WLAN網(wǎng)絡(luò )"三分靠建、七分靠管"。建的安全，管的規范才能讓W(xué)LAN在金融行業(yè)充分發(fā)揮作用。

金融品智新無(wú)線(xiàn)

近年來(lái)在金融辦公網(wǎng)及"精品網(wǎng)點(diǎn)"等場(chǎng)景，無(wú)線(xiàn)Wi-Fi技術(shù)無(wú)論是作為有線(xiàn)網(wǎng)絡(luò )的補充或是局部取代有線(xiàn)網(wǎng)絡(luò )，都有其現實(shí)意義。

金融業(yè)是安全敏感型行業(yè)，任何一套系統的運行開(kāi)通或技術(shù)的實(shí)施都必須考慮安全問(wèn)題，業(yè)內專(zhuān)家認為，中國的金融信息化要實(shí)現"管理集中、風(fēng)險防范、績(jì)效評估、客戶(hù)至上、接軌國際和面向未來(lái)"這些要求，而由于WLAN其本身的實(shí)現機制，需要通過(guò)電磁波為傳播介質(zhì)，具有空口開(kāi)放、容易受到監聽(tīng)等天然缺陷。另外，傳統的胖AP逐點(diǎn)部署與管理也給網(wǎng)絡(luò )管理員帶來(lái)了較大的安全威脅與管理難度。相對于其他行業(yè)，WLAN未能在金融行業(yè)大量應用正是由于其對安全性與可靠性的要求遠高于其他行業(yè)，因此必須采用切實(shí)有效的手段，建立企業(yè)級的安全策略和運維管理機制，既保留WLAN網(wǎng)絡(luò )靈活、移動(dòng)的特色，又能保障WLAN網(wǎng)絡(luò )的安全和高效。本文主要從安全、可靠、靈活、運維管理等角度，闡述在金融行業(yè)中應用WLAN網(wǎng)絡(luò )需要注意的一些問(wèn)題。

一、 七層立體安全防護

管理平臺、統一監管

3-7層安全防護

ARP攻擊、MAC/IP欺騙、應用層攻擊方案、用戶(hù)流量行為審計

終端準入、權限可控

無(wú)線(xiàn)接入安全

7X24頻譜監控，無(wú)線(xiàn)安全加密（WPA2/WAPI），非法AP檢測，WIPS

建立空口加密，保障鏈路層安全

由于WLAN的開(kāi)放式訪(fǎng)問(wèn)方式，非法用戶(hù)可以未經(jīng)授權而擅自使用網(wǎng)絡(luò )資源，不僅會(huì )占用寶貴的無(wú)線(xiàn)信道資源，增加帶寬費用，降低內部用戶(hù)的服務(wù)質(zhì)量，更重要的是會(huì )成為金融的安全泄密點(diǎn)，因此利用WLAN進(jìn)行通信必須具有較高的通信保密能力，目前有多種技術(shù)及手段可保證WLAN的安全管理，首先就是建立無(wú)線(xiàn)的空口加密機制。主要的方法為對數據報文進(jìn)行加密，保證只有特定的設備可以對接收到的報文成功解密，其他的設備雖然可以接收到數據報文，但是由于沒(méi)有對應的密鑰，無(wú)法對數據報文解密，從而實(shí)現WLAN數據的安全性保護。

現階段常用的WLAN空口加密標準有WEP（Wired Equivalent Privacy，有線(xiàn)等效保密）、WPA（Wi-Fi Protected Access，Wi-Fi網(wǎng)絡(luò )安全存�。�、IEEE 802.11i（WPA2）、WAPI（Wireless LAN Authentication and Privacy Infrastructure，無(wú)線(xiàn)局域網(wǎng)鑒別和保密基礎結構，中國WLAN安全強制標準）等。鑒于金融業(yè)所需的高安全性，建議使用更健壯的WPA、802.11i或WAPI等安全體系，保障WLAN網(wǎng)絡(luò )的鏈路層安全。只要用戶(hù)在首次選用WALN網(wǎng)絡(luò )時(shí)，在A(yíng)P接入模式上選擇對應的加密算法即可，后續應用中對用戶(hù)是透明的，與其他商業(yè)環(huán)境使用開(kāi)放、共享的無(wú)線(xiàn)網(wǎng)絡(luò )感受一樣，既方便又能保障空口安全。

開(kāi)通企業(yè)接入策略，保障網(wǎng)絡(luò )層安全

空口加密只是WLAN安全管理的第一步，只是保證了接入無(wú)線(xiàn)網(wǎng)絡(luò )的空口安全，由于金融客戶(hù)采用WLAN主要進(jìn)行辦公及開(kāi)展Wi-Fi Portal推送等業(yè)務(wù)，必須要和生產(chǎn)網(wǎng)隔離開(kāi)來(lái)，因此有必要對WLAN實(shí)施企業(yè)級的接入控制策略，對每個(gè)接入的終端進(jìn)行認證鑒權，控制其可達網(wǎng)絡(luò )的范圍。

對終端用戶(hù)實(shí)施接入控制策略包含三方面的手段：

熱點(diǎn)用戶(hù)隔離

用戶(hù)接入認證

動(dòng)態(tài)控制用戶(hù)權限

可靠網(wǎng)絡(luò )、保障業(yè)務(wù)永續運營(yíng)

靈活接入，智能辦公

終端識別技術(shù)

終端合規檢查

靈活授權

規范無(wú)線(xiàn)業(yè)務(wù)管理，簡(jiǎn)單有效

有線(xiàn)無(wú)線(xiàn)一體化管理

告警管理

性能管理

無(wú)線(xiàn)入侵防御管理