3、无线网络安全对策
针对以上无线网络安全性应采用如下对策:
扩频、跳频无线传输技术本身使盗听者难以捕捉到有用的数据;
采取网络隔离及网络认证措施;
设置严密的用户口令及认证措施,防止非法用户入侵;
设置附加的第三方数据加密方案,即使信号被盗听也难以理解其中的内容;
解决来自公司内部员工的泄密破坏。 1)扩展频谱技术
扩展频谱技术在50年前第一次被军方公开介绍,它用来进行保密传输。从一开始它就设计成抗噪音、干扰、阻塞和未授权检测。扩展频储发送器用一个非常弱的功率信号在一个很宽的频率范围内发射出去,与窄带射频相反,它将所有的能量集中到一个单一的频点。扩展濒谱的实现方式有多种,最常用的两种是直接序列和跳频序列。
2)用户认证---口令控制
我们推荐在无线网的站点上使用口令控制----当然未必要局限于无线网。诸如Novell NetWare和Microsoft NT等网络操作系统和服务器提供了包括口令管理在内的内建多级安全服务。口令应处于严格的控制之下并经常予以变更。由于无线局域网的用户要包括移动用户,而移动用户倾向于把他们的笔记本电脑移来移去,因此,严格的口令策略等于增加了一个安全级别,它有助于确认网站是否正被合法的用户使用。
3)数据加密
假如单位的数据要求极高的安全性,譬如说是商用网或军用网上的数据,那么单位可能需要采取一些特殊的措施。最后也是最高级别的安全措施就是在网络上整体使用加密产品。数据包中的数据在发送到局域网之前要用软件或硬件的方法进行加密。只有那些拥有正确密钥的站点才可以恢复,读取这些数据。如果需要全面的安全保障,加密是最好的方法,一些网络操作系统具有加密能力,基于每个用户或服务器、价位较低的第三方加密产品也可以胜任,并可为用户提供最好的性能、质量服务和技术支持。
4)加强企业内部管理制度
对于内部员工主动泄密的情况,没有十分好的安全策略,只能通过管理制度进行限制。采用的安全方法如下:
采用端口访问技术(802.1x)进行控制,防止非授权的非法接入和访问。
对于密度等级高的网络采用VPN进行连接。
布置AP的时候要在公司办公区域以外进行检查,通过调节AP天线的角度和发射功率防止AP的覆盖范围超出办公区域,同时要让保安人员在公司附近进行巡查,防止外部人员在公司附近接入网络。
禁止员工私自安装AP,通过笔记本配置无线网卡和无线扫描软件可以进行扫描。
制定无线网络管理规定,规定员工不得把网络设置信息告诉公司外部人员,禁止设置P2P的Ad hoc网络结构
跟踪无线网络技术,特别是安全技术(如802.11i规范了TKIP和AES),对网络管理人员进行知识培训。
本文所用的有关术语说明如下:
AP(Access Point)无线访问接入,类似于有线网络集线器的设备。
P2P(peer-to-peer)对等联网
802.11i规范了TKIP和AES技术说明:
TKIP(Temporal Key Integrity Protocol) 临时密钥完整性协议,
AES(Advanced Encryption Standard) 高级加密标准。
关注此文的读者还看过:
