作為一個(gè)具備無(wú)線網(wǎng)絡(luò)的企業(yè)，保護(hù)無(wú)線網(wǎng)絡(luò)安全也是他們的工作之一。那么如何做，采取什么措施，才能保護(hù)企業(yè)的無(wú)線網(wǎng)絡(luò)呢？那么本文將舉例為您詳細(xì)介紹，希望，對(duì)此有所困惑的朋友，能讓您“讀有所獲”。

金融服務(wù)提供商受到為數(shù)眾多的客戶資料安全保障規(guī)則的制約。像GLBA法案(Gramm-Leach-Bliley Act)，涉及面廣而且比較抽象，但它要求對(duì)所有類(lèi)型的網(wǎng)絡(luò)必須進(jìn)行風(fēng)險(xiǎn)鑒定和評(píng)估，實(shí)現(xiàn)安全措施并對(duì)其進(jìn)行監(jiān)控，這其中就包括無(wú)線網(wǎng)。其他一些規(guī)定如著名的支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)（PCI DSS），明確包含了在WLAN范圍內(nèi)必須執(zhí)行的標(biāo)準(zhǔn)，例如檢測(cè)異常操作，對(duì)無(wú)線傳輸?shù)臄?shù)據(jù)進(jìn)行安全加密。雖然每種規(guī)則的具體情況不同，但金融服務(wù)機(jī)構(gòu)通過(guò)采取以下的無(wú)線網(wǎng)安全最佳做法可以建立一個(gè)被全行業(yè)遵守的規(guī)則基礎(chǔ)：

1.了解你的敵人

要可靠保障無(wú)線網(wǎng)絡(luò)安全，你必須了解你所面臨的威脅。例如，PCI DSS要求每一個(gè)處理持卡人數(shù)據(jù)的組織必須對(duì)未授權(quán)的無(wú)線接入點(diǎn)(AP)所造成的威脅進(jìn)行評(píng)估，包括那些沒(méi)有WLAN的公司。你需要從審核無(wú)線網(wǎng)絡(luò)安全威脅著手，找出你業(yè)務(wù)中可能會(huì)遇到的威脅，并且評(píng)估敏感數(shù)據(jù)（比如個(gè)人財(cái)務(wù)信息，持卡人信息）所面臨的風(fēng)險(xiǎn)。

2．了解你自己

許多用于減少無(wú)線網(wǎng)絡(luò)安全威脅的保障措施是否有成效，取決于是否準(zhǔn)確理解了網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)(包括有線和無(wú)線)，和識(shí)別已驗(yàn)證設(shè)備的能力。為了制定WLAN安全審核和執(zhí)行的標(biāo)準(zhǔn)，你必須維護(hù)那些已被認(rèn)可的接入點(diǎn)和客戶的清單、它們的用戶及其地址，以及各自預(yù)期實(shí)施的安全措施。

3．減少暴露

當(dāng)WLAN的使用已被授權(quán)且數(shù)據(jù)流量通過(guò)一個(gè)敏感的網(wǎng)段時(shí)，一些規(guī)則如PCI DSS將會(huì)全力保證用戶的安全。你可以通過(guò)對(duì)流量進(jìn)行分割以減少暴露來(lái)降低風(fēng)險(xiǎn)。具體來(lái)說(shuō)，就是使用防火墻對(duì)數(shù)據(jù)包進(jìn)行檢查，以防止數(shù)據(jù)包進(jìn)入到不需相應(yīng)權(quán)限即可訪問(wèn)的網(wǎng)段中，并實(shí)現(xiàn)時(shí)序同步的日志功能以記錄那些被允許和被阻止的無(wú)線通信流量。作為一項(xiàng)規(guī)則，那些需要無(wú)線訪問(wèn)權(quán)限的網(wǎng)段需被看作是“隔離區(qū)”(DMZ) ：默認(rèn)和否認(rèn)一切，只允許必要的服務(wù)和特殊目的的流量通過(guò)。

4. 堵住漏洞

傳統(tǒng)無(wú)線網(wǎng)絡(luò)安全最佳做法，可以對(duì)所有暴露在無(wú)線網(wǎng)絡(luò)中的基礎(chǔ)設(shè)施（如接入點(diǎn)、控制器、DNS / DHCP服務(wù)器）的安全性進(jìn)行強(qiáng)化。例如，更改出廠默認(rèn)值、設(shè)置強(qiáng)度很高的管理員密碼、關(guān)閉不使用的服務(wù)、應(yīng)用補(bǔ)丁和對(duì)系統(tǒng)進(jìn)行滲透測(cè)試。在這一步中，你需要解決無(wú)線傳輸特有的漏洞問(wèn)題，比如說(shuō)你需要選擇非默認(rèn)的網(wǎng)絡(luò)名稱(chēng)（SSID）以防止意外的入侵，并通過(guò)動(dòng)態(tài)頻率選擇（dynamic frequency selection）來(lái)規(guī)避射頻干擾。同時(shí)，你還可以采取措施，防止公眾場(chǎng)合的接入點(diǎn)受到物理干擾（例如，移除電纜，重置為默認(rèn)設(shè)置）。

5．確保傳輸安全

目前的接入點(diǎn)都支持WPA2 (AES-CCMP)空中（over-the-air）加密，你需要盡可能多地使用它。如果傳統(tǒng)的客戶端要求的是WPA（TKIP/MIC）標(biāo)注，請(qǐng)謹(jǐn)慎使用該密碼，最好是在同其他用戶隔離開(kāi)的無(wú)線局域網(wǎng)（SSID）條件下使用。請(qǐng)避免WEP加密，因?yàn)楦碌陌踩?guī)定將不再允許使用這一冗長(zhǎng)零碎的加密協(xié)議。此外，使用高層加密（例如，SSLv3/TLS，IPSec）可以有選擇地對(duì)敏感應(yīng)用程序流和交易進(jìn)行保護(hù)，同時(shí)也請(qǐng)不要忘了對(duì)所包含的服務(wù)器和網(wǎng)關(guān)的安全性進(jìn)行加強(qiáng)。

6．限制訪問(wèn)

無(wú)線網(wǎng)打開(kāi)了一個(gè)外人可以入侵的窗口，要想避免出現(xiàn)這種情況除非你能對(duì)其進(jìn)行控制。選擇并實(shí)施一個(gè)強(qiáng)有力的WLAN身份驗(yàn)證措施，最好選擇有相互身份驗(yàn)證的WPA2企業(yè)標(biāo)準(zhǔn) (802.1X)。如果你所在的組織缺乏這方面的技能、基礎(chǔ)設(shè)施或?qū)?02.1X的客戶端支持，你還可以使用WPA2個(gè)人標(biāo)準(zhǔn)(PSK)，但請(qǐng)至少使用含有13個(gè)字符長(zhǎng)度并定期更改的隨機(jī)密碼。永遠(yuǎn)不要依靠MAC地址過(guò)濾器作為你唯一的訪問(wèn)控制措施。如果你的WLAN提供guest級(jí)的互聯(lián)網(wǎng)訪問(wèn)權(quán)限，請(qǐng)限制它所能訪問(wèn)的內(nèi)容，并對(duì)那部分網(wǎng)絡(luò)通信做日志，從而減少對(duì)公司業(yè)務(wù)造成的風(fēng)險(xiǎn)。#p#

7．無(wú)線監(jiān)測(cè)

保護(hù)無(wú)線網(wǎng)絡(luò)安全有許多規(guī)則強(qiáng)烈建議采用全天候分布式無(wú)線入侵檢測(cè)或防御系統(tǒng)（WIDS/WIPS），但也允許在那些處理受控?cái)?shù)據(jù)的站點(diǎn)上進(jìn)行周期性的掃描。前者效率更高，效果也更加明顯，特別適用于大規(guī)模的無(wú)線局域網(wǎng)。無(wú)論選擇哪種方式，你都需要知道你監(jiān)測(cè)的對(duì)象不僅僅是無(wú)線接入點(diǎn)欺詐，還包括未經(jīng)授權(quán)的客戶、配置錯(cuò)誤的設(shè)備、意義不明確的安全策略、安全偵查、攻擊通信流量，以及彼此相連或連到外部WLAN的異?？蛻舳?。

8．做好準(zhǔn)備

監(jiān)測(cè)只是某種手段，你需要安裝一個(gè)WLAN事件響應(yīng)程序。例如，你如何暫時(shí)屏蔽掉異常的AP？您如何找它，并從物理上移除它？你需要審查所有的掃描結(jié)果、無(wú)線入侵檢測(cè)或入侵防御系統(tǒng)的警報(bào)和流量日志，從而及時(shí)評(píng)估潛在的威脅。實(shí)際上，利用自動(dòng)化的工具（如無(wú)線入侵檢測(cè)或入侵防御系統(tǒng)）對(duì)網(wǎng)絡(luò)連接進(jìn)行跟蹤和隔離，可以實(shí)時(shí)地制止入侵。請(qǐng)確保監(jiān)測(cè)工具能夠收集充足數(shù)據(jù)，使得事件響應(yīng)和取證調(diào)查更加精確。

9．保護(hù)終端

一臺(tái)被盜的銷(xiāo)售點(diǎn)終端或一臺(tái)被黑了的筆記本電腦可以輕易獲得授權(quán)并使用加密的連接，由此侵入具有嚴(yán)密保護(hù)措施的無(wú)線網(wǎng)絡(luò)安全。這時(shí)，你可以采用遠(yuǎn)程訪問(wèn)安全的最佳做法，使得無(wú)線終端相互隔絕，阻止丟失和被盜的移動(dòng)設(shè)備對(duì)無(wú)線網(wǎng)絡(luò)進(jìn)行未授權(quán)的訪問(wèn)。如果您的組織實(shí)施了網(wǎng)絡(luò)訪問(wèn)控制（NAC），那么你可以對(duì)無(wú)線連接設(shè)備的完整性進(jìn)行檢查，并使用主機(jī)入侵檢測(cè)或防御手段阻止終端的異常行為（如，同時(shí)對(duì)有線網(wǎng)絡(luò)和無(wú)線網(wǎng)絡(luò)進(jìn)行連接）。

10．評(píng)估和改進(jìn)

永遠(yuǎn)不要認(rèn)為安全措施會(huì)像預(yù)期那樣，你的安全審計(jì)人員就不會(huì)這么認(rèn)為。你需要對(duì)無(wú)線連接的網(wǎng)絡(luò)和設(shè)備進(jìn)行滲透測(cè)試，它會(huì)有意觸發(fā)WIDS/WIPS警報(bào)，捕獲通無(wú)線信流量并對(duì)其進(jìn)行分析。你可以嘗試著從不同的位置去連接未經(jīng)授權(quán)的設(shè)備和用戶，記錄下會(huì)發(fā)生的情況，然后通過(guò)對(duì)已發(fā)現(xiàn)的漏洞打上補(bǔ)丁來(lái)提高安全標(biāo)準(zhǔn)。你需要定時(shí)或不定時(shí)進(jìn)行安全評(píng)估，以找到并修復(fù)新發(fā)現(xiàn)的漏洞，比如你可以通過(guò)對(duì)接入點(diǎn)、控制器或客戶端打上安全補(bǔ)丁，阻止新型的黑客攻擊。

綜上所述，如果金融企業(yè)肯花時(shí)間評(píng)估無(wú)線安全威脅、管理訪問(wèn)權(quán)限、保障傳輸安全、對(duì)無(wú)線數(shù)據(jù)進(jìn)行強(qiáng)有力的安全加密以及采取其他一些重要措施，其自身的安全性甚至可以超過(guò)審計(jì)人員的預(yù)期。