有線網(wǎng)絡(luò)已死！這是對(duì)無(wú)線網(wǎng)絡(luò)最樂(lè)觀的估計(jì)，雖然這樣的結(jié)論只能歸結(jié)到標(biāo)新立異，但是從應(yīng)用發(fā)展趨勢(shì)來(lái)看，無(wú)線網(wǎng)絡(luò)確實(shí)已經(jīng)成為網(wǎng)絡(luò)中最重要的接入技術(shù)，并且逐漸有取代有線網(wǎng)絡(luò)的趨勢(shì)。與此相伴而來(lái)的，是無(wú)線網(wǎng)絡(luò)安全問(wèn)題的再次凸顯。特別是對(duì)大型園區(qū)而言，一旦無(wú)線網(wǎng)絡(luò)受到威脅，輕則導(dǎo)致數(shù)據(jù)丟失，重則發(fā)生業(yè)務(wù)中斷的嚴(yán)重后果。正是基于這樣的考慮，日前，西安高新技術(shù)產(chǎn)業(yè)開(kāi)發(fā)區(qū)管理委員會(huì)（以下簡(jiǎn)稱：高新區(qū)管委會(huì)）在進(jìn)行網(wǎng)絡(luò)建設(shè)的時(shí)候，就通過(guò)在無(wú)線上網(wǎng)認(rèn)證系統(tǒng)服務(wù)器部署浪潮主機(jī)安全增強(qiáng)系統(tǒng)（以下簡(jiǎn)稱：浪潮SSR），成功守衛(wèi)了無(wú)線網(wǎng)絡(luò)安全的大門。

無(wú)線網(wǎng)絡(luò)：方便升級(jí) 安全堪憂

“我們高新區(qū)是1991年3月經(jīng)國(guó)務(wù)院首批批準(zhǔn)的國(guó)家級(jí)高新區(qū)。24年來(lái)，高新區(qū)主要經(jīng)濟(jì)指標(biāo)增長(zhǎng)迅猛，綜合指標(biāo)位于全國(guó)114個(gè)國(guó)家級(jí)高新區(qū)第三位。” 高新區(qū)管委會(huì)負(fù)責(zé)人表示，“現(xiàn)在，我們決定在管委會(huì)以及附近區(qū)域部署無(wú)線網(wǎng)絡(luò)，作為未來(lái)整個(gè)高新區(qū)無(wú)線網(wǎng)絡(luò)的試點(diǎn)工程。未來(lái)，我們將會(huì)在高新區(qū)的所有企業(yè)和公共區(qū)域部署無(wú)線網(wǎng)絡(luò)，逐漸替代有線網(wǎng)絡(luò)。”

無(wú)線網(wǎng)絡(luò)可以提供更為靈活的接入，但是安全的防護(hù)卻比有線網(wǎng)絡(luò)更為困難，這是因?yàn)闊o(wú)線網(wǎng)絡(luò)和有線網(wǎng)絡(luò)最大的區(qū)別就是，一個(gè)是隨時(shí)隨地，只要有信號(hào)就可以展開(kāi)攻擊；一個(gè)是必須依賴于有一個(gè)網(wǎng)絡(luò)接口。而且通常情況下，一個(gè)私自搭建的無(wú)線接入點(diǎn)很可能會(huì)破壞掉整個(gè)防御體系。

“如何確保無(wú)線網(wǎng)絡(luò)的安全是讓我們十分頭疼的事，”該負(fù)責(zé)人表示，“這是因?yàn)槲覀兊臒o(wú)線網(wǎng)絡(luò)必須保證萬(wàn)無(wú)一失。”高新區(qū)管委會(huì)對(duì)無(wú)線網(wǎng)絡(luò)安全問(wèn)題如此重視，是有兩個(gè)原因：未來(lái)無(wú)線網(wǎng)絡(luò)將承接園區(qū)內(nèi)企業(yè)的生產(chǎn)系統(tǒng)；無(wú)線網(wǎng)絡(luò)的身份認(rèn)證系統(tǒng)與系統(tǒng)中的其他部分相連。因?yàn)槌薪訄@區(qū)的生產(chǎn)系統(tǒng)，那么無(wú)線網(wǎng)絡(luò)就和水和電一樣，都是最基礎(chǔ)的資源，一旦網(wǎng)絡(luò)出現(xiàn)問(wèn)題，就面臨業(yè)務(wù)中斷的風(fēng)險(xiǎn)。

而從目前無(wú)線網(wǎng)絡(luò)的架構(gòu)來(lái)看，身份認(rèn)證服務(wù)器是守衛(wèi)在無(wú)線網(wǎng)絡(luò)管理的要害部位。用戶從AP連接無(wú)線，首先進(jìn)行的是身份認(rèn)證過(guò)程，在這個(gè)過(guò)程中，認(rèn)證服務(wù)器會(huì)將User Profile名稱下發(fā)給無(wú)線控制器，控制器會(huì)立即啟用User Profile里配置的具體內(nèi)容。當(dāng)用戶通過(guò)認(rèn)證訪問(wèn)設(shè)備時(shí)，控制器將通過(guò)這些具體內(nèi)容限制用戶的訪問(wèn)行為。當(dāng)用戶下線時(shí)，系統(tǒng)會(huì)自動(dòng)禁用User Profile下的配置項(xiàng)，從而取消User Profile對(duì)用戶的限定。一旦黑客通過(guò)上網(wǎng)認(rèn)證系統(tǒng)窗口反向攻擊系統(tǒng)服務(wù)器，獲取服務(wù)器權(quán)限之后，就可順延攻擊企業(yè)內(nèi)部網(wǎng)絡(luò)中其它重要服務(wù)器，從而導(dǎo)致整個(gè)無(wú)線網(wǎng)絡(luò)系統(tǒng)癱瘓。

雖然身份認(rèn)證服務(wù)器守衛(wèi)了無(wú)線網(wǎng)絡(luò)的關(guān)鍵入口，但是本身的安全情況并不客觀。一方面，系統(tǒng)漏洞的“真空期”無(wú)法避免。從操作系統(tǒng)漏洞被發(fā)現(xiàn)，到最后廠商發(fā)布可以穩(wěn)定運(yùn)行的補(bǔ)丁，一般有3到6個(gè)月的“真空期”，這段時(shí)間內(nèi)便是操作系統(tǒng)最脆弱的時(shí)期，最容易被攻破。另一方面，系統(tǒng)維護(hù)也存在風(fēng)險(xiǎn)。超級(jí)用戶權(quán)限都不受限制，其采用的“用戶名+口令”的單一認(rèn)證方式無(wú)法有效應(yīng)對(duì)黑客使用暴力破解的攻擊方式。而在日常維護(hù)方面，系統(tǒng)人為加固“補(bǔ)丁”更新不及時(shí)。這些都給黑客以可乘之機(jī)。

“正是基于以上的分析，我們決定在加強(qiáng)無(wú)線網(wǎng)絡(luò)的安全防護(hù)之時(shí)，把上網(wǎng)認(rèn)證系統(tǒng)服務(wù)器作為一個(gè)重要的部分。”該負(fù)責(zé)人表示。

浪潮SSR為無(wú)線網(wǎng)絡(luò)把好安全關(guān)

在制訂了安全策略之后，管委會(huì)考察了多個(gè)解決方案之后，經(jīng)過(guò)綜合評(píng)估，選定了浪潮SSR對(duì)服務(wù)器底層進(jìn)行安全加固，防止無(wú)線上網(wǎng)認(rèn)證系統(tǒng)服務(wù)器被惡意攻擊者利用。“之所以選擇浪潮SSR，是因?yàn)槲覀冄芯苛薙SR的工作原理，浪潮SSR通過(guò)ROST技術(shù)原理，能夠?qū)Ψ?wù)器設(shè)置訪問(wèn)控制規(guī)則，對(duì)系統(tǒng)內(nèi)核層進(jìn)行加固，能夠幫助我們的無(wú)線網(wǎng)絡(luò)把好安全關(guān)。”該負(fù)責(zé)人說(shuō)。

通過(guò)在驅(qū)動(dòng)層加上安全內(nèi)核模塊，SSR攔截了所有的內(nèi)核訪問(wèn)路徑，所有符合高新區(qū)無(wú)線網(wǎng)絡(luò)規(guī)則的文件、注冊(cè)表、進(jìn)程、服務(wù)、權(quán)限都予以“放行”，不符合規(guī)則的就進(jìn)行屏蔽。這樣的強(qiáng)制訪問(wèn)控制功能可以確保操作系統(tǒng)用戶不被新建、權(quán)限不被更改，惡意攻擊者如果想通過(guò)無(wú)線網(wǎng)絡(luò)上網(wǎng)認(rèn)證系統(tǒng)攻擊服務(wù)器，將無(wú)法創(chuàng)建用戶并提權(quán)。

針對(duì)系統(tǒng)“真空期”的容易受到攻擊的問(wèn)題，浪潮SSR不需要依賴病毒行為特征庫(kù)來(lái)識(shí)別攻擊，而是采用白名單防護(hù)技術(shù)。這就把事后“修補(bǔ)”變?yōu)榱藦氐?ldquo;免疫”，徹底杜絕了“真空期”的存在，保證了系統(tǒng)的安全運(yùn)行。

即使最壞的情況發(fā)生，惡意攻擊者暴力破解現(xiàn)有操作系統(tǒng)管理員權(quán)限，也無(wú)線對(duì)系統(tǒng)造成實(shí)質(zhì)性的傷害，這是因?yàn)槔顺盨SR三權(quán)分立技術(shù)，把系統(tǒng)管理員、安全管理員和審計(jì)管理權(quán)限分開(kāi)，系統(tǒng)管理員能做的事情由安全管理員分配，安全管理員無(wú)法直接對(duì)系統(tǒng)操作，而審計(jì)管理員對(duì)前兩者進(jìn)行完整操作記錄，確保操作系統(tǒng)管理員權(quán)限被獲取也無(wú)法對(duì)操作系統(tǒng)造成破壞。

 “在無(wú)線網(wǎng)絡(luò)的環(huán)境中，SSR守護(hù)的這道安全門非常重要。”該負(fù)責(zé)人表示，“有了浪潮SSR為我們的無(wú)線網(wǎng)絡(luò)站崗之后，我們對(duì)無(wú)線網(wǎng)絡(luò)的應(yīng)用增強(qiáng)了信心，也給未來(lái)使用的企業(yè)吃了定心丸。”