金融企业WLAN应用风险及防范探讨

简单方便与安全运行从来都是双刃剑的两面，无线局域网(wireless LAN，WLAN)是这类应用的典型代表。WLAN给企业办公、业务开展带来极大便利的同时，各类威胁也不容忽视，其复杂性与不可控因素很多：一个手机就可以成为一个无线网接入点，可轻易搭建诱骗环境；笔记本电脑不恰当的无线配置就可能在不知不觉中泄露一些有用的信息，诸如无线网络配置信息嗅探、无线钓鱼、无线代理等攻击屡见报端。

        对于实施了WLAN办公或业务的金融企业来说，特别是在现今无线办公、生产业务推广的需求越来越迫切的环境下，保护敏感信息、维持WLAN可用性与安全性平衡的重要程度不言而喻。目前，金融企业在部署办公网、生产网、Internet等网络的时候一般采用垂直分层、水平分区的网络安全隔离方式，并严格把控接入点和接入数据。然而WLAN是“无形”的，在能接收到无线信号的地方，完全有可能在网点外面、办公室外面、园区外围通过WLAN接入办公、生产网络。在金融企业有线网络安全防御体系普遍完善的大背景下，即使这一体系已经固若金汤，部署不当的WLAN仍然可能成为整体安全防线上的裂痕，在面对如针对特定目标、有组织、持续时间较长的APT(Advanced PersistentThreat)攻击时，WLAN成为网络安全防线的突破口。本文将重点阐述企业使用WLAN时面临的各类风险，并针对金融企业的特点讨论WLAN应用风险的防范方法，从技术、管理两个层面提出一些解决方案。

一、WLAN部署方式
        常用的WLAN协议包括802.11a、802.11b、802.11g、802.11n等，它们在利用的频段、可用信道、数据速率等方面有所不同。金融企业部署WLAN的一般方式是无线接入点(ACcess Point，AP)和接入控制器(ACcess control，AC)，AP仅负责无线信号的接入与通信，AC负责策略的部署与下发，如图1所示；AP放置在会议室、办公室或营业网点以供接入内网，AC放置在机房内，这种架构灵活，便于部署和管理。

        为提高WLAN安全性，通常对AP采用以下设置：隐藏服务设置标识符(SSID，即WLAN的名称)，MAC地址绑定，采用高强度的加密方式，高强度的认证方式。但这些措施都存在或多或少的薄弱点。

二、企业WLAN应用风险
        根据“木桶理论”，一个企业安全防线的稳固程度，并不取决于防线上最牢固的那块木板，而恰恰取决于防线上最薄弱的那块。当前金融企业的网络架构通常采用安全区域模型，即通过生产网、办公网、Internet等区域之间的有效隔离，降低各区域职能的耦合程度，并确保接入的安全合规。随着办公、业务开展的需要，生产网、办公网都开始利用WLAN，如远程办公、无线叫号机等，方便的同时，也为突破网络防御体系带来新的可能。部署不当的WLAN犹如安全防御壁垒的短板，制约了“木桶”整体的水平高度。

        经过调研发现，业界针对WLAN的安全防护工作，如营业网点区域的WLAN监测、控制等，大多属于事件驱动型，即出现与无线网络安全相关的事件才会去排查平时不被重视的企业无线网，这种事后型安全防护极为被动。要扭转被动局面，开展主动、事前型安全防护，首先要清楚认识企业WLAN的应用风险分类。一般来说，企业WLAN应用风险主要分为3类。
 
        1．信息泄露风险
        主要是指企业授权WLAN的信息泄露风险，企业内非授权WLAN的信息泄露风险，以及终端设置不当引起的信息泄露风险，如图2所示。

        (1)企业授权WLAN的信息泄露风险
        企业授权搭建的WLAN应该将无线信号控制在办公园区内部，信号范围过大可能导致企业WLAN被探测而导致信息泄露，即使通信被加密，攻击者仍然可以收集加密信息用于以后的分析。

        (2)企业内非授权WLAN的信息泄露风险
        非授权搭建的AP，如果员工用于接入企业内网，也存在信息泄露的风险，尤其是在一些敏感区域，如机房、Ecc(企业控制中心)等存有重要数据的区域，将会导致严重的信息泄露。

        (3)无线终端设置不当引起的信息泄露风险
        无线终端设置为WiFi自动连接时，终端会广播WLAN请求帧，会无意识地泄露WLAN信息。

 1 2 3 下一页 尾页

扫码即可手机
阅读转发此文