保持网络安全至关重要。网络负责用户、各部门、分支机构以及客户之间的数据传输,可谓公司的命脉。若公司的网络处于不安全,也就无法保证公司的安全,置公司于危险境地。值得注意的是,如今几乎每个公司都有某种类型的无线网络,部署和采用无线网络已是一种趋势,而且这种趋势在全球范围内日益突出。
因此,很有必要将Wi-Fi 纳入公司的IT 战略,在公司的IT 政策文件中作重点阐述。组织的IT 政策文件有助于确保组织用户知晓任何潜在安全风险以及如何保护自身和网络的安全。那么,如何保持无线网络的安全性呢?本文围绕这一重要问题介绍一些方法,帮助您时刻保持高度安全意识。
如何保持无线网络的安全性?
若未合理配置,无线网络可能会遭遇各种方式的入侵。为此,我们介绍一些常见威胁以及如何最大限度地缓解或预防这些威胁。要了解无线网络会给基础设施带来多大风险,关键是明确无线网络是如何融入网络的其他部分的。
非法访问对于任何网络来说都是一个巨大威胁。若无线网络未锁定,则可能会成为怀有以下恶意企图之人的切入点。
- 未知无线局域网:有时,用户或第三方承包商会在您的网络中安装不安全的无线设备,然后将其接入您的有线网络接入点。他们可能并无恶意,但在网络中安装此等设备无异于为出于好奇想要接入您网络的各方提供免费通行证。在计算机或手机上安装Wi-Fi 嗅探器经常进行网络扫描是个不错的办法,因为这样您可以检测出那些在您不知情的情况下运行的无线网络。
- 伪装和IP 欺骗:一旦入侵者获取了网络访问权限,可能会模拟网络内部通信,让客户和用户误认为发起通信的来源是合法的。信息及敏感数据失窃发生的可能性非常大,因此定期网络扫描以及细致的流量检测应纳入每日、每周及每月系统检查。
- 带宽盗链:带宽盗链可能是公司在毫不知情的情况下面临的最常见问题之一。若无线客户端的互联网接入权限不基于会话提供而且无线密码从不更改,可能发生带宽不当利用问题。若获得您网站的访问权限,无线客户端可随时重返您的站点重新连接。若未部署内容过滤或资源管理工具处理此类连接,您的网络可能会在您不知情的情况下向非授权方提供互联网接入权限。MAC 过滤和带宽分配等措施简单易实现,可防止此类非授权接入为网络带来安全威胁。
如何提升无线网络防御?
您可实施以下级别的无线网络防护,降低安全入侵风险:
- 防火墙
- VLAN 隔离
- WLAN 集中管理工具
- 访客会话权限
1. 防火墙
网络中部署的防火墙可提供很多交叉功能,是一款可方便使用的关键工具。防火墙可限制和过滤在线内容,基于IP 地址和MAC 地址限制特定设备和客户端的访问,或基于数据使用监控限制访问权限等。利用防火墙,您可对通过无线网络访问互联网和您网络资源的用户进行有效管理。
2. 基于SSID 的VLAN 隔离
现今,大多数无线产品允许基于无线网络的服务集标识符(SSID)和管理型交换机为网络的不同路径分配不同的IP 地址范围。也就是说,接入网络的无线客户端可在不同IP地址范围内隔离(若有必要)。例如,访客可能需访问互联网,但无需访问文件共享或打印机等内部网络资源,而员工却同时需要这两种访问权限。在这种情况下,访客接入访客SSID,而员工接入公司SSID。这种基于SSID 的VLAN 隔离方法对于限制公司资源的未授权访问来说非常有效。
3. WLAN 集中管理工具
组织往往并非总使用同一品牌的硬件。不过,我们通常建议组织采用同一厂商的无线接入点,以便利用一种专有软件应用进行有效管理,让网络管理员对无线客户端、信号强度以及其他大量信息一目了然,无需对实时监控情况进行推测。因此,WLAN 集中管理工具对系统管理员来说是一种不可或缺的工具。
(1) 访客会话接入
为确保对无线网络的完全控制,您可能希望向访客分配动态Wi-Fi 权限。为此,您可提供每日更新的访问密钥或配置配额系统,限制设备的访问时间或数据使用情况。这种模式尤其适用于机场或大学等对Wi-Fi 资源的访问计费的场所。
(2) 评估无线网络的安全
要保障无线网络的安全,首先您要看一下当前部署了哪些安全措施,然后确定还需采取哪些措施,从而提供全方位防护。您可以从审核无线硬件入手,确定无线接入点的结构、模式和数量,这有助于您规划网络覆盖范围,查明建筑物、仓库或办公室的哪些区域正在传输无线信号。
接下来,确保您已制定了IT 政策,管理Wi-Fi 使用。该IT 政策应包含以下方面:
- 资产、感知风险和政策目标:明确需防护的网络资源及防护原因。
- 最佳实践和安全措施:解释安全战略制定的理论依据及最佳实现方法。
- 可接受的使用和执行:阐述何谓无线网络的合理使用,说明哪些行为构成入侵,并明确违反政策的后果。
一旦形成文件,您需确保组织内的每位员工认可文件内容,将其纳入公司入职学习资料,让新员工一入职就了解IT 政策。
4. 保护网络免遭威胁
目前,预防上述威胁的最佳方法是提供用户培训,增强威胁意识。提升用户的威胁防御能力可使其在使用您的网络资源时做出更明智的决策。
跟大多数教育过程一样,您需通过提供复训、在公司范围内开展安全意识活动、通过邮件、通知和通告等发布安全提醒等形式持续推动安全意识提升。只有通过持续推动安全意识提升,帮助用户保护好自己,才能保护您公司的网络和用户。
IT 政策文件应为IT 部门解决所有安全相关问题提供指导方针,而且组织与用户通信时也应以该文件为指导准则。网络培训和安全保障对于组织培养健康的安全意识文化起关键作用,可使组织长期受益。
【本文是51CTO专栏作者“绿盟科技博客”的原创稿件,转载请通过51CTO联系原作者获取授权】