有線網(wǎng)絡(luò)已死！這是對無線網(wǎng)絡(luò)最樂觀的估計，雖然這樣的結(jié)論只能歸結(jié)到標(biāo)新立異，但是從應(yīng)用發(fā)展趨勢來看，無線網(wǎng)絡(luò)確實(shí)已經(jīng)成為網(wǎng)絡(luò)中最重要的接入技術(shù)，并且逐漸有取代有線網(wǎng)絡(luò)的趨勢。與此相伴而來的，是無線網(wǎng)絡(luò)安全問題的再次凸顯。特別是對大型園區(qū)而言，一旦無線網(wǎng)絡(luò)受到威脅，輕則導(dǎo)致數(shù)據(jù)丟失，重則發(fā)生業(yè)務(wù)中斷的嚴(yán)重后果。正是基于這樣的考慮，日前，西安高新技術(shù)產(chǎn)業(yè)開發(fā)區(qū)管理委員會（以下簡稱：高新區(qū)管委會）在進(jìn)行網(wǎng)絡(luò)建設(shè)的時候，就通過在無線上網(wǎng)認(rèn)證系統(tǒng)服務(wù)器部署浪潮主機(jī)安全增強(qiáng)系統(tǒng)（以下簡稱：浪潮SSR），成功守衛(wèi)了無線網(wǎng)絡(luò)安全的大門。

無線網(wǎng)絡(luò)：方便升級 安全堪憂

“我們高新區(qū)是1991年3月經(jīng)國務(wù)院首批批準(zhǔn)的國家級高新區(qū)。24年來，高新區(qū)主要經(jīng)濟(jì)指標(biāo)增長迅猛，綜合指標(biāo)位于全國114個國家級高新區(qū)第三位。” 高新區(qū)管委會負(fù)責(zé)人表示，“現(xiàn)在，我們決定在管委會以及附近區(qū)域部署無線網(wǎng)絡(luò)，作為未來整個高新區(qū)無線網(wǎng)絡(luò)的試點(diǎn)工程。未來，我們將會在高新區(qū)的所有企業(yè)和公共區(qū)域部署無線網(wǎng)絡(luò)，逐漸替代有線網(wǎng)絡(luò)。”

無線網(wǎng)絡(luò)可以提供更為靈活的接入，但是安全的防護(hù)卻比有線網(wǎng)絡(luò)更為困難，這是因為無線網(wǎng)絡(luò)和有線網(wǎng)絡(luò)最大的區(qū)別就是，一個是隨時隨地，只要有信號就可以展開攻擊；一個是必須依賴于有一個網(wǎng)絡(luò)接口。而且通常情況下，一個私自搭建的無線接入點(diǎn)很可能會破壞掉整個防御體系。

“如何確保無線網(wǎng)絡(luò)的安全是讓我們十分頭疼的事，”該負(fù)責(zé)人表示，“這是因為我們的無線網(wǎng)絡(luò)必須保證萬無一失。”高新區(qū)管委會對無線網(wǎng)絡(luò)安全問題如此重視，是有兩個原因：未來無線網(wǎng)絡(luò)將承接園區(qū)內(nèi)企業(yè)的生產(chǎn)系統(tǒng)；無線網(wǎng)絡(luò)的身份認(rèn)證系統(tǒng)與系統(tǒng)中的其他部分相連。因為承接園區(qū)的生產(chǎn)系統(tǒng)，那么無線網(wǎng)絡(luò)就和水和電一樣，都是最基礎(chǔ)的資源，一旦網(wǎng)絡(luò)出現(xiàn)問題，就面臨業(yè)務(wù)中斷的風(fēng)險。

而從目前無線網(wǎng)絡(luò)的架構(gòu)來看，身份認(rèn)證服務(wù)器是守衛(wèi)在無線網(wǎng)絡(luò)管理的要害部位。用戶從AP連接無線，首先進(jìn)行的是身份認(rèn)證過程，在這個過程中，認(rèn)證服務(wù)器會將User Profile名稱下發(fā)給無線控制器，控制器會立即啟用User Profile里配置的具體內(nèi)容。當(dāng)用戶通過認(rèn)證訪問設(shè)備時，控制器將通過這些具體內(nèi)容限制用戶的訪問行為。當(dāng)用戶下線時，系統(tǒng)會自動禁用User Profile下的配置項，從而取消User Profile對用戶的限定。一旦黑客通過上網(wǎng)認(rèn)證系統(tǒng)窗口反向攻擊系統(tǒng)服務(wù)器，獲取服務(wù)器權(quán)限之后，就可順延攻擊企業(yè)內(nèi)部網(wǎng)絡(luò)中其它重要服務(wù)器，從而導(dǎo)致整個無線網(wǎng)絡(luò)系統(tǒng)癱瘓。

雖然身份認(rèn)證服務(wù)器守衛(wèi)了無線網(wǎng)絡(luò)的關(guān)鍵入口，但是本身的安全情況并不客觀。一方面，系統(tǒng)漏洞的“真空期”無法避免。從操作系統(tǒng)漏洞被發(fā)現(xiàn)，到最后廠商發(fā)布可以穩(wěn)定運(yùn)行的補(bǔ)丁，一般有3到6個月的“真空期”，這段時間內(nèi)便是操作系統(tǒng)最脆弱的時期，最容易被攻破。另一方面，系統(tǒng)維護(hù)也存在風(fēng)險。超級用戶權(quán)限都不受限制，其采用的“用戶名+口令”的單一認(rèn)證方式無法有效應(yīng)對黑客使用暴力破解的攻擊方式。而在日常維護(hù)方面，系統(tǒng)人為加固“補(bǔ)丁”更新不及時。這些都給黑客以可乘之機(jī)。

“正是基于以上的分析，我們決定在加強(qiáng)無線網(wǎng)絡(luò)的安全防護(hù)之時，把上網(wǎng)認(rèn)證系統(tǒng)服務(wù)器作為一個重要的部分。”該負(fù)責(zé)人表示。

浪潮SSR為無線網(wǎng)絡(luò)把好安全關(guān)

在制訂了安全策略之后，管委會考察了多個解決方案之后，經(jīng)過綜合評估，選定了浪潮SSR對服務(wù)器底層進(jìn)行安全加固，防止無線上網(wǎng)認(rèn)證系統(tǒng)服務(wù)器被惡意攻擊者利用。“之所以選擇浪潮SSR，是因為我們研究了SSR的工作原理，浪潮SSR通過ROST技術(shù)原理，能夠?qū)Ψ?wù)器設(shè)置訪問控制規(guī)則，對系統(tǒng)內(nèi)核層進(jìn)行加固，能夠幫助我們的無線網(wǎng)絡(luò)把好安全關(guān)。”該負(fù)責(zé)人說。

通過在驅(qū)動層加上安全內(nèi)核模塊，SSR攔截了所有的內(nèi)核訪問路徑，所有符合高新區(qū)無線網(wǎng)絡(luò)規(guī)則的文件、注冊表、進(jìn)程、服務(wù)、權(quán)限都予以“放行”，不符合規(guī)則的就進(jìn)行屏蔽。這樣的強(qiáng)制訪問控制功能可以確保操作系統(tǒng)用戶不被新建、權(quán)限不被更改，惡意攻擊者如果想通過無線網(wǎng)絡(luò)上網(wǎng)認(rèn)證系統(tǒng)攻擊服務(wù)器，將無法創(chuàng)建用戶并提權(quán)。

針對系統(tǒng)“真空期”的容易受到攻擊的問題，浪潮SSR不需要依賴病毒行為特征庫來識別攻擊，而是采用白名單防護(hù)技術(shù)。這就把事后“修補(bǔ)”變?yōu)榱藦氐?ldquo;免疫”，徹底杜絕了“真空期”的存在，保證了系統(tǒng)的安全運(yùn)行。

即使最壞的情況發(fā)生，惡意攻擊者暴力破解現(xiàn)有操作系統(tǒng)管理員權(quán)限，也無線對系統(tǒng)造成實(shí)質(zhì)性的傷害，這是因為浪潮SSR三權(quán)分立技術(shù)，把系統(tǒng)管理員、安全管理員和審計管理權(quán)限分開，系統(tǒng)管理員能做的事情由安全管理員分配，安全管理員無法直接對系統(tǒng)操作，而審計管理員對前兩者進(jìn)行完整操作記錄，確保操作系統(tǒng)管理員權(quán)限被獲取也無法對操作系統(tǒng)造成破壞。

 “在無線網(wǎng)絡(luò)的環(huán)境中，SSR守護(hù)的這道安全門非常重要。”該負(fù)責(zé)人表示，“有了浪潮SSR為我們的無線網(wǎng)絡(luò)站崗之后，我們對無線網(wǎng)絡(luò)的應(yīng)用增強(qiáng)了信心，也給未來使用的企業(yè)吃了定心丸。”