酒店网络安全存在的问题及对策

酒店网络安全系统架构设计与实现刘子林（张家口职业技术学院，张家口，075000）摘要：本文分析了引起酒店网络安全问题的原因和酒店网络所面临的安全威胁，从网络安全系统设计、技术措施和手段、网络运行控制三方面入手，提出了解决问题的对策，并设计了一个酒店网络安全系统。关键词：酒店、网络安全、网络运行控制、安全威胁ResearchontheproblemsofhotelnetworksecurityandcountermeasuresLiuzilin(Zhangjiakouvocationalcollegeoftechnology,Zhangjiakou075000)Abstract:Thispaperfirstanalyzethereasonofcausinghotelsecurityproblemsandsecuritythreatens.Countermeasuresareputforward,whichcansolvehotelnetworksecurityproblemsbasedonthenetworksecuritysystemdesign,techniquemeasureandmeansandnetworkrunningcontrol.Finally,presentsahotelnetworksecuritysystem.Keywords:hotel;networksecurity;networkrunningcontrol;securitythreaten0引言随着我国酒店信息化建设的逐步深入，一部分星级酒店的网络已投入运营，顾客通过酒店网络可以十分方便的实现电子商务、办公、在线交流、访问因特网资源和娱乐等，企业利用网络可以实现无纸化办公和酒店运营管理，也可以实现网络营销和对外宣传。酒店网络的建设，为酒店的经营和管理带来了诸多好处。但是来自因特网的病毒、网络攻击甚至色情反动等违法内容也进入了酒店网络，使酒店的信息系统以及酒店网络的用户直接面临酒店网络内外攻击的威胁，酒店网络中的网络安全事件成为制约酒店网络可用性的主要因素。如何保证酒店网络的安全运行，减少网络安全事件对企业、顾客的影响，具有十分重要的意义。1酒店网络安全需求分析1.1酒店网络特点在设计酒店网络方案时，没有系统地分析网络安全需求或采用的安全技术不当，导致网络运行不安全；构成酒店网络的联网设备品牌的多样性，造成管理的复杂性。按照以太标准进行设计的网络设备的主要功能是连通网络，面对目前网络安全的挑战，一些产品虽然增加了安全功能，但并不具有完善的网络安全监测和控制功能；用户电脑设备安全性能差异大，网络访问方式差异性大，一些用户的计算机设备没有任何安全防范措施，它本身就是一个不安全因素；用户流动性大，用户可控性差，强制性的安全管理策略难于实施。例如，即使安装了防病毒网关，但不能强制用户安装防病毒的客户端；网络应用的多样性。既有支撑酒店和顾客电子商务、办公等关键性应用，又有娱乐、休闲等的一般应用。1.2酒店网络面临的安全威胁酒店网络作为开放型的网络，面临着来自网络的内部威胁和外部威胁，而内部威胁尤为严重。一是顾客具有流动快，个人电脑安全性能差异大，网络应用多样，网络访问方式差异大等特点，很容易发生内部网络攻击；二是在酒店网络安全系统中针对内部攻击的防范措施较少；三是一些网络黑客和不法人员入住酒店，作为酒店网站的合法用户，对顾客的计算机和酒店网络系统中的服务器进行攻击，非法获取顾客或企业的信息，破坏网络系统的正常运行。酒店网络面临的安全威胁主要有以下几点：（1）信息截获和监听攻击者通过网络监听工具对局域网上传输的数据包进行截获和监听，窃取顾客的重要的信息，如账户和密码信息等。（2）非法入侵攻击者利用系统的安全漏洞，绕过系统的安全机制，获得高级别的访问权限，非法访问被攻击者的各种系统资源和数据，窃取顾客和企业的数据和信息。（3）DOS攻击主要对酒店网络的服务器进行攻击。攻击者向服务器不断发送大量的请求，导致服务器资源耗尽，甚至使服务器死机，网络瘫痪和系统失效。（4）恶意代码攻击攻击者将一段恶意代码程序植入到被攻击者的计算机系统中，通过运行该恶意代码达到控制和破坏目标计算机的目的。常见的方式有特洛伊木马程序、ARP攻击、缓冲区溢出攻击等。该种攻击危害性最大，一旦目标主机被控制，造成的损失难以估计。（5）无线网络攻击目前，许多酒店提供了无线接入网络方式。由于无线网络的传输特性，造成了无线网络在物理层、数据链路层和网络层上的安全变化，使其很容易被窃听、干扰和黑客攻击。主要的安全问题有干扰和侦听、获取服务集标识符、DOS攻击、中间人攻击等。（6）病毒由于顾客的计算机安全性能的差异，局域网病毒是酒店网络安全面临的一个重要的问题。有些顾客的计算机本身带有的病毒以及上网时从网上下载的病毒，都会在酒店网络中传播，给网络及计算机带来严重的危害。（7）WEB攻击攻击者对酒店的WEB服务器进行攻击，窃取、篡改信息和破坏系统，造成企业损失。1.3酒店网络安全需求分析从企业和顾客两个角度分析酒店网络的安全需求，主要有以下几个方面：（1）网络接入安全需求网络接入方式分有线接入和无线接入，有线接入是指酒店的终端设备和顾客的计算机设备能通过有线介质接入到酒店网络中。酒店网络安全系统要满足接入网络的用户的安全需求，即网络是安全的、可靠的。（2）VPN服务和服务，企业和顾客可以放心地使用电子商务和进行网络办公等网络功能。2酒店网络安全架构设计及实现解决酒店网络存在的网络安全问题和隐患，必须从酒店网络采用的安全技术和措施、网络安全运行控制两个个方面入手，设计酒店网络安全架构，如图一所示。（1）按照三层结构进行网络设计。在接入层和汇聚层部署支持802.1X协议的交换机，客户端通过接入层交换机进行认证请求，RADIUS的AAA认证系统根据用户提交的信息决定是否打开交换机端口，准许客户接入酒店网络；在网络中心部署核心交换机，对系统、端口、网络、VLAN等进行管理，并通过对核心交换机的流量日志分析，确定网络安全事件的源IP地址，实现对网络运行进行的监控。（2）WLAN划分对酒店的顾客、不同部门（财物、总经理、弱电等）、商住的公司进行VLAN划分，每个VLAN之间不能直接相互访问，实现网络结构的清晰和各部门间的互访控制，使各VLAN间不会有攻击和病毒的传播。（3）在内外网之间部署支持VPN技术的防火墙，实现内外网隔离和访问控制的同时，允许用户使用VPN技术传输数据。（4）部署入侵检测系统和网络反病毒网关。入侵检测系统对网络异常行为和酒店网站发布的站点内容进行检测和分析，并确定网络安全事件的源IP地址。反病毒网关可以有效地防止病毒的大面积传播。（5）通过RADIUS代理收集用户的基本信息，实现用户账户、IP地址、交换机号及端口号的关联信息。通过SNMP协议获取网络各交换机中的ARP表及CAM表，并存储在网络基本信息库中，提供给网络安全事件追查使用。网络基本信息库可定期刷新。（6）网络安全策略可以及时地通过RADIUS代理下发。（7）数据加密认证技术数据加密技术通过对数据进行加密，可以保护数据的完整性、保密性。无线用户可以使用VPN或SSLVPN技术，实现数据的加密传输。3网络安全运行控制为了保障酒店网络的可控性和可用性，需要解决以下几个方面的问题：①网络接入控制，对接入酒店网络的用户进行认证；②网络运行状态监测，及时发现影响网络可用性的安全事件，如病毒传播、网络流量异常、网络攻击、不良信息发布等；③网络安全事件追查，快速查找产生安全事件的源端；④安全策略控制，采用一定的安全策略，阻止安全事件的进一步发生。以上各模块通过网络安全设备和技术在酒店网络中实现集成。（1）网络接入控制在酒店的网络接入层中，采用802.1X协议实现用户的接入控制。802.1X称为基于端口的访问控制协议，该协议提供了对连接到局域网的设备或用户进行认证和授权的一种手段。通过此方式的认证，能够在局域网这种多点访问的环境中提供一种点对点识别用户的方式。使用此协议，须在网络中部署RADIUS服务器和安全客户端。（2）网络运行状态检测网络运行状态检测实现酒店网络内发布内容的监测、网络流量的监测以及日志的分析功能，找出导致网络安全事件的源IP地址。（3）安全事件追查RADIUS无线AP入侵检测系统客房部及商住公司办公区接入交换机汇聚交换机核心交换机路由器防火墙服务器组图一酒店网络安全系统通过网络安全运行状态监测，可以定位网络安全事件的源IP地址，但如果要实现对源端的控制，必须要定位源端连接的网络设备及端口号。通过分析RADIUS提供的数据以及安装在交换机上的SNMP网络管理软件采集到的网络运行数据形成的网络基本信息库，检索IP地址对应的MAC地址和端口，追查网络安全事件的源端。（4）安全策略控制对网络安全事件的威胁进行评估。根据评估的结果，决定是否修改原有的安全策略或制定新的安全策略，并将安全策略下发到网络安全设备中。4结束语本文分析了引起酒店网络安全问题的原因和酒店网络所面临的安全威胁，从网络安全系统设计、技术措施和手段、网络运行控制三方面入手，提出了解决问题的方案，并设计了一个酒店网络安全系统。系统按照三层结构设计，将安全技术措施、网络运行监控和网络设备相结合，可以有效的防止和控制网络安全事件，提高网络的安全性、可用性和可控性。参考文献：[1]蔡皖东.网络与信息安全(第一版).西安:西北工业大学出版社,2004[2]KentS,AtkinsonR.SecurityArchitecturefortheInternetProtocol[EB/OL].[3]Networkadmissioncontrolframework[EB/OL].[4]Networkaccessprotection[EB/OL].[5]黄永锋,王滨,许晓.RADIUS在802.1X中的应用[J].计算机程与设计，2006,27(5):798-801.[6]王秋华,章坚武,骆懿.网络安全体系结构的设计与实现[J].杭州电子科技大学学报,2005,25(5)[7]张俊峰,梁容,赵海燕,李爱民.网络安全系统的设计与实现[J].网络安全技术与应用,2008.1[8]刘晓旭,刘建辉.关于酒店网络安全的几点思考[J].科技广场,2008.1核心交换机AAA系统RADIUS代理RADIUS服务器调用网络接入控制支持802.1X的交换机安全客户端（802.1X安全客户端认证系统）（1）开/关端口安全威胁评估模块网络安全门户策略下发模块（安全策略控制）安全门户安全策略库（8）网络内容检测模块流量/日志分析模块网络运行状态检测网络安全追查模块网络安全事件追查网络基本信息库提取客户端基本信息（5）SNMP数据采集（3）自动爬行（4）安全事件通知（6）追查安全事件来源（7）策略通知（9）（2）认证802.1X控制作者联系地址邮编工作单位电话E-mail稿件名称刘子林河北张家口职业技术学院075031河北张家口职业技术学院信息工程系13931300140liuchare@yahoo.com.cn酒店网络安全存在的问题及对策研究