您的位置:控制工程论坛网论坛 » 工业以太网 » 无线安全的最佳实践?

goodmood

goodmood   |   当前状态:在线

总积分:128  2024年可用积分:0

注册时间: 2005-11-23

最后登录时间: 2018-05-11

空间 发短消息加为好友

无线安全的最佳实践?

goodmood  发表于 2006/1/13 10:19:14      2044 查看 2 回复  [上一主题]  [下一主题]

手机阅读

 

根据IDC最新调查显示,72%的企业称其曾遭遇过互联网安全破坏,39%的企业感到安全威胁程度比2002年有所提高。Gartner指出2005年20%的企业将会遭遇一次严重的互联网安全事故。这种威胁不仅仅是电脑病毒,还包括犯罪信息和知识产权问题。据韩国国家警察局(Korean National Police Agency)统计,自2001年8月至2002年3月期间,韩国共收到了4,376个关于安全破坏和黑客袭击的报告,占全世界在线攻击总量的39%。美国、中国和台湾分别位居第二、第三和第四。

企业正努力解决这种安全问题,但是技术的缺陷加剧了这种挑战,例如Web服务在新应用安全性生产中间以及不安全的无线局域网,这表明企业网中存在严重的潜在故障点。 

在无线局域网安全性令人堪忧的同时,确实也有很多强大的工具可以保护无线网络安全。然而,也许比使用合适工具更重要的是,出台对员工使用WLAN的严格规定,培养他们正确的安全态度。如果他们不懂得或者不遵守所制定的安全政策,那么任何安全措施都毫无意义。 

我们自身是最大的敌人

据计算技术行业协会(CTIA)调查显示,大多数信息技术安全问题的根源是人为错误,而并非技术。CTIA的一项调查发现,超过63%的IT安全破坏中,人为错误是一个原因,但只有8%的被调查企业称安全问题是由技术故障引起的。 

该调查还发现,22%的被调查企业称他们的IT员工近期没有接受过技术安全培训,69%的企业对不到25%的技术人员进行过安全破坏保护培训,然而只有11%企业称其对所有IT人员进行过适当的安全培训。


弥补无线局域网缺陷

与其它任何网络相同,必须保证无线局域网的安全以确保保密性和数据完整性。由于WLAN技术基于无线电波传输,因此它还引发了关于网络安全的合法性问题。因而,企业决策者必须了解无线局域网安全风险的本质及其范围,以及目前可以应对这些缺点的解决方案。 

日前已明确指出,采用有线对等保密(WEP)的原802.11 WLAN标准在保护网络安全方面存在固有缺陷。有许多公开可用的工具能够从互联网上免费下载,也可用于入侵不安全网络。而且黑客有可能发现网络传输,然后利用这些工具来破解密钥,截取网络上的数据包,或非法访问网络。 

尽管采用WEP和原802.11 WLAN标准的802.11存在安全隐患,但是Wi-Fi保护访问(WPA)安全规范的出台不仅为弥补WEP缺点提供了强大的数据加密,而且还添加了WEP中没有的用户鉴权功能。WPA被作为标准特性部署于WLAN产品(如英特尔迅驰移动计算技术)中,厂商也在为软件下载提供这种保护。WPA实施了暂时密钥集成协议(TKIP)的加密优势。TKIP由高级密码员设计核查,为WLAN网络提供更全面的支持。

为了进一步弥补WEP安全性缺陷,企业开始实施802.1X标准,该标准采用WLAN基础设施来对端口所连设备进行鉴权,并在鉴权失败时拒绝其接入端口。802.1X设计用于在无线客户端设备、接入点和服务器之间提供受控端口接入。它在WEP鉴权中使用动态密钥,而不是静态密钥,并要求为相互鉴权提供鉴权协议。这意味着接入点能够验证客户端,客户端也可以确定该接入点是否合法。为实现有效鉴权,用户传输必须经过WLAN接入点才能到达执行此鉴权的远程鉴权拨号用户服务(RADIUS)后端服务器。由于802.1X标准在有线和无线局域网中是一致的,因而企业无需在两个单独的鉴权解决方案中进行技能培训与维护。 


VPN提供更强保护

将虚拟专用网(VPN)作为无线访问网络的要求,是增强网络安全保护的一种可扩展且业经验证的方法。VPN使在公网或不可靠网络(如公共互联网或基于WEP的802.11 WLAN)上的用户能够建立到专用网的安全连接。VPN通过创建一条隧道来保护数据免遭非法访问,从而保护WLAN的安全。VPN采用经验证的工业标准安全机制(如网际协议安全IPSec),实现了较高的可信度。IPSec采用诸如数据加密标准(DES)和三重数据加密标准(3DES)以及其它数据包鉴权算法来进行数据加密,并使用数字证书来验证公钥。在无线局域网上使用时,VPN网关可处理鉴权、封装和加密。


最佳实践:公共安全问题解决方案

为了保护WLAN网络,需要解决网络访问(鉴权)和数据保护(加密)问题。安全问题通常来自欺骗接入点,是员工在网络管理员不知情的情况下建立的,安装时关闭了安全特性。 
从最基本的安全机制到最新的鉴权加密协议,IT部门都需要采用最高安全保护。公司采用的安全措施越多,其网络就越安全,从而极大增强了数据安全保障。

将用户视为伙伴

网络管理员可以让办公室中的每位电脑用户负责安全性,将所有网络用户作为“安全代理”,明确每位员工都负有安全责任并分担安全破坏费用,以帮助管理风险。让员工了解欺骗接入点带来的危害,以及在网络管理员不知情或未同意的情况下建立接入点等于将公司数据陷入危险中。因此强调只能连接到已知接入点,实施知道其接入点实际名称的系统。此外用户还必须了解使用对等网络进行无线连接的安全风险,以及在公共或共享空间进行点对点传输模式(ad hoc)进行连接的危险性。 
重要的是帮助员工了解不采取安全保护的危险性,特别需要向用户演示如何检查其电脑上的安全机制,如果需要,应激活这些机制。这样可以更轻松地管理和控制网络。


实施安全政策 减少人为错误

没有安全政策规定进行定期安全检查,任何无线局域网(WLAN)实施都是危险的。此类实施和忽视是导致网络破坏的第一步。网络管理员应该公布关于无线网络安全的服务等级协议或政策,还应指定政策负责人,并视任何执行情况确定可行目标。例如,应指定政策负责人积极定期检查公司网络上的欺骗性或未知接入点。此外,更改接入点上的缺省管理密码和SSID,并实施动态密钥(802.1X)或定期配置密钥更新也很重要。 这样有助于最大限度地减少非法接入网络的可能性。


合理使用物理空间

无线局域网(WLAN)的范围有限,可对您的网络安全性有利。例如,应将接入点置于接近建筑物中心的地方,远离外向墙壁或窗户。这样不仅可使所有办公室能够更好地接入WLAN,而且还可减少来自外界的干扰,而且还应灵活地减少接入点广播强度,仅覆盖所需区域。例如,办公室内的开放食品区不需要WLAN覆盖。


无线网络造福企业

在业务方面,生产力的根本性提升非常罕见。移动计算和无线技术的出现是一个例外,带来了生产力的大幅提高。然而,只有实施适当等级的安全措施,才有可能实现生产力的提升,而在此之前公司将不得不面对安全问题和黑客攻击。目前诸如WPA等技术可用于保护WLAN的安全,领先的第三方也随新兴的802.11i标准安全解决方案提供了强大的安全保护和前向兼容能力。实施安全无线技术只是完成了一半工作,另一半就要看我们自己了。一些公司不仅为员工提供共享选件,还鼓励定期召开公司会议,使员工增强在公司的主人翁意识和责任感。通过告诉公司员工(从高级领导层到管理层员工)要遵守安全政策,强调他们每个人都负有保护无线局域网安全的责任,只有这样企业才能真正利用并受益于无线工作环境。利用正确的安全技术和公司文化,目前正是在英特尔迅驰移动计算技术中部署广泛部署WLAN的良机,从而使您的企业摆脱线缆的束缚,以最大限度提高企业的生产力和安全性。 


1楼 0 0 回复
总共 , 当前 /