网络专线安全精选(十四篇)

篇1

关键词：专线网络　信息　安全保障系统　构建

专线网络往往用来传输企、事业单位之间比较重要或机密性较高的数据信息，专线网络相对于开放式的信道虽然能够很好的提高用户信息传输时的安全性，但由于其自身不可避免的缺陷和来自于网络各方面威胁的不确定性，使得专线网络的信息安全保障Ⅲ问题被日益重视。

1、专线网络的普遍需求归纳

随着各行业的信息化、网络化发展，企业、事业单位信息量和信息传输需求的不断增加，传输速度快、安全性高的专线网络被越来越多的用户所需要，并普遍应用于社会的各个方面，其中甚至包括政府部门，这就要求专线网络首先要做到的就是安全性，要求信息在传输过程中的完整性，并不被窃取；能持续提供稳定的、不间断的、大容量的传输服务，接入点的分布范围广能在全国范围内便捷、快速的接入，并能随着业务需求量的不断增加同步的进行扩展。

2、专线网络信息安全保障系统建立的必要性

专线网络的安全涉及到用户信息能否被有效地利用，数据信息的丢失危害性小的可能造成诸如企业或学校等单位的管理混乱，危害性大时甚至可能威胁到国家安全、一个企业的生存与否，所以构建一个有安全保障系统的专线网络是非常有必要的，国家相关文件也指出“要注意专线网络安全保障系统中最薄弱的地方，尽量充分地认识到各种潜在的威胁，根据信息的重要性、性等级，建立相应等级的安全措施和管理。”

专线网络的信息安全保障系统的建设是一个整体，需要在充分进行了风险评估的基础上，综合地进行考量和建设，不但要在软、硬件安全措施方面进行设置，还要相应的提高管理人员的危机意识，充分认识到信息安全的重要性，和一旦信息丢失所造成的严重后果，才能使得在安全设施方面的投入被充分的利用，并发挥应有的作用。

3、专线网络信息安全面临的问题

随着专线网络的安全问题被日益重视，各种安全保障技术也在不断地提高，如防火墙技术、软件加密和硬件设备加密等等，尽管些技术在一定程度上解决了专线网络的一部分安全问题，但是专线网络的安全保障方面仍存在着一定的问题：虽然现在大多数的专线网络都采用了入侵检测和病毒扫描技术，但是由于目前入侵检测技术的发展程度尚不成熟，无法及时高效的对入侵者采取防范措施，所以没有被广泛的应用；在病毒扫描方面，存在着病毒数据库更新不够及时，扫描手段落后，对潜在的网络病毒和木马威胁的预知几乎为零等问题。在有些企业内部的网络中安装有安全芯片，但是目前的安全芯片无法做到高度的智能化，对人为操作的要求相对较高，很难做到高度统一。

4、专线网络信息安全系统构建的原则

4.1专线网络信息安全系统构建的设计理念

由于各专线网络的安全级别要求不同，所以每个专线网络可以根据自己的安全等级翻需要，并根据自身企业或单位的资金等具体情况，来进行安全保障系统方面的建设。所选择安全保障系统要有较好的智能性，便于使用中的操作和日常维护；另外，要在进行防御时改被动为主动，采用取“动静结合”的安全手段。安全保障系统还要具有良好的性价比，最好为一次性的投资，减少日后的附加费用，并有良好的扩展性。

4.2专线网络信息安全系统构建的设计原则

专线网络采用的安全保障技术在设计时要遵循以下原则：首先要适合操作人员的能力，不要采用过于复杂的措施，人员操作水平达不到安全措施的要求时，就相当于削弱了安全保障性能；安全技术的设计也要根据系统的具体性能来选择，过于繁复的运算，会大大降低系统的运行和响应速度；在风险评估的基础上针对单位的具体情况，设计适合的专线网络安全保障系统，设计的安全级别愈高，相应的投资数额就会愈多，要在考虑系统安全性的同时考虑用户的投资承受能力。一个可靠的信息安全保障系统要有良好的整体性，综合运用专业的措施和人为管理制度，如严谨的操作流程、日常维护制度等等。

5、专线网络信息安全系统的具体构建

5.1构建完善的病毒防御系统

随着网络病毒的发展和变化，其多样化的传播方式、隐蔽化的感染方式，使得专线网络一旦被病毒感染，很难被清除干净。首先存在着人为因素，大多数的终端用户对预防、清除病毒没有重视，一旦某终端或局部网络感染病毒，在缺乏管理的状态下将会迅速传播到整个专线网络。一个较大的专线网络中存在着众多的终端用户，很难做到统一升级病毒数据库，并在同一时间内同时进行杀毒。而且现在的网络病毒利用高科技的手段进行系统嵌入，一旦嵌入清除的可能性就很小。

针对上述问题，建议在专线网络内部建立一个两级的既能集中管理又能进行分级管理的网络病毒防御、监控体系。二级系统内的服务器等网络设备、所有终端都可以实现自我管理，并将二级系统内的病毒信息集中汇总后，报往上一级的管理系统。在专线网络内部建立病毒防御管理区，分别针对内网、专网和外网(即互联网)病毒防御服务器。

5.2构建系统漏洞扫描系统

专线网络用户往往会应用各种软件，这其中包括安全保障方面的软件或产品，这些产品在设计时和应用时都存在着漏洞，这些漏洞就会被病毒和木马程序所利用，直接对专线网络进行攻击。应根据专线网络的实际情况，尽量的通过漏洞扫描系统发现漏洞，并及时补救。目前即使是效果最好的入侵检测系统，往往也存在着不能及时更新、经常检测到一些没有意义的所谓隐患，在数据流量较大时，还存在误报和漏报，在黑客利用大量的伪造的数据包俺盖其真正的目的攻击意图时，就可能造成系统的瘫痪。构建结合预防和主动还击措施的漏洞检测系统，在系统漏洞被黑客利用前，先利用已掌握的黑客软件，攻击自己的专线网络，以检测漏洞检测系统对漏洞的检测能力及对漏洞的定位是否准确；在受到攻击时，采取主动还击的方式，对攻击来源进行攻击，使其不再具备攻击的能力。

5.3构建入侵检测系统

专线网络因其所传输的信息的机密性和重要性，所以必须建立起一套确实可选择入侵检测系统，实时监控可能发生的入侵行为，当有入侵行为时，能进行阻断或弱化，并能生成详细推检测报告。由于黑客技术的不断提高，在进行攻击时往往把真正的攻周行为隐藏起来，先生成大量的虚假报警，造成入侵检测系统的误报，并不能对攻击行为进行精准的描述。鉴于以上入侵检测系统存在的问题，建议构建报警信息数据融合系统，由低层报警、中层报警、高层报警、入侵报告五个部分组成，如图1：

5.4构建身份认证系统

篇2

原有的单一通信技术，无线通信的产生方式和传输技术在逐步的完善，相应的，信息的传播安全和传播途径的可信度受到了大家的关注。国家电力企业将通信公司的2G/3G/4G无线移动网络和电力信息通信相结合，取长补短，组建了具有广泛性，高效能，严格保密特点的电力无线虚拟专网，为智能化通信网络在语音、数据、图像、视频等多媒体方面提供技术支持。

1电力无线虚拟专网组成结构

国家电力企业信息内网工作信息的传送途径主要以电力无线虚拟专网为主要途径，电网组成是各级电网单位与通信公司相结合的集中接入的方式，如有想要加入到国家电网内部信息网络的客户，客户信息网络会通过最终客户端连入通信公司的无线网络，再通过信息公司的相应传送途径进行包装，到达客户端后进行解析工作，然后，安装信息安全装置才能加入企业的信息内网。

2电力无线虚拟专网的安全防范措施

国家电网无线网络连接的共同途径为电力无线虚拟专网，它存在很多的安全隐患，包括信息传送的安全隐患和信息范围的安全隐患，从在网络信息安全和传送范围两个方面入手大力保护，可减少信息传送过程中出现的安全隐患。电力无线虚拟专网网络起于通信公司无线基站止于电力安全防护设备，供电厂的主要工作是减少电力侧网络设备、电力侧安全防护设备及客户端的运行问题，确保客户终端可以流畅应用，通信公司主要工作是减少无线基站、运营商IP承载网、专线的运行问题，使其规律的工作。此篇文章主演探究电力无线虚拟专网电力网络侧、电力网络边界侧信息安全防范措施。

3电力无线虚拟专网数据保护要点

国家电网公司电力无线虚拟专网主要覆盖信息内网业务，根据信息内网的安全防护要求，针对业务应用数据的重要程度，结合国家电网公司终端实际使用情况及成本效益综合考虑，电力无线虚拟专网可采用安全防护架构。信息安全防护方案将电力无线虚拟专网分为三个区域：电力无线虚拟专网域、网络边界域和内网域。专网域采用租用运营商的专用传输通道承载无线终端数据；网络边界域采用防火墙和IDS等安全设备进行访问控制和网络攻击检测，采用公司专用的安全接入设备实现终端到边界的加密传输、终端合法性认证和数据隔离交换等安全功能。

4电力无线虚拟专网信息安全防护措施

根据电力无线虚拟专网安全防护架构、安全区域划分以及安全责任分界面的划分等方面考虑，分别从电力企业侧与运营商侧阐述信息安全防护措施。

4.1电力企业侧信息安全防范方法

电力企业在网络信息安全范围和信息内网域采用信息安全防范方法，以完成网络信息安全范围、信息内网域的安全防范。4.1.1安全范围规划：电力无线虚拟专网边界对安全范围进行严格规划，使网络使用范围明了，对每个安全范围都应用合适的安全防范方法，并且，对已经到达的网络信息加以系统的安全保障措施，更好的提升浏览监控、危险检测、输送监管和客户端认证等应用的使用性能。4.1.2访问控制：在边界接入设备上针对源地址制定访问控制，禁止不同APN业务互访；使用防火墙制定严格的访问策略实现专网域至网络边界域的访问控制。4.1.3安全隔离：采用电力企业专用安全接入设备实现网络边界域与内网域之间的数据安全交换，阻止非法网络连接穿透网络边界访问信息内网。4.1.4安全防御及入侵检测：在边界部署防火墙及入侵检测系统，实现抗DOS攻击、防恶意代码等功能，即时监视网络行为和网络攻击检测。4.1.5安全审计：对边界安全设备进行日志记录及审计，为评估网络安全性及网络安全加固提供依据。4.1.6隧道加密传输：在无线终端与电力企业专用安全接入设备之间建立安全加密传输通道传输业务数据，保障业务数据的安全传输。4.1.7接入控制：建立身份认证系统对接入网络用户进行强认证，禁止非法用户接入；信息内网业务系统采取有效措施对接入电力无线虚拟专网的终端硬件特征进行认证。

4.2通信公司隐患预防方法

通信公司使用隐患预防方法，以完成无线信息专网系统的网络安全连接保护、专用途径分类等专网域安全防护。4.2.1网络信息安全连接保护：客户端应用特定的APN接入，同时通信公司进行电力无线虚拟专业网络合法SIM卡授权，通过授权后的合法SIM卡可以获得访问权，但不可以浏览互联网和其他网络。4.2.2APN访问监管：相同的APN内客户端不可以相互访问，相反的，不同的APN内客户端允许互访。4.2.3特定通道及分离：在GGSN上电力无线虚拟专网用户应用VRF技术与其他用户路由分离；采取GRE/L2TP/MPLSVPN等VPN方法在通信公司网络中输送电力无线虚拟专网信息以完成专网专用的目的，使其更好的与其他网络传播途径区别。

5结束语

篇3

【关键词】电力系统；无线通信；专网技术

经过多年的建设，中国电力通信系统已经颇具规模，并运用光缆、微波、卫星等通信手段成功建设了立体交叉通信网。随着通信技术的不断发展，无线通信技术逐渐广泛应用于电力通信。然而，由于传输信道的不稳定性和无线通信网络本身的移动性、开放性等特点使得电无线通信专网在应用过程中不可避免地会面临各种问题，因此，有必要根据电力无线专网的特点及其在应用中存在的问题，提出相应的建设路径。

1 常用的电力无线通信专网关键技术

1.1 Wi-Fi技术

Wi-Fi技术又称WLAN技术，它是电力企业日常应用最为广泛的无线通信技术之一，是无线通信技术和计算机网络有效结合的成果，其传输媒介是无线多址信道，能够真正实现随意、随时、随地的宽带网络连接。Wi-Fi技术传输速度较快，覆盖范围能够达到90m，可实现整层楼的无线办公，能够充分满足电力企业对宽带联网的需求。部分变电站甚至运用Wi-Fi技术来进行巡检机器人控制和状态监测等日常工作。但是由于Wi-Fi技术多采用公共频段，很容易受到干扰，因此，很难成为电力无线通信专网的核心组成部分。

1.2 WiMax技术

WiMax技术出现的较晚，是一种新兴的先进技术，其无线信号最远可以传输50公里，能够满足大范围的传输需求，甚至只需很少的基站就能够实现全城覆盖。同时，WiMax技术还可以给互联网提供高速连接，可以替代现有的DSL和有线连接方式。WiMax技术较远的传输距离及其先进性使得这一技术一直被电力企业所看好，其应用前景较为广阔。然而，由于这一技术出现的较晚，存在利用率低、频率复用性小的问题，要想实现大规模的应用还需要时间来进行实践、考验。

1.3 WMN技术

WMN技术源于移动AdHoc网的研发，与传统无线通信网不同，它是一种高速率、高容量的分布式网络技术，是AdHoc网和WLAN的有效结合，同时具有两种网络的优势。WMN技术拥有故障发现特性和有效的路由，不仅能够广泛于无线宽带网络连接，还能够结合图像采集和数据模块来对目标对象实施数据采集和监控。然而，从无线网络的发展现状来看，由于这一技术缺乏一个有效产品系列的支撑，还不能实现大规模的应用。

2 电力无线通信专网的特点及其在应用中存在的问题

2.1电力无线通信专网的特点

2.1.1 传输信道的不稳定性

与有线网络相比，无线通信专网的传输信道容易变化，具有不稳定的特点。这是因为无线通信专网的传输环境很容易受到外界环境的影响，并且会随着用户的不同而发生变化，导致了传输环境的不稳定。无线通信专网传输信道的不稳定性，很容易导致信号质量的高低不同、起伏不定，甚至信号中断现象也时有发生，影响了无线通信专网的安全应用。

2.1.2 移动性、开放性

与有线网络相比，无线通信专网具有移动性和开放性的特点。诸如有线网络具有确定的物理界限，而无线通信网络则没有明确的物理界限，在不采取控制措施的前提下，只要在无线通信网络的覆盖范围内，所有使用者都能够使用同一频率来发送、接收信息。正是因为无线通信专网的移动性和开放性，使得一些违法分子可以利用违法操作手段来进行非法信息服务、非法信息发送与接收，导致一系列的网络安全问题

2.2 电力无线通信专网在应用中存在的问题

2.2.1 产品技术成熟度

Wi-Fi技术、WiMax技术以及WMN技术各有优缺点，其中虽然Wi-Fi技术和WiMax技术发展的较为成熟，然而由于受到多种因素的制约，它们很难成为电力无线通信专网建设的核心技术。而WMN技术虽然最适合用于构建电力无线通信专网，但是由于其缺乏一个有效的产品系列的支撑，产品技术发展的不够成熟，难以大规模应用，因此，WMN技术也很难承担电力无线通信专网建设的重任。

2.2.2 安全问题

安全问题是限制电力无线通信专网健康发展的关键因素之一。电力无线通信专网的健康发展关系着社会稳定和国计民生，而随着全球化进程的展开，中国的国际环境日益复杂，电力无线通信专网的安全问题也日益凸显。目前，电力无线通信专网在应用中存在的最主要的安全问题主要包括插入攻击、监听攻击、未授权信息服务、移动IP安全以及无线网络干扰等方面。这些问题的存在给电力无线通信专网的建设带来了极大的困扰，必须要给予足够的重视。

3 电力无线通信专网的建设路径

3.1 树立安全意识

电力无线通信专网是电力系统的关键组成部分，关系着社会稳定和国计民生。电力无线通信专网在提高电网可靠性，优化电网管理手段，促进能源互联网构建等相关方面具有重要的实践意义。电力无线通信专网的使用者必须要树立安全意识，采取有效的技术手段来维护电力无线通信专网的安全，促进电力企业的长远健康发展。

3.2 制定标准，明确发展方向

标准的制定是企业发展的先导。电力无线通信专网建设经过多年的技术选择和应用验证，已经逐渐确定其技术路线，这时正是制定电力无线通信行业相关标准的恰当时机，应加快制定、标准的步伐，以便明确电力无线通信专网的发展方向，避免由于方向不明确而造成的经济损失。

3.3 加大产品研发及电力无线通信专网安全研究的力度

电力无线通信专网的使用者最关心的就是技术的稳定性和安全问题，在开展产品研发和电力无线通信专网研究时，要加大相关产品的安全技术研究力度，将研究范围扩展至基站、终端、链路、网络管理与应用系统以及光通信专网和无线通信专网之间有效衔接等方面，以此来保障电力无线通信专网的安全应用。

3.4 构建多组网技术组合

在建设电力无线通信专网的过程中，要充分运用一体化思路来设计、规划并建设网络，构建多组网技术组合，以便充分发挥不同无线通信专网技术的优势，解决不同使用者、不同区域对无线通信专网的多样化需求，提高无线通信专网的综合能力和整体优势。

4 结束语

无线通信专网技术的发展逐渐呈现信息个人化、网络综合化、宽带化等趋势，这一现象促进了移动通信网络的结构化变革。电力无线通信专网建设是保证电力通信长远健康发展的关键环节，需要结合市场需求，依赖信息通信技术的发展进步，立足一体化的发展思路，加快推进建设电力无线通信专网的步伐，促进电力无线通信专网技术的有效应用。

参考文献：

[1]陈健萍.浅谈电力通信专网中无线通信技术[J].城市建设理论研究（电子版），2011（23）.

[2]黄丰.电力通信专网中无线通信技术的运用[J].城市建设理论研究（电子版），2011（31）.

篇4

关键词：智能配电网；通信；原理应用

中图分类号：TN915.853文献标识码： A

1 智能配电网业务及通信需求

智能配电网的发展是一个长期艰巨的科学研究和工程实践过程，提出了现有电力通信系统面临的问题和挑战。智能电网模型的业务主要是体现在分配领域，一个典型的新的业务领域，包括网络纵向配电自动化，配电网保护，配电网络视频监控，配电网络设备监控，分布式能源站的管理和控制，微电网的控制管理，用电领域的典型新业务包括专变用户负荷管理，配电变压器监测，低压集抄，家庭用电，电动汽车充电桩管理等智能化管理。

电网业务根据其功能属性，可分为保护类、控制类（遥控）、信息监测类（遥信、遥测）、视频类（遥视）。智能配电网业务属性分类见表 1 所列。

表 1 智能配电网业务属性分类

Tab.1 Business categories of the intelligent power distribution network

1）保护类业务：对通信安全性要求特别高，在《微波电路传输继电保护信息设计技术规定》（DL/T5062-1996）中规定微波通道(光纤通道参照执行)传输主保护信息时对通信的时延应不大于5 ms，路由要求也非常严格（必须确定路由，不允许随便更改路由）；通信的失效可能影响电网的保护跳闸动作执行，导致电网事故扩大，严重时可能导致电网瘫痪；

2）控制类业务：对通信安全性要求特别高；对通信的时延（秒级以下）、路由要求较严格（必须是相对固定的路由，可以根据需要在备选路由中切换）；通信的失效可能影响电网的控制执行，导致电网运行故障；

3）信息监测类业务：对通信安全性要求较高、对通信的时延（秒级）、路由要求相对较宽松（无需确定路由，信息在要求时间可达即可），通信的失效对电网运行存在一定管理方面的影响，但不会导致电网故障或瘫痪；

4）视频类业务：与信息监测类业务类似，但对通信的带宽需要较大，每路信息需要 2 Mbit/s 以上的带宽。

综上所述，保护类、控制类业务必须采用专用的电力通信专网；信息监测类、视频类业务应优先采用电力通信专网，在电力通信专网暂无网络覆盖的区域，可选择租用公用通信网络。不同属性业务对通信的需求见表 2 所列。

表 2 不同属性业务对通信的需求

Tab.2 Communication requirements of different business

2 配网常用通信技术特性分析

配网通信网常用通信技术包括光纤通信技术、中压载波通信技术、无线公网通信技术和无线专网通信技术（如 TD-LTE）等。通信技术的特性包括多个方面，但在业务应用上，通信技术的通信时延、带宽、安全性和可靠性等是最主要的特性。

2.1 光纤通信技术

配网光纤通信技术主要采用工业以太网交换机和 EPON 技术，两者都基于以太网技术，因此两者的网络性能基本一致。

1）通信时延。网络时延指数据帧从源到目的地址所需要的时间，交换机以太网的时延由帧收发时延（F）、交换时延（S）、线路传输时延（L）、帧排队时延（Q）组成，存储转发最小的时延等于交换机传输一帧所用的时间，100 M 以太网帧收发时延与帧长度成比例，从 5~120 μs 不等；交换机本身带来的交换时延在 5~10 μs，总的网络时延 = ∑（F+S+L+Q）；一般情况下，100 Mbit/s 工业以太网经过 15 个网络设备100 km 传输的总时延小于 2 ms。

2）通信带宽。工业以太网交换机、EPON 均支持百兆或千兆以太网，因此网络带宽可根据需要达到百兆或者千兆比特每秒。

3）通信安全性。电力配网光纤通信网络是专用数据网络，可以采用一定的网络安全措施提高网络的安全性，总体上通信安全性很高。

4）通信可靠性。电力配电网光纤通信网络的可靠性很高，主要体现为：专网专用，保证网络通道的高可靠性；采用成环组网，具备 1∶1 保护能力；采用工业级设备，确保设备的高可靠性。

2.2 中压载波通信技术

1）通信时延。目前适合长距离通信的、采用窄带调制技术的中压电力载波通信系统的通道建立时间和单个数据报文传输时间通常在几十和几百毫秒。受频率干扰、环境影响，时延波动较大。在实际应用中，由于中压载波技术采用主、从载波轮询方式通信，一般每个节点的轮询间隔根据字节长度设计为 2 s 以上。

2）通信带宽。采用窄带调制技术的端口传输速率可根据要求设计为 1 200，2 400，4 800，7 200，9 600 Band，实际网络速度与传输距离、环境情况等有关，一般 5 km 左右的距离，传输距离只有几 kbit/s或者更低。实际应用中，一般设置主、从载波之间的数据发送间隔为 2 s，数据包长不超过 200 B。

3）通信安全性。中压载波通信属于电力通信专网，且传输媒介为高压电缆，具有较高的防接入安全性。另外由于该产品在技术实现上可采用复杂的编码和加密措施，因此业务接入的安全性很高。

4）通信可靠性。中压载波系统在实际应用中的可靠性较低，主要存在以下风险。①网络结构风险：中压载波的应用主要采用“1 个主载波机 +N 个从载波机”的树形、星形（物理上看像链形）组网方式，存在单点故障风险；②电缆线路迁改导致系统失效风缆线路的迁改将导致中压载波系统无法通行；③电缆线路开关开合、用户负荷变化、电缆沟积水等情况下，可能导致通信故障。

2.3 无线公网通信技术

当前，配电网中常用的无线公网主要采用 2G 技术（GPRS/EDGE/CDMA）。

1）通信时延。无线公网通信的网络时延与网络负载有很大的关系，网络负载大时，时延长，网络负载轻时，时延短。无线公网技术由于存在资源的竞争性、处理节点较多、且易受环境因素干扰，一般平均时延在几百毫秒。

2）通信带宽。2G 无线公网的通信带宽具有不确定性，从 0~200 kbit/s，如 GPRS 的理论带宽为171.2 kbit/s，但由于信号情况、网络负载等情况，一般 GPRS 网络的上行速率在 10~20 kbit/s，下行速率在 30~50 kbit/s。

3）安全性。2G 无线公网数据传输加密技术面向所有业务，其现有的鉴权规则已被破解，且与互联网互通，网络安全性较低。根据电监会要求，“公用数据网”在传送生产控制大区业务时，仅承载信息上传业务，不能承载控制类业务。

4）可靠性。无线公网的可靠性低，风险主要包括以下几种情况。①无线信号干扰或遮挡导致的通道中断；②基站的基础设施故障导致的通道中断：无线公网的基站建设在民用建筑上，基站传输、电源，基站防偷盗、人为破坏等可靠性较差；③计费方式（如超过流量）导致的网络中断；④学校、政府机构、保密部门等企事业单位有意制定的信号屏蔽等；⑤应急情况下网络拥塞导致的数据业务不可用。以上安全风险，导致无线公网的总体可靠性较低。在实际应用中，一般无线公网的 GPRS 网络在线率在95%~99%。

2.4 无线宽带专网通信技术

1）通信时延。与无线公网一样，无线专网通信的网络时延与网络负载有很大的关系，网络负载大时，时延长，网络负载轻时，时延短。然而，由于无线宽带专网通信一般采用两层结构，且专网专用，险：中压载波系统依赖于电缆线路作为传输介质，电资源充裕，一般时延较固定且相对较短。但在环境影响、干扰影响方面，也难以保证固定的时延。根据某供电局 TD-LTE 试点网络的实际测试结果：下行接入时延最大 11 ms，平均 8.8 ms；上行接入时延最大59 ms，平均 36.9 ms。

2）通 信 带 宽。 无 线 宽 带 专 网 通 信 技 术（如TD-LTE）在 10 MHz 带宽情况下，上下行峰值吞吐量能达到 20 Mbit/s 以上，但实际网络吞吐量与网络的信号强度、信噪比等有关。根据某供电局 TD-LTE 试点网络的实际测试结果，在信号接收强度≥ 80 dBm 时，上行带宽为 4~5 Mbit/s，下行带宽 7~13 Mbit/s；信号接收强度在 –120~–115 dBm 时，上行带宽为 0.1~0.2 Mbit/s，下行带宽 1.2~1.8 Mbit/s。

3）安全性。无线宽带专网通信技术的认证性、机密性、完整性、可用性和不可否认性几个方面具备很成熟的标准、技术和加密算法，总体安全性好。根据电监会相关要求，“专用数据网络可以采用多种通信方式，如光纤通信、一点多址微波、无线电通信、电力线载波、屏蔽层载波等；不具备专网条件的可采用公用通信网络，如 GPRS，CDMA，TD-SCDMA，

ADSL 和无线局域网等，应当采取虚拟专网、防火墙等安全防护措施，并禁止与调度数据网互联”，“专用数据网”可以承载具备“控制”功能的双向业务。

可靠性。电力无线专网的可靠性较好，但仍然存在一定的可靠性风险。①设备故障导致的通信故障。电力无线宽带专网的典型组网结构是树形，1 套核心网接入多个基站，1 个基站接入多个终端，在核心网或基站出现故障的情况下，其下所有终端将无法通信。②无线信号干扰或遮挡，导致网络不同或信号强度弱而使通道中断的风险。

3 配电网通信技术应用原则

一般情况下，配网通信技术应用遵循以下原则。

1）配网通信网络业务接入须满足国家电力监管委员会电监安全 [2006]5 号令和 34 号文的规定要求，生产控制大区控制类业务应采用电力通信专网承载。

2）需要支持配电网保护类业务的，采用光纤信技术。

3）需要支持配电网控制类业务的，可选择光纤通信、中压载波、无线宽带专网技术，同时考虑区域特性、网络建设、运维和成本情况，选择如下：新建区域（一次线路新建）、重点保障的区域，选用光纤通信技术；老城区、高楼密集的区域，优先选用光纤通信技术，中压载波技术作为补偿；一般城区，适合无线网络覆盖的区域，以光纤通信和无线专网相结合，无线专网覆盖效果好的，采用无线专网技术；无线专网无覆盖的区域，采用光纤通信补充；郊区、农村区域、架空线路，以无线专网为主，中压载波为补充。

4）仅需要支持配电网信息监测类业务的，优先采用无线通信技术，具备优先专网覆盖的优先选择无线专网技术，否则选择无线公网技术。

5）需要支持配电网视频类业务的，优先采用光纤通信技术，慎用无线专网开展视频类业务。

4 结语

智能配电网及相应的配电网通信网络是当前电力行业的重点建设内容，本文分析并研究不同通信技术在智能配用电网中的应用场景、特性，规范不同技术在智能配用电网络中的应用模式，对于提高智能配电网通信的网络质量、促进智能配电网的发展具有重要意义。

参考文献：

[1]徐丙垠，李天友，薛永端． 智能配电网与配电自动化 〔J〕． 电力系统自动化，2009，33 ( 17) : 38-41．

篇5

其实无线网络也同样分为局域网和广域网，但是无论哪一种网络环境，都面临着同样的安全隐患，其中无线局域网是目前应用最为广泛的，同时也是很多企业和个人家庭广泛使用的，因为组网简单，成本相对较低，同时使用非常灵活，深受企事业单位的青睐。无线网络主要是利用电磁波来传递信号，相对于有限网络的数据传输来说，无线网络的信号更为开放，通过专业的信号窃听器就能够轻易地截获无线信号，同时对这些信号进行破解，自然就能够获得相应的核心数据机密。因此无线网络的安全防护要比有线网络的防护难度更高，需要采用更加丰富的、更加先进的安全防护技巧，才有可能提升无线网络的安全能力。无线网络组网技术现在相对成熟，相关的电子产品的兼容性也能够得到保证，现在最令IT人员困惑的就是如何提升无线网络的安全属性，如果使用有线网络构建局域网，那么还可以通过增设防火墙等硬件来防止外部网络的病毒攻击，但是有线网络则很容易让专业的黑客人员绕过防火墙，直接切入到服务器或者数据库。目前无线网络具体的常见安全隐患主要体现在下面几个方面：

1.1病毒攻击

这是和传统的有限互联网一样，因为移动互联网仅仅是互联网使用媒介的不同，但是其所有的应用环境是一样的，病毒入侵依然是无线网络最大的安全威胁，而且病毒威胁还因为是无线网络，而变得更容易绕过现有的防护体系来攻击工作站，让用户防不胜防，而且目前病毒的入侵方式种类繁多，很多病毒都伪装成不同的可执行文件，甚至是图片，只要用户点击这些文件和图片，就会激发其中的病毒，导致计算机被病毒接管，成为一个名符其实的“肉鸡”。而且病毒种类的不同会给用户带来不一样的灾难，其中有些病毒比如蠕虫病毒，就能够通过不断的自我复制来让整个无线网络系统瘫痪，还有就是ARP病毒，同样能起到这样的作用。

1.2数据窃听

这是目前较为常见的安全隐患，就像上文中提到的通过复制手机卡等方式来窃听同一个手机号的数据信息，而且这种应用几乎已经泛滥成灾，这是利用了无线信号的广泛性和公开性原理。虽然现在无线信号也进行了不同程度的加密，但是解密技术也在不断的提升，所以这种开放式的数据传输，本身就容易受到攻击，导致严重的安全隐患。

1.3篡改传输数据

一旦病毒入侵到无线网络系统，就会利用网络系统中的工作站来伪造网关的信息来欺骗计算机主机，从而对相关目标主机进行数据修改，或者将某些输入密码和账号的信息导入到黑客指定的目标地址中，从而获得用户的机密信息。这种篡改往往是非常隐秘的，用户很难分辨，就类似现在互联网上广泛存在的钓鱼网站，通过利用用户的信任来让用户就范，从而谋取暴利。

2常见无线网络安全措施分析

2.1技术方面地方防范措施

无线网络安全防范措施主要还是以技术防范为主，安全管理措施为辅的，其中技术方面的防范主要从下面几个方面进行：

（1）对无线网络中的各个主机加装杀毒软件以及软件防火墙。虽然网络信号能够被窃取，但是想要入侵计算机，那还需要过计算机本身的防御系统这一关，因此提升个人计算机本身的健壮属性，将计算机操作系统的安全漏洞全部堵好，同时还要安装最新的杀毒软件，这样能够防范最新的病毒和黑客的攻击方式。

（2）进行MAC地址过滤。这是有线网络中常用的安全方法措施，防止一些计算机病毒伪装成主机信任的工作站来窃取相关的信息。现在这种方式也同样可以拿到无线网络环境中使用，因为无线AP以及无线路由器都有相关的MAC地址过滤功能，通过设置可以访问无线网络系统的MAC地址来杜绝其他的计算机连接到这个无线网络，同时也能够杜绝病毒切入到无线网络环境里。

（3）隐藏SSID。因为SSID是用来区分不同的无线网络信号，实际上就类似于有线网络中的VLAN，一种虚拟局域网。同一个SSID代表了同一个局域网，一旦连接到这个SSID网络就不能够和另一个SSID网络进行通信，所以SSID更多的是作为一个不同网络服务的标识。目前，无线网络的SSID最多有32个字符构成，无线网络终端必须要提供有效的SSID，才能够让无线网络用户通过无线网卡或者其他的设备比如智能手机扫描到SSID，然后连接到SSID，才能够最终接入到无线网络中。一般而言，无线AP和无线路由器会广播SSID，而现在各种计算机操作系统基本上都提供了自动搜索无线SSID的功能，这就进一步增大了无线网络安全问题。因此针对这个问题，可以通过设置长度相对较长的字符，同时对SSID字符进行隐藏，这样计算机操作系统就不能够直接扫描。因为SSID长度比较长，而且还是数字和字母的组合，这样用户就不容易猜解到这个SSID，当然现在很多无线网络设备也增设了无线网络访问密码，而且密码长度最长能够设置到64个，因此设置较为复杂的密码也是较为理想的安全防范措施。

2.2安全管理方面的措施

无线网络安全技术方面虽然重要，但是如果忽视对无线网络环境的安全管理，那也是很容易造成无线安全问题的泛滥，但是目前虽然不少企业也能够制定较为详细的安全管理细则，但是在执行过程中，往往会雷声大雨点小，造成安全漏洞实时产生。其中安全管理上的措施主要从规范计算机使用人员的安全习惯，比如要定期对计算机进行安全扫描，及时打好计算机操作系统的补丁，同时还要防止计算机使用人员访问一些不良网站，或者是搜索引擎标示出来的危险网站。对于莫名的电子邮件提高警惕，提升邮件系统的安全级别，过滤掉一些可疑的邮件病毒等，同时要加强IT人员对服务器的维护，定期进行全盘杀毒，对重要数据进行备份，从而降低无线网络系统崩溃后，数据丢失的危险。

3无线网络安全措施应用

无线网络的安全措施有很多，但是如果把每一个安全措施都使用到，安全管理都严格执行，那么无线网络的便捷性和易用性就会遭到严重的破坏，因此在实际使用的无线网络安全防护措施就必须要考虑到对使用人员的方便属性以及易用性，因此在对无线安全防护措施的应用方面就要均衡地考虑无线网络的安全性和方便性。

（1）目前，无线网络采用的加密模式主要是WAP加密模式，因此对于密码的设置一定要相当地严谨，很多用户和企业要么不设置WAP密码，要么设置的时候过分简单，12345678，是目前不少无线AP的常用设置，这显然起不到安全防护的作用。而目前SSID隐藏似乎并不起到真正的安全防护作用，因为现在只要使用专用的软件就能够轻易地扫描到附近存在的SSID账号，因此在对这个安全措施的使用上，应该充分考虑到用户使用的便捷性，将SSID字符设置为更容易理解的字符，这样方便用户的接入，而WAP密码则能够阻挡那些没有经过授权的入侵者。

（2）在对无线安全防范措施的选择上，可以采用Portal+802.1x这2种认证方式相结合的方式来提升无线网络安全的防范能力，通过强制Portal认证方法不需要用户额外安装客户端软件，用户只需要通过WEB浏览器就能够浏览互联网，这种方式显然更加方便快捷，但相对来说安全属性要差一点。不过如果企业对于安全防护要求非常严密，那么可以通过加装专业的无线网络入侵检测的硬件设备来实现主动式防御，目前这种硬件设备价格相对较高，对于一般应用的企业来说，没有必要购买，但是对于特殊行业来说，则有必要购买。因为这种硬件设备融入了智能入侵检测功能，从很大的程度上实现了主动的防御，有效地提升无线网络的安全属性。

（3）在MAC地址过滤方面的使用，通常采用的方式有2种，1种是指定的MAC地址不能够访问无线网络；另1种是指定的MAC地址能够访问网络，没有在AP中设置的MAC地址就不能够访问。目前较为主流的安全控制是选择指定的MAC地址能够访问网络，不在指定的MAC地址就不能够访问，但是这里也造成一个问题，那就是当企业有外来用户需要连入无线网络，此时就存在着连接不上的问题，需要专业的IT人员进行设置，当然现在很多企业也能够理解这一点，但是却或多或少地降低了无线网络使用的便捷性。

4结语

篇6

1无线网络介绍及应用

无线局域网，即“WLAN”(WirelessLocalAreaNetwork)，是计算机网络与无线通信技术结合，高速发展的产物。比起传统的以太网，无线网络是在空中传播射频信号，能满足信号范围内的数据接收，使得通信的移动性、便捷化及个人化最大实现。WLAN能够让用户及时有效的访问网络信息，实现网络的移动互连，同时克服网线线缆的限制，改善有线网络引起的不便。图1是无线网络的工作流程图，从中可以看出无线网络具体的工作过程。

无线网络在个人、家庭和企业都得到了广泛应用，在各式各样的无线网络中，无线局域网是最为普遍的，它应用到了硬件设备及软件设备两个不同的领域。无线网络主要是通过红外线、WiFi、蓝牙这三种方式进行数据传输，它们各有自己的特色和使用区域。红外线无线传输主要应用于电视、空调等家电遥控器中，它的通讯距离相对较短，传输速度也很快，可达到16Mbps左右，是利用红外线中电磁波进行数据传送的一种方式。WiFi是“无线相容性认证”的简称，目前主要运用的是802.11b标准和802.1lg标准，虽然理想情况下它们的传输速度分别可以达到11Mbps和54Mbps，但实际使用时，只能实现理想状况的一半左右，但已经足够摆脱对网络线缆的依赖，实现音频传输。蓝牙是全球开放的无线传输，它的自由频段为2.4GHz，虽然一般数据传输的速度只有lMbps，最高也只能达到3Mbps左右，但是却是应用最为广泛的一种。市面上的无线家庭影院产品，不管使用的是哪种无线传输方式，在传输表现上都不错，音质完美，视屏流畅清晰，没有出现大家担心的讯号迟钝、音质不好、视频粗糙等问题。现在WiFi无线网络技术已成为社会主流，英特尔公司在WiFi上取得了巨大成功，成为了倡导WirelessUSB技术的先锋。无线USB接口技术在近距离能够达到480Mbps的数据传输率，比起IEEE1394和USB2.0，WirelessUSB最大的优势是“无线”，这是现在的技术所难以抗衡的。另外，由于WirelessUSB技术强化了媒体数据传输的性能，比起现在的有线USB技术，能更快地进入无线PC、数码相机、打印机、键盘和鼠标产品等科技领域，这是无线网络技术的一次革新。

2无线网络安全隐患

无线网络安全威胁是指非授权用户对资源进行窃取，给资源的保密完整性及授权用户合法使用资源的权力造成破坏的问题。无线网络与传统的有线网络相比，安装简单、携带方便、灵活机动，解决了有线网络在时间空间上的限制，大大提高了数据传输的效率。但正是这些特点，使得无线网络不仅存在有线局域网面临的安全威胁，还存在其特有的一些安全隐患。

2.1信号干扰

信号干扰主要来自两个方面，一个是周边设备所带来的，另一个是同类设备导致。现在的无线网络，一般是采用ISM，即工业、科学、医学频段，而最为常用的IEEE80211b/g与微波炉、移动电话等的工作频率相同，都是2.4GHz。另外，一些复印机、防盗设施等常用设备，也对其造成了一定的影响。而在无线网络使用中，这些设备经常与其同时出现，对无线网络的信号造成干扰。还有同类设备带来的干扰，由于无线网络的广泛应用，同一建筑物或附近建筑物同时使用无线网络的情况比比皆是，若使用的信息通道一样，就会相互造成干扰，使得网速下降、信号不稳。

2.2数据的窃听、截取和篡改

无线网络的载体是公共的电磁波，玻璃、楼层等物体都能轻易穿过，无线信号就会传播到其余的无线客户端。由于它的开放性，无线网络很容易被入侵，造成数据的泄露。而使用NetStumbler、AiroPeek、TCPDump等专门的软件，更是能轻而易举地截取信息，甚至进行篡改。就是说窃听网络传输不需要专门的窃听设备，却能得到机密数据，对其他系统进行攻击。如果入侵者连接到了内部网络，可以篡改使用者的数据信息，释放病毒，使得合法用户的服务降低，严重的话，甚至会导致电脑的瘫痪，这是无线网络安全威胁中最为常见、严重的一种。

2.3拒绝服务和网络堵塞

无线网络入侵者会发出DOS（DiskOperationSystem）即磁盘操作系统攻击，干扰低层无线网络运行，或发送大量数据导致网络堵塞，破坏无线网络的正常使用，造成安全隐患。

2.4用户缺乏安全防范的意识

很多家庭用户在使用无线网络时，没有采取或采取的安全措施不到位，不能防止蹭网者及黑客的入侵。不仅是个人、家庭，很多企业在应用无线网络时，忽视对它的管理，难以发挥出无线网络的优势，还给企业的网络安全埋下了安全隐患。

3无线网络安全防护策略

做好无线网络安全防护，保护其免受入侵者的威胁，提高使用的安全性，做好通信的保密性，主要可以从几个方面进行改善。

3.1要规划天线的放置，把握信号覆盖范围

要将无线网络的天线放置在合理安全的地点，将信号控制在一定的范围之中，让覆盖区以外的地点不能接收到。然后，将天线放在覆盖区的中心位置上，减少信号的外泄。部署好之后，要进行完整彻底的勘测，确定信号的覆盖和不外泄。

3.2变更SSID和禁止SSID广播。

SSID（服务集标识符）是客户端用来建立连接的访问点识别字符串，是由无线设备制造商设定，如果入侵者得知，就可以轻易使用无线网络。在安装无线网络后，一定要马上变更SSID，改用别人难以猜到的命名。禁止SSID通过天线广播，可以阻止入侵者，保障网络的安全。也可以干脆关闭SSID，虽然会对网速产生一定的影响，但是安全性会大大提高，建议一般的个人和家庭使用者这么做。

3.3MAC地址的过滤

这是无线网络安全措施较为常见的一种，可以达到过滤未知设备连接自己的网络的目的。每个用户的MAC地址都是唯一的，通过设置MAC地址列表，设置只有列表中的用户才可以访问网络，杜绝入侵者的威胁。一般的家庭用户，可以将家中电脑放在列表中，启动MAC地址过滤，避免邻居蹭网和黑客入侵。

3.4禁用DHCP

DHCP（DynamicH0stConfi2urationProtocol）即动态主机分配协议，可以帮助用户进行IP地址随机分配，方便用户，却也造成在信号覆盖范围内，无线网络都会分配到IP地址，很容易被某些入侵者利用，留下了极大的安全隐患。禁用DHCP，可以阻止黑客轻易入侵，从一定程度上起到了安全防护的作用，因此对于无线网络用户来说，这是很有必要的。

3.5采用虚拟专用网络

VPN（VirtualPrivateNetwork）即虚拟专用网络，是指通过公共的IP网络平台，应用隧道及加密技术，来保证专用数据的安全性。VPN技术只是用来增强网络安全的一种方式，并没有囊括在802．11标准定义中。目前已经有许多企业和运营商已经采用了这项技术，来协助保密和地址过滤等。除了以上的一些措施外，用户也要提高自身的安全用网意识，积极采取措施，保证无线网络安全。

篇7

关键词：无线校园网；安全；性价比

中图分类号：TP393文献标识码：A文章编号：1009-3044(2012)27-6470-02

现阶段高职高专院校的信息技术水平的不断提高，无线终端设备（手机、掌上电脑、笔记本）也得到广泛的使用，教职工和学生对随时随地能接入网络进行教学、科研和学习的需求也越来越普遍；而伴随着无线网络技术迅速发展，WLAN已经经历了四种标准，发展到了现在802.11n标准[1]；高职高专自身的需求与无线网络技术的迅速发展相结合，促进了无线校园网的发展。

无线校园网络的建设与有线网络的建设不同，无线校园网应该更多的考虑可靠性、安全性、易用性、可扩展性等；另外，高职高专院校的经费主要来自财政拨款，如何建设性价比最高的无线校园网也是应该考虑的问题。

1建设的模式

与电信运营商合作：借鉴现有的无线城市的建设模式，无线基础设施由电信运营商投资，采用移动网络与Wi-Fi融合的方式实现。

自主建设：借助校园网的有线网络，自主建设针对校园范围内的无线网络，本文主要讨论针对自主建设的方案。

以上两种模式的优缺点对比如下：

2无线校园网设计与建设

2.1设计与建设原则

校园无线网络设计及建设应从安全性、可靠性、易用性、高性价比、可扩展性、易维护性及绿色环保等方面充分考虑。

1）安全性：在为教职工和学生提供方便的同时，一定要保障校园的网络信息安全。

2）可靠性：无线校园网涉及网络节点较多，整个网络应该可靠、稳定的运行。

3）易用性：无线网络接入认证方式在保障安全的同时要方便用户接入，用户接入网络仅需一次认证，在覆盖区域内实现无缝漫游。

4）高性价比：在降低成本的同时按照信号范围最大化的原则实现校园的无线覆盖。

5）可扩展性：无线校园网络在网络管理、网络结构、网络容量等方面应具有良好的扩展性。

6）易维护性：无线校园网络的管理系统要具有优秀的监控、分析和处理能力，一旦某个无线节点出现故障，应该通过网络管理系统自动查找故障节点，并提供恢复建议，使无线网络系统很快恢复工作。

2.2规划

无线校园网的前期规划必须从用户的业务需求、覆盖范围、网络应用的密度、覆盖建筑的结构等各方面的需求[2]。

现阶段无线校园网的应用主要集中在移动教学、随时互动辅导、电子网络课堂教学、科研与实验等；范围应覆盖全校园；高职高专院校的特点是面积大，建筑相对集中，人员主要集中在教学楼和宿舍，教学楼的教室单间面积较大用户多，宿舍楼的单间多且面积小，教室和宿舍相应的要增加覆盖强度；在业务需求方面，应以教学为主，提供网页浏览、流媒体播放等流量较小的网络应用，限制网络游戏、高清电影等大流量的网络应用。

从技术上讲，无线校园的规划应采用实地实测、现场勘测、与软件模拟相结合的方式完成。对于校园的大部分范围应该采用实测的办法，主要包括操场、食堂、大

礼堂、教学楼和宿舍楼等区域，根据测试结果，确定初步的覆盖方案；对于无法实测的区域，要进行现场勘测；同时也可以使用无线网络规划软件，模拟无线校园网络覆盖效果；结合现场实测、勘测和规划软件结果，可以得到最终的无线网络规划方案。

2.3无线网络部署

为了达到最优的覆盖效果,可以采用室外直接覆盖、室外覆盖室内、室内直接覆盖、室内分散式覆盖等多种方案。

室外覆盖方案适合于操场、花园、广场等开阔的区域；室外覆盖室内方案对室内覆盖的补充，适合学生宿舍、小型教室无线覆盖的补点；室内直接覆盖方案适合于大礼堂、图书馆、报告厅厅、教室等用户密度高，信号衰减小的区域；室内分散式覆盖方案适合于办公室、学生宿舍、家属楼等密度不高，信号衰减大的区域。合理配置各种方案可以在实现无线信号全覆盖的同时，保证无线信号质量。

2.4安全问题

建成的校园无线网络系统应该具有较高的安全性，能够提供安全可靠的接入方式，保障数据传输的安全性，能够及时发现和防护常见的无线攻击。

在接入认证和数据加密传输的过程中应使用安全性较好的协议，如WPA/WPA2/WAPI等协议，而非安全性较差的WEP协议；提供Web Portal认证和802.1x认证等多种方式，确保无线网络数据传输的安全性[3]。能够及时检测和防范非法AP，防止用户连接到非法AP上而导致泄密。

在无线校园网内部应该能够全面防护ARP攻击、DOS攻击等常见的网络攻击保障网络的稳定性。

2.5业务应用

无线校园网相对于有线网络可以发挥随时随地方便接入的优势，提供更多的业务，为高职高专院校的教学、科研等提供更多、更好的增值服务。如提供校园网络直播、在线课堂、即拍即传、提供基于位置或的页面推送（不同专业的学生的终端界面直接弹出个性化的界面）等。

2.6管理和运营

校园无线网络范围覆盖广，无线接入点比较分散，管理存在存在一定难度。无线网络的管理应该实现对所有涉及的设备的管理，包括核心交换机、汇聚交换机、POE交换机、无线控制器及无线AP的统一管理，使无线校园网真正成为一个完整的系统，方便管理和运营。

在运营方面，可以根据学校的实际情况采取免费提供或收费的方式。如果收费的话，应实现基于用户、时长和流量的计费，并实现与学校的一卡通系统对接以方便计费和管理。

3结束语

总之，无线校园网络建设对高职高专院校的信息化水平的提高及发展具有重要意义。它不仅可以满足教职工和学生通信、教学、办公和学习的需求，同时也对促进学校信息化，充分利用信息资源起到重要作用。无线校园的建设必须结合高职高专院校自身的实际情况，因地制宜，符合规范，在降低成本的同时最大限度的保证无线网络的质量。

参考文献：

篇8

关键词：VPN、虚拟专用网、远程用户、安全连接

信息时代的今天，以Internet为主体的信息高速公路迅速铺开，网络技术迅猛发展，网络的规模越来越大。从局域网、广域网到全球最大的互联网Internet，从封闭式的、自成体系的网络系统环境到开放式的网络系统环境，这一切无不说明网络技术迅猛发展的同时，也面临着对网络建设的挑战。各种网络安全技术和产品应运而生，其中虚拟专用网（VPN）及其相关技术经过多年的实践、发展和完善，以其方便性、安全性、标准化等优势脱颖而出，逐步成为实现企业网络跨地域安全互联的主要技术手段，是目前和今后一段时间内企业构建广域网络的发展趋势。

一 .VPN特点

VPN全称Virtual Private Network，虚拟专用网络，企业通过公网实现跨地域的系统互联必然面临安全问题。使用公用网络会导致机构间的传输信息容易被窃取，同时攻击者有可能通过公网对机构的内部网络实施攻击，因此需要在企业间建立安全的数据通道，该通道应具备以下的基本安全要素：保证数据真实性、保证数据完整性、保证数据的机密性、提供动态密钥交换功能和集中安全管理服务、提供安全防护措施和访问控制等。VPN即能有效解决这些安全问题，是因为VPN有以下几方面特点：

(一)成本低。通过公用网来建立VPN与建立专线方式相比，可以节省大量的费用开支。荆州电信运营商一条城区内2M专线价格为800至1000元/月，夸城区则为1500元/月，VPN的最大吸引力是价格。放弃租用专线而采用VPN，其整个网络的成本可节约21%-45%，至于那些以电话拨号方式连网存取数据的公司，采用VPN则可以节约通讯成本50%-80%。这是由于VPN是在Internet上临时建立的安全专用虚拟网络，用户就节省了租用专线的费用，故VPN价格更低廉。

(二)网络架构弹性大。VPN 较专线式的架构有弹性，当有必要将网络扩充或是变更网络架构时， VPN可以轻易的达到目的，VPN硬件平台具备完整的扩展性，大至企业总部的设备，小至各分公司，甚至个人拨号用户，均可被包含于整体的 VPN 架构中，同时具有对未来广域网络频宽扩充及连接更新架构的特性。

(三)良好的安全性。VPN架构中采用了多种安全机制，如信道、加密、认证、防火墙及黑客侦防系统等技术，通过上述的各项网络安全技术，确保资料在公众网络中传输时不至于被窃取，或是即使被窃取了，对方亦无法读取封包内所传送的资料。

(四)管理方便。VPN 使用了较少的设备来建立网络，使网络的管理较为轻松；不论连接的是什么用户，均需通过VPN隧道的路径进入内部网络。

二．VPN的应用

VPN 可以有三大应用，分别为Access（远程访问虚拟专网）、 Intranet（企业内部虚拟专网） 及 Extranet（扩展的企业内部虚拟专网） 。

（一）Access VPN与传统的远程访问网络相对应。在该方式下远端用户不再是如传统的远程网络访问那样，而是拨号接入到用户本地的ISP ，利用VPN系统在公众网上建立一个从客户端到网关的安全传输通道。

这种方式最适用于公司内部经常有流动人员远程办公的情况。出差员工拨号接入到用户本地的ISP，就可以和公司的VPN网关建立私有的隧道连接，例如荆州海事局服务器出现故障，维护人员只需要在任何地方通过VPN连接，进行远程调试服务器设备。

（二）Intranet VPN与企业内部的Intranet 相对应。在VPN技术出现以前，公司两异地机构的局域网想要互联一般会采用租用专线的方式，虽然该方式也采用隧道等技术，在一端将数据封装后通过专线传输到目的方解封装，然后发往最终目的地。利用VPN特性可以在 Internet上组建世界范围内的Intranet VPN。Intranet VPN通过一个使用专用连接的共享基础设施，连接企业总部、远程办事处和分支机构。企业拥有与专用网络的相同政策，包括安全、服务质量(QoS)、可管理性和可靠性。

（三）Extranet VPN与企业网和相关合作伙伴的企业网所构成的Extranet相对应。此种类型与上种无本质区别，但由于是不同公司的网络相互通信，所以要更多地考虑设备的互联，地址的协调，安全策略的协商等问题。利用 VPN 技术可以组建安全的 Extranet，既可以向客户、合作伙伴提供有效的信息服务，又可以保证自身的内部网络的安全。

三．VPN基本原理

VPN原理就是在这两台直接和公用连接的计算机之间建立一个条专用通道。私有网络之间的通信内容经过这两台计算机或设备打包通过公用网络的专用通道进行传输，然后在对端解包，还原成私有网络的通信内容转发到私有网络中。这样对于两个私有网络来说公用网络就像普通的通信电缆，而接在公用网络上的两台计算机或设备则相当于两个特殊的线路接头。

由于VPN连接的特点，一个完整的VPN系统一般包括以下三个单元：

(一)VPN服务器端。一台计算机或设备用来接收和验证VPN连接的请求，处理数据打包和解包工作。

(二)VPN客户端。一台计算机或设备用来发起VPN连接的请求，也处理数据的打包和解包工作。

(三)VPN数据通道。一条建立在公用网络上的数据连接。

四．使用VPN的优点

（一） 降低费用。首先远程用户可以通过向当地的ISP申请账户登陆到Internet，以Internet作为隧道与企业内部专用网络相连，通信费用大幅度降低；其次企业可以节省购买和维护通讯设备的费用。

（二）增强安全性。VPN通过使用点到点协议用户级身份验证的方法进行验证，对于敏感的数据，可以使用VPN连接通过VPN服务器将高度敏感的数据地址物理地进行分隔，所有的流量均经过加密和压缩后在网络中传输，为用户信息提供了最高的安全性保护。 （三）高度灵活性。用户不论是在家中、在出差途中、或是在其他任何环境中，只要该用户能够接入Internet，便能够安全地接入企业网内部。既不受地域限制，也不受接入方式限制。

（四）IP地址安全。因为VPN是加密的，VPN数据包在Internet中传输时，Internet上的用户只看到公用的IP地址，看不到VPN使用的协议。因此，利用Internet作为传输载体，采用VPN技术，实现企业网宽带远程访问是一个非常理想的企业网远程宽带访问解决方案。

五、VPN的前景展望

由于Internet最初的设计不保证网络服务质量QoS，所以现有的VPN解决方案必须和一些QoS解决方案结合在一起，才能给用户提供高性能的虚拟专用网络。随着QoS在技术上越来越成熟，VPN技术可以通过QoS保证来获得越来越好的Internet服务，享受到和真正的专用网络一样的应用。

六、总结

VPN在理解和应用方面都是高度复杂的技术，甚至确定其是否适用于本公司也一件复杂的事件，但在大多数情况下VPN的各种实现方法都可以应用于每个公司。即使不需要使用加密数据，也可节省开支。此外，在未来几年里，客户和厂商很可能会使用VPN，从而使电子商务重又获得生机，毕竟全球化、信息化、电子化是大势所趋，VPN是计算机网络的新技术，它将使Internet成为一种商业工具，并为Intranet及Extranet的应用带来良好的前景。

参考文献:

[1]杨小平等.省略screen.省略/zhishipuji/knowledge/vpn.htm

[3]王达，等．虚拟专用网(VPN)精解[M] 北京：清华大学出版社，2004．

篇9

伴随科学技术发展速度的提升和信息技术在我国教育教学领域中应用范围的扩大和程度的加深，使得校园网已经成为了教师和学生获取教学与学习信息资源的一个重要的途径，其在教育教学中的作用也逐渐受到了越来越多社会人士的关注。无线局域网是在有线网络基础上发展而来的，虽然其拥有有线网络不能够具有的优势，但是校园中的无线局域网在应用过程中还是存在一定的安全隐患。因此，对校园局域网存在的安全隐患问题进行分析，并找出有效的解决对策十分重要。

【关键词】校园无线局域网 安全隐患 对策

伴随通信事业在现代社会的不断发展，无线网也开始逐步进入到了一个新发展阶段，且逐渐成为了校园无线网体系重要的组成部分，在学校的教学管理体系中占据着十分重要的位置。从校园局域网实际的应用情况来看，其在具体的应用过程中仍旧存在着较多方面的安全隐患。因此，要想充分发挥出无线局域网在学校教学管理工作中的重要作用，找出这些安全隐患，并制定出有效的处理对策是十分必要的。

1 无线局域网在使用中的安全隐患

1.1 数据信息的安全隐患

首先，由于校园局域网中使用的是范围为2.4CHz的无线电波，且该网络体系自身的信息通道属于开放性的状态，所以，窃听者只需要处在该网络覆盖范围之中，并携带无线网卡或者是无线扫描器就可以获取该网络体系中的相关信息，且分析其中的部分数据。其次，在应用校园局域网的过程中，因为一些发射功率相对较大的网络节点可以覆盖一些发射功率相对较小的网络节点，这就为窃听者篡改处于传输状态中的数据提供了便利，导致局域网中的信息数据在传输完成之后出现了较多的错误数据。

1.2 拒绝服务，攻击Dos

所谓的拒绝服务攻击指的主要是网络的使用者不能够正常的访问校园局域网中的相关平台，这主要是黑客利用信号发生器发射干扰信号导致的。当黑客发出的射频干扰信号足够高时，其合法的业务流就无法有效的达到设定的接入点，使得客户端中的使用用户无法找到原本的信号源，局域网不能够正常的运行。此外，黑客还可以利用无线局域网带宽有限性的特点，在带宽上生成大批的无用数据包来消耗校园无线网中的资源，从而导致网络资源被逐渐耗尽，最终处于完全停止工作的状态。

2 防范校园局域网的有效对策

2.1 做好VPN部署

同真实的专用网络不同，虚拟的专用网络主要是通过以ISP可以在公共网络系统中建立起专用数据通信网络这一技术，使虚拟专网网络中存在的任意的两个节点可以通过公众网中的资源完成动态连接。即虚拟专用网主要是利用公共网络IP，借助数据加密、数据解密、身份认证、密匙管理等相关的网络技术来保证网络数据传输的安全性。就目前来看，IPSec VPN是最具有代表性的VPN技术。在网络体系中，该项技术主要是负责保护校园局域网中数据信息在各个站点中传输的安全性。由于虚拟专用网中的远程客户端和配置的相关软件和硬件设备的安装必须要保证正确性，且客户端的访问权限也具有一定的限制性，这就使得局域网本身的安全性得到了极大的提升和保障。

2.2 校园网的入侵检测系统

对校园中的局域网络来讲，所谓的入侵检测就是网络维护人员通过分析网络系统中的相关数据，对一些非授权的访问与网络攻击行为进行有效的判断，之后再采用报警和切断入侵网络等方式来做好网络安全性的防范。一般情况下，校园局域网中的工作人员是先收集相关的数据信息，再对收集到的数据进行细致的分类和处理，而后再按照一定的安全管理制度来对网络入侵行为发生的实际情况进行初步判断和预估，最后采用对应的对策来进行处理，保证网络安全。但随着现阶段网络体系的不断变化和相P网络信息技术水平的提升，使得网络入侵行为也发生了极大的改变，相互协作入侵已经成为对校园局域网安全性威胁最大的入侵技术之一。因此，校园网的管理人员应该要使用分布式的入侵检测技术，通过将承载入侵检测系统的服务器同中心交换机相连接的方式，将其与网络分布在各个子网络中，从而保证入侵检测系统既能够检测校园网的入侵情况，还可以对校园网进行有效的监督和管理，及时发现网络异常现象和入侵情况。

2.3 安装网络防火墙

同有线局域网相同的是，无线局域网也需要利用防火墙来保证自身信息收集、存储、传输的安全性。从功能上来看，防火墙技术不仅是防止一些未授权用户访问和黑客入侵网络的一种有效手段，还因为其是被设施在外部网络和被保护网络之间的，所以在保护网络安全方面具有重要作用。因此，校园网管理者可以在局域网的客户端系统中设置一个防火墙，并配置与之相关用户访问权限、相关认证服务、数据过滤条件等来保证客户端本身的安全性。

2.4 强化对网络安全的管理

作为保障校园局域网网络安全的重要基础，做好安全管理对于维护校园网络信息和师生信息的安全性与师生隐私等具有重要作用。因此，网络管理员需要从以下几方面入手，加强对网络安全管理的力度。

（1）选择适当的位置安装无线网络设备，尽可能的避免设备越过网络管辖范围的情况出现。

（2）充分认识到无线局域网安全性差的特点，经常性更换密匙，定期使用网络管理软件检测网络系统中的所有访问节点，增加黑客的入侵难度。

（3）完善相关的管理规定，提升网络安全制度管理的有效性。

3 结束语

总而言之，作为当今社会教师和学生获取和交流信息的主要平台，校园无线网对教育教学工作和学生学习任务的顺利完成具有十分重要的作用；并且，安全、高效的校园网还可以更好的提升学校信息化建设工作的水平。因此，学校领导者需要做好校园网的安全隐患防范和管理工作，并采用有效的措施对校园网在应用过程中存在的隐患问题进行及时的处理，以此来保证校园网的可靠性和安全性。

参考文献

[1]魏光杏，戴月.无线局域网安全隐患分析及对策[J].西安文理学院学报（自然科学版），2012：79-81.

[2]崔阳兵.浅析无线局域网在校园网络安全中的应用[J].网络安全技术与应用，2015：42-43.

[3]叶子铭.论校园无线网络安全存在的问题和对策[J].无线互联科技，2015：12-13.

[4]尧有平.校园无线网络安全威胁与安全策略研究[J].轻工科技，2013：97-98.

作者简介

申健（1975-），男，湖南省衡阳市人。现为湖南高速铁路职业技术学院科长、讲师。研究方向为数据库开发及信息化教学管理。

周倩芳（1978-），女，湖南省衡阳市人。现为南华大学计算机科学与技术学院讲师。研究方向为计算机应用及教育信息化。

作者单位

篇10

【关键词】Internet；VPN；VLAN

一、VPN简介

全球经济信息化的迅猛发展带动了用户对网络的需求，现代企业为了满足远离公司总部的用户、合作伙伴、分公司、公司分部门的通信、资料传输等的需求，为了确保资料的安全保密，最初选择专线，如DDN等，但这中接入方式过于昂贵，并且拓展性小，只限于特定的区域。而基于IP的互联网，最初指导思想也是尽力传输，毫无安全性可言，如何才能达到安全、可靠的目的？VPN技术的出现，解决了这个问题。

VPN(虚拟专用网络)是专用网络的延伸，它包含了类似Internet的共享或公共网络链接。通过VPN可以以模拟点对点专用链接的方式通过共享或公共网络在两台计算机之间发送数据。如果说得再通俗一点，VPN实际上是“线路中的线路”，类型于城市大道上的“公交专用线”，所不同的是，由VPN组成的“线路”并不是物理存在的，而是通过技术手段模拟出来，即是“虚拟”的（如图1）。

虚拟专用网络允许远程通讯方，企业分支机构使用Internet等公共互联网络的路由基础设施以安全的方式与位于企业局域网端的企业服务器建立连接。虚拟专用网络对用户端透明，用户好象使用一条专用线路在客户计算机和企业服务器之间建立点对点连接，进行数据的传输。

虚拟专用网络技术同样支持企业通过Internet等公共互联网络与分支机构或其它公司建立连接，进行安全的通讯。这种跨越Internet建立的VPN连接逻辑上等同于两地之间使用广域网建立的连接。

虽然VPN通讯建立在公共互联网络的基础上，但是用户在使用VPN时感觉如同在使用专用网络进行通讯，所以得名虚拟专用网络。这种虚拟的专用网络技术可以在一条公用线路中为两台计算机建立一个逻辑上的专用“通道”，它具有良好的保密和不受干扰性，使双方能进行自由而安全的点对点连接，VPN定义为“采用加密和认证技术，在公共网络上建立安全专用隧道的网络”。随着IP安全标准的问世和无所不在的IP网，VPN现在已经成为大多数企业可行的备选方案。

二、VPN特点

1.安全保障和高范围的网络覆盖

由于通过IP隧道、L2TP（二层隧道协议）、VLAN划分、MPLS（多协议标签交换）等技术，是VPN数据在特定的隧道传输，保证专用网络的安全，并且只要网络可以达到的地方，都可以实现VPN用户的接入。

2.服务质量保证（QoS）

VPN网应当为企业数据提供不同等级的服务质量保证。对于拥有众多分支机构的专线VPN网络，交互式的内部企业网应用则要求网络能提供良好的稳定性；对于其它应用（如视频等）则对网络提出了更明确的要求，如网络时延及误码率等。所有以上网络应用均要求网络根据需要提供不同等级的服务质量。在网络优化方面，构建VPN的另一重要需求是充分有效地利用有限的广域网资源，为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低，在流量高峰时引起网络阻塞，产生网络瓶颈，使实时性要求高的数据得不到及时发送；而在流量低谷时又造成大量的网络带宽空闲。QoS通过流量预测与流量控制策略，可以按照优先级分配带宽资源，实现带宽管理，使得各类数据能够被合理地先后发送，并预防阻塞的发生。

3.良好的扩充性和灵活性

VPN能够支持通过Intranet和Extranet的任何类型的数据流，可以方便地增加新的节点，支持多种类型的传输媒介，可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。

4.可管理性

从用户角度和运营商角度应可方便地进行管理、维护。在VPN管理方面，VPN要求企业将其网络管理功能从局域网无缝地延伸到公用网，甚至是客户和合作伙伴。虽然可以将一些次要的网络管理任务交给服务提供商去完成，企业自己仍需要完成许多网络管理任务。所以，一个完善的VPN管理系统是必不可少的。VPN管理的目标为：减小网络风险、具有高扩展性、经济性、高可靠性等优点。

5.低投入成本

用户无需其他额外的投入，只需要宽带网络使用费，主点有一个三层交换机即可实现VPN的接入。

三、VPN组网方式

目前我公司VPN业务是指企业及其分支机构都通过专线的方式连接到宽带城域网、互联网上，总部与分部之间通过IP隧道、L2TP、VLAN划分、MPLS等技术组成一个企业专用网(INTRANET)。

常见的VPN网络设计主要采用典型星型VPN拓扑，可允许按VPN部署的需求，配置用其一或整合两种网络拓扑或全网状拓扑提供主要站点之间的高性能。如：总部采用光纤方式互连，分公司采用ADSL方式互连；通过网通公司提供物理层线路，来实现全区分公司与总部远程通信。

采用星型网络拓扑结构和结构化布线，可以方便地通过交换机端口级联、堆叠等方式增加网络工作站，星型网络可靠、安全、灵活的、无间断运行的VPN网络。

四、具体案例

1.需求分析

磁县教育局把县内学校互联起来，实现浏览(选择收集教育信息)、文件传送(上传上级教育行政部门，下达基层教育单位)、电子邮件(交流教育教学信息)和局域网内部分单位的交互式多媒体教学功能，数据广播、网上电话和完善教育信息资料库建设，全域性双向交互式现代远程教育、视频会议等功能，达到资源共享，共同发展的目的。各学校直接连接教育局，并通过教育局总出口访问互联网，教育局可以对任何学校进行控制管理

2.组网方案

(1_组网说明

本方案组网方式为VLAN＋ADSL与隧道技术，中心设备采用S8016三层交换机，通过光纤连接IPDSLAM设备MA5300。MA5300通过ADSL线路与各学校相连，教育局交换机通过10M电路连接S8016。

(2)网络拓扑(见图3)

(3)VLAN＋隧道技术

利用VLAN与隧道技术实现“校校通”，该技术是将连接教育局的S8016端口与不同学校接入端口划分在不同VLAN内，每一个VLAN的上连接口为隧道接口，隧道建立在每一个MA5300与教育局交换机之间。通过VLAN与隧道技术实现“校校通”，在同一个VLAN内的学校用户通过本地网络设备直接进行交换，一个VLAN用户如果需要访问另一个VLAN中的资源或用户，必须通过一个上连隧道接口跨宽带网络进入教育局交换机，经过路由交换进入另一个VLAN。教育局交换机和S8016间划分多个VLAN，其中一个用于上联互联网。

篇11

【关键词】客运专线；CTC网络安全防御系统；功能研究

1引言

CTC又名分散自律调度系统，该系统的功能主要是确保列车安全正常地行驶，调度生产业务系统。这一系统具有2大特点，即独立成网及封闭运行，并且其主要组件并不强大[1]。客运专线的行车安全主要在于系统的保密性、完整性、可用性3点，按照我国等级保护防御区划分原则和信息系统的功能、安全性能等标准，客运专线CTC系统必须具备防火墙、入侵检测、动态口令、安全漏洞、SAV网络病毒防护5个安全系统。

2防火墙及入侵检测系统

CTC的安全防御系统中，防火墙和入侵检测系统属于基本安全设施，这对于构建安全密实的网络系统十分必要。防火墙的功能是过滤数据包，对链接状态进行检查，并检查入侵的行为和会话。防火墙按照用户定义对一些数据实行允许进入或阻拦，以确保内部网络设备及系统不会遭受非法攻击，从而影响访问。此外，可以实现每个通过防火墙的链接都可以快速地建立对应的状态表。如果链接异常，会话遭到威胁或攻击后，防火墙可以很快地阻断非法链接。通过入侵行为的特点，入侵系统可以及时地对每一个数据包进行认真检查，如果数据包对系统存在攻击性，入侵检测系统必须及时断开这一链接，并且由管理人员定义的处理系统会尽快获取幕后攻击者的详细信息，同时，为要得到处理的事件提供对应数据。CTC网络的结构性质为双通道冗余结构，CTC中心和沿线的各个车站数量庞大，并且有着海量的数据流量，业务连接安全性要求很高，CTC中心和沿线车站的各个接口都安置了4台中心防火墙，每网段安置2台；CTC中心和其他系统接口各安置2台防火墙，采用透明模式进行接入。客运专线CTC系统防火墙详见图1。

3安全漏洞评估

安全漏洞的评估系统是一个漏洞及风险评估的有效工具，主要用来对网络的安全漏洞进行发现、报告以及挖掘，主要作用是对目标网络设备安全漏洞实行检测，并提出具体检测报告以及安全可行的漏洞解决方案，使系统管理员可以提前修补可能引发黑客进入的多个网络安全漏洞，避免黑客入侵带来损失。客运专线CTC系统中心完整地部署了一整套安全漏洞评估系统，基于全面以及多角度的网络关键服务器漏洞分析的评估基础，确保CTC以及TDCS等系统安全运行。还能对黑客的进攻方式进行模拟，并提交相应的风险评估报告，提出对应的整改措施。预防性的安全检查暴露了目前网络系统存在的安全隐患，对此必须实行相应的整改，最大程度地降低网络的运行风险。漏洞评估组需要在网络安全集中管理平台下实现统一监测，并且汇总漏洞威胁时间，结合实际情况及设施制定相应的安全策略。当前存在的安全漏洞扫描一定要从技术底层实现有效划分，分别对主机及网络漏洞进行扫描。主机漏洞评估EVP，针对文件权限、属性、登录设置的值和使用者账号等使用主机型漏洞评估扫描器进行评估。网络型漏洞扫描器NSS，在网络漏洞基础上的评估扫描器采用黑客入侵观点，自动对网上系统和服务实行扫描，对一般性的入侵和具体入侵场景实行真实模拟，最重要的是测试网络基础设施的安全漏洞，会提供相应的修补漏洞意见，扫描图形视图的完整显示过程，扫描相应漏洞而且对漏洞的出现原因进行查找，提供具有实际执行可行性的管理报告，针对多个系统实施扫描。

4反病毒网络系统

根据病毒具有的特征以及多层保护需求，客运专线CTC系统必须要统一、集中监控、多面防护，正对整体以及全面反病毒系统实现积极有效的安排，并融合各层面，覆盖CTC中心、下属车站等。并且还要在客运专线的中心部署2台SAV反病毒服务器，二者相互辅助。对服务器设备和车站终端等实施统一的SAV客户端，并且对网络内存的所有病毒实行统管理、分析，监控、查杀[2]。以整体反病毒解决方案为依据，网络反病毒系统的部署具体要从下面几项开展，多操作系统的服务器、反病毒软件、集中监管的多个系统。

5动态口令

身份认证属于安全防御线的第一道保护。我国的CTC安全建设在最初的使用中运用的是静态密码认证，每一系统和设备都具备自身的专属密码，管理很不方便。大量的管理和维护导致操作人员难以实现方便快捷的使用，因此，出于使用便利，会将设备密码设置为统一密码，系统内各种网络设备和服务器的密码基本上人人都知道；另外，静态口令极易被人猜出、截获、破解，黑客可以通过对密码的猜测或使用成熟破译软件破解用户口令，导致CTC面临极大的隐患。在CTC系统网络中，对CTC系统中心设置相应的动态口令，随后客户端认证请求会自动地分配到认证服务器，该模式充分降低了服务器的工作负荷，提升了系统性能。身份证的依据和访问控制组能通过网络安全集中管理平台发挥监测、报警等功能。安全策略的集中配备，对安全事件进行统一响应，并且充分实现分层、统一用户管理、访问认证授权AAA等策略。动态口令身份认证在AAA认证中的功能为双因素认证，有效解决了静态口令存在的多种问题，提升了系统的安全性。客运专线CTC系统运用动态口令后，实现了对整个网络、运用和主机等的统一覆盖，实现了安全的身份认证控制访问组件，统一身份认证和授权统一，同时还提供了集中身份认证等，通过授权严格对多个访问资源权限实施限制。

6结语

目前，客运专线CTC中心网络运用安全，正处于建立知识信息安全系统和确保信息化的重要阶段，在这一进程的后期阶段还要满足国家等级保护政策需求，对纵深防护体系进行深入研究，确保铁路运输生产业务顺利开展，充分实现铁路信息化运行，将铁路运行的安全性实现提升。

【参考文献】

【1】戴启元.客运专线CTC系统网络安全设计[J].铁道通信信号,2010,46(4):66-68.

篇12

关键词网络安全;无线VPDN技术;3G

中图分类号TN92 文献标识码A 文章编号1673-9671-(2010)041-0015-01

随着3G信息化时代的到来,以3G网络技术为代表的信息技术已经成为社会发展的重要推动力。3G无线网络技术以其通信多任务、实时化、个性化、多媒体化等优势,正在日益深入人们的生活。

1我国3G网络的基本情况和特点

我国3G网络建设起步时间较晚,但是发展速度十分迅速,2008年5月24日,工业和信息化部、国家发改委、财政部联合《关于深化电信体制改革的通告》,鼓励中国电信收购中国联通CDMA网(包括资产和用户),中国联通与中国网通合并,中国卫通的基础电信业务并入中国电信,中国铁通并入中国移动,国内电信运营商由6家变为3家。2009年1月7日电工业和信息化部7日宣布,批准中国移动通信集团公司增加基于TD-SCDMA技术制式的第三代移动通信(3G)业务经营许可,中国电信集团公司增加基于CDMA2000技术制式的3G业务经营许可,中国联合网络通信集团公司增加基于WCDMA技术制式的3G业务经营许可。

2无线VPDN技术的基本情况及其优势

2.1VPDN技术基本情况

1)VPDN-Virtual Private Dial-up Networks(虚拟专有拨号网络)。2)VPDN是一种在Internet公网上通过加密的隧道进行通信的虚拟专网技术。3)VPDN用户通过拨号的方式结合严格的认证系统和授权机制访问本企业/封闭站点的虚拟专用网络,以实现企业与各分支机构间、分支机构与分支机构间、企业与合作伙伴间的多种网络通信。即作为VPDN的最终用户,只需与平时拨号上网一样,通过拨本地号就能方便、经济、安全的接至本企业的专用网络,达到在办公室里办公同样的效果。

2.2基于3G网络无线VPDN技术的独特优势

1)组网灵活,在3G网络覆盖范围内均可提供对无线VPDN业务的接入。2)安全可靠,以隧道技术在两端建立隧道(Tunnel),通过虚拟专用的隧道来传输数据,确保用户通信数据的安全。3)操作简便,用户端同普通拨号上网一样,输入无线VPDN帐号就能接入私有专用网络。4)节省成本,通过无线拨号即可随时随地访问企业的内部网,减少用户建设专线投资。

2.3无线VPDN网络结构及认证方式

2.3.1无线VPDN的核心技术

1)隧道技术:隧道协议种类:PPTP、L2F、L2TP,目前使用最广泛的是L2TP;隧道技术相对简单、有效和易于管理;最大优点是既可以在ISP的节点完成,也可以在用户处完成,或者可以两者合作完成设置。2)安全技术:一般可以采用下列技术保证VPDN的安全:口令保护、用户认证技术、一次性口令技术、用户权限设置、在传输中采用加密技术、采用防火墙把用户网络中的对外服务器和对内服务器隔离开。

2.3.2后台Radius基本认证功能

一次认证:对域名进行认证,返回隧道属性。相当于一层Radius的功能。

二次认证:对帐号、密码进行认证,根据帐号向LNS返回固定IP。相当于二层Radius的功能。

一、二次认证合一:对域名、帐号、密码在一次认证过程中同时完成。相当于同时完成一、二层Radius的功能。

无线VPDN正是利用一、二次认证合一的方式进行认证,大大提高了网络的安全性。

3利用无线VPDN搭建客户网络

3.1基本功能

企业用户申请并开通无线VPDN业务后。随时随地安全连接到企业内网,为客户构建基于3G高速分组数据网络的虚拟专用拨号网络,提供安全的无线接入及应用一体化解决方案。

3.2实现方案

移动终端使用无线VPDN用户名和密码拨号,接入AAA,根据终端IMSI将用户信息发送到归属地AAA,归属地接入AAA对IMSI和域名进行绑定认证后,在PDSN和LNS设备间建立L2TP隧道连接,再经共享AAA或者用户自建AAA认证后,由LNS为终端分配客户网络地址,实现终端客户与企业网络间的数据通信。

可以通过无线上网卡+电脑;

3G手机+数据线+电脑;

或者内置3G模块的定制终端。

3.3技术原理示意图

图1网络图

3.4安全保护

3G无线宽带接入AAA认证;

3G网络和客户网络之间的L2TP隧道;

客户网络侧的安全防火墙;

LNS的AAA鉴权认证。

3.5适用行业

无线VPDN业务适用范围广泛,只要企业有自己的内部信息数据库,或者企业有分支点之间的信息传递需求,无线VPDN业务都可为用户提供随时随地的安全信息访问及传递。可适用的领域包括:

1)企业公司:销售人员在外进行商务活动时能够随时随地共享公司后台系统的数据,实现信息高效安全的动态传递。2)国家机关:为公安、军事、劳动与社会保障、医疗卫生、交通、政府职能部门等提供公文的状态信息跟踪功能,并能快速调度相关资料。3)新闻机构:满足新闻工作者在移动过程中处理文字和进行信息沟通的实际需求。4)电力部门:实现电力系统信息化,解决信息采集、功控、调度等电力应用上产生无线数据传输的巨大需求。5)金融银行机构:提供高安全性和快速数据信息的采集和交互;移动性强,不受分支机构网点的位置制约。

4总结

本文对基于3G网络的VPDN搭建进行了探讨,企业用户可以在基于3G无线网络内构建一个属于自己、实现全国范围接入的虚拟专用网络,增进工作效率与员工生产力,从而提高企业整体的竞争力。企业随时可以根据规模提出终端增减计划,满足企业个性化及多样化接入需求。

参考文献

[1]彭根,王文博.无线资源管理与3G网络规划优化人民邮电出版社,2008,5:105-208.

[2]汪小帆.复杂网络理论及其应用清华大学出版社,2006,4:86-176.

[3]海吉.网络安全技术与解决方案.人民邮电出版社,2009,3:31-108.

[4]马里克.网络安全原理与实践人民邮电出版社,2008,8:79-113.

篇13

关键词：虚拟专用网络（VPN） 发展 1. 概述 虚拟专用网络即VPN（Virtual Private Network）。顾名思义，虚拟专用网不是真的专用网络，但却能够实现专用网络的功能。虚拟专用网指的是依靠ISP（Internet服务提供商）和其它NSP（网络服务提供商），在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。IETF草案理解基于IP的VPN为："使用IP机制仿真出一个私有的广域网"是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟，是指用户不再需要拥有实际的长途数据线路，而是使用Internet公众数据网络的长途数据线路。所谓专用网络，是指用户可以为自己制定一个最符合自己需求的网络。

2. VPN在企业中的主要应用2.1通过专线连接实现广域网的企业，由于增加业务，带宽已不能满足业务的需要，需要经济可靠的升级方案；大中型企业、集团公司：建立全公司的的远程互联，构建内部专用网络，实现安全的intranet； 2.2企业的内部用户和分机构分布范围广、距离远，需要扩展企业网，实现远程访问和局域网互联，最典型的是跨国企业、跨地区企业； 2.3分支机构、远程用户、合作伙伴多的企业，需要组建企业专用网；四是关键业务多，对通信线路保密和可性要求高的用户，如银行、证券公司、保险公司等；五是已有各种远程专线连接，需要增加网络连接备份的单位。 3. VPN带给企业的好处3.1 VPN可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司有内部网建立可信的安全连接，并保证数据的安全传输。通过将数据流转移到低成本的网络上，一个企业的VPN解决方案将大幅度地减少用户花费在城域网和远程网络连接上的费用。统计结果显示，企业选用VPN替代传统的拨号网络，可以节省20%―40%的费用；替代网络互联，可减少60%―80%的费用。 3.2 VPN能大大降低网络复杂度，简化网络的设计和管理，在充分保护现有的网络投资的同时，加速连接新的用户和网站，增强内部网络的互联性和扩展性。 3.3 VPN还可以实现网络安全，可以通过用户验证、加密和隧道技术等保证通过公用网络传输私有数据的安全性。随着用户的商业服务不断发展，企业的虚拟专用网解决方案可以使用户将精力集中到自己的生意上，而不是网络上。 3.4 VPN能增加与用户、商业伙伴和供应商的联系，它可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全的虚拟专用线路，用于经济有效地连接到商业伙伴的用户的安全外联网VPN。 4. VPN的实现技术 4.1隧道技术 VPN区别于一般网络互联的关键是隧道的建立，然后数据包经过加密，按隧道协议进行封装、传送以保证安全性。 现有两种类型的隧道协议，一种是二层隧道协议，用于传输第二层网络协议，它主要应用于构建远程访问VPN；另一种是三层隧道协议，用于传输第三层网络协议，它主要应用于构建 Intranet VPN和 Extranet VPN。 4.2加密技术 数据加密的基本思想是通过变换信息的表示形式来伪装需要保护的敏感信息，使非授权者不能了解被保护信息的内容。加密算法有用于Windows95的RC4、用于IPSec的DES和三次DES。RC4虽然强度比较弱，但是保护免于非专业人士的攻击已经足够了；DES和三次DES强度比较高，可用于保护敏感的商业信息。 加密技术可以在协议栈的任意层进行，可以对数据或报文头进行加密。在网络层中的加密标准是IPSec。网络层加密实现的最安全方法是在主机的端到端进行。另一个选择是“隧道模式”：加密只在路由器中进行，而终端与第一跳路由之间不加密。这种方法不太安全，因为数据从终端系统到第一条路由时可能被截取而危及数据安全。终端到终端的加密方案中，VPN安全粒度达到个人终端系统的标准；而“隧道模式”方案，VPN安全粒度只达到子网标准。在链路层中，目前还没有统一的加密标准，因此，所有链路层加密方案基本上是生产厂家自己设计的，需要特别的加密硬件。 4.3 QoS技术 通过隧道技术和加密技术，已经能够建立起一个具有安全性、互操作性的VPN。但是该VPN性能上不稳定，管理上不能满足企业的要求，这就要加入QoS技术。实行QoS应该在主机网络中，即VPN所建立的隧道这一段，这样才能建立一条性能符合用户要求的隧道。 QoS机制具有通信处理机制以及供应和配置机制。网络资源是有限的，有时用户要求的网络资源得不到满足，管理员基于一定的策略进行QoS机制配置，通过QoS机制对用户的网络资源分配进行控制以满足应用的需求，这些QoS机制相互作用使网络资源得到最大化利用，同时又向用户提供了一个性能良好的网络服务。

5. VPN的主要作用

5.1远程访问

为克服传统远程访问的问题，推出了基于VPN的远程访问解决方案。如图1所示，这种方案充分利用了公共基础设施和ISP，远程用户通过ISP接入Internet，再穿过Internet连接与Internet相连的企业VPN服务器，来访问位于VPN服务器后面的内部网络。一旦接入VPN服务器，就在远程用户与VPN服务器之间建立一条穿越Internet的专用隧道连接。这样，远程客户到当地ISP的连接和VPN服务器到当地ISP的连接都是本地网内通信，虽然Internet不够安全，但是由于采用加密技术，远程客户到VPN服务器之间的连接是安全的。 5.2远程网络互联

基于VPN的网络互联已成为一种热门的新型WAN技术，它利用专用隧道取代长途线路来降低成本，提高效率。两端的内部网络通过VPN服务器接入本地网内的ISP，通过Internet建立虚拟的专用连接，如图2所示。特别是宽带网业务的发展，为基于VPN的远程网络提供了廉价、高速的解决方案。这种互联网络拥有与本地互联局域网相同的管理性和可靠性。 5.3网络内部安全

与Internet上的应用类似，内部网VPN也有两种应用模式，一种是基于VPN的“远程访问”，另一种是基于VPN的“网络互联”，如图3所示。此外，VPN也被用于两个主机之间的安全连接，如服务器之间的连接。

篇14

关键词：网络设备；SSID；AP；无线网络控制器；VLAN

一无线网络技术简介

无线网络的飞速发展给人们的工作和生活带来了极大的便利。（一）灵活以及廉价。（二）没线缆约束。

二无线网络安全隐患分析

非授权的用户若获得了无线网络的访问权限，将会破坏系统数据，消耗网络带宽，降低网络的性能。

三无线网络安全措施分析

（一）转向企业级加密用户们使用PSK模式进行登录，对每一个用户和会话都是唯一的。（二）确保物理上的安全性一定要保证你的接入点AP远离公众可以接触的地方，最起码应该将其挂到墙上或天花板上。（三）装入侵检测和入侵防御系统这两种系统通常靠一个软件来工作，并且使用户的无线网卡来嗅探无线信号并查找问题。（四）构建无线使用策略正如需要其它网络设备的使用指南一样，你也应当有一套针对无线访问的使用策略。

四东莞市某职业院校无线网络安全技术应用方案

学校对无线网络的需求特征分析上，安全因素被放在了首位。（一）校园无线网络安全问题的提出在当今使用中，大多数校园的无线局域网主要是依靠WEP方式对数据进行加密。其次，如果AP不做任何安全设定，则任何一个符合Wi-Fi的网卡都可以接入网络。另外，黑客还可能会使用MAC欺骗技术入侵网络。下面根据东莞市某职业院校无线网络应用的需求和要达到的目标，整体规划设计出一套适用于东莞市某职业院校的无线安全应用方案。（二）东莞市某职业院校无线网络安全技术应用方案概述该解决方案采用了WPA安全架构的设计，还应用了基于英特尔架构的无线网络控制器和支持多SSID的AP。（三）东莞市某职业院校无线网络安全技术应用方案实施下面以东莞市某职业院校的校园无线网项目为例，详细地阐述应用方案。（1）无线网络呈现的问题分析与应用解决方案由于存在不同地点的校区，学校的教职员工不得不在不同的校区来回，同时教学场所也经常在各校区之间变换，这让校园网络出现了难题：①如何让校园网络覆盖两个不同位置的校区？②如何提供无缝的网络连接？③如何保证网络安全通畅？④如何提高教学和学习效率？针对学校面临的以上难题，对无线网络应用方案确定如下：⑤无线网络信号覆盖两个不同的校区。⑥提供无缝的网络漫游。⑦保障无线网络安全性。⑧提供不同的接入认证方式。（2）无线网络技术应用方案的确定为了构建一个统一的、易接入的、稳定安全的校园无线网络环境，现决定采用以下解决方案：①全面采用笔记本电脑作为无线终端。②采用符合802.11标准的产品，架构采用WPA标准。③采用具有多SSID和VLAN特性的AP进行基础覆盖。④采用无线网络接入控制器。⑤采用无线网络管理系统。（3）无线网络安全技术应用的实施该方案使得整个校园无线网络具有高度可扩展性和可升级性，提出了校园无线网络的整体应用方案。如图4.1所示：在无线网络方案中，各无线覆盖区域的AP就近接到接入层交换机上。因为存在校内教师、学生和校外来访用户等不同的无线用户群，出于不同用户群对安全性、易用性要求不同的考虑，采取802.1x和WEB认证相结合的方式来提供用户身份认证。为了区分这两种接入方式并将其分别关联到一个对应的VLAN，采用了支持多SSID（Multi-SSID）和802.1qVLAN特性的CiscoAironet1200系列AP。①对于在校内的学生和教师用户，将采用符合WPA安全架构的802.1x标准认证的接入方式，通过的用户将获得一个唯一的主密钥，通过该主密钥客户端和负责接入的AP将根据TKIP方法动态生成唯一的加密密钥。在校园有线网L3分布层交换机上配置VLAN的子接口，利用该子接口作为这个SSID所代表的VLAN的网关，对其进行路由转发,从而使通过认证的内部用户访问整个网络，但是由于对无线通信进行了动态加密，保证了校园的敏感数据在空中传输的安全。②对于用WEB方式认证的校外来访用户，连接上无线接入点后，可以通过AC设备的DHCP服务或企业的专用DHCP服务器获得IP地址、网关和DNS信息，无须安装客户端软件，直接利用浏览器就可以通过充当RNC设备进行WEB方式认证，认证通过后就可以接入到Internet。为保证整个园区网络的安全性，对于该SSID接入的用户必须以无线网络控制器（RNC）作为其网关设备，L3分布层交换机无须对该SSID所代表的VLAN进行路由转发。如果这些用户需要访问校园内部网络，可以通过在这一无线网络控制器（RNC）设备上启用用户级的策略路由来实现。（四）校园无线网络安全技术应用方案总结（1）安全性高这套无线局域网系统支持符合WPA安全架构的802.1x认证方式，借助TKIP技术动态生成的数据加密密钥使空中无线数据通信如同在一条加密隧道中传输，保证了信息传输的高安全性。（2）支持多SSID和VLAN划分CiscoAironet1200系列AP支持多SSID,每个都可以映射到有线网络的一个VLAN,将符合802.1q标准的VLAN延伸到无线网络上。（3）利用策略路由进行访问控制在方案中，将校园无线用户分成两类，一是教师用户，一是学生用户。为了让学生能通过网络与其它院校的师生进行交流，但同时又不想Internet上的垃圾信息和不良网站干扰学生的生活，那么可以设置学生用户的下一跳路由到CERNET，而教师用户的下一跳则是路由到Internet出口，从而实现了不同无线用户群体的访问需求。（4）流量控制保证用户带宽通过RNC的流量控制功能将不同用户的带宽按不同需要进行管理，保证某些重要用户的带宽畅通，有效防止了带宽过量占用的拒绝服务攻击。（5）AP管理和用户管理通过RNC的AP管理功能，可以把其所连的AP作为一个网络单元进行管理，结合网管系统还可以将RNC作为SNMP（简单网络管理协议），对这些AP进行管理。无线网络管理员可以通过“Web3.教学管理制度与考核制度教学管理工作由院校双方共同承担，遵照共同制定的人才培养方案和教学计划开展教学，学徒制工作小组定期巡视现场教学，了解教学基本情况，收集意见和建议。考核制度上实行理论课程考核、专业核心课程考核和毕业考核。理论课程的教学主要在学校完成，由学校组织笔试+实践考核；专业核心课程主要在合作医院完成，由现代学徒制工作小组组织临床实践+技能考核；毕业考核采用综合专业理论笔试+专业核心能力鉴定+病案报告考核，由现代学徒制工作小组组织实施。学生只有通过以上考核才能获取康复治疗技术专业专科毕业证。4.现代学徒制实施存在的问题现代学徒制教育是高职院校发展的基本趋势，是推动我国职业教育发展的有力武器，但目前我国现代学徒制成功应用到卫生职业教育的模式还很少，离医教结合、工学交替模式还有很大的差距，主要表现在以下几个问题：（1）法律体制不健全。合理、完善、有效的职业教育法律法规是保障学徒制推行的基本前提，卫计委和教育行政部门应当充分发挥宏观调控和管理功能，修订和完善相关法律法规，在政策、经费上给予充足的保障，充分调动医院、卫生行业的积极性，使医院在人才培养意识上具有社会责任感和使命感。（2）行业学会支持力度不够。行业协会应对职业教育充分发挥其引导和管理作用，一方面积极鼓励医院参与到职业教育中来，在科研、继续教育、职称晋升等方面给予医院兼职教师相关优惠政策。另一方面在人才培养规格上引导学校和医院结合康复治疗师的岗位需求与国际标准接轨，不断更新修订康复治疗技术专业标准、教学内容和执业资格考试标准。（3）双导师师资力量薄弱。学校导师应定期到医院临床实践予以相关的考核和激励机制，提高学校导师实践教学能力；医院导师应有计划的进行职业教育教学理念的学习、教学方法执教能力的培训，使其具备先进的职业教育教学理念和教育教学方法。现代学徒制能让康复治疗技术专业实现符合现代职业教育理念的产教融合，是目前所提倡的工学结合教学模式的载体和有效实现形式，更是当前发达国家职业教育的主导模式。高等院校和相关医院深度合作、双导师联合传授技能，符合行业发展规律，有利于加速卫生事业的发展、服务当地区域经济转型升级。

参考文献

[1]赵蕾.现代学徒制对高职高专院校人才培养模式的影响及应用研究[J].职业教育，2015(9):37.

[2]关晶，石伟平.西方现代学徒制的特征及启示[J].职业技术教育，2011(31)32:77-79.