组应对动物血制品生产直接有关的原辅料进行描述,描述内容包括原辅料名称、主要成分、来源、重要的特性、使用方法、包装类型、储存条件、保质期、运输要求、接收原则。
1.3产品描述
食品安全小组应制订一份详细的产品描述,描述内容主要包括产品名称、主要原辅料成分、成品特性、包装方式、储存条件、销售方式、运输方式、使用方法、注意事项、使用的法律法规。应当对生产的各类动物血制品分别做产品描述。
1.4制定动物血制品工艺流程图
工艺流程图应该由食品安全小组负责制定。该流程图应该包括从采集原料血到动物血制品销售整个过程中的所有环节。食品安全小组应在工艺流程图制定完成后,进入生产现场确认工艺流程图上各步骤是和产品的整个生产过程相符合,并应该根据流程图对生产过程进行逐一确认,必要时对流程图进行修改。
1.5危害分析工作单
食品安全小组应该列出动物血制品加工过程中有可能发生危害的每一步工序,从原料血验收、辅料添加、生产过程、清洗消毒、包装和运输。每一步工序中都要识别出所有可能存在或者受到的危害风险,包括生物性危害、化学性危害和物理性危害。从产生危害的可能性和严重性上对危害进行分级评估,并根据评估的危害等级分别制定控制措施来预防或控制危害。必须要控制的最严重的危害要通过HACCP计划来进行控制。
1.6识别关键控制点(CCP)
关键控制点是指能够进行控制,并且该控制对防止、消除某一食品安全危害或将其降低到可接受水平所必需的某一步骤。从动物血制品生产工艺过程中分析原料血验收、辅料添加、喷雾干燥、过筛应该做为CCP点列入HACCP计划表,进行严格监控和控制。
1.7建立关键点控制限值
要为每个CCP确定各自的关键控制限值,并对其进行验证。有时对某个工序可以确定多个控制限值。关键控制限值的确定应以科学理论和试验为依据,遵循国家法律法规,参考学术研究成果、专业论文结论等。当采用学术论文成果制定关键控制限值时,应保证这些关键控制限值完全适用于动物血制品的生产,并且可以检测。动物血制品加工关键控制限值的指标主要包括原料血来源资质证明文件、各种致病性微生物、禁用药物残留、储存温度,辅料添加量,喷雾干燥温度和压力,过筛包装筛网孔径和完整性。
1.8建立关键控制限值监控体系
监控是有计划的对CCP的关键控制限值进行检查和测量。监控程序必须能判断CCP是否失去控制。而且,监控最好能及时提供信息,以便及时进行调整,控制生产,防止出现超出关键控制限值的情况发生。当监控显示,CCP将要失去控制时,应尽可能对生产进行调整,调整必须在出现偏差之前完成。对监控取得的数据的评估必须由具备相当知识的,并有权采取纠正措施的人进行。如果监控不是连续进行的,那么监控次数或频率要保证CCP是处于控制的范围内。
1.9建立纠正措施方案
在食品安全管理体系中针对每一个CCP,都必须制定当偏差出现时所应该采取的纠正措施方案。纠正措施必须确保能恢复对CCP的控制,并且必须包括合理地处理受影响的产品。偏差的情况和产品处理过程必须记录到相应的文件中。
1.10建立审核程序
食品安全小组必须建立审核程序,来确定食品安全管理体系是否在正确的运转,审核的频率要足以确保HACCP体系是在有效的运转。验证应由负责执行监控和纠正措施之外的人员来进行。包括对管理体系文件和记录的检查;对出现的偏差及其相关产品的处理情况的检查;确认CCP是在控制之下。必要时,审核活动应包括验证食品安全管理体系诸要素的有效性。
1.11建立文件和记录保存体系
保存有效和准确的记录对于管理体系的实施是至关重要的,管理体系的程序应该形成文件。文件和记录的管理应当与生产的规模和特点相适应,并且能充分证明公司的管理体系是在有效运行,并得到维护。
2讨论
关键词:无线网络;安全威胁;安全技术;安全措施
无线网络的应用扩展了网络用户的自由,然而,这种自由同时也带来了安全性问题。无线网络存在哪些安全威胁?采取什么安全对策?我们对上述问题作一简要论述。
1无线网络存在的安全威胁
无线网络一般受到的攻击可分为两类:一类是关于网络访问控制、数据机密性保护和数据完整性保护而进行的攻击;另一类是基于无线通信网络设计、部署和维护的独特方式而进行的攻击。对于第一类攻击在有线网络的环境下也会发生。可见,无线网络的安全性是在传统有线网络的基础上增加了新的安全性威胁。
1.1有线等价保密机制的弱点
IEEE(InstituteofElectricalandElectronicsEngineers,电气与电子工程师学会)制定的802.11标准中,引入WEP(WiredEquivalentPrivacy,有线保密)机制,目的是提供与有线网络中功能等效的安全措施,防止出现无线网络用户偶然窃听的情况出现。然而,WEP最终还是被发现了存在许多的弱点。
(1)加密算法过于简单。WEP中的IV(InitializationVector,初始化向量)由于位数太短和初始化复位设计,常常出现重复使用现象,易于被他人破解密钥。而对用于进行流加密的RC4算法,在其头256个字节数据中的密钥存在弱点,容易被黑客攻破。此外,用于对明文进行完整性校验的CRC(CyclicRedundancyCheck,循环冗余校验)只能确保数据正确传输,并不能保证其是否被修改,因而也不是安全的校验码。
(2)密钥管理复杂。802.11标准指出,WEP使用的密钥需要接受一个外部密钥管理系统的控制。网络的部署者可以通过外部管理系统控制方式减少IV的冲突数量,使无线网络难以被攻破。但由于这种方式的过程非常复杂,且需要手工进行操作,所以很多网络的部署者为了方便,使用缺省的WEP密钥,从而使黑客对破解密钥的难度大大减少。
(3)用户安全意识不强。许多用户安全意识淡薄,没有改变缺省的配置选项,而缺省的加密设置都是比较简单或脆弱的,经不起黑客的攻击。
1.2进行搜索攻击
进行搜索也是攻击无线网络的一种方法,现在有很多针对无线网络识别与攻击的技术和软件。NetStumbler软件是第一个被广泛用来发现无线网络的软件。很多无线网络是不使用加密功能的,或即使加密功能是处于活动状态,如果没有关闭AP(wirelessAccessPoint,无线基站)广播信息功能,AP广播信息中仍然包括许多可以用来推断出WEP密钥的明文信息,如网络名称、SSID(SecureSetIdentifier,安全集标识符)等可给黑客提供入侵的条件。
1.3信息泄露威胁
泄露威胁包括窃听、截取和监听。窃听是指偷听流经网络的计算机通信的电子形式,它是以被动和无法觉察的方式入侵检测设备的。即使网络不对外广播网络信息,只要能够发现任何明文信息,攻击者仍然可以使用一些网络工具,如AiroPeek和TCPDump来监听和分析通信量,从而识别出可以破解的信息。
1.4无线网络身份验证欺骗
欺骗这种攻击手段是通过骗过网络设备,使得它们错误地认为来自它们的连接是网络中一个合法的和经过同意的机器发出的。达到欺骗的目的,最简单的方法是重新定义无线网络或网卡的MAC地址。
由于TCP/IP(TransmissionControlProtocol/InternetProtocol,传输控制协议/网际协议)的设计原因,几乎无法防止MAC/IP地址欺骗。只有通过静态定义MAC地址表才能防止这种类型的攻击。但是,因为巨大的管理负担,这种方案很少被采用。只有通过智能事件记录和监控日志才可以对付已经出现过的欺骗。当试图连接到网络上的时候,简单地通过让另外一个节点重新向AP提交身份验证请求就可以很容易地欺骗无线网身份验证。
1.5网络接管与篡改
同样因为TCP/IP设计的原因,某些欺骗技术可供攻击者接管为无线网上其他资源建立的网络连接。如果攻击者接管了某个AP,那么所有来自无线网的通信量都会传到攻击者的机器上,包括其他用户试图访问合法网络主机时需要使用的密码和其他信息。欺诈AP可以让攻击者从有线网或无线网进行远程访问,而且这种攻击通常不会引起用户的怀疑,用户通常是在毫无防范的情况下输人自己的身份验证信息,甚至在接到许多SSL错误或其他密钥错误的通知之后,仍像是看待自己机器上的错误一样看待它们,这让攻击者可以继续接管连接,而不容易被别人发现。
1.6拒绝服务攻击
无线信号传输的特性和专门使用扩频技术,使得无线网络特别容易受到DoS(DenialofService,拒绝服务)攻击的威胁。拒绝服务是指攻击者恶意占用主机或网络几乎所有的资源,使得合法用户无法获得这些资源。黑客要造成这类的攻击:①通过让不同的设备使用相同的频率,从而造成无线频谱内出现冲突;②攻击者发送大量非法(或合法)的身份验证请求;③如果攻击者接管AP,并且不把通信量传递到恰当的目的地,那么所有的网络用户都将无法使用网络。无线攻击者可以利用高性能的方向性天线,从很远的地方攻击无线网。已经获得有线网访问权的攻击者,可以通过发送多达无线AP无法处理的通信量进行攻击。
1.7用户设备安全威胁
由于IEEE802.11标准规定WEP加密给用户分配是一个静态密钥,因此只要得到了一块无线网网卡,攻击者就可以拥有一个无线网使用的合法MAC地址。也就是说,如果终端用户的笔记本电脑被盗或丢失,其丢失的不仅仅是电脑本身,还包括设备上的身份验证信息,如网络的SSID及密钥。
2无线网络采用的安全技术
采用安全技术是消除无线网络安全威胁的一种有效对策。无线网络的安全技术主要有七种。
2.1扩展频谱技术
扩频技术是用来进行数据保密传输,提供通讯安全的一种技术。扩展频谱发送器用一个非常弱的功率信号在一个很宽的频率范围内发射出去,与窄带射频相反,它将所有的能量集中到一个单一的频点。
一些无线局域网产品在ISM波段为2.4~2.483GHz范围内传输信号,在这个范围内可以得到79个隔离的不同通道,无线信号被发送到成为随机序列排列的每一个通道上(例如通道1、18、47、22……)。无线电波每秒钟变换频率许多次,将无线信号按顺序发送到每一个通道上,并在每一通道上停留固定的时间,在转换前要覆盖所有通道。如果不知道在每一通道上停留的时间和跳频图案,系统外的站点要接收和译码数据几乎是不可能的。使用不同的跳频图案、驻留时间和通道数量可以使相邻的不相交的几个无线网络之间没有相互干扰,因而不用担心网络上的数据被其他用户截获。
2.2用户密码验证
为了安全,用户可以在无线网络的适配器端使用网络密码控制。这与WindowsNT提供的密码管理功能类似。由于无线网络支持使用笔记本或其他移动设备的漫游用户,所以严格的密码策略等于增加一个安全级别,这有助于确保工作站只被授权用户使用。
2.3数据加密
数据加密技术的核心是借助于硬件或软件,在数据包被发送之前就加密,只有拥有正确密钥的工作站才能解密并读出数据。此技术常用在对数据的安全性要求较高的系统中,例如商业用或军用的网络,能有效地起到保密作用。
此外,如果要求整体的安全保障,比较好的解决办法也是加密。这种解决方案通常包括在有线网络操作系统中或无线局域网设备的硬件或软件的可选件中,由制造商提供,另外还可选择低价格的第三方产品,为用户提供最好的性能、服务质量和技术支持。
2.4WEP配置
WEP是IEEE802.11b协议中最基本的无线安全加密措施,其主要用途包括提供接入控制及防止未授权用户访问网络;对数据进行加密,防止数据被攻击者窃听;防止数据被攻击者中途恶意篡改或伪造。此外,WEP还提供认证功能。2.5防止入侵者访问网络资源
这是用一个验证算法来实现的。在这种算法中,适配器需要证明自己知道当前的密钥。这和有线网络的加密很相似。在这种情况下,入侵者为了将他的工作站和有线LAN连接也必须达到这个前提。
2.6端口访问控制技术
端口访问控制技术(802.1x)是用于无线局域网的一种增强性网络安全解决方案。当无线工作站与AP关联后,是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过,则AP为用户打开这个逻辑端口,否则不允许用户上网。802.1x除提供端口访问控制能力之外,还提供基于用户的认证系统及计费,特别适合于公司的无线接入解决方案。
2.7使用VPN技术
VPN(VirtualPrivateNetwork,虚拟专用网)是指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性,它不属于802.11标准定义;但是用户可以借助VPN来抵抗无线网络的不安全因素,同时还可以提供基于RADIUS的用户认证以及计费。因此,在合适的位置使用VPN服务是一种能确保安全的远程访问方法。
3无线网络采取的安全措施
要排除无线网络的安全威胁,另一种对策是采取如下八项安全措施。
3.1网络整体安全分析
网络整体安全分析是要对网络可能存的安全威胁进行全面分析。当确定有潜在入侵威胁时,要纳入网络的规划计划,及时采取措施,排除无线网络的安全威胁。
3.2网络设计和结构部署
选择比较有安全保证的产品来部署网络和设置适合的网络结构是确保网络安全的前提条件,同时还要做到如下几点:修改设备的默认值;把基站看作RAS(RemoteAccessServer,远程访问服务器);指定专用于无线网络的IP协议;在AP上使用速度最快的、能够支持的安全功能;考虑天线对授权用户和入侵者的影响;在网络上,针对全部用户使用一致的授权规则;在不会被轻易损坏的位置部署硬件。
3.3启用WEP机制
要正确全面使用WEP机制来实现保密目标与共享密钥认证功能,必须做到五点。一是通过在每帧中加入一个校验和的做法来保证数据的完整性,防止有的攻击在数据流中插入已知文本来试图破解密钥流;二是必须在每个客户端和每个AP上实现WEP才能起作用;三是不使用预先定义的WEP密钥,避免使用缺省选项;四是密钥由用户来设定,并且能够经常更改;五是要使用最坚固的WEP版本,并与标准的最新更新版本保持同步。
3.4MAC地址过滤
MAC(MediaAccessController,物理地址)过滤可以降低大量攻击威胁,对于较大规模的无线网络也是非常可行的选项。一是把MAC过滤器作为第一层保护措施;二是应该记录无线网络上使用的每个MAC地址,并配置在AP上,只允许这些地址访问网络,阻止非信任的MAC访问网络;三是可以使用日志记录产生的错误,并定期检查,判断是否有人企图突破安全措施。
3.5进行协议过滤
协议过滤是一种降低网络安全风险的方式,在协议过滤器上设置正确适当的协议过滤会给无线网络提供一种安全保障。过滤协议是个相当有效的方法,能够限制那些企图通过SNMP(SimpleNetworkManagementProtocol,简单网络管理协议)访问无线设备来修改配置的网络用户,还可以防止使用较大的ICMP协议(InternetControlMessageProtocol,网际控制报文协议)数据包和其他会用作拒绝服务攻击的协议。
3.6屏蔽SSID广播
尽管可以很轻易地捕获RF(RadioFrequency,无线频率)通信,但是通过防止SSID从AP向外界广播,就可以克服这个缺点。封闭整个网络,避免随时可能发生的无效连接。把必要的客户端配置信息安全地分发给无线网络用户。
3.7有效管理IP分配方式
分配IP地址有静态地址和动态地址两种方式,判断无线网络使用哪一个分配IP的方法最适合自己的机构,对网络的安全至关重要。静态地址可以避免黑客自动获得IP地址,限制在网络上传递对设备的第三层的访问;而动态地址可以简化WLAN的使用,可以降低那些繁重的管理工作。
3.8加强员工管理
加强单位内部员工的管理,禁止员工私自安装AP;规定员工不得把网络设置信息告诉单位外部人员;禁止设置P2P的Adhoc网络结构;加强员工的学习和技术培训,特别是对网络管理人员的业务培训。
此外,在布置AP的时候要在单位办公区域以外进行检查,通过调节AP天线的角度和发射功率防止AP的覆盖范围超出办公区域,同时要加强对单位附近的巡查工作,防止外部人员在单位附近接入网络。
参考文献
[1]钟章队.无线局域网[M].北京:科学出版社,2004.