Wi-Fi(Wireless Fidelity)是IEEE定义的一个无线网络通信的工业标准。目前, Wi-Fi的发展如火如荼。无论是家庭网络还是公司网络无线技术都引起人们极大的热情。但人们并没有真正关注无线网络的安全问题。结果,很多公司的信息资源被暴露在无线威胁之下,而公司却对此茫然无知,不加干预。Wi-Fi被误用、滥用或攻击可以导致财务损失,包括与调查相关的直接成本、“宕机”时间、恢复时间等,直接成本还可包括因不遵守私有数据保密规范所导致的赔偿和罚款等,还有因公司竞争能力和价值下降造成的间接损失。
由于这些需要审核和防止未授权的网络应用所带来的各种内部和外部的压力,每一家公司,甚至包含那些禁用无线网络的公司,都必须重点管理由Wi-Fi所引起的企业风险。传统的那些用于保障应用程序、操作系统和有线通信安全的措施仍然是基本的并且是有效的措施。然而,如果缺乏对无线信号的有效控制,也就意味着有线的防御就会是形同虚设。雇员经常有意无意地连接邻近的无线网络或是一些恶意网点。一些错误配置的访问点会在公司的网络中长期打开一扇未经保护的、不可见的后门。
现存的安全策略、工具、方法必须改进以面对这些新的威胁。一种有效的网络防御系统需要控制所有影响企业的无线网络活动的能力。本文将保障企业无线网络安全的难题分为五个基本的步骤。从保障无线客户端和数据安全到审核和控制Wi-Fi连接,本文推荐了一些确保当今企业网络安全性和完整性的最佳方法。
第一招:保护无线客户端
如今,正如许多手持式设备一样,95%的便携式电脑都支持Wi-Fi。不管你的公司是否支持无线网络,这种普遍存在的客户端必须确保免受这种无线威胁的损害。无论是病毒还是TCP/IP破解,还是由那些无经验的用户所引起的未授权的、意外的Wi-Fi连接都是重点防护的内容。
传统的防御通常都部署在互联网主机上,包括文件加密、反病毒和个人防火墙程序,都应该用于Wi-Fi客户端。这些措施可以使Wi-Fi客户端与TCP/IP入侵隔离开来,如在一些网络热点主机中的无意的文件共享和蠕虫泛滥。
然而,这些措施并不能阻止那些危险的Wi-Fi连接。新的客户防御需要防止雇员与邻近的WLAN或恶意站点连接。一些未受策略控制的连接是有企图的,用于绕过公司对个人电子邮件或P2P的阻止功能。不过,大多数都是非故意的,可能由某些“零配置”("zero config")软件所引起。不管怎么说,未授权的Wi-Fi连接会由于将关键数据暴露在外而损害公司的信息资产。
为了重新获得对雇员Wi-Fi的管理和控制,需要配置所有的客户端,使其只能与经过授权的服务集标识符(SSID)相联系。因为服务集标识符是无线接入的身份标识符,是无线网络用于定位服务的一项功能,用户用它来建立与接入点之间的连接。除非企业需要,一定要拒绝所有的未事先规定的连接。为了得到最好的结果,务必采用集中化的管理策略,例如,Windows的Wi-Fi连接参数可以通过活动目录组策略对象来配置。为了阻止雇员自己增加连接,可以使用一个支持对客户端配置进行锁定的第三方的管理工具。
为了自动断开不安全的连接,需要在每一台客户端上部署一个常驻主机的Wi-Fi入侵防御程序。一个常驻主机的Wi-Fi入侵防御程序能够密切注视家用的和热点WLAN中的公司膝上型电脑,需要采取措施以加强已定义的Wi-Fi策略。在公司网络的内部和外部,需要控制在什么地方及用什么手段允许与Wi-Fi的连接,这是保护职工免受恶意攻击和所有的常见无线网络错误的唯一可靠方法。
