企业级WLAN安全接入行业应用解决之道

互联网 | 编辑: 何毅 2012-03-21 17:32:00转载-投稿

从1999年开始,国内一些企业便尝试在室内办公环境应用无线局域网产品,到2012年,企业级WLAN应用已经成几何式增长。其应用范围不仅从小型室内办公室发展至上万平米的室内应用,其应用环境也已经从大中型企业、写字楼扩展至整个园区、楼宇、校园甚至整个城市。

从1999年开始,国内一些企业便尝试在室内办公环境应用无线局域网产品,到2012年,企业级WLAN应用已经成几何式增长。其应用范围不仅从小型室内办公室发展至上万平米的室内应用,其应用环境也已经从大中型企业、写字楼扩展至整个园区、楼宇、校园甚至整个城市。

记者发现,时至2012年,人们在提到WLAN的企业级应用,除了传统的“建设”,另一个关注的焦点就是“安全”。信息系统安全是各种因素的综合体,涵盖了网络、操作系统、应用软件本身的安全问题。在我们的日常生活、工作、学习中,应用软件由于其自身的复杂性,使用观念的差异性和技能上的缺失,导致其成为黑客最常利用的攻击手段,占攻击事件的75%。众所周知,网络数据传输承载了许多企业的重要信息,信息是否安全有时会影响一个企业的生死存亡。因此,WLAN的企业级应用绝不是简单的“接入”,我们应该在前面加一个定语,那就是“安全”。

很多正在或即将步入企业担负网络管理的朋友也在不断补充自己的知识,以应对当前网络接入的新时代。纵观国内企业级WLAN安全接入解决方案成功应用并取得成功的当属北京安氏领信科技发展有限公司。这是一家具有近十年丰富经验的、专注网络安全防护的领先企业。作为国内最早开展WLAN安全研究的网络信息安全的企业之一,安氏领信投入重金建立WLAN安全研究实验室,始终致力于早发现早解决WLAN各类安全问题,为社会及企业提供有安全保障的WLAN网络,日前获得重大突破。2011年4月28日,国家信息安全漏洞共享平台正式对外公布,由安氏领信提交的“无线网络控制器信息泄露漏洞”正式入选国家漏洞库,国家信息安全漏洞共享平台将该漏洞危害级别鉴定为高危级别,漏洞编号为CNVD-2011-04873,这是国内首次在无线网络领域发现安全漏洞;2012年2月,安氏领信又一相关WLAN设备的安全漏洞入选国家漏洞库,漏洞编号为CNVD-2011-09240。安氏领信由此进一步巩固了无线网络安全防护“第一人”的地位。

关于WLAN安全接入在各行各业应用未来的发展如何?安氏领信如何做到理念领先?如何保持技术领先?如何在竞争中实现差异化竞争?记者带着这些问题采访了北京安氏领信科技发展有限公司副总裁李宗洋。李总表示,近几年安氏领信在全国为各行各业的企业提供WLAN安全接入的全套解决方案,2012年安氏领信将继续把自身在WLAN安全技术研究成果应用于各行业的WLAN安全接入,WLAN安全接入将成为安氏领信重要的发展方向之一。

安氏领信副总裁李宗洋

记者:李总您好,安氏领信对大家来说是比较熟悉的品牌,您能对安氏领信公司推出的行业应用安全接入WLAN解决方案作个介绍吗?

李:领信安全无线接入解决方案为了满足用户使用笔记本电脑、手持终端等移动设备的高速上网需求,实现用户随时随地都能通过无线接入网络,并通过安全认证(WEB认证、802.1X认证),数据加密,实现用户接入的合法性,让目前市面上流行的蹭网成为不可能。

记者:作为一家长期在专业市场发展的公司,是什么契机让安氏领信近几年开始在行业应用安全接入WLAN解决方案上不断有新动作?

李:安氏领信是北京2008奥运会WLAN认证平台的解决方案提供商,领信安全无线接入解决方案正是基于奥运WLAN的基础,总结并吸收来自奥组委和其他多方单位的安全建议,形成了一套安全无线接入解决方案。

记者:在国内,与其他的WLAN网络搭建不同,我们注意到安氏领信强调了“安全”接入,对于商场、酒店、校园等行业,从技术方面来说WLAN存在哪些安全风险?如果不重视WLAN网络安全防范,会给这些行业客户带来怎样的风险,风险究竟能有多大?

李:WLAN系统面临的风险包括资源耗尽风险、无AP关联认证风险、无加密的空中信息传输泄密风险、来自客户端的攻击等各类可能引发Wlan系统不可用风险、系统服务质量下降、无线频谱干扰风险、空中中间人攻击风险、非法广播信息风险、客户信息泄密风险等。从用户的安全运营角度,我们对wlan面临的安全风险进行了分类如下:

业务滥用,流量盗用风险:

在大量的wlan系统中,都存在绕过验证portal认证机制免费使用WLAN流量上网的问题。

同时部分用户的上网认证密码非常简单,也可能导致盗用上网的风险存在。

网络服务不可用风险:

WLAN系统是指应用无线通信技术为用户提供极速而稳定的无线连接,保障网络的可用性至关重要。在实际的系统当中可能存在以下问题都会致使网络不可用,这里主要包括恶意的或非恶意的拒绝服务攻击。

恶意的拒绝服务攻击包括:

BeaconFlood---无线SSID干扰攻击

AuthenticationDoS---DHCP地址耗尽攻击

Deauthentication/DisassociationAmok---指定用户断线攻击。

无恶意的拒绝服务攻击主要指wlan客户端被攻击者利用或者感染病毒后,对wlan核心网发动的拒绝服务攻击等。

用户信息被盗用风险:

由于在无线环境下中间人攻击、钓鱼攻击、sniffer会变得更为容易,对于AP及用户的攻击除会造成用户无法接入网络以外,用户的数据也得不到安全保证,特别是用户登录无线网络的认证信息。用户在使用无线网络的时候,存在以下安全威胁都可能导致用户的重要信息被获取,包括

无线钓鱼,获取敏感信息

无线网络监听、无线网络嗅探攻击

无线破解攻击:WEP的破解、WPA的破解

专有设备被利用风险:

AP、AC设备由于配置不严格,存在弱口令或者其他安全隐患都有可能导致设备别非法控制,从而出现断网的风险。

同时portal系统也可能存在sql注入漏洞、web上传漏洞等常见的web漏洞致使系统被攻击的风险。

WLAN网络目前存在大量网络、应用漏洞,且面向互联网开放,易被互联网黑客所利用。WLAN网络的重要性与当前安全水平极不匹配。不重视WLAN网络安全防范,造成的风险主要包括经济收益受损、政治风险。现阶段互联网中安全攻击事件的特征都是多以经济利益为驱动力、攻击的目的也多是获得经济收益。业务滥用,流量盗用、拒绝服务攻击等都会对WLAN运营的经济收益造成损害。

同时作为运营网络,WLAN有可能被利用向公众网络散布反动、恐怖主义等不良信息,这些政治风险也需要考虑。

记者:WLAN接入现在确实普及的速度很快,需求也很大,安氏领信推出的行业应用安全接入WLAN解决方案与其他的WLAN接入方案相比,安氏领信的解决方案有哪些特点?

李:安氏领信安全接入WLAN解决方案是基于运营级理念推出的方案,与其他厂家解决方案比可以做到:集中化管理;

无线信号自动调整,防干扰;基于WEB的认证,防蹭网;灵活的QOS功能,可以按用户分配不同的权限;运营级产品设计,平均无故障时间达1.5万小时。

记者:传统的有线网络时代与WLAN无线时代,在安全管理和防范上有哪些不同之处?

李:传统安全管理工作的起始点一般在安全运维阶段,,这样就存在“设备带病入网”、“安全漏洞仅能依靠事后发现、事后修补”的现状,无法解决规划、设计和建设阶段埋下的安全隐患,面对已经客观存在的安全风险难以彻底整改或者整改的难度、复杂度和需要的成本大幅上升。要解决此问题,需要在WLAN网络全生命周期都进行风险识别和处置,使安全风险控制措施100%覆盖所有业务活动,安全提前介入改变传统安全工作疲于被动处置的低效率而高成本的状态。

WLAN业务系统既有通用IT基础设施承载相关应用,又有其特有的专用设备、专有网络协议和业务流程。一般的安全防护是基于基础IT设备的体系,从内容上看开展的安全工作大部分仅停留在系统和设备安全配置上,缺乏对应用层、通信业务的全面评估和防护手段,不能全面发现漏洞,无法应对日新月异的WLAN安全威胁。传统安全管理和技术措施存在明显空白薄弱点。WLAN安全应该涵盖从AP、AC、Portal、Radius、防火墙、交换机、操作系统、数据库等防护对象,以“流程”为驱动力,依靠人员、技术、管理等方面提供安全保障。

记者:近期推出的一系列针对商场、酒店、校园等行业应用安全接入WLAN解决方案很受大家关注,您可以介绍一下安氏领信行业应用安全接入WLAN解决方案的研发过程吗?

李:安氏领信在安全接入WLAN解决方案的研发过程中采用将运营商网络的设计理念引用到行业应用中,真正做到运营级产品设计,无论是产品的功能、稳定性、安全性全部达到运营商级别的产品要求。因此在行业应用中才能得到广大用户的肯定。

记者:安氏领信推出的行业应用安全接入WLAN解决方案如何保障行业客户的网络安全?可以介绍一下安全管理的一些技术吗?

李:安氏领信基于相关的安全理论模型:总结了对WLAN建设工作的经验教训的理解;借鉴目前IT行业的系统分层结构;提出了安氏领信WLAN安全防护体系框架,用以指导WLAN建设工作。

对WLAN进行安全域划分,根据安全域划分原则和网络优化和边界整合策略,经过对业务数据流分析,对WLAN系统的进行安全域划分

WLAN系统自身满足如下四个方面要求:帐号口令、日志审计、数据加密等安全功能要求;口令强度、应用中安全相关用户缺省配置等安全配置要求;避免缓冲区溢出、注入攻击等缺陷的软件代码安全要求;确保业务流程各环节(逻辑)安全的机制要求。

在安全域划分的基础上,结合WLAN网络的特定安全需求,有选择的部署WLAN应用防火墙、WLANIDS、web防护等各类基础安全技术防护手段。为了满足集中运维的需要,各类基础安全技术防护手段应支持集中监控。同时,各类基础安全技术防护手段应具备完成信息安全管理功能所必须的接口。

WLAN网络管理应根据“集中监控、集中维护、集中管理”的原则,对异地多厂商环境下的WLAN网元和网络进行集中统一的监控管理与操作维护,对设备性能参数和业务流量进行在线统计和分析,以保证WLAN承载的无线数据业务的有效开展.

记者:安氏领信推出的行业应用安全接入WLAN解决方案,对行业客户自身对网络的运行情况、安全管理等运维是否要求有些高,或者说有些客户是否可能觉得自我运维管理有一定的难度呢?

李:目前WLAN运维管理方面的手段和方法相对落后,主要还是靠人力进行热点的巡检,这种做法首先无法保障测试结果的准确性,其次无法做到实时发现问题进行针对性的应急处理。WLAN网络运营的优劣关键是用户体验,但是如何用技术手段了解真实的用户使用体验一直是运营的难点。因此,只有模拟WLAN终端接入技术才能够充分模拟用户上网行为,把用户的WLAN上网体验进行量化并把信息集中分析。并且只有实时进行安全威胁检测,才能确保网络安全。

安氏领信WLAN解决方案通过部署WLAN业务保障系统(WOC),可实时对WLAN业务进行模拟用户行为的业务拨测,及时准确掌握网络运行状况,获取网络性能数据,有效评价网络的运行情况;同时可直接掌握用户在使用网络中对不同业务的真实感受,从而保障业务系统的平稳、有效运行,减轻网络维护人员的工作量,为日常维护工作计划提供支持保障;

记者:对于安全接入WLAN解决方案在各行各业的应用上,有重新搭建的有更新升级的,您有什么好的建议吗?哪些行业什么情况下适合采用安氏领信的安全接入WLAN解决方案?

李:安氏领信的解决方案针对不同类型企业提出了不同的解决方案,主要行业有:

 

记者:为什么安氏领信选择商场、酒店、校园作为第一批安全接入WLAN解决方案的主要服务对象?有哪些成功案例吗?

李:随着WIFI终端的迅速普及,商场、酒店、校园是使用互联网人群最多地方,由于无线网络的便利性,因此这些地方是WIFI需求最迫切的地方。目前安氏领信已经成功部署了西安兴正元商场、河北先下天商场、沈阳五爱市场、哈尔滨解放门市场、南昌大学、湖南华天酒店等场所。

记者:安氏领信的服务口碑一直不错,WLAN安全接入对很多行业客户是陌生的,需要学习和培训,一旦出现安全漏洞将带来巨大的损失,所以要求供应商具备优质的服务体系,请问安氏在这方面提供的服务如何?又是如何结合这么多年的客服方面的经验应用于行业客户的?

李:安氏领信设有专门的WLAN安全研究实验室,结合国内外WLAN安全的典型攻防案例,对网络结构、业务应用、底层协议等进行深入研究。安氏领信在多年安全实践的基础上,密切关注国际、国内漏洞机理研究的最新动态,积极探寻与WLAN系统相关的各种安全性特征,为此建立了全面专业的漏洞及攻击特征库,在取证、验证技术上都有较高水平。

2011年4月28日,国家信息安全漏洞共享平台正式对外公布,由北京安氏领信科技发展有限公司提交的“无线网络控制器信息泄露漏洞”正式入选国家漏洞库,国家信息安全漏洞共享平台将该漏洞危害级别鉴定为高危级别,漏洞编号为CNVD-2011-04873。这是国内首次在无线网络领域发现安全漏洞。

为了提高使用者的无线网络安全意识,防范使用中的不安全因素,安氏领信在2011年4月份隆重推出专业的“WLAN安全培训”和“WLAN业务安全评估服务”。

WLAN安全评估服务主要从基础设施安全、通信服务安全、业务应用安全三个层面进行安全分析和设计相应安全措施。

WLAN安全培训面向技术人员、维护人员、管理人员,培训分三个阶段:WLAN通信基础培训、WLAN业务应用培训、WLAN安全技术培训。通过该阶段的培训学习全面提高无线安全技术和操作技能,符合相关信息安全工作岗位的能力要求。

记者:如果商场、酒店、校园采用领信安全接入WLAN解决方案,其性价比和使用传统有线网络或简单WLAN方案是否有可比性?用户该如何选择?早期成本支出略高是否会给后期节省大量的运维成本和无形的安全风险成本?

李:

由于无线网络采用无线传输,因此网络质量很重要,而传统WIFI是无法保证质量的,只有领信运营级解决方案才能达到质量要求。而网络质量直接影响用户的使用效果。并且安氏领信无线接入解决方案在保证质量的同时,可节省大量的后期维护费用、降低安全风险。

记者:对于2012年WLAN在行业应用方面的发展趋势,您是如何预测的?

李:2012年WLAN应用的发展趋势主要以下3个特点:

1、移动通信流量全球暴增,WLAN的市场需求正在井喷。

智能移动终端暴增已使3G网络不堪重负,移动互联网需求带来的数据流量暴增速度已经超乎想象,仅靠高昂的3G网络既来不及也不可能完全解决问题。WLAN进入新一轮的高速成长期,随着终端普及和标准兼容,WLAN的市场需求正在井喷。

2、中国WLAN进入真正的新一轮的5年高速成长期。

WLAN作为移动通信的必要补充,契合十二五战略性新兴信息产业在宽带、泛在、融合、安全上的内在要求。运营商、驻地网和家庭网络三驾马车起头并进,推动中国WLAN进入真正的高速成长期。未来5年WLAN将在中国家庭、办公楼、学校和公共区域快速普及。

3、伴随喷薄的市场需求,WLAN将打开移动互联增值服务的蓝海未来

全球移动通信流量每年暴增,WLAN移动数据分流作用不断提升,WiFi在移动终端的渗透率不断提升,WLAN的市场需求正在井喷,同时WLAN将打开移动互联增值服务的蓝海未来。

WLAN不仅是互联网和移动互联网重要的接入融合点,更是重要的业务融合点。移动增值服务最大的市场桎梏在于高昂的流量费和有限且受限的支付通道。WLAN不仅从需求和供给上同时破局,还创造出LBS、广告推送、VoWiFi、无线流媒体和无线监控等创新融合方案,WLAN将打开移动增值服务的蓝海未来。

相关阅读

每日精选

点击查看更多

首页 手机 数码相机 笔记本 游戏 DIY硬件 硬件外设 办公中心 数字家电 平板电脑