[[442943]]

什么是企業(yè)網(wǎng)絡(luò)安全?

企業(yè)網(wǎng)絡(luò)安全是對連接企業(yè)內(nèi)系統(tǒng)、大型機和設(shè)備(如智能手機和平板電腦)的網(wǎng)絡(luò)的保護。公司、大學、政府和其他實體使用企業(yè)網(wǎng)絡(luò)將其用戶與信息和人員聯(lián)系起來。隨著網(wǎng)絡(luò)規(guī)模和復(fù)雜性的增長，安全問題也隨之增加。

企業(yè)無線網(wǎng)絡(luò)面臨哪些安全威脅?

無線網(wǎng)絡(luò)(也稱為 Wi-Fi)缺乏有線網(wǎng)絡(luò)常見的強大安全工具，例如防火墻、入侵防御系統(tǒng)、內(nèi)容過濾器以及防病毒和反惡意軟件檢測程序;Wi-Fi 網(wǎng)絡(luò)還提供無線接入點，這些接入點很容易被滲透。由于它們可能缺乏與有線網(wǎng)絡(luò)相同的保護，無線網(wǎng)絡(luò)和設(shè)備容易受到旨在訪問企業(yè)網(wǎng)絡(luò)的各種攻擊。

攻擊者可以通過無線接入點訪問組織的網(wǎng)絡(luò)以進行惡意活動，包括數(shù)據(jù)包嗅探、創(chuàng)建惡意接入點、密碼竊取和中間人攻擊。這些攻擊可能會阻礙網(wǎng)絡(luò)連接、減慢進程，甚至會導(dǎo)致組織系統(tǒng)崩潰。

如何將企業(yè) Wi-Fi 網(wǎng)絡(luò)的風險降至最低?

網(wǎng)絡(luò)安全協(xié)議已經(jīng)發(fā)展到可以抵消不斷演變的攻擊。Wi-Fi 保護訪問3 (WPA3) 包含 128 位高級加密標準 (AES)。2018 年 6 月，Wi-Fi 聯(lián)盟開始認證支持 Wi-Fi Protected Access 3 (WPA3) 的設(shè)備，WPA3 取代了 WPA2。當 WPA3 設(shè)備可用時，用戶應(yīng)采用新標準。信息技術(shù) (IT) 安全專業(yè)人員和網(wǎng)絡(luò)管理員還應(yīng)考慮這些額外的最佳實踐，以幫助保護他們的企業(yè)Wi-Fi 網(wǎng)絡(luò)：

• 在每個網(wǎng)絡(luò)上部署無線入侵檢測系統(tǒng) (WIDS) 和無線入侵防御系統(tǒng) (WIPS)。
• 通過根據(jù)開發(fā)人員服務(wù)包發(fā)布更新所有軟件，確保現(xiàn)有設(shè)備沒有已知漏洞。
• 安全地配置設(shè)備。
• 確保所有設(shè)備符合聯(lián)邦信息處理標準 (FIPS) 140-3：加密模塊的安全要求中的加密要求(這點，在國內(nèi)遵循國密相關(guān)要求)。
• 確保符合最新的美國國家標準與技術(shù)研究所。
• 建立多因素身份驗證 (MFA) 以訪問網(wǎng)絡(luò)。如果難以實現(xiàn)，請考慮除單個共享密碼之外的其他安全身份驗證方法，例如 Active Directory 服務(wù)身份驗證或替代方法(例如，令牌)以在網(wǎng)絡(luò)中創(chuàng)建 MFA。
• 使用可擴展身份驗證協(xié)議-傳輸層安全基于證書的方法(或更好)來保護整個身份驗證事務(wù)和通信。
• 使用計數(shù)器模式密碼塊鏈接消息身份驗證代碼協(xié)議，這是無線應(yīng)用協(xié)議 2 (WAP) 企業(yè)網(wǎng)絡(luò)謹慎使用的一種 AES 加密形式。如果可能，請在開發(fā)和批準時使用符合 FIPS 140-3 (國內(nèi)，參照國密最新研究成果)的更復(fù)雜的加密技術(shù)。
• 實施與主網(wǎng)絡(luò)分離的訪客 Wi-Fi 網(wǎng)絡(luò)。使用具有多個服務(wù)集標識符 (SSID) 的路由器或使用其他無線隔離功能，以確保訪客網(wǎng)絡(luò)流量或通過使用其他無線隔離功能無法訪問組織信息。

有哪些額外的保護網(wǎng)絡(luò)?

采用主動 WIDS/WIPS 使網(wǎng)絡(luò)管理員能夠通過監(jiān)控、檢測和減輕潛在風險來創(chuàng)建和實施無線安全。WIDS 和 WIPS 都會檢測并自動斷開未經(jīng)授權(quán)的設(shè)備。WIDS 能夠自動監(jiān)控和檢測任何未經(jīng)授權(quán)的惡意接入點的存在，而 WIPS 則針對已識別的威脅部署對策。WIPS 緩解的一些常見威脅是惡意接入點、錯誤配置的接入點、客戶端錯誤關(guān)聯(lián)、未經(jīng)授權(quán)的關(guān)聯(lián)、中間人攻擊、ad-hoc 網(wǎng)絡(luò)、媒體訪問控制欺騙、蜜罐/邪惡雙胞胎攻擊和拒絕-服務(wù)攻擊。

以下列表包括保護 WIDS/WIPS 傳感器網(wǎng)絡(luò)的最佳實踐。管理員應(yīng)根據(jù)當?shù)氐目紤]和適用的合規(guī)要求定制這些做法。

使用惡意檢測流程功能。無論違規(guī)設(shè)備使用何種身份驗證或加密技術(shù)(例如，網(wǎng)絡(luò)地址轉(zhuǎn)換、加密、軟 WAP)，此功能都應(yīng)檢測通過惡意客戶端或 WAP 的 Wi-Fi 訪問。

• 將 WIDS/WIPS 傳感器設(shè)置為
  • 檢測連接到有線或無線網(wǎng)絡(luò)的 802.11a/b/g/n/ac 設(shè)備;
  • 通過多個無線通道檢測并阻止來自單個傳感器設(shè)備的多個 WAP。
• 在每個子網(wǎng)和跨多個子網(wǎng)實施“無 Wi-Fi”策略。
• 在傳感器和服務(wù)器之間提供最低限度的安全通信，并確定特定的最低允許 Kbps——系統(tǒng)應(yīng)根據(jù)企業(yè)策略和治理提供客戶端和 WAP 的自動分類。
• 提供可定制的自動化(事件觸發(fā))和計劃報告。
• 基于企業(yè)需求的細分報告和管理。
• 通過生成事件日志和實時數(shù)據(jù)包捕獲，并直接在分析員工作站上顯示。
• 導(dǎo)入場地圖紙以滿足場地規(guī)劃和位置跟蹤要求。
• 在應(yīng)用程序中手動創(chuàng)建具有自動縮放功能的簡單建筑布局。
• 以電子方式將傳感器和 WAP 放置在建筑地圖上，以保持傳感器放置和未來位置的準確記錄。
• 至少有四個不同級別的權(quán)限，允許 WIPS 管理員將特定的視圖和管理員權(quán)限委派給其他管理員。
• 滿足所有適用標準，如政府相關(guān)文件及采購條例等。

參考來源：美國CISA官網(wǎng)