[[442943]]

什么是企業(yè)網絡安全?

企業(yè)網絡安全是對連接企業(yè)內系統(tǒng)、大型機和設備(如智能手機和平板電腦)的網絡的保護。公司、大學、政府和其他實體使用企業(yè)網絡將其用戶與信息和人員聯(lián)系起來。隨著網絡規(guī)模和復雜性的增長，安全問題也隨之增加。

企業(yè)無線網絡面臨哪些安全威脅?

無線網絡(也稱為 Wi-Fi)缺乏有線網絡常見的強大安全工具，例如防火墻、入侵防御系統(tǒng)、內容過濾器以及防病毒和反惡意軟件檢測程序;Wi-Fi 網絡還提供無線接入點，這些接入點很容易被滲透。由于它們可能缺乏與有線網絡相同的保護，無線網絡和設備容易受到旨在訪問企業(yè)網絡的各種攻擊。

攻擊者可以通過無線接入點訪問組織的網絡以進行惡意活動，包括數(shù)據包嗅探、創(chuàng)建惡意接入點、密碼竊取和中間人攻擊。這些攻擊可能會阻礙網絡連接、減慢進程，甚至會導致組織系統(tǒng)崩潰。

如何將企業(yè) Wi-Fi 網絡的風險降至最低?

網絡安全協(xié)議已經發(fā)展到可以抵消不斷演變的攻擊。Wi-Fi 保護訪問3 (WPA3) 包含 128 位高級加密標準 (AES)。2018 年 6 月，Wi-Fi 聯(lián)盟開始認證支持 Wi-Fi Protected Access 3 (WPA3) 的設備，WPA3 取代了 WPA2。當 WPA3 設備可用時，用戶應采用新標準。信息技術 (IT) 安全專業(yè)人員和網絡管理員還應考慮這些額外的最佳實踐，以幫助保護他們的企業(yè)Wi-Fi 網絡：

• 在每個網絡上部署無線入侵檢測系統(tǒng) (WIDS) 和無線入侵防御系統(tǒng) (WIPS)。
• 通過根據開發(fā)人員服務包發(fā)布更新所有軟件，確?，F(xiàn)有設備沒有已知漏洞。
• 安全地配置設備。
• 確保所有設備符合聯(lián)邦信息處理標準 (FIPS) 140-3：加密模塊的安全要求中的加密要求(這點，在國內遵循國密相關要求)。
• 確保符合最新的美國國家標準與技術研究所。
• 建立多因素身份驗證 (MFA) 以訪問網絡。如果難以實現(xiàn)，請考慮除單個共享密碼之外的其他安全身份驗證方法，例如 Active Directory 服務身份驗證或替代方法(例如，令牌)以在網絡中創(chuàng)建 MFA。
• 使用可擴展身份驗證協(xié)議-傳輸層安全基于證書的方法(或更好)來保護整個身份驗證事務和通信。
• 使用計數(shù)器模式密碼塊鏈接消息身份驗證代碼協(xié)議，這是無線應用協(xié)議 2 (WAP) 企業(yè)網絡謹慎使用的一種 AES 加密形式。如果可能，請在開發(fā)和批準時使用符合 FIPS 140-3 (國內，參照國密最新研究成果)的更復雜的加密技術。
• 實施與主網絡分離的訪客 Wi-Fi 網絡。使用具有多個服務集標識符 (SSID) 的路由器或使用其他無線隔離功能，以確保訪客網絡流量或通過使用其他無線隔離功能無法訪問組織信息。

有哪些額外的保護網絡?

采用主動 WIDS/WIPS 使網絡管理員能夠通過監(jiān)控、檢測和減輕潛在風險來創(chuàng)建和實施無線安全。WIDS 和 WIPS 都會檢測并自動斷開未經授權的設備。WIDS 能夠自動監(jiān)控和檢測任何未經授權的惡意接入點的存在，而 WIPS 則針對已識別的威脅部署對策。WIPS 緩解的一些常見威脅是惡意接入點、錯誤配置的接入點、客戶端錯誤關聯(lián)、未經授權的關聯(lián)、中間人攻擊、ad-hoc 網絡、媒體訪問控制欺騙、蜜罐/邪惡雙胞胎攻擊和拒絕-服務攻擊。

以下列表包括保護 WIDS/WIPS 傳感器網絡的最佳實踐。管理員應根據當?shù)氐目紤]和適用的合規(guī)要求定制這些做法。

使用惡意檢測流程功能。無論違規(guī)設備使用何種身份驗證或加密技術(例如，網絡地址轉換、加密、軟 WAP)，此功能都應檢測通過惡意客戶端或 WAP 的 Wi-Fi 訪問。

• 將 WIDS/WIPS 傳感器設置為
  • 檢測連接到有線或無線網絡的 802.11a/b/g/n/ac 設備;
  • 通過多個無線通道檢測并阻止來自單個傳感器設備的多個 WAP。
• 在每個子網和跨多個子網實施“無 Wi-Fi”策略。
• 在傳感器和服務器之間提供最低限度的安全通信，并確定特定的最低允許 Kbps——系統(tǒng)應根據企業(yè)策略和治理提供客戶端和 WAP 的自動分類。
• 提供可定制的自動化(事件觸發(fā))和計劃報告。
• 基于企業(yè)需求的細分報告和管理。
• 通過生成事件日志和實時數(shù)據包捕獲，并直接在分析員工作站上顯示。
• 導入場地圖紙以滿足場地規(guī)劃和位置跟蹤要求。
• 在應用程序中手動創(chuàng)建具有自動縮放功能的簡單建筑布局。
• 以電子方式將傳感器和 WAP 放置在建筑地圖上，以保持傳感器放置和未來位置的準確記錄。
• 至少有四個不同級別的權限，允許 WIPS 管理員將特定的視圖和管理員權限委派給其他管理員。
• 滿足所有適用標準，如政府相關文件及采購條例等。

參考來源：美國CISA官網