企業(yè)內(nèi)網(wǎng)管理頻遭入侵，如何加強辦公WiFi的安全管理？　 無線網(wǎng)絡的普及讓企業(yè)辦公變得更加智能、便捷，但隨之而來的無線網(wǎng)絡安全問題，讓所有的企業(yè)都非常頭疼!近年來，因無線網(wǎng)絡導致的安全事件已經(jīng)逐漸占領了新聞的頭條，因WiFi相關安全問題導致內(nèi)網(wǎng)被入侵的事件，對企業(yè)造成了十分惡劣的影響。

　　　　無線網(wǎng)絡已經(jīng)成為了企業(yè)移動化辦公的重要基礎設施，由于普遍缺乏有效的管理，無線網(wǎng)絡也越來越多的成為黑客入侵企業(yè)內(nèi)網(wǎng)的突破口。

那么，企業(yè)要如何加強無線網(wǎng)絡安全管理呢?　　如何保持無線網(wǎng)絡的安全性?　　若未合理配置，無線網(wǎng)絡可能會遭遇各種方式的入侵。

為此，我們介紹一些常見威脅以及如何最大限度地緩解或預防這些威脅。

要了解無線網(wǎng)絡會給基礎設施帶來多大風險，關鍵是明確無線網(wǎng)絡是如何融入網(wǎng)絡的其他部分的。

　　非法訪問對于任何網(wǎng)絡來說都是一個巨大威脅。

若無線網(wǎng)絡未鎖定，則可能會成為懷有以下惡意企圖之人的切入點。

　　未知無線局域網(wǎng)：有時，用戶或第三方承包商會在您的網(wǎng)絡中安裝不安全的無線設備，然后將其接入您的有線網(wǎng)絡接入點。

他們可能并無惡意，但在網(wǎng)絡中安裝此等設備無異于為出于好奇想要接入您網(wǎng)絡的各方提供免費通行證。

在計算機或手機上安裝Wi-Fi 嗅探器經(jīng)常進行網(wǎng)絡掃描是個不錯的辦法，因為這樣您可以檢測出那些在您不知情的情況下運行的無線網(wǎng)絡。

　　偽裝和IP 欺騙：一旦入侵者獲取了網(wǎng)絡訪問權限，可能會模擬網(wǎng)絡內(nèi)部通信，讓客戶和用戶誤認為發(fā)起通信的來源是合法的。

信息及敏感數(shù)據(jù)失竊發(fā)生的可能性非常大，因此定期網(wǎng)絡掃描以及細致的流量檢測應納入每日、每周及每月系統(tǒng)檢查。

　　帶寬盜鏈：帶寬盜鏈可能是公司在毫不知情的情況下面臨的最常見問題之一。

若無線客戶端的互聯(lián)網(wǎng)接入權限不基于會話提供而且無線密碼從不更改，可能發(fā)生帶寬不當利用問題。

若獲得您網(wǎng)站的訪問權限，無線客戶端可隨時重返您的站點重新連接。

若未部署內(nèi)容過濾或資源管理工具處理此類連接，您的網(wǎng)絡可能會在您不知情的情況下向非授權方提供互聯(lián)網(wǎng)接入權限。

MAC 過濾和帶寬分配等措施簡單易實現(xiàn)，可防止此類非授權接入為網(wǎng)絡帶來安全威脅。

　　如何提升無線網(wǎng)絡防御?　　您可實施以下級別的無線網(wǎng)絡防護，降低安全入侵風險： 防火墻　　 VLAN 隔離　　 WLAN 集中管理工具　　 訪客會話權限　　　　1. 防火墻　　網(wǎng)絡中部署的防火墻可提供很多交叉功能，是一款可方便使用的關鍵工具。

防火墻可限制和過濾在線內(nèi)容，基于IP 地址和MAC 地址限制特定設備和客戶端的訪問，或基于數(shù)據(jù)使用監(jiān)控限制訪問權限等。

利用防火墻，您可對通過無線網(wǎng)絡訪問互聯(lián)網(wǎng)和您網(wǎng)絡資源的用戶進行有效管理。

　　2. 基于SSID 的VLAN 隔離　　現(xiàn)今，大多數(shù)無線產(chǎn)品允許基于無線網(wǎng)絡的服務集標識符(SSID)和管理型交換機為網(wǎng)絡的不同路徑分配不同的IP 地址范圍。

也就是說，接入網(wǎng)絡的無線客戶端可在不同IP地址范圍內(nèi)隔離(若有必要)。

例如，訪客可能需訪問互聯(lián)網(wǎng)，但無需訪問文件共享或打印機等內(nèi)部網(wǎng)絡資源，而員工卻同時需要這兩種訪問權限。

在這種情況下，訪客接入訪客SSID，而員工接入公司SSID。

這種基于SSID 的VLAN 隔離方法對于限制公司資源的未授權訪問來說非常有效。

　　3. WLAN 集中管理工具　　組織往往并非總使用同一品牌的硬件。

不過，我們通常建議組織采用同一廠商的無線接入點，以便利用一種專有軟件應用進行有效管理，讓網(wǎng)絡管理員對無線客戶端、信號強度以及其他大量信息一目了然，無需對實時監(jiān)控情況進行推測。

因此，WLAN 集中管理工具對系統(tǒng)管理員來說是一種不可或缺的工具。

　　(1) 訪客會話接入　　為確保對無線網(wǎng)絡的完全控制，您可能希望向訪客分配動態(tài)Wi-Fi 權限。

為此，您可提供每日更新的訪問密鑰或配置配額系統(tǒng)，限制設備的訪問時間或數(shù)據(jù)使用情況。

這種模式尤其適用于機場或大學等對Wi-Fi 資源的訪問計費的場所。

　　(2) 評估無線網(wǎng)絡的安全　　要保障無線網(wǎng)絡的安全，首先您要看一下當前部署了哪些安全措施，然后確定還需采取哪些措施，從而提供全方位防護。

您可以從審核無線硬件入手，確定無線接入點的結構、模式和數(shù)量，這有助于您規(guī)劃網(wǎng)絡覆蓋范圍，查明建筑物、倉庫或辦公室的哪些區(qū)域正在傳輸無線信號。

　　接下來，確保您已制定了IT 政策，管理Wi-Fi 使用。

該IT 政策應包含以下方面：資產(chǎn)、感知風險和政策目標：明確需防護的網(wǎng)絡資源及防護原因。

　　最佳實踐和安全措施：解釋安全戰(zhàn)略制定的理論依據(jù)及最佳實現(xiàn)方法。

　　可接受的使用和執(zhí)行：闡述何謂無線網(wǎng)絡的合理使用，說明哪些行為構成入侵，并明確違反政策的后果。

　　　　一旦形成文件，您需確保組織內(nèi)的每位員工認可文件內(nèi)容，將其納入公司入職學習資料，讓新員工一入職就了解IT 政策。

　　4. 保護網(wǎng)絡免遭威脅　　目前，預防上述威脅的最佳方法是提供用戶培訓，增強威脅意識。

提升用戶的威脅防御能力可使其在使用您的網(wǎng)絡資源時做出更明智的決策。

　　跟大多數(shù)教育過程一樣，您需通過提供復訓、在公司范圍內(nèi)開展安全意識活動、通過郵件、通知和通告等發(fā)布安全提醒等形式持續(xù)推動安全意識提升。

只有通過持續(xù)推動安全意識提升，幫助用戶保護好自己，才能保護您公司的網(wǎng)絡和用戶。

　　IT 政策文件應為IT 部門解決所有安全相關問題提供指導方針，而且組織與用戶通信時也應以該文件為指導準則。

網(wǎng)絡培訓和安全保障對于組織培養(yǎng)健康的安全意識文化起關鍵作用，可使組織長期受益。