无线网不要“因噎废食”!--安全问题有“法”可依
2005-08-31    安恒公司 王志军   
打印自: 安恒公司
地址: HTTP://tftpd.anheng.com.cn/news/article.php?articleid=681
无线网不要“因噎废食”!——安全问题有“法”可依

无线网的安全问题近期在我们对客户的拜访时在谈及到无线网(我们这里特指基于802.11的无线局域网)应用时常常会听到这样的观点,因为无线网我们不太了解,因为无线网不安全所以我们不打算使用它。这种观点听起来真的有些象“因噎废食”。

早期,无线网作为有线网络的补充来存在的,人们多对无线网的应用和部署并不太关心,当移动办公和灵活的网络访问成为了日趋强烈的需求时,人们对无线网的应用不再是锦上添花的认知了。随着无线网的性能的提升,无线网新应用的出现(如:VoWLAN),无线网将成为企业网络基础结构中的重要组成部分将是必然的了。

无线网WLAN的优势

WLAN技术的优势主要分为两方面:核心业务优势和运营优势。核心业务优势包括:提高了雇员的工作效率、提高了业务进程的速度和效率以及增大了创建全新业务功能的可能性。运营优势包括:降低管理成本、降低资本支出。

核心业务优势:WLAN 的核心业务优势来源于员工灵活性和机动性的提高。

员工摆脱了办公桌的束缚,可以自由地在办公室中活动,同时不会失去与网络的连接。了解一些有关机动性和网络灵活性的提高如何使企业受益的示例,将对您有所帮助。

  • 通过建立与企业局域网 (LAN) 的透明连接,在办公室与办公室间活动的人、进入办公室的远程工作人员都节省了不少时间并避免了很多麻烦。无线网络覆盖的任何物理位置都可即时建立可用连接,而无需寻找网络端口、电缆或 IT 人员来帮助您连接到网络。
     
  • 无论知识顾问位于建筑物的任何位置,您都可与之保持联系。通过电子邮件、电子日历和聊天技术,员工无论在开会还是离开办公室,都可保持联机。
     
  • 联机信息随时可用。如果会议中有人急需检索上月的图形报告或更新演示文稿,无需中断会议。这将极大提高会议的质量和效率。
     
  • 同时也提高了组织灵活性。随着团队和项目结构的更改,快速、轻松地移动办公桌,甚至移动整个办公室都会成为可能,因为员工不再受到办公桌的束缚。
     
  • 新设备和应用程序与企业 IT 环境的集成已显著得到改进。直到最近,个人数字助理 (PDA) 和 Tablet PC 等设备已成为企业 IT 外围环境的常用执行工具;在组织支持无线网络之后,这些设备的集成性和有用性将得到显著提高。随着无线计算机、设备和应用程序步入先前的无网络领域(如生产车间、医院病房、商店和饭店),以前不曾接触 IT 的员工和业务进程都将因此而受益。
     

不同的组织将赢得不同的优势;与您的组织相关的优势取决于许多因素,例如,业务的性质、员工的数量和地理分布。

运营优势:WLAN 技术的主要运营优势为较低的资金和运营成本,并可以归纳为以下几点:

  • 建筑物联网的成本大幅度降低。尽管多数办公室空间都铺设了网络电缆,但仍有许多其他工作场所(例如,工厂、仓库和商店)尚未铺设。无线网络还可以在无法建立有线网络的位置(例如,户外、海上甚至战场)提供。
     
  • 可以根据组织需求来调整网络(如果需要,甚至可以每天调整),使之满足不同层次的需求;在给定位置部署高度集中的无线接入点 (AP) 要比增加有线网络的端口数容易得多。
     
  • 构建基础结构再也不需要考虑资金;您可以轻松地将无线网络基础结构移动到新的建筑物,而有线网络永远是固定的。
     

无线网的安全问题——用户的担心

由于无线网的优势越来越明显,应用需求越来越多,安全的问题也就越来越受到重视。但发生无线网的不安全问题常常不是它的本身缺陷,而是人们对无线网安全的了解缺少。目前来看,无线网的不安全因素绝大多数是由于无线网的部署者或管理者对安全问题的疏忽,而不是无线网本身的安全缺陷所致。所以在谈及无线网安全问题时,我们应该首先谈谈是否了解无线局域网目前安全方面的发展和能力,看看无线网安全系统是否能达到我们对网络访问和信息安全方面的要求。

对于已经采用了无线局域网的企业,也不能因为采取了无线网方面的加密措施而忽略安全问题,最好对无线网系统进行全面的安全评估,由于无线网改变是网络结构中下两层的内容,所以不能完全依赖传统的网络安全手段和方案来保证采用无线网系统的网络安全,对于无线网来说更应该在网络的链路层进行安全方面的检测。

此外,在不同部门的组织中,规章或法律要求越来越多。例如,在金融领域来自政府和管理机构的安全要求和法定标准(像美国的处理个人保健数据的医疗保险便利和责任法案 1996 (HIPAA)。针对这些不同的行业需求在无线网的实施方面已经有很多安全方面的规范要遵循和参考,如:DoD, HIPAA(医疗保险便利和责任法案), GLBA, 以及Sarbanes-Oxley。

借助这些已经有严格安全要求的法规,我们可以评估和检测现有的企业网络能否达到相应的安全要求(安全“达标”),安恒的网络测试服务中心正在为客户提供基于这些安全规范的无线网“认证”测试服务,为客户提供可操作的无线网安全评估和强化建议。


【注:】

1. DoD Directive Number 8100.2

是美国国防部8100.2令,规定了关于在国防部使用商业无线网设备、服务和技术方面的密钥策略。目的是保护国防部网络的安全,避免受到由于无线网带来的安全弱点,从而使得安全性成为了在国防系统中使用商业无线网技术的先决条件。

2. GLBA 法案

 “Gramm-Leach Bliley Act” (简称 GLBA),是1999年公布的财经服务现代化法规,要求财务机构保护和客户的财务信息。


3. 医疗服务系统与HIPAA的法规

克林顿总统在1996年7月签署了医疗保险便利和责任法案。HIPAA最重要的目标之一是防止患者的医疗信息受到未经授权的访问。

如果不能保障WLAN上的个人医疗信息的安全,将会带来非常严重的后果。医疗机构将因为违反HIPAA规定和不正当泄漏医疗信息而受到处罚。违背HIPAA或者滥用患者信息的行为将会遭到严重的处罚,甚至被捕入狱。

在部署一个可以访问到患者信息的无线网络时,不仅要考虑到HIPAA,还要严格遵守HIPAA的各项规定。其中必须考虑两个方面:患者、医护人员,保险公司必须确信"可识别身份的医疗信息"不会受到来自外界的非法访问,医疗机构必须为访问信息系统中存储的医疗信息提供一种可靠的、适当的方法。

4. Sarbanes-Oxley 法案

Sarbanes-Oxley (简称SOX)法案是上市公司财务重组和投资者保护法案,是美国国会2002年通过的综合性立法。

 

 

责任编辑: admin