看辦公Wi-Fi領域的“變形金剛”如何守護無線安全
無線其實是把雙刃劍。無線辦公給企業帶來無限便利的同時,也因為無線的空間蔓延特性,打破了原來有線的物理邊界,從而帶來信息安全問題。由于“信息安全”的領域非常廣泛,涉及到的安全產品品類也非常豐富,文中的方案介紹主要聚焦在“無線安全”的剖析和解決。
企業無線辦公,想用卻不敢用
打破了網絡邊界
無線帶來的安全問題,首先是打破了企業的網絡邊界,沒有無線之前,如果要想接入企業內網,需要越過門衛、進入企業的大門。而現在,我們可以經常在墻外掃到各家企業的內網無線信號。這給了入侵者可乘之機。
打破了終端邊界
BYOD使自有終端變成了辦公終端,除了筆記本,手機也成為辦公終端,通訊錄、移動OA、會議APP等已經成為企業辦公人員手機的標配。終端自由移動和接入不同的網絡會帶來系統被入侵的威脅,最終導致企業內網被入侵。
流氓Wi-Fi給企業帶來致命威脅
企業的有線網絡往往沒有準入,可以直接接入。而員工從有線網絡中私接Wi-Fi出來,會導致其他人也可以無準入地進入企業內網。
Wi-Fi攻擊成本越來越低
釣魚Wi-Fi大家都不陌生,其攻擊門檻非常低,可以說只要他有心釣你,有機會釣你,就能釣到。試想如果調到的是一個重要人士(比如服務器管理員)的賬戶信息,那將是一件多么恐怖的事情。
無線安全,怎么考慮?
關于無線安全問題的本質——“無線打破網絡邊界”,有用戶曾提出,你能讓Wi-Fi成“斷崖式”覆蓋么?讓它在哪里沒信號,就在哪里沒信號。很遺憾地告訴大家,目前世界上還不存在這種技術。那么,我們如何看待和處理無線安全問題呢?安全界有幾個樸素的真理:
- 沒有絕對的安全。
- 安全的目標在于防御,也就是防患于未然。
- 防御的目標在于讓攻擊成本大于攻擊收益,沒啥值得別人惦記的,就別買安全產品了。
- 一個初級目標,讓你的攻擊成本大于隔壁老王的就好了。
從防御的角度,我們怎么考慮無線安全呢?
一個終端在接入Wi-Fi、并使用Wi-Fi網絡的時候,需要回答以下幾個問題
你是誰?身份問題
你安全么?終端和射頻安全問題
你想干嘛?資源授權問題
你在干嘛?行為審計問題
其中,1-3點都和無線關系密切,分別為無線網絡的準入策略、防入侵策略和隔離策略。
銳捷觀點:保障無線辦公網的安全,需要從三個維度考慮。
- 嚴苛的準入和認證;
- 不同安全等級的區域隔離;
- 主動式防御,預先知悉網絡中攻擊及風險,做出及時響應;
無線NEW辦公,讓企業無線更安全
通過銳捷AP場景化、等級化的準入認證方案,AP虛擬化隔離技術,以及主動出擊的安全雷達,實現強防御、高隔離的安全辦公。
場景化、等級化的準入認證
針對業務網、訪客網、辦公網等不同場景的終端,采取不同嚴苛級別的安全準入策略,并給不同角色的終端分配不同權限的資源。
準入安全等
典型場景準入推薦
深度的安全域隔離
通過AP虛擬化技術,采用多隧道、多控制器的安全隔離,將不同安全等級的網絡進行隔離,不允許互相訪問,保核心業務安全。每張網有獨立的控制器,不僅安全并且可靠。
主動出擊的“安全雷達”
724小時360°無損全方位主動掃描,智能分析無線網絡中存在的威脅及風險,準確定位信號來源以及受害終端,并構建一套掃描->識別->告警->防御的聯動機制,使辦公網絡安全可視可知可防御,使可疑威脅無處匿藏。
“安全雷達”通過銳捷的本地化WIS--“Wi-Fi魔鏡”軟件實現
銳捷無線NEW辦公之“安全辦公”,不僅僅交付產品,更能夠給決策者賦予持續抵抗無線威脅的能力、看懂無線安全現狀的能力、自主無線安全運維的能力。
Tips:銳捷無線安全辦公方案,就是絕對安全了么?回答是No,沒有絕對的安全。安全辦公方案只是在有限的成本范圍內,大幅地增加了攻擊成本。本案中無線安全雷達可免費使用;如需無線業務隔離,建議多采購一臺控制器。
“無線安全辦公”方案清單
