■馬漢

防火墻

BYOD辦公存隱患企業(yè)應(yīng)做到管理與安全并重

■馬漢

近年來，無線網(wǎng)絡(luò)飛速發(fā)展，移動設(shè)備全面普及，移動辦公也隨之大熱，BYOD以一種勢不可擋的趨勢走進(jìn)人們的視線。BYOD的普及讓企業(yè)員工實(shí)現(xiàn)高效辦公，在為企業(yè)節(jié)省了IT成本之外，也讓工作和生活變得密不可分。也正因?yàn)槿绱?，越來越多的安全問題集中爆發(fā)，也讓企業(yè)IT管理者們開始意識到BYOD帶來的危機(jī)。

通過走訪，我們了解到：目前，無線網(wǎng)絡(luò)安全主要面臨盜密和攻擊兩大挑戰(zhàn)：

盜密，顧名思義就是非法獲取網(wǎng)絡(luò)中他人信息，最常見的就是通過WiFi釣魚來實(shí)現(xiàn)。我們經(jīng)常遇到的即是在商場、咖啡館、賓館等公共場所常常聯(lián)網(wǎng)進(jìn)行辦公或者網(wǎng)購等操作，當(dāng)我們誤連了假WiFi，用戶將面臨個人隱私泄露以及企業(yè)數(shù)據(jù)泄露的風(fēng)險。

攻擊，常見的有訪問控制攻擊、蜜罐攻擊、分布式拒絕服務(wù)DDoS攻擊等。其中，DDoS攻擊以其隱蔽性好、破壞性強(qiáng)的特點(diǎn)成為了黑客攻擊的首選方式。這種攻擊方式，不是以獲取信息為目的，黑客只是想讓用戶無法訪問網(wǎng)絡(luò)服務(wù)，其一直不斷的發(fā)送信息，是合法用戶的信息一直處于等待狀態(tài)，無法正常工作。而訪問控制攻擊主要使用無線或者規(guī)避無線局域網(wǎng)訪問控制方法，比如AP MAC過濾器和802.1X端口訪問控制，進(jìn)而試圖穿透網(wǎng)絡(luò)。

在此，我們提醒大家：在公共場合沒有密碼的WiFi不要連接，這很可能是釣魚信號。其次，公共場所連接WiFi一定要看清楚，假WiFi的名字跟公共的可能會很相近，要小心識別不要被騙。第三，手機(jī)或者筆記本電腦不要啟動自動連接WiFi的功能，而是要先通過手機(jī)或者筆記本電腦自帶的“查詢附近可用無線網(wǎng)絡(luò)”功能進(jìn)行甄別，這樣才能有效防止墮入假WiFi的陷阱。

近幾個月，一些安全會議現(xiàn)場抓取用戶數(shù)據(jù)包的做法，也警示著人們無線環(huán)境的安全問題。然而，攻擊者攻擊無線網(wǎng)絡(luò)并不止于抓取用戶數(shù)據(jù)包，亦會植入木馬，甚至滲透入企業(yè)網(wǎng)絡(luò)。對于用戶數(shù)據(jù)包的防抓取，專家建議用戶采用復(fù)雜的加密方式來防范，比如WPA/WPA2，甚至采用WAPI等方式。

另外，在BYOD的應(yīng)用場景中，企業(yè)很難控制員工個人移動設(shè)備在企業(yè)之外的應(yīng)用，也難以確定這些設(shè)備在這個過程中是否被植入了惡意軟件，暗藏了木馬。一旦員工的設(shè)備被攻擊者控制，企業(yè)內(nèi)的其他聯(lián)網(wǎng)設(shè)備也將陷入危險之中，企業(yè)的機(jī)密數(shù)據(jù)將不再安全。

總之，如果企業(yè)的無線網(wǎng)絡(luò)不安全，企業(yè)就面臨很大的風(fēng)險。那樣，攻擊者也許能夠監(jiān)控整個公司的網(wǎng)絡(luò)，知道辦公人員訪問了哪些網(wǎng)站，與哪個業(yè)務(wù)合作伙伴交換了哪些信息。更有甚者，可能攻擊者能訪問盜取企業(yè)文件。

在此基礎(chǔ)上，企業(yè)管理者還可以根據(jù)人員身份，部門歸屬的不同、使用設(shè)備的不同分配不同的網(wǎng)絡(luò)訪問權(quán)限，實(shí)現(xiàn)信號安全的基礎(chǔ)上還能做到信息安全。同時做到“無感知認(rèn)證”，在保證安全性的前提下，避免了繁瑣的認(rèn)證和登錄過程。