無線接入存安全隱患

　　接入為什么會被單獨提出來？因為在實際的網(wǎng)絡環(huán)境當中，接入已經(jīng)從傳統(tǒng)的固定有線接入方式延伸到無形的無線接入層面。Gartner的統(tǒng)計報告顯示，WLAN所面臨的安全威脅，在眾多的安全風險類型當中屬于最高等級，所以在金融行業(yè)里已經(jīng)出臺了相應的法規(guī)。美國的PCI DSS法規(guī)中專門針對金融行業(yè)無線接入提出了明確的安全要求：對于所有有支付卡的場所，必須在每個季度對它進行一次無線網(wǎng)絡安全掃描，無論這個場所是否已經(jīng)部署了無線設備。

　　無線接入層面可能會面臨怎樣的安全隱患？首先，無線接入具有移動的特點，使得網(wǎng)絡邊界處于比較模糊的狀態(tài)，而不像以往具有一個清晰的的邊界。其次，因為無線協(xié)議的開放性，它給我們帶來便捷的同時，也為數(shù)據(jù)的截獲和惡意破解提供了可乘之機。第三，就是隨著無線網(wǎng)絡越來越被大家廣泛使用，就會存在網(wǎng)絡交叉的情況，我們?nèi)绾稳ケ鎰e合法的、正常的網(wǎng)絡接入是一個問題。第四，就是現(xiàn)在很多人提到的BYOD的問題。各種各樣的終端都會通過無線方式接入，增加了管理控制的復雜性。

　　正是因為這樣一系列的安全隱患，導致在無線接入層面存在一些風險。這些風險包括對無線網(wǎng)絡密碼的破解，現(xiàn)在有蹭網(wǎng)卡或者專門軟件可以去破解。還有無線釣魚的攻擊，就是惡意的攻擊者仿造貌似正常的無線網(wǎng)絡，來誘導用戶錯誤的接入。還包括對正常網(wǎng)絡的干擾，以及在一些用戶環(huán)境中存在私自接入的流氓AP。

金融網(wǎng)絡無線網(wǎng)絡安全不容樂觀

　　通過和國內(nèi)主要金融行業(yè)的網(wǎng)絡安全專家進行交流之后，啟明星辰總結(jié)出了金融行業(yè)目前在無線接入層面可能會存在的一系列安全風險。首先就是安全監(jiān)控手段的缺失，實際上在金融行業(yè)的網(wǎng)絡環(huán)境中，可能會存在多個不同的安全區(qū)域，有各種各樣的安全規(guī)范，包括對于無線網(wǎng)絡安全的要求，但是實際上目前監(jiān)控手段還是非常有限的。我們做過實際的測試，發(fā)現(xiàn)在金融用戶的辦公環(huán)境里面，無線網(wǎng)絡狀況遠比之前意識到的要復雜得多。

　　另外一個問題是私接AP的問題。在金融行業(yè)的網(wǎng)絡中可能會存在多個不同的安全域，特別是安全性比較高的內(nèi)網(wǎng)辦公區(qū)域，如果有人私自接入無線路由器或者無線接入設備，那么除了會給管理上帶來可控性的問題之外，還可能給外部人員提供進入內(nèi)網(wǎng)的機會。如果我們沒有有效的監(jiān)控手段，這實際上是個非常大的安全隱患。

　　還有就是針對WLAN的各種攻擊可能會對內(nèi)部的無線網(wǎng)絡形成安全威脅。最后一點是無法限制無線信號。金融用戶有一些重要的區(qū)域，包括敏感數(shù)據(jù)的存放區(qū)域，或者機房的空間，按照規(guī)定是不允許有無線信號的，可是目前除了采用物理隔斷手段，實際上我們是沒有辦法控制無線信號的覆蓋的。

　　基于這些問題，針對金融行業(yè)的網(wǎng)絡環(huán)境，啟明星辰認為可以通過7*24小時無線接入監(jiān)控加檢查工具的方式，來滿足金融行業(yè)不同安全區(qū)域無線接入的安全要求。啟明星辰的解決方案可以向管理員提供實時的網(wǎng)絡連接拓撲圖，根據(jù)配置策略實現(xiàn)無線接入層面的訪問控制，包括攻擊事件的檢測、審計和阻斷，以及無線接入層面的脆弱性掃描，還有涉及到更大區(qū)域的無線風險的集中管控。

　　啟明星辰認為，在無線接入層面，應該從無線接入的方式到接入的流程，到管理規(guī)范，以及相應的安全策略，對整個環(huán)節(jié)都要進行有效的監(jiān)控和管理，才能實現(xiàn)比較好的無線網(wǎng)絡安全防護效果。