根据idc最新调查显示,72%的企业称其曾遭遇过互联网安全破坏,39%的企业感到安全威胁程度比2002年有所提高。gartner指出2005年20%的企业将会遭遇一次严重的互联网安全事故。这种威胁不仅仅是电脑病毒,还包括犯罪信息和知识产权问题。据韩国国家警察局(korean national police agency)统计,自2001年8月至2002年3月期间,韩国共收到了4,376个关于安全破坏和黑客袭击的报告,占全世界在线攻击总量的39%。美国、中国和台湾分别位居第二、第三和第四。
企业正努力解决这种安全问题,但是技术的缺陷加剧了这种挑战,例如web服务在新应用安全性生产中间以及不安全的无线局域网,这表明企业网中存在严重的潜在故障点。
在无线局域网安全性令人堪忧的同时,确实也有很多强大的工具可以保护无线网络安全。然而,也许比使用合适工具更重要的是,出台对员工使用wlan的严格规定,培养他们正确的安全态度。如果他们不懂得或者不遵守所制定的安全政策,那么任何安全措施都毫无意义。
我们自身是最大的敌人
据计算技术行业协会(ctia)调查显示,大多数信息技术安全问题的根源是人为错误,而并非技术。ctia的一项调查发现,超过63%的it安全破坏中,人为错误是一个原因,但只有8%的被调查企业称安全问题是由技术故障引起的。
该调查还发现,22%的被调查企业称他们的it员工近期没有接受过技术安全培训,69%的企业对不到25%的技术人员进行过安全破坏保护培训,然而只有11%企业称其对所有it人员进行过适当的安全培训。
弥补无线局域网缺陷
与其它任何网络相同,必须保证无线局域网的安全以确保保密性和数据完整性。由于wlan技术基于无线电波传输,因此它还引发了关于网络安全的合法性问题。因而,企业决策者必须了解无线局域网安全风险的本质及其范围,以及目前可以应对这些缺点的解决方案。
日前已明确指出,采用有线对等保密(wep)的原802.11 wlan标准在保护网络安全方面存在固有缺陷。有许多公开可用的工具能够从互联网上免费下载,也可用于入侵不安全网络。而且黑客有可能发现网络传输,然后利用这些工具来破解密钥,截取网络上的数据包,或非法访问网络。
尽管采用wep和原802.11 wlan标准的802.11存在安全隐患,但是wi-fi保护访问(wpa)安全规范的出台不仅为弥补wep缺点提供了强大的数据加密,而且还添加了wep中没有的用户鉴权功能。wpa被作为标准特性部署于wlan产品(如英特尔迅驰移动计算技术)中,厂商也在为软件下载提供这种保护。wpa实施了暂时密钥集成协议(tkip)的加密优势。tkip由高级密码员设计核查,为wlan网络提供更全面的支持。
为了进一步弥补wep安全性缺陷,企业开始实施802.1x标准,该标准采用wlan基础设施来对端口所连设备进行鉴权,并在鉴权失败时拒绝其接入端口。802.1x设计用于在无线客户端设备、接入点和服务器之间提供受控端口接入。它在wep鉴权中使用动态密钥,而不是静态密钥,并要求为相互鉴权提供鉴权协议。这意味着接入点能够验证客户端,客户端也可以确定该接入点是否合法。为实现有效鉴权,用户传输必须经过wlan接入点才能到达执行此鉴权的远程鉴权拨号用户服务(radius)后端服务器。由于802.1x标准在有线和无线局域网中是一致的,因而企业无需在两个单独的鉴权解决方案中进行技能培训与维护。
vpn提供更强保护
将虚拟专用网(vpn)作为无线访问网络的要求,是增强网络安全保护的一种可扩展且业经验证的方法。vpn使在公网或不可靠网络(如公共互联网或基于wep的802.11 wlan)上的用户能够建立到专用网的安全连接。vpn通过创建一条隧道来保护数据免遭非法访问,从而保护wlan的安全。vpn采用经验证的工业标准安全机制(如网际协议安全ipsec),实现了较高的可信度。ipsec采用诸如数据加密标准(des)和三重数据加密标准(3des)以及其它数据包鉴权算法来进行数据加密,并使用数字证书来验证公钥。在无线局域网上使用时,vpn网关可处理鉴权、封装和加密。
最佳实践:公共安全问题解决方案
