保障金融无线网络安全从“头”开始

从网络安全的角度看我们可以把通常的业务流程抽象成一个线性业务链,包括接入、操作系统、应用和数据。接入就是网络安全的“头”,而数据是网络安全的“尾”。

无线接入存安全隐患

接入为什么会被单独提出来?因为在实际的网络环境当中,接入已经从传统的固定有线接入方式延伸到无形的无线接入层面。Gartner的统计报告显示,WLAN所面临的安全威胁,在众多的安全风险类型当中属于最高等级,所以在金融行业里已经出台了相应的法规。美国的PCI DSS法规中专门针对金融行业无线接入提出了明确的安全要求:对于所有有支付卡的场所,必须在每个季度对它进行一次无线网络安全扫描,无论这个场所是否已经部署了无线设备。

无线接入层面可能会面临怎样的安全隐患?首先,无线接入具有移动的特点,使得网络边界处于比较模糊的状态,而不像以往具有一个清晰的的边界。其次,因为无线协议的开放性,它给我们带来便捷的同时,也为数据的截获和恶意破解提供了可乘之机。第三,就是随着无线网络越来越被大家广泛使用,就会存在网络交叉的情况,我们如何去辨别合法的、正常的网络接入是一个问题。第四,就是现在很多人提到的BYOD的问题。各种各样的终端都会通过无线方式接入,增加了管理控制的复杂性。

正是因为这样一系列的安全隐患,导致在无线接入层面存在一些风险。这些风险包括对无线网络密码的破解,现在有蹭网卡或者专门软件可以去破解。还有无线钓鱼的攻击,就是恶意的攻击者仿造貌似正常的无线网络,来诱导用户错误的接入。还包括对正常网络的干扰,以及在一些用户环境中存在私自接入的流氓AP。

金融网络无线网络安全不容乐观

通过和国内主要金融行业的网络安全专家进行交流之后,启明星辰总结出了金融行业目前在无线接入层面可能会存在的一系列安全风险。首先就是安全监控手段的缺失,实际上在金融行业的网络环境中,可能会存在多个不同的安全区域,有各种各样的安全规范,包括对于无线网络安全的要求,但是实际上目前监控手段还是非常有限的。我们做过实际的测试,发现在金融用户的办公环境里面,无线网络状况远比之前意识到的要复杂得多。另外一个问题是私接AP的问题。在金融行业的网络中可能会存在多个不同的安全域,特别是安全性比较高的内网办公区域,如果有人私自接入无线路由器或者无线接入设备,那么除了会给管理上带来可控性的问题之外,还可能给外部人员提供进入内网的机会。如果我们没有有效的监控手段,这实际上是个非常大的安全隐患。

还有就是针对WLAN的各种攻击可能会对内部的无线网络形成安全威胁。最后一点是无法限制无线信号。金融用户有一些重要的区域,包括敏感数据的存放区域,或者机房的空间,按照规定是不允许有无线信号的,可是目前除了采用物理隔断手段,实际上我们是没有办法控制无线信号的覆盖的。

基于这些问题,针对金融行业的网络环境,启明星辰认为可以通过7*24小时无线接入监控加检查工具的方式,来满足金融行业不同安全区域无线接入的安全要求。启明星辰的解决方案可以向管理员提供实时的网络连接拓扑图,根据配置策略实现无线接入层面的访问控制,包括攻击事件的检测、审计和阻断,以及无线接入层面的脆弱性扫描,还有涉及到更大区域的无线风险的集中管控。

启明星辰认为,在无线接入层面,应该从无线接入的方式到接入的流程,到管理规范,以及相应的安全策略,对整个环节都要进行有效的监控和管理,才能实现比较好的无线网络安全防护效果。