無線網絡安全論文范文

前言：我們精心挑選了數篇優質無線網絡安全論文文章，供您閱讀參考。期待這些文章能為您帶來啟發，助您在寫作的道路上更上一層樓。

第1篇

【關鍵詞】無線網絡安全性研究電磁波

從上個世紀90年代以來，移動通信和Internet是信息產業發展最快的兩個領域，它們直接影響了億萬人的生活，移動通信使人們可以任何時間、任何地點和任何人進行通信，Internet使人們可以獲得豐富多彩的信息。那么如何把移動通信和Internet結合起來，達到可以任何人、任何地方都能聯網呢?無線網絡解決了這個問題。無線網絡和個人通信網(PCN)代表了21世紀通信網絡技術的發展方向。PCN主要用于支持速率小于56bit/s的語音/數據通信，而無線網絡主要用于傳輸速率大于1Mbit/s的局域網和室內數據通信，同時為未來多媒體應用(語音、數據和圖像)提供了一種潛在的手段。計算機無線聯網方式是有線聯網方式的一種補充，它是在有線網的基礎上發展起來的，使聯網的計算機可以自由移動，能快速、方便的解決以有線方式不易實現的信道聯接問題。然而，由于無線網絡采用空間傳播的電磁波作為信息的載體，因此與有線網絡不同，輔以專業設備，任何人都有條件竊聽或干擾信息，因此在無線網絡中，網絡安全是至關重要的。

目前常用的計算機無線通信手段有無線電波(短波或超短波、微波)和光波(紅外線、激光)。這些無線通訊媒介各有特點和適用性。

紅外線和激光：易受天氣影響，也不具有穿透力，難以實際應用。

短波或超短波：類似電臺或是電視臺廣播，采用調幅、調頻或調相的載波，通信距離可到數十公里，早已用于計算機通信，但速率慢，保密性差，沒有通信的單一性。而且是窄寬通信，既干擾別人也易受其他電臺或電氣設備的干擾，可靠性差。并且頻道擁擠、頻段需專門申請。這使之不具備無線聯網的基本要求。

微波：以微波收、發機作為計算機網的通信信道，因其頻率很高，故可以實現高的數據傳輸速率。受天氣影響很小。雖然在這樣高的頻率下工作，要求通信的兩點彼此可視，但其一定的穿透能力和可以控制的波角對通信是極有幫助的。

綜合比較前述各種無線通信媒介，可看到有發展潛力的是采用微波通信。它具有傳輸數據率高(可達11Mbit/s)，發射功率小(只有100～250mw)保密性好，抗干擾能力很強，不會與其他無線電設備或用戶互相發生干擾的特點。

擴展頻譜技術在50年前第一次被軍方公開介紹，它用來進行保密傳輸。從一開始它就設計成抗噪聲，干擾、阻塞和未授權檢測。擴展頻儲發送器用一個非常弱的功率信號在一個很寬的頻率范圍內發射出去，與窄帶射頻相反，它將所有的能量集中到一個單一的頻點。擴展頻譜的實現方式有多種，最常用的兩種是直接序列和跳頻序列。

無線網技術的安全性有以下4級定義：第一級，擴頻、跳頻無線傳輸技術本身使盜聽者難以捉到有用的數據。第二級，采取網絡隔離及網絡認證措施。第三級，設置嚴密的用戶口令及認證措施，防止非法用戶入侵。第四級，設置附加的第三方數據加密方案，即使信號被盜聽也難以理解其中的內容。

無線網的站點上應使用口令控制，如NovellNetWare和MicrosoftNT等網絡操作系統和服務器提供了包括口令管理在內的內建多級安全服務。口令應處于嚴格的控制之下并經常變更。假如用戶的數據要求更高的安全性，要采用最高級別的網絡整體加密技術，數據包中的數據發送到局域網之前要用軟件加密或硬件的方法加密，只有那些擁有正確密鑰的站點才可以恢復，讀取這些數據。無線局域網還有些其他好的安全性。首先無線接入點會過濾掉那些對相關無線站點而言毫無用處的網絡數據，這就意味著大部分有線網絡數據根本不會以電波的形式發射出去；其次，無線網的節點和接入點有個與環境有關的轉發范圍限制，這個范圍一般是很小。這使得竊聽者必須處于節點或接入點附近。最后，無線用戶具有流動性，可能在一次上網時間內由一個接入點移動至另一個接入點，與之對應，進行網絡通信所使用的跳頻序列也會發生變化，這使得竊聽幾乎無可能。無論是否有無線網段，大多數的局域網都必須要有一定級別的安全措施。在內部好奇心、外部入侵和電線竊聽面前，甚至有線網都顯得很脆弱。沒有人愿意冒險將局域網上的數據暴露于不速之客和惡意入侵之前。而且，如果用戶的數據相當機密，比如是銀行網和軍用網上的數據，那么，為了確保機密，必須采取特殊措施。

常見的無線網絡安全加密措施可以采用為以下幾種。

一、服務區標示符(SSID)

無線工作站必需出示正確的SSD才能訪問AP，因此可以認為SSID是一個簡單的口令，從而提供一定的安全。如果配置AP向外廣播其SSID，那么安全程序將下降；由于一般情況下，用戶自己配置客戶端系統，所以很多人都知道該SSID，很容易共享給非法用戶。目前有的廠家支持“任何”SSID方式，只要無線工作站在任何AP范圍內，客戶端都會自動連接到AP，這將跳過SSID安全功能。

二、物理地址(MAC)過濾

每個無線工作站網卡都由唯一的物理地址標示，因此可以在AP中手工維護一組允許訪問的MAC地址列表，實現物理地址過濾。物理地址過濾屬于硬件認證，而不是用戶認證。這種方式要求AP中的MAC地址列表必須隨時更新，目前都是手工操作；如果用戶增加，則擴展能力很差，因此只適合于小型網絡規模。

三、連線對等保密(WEP)

在鏈路層采用RC4對稱加密技術，鑰匙長40位，從而防止非授權用戶的監聽以及非法用戶的訪問。用戶的加密鑰匙必需與AP的鑰匙相同，并且一個服務區內的所有用戶都共享一把鑰匙。WEP雖然通過加密提供網絡的安全性，但也存在許多缺陷：一個用戶丟失鑰匙將使整個網絡不安全；40位鑰匙在今天很容易破解；鑰匙是靜態的，并且要手工維護，擴展能力差。為了提供更高的安全性，802.11提供了WEP2，，該技術與WEP類似。WEP2采用128位加密鑰匙，從而提供更高的安全。

四、虛擬專用網絡(VPN)

虛擬專用網絡是指在一個公共IP網絡平臺上通過隧道以及加密技術保證專用數據的網絡安全性，目前許多企業以及運營商已經采用VPN技術。VPN可以替代連線對等保密解決方案以及物理地址過濾解決方案。采用VPN技術的另外一個好處是可以提供基于Radius的用戶認證以及計費。VPN技術不屬于802.11標準定義，因此它是一種增強性網絡解決方案。

五、端口訪問控制技術(802.1x)

該技術也是用于無線網絡的一種增強性網絡安全解決方案。當無線工作站STA與無線訪問點AP關聯后，是否可以使用AP的服務要取決于802.1x的認證結果。如果認證通過，則AP為STA打開這個邏輯端口，否則不允許用戶上網802.1x。

第2篇

關鍵詞：無線網絡；安全威脅；安全技術；安全措施

無線網絡的應用擴展了網絡用戶的自由，然而，這種自由同時也帶來了安全性問題。無線網絡存在哪些安全威脅?采取什么安全對策?我們對上述問題作一簡要論述。

1無線網絡存在的安全威脅

無線網絡一般受到的攻擊可分為兩類：一類是關于網絡訪問控制、數據機密性保護和數據完整性保護而進行的攻擊；另一類是基于無線通信網絡設計、部署和維護的獨特方式而進行的攻擊。對于第一類攻擊在有線網絡的環境下也會發生。可見，無線網絡的安全性是在傳統有線網絡的基礎上增加了新的安全性威脅。

1.1有線等價保密機制的弱點

IEEE(InstituteofElectricalandElectronicsEngineers，電氣與電子工程師學會)制定的802.11標準中，引入WEP(WiredEquivalentPrivacy，有線保密)機制，目的是提供與有線網絡中功能等效的安全措施，防止出現無線網絡用戶偶然竊聽的情況出現。然而，WEP最終還是被發現了存在許多的弱點。

(1)加密算法過于簡單。WEP中的IV(InitializationVector，初始化向量)由于位數太短和初始化復位設計，常常出現重復使用現象，易于被他人破解密鑰。而對用于進行流加密的RC4算法，在其頭256個字節數據中的密鑰存在弱點，容易被黑客攻破。此外，用于對明文進行完整性校驗的CRC(CyclicRedundancyCheck，循環冗余校驗)只能確保數據正確傳輸，并不能保證其是否被修改，因而也不是安全的校驗碼。

(2)密鑰管理復雜。802.11標準指出，WEP使用的密鑰需要接受一個外部密鑰管理系統的控制。網絡的部署者可以通過外部管理系統控制方式減少IV的沖突數量，使無線網絡難以被攻破。但由于這種方式的過程非常復雜，且需要手工進行操作，所以很多網絡的部署者為了方便，使用缺省的WEP密鑰，從而使黑客對破解密鑰的難度大大減少。

(3)用戶安全意識不強。許多用戶安全意識淡薄，沒有改變缺省的配置選項，而缺省的加密設置都是比較簡單或脆弱的，經不起黑客的攻擊。

1.2進行搜索攻擊

進行搜索也是攻擊無線網絡的一種方法，現在有很多針對無線網絡識別與攻擊的技術和軟件。NetStumbler軟件是第一個被廣泛用來發現無線網絡的軟件。很多無線網絡是不使用加密功能的，或即使加密功能是處于活動狀態，如果沒有關閉AP(wirelessAccessPoint，無線基站)廣播信息功能，AP廣播信息中仍然包括許多可以用來推斷出WEP密鑰的明文信息，如網絡名稱、SSID(SecureSetIdentifier，安全集標識符)等可給黑客提供入侵的條件。

1.3信息泄露威脅

泄露威脅包括竊聽、截取和監聽。竊聽是指偷聽流經網絡的計算機通信的電子形式，它是以被動和無法覺察的方式入侵檢測設備的。即使網絡不對外廣播網絡信息，只要能夠發現任何明文信息，攻擊者仍然可以使用一些網絡工具，如AiroPeek和TCPDump來監聽和分析通信量，從而識別出可以破解的信息。

1.4無線網絡身份驗證欺騙

欺騙這種攻擊手段是通過騙過網絡設備，使得它們錯誤地認為來自它們的連接是網絡中一個合法的和經過同意的機器發出的。達到欺騙的目的，最簡單的方法是重新定義無線網絡或網卡的MAC地址。

由于TCP/IP(TransmissionControlProtocol/InternetProtocol，傳輸控制協議/網際協議)的設計原因，幾乎無法防止MAC/IP地址欺騙。只有通過靜態定義MAC地址表才能防止這種類型的攻擊。但是，因為巨大的管理負擔，這種方案很少被采用。只有通過智能事件記錄和監控日志才可以對付已經出現過的欺騙。當試圖連接到網絡上的時候，簡單地通過讓另外一個節點重新向AP提交身份驗證請求就可以很容易地欺騙無線網身份驗證。

1.5網絡接管與篡改

同樣因為TCP/IP設計的原因，某些欺騙技術可供攻擊者接管為無線網上其他資源建立的網絡連接。如果攻擊者接管了某個AP，那么所有來自無線網的通信量都會傳到攻擊者的機器上，包括其他用戶試圖訪問合法網絡主機時需要使用的密碼和其他信息。欺詐AP可以讓攻擊者從有線網或無線網進行遠程訪問，而且這種攻擊通常不會引起用戶的懷疑，用戶通常是在毫無防范的情況下輸人自己的身份驗證信息，甚至在接到許多SSL錯誤或其他密鑰錯誤的通知之后，仍像是看待自己機器上的錯誤一樣看待它們，這讓攻擊者可以繼續接管連接，而不容易被別人發現。

1.6拒絕服務攻擊

無線信號傳輸的特性和專門使用擴頻技術，使得無線網絡特別容易受到DoS(DenialofService，拒絕服務)攻擊的威脅。拒絕服務是指攻擊者惡意占用主機或網絡幾乎所有的資源，使得合法用戶無法獲得這些資源。黑客要造成這類的攻擊：①通過讓不同的設備使用相同的頻率，從而造成無線頻譜內出現沖突；②攻擊者發送大量非法(或合法)的身份驗證請求；③如果攻擊者接管AP，并且不把通信量傳遞到恰當的目的地，那么所有的網絡用戶都將無法使用網絡。無線攻擊者可以利用高性能的方向性天線，從很遠的地方攻擊無線網。已經獲得有線網訪問權的攻擊者，可以通過發送多達無線AP無法處理的通信量進行攻擊。

1.7用戶設備安全威脅

由于IEEE802.11標準規定WEP加密給用戶分配是一個靜態密鑰，因此只要得到了一塊無線網網卡，攻擊者就可以擁有一個無線網使用的合法MAC地址。也就是說，如果終端用戶的筆記本電腦被盜或丟失，其丟失的不僅僅是電腦本身，還包括設備上的身份驗證信息，如網絡的SSID及密鑰。

2無線網絡采用的安全技術

采用安全技術是消除無線網絡安全威脅的一種有效對策。無線網絡的安全技術主要有七種。

2.1擴展頻譜技術

擴頻技術是用來進行數據保密傳輸，提供通訊安全的一種技術。擴展頻譜發送器用一個非常弱的功率信號在一個很寬的頻率范圍內發射出去，與窄帶射頻相反，它將所有的能量集中到一個單一的頻點。

一些無線局域網產品在ISM波段為2.4～2.483GHz范圍內傳輸信號，在這個范圍內可以得到79個隔離的不同通道，無線信號被發送到成為隨機序列排列的每一個通道上(例如通道1、18、47、22……)。無線電波每秒鐘變換頻率許多次，將無線信號按順序發送到每一個通道上，并在每一通道上停留固定的時間，在轉換前要覆蓋所有通道。如果不知道在每一通道上停留的時間和跳頻圖案，系統外的站點要接收和譯碼數據幾乎是不可能的。使用不同的跳頻圖案、駐留時間和通道數量可以使相鄰的不相交的幾個無線網絡之間沒有相互干擾，因而不用擔心網絡上的數據被其他用戶截獲。

2.2用戶密碼驗證

為了安全，用戶可以在無線網絡的適配器端使用網絡密碼控制。這與WindowsNT提供的密碼管理功能類似。由于無線網絡支持使用筆記本或其他移動設備的漫游用戶，所以嚴格的密碼策略等于增加一個安全級別，這有助于確保工作站只被授權用戶使用。

2.3數據加密

數據加密技術的核心是借助于硬件或軟件，在數據包被發送之前就加密，只有擁有正確密鑰的工作站才能解密并讀出數據。此技術常用在對數據的安全性要求較高的系統中，例如商業用或軍用的網絡，能有效地起到保密作用。

此外，如果要求整體的安全保障，比較好的解決辦法也是加密。這種解決方案通常包括在有線網絡操作系統中或無線局域網設備的硬件或軟件的可選件中，由制造商提供，另外還可選擇低價格的第三方產品，為用戶提供最好的性能、服務質量和技術支持。

2.4WEP配置

WEP是IEEE802.11b協議中最基本的無線安全加密措施，其主要用途包括提供接入控制及防止未授權用戶訪問網絡；對數據進行加密，防止數據被攻擊者竊聽；防止數據被攻擊者中途惡意篡改或偽造。此外，WEP還提供認證功能。2.5防止入侵者訪問網絡資源

這是用一個驗證算法來實現的。在這種算法中，適配器需要證明自己知道當前的密鑰。這和有線網絡的加密很相似。在這種情況下，入侵者為了將他的工作站和有線LAN連接也必須達到這個前提。

2.6端口訪問控制技術

端口訪問控制技術(802.1x)是用于無線局域網的一種增強性網絡安全解決方案。當無線工作站與AP關聯后，是否可以使用AP的服務要取決于802.1x的認證結果。如果認證通過，則AP為用戶打開這個邏輯端口，否則不允許用戶上網。802.1x除提供端口訪問控制能力之外，還提供基于用戶的認證系統及計費，特別適合于公司的無線接入解決方案。

2.7使用VPN技術

VPN(VirtualPrivateNetwork，虛擬專用網)是指在一個公共IP網絡平臺上通過隧道以及加密技術保證專用數據的網絡安全性，它不屬于802.11標準定義；但是用戶可以借助VPN來抵抗無線網絡的不安全因素，同時還可以提供基于RADIUS的用戶認證以及計費。因此，在合適的位置使用VPN服務是一種能確保安全的遠程訪問方法。

3無線網絡采取的安全措施

要排除無線網絡的安全威脅，另一種對策是采取如下八項安全措施。

3.1網絡整體安全分析

網絡整體安全分析是要對網絡可能存的安全威脅進行全面分析。當確定有潛在入侵威脅時，要納入網絡的規劃計劃，及時采取措施，排除無線網絡的安全威脅。

3.2網絡設計和結構部署

選擇比較有安全保證的產品來部署網絡和設置適合的網絡結構是確保網絡安全的前提條件，同時還要做到如下幾點：修改設備的默認值；把基站看作RAS(RemoteAccessServer，遠程訪問服務器)；指定專用于無線網絡的IP協議；在AP上使用速度最快的、能夠支持的安全功能；考慮天線對授權用戶和入侵者的影響；在網絡上，針對全部用戶使用一致的授權規則；在不會被輕易損壞的位置部署硬件。

3.3啟用WEP機制

要正確全面使用WEP機制來實現保密目標與共享密鑰認證功能，必須做到五點。一是通過在每幀中加入一個校驗和的做法來保證數據的完整性，防止有的攻擊在數據流中插入已知文本來試圖破解密鑰流；二是必須在每個客戶端和每個AP上實現WEP才能起作用；三是不使用預先定義的WEP密鑰，避免使用缺省選項；四是密鑰由用戶來設定，并且能夠經常更改；五是要使用最堅固的WEP版本，并與標準的最新更新版本保持同步。

3.4MAC地址過濾

MAC(MediaAccessController，物理地址)過濾可以降低大量攻擊威脅，對于較大規模的無線網絡也是非常可行的選項。一是把MAC過濾器作為第一層保護措施；二是應該記錄無線網絡上使用的每個MAC地址，并配置在AP上，只允許這些地址訪問網絡，阻止非信任的MAC訪問網絡；三是可以使用日志記錄產生的錯誤，并定期檢查，判斷是否有人企圖突破安全措施。

3.5進行協議過濾

協議過濾是一種降低網絡安全風險的方式，在協議過濾器上設置正確適當的協議過濾會給無線網絡提供一種安全保障。過濾協議是個相當有效的方法，能夠限制那些企圖通過SNMP(SimpleNetworkManagementProtocol，簡單網絡管理協議)訪問無線設備來修改配置的網絡用戶，還可以防止使用較大的ICMP協議(InternetControlMessageProtocol，網際控制報文協議)數據包和其他會用作拒絕服務攻擊的協議。

3.6屏蔽SSID廣播

盡管可以很輕易地捕獲RF(RadioFrequency，無線頻率)通信，但是通過防止SSID從AP向外界廣播，就可以克服這個缺點。封閉整個網絡，避免隨時可能發生的無效連接。把必要的客戶端配置信息安全地分發給無線網絡用戶。

3.7有效管理IP分配方式

分配IP地址有靜態地址和動態地址兩種方式，判斷無線網絡使用哪一個分配IP的方法最適合自己的機構，對網絡的安全至關重要。靜態地址可以避免黑客自動獲得IP地址，限制在網絡上傳遞對設備的第三層的訪問；而動態地址可以簡化WLAN的使用，可以降低那些繁重的管理工作。

3.8加強員工管理

加強單位內部員工的管理，禁止員工私自安裝AP；規定員工不得把網絡設置信息告訴單位外部人員；禁止設置P2P的Adhoc網絡結構；加強員工的學習和技術培訓，特別是對網絡管理人員的業務培訓。

此外，在布置AP的時候要在單位辦公區域以外進行檢查，通過調節AP天線的角度和發射功率防止AP的覆蓋范圍超出辦公區域，同時要加強對單位附近的巡查工作，防止外部人員在單位附近接入網絡。

參考文獻

[1]鐘章隊.無線局域網[M].北京：科學出版社，2004.

第3篇

關鍵詞：醫院；網絡安全；無線網絡；安全建設

無線網絡是采用無線通信技術實現的網絡，它既包括允許用戶建立遠距離無線連接的語音和數據網絡，也包括為近距離無線連接進行優化的紅外線技術及射頻技術，與有線網絡的用途十分類似，最大的不同在于傳輸媒介的不同，利用無線電技術取代網線，可以和有線網絡互為備份。伴隨著臨床信息化，醫院正逐步地實現無紙化、無膠片化和無線化，醫院無線網絡技術的不斷成熟和普及。利用PDA、平板無線電腦和移動手推車隨時隨地進行生命體征數據采集、醫護數據的查詢與錄入、醫生查房、床邊護理、呼叫通信、護理監控、藥物配送、病人標識碼識別等，充分發揮醫療信息系統的效能，突出數字化醫院的技術優勢，但同時醫院無線網絡也面臨有較大的安全威脅。因此，全面實現醫院無線網絡安全建設是醫院網絡建設中較為重要的一個環節。

1無線網絡安全建設措施

1.1安全策略集中控制

構建智能化無線網絡構架，將無線網絡安全控制策略全部集中到網絡控制器上進行統一的控制和，包含有：無線電頻率管理、無線入侵檢測、病毒庫、安全加密、入網行為控制等。將無線網絡安全策略使用到網絡管理上，防止由于無線網絡數據被盜而產生的安全信息泄露。

1.2接入點零配置

在日常使用的普通無線網絡中，黑客能夠通過竊取無線網絡接入點的方式獲得密碼從而進入到無線網絡中。在無線網絡控制器上對無線接入點進行智能控制，保證本地不保存無線網絡接入點的任何數據，并將全部的數據存儲到無線網絡控制器，在無線網絡接入點上實現零配置，這在很大程度上能夠提升無線網絡運行的安全性，較大程度的降低了黑客竊取無線網絡信息的可能性，本地的接入工作量也得到了較大的簡化。

1.3病毒入侵防護

首先是準入檢查，當無線網絡接收器嘗試進入到無線網絡時，在進行用戶認證之前對無線網絡系統中防病毒定義、防病毒軟件、操作系統補丁等進行全面的檢查，若檢查未通過則其則禁止進入到無線網絡中，也可以將無線網絡用戶重定到具體的某一臺升級服務器上，只有其安裝指定的防病毒軟件、系統補丁之后才能接入到無線網絡中。其次是數據檢查，通過了第一步的準入檢查之后，通過數據檢查才能實現對無線網絡數據的有效監控與檢查，通過設置對應的策略，將所有用戶的數據，進行全面的防病毒數據檢查，若通過檢查，則進行數據的傳輸，若不能通過檢查，則將數據丟棄，從而全面的實現對無線網絡終端的病毒防護。

1.4非法入侵檢測

無線網絡的訪問接入點和有線網絡集線器較為類似，為整個網絡的中心，其為移動客戶端接入到網絡的中心節點，可以將其簡潔方便的安裝到墻壁或者天花板上，僅需要對無線AP能夠覆蓋的區域進行針對性的設置，就能夠連接到無線網絡中，這就導致非法的AP可通過設置進入到無線網絡中，給無線網絡造成較大的安全隱患，出現網絡寬帶安全和數據安全等相關的問題。例如，當非法的AP用戶對合法的無線網絡接入點進行侵擾時，常常被誤認為AP運行不穩定或者無線電波信號不穩定等相關的情況，嚴重時會出現無線網絡連接中斷，而網絡管理人員不能在第一時間內收到報警。通過在無線網絡中設置非法入侵檢測，利用無線網絡架構技術，可以在無線網絡中設置無線網絡入侵模式庫，可以將異常的無線網絡數據檢測出來，顯示并記錄無線網絡入侵格式，自動的開啟對應的警報和保護響應。

1.5安全準入控制

首先為身份認證，對無線網絡的身份進行行為授權，避免非法授權終端的進入，通過無線網絡用戶硬盤ID的綁定及無線網絡身份權限的授權，從而實現和無線網絡安全設備的聯動，拒絕未授權用戶的訪問。其次為設置安全策略，應對無線網絡設置統一的安全策略。當無線網絡終端接入到無線網絡后，立刻進行多策略安全檢查，例如進行注冊表、進程檢查，防病毒軟件、補丁監測等。動態策略管理提供可定制、可擴展的安全策略，可分組織和角色靈活實施；提供多種安裝策略并基于系統環境選擇安裝，及時、主動消除各種安全缺口；提供上網行為審計、USB移動存儲設備、系統進程監控等安全策略，對用戶違規行為進行審計和取證，幫助提高用戶安全意識，保障IT資源的合理使用。系統自動收集終端軟、硬件資產信息，跟蹤資產變更，實現資產管理IT化，保障信息資產可控可管。

2醫院無線網絡安全建設應用實踐

2.1無線網絡拓撲結構

某三級甲等醫院在醫院內建設了無線網絡，從而保證醫院內無線網絡的全覆蓋，為醫院內網絡用戶提供一個便捷安全的網絡環境。

2.2無線網絡設計與部署

無線網絡控制采用有源以太網作為交換機，采用了大容量的無線AP，接入點采用智能零漫游無線接入。POE網絡交換機采用了1000M以太網網絡連接，數據傳輸采用了大容量無線AP，利用專用的超柔性饋線實現對功率分配器的連接，智能單元通過穿墻進入室內，從而實現醫院內無線信號的全覆蓋，室內的大容量無線AP可通過放裝的方式較好的達到了醫院開放式區域內部對無線信號覆蓋的需求。

2.3無線控制器冗余備份

在進行無線網絡控制器設置時，采用了N+1冗余集群備份技術，將其中的一臺控制器作為中心控制器，剩下的N臺控制器作為輔助控制器。當進行無線網絡的初始化時，僅僅主控制器能夠進行AP注冊請求，在主控制器內實現無線網絡的協議配置和接入點控制，并將無線網絡備份控制信息傳輸給每一個AP，然后每一個AP可以通過備份構建一條虛擬的WAP網絡，當無線網絡出現網絡切換時，網絡切換均在50mm之內，保證用戶體驗良好不會出現掉線情況。

2.4非法信號監測

無線網絡利用智能無線AP，設置2種模式實現對非法電磁信號的監測，其一為對AP每隔一定的時間進行在線安全掃描；其二為將AP設置為連續監控的無線網絡安全監控掃描模式。通過設置上述2種方式，智能無線AP按照預先的設置實現對周邊環境中所有的MAC地址的檢測，可實現對無線網絡服務集標示、通道信息的全面安全檢查。對未經授權的AP可實現自動識別和警告，從而更好的防止非法信號的侵擾。

2.5認證鑒別機制

為了更好的保證無線網絡數據的安全性，需對無線網絡的接入點進行準入認證設置，本次無線網絡構建采用了Mac和Web認證方式，因為操作系統差異化，對不同類型的移動終端，采用了不同種類的操作系統，另外針對Web認證系統兼容性較為局限的特點，在進行Web認證鑒別時，通過將MAC地址綁定的方式進行了雙重認證鑒別，從而在醫院內實現了網絡安全全部鑒別，當移動終端被授權之后，只有獲得CA安全證書，并保證和MAC地址一致后才能進入到無線網絡內，并通過設置雙重認證鑒別的方式，來實現對無線網絡安全身份的識別，攔阻了外來非法無線終端的接入。

3結論

綜上分析，在醫院內部增強自身的無線網絡安全建設對于保證自身無線網絡的正常使用有著非常重要的作用。因此，醫院網絡維護人員，應結合本院無線網絡使用方式與特點，建立針對性的無線網絡安全保護措施，使無線網絡更好的為醫院服務。

作者:柯傳琪 單位:福建中醫藥大學附屬第二人民醫院

參考文獻:

[1]黃波.無線網絡技術在醫院信息化建設中的應用分析[J].電腦知識與技術，2015（9）：43-45.

[2]劉華.銳捷網絡醫院無線網絡解決方案助力總參總醫院移動醫療建設[J].中國數字醫學，2012（1）：67.