保障金融無(wú)線(xiàn)網(wǎng)絡(luò)安全從“頭”開(kāi)始

    從網(wǎng)絡(luò)安全的角度看我們可以把通常的業(yè)務(wù)流程抽象成一個(gè)線(xiàn)性業(yè)務(wù)鏈，包括接入、操作系統(tǒng)、應(yīng)用和數(shù)據(jù)。接入就是網(wǎng)絡(luò)安全的“頭”，而數(shù)據(jù)是網(wǎng)絡(luò)安全的“尾”。

    無(wú)線(xiàn)接入存安全隱患

    接入為什么會(huì)被單獨(dú)提出來(lái)？因?yàn)樵趯?shí)際的網(wǎng)絡(luò)環(huán)境當(dāng)中，接入已經(jīng)從傳統(tǒng)的固定有線(xiàn)接入方式延伸到無(wú)形的無(wú)線(xiàn)接入層面。Gartner的統(tǒng)計(jì)報(bào)告顯示，WLAN所面臨的安全威脅，在眾多的安全風(fēng)險(xiǎn)類(lèi)型當(dāng)中屬于最高等級(jí)，所以在金融行業(yè)里已經(jīng)出臺(tái)了相應(yīng)的法規(guī)。美國(guó)的PCIDSS法規(guī)中專(zhuān)門(mén)針對(duì)金融行業(yè)無(wú)線(xiàn)接入提出了明確的安全要求：對(duì)于所有有支付卡的場(chǎng)所，必須在每個(gè)季度對(duì)它進(jìn)行一次無(wú)線(xiàn)網(wǎng)絡(luò)安全掃描，無(wú)論這個(gè)場(chǎng)所是否已經(jīng)部署了無(wú)線(xiàn)設(shè)備。

    無(wú)線(xiàn)接入層面可能會(huì)面臨怎樣的安全隱患？首先，無(wú)線(xiàn)接入具有移動(dòng)的特點(diǎn)，使得網(wǎng)絡(luò)邊界處于比較模糊的狀態(tài)，而不像以往具有一個(gè)清晰的的邊界。其次，因?yàn)闊o(wú)線(xiàn)協(xié)議的開(kāi)放性，它給我們帶來(lái)便捷的同時(shí)，也為數(shù)據(jù)的截獲和惡意破解提供了可乘之機(jī)。第三，就是隨著無(wú)線(xiàn)網(wǎng)絡(luò)越來(lái)越被大家廣泛使用，就會(huì)存在網(wǎng)絡(luò)交叉的情況，我們?nèi)绾稳ケ鎰e合法的、正常的網(wǎng)絡(luò)接入是一個(gè)問(wèn)題。第四，就是現(xiàn)在很多人提到的BYOD的問(wèn)題。各種各樣的終端都會(huì)通過(guò)無(wú)線(xiàn)方式接入，增加了管理控制的復(fù)雜性。

    正是因?yàn)檫@樣一系列的安全隱患，導(dǎo)致在無(wú)線(xiàn)接入層面存在一些風(fēng)險(xiǎn)。這些風(fēng)險(xiǎn)包括對(duì)無(wú)線(xiàn)網(wǎng)絡(luò)密碼的破解，現(xiàn)在有蹭網(wǎng)卡或者專(zhuān)門(mén)軟件可以去破解。還有無(wú)線(xiàn)釣魚(yú)的攻擊，就是惡意的攻擊者仿造貌似正常的無(wú)線(xiàn)網(wǎng)絡(luò)，來(lái)誘導(dǎo)用戶(hù)錯(cuò)誤的接入。還包括對(duì)正常網(wǎng)絡(luò)的干擾，以及在一些用戶(hù)環(huán)境中存在私自接入的流氓AP。

    金融網(wǎng)絡(luò)無(wú)線(xiàn)網(wǎng)絡(luò)安全不容樂(lè)觀

    通過(guò)和國(guó)內(nèi)主要金融行業(yè)的網(wǎng)絡(luò)安全專(zhuān)家進(jìn)行交流之后，啟明星辰總結(jié)出了金融行業(yè)目前在無(wú)線(xiàn)接入層面可能會(huì)存在的一系列安全風(fēng)險(xiǎn)。首先就是安全監(jiān)控手段的缺失，實(shí)際上在金融行業(yè)的網(wǎng)絡(luò)環(huán)境中，可能會(huì)存在多個(gè)不同的安全區(qū)域，有各種各樣的安全規(guī)范，包括對(duì)于無(wú)線(xiàn)網(wǎng)絡(luò)安全的要求，但是實(shí)際上目前監(jiān)控手段還是非常有限的。我們做過(guò)實(shí)際的測(cè)試，發(fā)現(xiàn)在金融用戶(hù)的辦公環(huán)境里面，無(wú)線(xiàn)網(wǎng)絡(luò)狀況遠(yuǎn)比之前意識(shí)到的要復(fù)雜得多。另外一個(gè)問(wèn)題是私接AP的問(wèn)題。在金融行業(yè)的網(wǎng)絡(luò)中可能會(huì)存在多個(gè)不同的安全域，特別是安全性比較高的內(nèi)網(wǎng)辦公區(qū)域，如果有人私自接入無(wú)線(xiàn)路由器或者無(wú)線(xiàn)接入設(shè)備，那么除了會(huì)給管理上帶來(lái)可控性的問(wèn)題之外，還可能給外部人員提供進(jìn)入內(nèi)網(wǎng)的機(jī)會(huì)。如果我們沒(méi)有有效的監(jiān)控手段，這實(shí)際上是個(gè)非常大的安全隱患。

    還有就是針對(duì)WLAN的各種攻擊可能會(huì)對(duì)內(nèi)部的無(wú)線(xiàn)網(wǎng)絡(luò)形成安全威脅。最后一點(diǎn)是無(wú)法限制無(wú)線(xiàn)信號(hào)。金融用戶(hù)有一些重要的區(qū)域，包括敏感數(shù)據(jù)的存放區(qū)域，或者機(jī)房的空間，按照規(guī)定是不允許有無(wú)線(xiàn)信號(hào)的，可是目前除了采用物理隔斷手段，實(shí)際上我們是沒(méi)有辦法控制無(wú)線(xiàn)信號(hào)的覆蓋的。

    基于這些問(wèn)題，針對(duì)金融行業(yè)的網(wǎng)絡(luò)環(huán)境，啟明星辰認(rèn)為可以通過(guò)7*24小時(shí)無(wú)線(xiàn)接入監(jiān)控加檢查工具的方式，來(lái)滿(mǎn)足金融行業(yè)不同安全區(qū)域無(wú)線(xiàn)接入的安全要求。啟明星辰的解決方案可以向管理員提供實(shí)時(shí)的網(wǎng)絡(luò)連接拓?fù)鋱D，根據(jù)配置策略實(shí)現(xiàn)無(wú)線(xiàn)接入層面的訪問(wèn)控制，包括攻擊事件的檢測(cè)、審計(jì)和阻斷，以及無(wú)線(xiàn)接入層面的脆弱性?huà)呙瑁�還有涉及到更大區(qū)域的無(wú)線(xiàn)風(fēng)險(xiǎn)的集中管控。

    啟明星辰認(rèn)為，在無(wú)線(xiàn)接入層面，應(yīng)該從無(wú)線(xiàn)接入的方式到接入的流程，到管理規(guī)范，以及相應(yīng)的安全策略，對(duì)整個(gè)環(huán)節(jié)都要進(jìn)行有效的監(jiān)控和管理，才能實(shí)現(xiàn)比較好的無(wú)線(xiàn)網(wǎng)絡(luò)安全防護(hù)效果。