魏瑞光

隨著智能的普及，移動智能終端——WiFi已然逐漸成為人們不可或缺的工具，在單位的無線WiFi成為必不可少的應(yīng)用之一，為同事之間的業(yè)務(wù)往來提供了極大的方便，但另一方面，在智能手機帶來便利性的同時，也為單位的網(wǎng)絡(luò)安全帶來了諸多的安全威脅。網(wǎng)絡(luò)安全問題日益凸顯。

一、常見的無線網(wǎng)絡(luò)安全

造成無線網(wǎng)絡(luò)安的主要因為無線網(wǎng)絡(luò)開放性因素、移動性、傳輸信號的不穩(wěn)定性帶等使得傳輸?shù)男畔⑷菀妆桓`取、修改、病毒傳播和移動設(shè)備的傳輸介質(zhì)的特殊性容易受到拒絕服務(wù)攻擊、干擾等。同時由于網(wǎng)絡(luò)管理員為了訪問方便，使得無線局域網(wǎng)易于訪問和配置簡單等原因。

1.容易侵入。無線網(wǎng)絡(luò)的開放性因素，使無線局域網(wǎng)非常容易被發(fā)現(xiàn)，網(wǎng)絡(luò)更容易受到惡意攻擊，現(xiàn)在辦公室都增加了無線路由器等設(shè)備，就屬于單獨架設(shè)了一個小型辦公室網(wǎng)絡(luò)，這個網(wǎng)絡(luò)硬件安全設(shè)施缺失，這就給外網(wǎng)辦公埋下了隱患。

2.無線網(wǎng)絡(luò)的移動性使得安全管理難度加大。無線網(wǎng)絡(luò)終端不僅可以大范圍內(nèi)移動，而且可以跨區(qū)域漫游，這就延長或加大了病毒爆發(fā)的時間和破壞性，使接觸網(wǎng)絡(luò)中的設(shè)備大面積中毒，給更多用戶造成更大的損失，同時也給網(wǎng)絡(luò)管理人員帶來幾倍甚至是十幾倍的工作量。

3.無線網(wǎng)絡(luò)的傳輸信號的不穩(wěn)定性帶來無線通信網(wǎng)絡(luò)的魯棒性問題。無線網(wǎng)絡(luò)隨著用戶的移動或者設(shè)備、網(wǎng)絡(luò)信號的不穩(wěn)定性因素而變化，造成信號質(zhì)量波動較大，甚至可能由于外界干擾導(dǎo)致無法通信，造成網(wǎng)絡(luò)的魯棒性問題的后果也不容小視。

二、網(wǎng)絡(luò)安全解決方法

1.加強網(wǎng)絡(luò)訪問控制。容易訪問不等于容易受到攻擊，當(dāng)然通過強大的網(wǎng)絡(luò)訪問控制可以減少無線網(wǎng)絡(luò)配置的風(fēng)險。如果將無線設(shè)備安置在像防火墻這樣的網(wǎng)絡(luò)安全設(shè)備的外面，最好考慮通過VPN技術(shù)連接到主干網(wǎng)絡(luò)，更好的辦法是使用基于IEEE802.1x的新的無線網(wǎng)絡(luò)產(chǎn)品。IEEE802.1x定義了用戶級認(rèn)證的新的幀的類型，借助于企業(yè)網(wǎng)已經(jīng)存在的用戶數(shù)據(jù)庫，將前端基于IEEE802.1X無線網(wǎng)絡(luò)的認(rèn)證轉(zhuǎn)換到后端基于有線網(wǎng)絡(luò)的RASIUS認(rèn)證。

2.加強訪問控制。主要是加強安全認(rèn)證，阻止未被認(rèn)證的用戶進入網(wǎng)絡(luò)，由于訪問特權(quán)是基于用戶身份的，所以通過加密辦法對認(rèn)證過程進行加密是進行認(rèn)證的前提，通過VPN技術(shù)能夠有效地保護通過電波傳輸?shù)木W(wǎng)絡(luò)流量。一旦網(wǎng)絡(luò)成功配置，嚴(yán)格的認(rèn)證方式和認(rèn)證策略將是至關(guān)重要的。另外還需要定期對無線網(wǎng)絡(luò)進行測試，以確保網(wǎng)絡(luò)設(shè)備使用了安全認(rèn)證機制，并確保網(wǎng)絡(luò)設(shè)備的配置正常。

3.加強流量控制，不定期進行網(wǎng)絡(luò)檢測。讓無線設(shè)備的傳輸帶寬進行設(shè)置，滿足與其基本工作流量。通過無線網(wǎng)絡(luò)測試儀則能夠如實反映當(dāng)前位置信號的質(zhì)量和網(wǎng)絡(luò)健康情況。測試儀可以有效識別網(wǎng)絡(luò)速率、幀的類型，幫助進行故障定位。

4.同重要網(wǎng)絡(luò)采取邏輯隔離。在802.11i被正式批準(zhǔn)之前，MAC地址欺騙對無線網(wǎng)絡(luò)的威脅依然存在。管理員將無線網(wǎng)絡(luò)同易受攻擊的核心網(wǎng)絡(luò)脫離開。由于無線網(wǎng)絡(luò)非常容易受到攻擊，應(yīng)將網(wǎng)絡(luò)布置在核心網(wǎng)絡(luò)防護外殼的外面，如防火墻的外面，接入訪問核心網(wǎng)絡(luò)采用VPN方式。

5.采用可靠的協(xié)議進行加密。如果用戶的無線網(wǎng)絡(luò)用于傳輸比較敏感的數(shù)據(jù)，那么僅用WEP加密方式是遠遠不夠的，需要進一步采用像SSH、SSL、IPSec等加密技術(shù)來加強數(shù)據(jù)的安全性。WiFi使用WPA2保護，讓W(xué)iFi它更安全，設(shè)置高強度密碼。為路由器需要設(shè)置單獨的密碼，要與保護WiFi網(wǎng)絡(luò)的密碼有所區(qū)別。

6.加強人員管理，制度管理。網(wǎng)絡(luò)安全的保障僅靠技術(shù)手段是不夠的，還應(yīng)當(dāng)在管理上加大力度。制定完善的網(wǎng)絡(luò)安全管理制度和規(guī)范，明確各崗位工作人員的職責(zé)。工作人員在單位進行的與工作無關(guān)的上網(wǎng)行為中，很大一部分都存在安全隱患。對于單位內(nèi)部人員的無序上網(wǎng)行為帶來的網(wǎng)絡(luò)安全隱患，防火墻和殺毒軟件是無計可施的，因此加強單位內(nèi)上網(wǎng)人員的上網(wǎng)行為管理非常重要。