[[442943]]

什么是企業(yè)網(wǎng)絡(luò)安全?

企業(yè)網(wǎng)絡(luò)安全是對連接企業(yè)內(nèi)系統(tǒng)、大型機(jī)和設(shè)備(如智能手機(jī)和平板電腦)的網(wǎng)絡(luò)的保護(hù)。公司、大學(xué)、政府和其他實(shí)體使用企業(yè)網(wǎng)絡(luò)將其用戶與信息和人員聯(lián)系起來。隨著網(wǎng)絡(luò)規(guī)模和復(fù)雜性的增長，安全問題也隨之增加。

創(chuàng)新互聯(lián)公司作為成都網(wǎng)站建設(shè)公司，專注網(wǎng)站建設(shè)公司、網(wǎng)站設(shè)計(jì)，有關(guān)成都定制網(wǎng)站方案、改版、費(fèi)用等問題，行業(yè)涉及VR全景等多個領(lǐng)域，已為上千家企業(yè)服務(wù)，得到了客戶的尊重與認(rèn)可。

企業(yè)無線網(wǎng)絡(luò)面臨哪些安全威脅?

無線網(wǎng)絡(luò)(也稱為 Wi-Fi)缺乏有線網(wǎng)絡(luò)常見的強(qiáng)大安全工具，例如防火墻、入侵防御系統(tǒng)、內(nèi)容過濾器以及防病毒和反惡意軟件檢測程序;Wi-Fi 網(wǎng)絡(luò)還提供無線接入點(diǎn)，這些接入點(diǎn)很容易被滲透。由于它們可能缺乏與有線網(wǎng)絡(luò)相同的保護(hù)，無線網(wǎng)絡(luò)和設(shè)備容易受到旨在訪問企業(yè)網(wǎng)絡(luò)的各種攻擊。

攻擊者可以通過無線接入點(diǎn)訪問組織的網(wǎng)絡(luò)以進(jìn)行惡意活動，包括數(shù)據(jù)包嗅探、創(chuàng)建惡意接入點(diǎn)、密碼竊取和中間人攻擊。這些攻擊可能會阻礙網(wǎng)絡(luò)連接、減慢進(jìn)程，甚至?xí)?dǎo)致組織系統(tǒng)崩潰。

如何將企業(yè) Wi-Fi 網(wǎng)絡(luò)的風(fēng)險降至最低?

網(wǎng)絡(luò)安全協(xié)議已經(jīng)發(fā)展到可以抵消不斷演變的攻擊。Wi-Fi 保護(hù)訪問3 (WPA3) 包含 128 位高級加密標(biāo)準(zhǔn) (AES)。2018 年 6 月，Wi-Fi 聯(lián)盟開始認(rèn)證支持 Wi-Fi Protected Access 3 (WPA3) 的設(shè)備，WPA3 取代了 WPA2。當(dāng) WPA3 設(shè)備可用時，用戶應(yīng)采用新標(biāo)準(zhǔn)。信息技術(shù) (IT) 安全專業(yè)人員和網(wǎng)絡(luò)管理員還應(yīng)考慮這些額外的最佳實(shí)踐，以幫助保護(hù)他們的企業(yè)Wi-Fi 網(wǎng)絡(luò)：

• 在每個網(wǎng)絡(luò)上部署無線入侵檢測系統(tǒng) (WIDS) 和無線入侵防御系統(tǒng) (WIPS)。
• 通過根據(jù)開發(fā)人員服務(wù)包發(fā)布更新所有軟件，確?，F(xiàn)有設(shè)備沒有已知漏洞。
• 安全地配置設(shè)備。
• 確保所有設(shè)備符合聯(lián)邦信息處理標(biāo)準(zhǔn) (FIPS) 140-3：加密模塊的安全要求中的加密要求(這點(diǎn)，在國內(nèi)遵循國密相關(guān)要求)。
• 確保符合最新的美國國家標(biāo)準(zhǔn)與技術(shù)研究所。
• 建立多因素身份驗(yàn)證 (MFA) 以訪問網(wǎng)絡(luò)。如果難以實(shí)現(xiàn)，請考慮除單個共享密碼之外的其他安全身份驗(yàn)證方法，例如 Active Directory 服務(wù)身份驗(yàn)證或替代方法(例如，令牌)以在網(wǎng)絡(luò)中創(chuàng)建 MFA。
• 使用可擴(kuò)展身份驗(yàn)證協(xié)議-傳輸層安全基于證書的方法(或更好)來保護(hù)整個身份驗(yàn)證事務(wù)和通信。
• 使用計(jì)數(shù)器模式密碼塊鏈接消息身份驗(yàn)證代碼協(xié)議，這是無線應(yīng)用協(xié)議 2 (WAP) 企業(yè)網(wǎng)絡(luò)謹(jǐn)慎使用的一種 AES 加密形式。如果可能，請?jiān)陂_發(fā)和批準(zhǔn)時使用符合 FIPS 140-3 (國內(nèi)，參照國密最新研究成果)的更復(fù)雜的加密技術(shù)。
• 實(shí)施與主網(wǎng)絡(luò)分離的訪客 Wi-Fi 網(wǎng)絡(luò)。使用具有多個服務(wù)集標(biāo)識符 (SSID) 的路由器或使用其他無線隔離功能，以確保訪客網(wǎng)絡(luò)流量或通過使用其他無線隔離功能無法訪問組織信息。

有哪些額外的保護(hù)網(wǎng)絡(luò)?

采用主動 WIDS/WIPS 使網(wǎng)絡(luò)管理員能夠通過監(jiān)控、檢測和減輕潛在風(fēng)險來創(chuàng)建和實(shí)施無線安全。WIDS 和 WIPS 都會檢測并自動斷開未經(jīng)授權(quán)的設(shè)備。WIDS 能夠自動監(jiān)控和檢測任何未經(jīng)授權(quán)的惡意接入點(diǎn)的存在，而 WIPS 則針對已識別的威脅部署對策。WIPS 緩解的一些常見威脅是惡意接入點(diǎn)、錯誤配置的接入點(diǎn)、客戶端錯誤關(guān)聯(lián)、未經(jīng)授權(quán)的關(guān)聯(lián)、中間人攻擊、ad-hoc 網(wǎng)絡(luò)、媒體訪問控制欺騙、蜜罐/邪惡雙胞胎攻擊和拒絕-服務(wù)攻擊。

以下列表包括保護(hù) WIDS/WIPS 傳感器網(wǎng)絡(luò)的最佳實(shí)踐。管理員應(yīng)根據(jù)當(dāng)?shù)氐目紤]和適用的合規(guī)要求定制這些做法。

使用惡意檢測流程功能。無論違規(guī)設(shè)備使用何種身份驗(yàn)證或加密技術(shù)(例如，網(wǎng)絡(luò)地址轉(zhuǎn)換、加密、軟 WAP)，此功能都應(yīng)檢測通過惡意客戶端或 WAP 的 Wi-Fi 訪問。

• 將 WIDS/WIPS 傳感器設(shè)置為
  • 檢測連接到有線或無線網(wǎng)絡(luò)的 802.11a/b/g/n/ac 設(shè)備;
  • 通過多個無線通道檢測并阻止來自單個傳感器設(shè)備的多個 WAP。
• 在每個子網(wǎng)和跨多個子網(wǎng)實(shí)施“無 Wi-Fi”策略。
• 在傳感器和服務(wù)器之間提供最低限度的安全通信，并確定特定的最低允許 Kbps——系統(tǒng)應(yīng)根據(jù)企業(yè)策略和治理提供客戶端和 WAP 的自動分類。
• 提供可定制的自動化(事件觸發(fā))和計(jì)劃報告。
• 基于企業(yè)需求的細(xì)分報告和管理。
• 通過生成事件日志和實(shí)時數(shù)據(jù)包捕獲，并直接在分析員工作站上顯示。
• 導(dǎo)入場地圖紙以滿足場地規(guī)劃和位置跟蹤要求。
• 在應(yīng)用程序中手動創(chuàng)建具有自動縮放功能的簡單建筑布局。
• 以電子方式將傳感器和 WAP 放置在建筑地圖上，以保持傳感器放置和未來位置的準(zhǔn)確記錄。
• 至少有四個不同級別的權(quán)限，允許 WIPS 管理員將特定的視圖和管理員權(quán)限委派給其他管理員。
• 滿足所有適用標(biāo)準(zhǔn)，如政府相關(guān)文件及采購條例等。

參考來源：美國CISA官網(wǎng)

網(wǎng)頁標(biāo)題：網(wǎng)絡(luò)安全知識之保護(hù)企業(yè)無線網(wǎng)絡(luò)
URL鏈接：http://uogjgqi.cn/article/dpigiop.html