扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:techrepublic.com.com 2006年2月21日
关键字: 无线局域网
如果公司尚未部署无线局域网,那么现在正是良机。但在部署之前,需要制定一套无线局域网安全策略。以下这些策略应当涵盖的七大要点,从而为无线网络的部署、使用和管理打造一个坚实的基础。
如果不考虑现在很多文章所详细讨论的安全威胁问题,无线网络可谓尽善尽美。很多企业也已经部署了无线网络来对内部用户提供支持。
另外,很多企业正在规划无线网络的部署。如果你的企业属于这一部分,那么需要好好的关注无线网络安全。
事实上,在这之前,需要制定一套无线局域网安全策略。如果已经有了,需要对其实时更新。这一套策略应当涵盖哪些方面呢?至少,它应当涉及开发、使用和管理无线网络之基础工作的七大关键领域。现在就让我们了解每一个领域。
定义用户基础
清晰的定义哪些人可以使用无线局域网,哪一种层次的访问用户既能使用企业内部网,也能使用互联网。无线局域网通常并不会限制对整个网络和互联网的访问。但这并不意味着就应该这样做。
的确,需要考虑有的局域网是为客户提供服务的(例如公司外的用户),就需要禁止自己的雇员使用这一部分的网络。有的公司甚至会阻断企业内部网和互联网之间的无线子网。
无论是否选择允许访问,确定访问的范围都是至关重要的。因此,清晰的定义这一点是策略制定和实施的头等大事。
确定适当的用途
在确定了用户范围之后,可以考虑允许或禁止用户在无线网络上流通的信息了。例如,可能不希望无线局域网上出现个人信息或财务记录。
此外,禁止一些自建网络(ad hoc)连接(例如peer-to-peer)也是个好主意。企业一定不想一些用户把网络范围扩展到那些并未被授权使用WLAN访问的用户上。
准备安全安装
要清楚地安排哪一个内部部门对部署的无线访问点以及其他无线设备负责。否则,可能会有用户在办公室里自行安装访问点,从而造成安全隐患。
为访问点提供最低要求的物理安全标准,决定谁可以物理连接到访问点。理想情况下,应当将访问点放到建筑物内的访问控制室。调整这些访问点的覆盖范围,使其完全满足所需的物理边界,并尽量做到不会超出。
确定有效的安全设置
在所有的访问点上面都要定义最小安全保障措施。禁用SSID广播功能,将默认的SSID改为一些不会泄露公司名称或业务范围的字符。否则,就是给那些可能侵入网络的黑客们发送请柬。
打开无线加密,强制使用WPA协议或者WPA-AES,也就是WAP2协议。这两种加密机制都采用了强悍的加密模型。而AES因为使用了Rijindal加密则更为可靠,并被公认为是可用于机密数据系统的安全标准。
为设备和数据丢失设计恢复计划
一旦开始部署无线网络,就应当料到有人会丢失无线设备。当这些无法避免的丢失现象发生时,必须立刻改变网络中所有的安全设置(包括SSID以及加密密钥),安全策略必须要涵盖这点。应当将任何设备丢失事件都看作是对网络安全的威胁,在策略中定义各个步骤来规避未来可能出现的损害。
对员工和用户安排适当的培训
需要为整个IT部门以及用户提供培训,确保每一个人都能部署、使用、管理无线网络,并具备防范能力和事件响应能力。很多企业在新的方案部署期间会忽略这个问题,而这正是企业规范需要强调的。
记住,无线局域网同传统的有线局域网完全不同。需要写下培训需求的基本内容,并且根据现有的成功部署情况为无线网络的使用提供知识基础。
为网络管理和监控提供指导方针
一旦成功启动了一个无线网络项目并进行了实施,没有人能保证它不会出问题。企业的策略应当定义安全措施的实施频率和范围(包括对恶意访问点的探测),这些都需要按照既定的策略来实施,从而保证网络的持续安全。
结束语
每一个新的项目实施都应该有策略。如果还没有无线局域网,那么现在正是部署它的良机,企业可能在不久的将来就会用到它。在部署这一项目之前,一步步的制定相关的策略,将会发现这样一个事实:再差的策略也总比没有强。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。