為企業(yè)無(wú)線網(wǎng)絡(luò)安全保駕護(hù)航
原創(chuàng)隨著移動(dòng)辦公的普及,方便、快速的無(wú)線網(wǎng)絡(luò)已經(jīng)成為了眾多企業(yè)的首選。采用無(wú)線網(wǎng)絡(luò)辦公,能夠擺脫龐雜網(wǎng)絡(luò)聯(lián)線的束縛,極大地提高辦公效率,較好地方便企業(yè)的日常辦公。
無(wú)線網(wǎng)絡(luò)的出現(xiàn)提高了企業(yè)的辦公效率,但同時(shí)也帶來(lái)了巨大的安全隱患。無(wú)線網(wǎng)絡(luò)安全威脅主要表現(xiàn)為:插入攻擊、漫游攻擊者、欺詐性接入點(diǎn)、雙面惡魔攻擊、竊取網(wǎng)絡(luò)資源、對(duì)無(wú)線通信的劫持和監(jiān)視。當(dāng)然,還有其它一些威脅,如客戶端對(duì)客戶端的攻擊(包括拒絕服務(wù)攻擊)、干擾、對(duì)加密系統(tǒng)的攻擊、錯(cuò)誤的配置等。(想要了解更多,請(qǐng)點(diǎn)擊閱讀:無(wú)線網(wǎng)絡(luò)安全威脅無(wú)處不在)
無(wú)線辦公有風(fēng)險(xiǎn) 企業(yè)安全防護(hù)面臨巨大挑戰(zhàn)
諸多的無(wú)線安全威脅給企業(yè)安全防護(hù)帶來(lái)了巨大挑戰(zhàn),這主要表現(xiàn)為:
◆網(wǎng)絡(luò)帶寬被盜用
很多企業(yè)使用無(wú)線路由器或者是無(wú)線AP組建無(wú)線網(wǎng)絡(luò),非法接入者只要在企業(yè)無(wú)線網(wǎng)絡(luò)的覆蓋范圍之內(nèi)就可以盜用企業(yè)的帶寬資源,這樣會(huì)導(dǎo)致企業(yè)網(wǎng)絡(luò)出現(xiàn)擁塞的現(xiàn)象。
◆企業(yè)商業(yè)機(jī)密外泄
企業(yè)網(wǎng)絡(luò)中通常會(huì)存放企業(yè)的一些商業(yè)合同及客戶資料等,入侵者一旦成功登錄無(wú)線網(wǎng)絡(luò),企業(yè)的商業(yè)機(jī)密將會(huì)受到威脅。對(duì)于企業(yè)的資料,入侵者可以隨意復(fù)制、刪除或更改,有可能使企業(yè)的正常運(yùn)營(yíng)受到相應(yīng)的影響。
◆危及企業(yè)電腦安全
時(shí)下,一些技術(shù)高超的“黑客”們可以通過(guò)互聯(lián)網(wǎng)控制企業(yè)網(wǎng)絡(luò)的電腦,無(wú)線網(wǎng)絡(luò)自然也不例外。開(kāi)放式的無(wú)線網(wǎng)絡(luò),為黑客入侵企業(yè)網(wǎng)絡(luò)制造了便利條件。一旦黑客登錄了企業(yè)網(wǎng)絡(luò),企業(yè)的電腦將會(huì)被黑客玩弄于股掌之間,企業(yè)電腦的硬盤(pán)被格式化也絕不是危言聳聽(tīng)。
實(shí)施有效的無(wú)線安全防護(hù)手段,為企業(yè)保駕護(hù)航
◆保護(hù)企業(yè)無(wú)線網(wǎng)絡(luò),要做好基本的安全防護(hù)
針對(duì)無(wú)線網(wǎng)絡(luò)安全隱患,可采用多種安全工具和技術(shù)來(lái)幫助企業(yè)保護(hù)其無(wú)線網(wǎng)絡(luò)的安全性,具體的防護(hù)手段如下:
1、防火墻:一個(gè)強(qiáng)健的防火墻可以有效地阻止入侵者通過(guò)無(wú)線設(shè)備進(jìn)入企業(yè)網(wǎng)絡(luò)的企圖。
2、安全標(biāo)準(zhǔn):最早的安全標(biāo)準(zhǔn)WEP已經(jīng)被證明是極端不安全的,并易于受到安全攻擊。而更新的規(guī)范,如WPA、WPA2及IEEE802.11i是更加強(qiáng)健的安全工具,采用無(wú)線網(wǎng)絡(luò)的企業(yè)應(yīng)當(dāng)充分利用這兩種技術(shù)中的某一種。
3、加密和身份驗(yàn)證:WPA、WPA2及IEEE802.11i支持內(nèi)置的高級(jí)加密和身份驗(yàn)證技術(shù),WPA2和802.11i都提供了對(duì)AES(高級(jí)加密標(biāo)準(zhǔn))的支持,這項(xiàng)規(guī)范已為許多政府機(jī)構(gòu)所采用。
4、漏洞掃描:許多攻擊者利用網(wǎng)絡(luò)掃描器不斷地發(fā)送探查鄰近接入點(diǎn)的消息,如探查其SSID、MAC等信息。而企業(yè)可以利用同樣的方法來(lái)找出其無(wú)線網(wǎng)絡(luò)中可被攻擊者利用的漏洞,如可以找出一些不安全的接入點(diǎn)等。
5、降低功率:一些無(wú)線路由器和接入點(diǎn)準(zhǔn)許用戶降低發(fā)射器的功率,從而減少設(shè)備的覆蓋范圍,這是一個(gè)限制非法用戶訪問(wèn)的實(shí)用方法,同時(shí),仔細(xì)地調(diào)整天線的位置也可有助于防止信號(hào)被截取。
6、加強(qiáng)員工培訓(xùn):企業(yè)要培訓(xùn)雇員正確使用無(wú)線設(shè)備,要求雇員報(bào)告其檢測(cè)到或發(fā)現(xiàn)的任何不正常或可疑的活動(dòng)。#p#
◆按企業(yè)自身需求,實(shí)施無(wú)線安全防護(hù)
不同企業(yè)無(wú)線網(wǎng)絡(luò)的連接方式、資源配置、人員配備等情況也不同,因此,不同企業(yè)遭受無(wú)線網(wǎng)絡(luò)安全隱患威脅的程度也有所不同,同時(shí),需要的技術(shù)支持也就有所區(qū)別。
對(duì)于小型企業(yè)來(lái)說(shuō),大部分小型企業(yè)的預(yù)算有限,沒(méi)有全天候的網(wǎng)管人員,更沒(méi)有專(zhuān)業(yè)的無(wú)線網(wǎng)絡(luò)安全管理專(zhuān)家。因此,為確保小型企業(yè)的無(wú)線網(wǎng)絡(luò)安全可以采用以下安全措施:
(1)將無(wú)線接取點(diǎn)的涵蓋范圍盡可能縮小,遠(yuǎn)處入侵者必須使用高增益天線才能收取到信號(hào)。
(2)在暫時(shí)不需要使用無(wú)線網(wǎng)絡(luò)時(shí),將WAP關(guān)閉。
(3)加密是免費(fèi)安裝的最好安全措施之一。最好使用WPA而不是WEP來(lái)進(jìn)行加密動(dòng)作,因?yàn)楹笳哌h(yuǎn)比前者脆弱容易被破解。要使用WPA,可能需要更新WAP及無(wú)線NIC,但這些花費(fèi)都是值得的。
對(duì)于大中型企業(yè)來(lái)說(shuō),建議采用WPA2安全加密方案來(lái)解決無(wú)線網(wǎng)絡(luò)安全隱患的問(wèn)題,同時(shí)還應(yīng)限制未經(jīng)設(shè)定的無(wú)線接取點(diǎn)的出現(xiàn),并定期進(jìn)行監(jiān)測(cè)追蹤,具體安全措施如下:
(1)使用防火墻把公司一個(gè)或多個(gè)無(wú)線網(wǎng)絡(luò)分開(kāi),或考慮在DMZ或周邊網(wǎng)絡(luò)內(nèi)布建無(wú)線存取網(wǎng)絡(luò),同時(shí)要求無(wú)線網(wǎng)絡(luò)上的使用者在連接有線網(wǎng)絡(luò)的時(shí)候使用VPN,這樣能有效保護(hù)有線網(wǎng)絡(luò)不會(huì)因?yàn)闊o(wú)線網(wǎng)的受侵害而遭到威脅。
(2)使用IDS或響應(yīng)傳感器來(lái)監(jiān)控?zé)o線網(wǎng)絡(luò)上的所有聯(lián)機(jī),使用網(wǎng)絡(luò)訪問(wèn)保護(hù)來(lái)管理無(wú)線客戶端,這樣可以在計(jì)算機(jī)使用網(wǎng)絡(luò)前,確認(rèn)已正確設(shè)定。
(3)進(jìn)行無(wú)線網(wǎng)絡(luò)的穿透測(cè)試,以此評(píng)估無(wú)線網(wǎng)絡(luò)的安全威脅,進(jìn)而加以解決。
◆考慮BYOD辦公特性,做好企業(yè)無(wú)線安全防護(hù)
BYOD辦公方便了人們的生活,實(shí)現(xiàn)了隨時(shí)隨地高效辦公,為企業(yè)節(jié)省了IT成本。然而數(shù)量繁多、種類(lèi)各異移動(dòng)設(shè)備的接入?yún)s給企業(yè)的無(wú)線網(wǎng)絡(luò)安全帶來(lái)了巨大的挑戰(zhàn)。由于企業(yè)很難管控移動(dòng)設(shè)備的應(yīng)用場(chǎng)景,也難以控制員工在本地對(duì)設(shè)備數(shù)據(jù)的讀取。因此,要保證企業(yè)無(wú)線網(wǎng)絡(luò)安全和移動(dòng)數(shù)據(jù)安全,必須采用全新的防護(hù)邏輯。
因此,我們?cè)谧龊靡陨咸岬降膬煞矫娴幕A(chǔ)上,更應(yīng)該注意到BYOD辦公特性,并做好移動(dòng)設(shè)備管控,實(shí)施安全策略保護(hù)企業(yè)無(wú)線安全。目前,市面上適用于移動(dòng)設(shè)備安全管理的產(chǎn)品有:MDM(Mobile Device Management 移動(dòng)設(shè)備管理)或MEM(Mobile Application Management 移動(dòng)應(yīng)用管理)平臺(tái)解決方案、趨勢(shì)科技Safe Mobile Workforce解決方案等,企業(yè)可以根據(jù)自己的需求來(lái)選擇。
