- 快捷搜索
- 全站搜索
1.静态监控
WLAN日常监控属于事前型、事中型的安全防护措施,金融企业控制中心应将其纳入每日监控工作中。这一措施将“无形”的WLAN信号“有形化”,以直观、明显的数据、图表等方式呈现出来,便于及早发现、控制War—Driving(战争驾驶)、fake AP(假冒AP)等入侵、欺骗类风险,信息泄露风险,以及射频干扰、资源耗尽等DoS攻击风险。
具体实施时,需要在企业内部各楼层及园区四周部署无线信号探针,并尽可能满足探针无缝覆盖园区各区域的要求。探针会收集探测能力范围内的无线信号信息,包括WLAN使用的信道、SSID、MAC地址、加密方式等特征,WLAN授权与否一目了然。依据探针放置的位置,还可以大致确定某一WLAN的接入点所在,更精确地确定AP的位置则需要WLAN手持定位设备的辅助。此外,一些探针或具备监听模式的AP还能够主动发起对非授权AP的去认证、去关联攻击(无线DoS攻击的两种),即反制作用,以制止非授权AP做出的恶意行为。
WLAN静态监控方法借鉴了金融企业ECC集中监控思想,并能很好地融入其中,平日监测企业内部及周边无线局域网的环境及实时变化,一旦确定威胁,则由监控终端发起反制,以保护企业WLAN不受影响。
2.动态巡查
动态巡查包括楼层巡查和园区巡查,是指使用WLAN便携定位设备,检测楼层及园区周围各WLAN的位置、加密方式、占用信道、覆盖范围、信号强弱等特征,以及wLAN是否越过园区边界等问题。
动态巡查需要使用wLAN便携定位设备,利用了信号扩散的原理,依据信号强弱分布径向找到WLAN信号源。
作为静态监控的必要补充,动态巡查弥补了静态监控灵活性不足、无缝覆盖较困难、无法准确排查定位AP所在位置的劣势。特别是在一些无法部署探针的环境下,如机房环境,使用便携设备进行动态检测可能是唯一的选择。在配合静态监控使用时,先用监控发现并大致确定非授权AP的位置,再使用便携设备动态准确定位信号源。
此外,对于因成本、管理等因素而没有部署集中监控的场所,如网点等,定期对经营区域及其周边进行wLAN动态巡查,是保障无线网络安全可控、无线业务不被干扰的有力措施。
3.完善制度建设与技术要求
企业WLAN应用安全的保障有赖于相关规章制度的要求,以及日常工作、生活中的知识积累。安全策略可以要求wLAN使用高强度的加密方式,要求组建集中监控环境以及定期对园区进行动态巡查,但也存在这样的情况:员工在自己的无线终端上设置了接入代理以供多人访问;手机开启了自动连接wiFi功能,在公共场所下自动连接开放认证的WLAN而造成信息泄露等等。“三分技术,七分管理”的理念同样适用于WLAN的安全维护。
加强WLAN抵御风险的能力,需要完善无线网络技术规范和制度要求,需要对无线接入点和无线终端进行全面的安全设置,需注意以下几点。
(1)搭建企业WLAN集中监控平台,要求对园区定期进行动态巡查,并完善相关制度;(2)完善WLAN安全设置的规范和要求,如必须使用WPA2机制,802.1x认证,必须隐藏SSID,绑定MAC地址等。(3)其他需要注意的地方:如关闭无线终端WiFi自动连接功能,拒绝来源不明的WiFi,认准无线AP的认证方式,谨防钓鱼、欺骗等。
无线局域网最大的特点是“无形”,但“无形”也极易被无线网络的各类威胁所利用,其“无边界”的特性给任何用户提供了接入生产、办公等隔离区域的可能性,使用不当的话,无线局域网便可能由“利器”转化为“凶器”,成为打破企业网络安全防护的突破点。
切实维护生产、办公、Internet等网络环境的安全有序,需要从部署之初开始,完善管理与技术建设,做好制度层面与技术层面的双重保护,利用WLAN为金融企业服务的同时,因合理规避风险,杜绝WLAN威胁趁虚而入、突破安全防线的机会。
(文章来源:中国金融电脑)
在银行业信息化新阶段,信息技术风险也自然成为金融机构操作风险的重要方面
华融湘江银行致力于服务地方经济、中小企业、广大客户,全力打造成为客户信