保护无线安全四大准则.docVIP

保护无线安全四大准则 　　各种新型移动设备在企业中日益被更广泛应用，企业因此面临着许多新的移动安全威胁。企业该如何准备以应对这些挑战呢？ 　　第一项广泛应用的无线局域网技术802.11b在1999年就问世了。不过令人奇怪的是，到目前为止，许多公司仍没有为局域网和广域网上的无线连接采取合适的安全措施。如今，许多公司又在积极采用新的移动设备，比如iPhone等，又开始面临着新的移动安全威胁。美国应用网络安全协会是一家从事信息安全专业人员培训的组织，其高级研究副总裁艾伦#8226;凯里说: “许多公司在无线安全方面的基本功还非常欠缺。” 　　研究咨询公司伯顿集团的高级分析师埃里克#8226;梅沃尔德表示，做好基本功并不难。目前，无线网络的两种主要保护机制有: 验证与加密，这是已经实践证明、广泛部署的安全标准。 　　第一代移动设备常常极少注意安全问题，比如苹果公司的第一款iPhone就缺乏基本的安全技术，如虚拟专用网（VPN）、强密码、安全可管理性、加密和远程删除（remote-kill）等功能。但RIM公司的“黑莓”设备却是个显著例外。随着各种移动设备在企业中越来越广泛应用，新一代的、具有上网功能的移动设备在设计时就很关注企业级安全问题，比如苹果公司的新版本iPhone、Palm公司的Treo以及基于微软Windows Mobile 6操作系统的设备。随着iPhone越来越得到许多公司的采用，苹果公司在该手机中增添了VPN功能，并且承诺会在今年6月发布软件补丁，堵上其他安全漏洞（强密码方面可能仍存在漏洞）。 　　新一代Windows Mobile和Palm Treo设备同样改进了安全功能。比方说，即将推出的版本6.1 Windows Mobile软件将让管理员可对保存在Windows Mobile设备内存卡上的数据进行加密，还能控制可以安装哪些应用程序。去年Palm应美国军方的要求，为用户推出了一个新的选项: 除了要求在Treo上输入密码外，还可以使用蓝牙读卡器刷双因子验证卡，通过后才能使用这种手持设备。 　　在极其关注安全的行业，有些公司并不满足于无线安全方面的基本措施。首当其冲的是医疗机构和高等院校，前者需要满足《健康保险可携性及责任性法案》（HIPAA）在数据隐私性方面的严格要求; 而后者需要满足数量庞大的移动教职员工和学生在多个园区工作及学习的要求。在无线网络的发展早期，这些机构成了黑客们的天堂，它们付出代价后才汲取了经验与教训。 　　如此看来，问题不是在于有没有技术，而是在于公司如何重视及考虑无线网络和移动网络的安全问题。现在仍有许多公司还没有为无线网络与移动设备制订安全策略。 　　 　　1. 采取基本的保护机制 　　 　　无线用户面临的重大威胁是: 他们的数据和密码等信息在传输过程中可能被人截获。这种截获的途径大不相同，比如通过无线窃听器或者通过非法接入点（rogue access point）等。同样，移动用户也面临类似威胁: 一旦他们手中的设备丢失或者被偷，里面的数据就会暴露。 　　在这两种情况下，对数据（包括静态数据和传输中的数据）进行加密和对用户访问（包括对数据、设备和网络的访问）权限进行验证是两大关键的安全方法。这些方法应当结合网络或者电脑使用的常用安全方法，比如要求输入强密码、执行用户访问控制策略以及通过VPN与虚拟局域网（VLAN）等技术来隔离流量。 　　关键在于确保针对网络及使用网络的设备全面运用这些方法，这样就能限制任何一次泄密事件带来的不利影响。 　　任何无线网络都会通过加密“握手”过程来验证用户身份，这个过程意味着: 必须使用无线保护访问（WPA）协议或者其更新版本―无线保护访问2（WPA2）。这两种协议都基于802.11i标准，不过WPA基于草案标准，而WPA2则是基于最终标准。WPA和WPA2也各有两个版本: 个人版和企业版。个人版使用预共享密钥（PSK），这意味着所有用户都拥有同样的安全证书。企业版采用802.1x服务器为每个用户创建独特的证书，因而来得更安全。因为万一某个证书被人发现了，其他证书仍是安全的。但咨询公司Cryptography Research的总裁保罗#8226;科克强调，企业版加大了IT人员的工作量，因此它对有许多用户的大公司来说不是理想的解决方案。 　　这就是为什么说WPA仅仅是无线网络中的第一道防线的主要原因。下一道防线应当是使用虚拟局域网（VLAN），以便将不同流量与用户隔离开来。这与有线网络中使用子网段是同一个道理。通过把用户局限在特定的虚拟局域网中，就可以利用访问控制策略来监控无线活动，并且确定基于角色的访问权，即使未授权者通过了WPA验证这一步也没关系。 　　IT人员还应当确保在任何一种远程连接上，无线用户都遵守同样的安全做法，