浅谈中小企业无线网络安全防护

　　智能终端和无线网络的广泛普及，推动了移动互联网的迅猛发展。移动互联网已经成为企业办公、拓展商业事务的重要途径。根据CNNIC的数据统计结果，截至2014年12月，国内使用互联网办公的企业比例已经达到了78。7。目前，在接入方式的选择上，小区宽带、ADSL、光纤接入、无线局域网等仍然是国内企业接入互联网的最主要方式，其比例为77。4。而移动宽带（3G4G上网）的接入比例已经达到了25。3。未来，随着高速无线网络的普及，以及企业级移动互联网应用（如，移动OA、移动ERP、移动CRM等）的发展，移动宽带将逐渐成为企业接入互联网的重要方式。无线网络安全
　　无线互联将中小企业的移动办公梦想变成了现实。然而，长久以来的安全性问题一直是人们在无线网络普及道路上遇到的最大障碍。相对于有大量安全防护设备保护的有线网络而言，许多无线网络并没有得到妥善保护，甚至完全没有防护，还处于裸奔的状态。一些中小企业在建立无线网络时，虽然部署了无线路由器或者安全设备，但是由于缺省采用的是出厂配置的全通接入模式，其安全功能并没有启用和生效，而一些用户也没有意识到需要开启哪些安全功能。
　　2015年3月15日，央视一套315晚会首次将无线网络安全作为重要议题，向社会大众揭秘网络安全黑洞，由此在社会上引发了广泛关注和热议。网络安全技术人员在晚会现场临时充当黑客，假冒了晚会演播室的免费WiFi，现场观众的手机在不知情下与其联网并传输数据。结果，现场观众刚刚拍摄分享到朋友圈的照片和手机绑定的邮箱密码就全部出现在了舞台的大屏幕上。这一案例揭示了无线网络普遍存在的安全问题，黑客在无线路由器中植入黑客程序，借助伪造的免费WiFi，就可以轻而易举地窃取用户的隐私信息。由此可见，安全风险在广大移动终端用户身边是一直存在的。对于那些希望部署无线网络的企业来说，无线安全是至关重要的。无线网络安全
　　那么，中小企业在部署无线网络和移动办公时，需要采取哪些安全保障措施呢？通常来说，采取高安全性的无线网络接入验证手段，部署无线入侵防御系统，利用加密技术对通过无线网络传输的数据进行保护，实施无线安全策略以及对移动终端进行统一管理和安全管控等措施，有助于帮助中小企业用户实现无线安全防护的目标。无线网络安全
　　一、使用WPA或WPA2级别的无线网络加密和接入控制手段
　　WPA和WPA2是WiFi联盟（WiFiAlliance）为企业、中小企业和小型办公室家庭办公室无线网络开发的标准安全认证方法。WPA（WiFiProtectedAccess）即WiFi网络安全存取，包括个人版（WPAPSK）和企业版（WPAEnterprise）两个版本。它使用动态密钥加密，是一种可以提高无线网络的数据保护和接入控制的增强安全性级别，支持企业级加密。WPA2是WPA的第二代，可以被看作是针对WPA制定出来的成熟版本。与WPA类似，WPA2也分为个人版（WPA2PSK）和企业版（WPA2Enterprise）。个人版的WPA2一般采用共享口令的方法来验证连接到相同WLAN的每一个用户，而WPA2Enterprise通常是采用基于证书的验证方法，具体包括机器证书、Windows用户名及密码、SecurID令牌等。具备第二代WiFi安全特性的WPA2支持政府级加密。无线网络安全
　　中小企业在部署无线网络时应该使用WPA或WPA2认证方法。这两种认证方法可以提供安全访问控制和强有力的数据加密。需要注意的是，对于大多数的中小企业来说，WPA2Enterprise的实施会比较繁琐，因为它通常需要搭建RADIUS服务器，链接一个包含了用户证书的账户数据库，并且每个WiFi客户端还必须配置用户证书。为了使WPA2Enterprise更加易用于中小企业，一个可行的简易做法是将RADIUS服务器或认证模块内嵌到AP接入点中。这种方法对许多中小企业都非常适合。无线网络安全
　　建议用户选择无线安全网关产品进行接入控制。相对于安全功能薄弱的传统无线路由器，无线安全网关产品具有更完善的安全机制，防护性能更加优异。以东软桌面级统一安全网关NISG5KSG600为例，其拥有无线和有线一体化的安全防护功能，可以支持WEPOpenSystem、WEPSharedKey、WPAPSK、WPAEnterprise、WPA2PSK、WPA2Enterprise、WPAWPA2PSK、WPAWPA2Enterprise等八种安全接入模式。对于WPA2Enterprise认证模式，东软NISG5KSG600既支持外部的RADIUS服务器，同时也支持内置的本地用户认证，为中小企业提供了多样选择。
　　二、无线入侵防御
　　2015年5月，北京首都机场T1航站楼爆出重大安全漏洞。机场WiFi提供商的服务器安全设施不足，存在代码漏洞，进而形成了多种网络安全隐患，极易导致服务器中的用户隐私数据泄漏。网友一旦用手机连接首都机场T1航站楼的免费WiFi，则会面临手机隐私信息被窃取、产生群发垃圾短信、散发恶意信息等安全风险。现在多数手机已绑定了网银账号、银行卡，开通了各类社交账户，黑客可因此获取机主的账号信息和通讯录，从而导致机主出现财产损失，引发社交诈骗等问题。无线网络安全
　　要帮助检测和对抗这些攻击，中小企业用户需要部署面向无线网络的入侵防御系统（WIPS）。此类系统通常可以监控虚假的接入点、基于无线的恶意入侵以及拒绝服务攻击等，向用户进行报警并阻止这些非法行为。以东软桌面级统一安全网关NISG5KSG600为例，它采用拥有完整自主知识产权和多项国家及国际专利的IPS检测引擎，提供了从网络层到应用层全面的攻击防御功能。针对当前主要的应用层攻击，IPS检测引擎能够深入到应用的内容层进行检查，及时发现XSS、SQL注入等常见应用层攻击并有效阻断。同时，针对底层，它还能够有效过滤IP端口扫描类攻击、DoSDDoS等异常流量型攻击。除此之外，东软NISG5KSG600还专门针对无线服务提供了安全防护，可以抵御DoS、泛洪、伪造帧、空SSID探测响应等无线攻击行为，具体的无线防护功能包括AssociationFrameFlooding拒绝服务攻击防护、AuthenticationFrameFlooding拒绝服务攻击防护、SpoofedandBroadcastingDeAuthentication伪造帧防护、EAPOL包泛洪防护、非法MACOUI防护、长持续时间攻击防护、NullSSIDProbeResponse防护、SpoofedandBroadcastingDeassociation伪造帧防护以及WirelessBridge探测防护等。通过多种威胁过滤技术对攻击的层层拦截，东软NISG5KSG600为企业网络提供了全方位的入侵防御保障。无线网络安全
　　三、数据无线传输安全加密
　　中小企业通常要解决移动办公的安全性问题，在缺少有线网络覆盖的地方，也需要有一种让员工能够安全地访问到企业内部关键数据的移动办公方案，为移动工作人员提供随时随地的无线办公环境，提高工作效率。为保证数据不被非法读取，而且在接入点和无线设备之间传输的过程中不被修改，可以考虑使用VPN加密技术，在网络的两个或多个点之间建立安全通道。
　　东软统一安全网关NISG5KSG600就是一种能够帮助企业实现安全的无线移动办公的选择。NISG5KSG600在提供便捷的无线接入方式的同时，可以通过用户认证，多种加密方式对无线通信数据进行加密，防止数据被监听。NISG5KSG600支持IPSecVPN，基于加密隧道技术，适用各种网络协议和应用。结合东软网络安全自主研发的IPSecVPN客户端，NISG5KSG600还可以帮助企业实现远端用户、驻外机构、合作伙伴、供应商与公司总部之间建立可靠的安全连接，保证数据传输的安全性。无线网络安全
　　四、无线安全策略
　　部署无线局域网的大部分企业都是将无线网络作为有线网络的补充，因而，不仅需要将有线网络与无线网络集成在一起，还需要采用统一的管理方式和安全策略。资源稀缺的中小型企业亟需利用管理工具简化并自动完成很多耗时的重复性管理任务，而统一的管理方式能够提高网络管理的工作效率。无线安全策略是提高无线网络安全保护能力的重要组成部分。在某些情况下，企业希望能够为网络上的不同用户、用户组定制不同的安全策略。例如，开发部、财务部和和人力资源部的员工应该有不同的互联网访问权限。为此，企业需要为接入无线网络的用户设定差异化的安全策略。安全策略一方面必须简单，易于执行，满足网络访问的需求，另一方面必须安全可靠，能够有效地保护无线网络。
　　以东软统一安全网关NISG5KSG600为例，它具备有线、无线统一的安全防护能力，融合了防火墙、VPN、应用控制、入侵防御系统（IPS）、防病毒（AV）、防垃圾邮件（AS）等安全模块，提供了有线和无线一致的安全防护能力，能够为用户提供全方位的安全保障。NISG5KSG600具备灵活的网络适应性，可用于控制员工接入互联网的权限，限制互联网用户访问内网资源，帮助中小企业对网络进行安全规划，保证信息安全性。借助业界领先的DPI智能应用识别技术，NISG5KSG600支持细粒度的应用识别，可对办公、社交、P2P、即时通讯、娱乐等各类应用进行完全精准控制，并且让网络管理可视可控。NISG5KSG600可以实现基于应用、用户以及内容的识别与控制，能够有效识别超过2000种以上的互联网应用，包括200多种移动应用。
　　五、移动终端统一管理和安全管控
　　传统网络环境的安全防护重点对象始终是主机和服务器。而随着智能终端硬件的快速发展，智能终端正在成为中小企业进行网络业务的主要工具，由此受到的安全威胁也在逐渐增大当中。为此，保护移动终端的安全自然而然地成为了一项重要议题，各个安全厂商也在纷纷提供自己的移动终端安全解决方案。
　　其中，东软的移动终端安全解决方案整合了SaCaTMEMM企业移动管理平台和VPN客户端产品，在帮助企业大规模部署移动应用上发挥了巨大作用。东软SaCaTMEMM企业移动管理平台可以在企业范围内对接入企业信息系统的移动资源（包括企业移动应用App、企业移动应用数据、使用企业信息系统的智能移动终端等）进行统一管理和安全管控；通过移动应用管理（MAM）和移动设备管理（MDM），可以实现针对企业移动资源整体的安全管控；通过面向应用的黑白名单管理，管理员还可以定制非法应用及终端安装非法应用时的处理对策。当安装非法应用时，可以执行出厂化、卸载应用、禁止使用非法应用等处理；通过面向系统应用的安全管理，IT管理员能够对多种系统应用的使用方式进行控制。例如，在Android平台系统上控制是否允许终端使用调试模式；在iOS平台系统上控制是否允许终端使用Siri、iTunesStore、YouTube、GameCenter、Passbook，是否允许安装应用，是否必须输入iTunesStore密码等；通过面向移动终端设备的全生命周期管理，可以确保企业资产安全，快速识别授权的终端和非法接入的终端，对终端使用状况跟踪，越狱监控，远程控制和移动轨迹跟踪。
　　结语
　　安全问题始终是中小企业移动化过程中面临的首要挑战。各个安全厂商必须加大努力，与中小企业一起推广无线安全解决方案的最佳实践，才能逐渐打消人们对无线网络安全性的担忧。只有提高了安全性，使数据安全有了保障，用户才会放心地使用无线网络。值得肯定的是，无论是广大用户对安全知识的了解程度，还是安全厂商提供的无线安全解决方案，都在不断进步当中，广大中小企业用户正在逐渐实现安全的无线网络所带来的各种便利。无线网络安全