淺談無(wú)線網(wǎng)絡(luò)安全管理

　　隨著智能的普及，移動(dòng)智能終端——WiFi已然逐漸成為人們不可或缺的工具，在單位的無(wú)線WiFi成為必不可少的應(yīng)用之一，為同事之間的業(yè)務(wù)往來(lái)提供了極大的方便，但另一方面，在智能手機(jī)帶來(lái)便利性的同時(shí)，也為單位的網(wǎng)絡(luò)安全帶來(lái)了諸多的安全威脅。網(wǎng)絡(luò)安全問(wèn)題日益凸顯。
　　一、常見(jiàn)的無(wú)線網(wǎng)絡(luò)安全
　　造成無(wú)線網(wǎng)絡(luò)安的主要因?yàn)闊o(wú)線網(wǎng)絡(luò)開(kāi)放性因素、移動(dòng)性、傳輸信號(hào)的不穩(wěn)定性帶等使得傳輸?shù)男畔⑷菀妆桓`取、修改、病毒傳播和移動(dòng)設(shè)備的傳輸介質(zhì)的特殊性容易受到拒絕服務(wù)攻擊、干擾等。同時(shí)由于網(wǎng)絡(luò)管理員為了訪問(wèn)方便，使得無(wú)線局域網(wǎng)易于訪問(wèn)和配置簡(jiǎn)單等原因。
　　1.容易侵入。無(wú)線網(wǎng)絡(luò)的開(kāi)放性因素，使無(wú)線局域網(wǎng)非常容易被發(fā)現(xiàn)，網(wǎng)絡(luò)更容易受到惡意攻擊，現(xiàn)在辦公室都增加了無(wú)線路由器等設(shè)備，就屬于單獨(dú)架設(shè)了一個(gè)小型辦公室網(wǎng)絡(luò)，這個(gè)網(wǎng)絡(luò)硬件安全設(shè)施缺失，這就給外網(wǎng)辦公埋下了隱患。
　　2.無(wú)線網(wǎng)絡(luò)的移動(dòng)性使得安全管理難度加大。無(wú)線網(wǎng)絡(luò)終端不僅可以大范圍內(nèi)移動(dòng)，而且可以跨區(qū)域漫游，這就延長(zhǎng)或加大了病毒爆發(fā)的時(shí)間和破壞性，使接觸網(wǎng)絡(luò)中的設(shè)備大面積中毒，給更多用戶(hù)造成更大的損失，同時(shí)也給網(wǎng)絡(luò)管理人員帶來(lái)幾倍甚至是十幾倍的工作量。
　　3.無(wú)線網(wǎng)絡(luò)的傳輸信號(hào)的不穩(wěn)定性帶來(lái)無(wú)線通信網(wǎng)絡(luò)的魯棒性問(wèn)題。無(wú)線網(wǎng)絡(luò)隨著用戶(hù)的移動(dòng)或者設(shè)備、網(wǎng)絡(luò)信號(hào)的不穩(wěn)定性因素而變化，造成信號(hào)質(zhì)量波動(dòng)較大，甚至可能由于外界干擾導(dǎo)致無(wú)法通信，造成網(wǎng)絡(luò)的魯棒性問(wèn)題的后果也不容小視。
　　二、網(wǎng)絡(luò)安全解決方法
　　1.加強(qiáng)網(wǎng)絡(luò)訪問(wèn)控制。容易訪問(wèn)不等于容易受到攻擊，當(dāng)然通過(guò)強(qiáng)大的網(wǎng)絡(luò)訪問(wèn)控制可以減少無(wú)線網(wǎng)絡(luò)配置的風(fēng)險(xiǎn)。如果將無(wú)線設(shè)備安置在像防火墻這樣的網(wǎng)絡(luò)安全設(shè)備的外面，最好考慮通過(guò)VPN技術(shù)連接到主干網(wǎng)絡(luò)，更好的辦法是使用基于IEEE802.1x的新的無(wú)線網(wǎng)絡(luò)產(chǎn)品。IEEE802.1x定義了用戶(hù)級(jí)認(rèn)證的新的幀的類(lèi)型，借助于企業(yè)網(wǎng)已經(jīng)存在的用戶(hù)數(shù)據(jù)庫(kù)，將前端基于IEEE802.1X無(wú)線網(wǎng)絡(luò)的認(rèn)證轉(zhuǎn)換到后端基于有線網(wǎng)絡(luò)的RASIUS認(rèn)證。
　　2.加強(qiáng)訪問(wèn)控制。主要是加強(qiáng)安全認(rèn)證，阻止未被認(rèn)證的用戶(hù)進(jìn)入網(wǎng)絡(luò)，由于訪問(wèn)特權(quán)是基于用戶(hù)身份的，所以通過(guò)加密辦法對(duì)認(rèn)證過(guò)程進(jìn)行加密是進(jìn)行認(rèn)證的前提，通過(guò)VPN技術(shù)能夠有效地保護(hù)通過(guò)電波傳輸?shù)木W(wǎng)絡(luò)流量。一旦網(wǎng)絡(luò)成功配置，嚴(yán)格的認(rèn)證方式和認(rèn)證策略將是至關(guān)重要的。另外還需要定期對(duì)無(wú)線網(wǎng)絡(luò)進(jìn)行測(cè)試，以確保網(wǎng)絡(luò)設(shè)備使用了安全認(rèn)證機(jī)制，并確保網(wǎng)絡(luò)設(shè)備的配置正常。
　　3.加強(qiáng)流量控制，不定期進(jìn)行網(wǎng)絡(luò)檢測(cè)。讓無(wú)線設(shè)備的傳輸帶寬進(jìn)行設(shè)置，滿(mǎn)足與其基本工作流量。通過(guò)無(wú)線網(wǎng)絡(luò)測(cè)試儀則能夠如實(shí)反映當(dāng)前位置信號(hào)的質(zhì)量和網(wǎng)絡(luò)健康情況。測(cè)試儀可以有效識(shí)別網(wǎng)絡(luò)速率、幀的類(lèi)型，幫助進(jìn)行故障定位。
　　4.同重要網(wǎng)絡(luò)采取邏輯隔離。在802.11i被正式批準(zhǔn)之前，MAC地址欺騙對(duì)無(wú)線網(wǎng)絡(luò)的威脅依然存在。管理員將無(wú)線網(wǎng)絡(luò)同易受攻擊的核心網(wǎng)絡(luò)脫離開(kāi)。由于無(wú)線網(wǎng)絡(luò)非常容易受到攻擊，應(yīng)將網(wǎng)絡(luò)布置在核心網(wǎng)絡(luò)防護(hù)外殼的外面，如防火墻的外面，接入訪問(wèn)核心網(wǎng)絡(luò)采用VPN方式。
　　5.采用可靠的協(xié)議進(jìn)行加密。如果用戶(hù)的無(wú)線網(wǎng)絡(luò)用于傳輸比較敏感的數(shù)據(jù)，那么僅用WEP加密方式是遠(yuǎn)遠(yuǎn)不夠的，需要進(jìn)一步采用像SSH、SSL、IPSec等加密技術(shù)來(lái)加強(qiáng)數(shù)據(jù)的安全性。WiFi使用WPA2保護(hù)，讓W(xué)iFi它更安全，設(shè)置高強(qiáng)度密碼。為路由器需要設(shè)置單獨(dú)的密碼，要與保護(hù)WiFi網(wǎng)絡(luò)的密碼有所區(qū)別。
　　6.加強(qiáng)人員管理，制度管理。網(wǎng)絡(luò)安全的保障僅靠技術(shù)手段是不夠的，還應(yīng)當(dāng)在管理上加大力度。制定完善的網(wǎng)絡(luò)安全管理制度和規(guī)范，明確各崗位工作人員的職責(zé)。工作人員在單位進(jìn)行的與工作無(wú)關(guān)的上網(wǎng)行為中，很大一部分都存在安全隱患。對(duì)于單位內(nèi)部人員的無(wú)序上網(wǎng)行為帶來(lái)的網(wǎng)絡(luò)安全隱患，防火墻和殺毒軟件是無(wú)計(jì)可施的，因此加強(qiáng)單位內(nèi)上網(wǎng)人員的上網(wǎng)行為管理非常重要。

相關(guān)熱詞搜索：淺談 無(wú)線網(wǎng)絡(luò) 安全管理