English

如何防止Wi-Fi办公环境下的智能终端被窃听

2016-05-19

       有线网络的出现让企事业单位从传统的纸笔文件签名的复杂流程中解放,极大地简化了办公流程;随着部⻔门规模的扩大,办公自动化程度的深入,网络节点的增加,办公单位希望工作不再受时间、空间的限制,无线办公网络的出现则让企事业单位自动化办公效率提升一个档次。

Wi-Fi环境下,开放环境带来接入风险
       在我们享受无线WIFI带来的上网便利时,大量的WIFI钓鱼、WIFI窃密等风险也偷偷地向我们袭来,手机等移动终端的信息安全,在无线WIFI被肆意恶意利用的形势下,更面临严峻考验。


       1、移动终端被窃听:单位的业务系统以数据为核心,同时无线有别于有线网络,无线网络的所有数据都在空中传输,有被窃听和破解的风险,造成泄露单位机密。


       2、Wi-Fi被钓鱼:无线部署作为有线扩展,安全接入的边界和方式相较于有线网络更加难以控制,职工私接Wi-Fi等安全问题也缺乏很好的管理手段。各种钓鱼AP、AD-hoc可能隐藏在无线环境中,数据被转移、数据中病毒的风险无处不在,亟需要加以防护,确保数据和业务安全。
 
哪些原因导致移动终端被窃听?
       1、不够安全的认证机制:使用PSK方式(固定密码)认证,在企业中使用被认为是不够安全的,组织架构的各部门人员均采用相同的密码接入,任何人知晓密码即可登入到无线局域网中,包括非法用户或者黑客。


       2、忽视数据加密:数据加密能有效的保护数据完整性和数据传输的私密性,有些单位为了便捷和简便性,采用web认证的方式进行认证,对于内网办公来说并不够安全的,web认证方式是以明文传输数据的,并未加密数据。同时,WLAN的接入使用了数据加密的认证,但如果加密算法不够先进,也存在被破解的风险。


       3、非法Wi-Fi带来安全隐患:钓鱼AP的出现,随身Wi-Fi的横行,是无线网络环境中遇到比较多的常见问题,有较高的安全隐患。钓鱼AP是一些非法用户将自己架设的热点AP伪装成合法热点,通过诱骗终端连接AP,然后达到窃取信息,拦截数据的目的,对于此类AP我们称之为钓鱼AP。同时,职工如果使用的随身Wi-Fi,内网数据被公开,出现不可控缺口从而造成重要业务信息泄露。


       4、缺乏用户/终端/内容的精细化管控:职工的行为如果不受控制和管理,比如,访问的网页中包含木马病毒,职工不受控制的上网行为将病毒带进内网,造成内网系统数据被窃取,移动终端的个人资料自动上传等等危害,隐患较大。很多数据泄露风险都来自于不够规范的网络管理。安全风险潜藏于应用中,譬如基于web安全漏洞的攻击越来越多,如何准确识别应用成为网络安全管理的严重挑战。
 
如何确保手机Wi-Fi上网安全,杜绝窃听等安全风险
一、保证安全的WLAN上网环境
       1、非法Wi-Fi反制:针对钓鱼AP、随身Wi-Fi带来的安全隐患,比较有效的做法是非法Wi-Fi反制,可针对周边的无线环境进行扫描检测,一旦发现存在可疑、非法接入点、钓鱼AP,即进行警告以及反制,开启钓鱼AP反制后,可以防止手机错误连入伪装的Wi-Fi网络,避免机密、用户隐私信息被盗。


       2、定时射频开关:晚间大部分时间,Wi-Fi是没有人使用的,如果一直不间断的开启Wi-Fi,黑客拥有大把的时间入侵网络,合理的开启和关闭射频功能,能防止此类隐患发生。


       3、采用更高级的安全认证和数据加密机制:802.1x认证是公认的拥有较高安全性的一种接入认证方式,而且认证过程中将数据进行加密,128位的AES+CCMP加密算法,提供了更高级别的安全性。同时,CA证书认证CA认证需要对用户的身份真实性进行验证,因此在用户接入、数据传输上拥有超高的安全性。因此,采用更高级别的802.1x和CA证书认证能更好的保证接入的数据安全。

二、对访问终端的风险管控
       1、终端识别,非办公终端无法接入:若允许所有终端访问,无有效的终端控制,办公网的安全性无疑还不够完善。采用终端类型识别技术,非办公终端不能接入,加强安全性。


       2、用户终端一对一绑定:用户和终端绑定策略,非已绑定终端和用户不能接入网络,能够直接拒绝攻击者设备连接入网,降低入侵事件的几率。同时,实现自动绑定的策略,无需录入大量的mac地址,降低管理员的工作量,提高运维效率。

三、对接入用户、访问内容的风险管控
       1、应用层的安全管控,识别潜藏风险:基于应用层的安全管控,能有效识别潜藏在应用中的安全风险,提升无线网络中抵御网络风险的能力采用专业的上网行为管理,可针对职工的种种上网行为进行合理管控,提高无线网络的安全性。同时,规范上网行为能显著提高职工工作效率。根据不同的用户组、用户、接入位置等分配不同的上网访问权限和流量策略;对应用及URL的管控粒度精细化,拦截对色情、非法网站的访问,净化网络环境,确保绿色上网环境。


       2、VLAN间用户隔离,防止黑客嗅探:对政府内部用户可以按照职业部门、楼层、终端类型等进行VLAN划分,缩小广播域,缩小黑客攻击范围,不同的VLAN之间的用户不能相互访问;对同一个VLAN内的用户进行二层隔离,即使同一个VLAN内的用户也不能相互访问,可以有效防止黑客的嗅探行为。


       3、办公、访客网络相互隔离,根据地理位置灵活创建:除日常办公外,单位内部还经常会有访客参观交流、商务洽谈等来访,访客对无线网络也会有使用需求。为了保证企业的网络信息安全,可以同时建立相互隔离、彼此独立的企业办公无线网络与访客网络,需根据接入点位置创建所需要的无线网络,如在企业前台、接待室、会议室等开放区域创建访客无线网络;在办公室、会议室等办公区域创建内网办公无线网络,针对访客的上网,网络安全再上一个等级。


       4、对访问行为的合规审查:审计职工、访客的所有无线上网行为,满足公安部82号令的要求,有效掌握员工的网络访问内容。在数据中心后台,还可通过报表对职工的上网习惯进行分析,了解思想动向。
 
       总结:全方面防护的无线才是安全的无线终端结构的变化,网络结构也随之而变,无线网络的规划势在必行。如何构建安全的无线上网环境,防止智能终端被劫持、被窃听,我们需要从无线环境、准入到访问资源的上网流程,从网络层到应用层,全方面考虑安全防护,构建端到端的安全。