开发者社区> 知与谁同> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

保障金融无线网络安全从“头”开始

简介:
+关注继续查看
本文讲的是保障金融无线网络安全从“头”开始,网络安全的角度看我们可以把通常的业务流程抽象成一个线性业务链,包括接入、操作系统、应用和数据。接入就是网络安全的“头”,而数据是网络安全的“尾”。

  无线接入存安全隐患

  接入为什么会被单独提出来?因为在实际的网络环境当中,接入已经从传统的固定有线接入方式延伸到无形的无线接入层面。Gartner的统计报告显示,WLAN所面临的安全威胁,在众多的安全风险类型当中属于最高等级,所以在金融行业里已经出台了相应的法规。美国的PCI DSS法规中专门针对金融行业无线接入提出了明确的安全要求:对于所有有支付卡的场所,必须在每个季度对它进行一次无线网络安全扫描,无论这个场所是否已经部署了无线设备。

  无线接入层面可能会面临怎样的安全隐患?首先,无线接入具有移动的特点,使得网络边界处于比较模糊的状态,而不像以往具有一个清晰的的边界。其次,因为无线协议的开放性,它给我们带来便捷的同时,也为数据的截获和恶意破解提供了可乘之机。第三,就是随着无线网络越来越被大家广泛使用,就会存在网络交叉的情况,我们如何去辨别合法的、正常的网络接入是一个问题。第四,就是现在很多人提到的BYOD的问题。各种各样的终端都会通过无线方式接入,增加了管理控制的复杂性。

  正是因为这样一系列的安全隐患,导致在无线接入层面存在一些风险。这些风险包括对无线网络密码的破解,现在有蹭网卡或者专门软件可以去破解。还有无线钓鱼的攻击,就是恶意的攻击者仿造貌似正常的无线网络,来诱导用户错误的接入。还包括对正常网络的干扰,以及在一些用户环境中存在私自接入的流氓AP。

  金融网络无线网络安全不容乐观

  通过和国内主要金融行业的网络安全专家进行交流之后,启明星辰总结出了金融行业目前在无线接入层面可能会存在的一系列安全风险。首先就是安全监控手段的缺失,实际上在金融行业的网络环境中,可能会存在多个不同的安全区域,有各种各样的安全规范,包括对于无线网络安全的要求,但是实际上目前监控手段还是非常有限的。我们做过实际的测试,发现在金融用户的办公环境里面,无线网络状况远比之前意识到的要复杂得多。另外一个问题是私接AP的问题。在金融行业的网络中可能会存在多个不同的安全域,特别是安全性比较高的内网办公区域,如果有人私自接入无线路由器或者无线接入设备,那么除了会给管理上带来可控性的问题之外,还可能给外部人员提供进入内网的机会。如果我们没有有效的监控手段,这实际上是个非常大的安全隐患。

  还有就是针对WLAN的各种攻击可能会对内部的无线网络形成安全威胁。最后一点是无法限制无线信号。金融用户有一些重要的区域,包括敏感数据的存放区域,或者机房的空间,按照规定是不允许有无线信号的,可是目前除了采用物理隔断手段,实际上我们是没有办法控制无线信号的覆盖的。

  基于这些问题,针对金融行业的网络环境,启明星辰认为可以通过7*24小时无线接入监控加检查工具的方式,来满足金融行业不同安全区域无线接入的安全要求。启明星辰的解决方案可以向管理员提供实时的网络连接拓扑图,根据配置策略实现无线接入层面的访问控制,包括攻击事件的检测、审计和阻断,以及无线接入层面的脆弱性扫描,还有涉及到更大区域的无线风险的集中管控。

  启明星辰认为,在无线接入层面,应该从无线接入的方式到接入的流程,到管理规范,以及相应的安全策略,对整个环节都要进行有效的监控和管理,才能实现比较好的无线网络安全防护效果。


作者:海浪
来源:it168网站
原文标题:保障金融无线网络安全从“头”开始

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
沃通SSL证书助力金融行业网络安全建设
沃通SSL证书基于PKI/CA体系及密码技术,为银行、证券、基金、信托等金融行业客户,从技术上解决网上身份认证、数据机密性、信息完整性和抗抵赖等网络安全问题
0 0
金融安全资讯精选 2018年第五期:“十三五”金融网络安全建设要点浅析,互联网金融黑中介起底,汇通天下云上微隔离实践
“十三五”金融网络安全建设要点浅析,互联网金融黑中介起底,汇通天下云上微隔离实践
1795 0
金融安全资讯精选 2017年第十八期:4个月内P2P网贷企业信息安全未合规将被取缔,全球100起重大投融资看未来网络安全发展热点,Gartner2017年安全投入以及人员投入占比相关数据
4个月内P2P网贷企业信息安全未合规将被取缔,全球100起重大投融资看未来网络安全发展热点,Gartner2017年安全投入以及人员投入占比相关数据
3624 0
金融安全资讯精选 2017年第十六期:逐条解读现金贷整顿对P2P影响,工信部宣布1亿以上用户信息泄露为特大网络安全事件,太平保险集团信息安全主管的企业安全方法论
逐条解读现金贷整顿对P2P影响,工信部宣布1亿以上用户信息泄露为特大网络安全事件,太平保险集团信息安全主管的企业安全方法论
1858 0
+关注
文章
问答
文章排行榜
最热
最新
相关电子书
更多
拥抱零信任,构建新一代 网络安全体系
立即下载
治理企业的IT是关键如何面对网络安全问题的挑战
立即下载
网络安全与区块链
立即下载