目录

一、云计算安全

1. 云计算定义

2. 云计算特征

3. 云计算服务形式

4. 云计算平台安全威胁

5. 云计算安全技术体系框架

6. 可信云计算

二、大数据安全

1. 大数据的定义

2. 大数据的特征

3. 大数据安全威胁

4. 大数据生命周期安全

5. 大数据安全防护管理要求

6. 大数据安全防护技术

三、移动互联网安全

1. 移动互联网概念

2. 移动互联网安全威胁

3. 移动互联网安全风险

4. 移动互联网安全防护

四、物联网安全

1. 物联网概念

2. 物联网安全风险

3. 物联网安全体系架构

4. 物联网安全架构

5. 工业互联网安全

---

一、云计算安全

1. 云计算定义

       云计算是指通过网络访问可扩展的、灵活的物理或虚拟共享资源池，并按需自助获取和管理资源的模式。

2. 云计算特征

（1）按需自助服务：

在不需或较少云服务商的人员参与情况下，客户能根据需要获得所需计算资源，如自主确定资源专用时间和数量等。

（2）泛在接入：

客户通过标准接入机制，利用计算机、移动电话、平板等各种终端通过网络随时随地使用服务。

（3）资源池化：

云服务商将资源（如：计算资源、存储资源、网络资源等）提供给多个客户使用，这些物理的、虚拟的资源根据客户的需求进行动态分配或重新分配。

（4）快速伸缩性：

客户可以根据需要快速、灵活、方便地获取和释放计算资源。对于客户来讲，这些资源是“无限”的，能在任何时候获得所需资源量。

（5）服务可计量：

云计算可按照多种计量方式（如按次付费或充值使用等）自动控制或量化资源，计量的对象可以是存储空间、计量能力、网络带宽或账户数等。

3. 云计算服务形式

目前，云计算的主要服务形式有：

（1）Saas(Software as a Service)，软件即服务；

（2）PaaS(Platform as a Service)，平台即服务；

（3）laaS(Infrastructure as a Service)，基础设施服务。

4. 云计算平台安全威胁

5. 云计算安全技术体系框架

6. 可信云计算

二、大数据安全

1. 大数据的定义

对于“大数据”(Big data)研究机构Gartner给出了这样的定义:"大数据"是需要新处理模式才能具有更强的决策力、洞察发现力和流程优化能力来适应海量、高增长率和多样化的信息资产。

麦肯锡全球研究所给出的定义：—种规模大到在获取、存储、管理、分析方面大大超出了传统数据库软件工具能力范围的数据集合，具有海量的数据规模、快速的数据流转、多样的数据类型和价值密度低四大特征.

2. 大数据的特征

3. 大数据安全威胁

4. 大数据生命周期安全

（1）数据收集阶段：数据源鉴别及记录、数据合法收集、数据标准化管理、数据管理职责定义、数据分类分级以及数据留存合规识别等问题；

（2）数据存储阶段：存储架构安全、逻辑存储安全、存储访问安全、数据副木安全、数据归档安全等；

（3）数据处理阶段：数据分布式处理安全、数据分析安全、数据加密处理、数据脱敏处理以及数据溯源等;

（4）数据分发阶段：数据传输安全、数据访问控制、数据脱敏处理等。

（5）数据删除阶段：删除源数据、原始数据及副本、断开与外部的实时数据流链接等。

5. 大数据安全防护管理要求

大数据安全管理目标

维织实现大数据价值的同时，确保数据安全。组织应:

（1）满足个人信息保护和数据保护的法律法规、标准等要求；

（2）满足大数据相关方的数据保护要求；

（3）通过技术和管理手段保证自身控制和管理的数据安全风险可控。

大数据安全管理的主要内容

大数据安全管理主要包含以下内容：

1. 明确数据安全需求。组织应分析大数据环境下数据的保密性、完整性和可用性所面临的新问题，分析大数据活动可能对国家安全、社公影响、公共利益、个人的生命财产安全等造成的影响，并明确解决这些问题和影响的数据安全需求。
2. 数据分类分级。组织应先对数据进行分类分级，根据不同的数据分级选择适当的安全措施。
3. 明确大数据活动安全要求。组织应理解主要大数据活动的特点，可能涉及的数据操作，并明确各大数据活动的安全要求。
4. 评估大数据安全风险。组织除开展信息系统安全风险评估外，还应从大数据环境潜在的系统的脆弱点、恶意利用、后果等不利因素，以及应对措施等评估大数据安全风险。

6. 大数据安全防护技术

（1）数据发布匿名保护技术

（2）社交网络匿名保护技术

（3）数据水印技术

（4）数据溯源技术

（5）角色挖掘技术

（6）风险自适应的访问控制

三、移动互联网安全

1. 移动互联网概念

移动互联网继承了桌面互联网的开发协作的特征，又继承了移动网的实时性、隐私性、便携性、准确性、可定位的特点。

（1）技术层面定义：以宽带IP为技术核心，可同时提供语音、数据、多媒休等业务服务的开放式基础电信网络。

（2）终端层面定义：广义上是指用户使用手机、上网本、笔记本等移动终端，通过移动网络获取移动通信网络服务和互联网；狭义上是指用户使用手机终端，通过移动网络浏览互联网站和手机网站，获收多媒体、定制信息等其他数据服务和信息服务。

2. 移动互联网安全威胁

3. 移动互联网安全风险

（1）开放信道带来的安全风险：

移动互联网依托的移动通信网络采用的无线通信信道，不像有线通信那样受通信电缆的限制，但由于无线信道的开放性，使得它在给与移动用户自由的通信体验同时，也带来了相应的不安全因素。包括通信内容可能被窃听、篡改，通信用户身份可能被假冒等安全风险。

（2）移动互联网应用安全性风险：

移动互联网作为一个较新的领域，在管理层面上，相关法律法规不足，行业对安全风险的认识也存在一定的不足。移动互联网的迅猛发展使得厂商更多的关注应用，大量的移动互联网应用开发没有将安全列入软件生命周期中，对业务流程缺乏安全风险分析等等，从而导致了大量脆弱的业务系统，使得越来越多用户的个人利益受到侵害。

（3）移动互联网用户终端安全风险：

移动互联网用户使用的智能终端功能不断的多样化，越来越多的功能被集成到智能终端中实现，使得安全风险不断累积，为用户带来了越来越多的安全风险。

（4）运营模式导致的安全问题：

在为移动互联网内容带来繁荣发展的同时，也产生了一些不良的影响，例如一些应用为了吸引用户点击率和留存，会在内容中添加或默许用户在提交的内容中包含一些“打擦边球”的内容，包括色情、虚假、夸大甚至非法言论。

4. 移动互联网安全防护

（1） 移动互联网终端安全

（2）移动互联网网络安全：

（3）移动互联网业务安全：

四、物联网安全

1. 物联网概念

物联网( Internet of Things，简称IOT）是把任何物品与互联网连接起来进行信息交换和通讯，以实现智能化识别、定位、跟踪、监控和管理的一种网络。

2013年，物联网全球标准协议(IoT-GSI)将物联网定义为“信息社会的基础设施”。物联网允许在现有网络基础设施上远程检测或控制对象，将物理世界更直接地整合到基于计算机的系统中。

2. 物联网安全风险

（1）物联网导致的隐私泄密问题；

（2）物联网平台存在的安全漏洞带来的安全问题；

（3）物联网终端的移动性对信息安全带来的管理困难问题；

（4）物联网快速增长的设备数量使得对设备的更新和维护都较为困难，终端设备的漏洞很难得到有效的修复。

3. 物联网安全体系架构

4. 物联网安全架构

物联网逻辑流程：

（1）在物联网应用中，多种类型的感知信息会被同时采集、处理，综合利用，甚至不同感知信息的结果会影响其他控制调节行为。

（2）在应用端信息融合处理后可能会面临多种不同的应用。

感知层安全

感知层的架构特点：

（1）感知单元功能受限，特别是无线传感器元件

（2）多个感知单元组成局部传感器网络

感知层的安全威胁：

（1）感知层的网关节点被恶意控制(安全性全部丢失)；

（2）感知层的普通节点被恶意控制(攻击方控制密钥)；

（3）感知层的普通节点被捕获(未控制密钥，节点未被控制)；

（4）感知层的节点受到来自网络的Dos攻击；

（5）接入到物联网的超大量传感节点的标识、识别、认证和控制问题。

传输层安全

传输层安全机制：

（1）端对端机密性：认证机制、密钥协商机制、机密性算法选取机制和密钥管理机制；

（2）节点到节点机密性：认证、密钥协商，功耗以及效率。

传输层安全架构：

（1）建立节点认证机制，建立数据机密性、完整性机制，根据需求建立数据流保密性机制，建立DDoS攻击检测和预防机制；

（2）移动网中AKA机制是基于IMSI的兼容性或一致性、跨域/网络认证；

（3）相应密码技术：密钥管理、端对端加密和点对点加密、密码算法和协议等；

（4）建立广播、组播通信的机密性、认证性和完整性机制。

处理层安全

处理层安全构架：

（1）高强度数据机密性和完整性服务

（2）入侵检测和病毒检测

（3）可靠的高智能处理手段

（4）可靠的密钥管理机制，包括PKI和对称密钥相结合的机制

（5）可靠的认证机制和密钥管理方案

（6）密文查询、数据挖掘、安全多方计算、安全云计算等

（7）恶意指令分析和预防、访问控制和灾难恢复机制

（8）保密日志跟踪和行为分析、恶意行为模型的建立

（9）移动设备识别、定位和追踪机制

（10）移动设备文件的可备份和恢复

应用层安全

应用层安全构架：

（1）有效的数据库访问控制和内容筛选机制

（2）不同场景的隐私信息保护技术

（3）安全的数据销毁技术

（4）有效的数据取证技术

（5）叛逆追踪和其他信息泄露追踪机制

（6）安全的电子产品和软件的知识产权保护技术

5. 工业互联网安全

工控系统名词解释：

（1）工业控制系统(Industrial Control Systems简称:ICS)：

是指由各种自动化控制组件以及对实时数据进行采集、监测的过程控制组件，构成的确保工业基础设施自动化运行、过程控制与监控的业务流程管控系统。

（2）可编程逻辑控制器(Programmable Logic Controller简称:PLC)：

是一种可以被编程，并通过数字或模拟式输入/输出控制各种类型的机械或生产过程。

（3）分布式控制系统(Distributed Control System简称:DCS)：

在国内自控行业又称之为集散控制系统。是相对于集中式控制系统而言的一种新型计算机控制系统，它是在集中式控制系统的基础上发展、演变而来的。

（4）数据采集和监视控制系统(Supervisory Control And Data Acquisition简称: SCADA)：

SCADA系统是以计算机为基础的DCS与电力自动化监控系统，它应用领域很广，可以应用于电力、冶金、石油、化工、燃气、铁路等领域的数据采集与监视控制以及过程控制等诸多领域。

工控网络的特点：

工控网络的特点决定了基于办公网和互联网设计的信息安全防护手段(如防火墙、病毒查杀等)无法有效地保护工控网络的安全。

（1）网络通讯协议不同：大量的工控系统采用私有协议；

（2）对系统稳定性要求高：网络安全造成误报等同于攻击；

（3）系统运行环境不同：工控系统运行环境相对落后；

（4）更新代价高：无法像办公网络或互联网那样通过补丁来解决安全问题；

（5）网络结构和行为稳定性高：不同于互联网和办公网络的频繁变动。

工控系统网络涵盖范围：

工业控制系统网络威胁来源：

工业互联网安全体系

七个主要任务：

（1）推动工业互联网安全责任落实；

（2）构建工业互联网安全管理体系；

（3）提升企业工业互联网安全防护水平；

（4）强化工业互联网数据安全保护能力；

（5）建设国家工业互联网安全技术手段；

（6）加强工业互联网安全公共服务能力；

（7）推动工业互联网安全科技创新与产业发展。

四项保障措施：

（1）加强组织领导，健全工作机制。

（2）加大支持力度，优化创新环境。

（3）发挥市场作用，汇聚多方力量。

（4）加强宣传教育，加快人才培养。

1.身份认证技术

身份认证技术就是对通信双方进行真实身份鉴别，是网络信息资源的第一道安全屏障，目的就是验证、辨识使用网络信息的用户的身份是否具有真实性和合法性。如果是合法用户将给予授权，使其能访问系统资源，如果用户不能通过识别，则无法访问资源。由此可知，身份认证在安全管理中是重要的、基础的安全服务。
（1）生物认证技术
（2）非生物认证技术
一般采用密码认证，这又分为动态密码和静态密码。
（3）多因素认证

2.访问控制技术

指系统对用户身份及其所属的预先定义的策略组限制其使用数据资源能力的方法，通常被系统管理员用来控制用户对服务器、目录、文件等网络资源的访问。
访问控制的三要素：主体、客体和控制策略
主体S：提出访问资源具体请求，是某一操作动作的发起者，但不一定是动作的执行者，可以是某一用户，也可以是用户启动的进程、服务和设备等。
客体O：被访问资源的实体。所有被操作的信息、资源、对象等都可以是客体。客体可以是信息、文件、记录等集合体，也可以是网络上硬件设施、无线通信的终端，甚至可以包含另外一个客体。
控制策略A：主体对客体的相关访问规则的集合，即属性集合。访问策略体现了一种授权行为，也是客体对主体某些操作行为的默认。

3.入侵检测技术

入侵检测是指“通过对行为、安全日志、审计数据或其他网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图”，其作用包括威慑、检测、响应、损失情况评估、攻击预测和起诉支持。
进行入侵检测的软件与硬件的组合便是入侵检测系统IDS。IDS可被定义为对计算机和网络资源的恶意使用行为进行识别、监控、检测，发现可疑数据并及时采取相应处理措施的系统。
入侵检测是防火墙的合理补充。
1.异常检测
基于行为的检测，其基本假设是入侵者的活动不同于正常主体的活动，是可区分的。
2.特征检测
基于知识的检测和违规检测。
这一检测的基本假设是具有能够精确地按某种方式编码的攻击，可以通过捕获攻击及重新整理，确认入侵活动是基于同一弱点进行攻击的入侵方法的变种。
它可以将已有的入侵方法检查出来，但对新的入侵方法无能为力。
3.文件完整性检查

4.监控审计技术

通过对网络数据的采样和分析，实现了对网络用户的行为监测，并通过对主机日志和代理服务器日志等审计，对危害系统安全的行为进行记录并报警，以此提高网络安全防护水平。

常用的技术如下：
1.日志审计
2.主机审计
3.网络审计

5.蜜罐技术

蜜罐技术是一种保障网络安全的重要手段。蜜罐包括两层含义：首先，要引诱攻击者，使其能够较为容易地找到网络漏洞，一个不易被攻击的蜜罐是没有意义的。其次，蜜罐不修补攻击所造成的损伤，从而最大可能地获得攻击者的信息。蜜罐在整个系统中扮演情报采集员的角色，故意引诱攻击，当入侵者得逞后，蜜罐会对攻击者进行详细分析。

–内容来源于对网络安全意识一书的整理

无线网络安全技术基础

无线网络安全风险和隐患

随着无线网络技术广泛应用,其安全性越来越引起关注.无线网络的安全主要有访问控制和数据加密,访问控制保证机密数据只能由授权用户访问,而数据加密则要求发送的数据只能被授权用户所接受和使用。

无线网络在数据传输时以微波进行辐射传播，只要在无线接入点AP（Access Point）覆盖范围内,所有无线终端都可能接收到无线信号。AP无法将无线信号定向到一个特定的接受设备，时常有无线网络用户被他人免费蹭网接入、盗号或泄密等，因此，无线网络的安全威胁、风险和隐患更加突出。

无线网络安全风险及隐患，如图所示。


国际安全机构的一次调查表明，有85%的企业网络经理认为无线网络安全防范意识和手段还需要进一步加强。由于IEEE 802.11规范安全协议设计与实现缺陷等原因，致使无线网络存在着一些安全漏洞和风险，黑客可进行中间人（Man-in-the-Middle）攻击、拒绝服务（DoS）攻击、封包破解攻击等。鉴于无线网络自身特性，黑客很容易搜寻到一个网络接口，利用窃取的有关信息接入客户网络，肆意盗取机密信息或进行破坏。另外，企业员工对无线设备不负责任地滥用也会造成安全隐患和风险，如随意开放AP或随意打开无线网卡的Ad hoc模式，或误上别人假冒的合法AP导致信息泄露等，无线网络安全性问题已经引发新技术研究和竞争。

无线网络AP及路由安全

无线接入点安全
无线接入点AP用于实现无线客户端之间信号互联和中继,安全措施:
(1) 修改admin密码
无线AP与其他网络设备一样，也提供了初始的管理员用户名和密码，其默认用户名admin或空。如果不修改将给不法之徒以可乘之机。

(2) WEP加密传输
数据加密是实现网络安全一项重要技术，可通过协议WEP进行。WEP是IEEE 802.11b协议中最基本的无线安全加密措施，是所有经过WiFiTM认证的无线局域网产品所支持的一项标准功能，主要用途为：

• 防止数据被黑客途中恶意篡改或伪造。
• 用WEP加密算法对数据进行加密，防止数据被黑客窃听。
• 利用接入控制，防止未授权用户对其网络进行访问。

(3) 禁用DHCP服务
启用无线AP的DHCP时，黑客可自动获取IP地址接入无线网络。若禁用此功能，则黑客将只能以猜测破译IP地址、子网掩码、默认网关等，以增加其安全性。

(4) 修改SNMP字符串
必要时应禁用无线AP支持的SNMP功能，特别对无专用网络管理软件且规模较小的网络。若确需SNMP进行远程管理，则须修改公开及专用的共用字符串。否则，黑客可能利用SNMP获得有关的重要信息，借助SNMP漏洞进行攻击破坏。

(5) 禁止远程管理
较小网络直接登录到无线AP管理，无需开启AP的远程管理功能。

(6) 修改SSID标识
无线AP厂商可利用SSID（初始化字符串），在默认状态下检验登录无线网络结点的连接请求，检验一通过即可连接到无线网络。由于同一厂商的产品都使用相同的SSID名称，从而给黑客提供了可乘之机，使之以非授权连接对无线网络带来威胁。所以，在安装无线局域网之初，就应尽快登录到结点的管理页面，修改默认的SSID。

(7) 禁止SSID广播
为了保证无线网络安全，应当禁用SSID通知客户端所采用的默认广播方式。可使非授权客户端无法通过广播获得SSID，即无法连接到无线网络。否则，再复杂的SSID设置也无安全可言。

(8) 过滤MAC地址
利用无线AP的访问列表功能可精确限制连接到结点工作站。对不在访问列表中的工作站，将无权访问无线网络。无线网卡都有各自的MAC地址，可在结点设备中创建一张“MAC访问控制列表”，将合法网卡的MAC地址输入到此列表中。使之只有“MAC访问控制列表”中显示的MAC地址才能进入到无线网络。

(9) 合理放置无线AP
将无线AP放置在一个合适的位置非常重要。由于无线AP的放置位置不仅能决定无线局域网的信号传输速度、通信信号强弱，还影响网络通信安全。另外，在放置天线前，应先确定无线信号覆盖范围，并根据范围大小将其到其他用户无法触及的位置，将AP放在房间正中间。

(10) WPA用户认证
WPA（Wi-Fi Protected Access）利用一种暂时密钥完整性协议TKIP处理WEP所不能解决的各设备共用一个密钥的安全问题。

无线路由器安全
无线路由器位于网络边缘，面临更多安全危险.不仅具有无线AP功能,还集成了宽带路由器的功能，因此，可实现小型网络的Internet连接共享。除了采用无线AP的安全策略外，还应采用如下安全策略。

• 利用网络防火墙。充分利用无线路由器内置的防火墙功能,以加强防护能力.
• IP地址过滤。启用IP地址过滤列表，进一步提高无线网络的安全性。

IEEE802.1x身份认证

IEEE 802.1x是一种基于端口的网络接入控制技术，以网络设备的物理接入级（交换机端口）对接入设备进行认证和控制。可提供一个可靠的用户认证和密钥分发的框架，控制用户只在认证通过后才可连接网络。本身并不提供实际的认证机制，需要和上层认证协议EAP配合实现用户认证和密钥分发。
IEEE 802.1x认证过程
1）无线客户端向AP发送请求，尝试与AP进行通信。
2）AP将加密数据发送给验证服务器进行用户身份认证。
3）验证服务器确认用户身份后，AP允许该用户接入。
4）建立网络连接后授权用户通过AP访问网络资源。

IEEE802.1x身份认证
用IEEE 802.1x和EAP作为身份认证的无线网络，
可分为如图2-6所示的3个主要部分。
（1）请求者。运行在无线工作站上的软件客户端。
（2）认证者。无线访问点。
（3）认证服务器。作为一个认证数据库,通常是一个RADIUS服务器的形式，如微软公司的IAS等。
远程用户拨号认证系统是应用最广泛的AAA协议(认证、授权、审计(计费))

使用802.1x及EAP身份认证的无线网络

无线网络安全技术应用

无线网络在不同的应用环境对其安全性的需求各异,以AboveCable公司的无线网络安全技术作为实例。为了更好地发挥无线网络“有线速度无线自由”的特性，该公司根据长期积累的经验，针对各行业对无线网络的需求，
制定了一系列的安全方案，最大程度上方便用户构建
安全的无线网络，节省不必要的经费。

1、小型企业及家庭用户
小型企业和一般家庭用户使用的网络范围相对较小，且终端用户数量有限，AboveCable的初级安全方案可满足对网络安全需求，且投资成本低,配置方便效果显著。此方案建议使用传统的WEP认证与加密技术，各种型号AP和无线路由器都支持64位、128位WEP认证与加密，以保证无线链路中的数据安全，防止数据被盗用。同时，由于这些场合终端用户数量稳定且有限，手工配置WEP密钥也可行。

2、仓库物流、医院、学校和餐饮娱乐行业
在这些行业中，网络覆盖范围及终端用户的数量增大，AP和无线网卡的数量需要增多，同时安全风险及隐患也有所增加，仅依靠单一的WEP已无法满足其安全需求。AboveCable的中级安全方案使用IEEE802.1x认证技术作为无线网络的安全核心，并通过后台的RADIUS服务器进行用户身份验证，有效地阻止未经授权的接入。
对多个AP的管理问题，若管理不当也会增加网络的安全隐患。为此，需要产品不仅支持IEEE 802.1x认证机制，同时还支持SNMP网络管理协议，在此基础上以AirPanel Pro AP集群管理系统，便于对AP的管理和监控。

3、公共场所及网络运营商、大中型企业和金融机构
在公共地区，如机场、火车站等，一些用户需要通过无线接入Internet、浏览web页面、接收e-mail，对此安全可靠地接入Internet很关键。这些区域通常由网络运营商提供网络设施，对用户认证问题至关重要。否则，可能造成盗用服务等危险，为提供商和用户造成损失。AboveCable提出使用IEEE 802.1x的认证方式，并通过后台RADIUS服务器进行认证计费。
针对公共场所存在相邻用户互访引起的数据泄漏问题，设计了公共场所专用的AP— HotSpot AP。可将连接到其所有无线终端的MAC地址自动记录，在转发报文的同时，判断该段报文是否发送给MAC列表的某个地址，若在列表中则中断发送，实现用户隔离。
对于大中型企业和金融机构，网络安全性是首选的至关重要问题。在使用IEEE 802.1x认证机制的基础上，为了更好地解决远程办公用户安全访问公司内部网络信息的要求，AboveCable建议利用现有的VPN设施，进一步完善网络的安全性能。

WIFI的安全性和措施

1、WIFI的概念及应用
WiFi（Wireless Fidelity）又称IEEE802.11b标准，是一种可以将终端(电脑、PDA和手机)无线方式互连的技术。用于改善无线网路之间互通性。WiFi三个标准:较少使用的802.11a、低速的802.11b和高速的802.11g。WiFi工作模式:AD-HOC、无线接入点AP、点对多点路由P to MP、无线客户端AP Client和无线转发器Repeater。

WiFi支持智能手机,平板电脑和新型相机等。将有线网络信号转成无线信号,使用无线路由器供支持其技术的相关电脑、手机、平板等接收上网节省流量费。WiFi信号也需要ADSL、宽带、无线路由器等，WiFi Phone的使用，如查询或转发信息、下载、看新闻、拨VOIP电话（语音及视频）、收发邮件、实时定位、游戏等，很多机构都提供免费服务的WiFi。

2、WiFi特点及组成
WiFi的特点可从八个方面体现：带宽、信号、功耗、便捷、节省、安全、融网、个人服务、移动特性。IEEE启动项目计划将802.11标准数据速率提高到千兆或几千兆，并通过802.11n标准将数据速率提高，以适应不同的功能和设备，通过802.11s标准将这些高端结点连接，形成类似互联网的具有冗余能力的WiFi网络。

WIFI由AP和无线网卡组成无线网络，如图所示。一般架设无线网络的基本配备就是无线网卡及一个AP，便能以无线的模式配合既有的有线架构来分享网络资源，架设费用和复杂程序远远低于传统的有线网络。如果只是几台电脑的对等网，也可不用AP，只需要每台电脑配备无线网卡。AP可作为“无线访问结点”或“桥接器”。主要当作传统的有线局域网络与无线局域网络之间的桥梁，因此任何一台装有无线网卡的PC均可透过AP去分享有线局域网络甚至广域网络的资源，其工作原理相当于一个内置无线发射器的HUB或者是路由,而无线网卡则是负责接收由AP所发射信号的CLIENT端设备。有了AP就像有线网络的Hub,无线工作站可快速与网络相连.特别对宽带使用,WiFi更显优势,有线宽带到户后,连接到一个AP,然后在电脑中安装一个无线网卡即可。若机构或家庭有AP，用户获得授权后，就可以共享方式上网。

3、WiFi的认证种类
WiFi联盟所公布的认证种类包括：
1）WPA/WPA2：WPA/WPA2是基于IEEE802.11a、802.11b、802.11g的单模、双模或双频的产品所建立的测试程序。内容包含通讯协定的验证、无线网络安全性机制的验证，以及网络传输表现与相容性测试。

2）WMM(WIFI MultiMedia)：当影音多媒体透过无线网络传递时，验证其带宽保证的机制正常运作在不同的无线网络装置及不同的安全性设定上是WMM测试目的。

3）WMM Power Save：在影音多媒体透过无线网络的传递时，透过管理无线网络装置的待命时间延长电池寿命且不影响其功能性，可透过WMM Power Save测试验证。

4）WPS(WIFI Protected Setup)：可让消费者透过更简单的方式设定无线网络装置，并保证一定的安全性。当前WPS允许透过Pin Input Config(PIN)、Push Button Config(PBC)、USB Flash Drive Config(UFD)、Near Field Communication和 Contactless Token Config(NFC)的方式设定无线网络装置。

5）ASD(Application Specific Device):是针对除了无线网络存取点(AP)及站台之外有特殊应用的无线网络装置，如DVD播放器、投影机、打印机等。

6）CWG(Converged Wireless Group)：主要是针对WIFI mobile converged devices 的RF 部分测量的测试程序。

4、增强WiFi的安全措施
无线路由器密码破解的速度取决于软件和硬件，只要注意在密码设置时尽量复杂些，即可增强安全性。此外，采用以下几种设置方法。
1）采用WPA/WPA2加密方式,不用有缺陷加密,这是最常用的加密方式。

2）不用初始口令和密码,用长且复杂密码并定期更换,不用易猜密码。

3）无线路由后台管理默认的用户名和密码一定尽快更改并定期更换。

4）禁用WPS( 保护设置)功能。现有的WPS功能存在漏洞，使路由器的接入密码和后台管理密码有可能暴露。

5）启用MAC地址过滤功能，绑定常用设备。

6）关闭远程管理端口和路由器的DHCP功能，启用固定IP地址，不要让路由器自动分配IP地址。

7）注意固件升级.及时修补漏洞升级或换成更安全的无线路由器。

8）不管在手机端还是电脑端都应安装病毒检测安全软件。对于黑客常用的钓鱼网站等攻击手法，安全软件可以及时拦截提醒。