编者按:随着无线接入的大幅发展,保持网络的安全性已经不仅仅是技术问题,而且还涉及到企业的战略问题。
事实正在证明,借助无线技术,企业内外部的业务能力都能够得到拓展和延伸。采用无线技术,不仅能够限制不必要的有线操作,通常还能提高员工的生产力。有了无线技术,员工们就可以在任何远离公司的地点开展工作。然而,随着无线工作越来越普及,首席信息官(CIO)们以及管理网络的IT人员们,也日益感受到了如何管理陌生移动技术的压力。
在有线网络中,安全非常重要;而经理们在评估无线技术时,安全也是他们首先要关注的问题。扬基集团(Yankee Group)最近对300家美国企业的500多位员工进行了调查,结果发现,安全仍然是部署本地和广域无线技术的头号障碍。在大多数已经部署移动设备的场所,无论这些移动设备是为现场技术员配备的,还是为销售人员或行政人员所配备的,他们都被认为是与关键应用相联络的非常重要的工具。在某些情况下,这些设备是远程工作人员所使用的唯一设备。然而,这也使得技术决策者面临更大的挑战:既要理解与不同无线环境相关的各种安全问题,还要在采取降低风险的正确行动的同时,合理运用这些知识。
目前,很多企业已经将无线局域网(WLAN)与原有的企业网络环境进行了很好的整合,这些WLAN大多遵循的是 802.11a、802.11b和802.11g等标准。根据扬基集团的该项调查,60%的企业已经在企业内全面或部分地部署了WLAN。部署WLAN,可以减少架构的需求,而且还能够灵活地进行资源配置。显然,正是由于WLAN能够带来这些好处,所以才促进了企业的部署行为。但是,在接受调查的技术决策者中,三分之一的受访者仍对无线连接心存顾虑,这个数据也显示出,用户对风险和安全的担心持续阻碍了WLAN的广泛部署。
这项调查还显示,被调查者最担心的两个问题是“非法”(Rogue)接入点(AP)和“点对点”(Ad-hoc)接入点。非法网络是未知用户安装的接入点,绕过了企业的IT安全规定,实际上就是一种潜在的未经认证的网络接入点。Ad-hoc网络所带来的问题是,未经授权的个人,通过授权用户的笔记本电脑,非法接入公司WLAN。通过上述方式未经授权地接入企业网络,就会对网络连接构成潜在破坏,并给企业造成不可挽回的损失,比如知识产权丢失或企业信息被窃等等。
同时,WLAN的应用还存在着一些不太常见的威胁——未经授权和偶然关联(Accidental Associations)等,也就是说企业用户无意中连接到相邻的WLAN。这样,用户的电脑就会成为进入企业网络的潜在通道。其他的问题还有恶意攻击、骗取合法用户记录以连接到网络(例如钓鱼式攻击、欺骗或中间人攻击等)。
企业WLAN所采取的基本安全措施是,通过关闭AP的服务设置标识符(Service Set Identifiers ,SSID)广播,并确保网络加密,来阻止未经授权的连接。SSID是为单个员工建立和保持网络连接的一种方式。目前,WLAN最普遍的加密形式就是采取有线等效协议(Wired Equivalent Privacy,WEP)和Wi-Fi保护接入(WPA)两种方法。
入侵检测系统能提供 WLAN附加保护。思科系统公司(Cisco)等WLAN设备供应商,正把ID插入其设备中,第三方供应商如纽伯瑞网络公司(Newbury Networks)正在应用创新技术,如应用定位技术来检测未经授权的接入,以此来对现有网络架构提供附加保护。
无线广域数据服务(Wireless Wide-area Service),可通过手机信号覆盖范围,随时随地访问信息,这种功能对移动办公人员来说,所带来的商业价值超过了WLAN。但是,相关的网络解决方案发展速度更慢,安全仍是技术决策者在考虑部署无线广域网时所面临的最大难题。
通过手机网络接入移动数据,可以远程进入大多数现有的或企业导向的应用软件。虚拟专用网(VPN)连接是在笔记本电脑连接到防火墙后面的应用软件时最常用的安全保护措施。但是,随着便携设备的技术发展,出现了PDA、融合性的设备和智能电话等一些新的形式,这样VPN可能就无法发挥作用了。
相反,这种远程接入的实施,就要依赖其他措施,比如将移动网关或中间件功能安装在企业的内部网中,或安装在“可信任”的一方,如托管服务企业或移动运营商那里。关键是防止让第三方发现未加密数据的安全漏洞。比如,第三方在进行软件升级时,可能需要暂时把企业的数据储存在硬盘里,这就造成了安全隐患。
实施端到端的安全战略,是防止这种安全缺口的简单可靠的方法。通过采用这种方式,一家企业设置网关或中间件功能,使用安全架构在源头上保护数据,同时保护网络安全防止入侵。发送者对数据加密,只有终端用户的设备才能解密。数据传输过程中是加密的,储存在硬盘中时也保持加密状态。
我们访问过的一家大型现场服务企业,在为600位用户配置无线宽带领域设备时,选择了管理服务产品。这家企业选择了斯普林特公司(Sprint)的Managed Mobility。它将项目的IT支持人员从3名减少到1名;把设备中断/维修反应时间控制在24小时内;还确保安全规定能在远程设备上实施,而不需要实际接触到每台设备本身。
