无线其实是把双刃剑。无线办公给企业带来无限便利的同时,也因为无线的空间蔓延特性,打破了原来有线的物理边界,从而带来信息安全问题。由于“信息安全”的领域非常广泛,涉及到的安全产品品类也非常丰富,文中的方案介绍主要聚焦在“无线安全”的剖析和解决。
企业无线办公,想用却不敢用
打破了网络边界
无线带来的安全问题,首先是打破了企业的网络边界,没有无线之前,如果要想接入企业内网,需要越过门卫、进入企业的大门。而现在,我们可以经常在墙外扫到各家企业的内网无线信号。这给了入侵者可乘之机。
打破了终端边界
BYOD使自有终端变成了办公终端,除了笔记本,手机也成为办公终端,通讯录、移动OA、会议APP等已经成为企业办公人员手机的标配。终端自由移动和接入不同的网络会带来系统被入侵的威胁,最终导致企业内网被入侵。
流氓Wi-Fi给企业带来致命威胁
企业的有线网络往往没有准入,可以直接接入。而员工从有线网络中私接Wi-Fi出来,会导致其他人也可以无准入地进入企业内网。
Wi-Fi攻击成本越来越低
钓鱼Wi-Fi大家都不陌生,其攻击门槛非常低,可以说只要他有心钓你,有机会钓你,就能钓到。试想如果调到的是一个重要人士(比如服务器管理员)的账户信息,那将是一件多么恐怖的事情。
无线安全,怎么考虑?
关于无线安全问题的本质——“无线打破网络边界”,有用户曾提出,你能让Wi-Fi成“断崖式”覆盖么?让它在哪里没信号,就在哪里没信号。很遗憾地告诉大家,目前世界上还不存在这种技术。那么,我们如何看待和处理无线安全问题呢?安全界有几个朴素的真理:
- 没有绝对的安全。
- 安全的目标在于防御,也就是防患于未然。
- 防御的目标在于让攻击成本大于攻击收益,没啥值得别人惦记的,就别买安全产品了。
- 一个初级目标,让你的攻击成本大于隔壁老王的就好了。
从防御的角度,我们怎么考虑无线安全呢?
一个终端在接入Wi-Fi、并使用Wi-Fi网络的时候,需要回答以下几个问题
你是谁?身份问题
你安全么?终端和射频安全问题
你想干嘛?资源授权问题
你在干嘛?行为审计问题
其中,1-3点都和无线关系密切,分别为无线网络的准入策略、防入侵策略和隔离策略。
锐捷观点:保障无线办公网的安全,需要从三个维度考虑。
- 严苛的准入和认证;
- 不同安全等级的区域隔离;
- 主动式防御,预先知悉网络中攻击及风险,做出及时响应;
无线NEW办公,让企业无线更安全
通过锐捷AP场景化、等级化的准入认证方案,AP虚拟化隔离技术,以及主动出击的安全雷达,实现强防御、高隔离的安全办公。
场景化、等级化的准入认证
针对业务网、访客网、办公网等不同场景的终端,采取不同严苛级别的安全准入策略,并给不同角色的终端分配不同权限的资源。
准入安全等
典型场景准入推荐
深度的安全域隔离
通过AP虚拟化技术,采用多隧道、多控制器的安全隔离,将不同安全等级的网络进行隔离,不允许互相访问,保核心业务安全。每张网有独立的控制器,不仅安全并且可靠。
主动出击的“安全雷达”
724小时360°无损全方位主动扫描,智能分析无线网络中存在的威胁及风险,准确定位信号来源以及受害终端,并构建一套扫描->识别->告警->防御的联动机制,使办公网络安全可视可知可防御,使可疑威胁无处匿藏。
“安全雷达”通过锐捷的本地化WIS--“Wi-Fi魔镜”软件实现
锐捷无线NEW办公之“安全办公”,不仅仅交付产品,更能够给决策者赋予持续抵抗无线威胁的能力、看懂无线安全现状的能力、自主无线安全运维的能力。
Tips:锐捷无线安全办公方案,就是绝对安全了么?回答是No,没有绝对的安全。安全办公方案只是在有限的成本范围内,大幅地增加了攻击成本。本案中无线安全雷达可免费使用;如需无线业务隔离,建议多采购一台控制器。
“无线安全办公”方案清单
本文作者:锐捷网络
来源:51CTO
