当前位置：首页 > 实用文档 > 其他范文> 无线网络安全行业应该如何遵守十大基础规则

无线网络安全行业应该如何遵守十大基础规则

时间：2023-05-23 08:26:49 其他范文收藏本文下载本文

无线网络安全行业应该如何遵守十大基础规则（精选2篇）由网友“井盖儿”投稿提供，下面是小编收集整理的无线网络安全行业应该如何遵守十大基础规则，仅供参考，希望能够帮助到大家。

篇1：无线网络安全行业应该如何遵守十大基础规则

金融服务提供商受到为数众多的客户资料安全保障规则的制约其他一些规定如著名的支付卡行业数据安全标准(PCI DSS)，明确包含了在WLAN范围内必须执行的标准，例如检测异常操作，对无线传输的数据进行安全加密，虽然每种规则的具体情况不同，但金融服务机构通过采取以下的无线网安全最佳做法可以建立一个被全行业遵守的规则基础：

1、了解你的敌人

要可靠保障无线网络的安全，你必须了解你所面临的威胁。例如，PCI DSS要求每一个处理持卡人数据的组织必须对未授权的无线接入点(AP)所造成的威胁进行评估，包括那些没有WLAN的公司。你需要从审核无线网络安全威胁着手，找出你业务中可能会遇到的威胁，并且评估敏感数据(比如个人财务信息，持卡人信息)所面临的风险。

2、了解你自己

许多用于减少无线网络安全威胁的保障措施是否有成效，取决于是否准确理解了网络的拓扑结构(包括有线和无线)，和识别已验证设备的能力。为了制定WLAN安全审核和执行的标准，你必须维护那些已被认可的接入点和客户的清单、它们的用户及其地址，以及各自预期实施的安全措施。

3、减少暴露

当WLAN的使用已被授权且数据流量通过一个敏感的网段时，一些规则如PCI DSS将会全力保证用户的安全。你可以通过对流量进行分割以减少暴露来降低风险。具体来说，就是使用防火墙对数据包进行检查，以防止数据包进入到不需相应权限即可访问的网段中，并实现时序同步的日志功能以记录那些被允许和被阻止的无线通信流量。作为一项规则，那些需要无线访问权限的网段需被看作是“隔离区”(DMZ) ：默认和否认一切，只允许必要的服务和特殊目的的流量通过。

4、堵住漏洞

使用传统的网络安全最佳做法，可以对所有暴露在无线网络中的基础设施(如接入点、控制器、DNS / DHCP服务器)的安全性进行强化。例如，更改出厂默认值、设置强度很高的管理员密码、关闭不使用的服务、应用补丁和对系统进行渗透测试。在这一步中，你需要解决无线传输特有的漏洞问题，比如说你需要选择非默认的网络名称(SSID)以防止意外的入侵，并通过动态频率选择(dynamic frequency selection)来规避射频干扰。同时，你还可以采取措施，防止公众场合的接入点受到物理干扰(例如，移除电缆，重置为默认设置)。

5、确保传输安全

目前的接入点都支持WPA2 (AES-CCMP)空中(over-the-air)加密，你需要尽可能多地使用它。如果传统的客户端要求的是WPA(TKIP/MIC)标注，请谨慎使用该密码，最好是在同其他用户隔离开的无线局域网(SSID)条件下使用。请避免WEP加密，因为更新的安全规定将不再允许使用这一冗长零碎的加密协议，

此外，使用高层加密(例如，SSLv3/TLS，IPSec)可以有选择地对敏感应用程序流和交易进行保护，同时也请不要忘了对所包含的服务器和网关的安全性进行加强。

6、限制访问

无线网打开了一个外人可以入侵的窗口，要想避免出现这种情况除非你能对其进行控制。选择并实施一个强有力的WLAN身份验证措施，最好选择有相互身份验证的WPA2企业标准 (802.1X)。如果你所在的组织缺乏这方面的技能、基础设施或对802.1X的客户端支持，你还可以使用WPA2个人标准(PSK)，但请至少使用含有13个字符长度并定期更改的随机密码。永远不要依靠MAC地址过滤器作为你唯一的访问控制措施。如果你的WLAN提供guest级的互联网访问权限，请限制它所能访问的内容，并对那部分网络通信做日志，从而减少对公司业务造成的风险。

7、无线监测

虽然许多规则强烈建议采用全天候分布式无线入侵检测或防御系统(WIDS/WIPS)，但也允许在那些处理受控数据的站点上进行周期

性的扫描。前者效率更高，效果也更加明显，特别适用于大规模的无线局域网。无论选择哪种方式，你都需要知道你监测的对象不仅仅是无线接入点欺诈，还包括未经授权的客户、配置错误的设备、意义不明确的安全策略、安全侦查、攻击通信流量，以及彼此相连或连到外部WLAN的异常客户端。

8、做好准备

监测只是某种手段，你需要安装一个WLAN事件响应程序。例如，你如何暂时屏蔽掉异常的AP?您如何找它，并从物理上移除它?你需要审查所有的扫描结果、无线入侵检测或入侵防御系统的警报和流量日志，从而及时评估潜在的威胁。实际上，利用自动化的工具(如无线入侵检测或入侵防御系统)对网络连接进行跟踪和隔离，可以实时地制止入侵。请确保监测工具能够收集充足数据，使得事件响应和取证调查更加精确。

9 、保护终端

一台被盗的销售点终端或一台被黑了的笔记本电脑可以轻易获得授权并使用加密的连接，由此侵入具有严密保护措施的无线网络。这时，你可以采用远程访问安全的最佳做法，使得无线终端相互隔绝，阻止丢失和被盗的移动设备对无线网络进行未授权的访问。如果您的组织实施了网络访问控制(NAC)，那么你可以对无线连接设备的完整性进行检查，并使用主机入侵检测或防御手段阻止终端的异常行为(如，同时对有线网络和无线网络进行连接)。

10、评估和改进

永远不要认为安全措施会像预期那样，你的安全审计人员就不会这么认为。你需要对无线连接的网络和设备进行渗透测试，它会有意触发WIDS/WIPS警报，捕获通无线信流量并对其进行分析。你可以尝试着从不同的位置去连接未经授权的设备和用户，记录下会发生的情况，然后通过对已发现的漏洞打上补丁来提高安全标准。你需要定时或不定时进行安全评估，以找到并修复新发现的漏洞，比如你可以通过对接入点、控制器或客户端打上安全补丁，阻止新型的攻击。

综上所述，如果金融企业肯花时间评估无线安全威胁、管理访问权限、保障传输安全、对无线数据进行强有力的安全加密以及采取其他一些重要措施，其自身的安全性甚至可以超过审计人员的预期。

篇2：无线网络安全基础和风险介绍

无线网络安全问题越来越多的被各方各界所关注，不论是家庭还是企业，关于蹭网，攻击无线网络等等的文章不在少数。好像我们的无线网络岌岌可危。那么到底如何确保我们的无线网络安全呢？

随便穿过一个本地的商业公园，我就筏县乐大约15个向公公开发的无线接入点，而其中几个不需要认证就可以访问公司的网络。如果你用无线网络接口打开你的笔迹本，并在城市里面走动，也没有什么太奇怪的。为了确保你的无线网络安全，以及保住你的无线网络不受那些查找接入点的war-driver（译者注：War Driver就是携带着一台标准的手提电脑、无线NIC卡驾车在城市商业区四处游逛。这样就可以准确地确定所在地区内所有802.11网络的位置及它们是否使用WEP。）的影响，利用认证和加密等基础方法提高无线访问点的安全性非常重要。

无线访问点可以通过配置实现访问点SSID和域名的广播，而通常这是不需要的。通过关闭广播，你可以在很大程度上停止对外界公开你的网络。是的，SSID是在无线节点连接到无线网络的时候传输的，但是相比较之先它还是不常见的。SSID应该设置为不能描述企业信息，从而使了解无线网络的所有者更加困难。

无线网络安全加密可以防御有人在数据传播的时候读取到，而且可以和有线等效保密（Wired Equivalent Privacy，WEP）、WPA、EAP-TLS或者虚拟专用网软件一起使用，

WEP缺少真正的认证，而是使用静态加密密钥。而静态加密密钥只需要用免费软件在很短的时间内就可以获取到，对不断地者提供的防护也很少。WPA要求认证，并使用较长的动态加密密钥，而它被攻击的可能也降低了。但是WPA确实要求兼容的客户端硬件和软件。EAP-TLS使用数字证书验证和加密使用SSL的无线流量，但是要求某种程度的复杂的PKI架构。

无线天线通常有电力设置，可以允许调整信号的传输强度。最好把天线调整为他们正好可以覆盖需要无线访问的范围，而不要进入可能潜伏了的地方。

大多数的无线访问点还允许限制媒体存取控制（MAC）地址的访问。MAC地址是只用于识别每个网络节点的硬件地址。但是要警惕，它也可以被攻击，使用的是可以捕获网络上允许的设备的MAC地址的被动无线嗅探器攻击。一旦获取到了，就可以伪装他的MAC地址，而且也不会只限制在那一层了。限制MAC地址可以增加必须攻破的层，值得考虑使用。

这是对无线网络安全基础和风险的简要介绍，但是它可以让你全面地查看管理无线网络安全和无线访问点安全策略的时候肯定会面对的一些真实问题。

★ 局工作总结

★ 生涯规划书