当企业移动上网的需求开始增长时,安全风险也就同时产生了。尽管目前已经有了针对特定安全问题的解决方案,不过我们还需要利用企业有线网络已存在的安全基础设施,对WLAN安全问题进行整体分析。
企业WLAN的发展
企业WLAN引起关注是从一个简单需求开始的,当时有人要求提供一个便宜的接入点(access point),以满足家庭或小型办公室的上网需求。WLAN部署增长的背后有两个推动力。第一个推动力始于增强生产力,通过为使用有无线功能笔记本电脑的员工或客户提供网络接入服务而实现。
第二个推动力是通过技术进步实现的。在802.1n标准等技术进步的推动下,出现了用无线基础设施代替有线基础设施的需求浪潮。
随着无线上网的速度提高到170 Mbps和建设企业范围内的无线网络能力的提高,无线技术的性能被认为已经好的足以替代有线技术了。此外,达到最佳网络覆盖范围的工具已经开发完成,可以避免重复并更好地利用频谱,以便基站覆盖范围重叠,并使性能最大化。虽然WLAN看上去重点是为了提高性能,不过其真正的目标是更高灵活性所产生的生产力的提高。
移动上网风险日益增长
然而,移动上网面临着一系列的安全风险和问题。由于无线上网的终端不是固定不变的,相对于无线网络,企业对于有线网络的安全性更加放心。企业的有线网络被保护在大门和围墙里面,还有门禁卡和用户身份验证等基础设施的防护。由于无线网络能被楼内的人访问的同时,也能够轻易地被楼外的人访问,因此无线网络比有线网络更容易遭到探测和各种形式的匿名攻击。
目前已经开发了很多技术来解决这些问题,如从WEP转向到使用LEAP、WPA、802.1x,以及在客户端和接入基础设施嵌入IPSec VPN等各种措施。所有这些技术措施都有自己的局限性。WEP加密技术已经能被破解。
由于失败的代价高昂,非公司人员的接入也是企业WLAN的一大问题。如果他们使用无线上网并进行非法操作,提供无线网络接入的企业就要承担法律后果。如果无线网络被非法入侵,或者重要数据库被非法进入,给企业带来的负面影响将更加严重,将包括罚款、法律诉讼和名誉损失等。
IT部门需要知道使用无线网络的笔记本电脑是企业员工的还是客户的。笔记本通过无线网络访问企业网络时需要进行严格加密。IT部门应该使用现有的基础设施(如活动目录等)对员工进行身份验证,最好对客户也能进行同样的验证。