作為一個具備無線網絡的企業，保護無線網絡安全也是他們的工作之一。那么如何做，采取什么措施，才能保護企業的無線網絡呢？那么本文將舉例為您詳細介紹，希望，對此有所困惑的朋友，能讓您“讀有所獲”。

金融服務提供商受到為數眾多的客戶資料安全保障規則的制約。像GLBA法案(Gramm-Leach-Bliley Act)，涉及面廣而且比較抽象，但它要求對所有類型的網絡必須進行風險鑒定和評估，實現安全措施并對其進行監控，這其中就包括無線網。其他一些規定如著名的支付卡行業數據安全標準（PCI DSS），明確包含了在WLAN范圍內必須執行的標準，例如檢測異常操作，對無線傳輸的數據進行安全加密。雖然每種規則的具體情況不同，但金融服務機構通過采取以下的無線網安全最佳做法可以建立一個被全行業遵守的規則基礎：

1.了解你的敵人

要可靠保障無線網絡安全，你必須了解你所面臨的威脅。例如，PCI DSS要求每一個處理持卡人數據的組織必須對未授權的無線接入點(AP)所造成的威脅進行評估，包括那些沒有WLAN的公司。你需要從審核無線網絡安全威脅著手，找出你業務中可能會遇到的威脅，并且評估敏感數據（比如個人財務信息，持卡人信息）所面臨的風險。

2．了解你自己

許多用于減少無線網絡安全威脅的保障措施是否有成效，取決于是否準確理解了網絡的拓撲結構(包括有線和無線)，和識別已驗證設備的能力。為了制定WLAN安全審核和執行的標準，你必須維護那些已被認可的接入點和客戶的清單、它們的用戶及其地址，以及各自預期實施的安全措施。

3．減少暴露

當WLAN的使用已被授權且數據流量通過一個敏感的網段時，一些規則如PCI DSS將會全力保證用戶的安全。你可以通過對流量進行分割以減少暴露來降低風險。具體來說，就是使用防火墻對數據包進行檢查，以防止數據包進入到不需相應權限即可訪問的網段中，并實現時序同步的日志功能以記錄那些被允許和被阻止的無線通信流量。作為一項規則，那些需要無線訪問權限的網段需被看作是“隔離區”(DMZ) ：默認和否認一切，只允許必要的服務和特殊目的的流量通過。

4. 堵住漏洞

傳統無線網絡安全最佳做法，可以對所有暴露在無線網絡中的基礎設施（如接入點、控制器、DNS / DHCP服務器）的安全性進行強化。例如，更改出廠默認值、設置強度很高的管理員密碼、關閉不使用的服務、應用補丁和對系統進行滲透測試。在這一步中，你需要解決無線傳輸特有的漏洞問題，比如說你需要選擇非默認的網絡名稱（SSID）以防止意外的入侵，并通過動態頻率選擇（dynamic frequency selection）來規避射頻干擾。同時，你還可以采取措施，防止公眾場合的接入點受到物理干擾（例如，移除電纜，重置為默認設置）。

5．確保傳輸安全

目前的接入點都支持WPA2 (AES-CCMP)空中（over-the-air）加密，你需要盡可能多地使用它。如果傳統的客戶端要求的是WPA（TKIP/MIC）標注，請謹慎使用該密碼，最好是在同其他用戶隔離開的無線局域網（SSID）條件下使用。請避免WEP加密，因為更新的安全規定將不再允許使用這一冗長零碎的加密協議。此外，使用高層加密（例如，SSLv3/TLS，IPSec）可以有選擇地對敏感應用程序流和交易進行保護，同時也請不要忘了對所包含的服務器和網關的安全性進行加強。

6．限制訪問

無線網打開了一個外人可以入侵的窗口，要想避免出現這種情況除非你能對其進行控制。選擇并實施一個強有力的WLAN身份驗證措施，最好選擇有相互身份驗證的WPA2企業標準 (802.1X)。如果你所在的組織缺乏這方面的技能、基礎設施或對802.1X的客戶端支持，你還可以使用WPA2個人標準(PSK)，但請至少使用含有13個字符長度并定期更改的隨機密碼。永遠不要依靠MAC地址過濾器作為你唯一的訪問控制措施。如果你的WLAN提供guest級的互聯網訪問權限，請限制它所能訪問的內容，并對那部分網絡通信做日志，從而減少對公司業務造成的風險。#p#

7．無線監測

保護無線網絡安全有許多規則強烈建議采用全天候分布式無線入侵檢測或防御系統（WIDS/WIPS），但也允許在那些處理受控數據的站點上進行周期性的掃描。前者效率更高，效果也更加明顯，特別適用于大規模的無線局域網。無論選擇哪種方式，你都需要知道你監測的對象不僅僅是無線接入點欺詐，還包括未經授權的客戶、配置錯誤的設備、意義不明確的安全策略、安全偵查、攻擊通信流量，以及彼此相連或連到外部WLAN的異常客戶端。

8．做好準備

監測只是某種手段，你需要安裝一個WLAN事件響應程序。例如，你如何暫時屏蔽掉異常的AP？您如何找它，并從物理上移除它？你需要審查所有的掃描結果、無線入侵檢測或入侵防御系統的警報和流量日志，從而及時評估潛在的威脅。實際上，利用自動化的工具（如無線入侵檢測或入侵防御系統）對網絡連接進行跟蹤和隔離，可以實時地制止入侵。請確保監測工具能夠收集充足數據，使得事件響應和取證調查更加精確。

9．保護終端

一臺被盜的銷售點終端或一臺被黑了的筆記本電腦可以輕易獲得授權并使用加密的連接，由此侵入具有嚴密保護措施的無線網絡安全。這時，你可以采用遠程訪問安全的最佳做法，使得無線終端相互隔絕，阻止丟失和被盜的移動設備對無線網絡進行未授權的訪問。如果您的組織實施了網絡訪問控制（NAC），那么你可以對無線連接設備的完整性進行檢查，并使用主機入侵檢測或防御手段阻止終端的異常行為（如，同時對有線網絡和無線網絡進行連接）。

10．評估和改進

永遠不要認為安全措施會像預期那樣，你的安全審計人員就不會這么認為。你需要對無線連接的網絡和設備進行滲透測試，它會有意觸發WIDS/WIPS警報，捕獲通無線信流量并對其進行分析。你可以嘗試著從不同的位置去連接未經授權的設備和用戶，記錄下會發生的情況，然后通過對已發現的漏洞打上補丁來提高安全標準。你需要定時或不定時進行安全評估，以找到并修復新發現的漏洞，比如你可以通過對接入點、控制器或客戶端打上安全補丁，阻止新型的黑客攻擊。

綜上所述，如果金融企業肯花時間評估無線安全威脅、管理訪問權限、保障傳輸安全、對無線數據進行強有力的安全加密以及采取其他一些重要措施，其自身的安全性甚至可以超過審計人員的預期。