金融品智新无线

WLAN网络"三分靠建、七分靠管"。建的安全，管的规范才能让WLAN在金融行业充分发挥作用。

金融品智新无线

近年来在金融办公网及"精品网点"等场景，无线Wi-Fi技术无论是作为有线网络的补充或是局部取代有线网络，都有其现实意义。

金融业是安全敏感型行业，任何一套系统的运行开通或技术的实施都必须考虑安全问题，业内专家认为，中国的金融信息化要实现"管理集中、风险防范、绩效评估、客户至上、接轨国际和面向未来"这些要求，而由于WLAN其本身的实现机制，需要通过电磁波为传播介质，具有空口开放、容易受到监听等天然缺陷。另外，传统的胖AP逐点部署与管理也给网络管理员带来了较大的安全威胁与管理难度。相对于其他行业，WLAN未能在金融行业大量应用正是由于其对安全性与可靠性的要求远高于其他行业，因此必须采用切实有效的手段，建立企业级的安全策略和运维管理机制，既保留WLAN网络灵活、移动的特色，又能保障WLAN网络的安全和高效。本文主要从安全、可靠、灵活、运维管理等角度，阐述在金融行业中应用WLAN网络需要注意的一些问题。

一、 七层立体安全防护

管理平台、统一监管

3-7层安全防护

ARP攻击、MAC/IP欺骗、应用层攻击方案、用户流量行为审计

终端准入、权限可控

无线接入安全

7X24频谱监控，无线安全加密（WPA2/WAPI），非法AP检测，WIPS

建立空口加密，保障链路层安全

由于WLAN的开放式访问方式，非法用户可以未经授权而擅自使用网络资源，不仅会占用宝贵的无线信道资源，增加带宽费用，降低内部用户的服务质量，更重要的是会成为金融的安全泄密点，因此利用WLAN进行通信必须具有较高的通信保密能力，目前有多种技术及手段可保证WLAN的安全管理，首先就是建立无线的空口加密机制。主要的方法为对数据报文进行加密，保证只有特定的设备可以对接收到的报文成功解密，其他的设备虽然可以接收到数据报文，但是由于没有对应的密钥，无法对数据报文解密，从而实现WLAN数据的安全性保护。

现阶段常用的WLAN空口加密标准有WEP（Wired Equivalent Privacy，有线等效保密）、WPA（Wi-Fi Protected Access，Wi-Fi网络安全存取）、IEEE 802.11i（WPA2）、WAPI（Wireless LAN Authentication and Privacy Infrastructure，无线局域网鉴别和保密基础结构，中国WLAN安全强制标准）等。鉴于金融业所需的高安全性，建议使用更健壮的WPA、802.11i或WAPI等安全体系，保障WLAN网络的链路层安全。只要用户在首次选用WALN网络时，在AP接入模式上选择对应的加密算法即可，后续应用中对用户是透明的，与其他商业环境使用开放、共享的无线网络感受一样，既方便又能保障空口安全。

开通企业接入策略，保障网络层安全

空口加密只是WLAN安全管理的第一步，只是保证了接入无线网络的空口安全，由于金融客户采用WLAN主要进行办公及开展Wi-Fi Portal推送等业务，必须要和生产网隔离开来，因此有必要对WLAN实施企业级的接入控制策略，对每个接入的终端进行认证鉴权，控制其可达网络的范围。

对终端用户实施接入控制策略包含三方面的手段：

热点用户隔离

用户接入认证

动态控制用户权限

可靠网络、保障业务永续运营

灵活接入，智能办公

终端识别技术

终端合规检查

灵活授权

规范无线业务管理，简单有效

有线无线一体化管理

告警管理

性能管理

无线入侵防御管理