隨著WIFI技術(shù)的廣泛應(yīng)用，越來越多的企業(yè)組建了基于WIFI接入的Intranet企業(yè)網(wǎng)，分享無線網(wǎng)絡(luò)給企業(yè)生產(chǎn)、管理及營銷帶來的極大便利。WIFI技術(shù)發(fā)展至今，全球目前已有約7億WIFI用戶。無線網(wǎng)絡(luò)技術(shù)的快速發(fā)展，使得用戶無論是在何時(shí)何地都能方便地與其他人保持在線聯(lián)系。然而，WIFI網(wǎng)絡(luò)在訪問接入及數(shù)據(jù)傳輸過程中都容易出現(xiàn)安全問題，輕者可能令企業(yè)網(wǎng)絡(luò)性能下降，重者可能使企業(yè)遭受嚴(yán)重的經(jīng)濟(jì)損失。

　　1、WIFI技術(shù)概述

　　WIFI(lifeless Fidelity)無線保真技術(shù)，又稱802.11b標(biāo)準(zhǔn)。WIFI是一種短程無線傳輸技術(shù)，能夠在100 m范圍支持網(wǎng)絡(luò)間的無線連接WIFI的傳輸速率最高可達(dá)54 Mbps,能夠廣泛支持?jǐn)?shù)據(jù)和多媒體業(yè)務(wù)的傳輸，無線覆蓋范圍不受現(xiàn)實(shí)地理?xiàng)l件的限制，非常適合高效率的企業(yè)組網(wǎng)需求。WIFI定義了兩種類型的設(shè)備:一種是無線接入站點(diǎn)設(shè)備，一般是配置有無線網(wǎng)卡的計(jì)算機(jī);另一種是無線接入訪問點(diǎn)AP,其作用是提供無線網(wǎng)絡(luò)和有線網(wǎng)絡(luò)之間的橋接。一個(gè)1線接入點(diǎn)通常由一個(gè)無線輸出口和一個(gè)有線的網(wǎng)絡(luò)接口構(gòu)成，無線接入點(diǎn)就像一個(gè)無線基站，可將企業(yè)內(nèi)部的無線網(wǎng)絡(luò)聚合到ISP的有線網(wǎng)絡(luò)上。

　　2、企業(yè)WIFI網(wǎng)絡(luò)安全問題

　　WIFI網(wǎng)絡(luò)安全問題主要分為兩種類型:第一種安全間題是WIFI網(wǎng)絡(luò)的訪問控制策略以及網(wǎng)絡(luò)傳輸數(shù)據(jù)的保密性和完整性問題;第二種安全問題是基于WIFI的Intranet網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)、網(wǎng)絡(luò)設(shè)備的安裝與參數(shù)配置方面的安全問題。

　　2.1無線信號搜索發(fā)現(xiàn)

　　WIFI網(wǎng)絡(luò)無線信號的發(fā)送很容易被搜索發(fā)現(xiàn)，這為非法用戶接入WIFI網(wǎng)絡(luò)創(chuàng)造了基本條件，現(xiàn)在有根多像NetStumble這樣的軟件用于發(fā)現(xiàn)WIFI無線網(wǎng)絡(luò)信號。正如前面所述，因?yàn)楦鞣N原因造成較多的WIFI網(wǎng)絡(luò)加密功能較弱，一般的企業(yè)WIFI網(wǎng)絡(luò)即使采用了加密功能，但沒有關(guān)閉無線接入點(diǎn)設(shè)備的廣播信息功能，其廣播信息中就大量攜帶了許多可以用來推斷WEP密鑰的明文信息，其中包括WIFT網(wǎng)絡(luò)的名稱、SSID號等重要信息，這些信息為非法用戶人侵WIFI網(wǎng)絡(luò)創(chuàng)造了必要條件。

　　2.2網(wǎng)絡(luò)傳輸數(shù)據(jù)信息泄露

　　WIFI網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)信息泄露主要包括對數(shù)據(jù)傳輸包的捕獲，是一種被動(dòng)的入侵方式，并不破壞網(wǎng)絡(luò)數(shù)據(jù)的傳輸而不易被發(fā)現(xiàn)。即使WIFI網(wǎng)絡(luò)不對外廣播信息，非法用戶也能夠使用一些網(wǎng)絡(luò)工具來(如AiroPeek和TCPDump)監(jiān)聽和分析通信流量，捕獲WIFI網(wǎng)絡(luò)中傳輸?shù)拿魑臄?shù)據(jù)信息。

　　2.3網(wǎng)絡(luò)訪問認(rèn)證欺騙

　　非法用戶偽裝成合法的WIFI網(wǎng)絡(luò)用戶或者網(wǎng)絡(luò)地址，欺騙WIFI網(wǎng)絡(luò)的認(rèn)證機(jī)制人侵網(wǎng)絡(luò)，從而達(dá)到非法訪問網(wǎng)絡(luò)資源的目的。目前有很多網(wǎng)絡(luò)工具可以修改像MAC這樣的信息來偽裝成合法的WIFI網(wǎng)絡(luò)用戶。眾所周知TCP/IP是一個(gè)開放的協(xié)議，基于TCP/IP協(xié)議的網(wǎng)絡(luò)根據(jù)MAC/IP地址進(jìn)行接入網(wǎng)絡(luò)認(rèn)證，只要偽裝成合法的地址就可以輕易欺騙網(wǎng)絡(luò)接入認(rèn)證。

　　3、企業(yè)WIFI網(wǎng)絡(luò)安全策略

　　根據(jù)本文對企業(yè)WIFI網(wǎng)絡(luò)的管理與維護(hù)實(shí)踐經(jīng)驗(yàn)，為了排除無線網(wǎng)絡(luò)的安全威脅，常采用以下幾種安全措施來綜合提高無線網(wǎng)絡(luò)的安全性。

　　3.1  WIFI網(wǎng)絡(luò)安全的整體設(shè)計(jì)

　　要提高企業(yè)WIFI網(wǎng)絡(luò)的安全性，在設(shè)計(jì)網(wǎng)絡(luò)時(shí)就要考慮網(wǎng)絡(luò)的整體安全，對網(wǎng)絡(luò)用途、密級進(jìn)行論證，根據(jù)企業(yè)實(shí)際情況全面分析可能出現(xiàn)的安全威脅。當(dāng)確定有潛在的安全問題時(shí)，要把網(wǎng)絡(luò)安全性納入網(wǎng)絡(luò)的規(guī)劃設(shè)計(jì)，采取系統(tǒng)和整體策略來實(shí)現(xiàn)企業(yè)WIFI網(wǎng)絡(luò)的安全。

　　3.2無線信號擴(kuò)頻技術(shù)

　　無線信號擴(kuò)頻技術(shù)是用來進(jìn)行數(shù)據(jù)保密傳輸?shù)囊环N通信技術(shù)。擴(kuò)展頻譜發(fā)送器用一個(gè)非常弱的功率信號在一個(gè)很寬的頻率范圍內(nèi)發(fā)射出去，與窄帶射頻相反，它將所有的能量集中到一個(gè)單一的頻點(diǎn)閻。這種技術(shù)使無線信號的通信頻率不斷變換，擴(kuò)展頻譜發(fā)送器將無線信號按順序發(fā)送到各個(gè)頻率通道上，并在每一通道上停留固定的時(shí)間，周期性轉(zhuǎn)換前將覆蓋所有頻率通道。如果不事先知道在每一頻率通道上停留的時(shí)間長短和跳頻圖案等規(guī)則信息，本系統(tǒng)外的站點(diǎn)就無法接收和譯碼無線通信數(shù)據(jù)。

　　3.3啟用WEP加密功能

　　WEP數(shù)據(jù)加密技術(shù)是IEEE802.11b協(xié)議中最基本的無線網(wǎng)絡(luò)安全策略，其主要用途包括提供接入控制及防止未授權(quán)用戶訪問網(wǎng)絡(luò)，。提高企業(yè)WIFI網(wǎng)絡(luò)信息安全的基本方法就是正確啟用無線網(wǎng)絡(luò)的WEP數(shù)據(jù)加密功能，要能夠正確啟用WEP機(jī)制來實(shí)現(xiàn)加密與認(rèn)證功能，則要從以下五個(gè)方面進(jìn)行:

　　(1)在網(wǎng)絡(luò)傳輸?shù)拿繋瑪?shù)據(jù)中插人幀校驗(yàn)和來檢驗(yàn)數(shù)據(jù)的完整性，防止非法用戶在數(shù)據(jù)流中插人已知文本來試圖破解WEP加密的密鑰。

　　(2)確保每個(gè)無線站點(diǎn)和無線訪問接入點(diǎn)AP上都同時(shí)啟用WEP功能。

　　(3)不使用常見的WEP密鑰，更不能使用缺省設(shè)置。

　　(4) WEP密鑰由用戶來設(shè)定并能夠經(jīng)常更改。

　　(5)要使用高的WEP版本并不斷升級更新。

　　3.4 過濾網(wǎng)絡(luò)接入站點(diǎn)的MAC地址與IP地址

　　無線接入站點(diǎn)的MAC地址是入網(wǎng)認(rèn)證的重要依在訪問接入點(diǎn)AP上設(shè)置MAC地址過濾策略可以有效防止非法用戶的入侵，這對企業(yè)中一般使用相對固定的網(wǎng)絡(luò)站點(diǎn)是非常有用的一種安全措施。啟用MAC地址過濾一般包括三個(gè)方面:

　　(1)在服務(wù)訪問點(diǎn)AP上啟用MAG過濾器選項(xiàng)。

　　(2)統(tǒng)計(jì)企業(yè)所有的入網(wǎng)站點(diǎn)的MAC地址并添加到AP列表記錄上，只有這些MAC地址可以接入網(wǎng)絡(luò)。

　　(3)定期檢查AP的日志記錄，判斷是否有人企圖非法接入WIFI網(wǎng)絡(luò)。

　　3.5屏蔽SSID廣播信息

　　SSID ( Service Set Identifier)服務(wù)集標(biāo)識用來標(biāo)識不同無線網(wǎng)絡(luò)的名稱，是網(wǎng)絡(luò)站點(diǎn)找到指定無線網(wǎng)絡(luò)的重要信息。通過關(guān)閉服務(wù)訪問點(diǎn)AP對外的SSID廣播信息，即使非凡用戶搜索到無線網(wǎng)絡(luò)信號，但也無法判斷是哪個(gè)網(wǎng)絡(luò)，也無法進(jìn)行人網(wǎng)連接，只有合法用戶采用企業(yè)網(wǎng)管事先分配的網(wǎng)絡(luò)ID名稱才能安全接入本無線網(wǎng)絡(luò)。

　　4、企業(yè)WIFI網(wǎng)絡(luò)安全案例

　　根據(jù)企業(yè)性質(zhì)的不同，WIFI網(wǎng)絡(luò)安全的需求也不一樣。根據(jù)長期積累的實(shí)踐經(jīng)驗(yàn)，針對不同企業(yè)對WIFI網(wǎng)絡(luò)的需求，制定了一套WIFI網(wǎng)絡(luò)安全應(yīng)用方案。

　　4.1中小企業(yè)WIFI網(wǎng)絡(luò)安全方案

　　對于中小型企業(yè)用戶來說，使用網(wǎng)絡(luò)的范圍相對較小且終端用戶數(shù)量有限，初級安全方案完全可以滿足這些企業(yè)的網(wǎng)絡(luò)安全需求，且投資成本低，配置方便效果顯著。初級安全方案建議使用傳統(tǒng)的WEP認(rèn)證與加密技術(shù)，一般的WIFI無線接入訪問點(diǎn)AP由無線路由器擔(dān)當(dāng)，目前的無線路由器支持6a位和128位的WEP認(rèn).證與加密來提高網(wǎng)絡(luò)傳輸中的數(shù)據(jù)安全，防止數(shù)據(jù)被盜用。小型企業(yè)WIFI網(wǎng)絡(luò)的站點(diǎn)數(shù)量一般較少而且相對固定不變，可以給每臺站點(diǎn)手工配置WEP密鑰來提高安全性。在站點(diǎn)數(shù)量有限的情況下還可以進(jìn)一步通過在接入訪問點(diǎn)AP(無線路由器)中設(shè)置基于站點(diǎn)MAC地址過濾方式來防止非法用戶的接入。

　　4.2大型企業(yè)WIFI網(wǎng)絡(luò)安全方案

　　對安全性要求很高的大型企業(yè)、金融機(jī)構(gòu)等組建的WIFI網(wǎng)絡(luò)，需要采用綜合性的網(wǎng)絡(luò)安全措施。在部署的各個(gè)WIFI網(wǎng)絡(luò)節(jié)點(diǎn)環(huán)節(jié)(AP)啟用安全設(shè)置，在網(wǎng)絡(luò)中心節(jié)點(diǎn)采用802.1x認(rèn)證機(jī)制，在網(wǎng)絡(luò)數(shù)據(jù)傳輸環(huán)節(jié)采用虛擬專用網(wǎng)VPN技術(shù)來進(jìn)一步提高網(wǎng)絡(luò)的安全性能。虛擬專用網(wǎng)VPN技術(shù)目前已經(jīng)廣泛應(yīng)用于企業(yè)網(wǎng)絡(luò)的遠(yuǎn)程接入和數(shù)據(jù)在公網(wǎng)平臺上的傳輸，建議在大型企業(yè)內(nèi)網(wǎng)中傳輸敏感或者關(guān)鍵信息數(shù)據(jù)時(shí)也能采用VPN服務(wù)器進(jìn)行處理，從而保證數(shù)據(jù)全程傳輸?shù)陌踩�性。虛擬專用網(wǎng)VPN協(xié)議包括數(shù)據(jù)鏈路層中PPTP/L2TP協(xié)議及網(wǎng)絡(luò)層中的IPsec協(xié)議網(wǎng)，這些協(xié)議實(shí)現(xiàn)數(shù)據(jù)的加密傳輸。VPN實(shí)現(xiàn)了數(shù)據(jù)幀級的信息安全，具有比WEP協(xié)議實(shí)現(xiàn)的數(shù)據(jù)報(bào)級加密更高的安全性，可以支持站點(diǎn)與WIFI網(wǎng)絡(luò)之間端到端的安全接入。

　　5、結(jié)束語

　　在實(shí)際的WIFI網(wǎng)絡(luò)組建、管理與維護(hù)過程中，一方面要熟練地綜合應(yīng)用各種網(wǎng)絡(luò)安全技術(shù);另一方面要加強(qiáng)對用戶的管理。禁止用戶私自安裝AP，規(guī)定用戶不得把網(wǎng)絡(luò)設(shè)置信息告訴單位外部人員等。只有做到技術(shù)和管理的結(jié)合才能構(gòu)建安全的WIFI網(wǎng)絡(luò)平臺。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.oesoe.com/

本文標(biāo)題：基于WIFI的企業(yè)網(wǎng)信息安全研究

本文網(wǎng)址：http://www.oesoe.com/html/support/11121512308.html