对使用无线技术的公司而言,最佳的防御办法就是采用从前端到后端都加以保护的策略。不过“端到端安全”对不同企业而言含义大不一样。
对于不同企业,“端到端安全”的含义是不同的,这就是为什么在购买防火墙、加密、病毒检测、垃圾邮件封阻器或者其他任何此类软硬件之前,第一步需要定义端到端安全。无线技术咨询公司Farpoint集团的创办人Craig Matthias说,问题在于,并没有这样的“绝对安全”。
无线设备安全仍处于初期阶段,幸好针对无线设备的黑客攻击也是如此。但随着企业的移动性越来越强,管理人员和员工都依赖具有无线功能的便携式电脑、PDA、BlackBerry和移动电话访问企业网络,安全必将成为当头等大事。这些设备拥有多个平台,都存在着诸多固有的安全问题。
另外,虽然有人多少有些担心计算机病毒会“交叉感染”――即来自移动电话的病毒会感染计算机,反之亦然,但由于不同设备的底层技术截然不同,所以这问题不太可能会出现,至少目前是这样。不过随着诸多技术不断融合,这可能会成为问题。
以下是着手制订良好的无线网络安全策略的十个要诀。
1.制订全面的安全策略。Alexander Doll是总部设在美国加利福尼亚州帕洛阿尔托的安全软件公司PGP的首席财务官兼企业发展副总裁,他说,这不仅要包括端到端安全对本公司来说意味着什么,还要明确列出安全升级、允许无线设备访问网络、大楼安全、账户访问等方面的责任。VPN厂商Aventail的首席技术官Chris Hopen强调,安全策略还应当涉及企业如何处理已发生或者未遂的安全破坏行为。
2.对网络上任何有价值的东西进行加密。这些东西包括: 客户数据、公司信息或者一旦落入坏人手里就会直接或间接危害公司的其他各种数据。那样的话,即便某推销员的便携式电脑丢失或者失窃了,里面的客户联系信息或者其他知识产权对捡到者或者窃贼来说也毫无价值。不过不要对什么都加密,免得浪费了资源。128位加密被认为坚不可摧,不过采用较短密钥对不太重要的数据来说仍可以接受。譬如说,用不着对公司的自助食堂菜单进行加密。
3.需要使用VPN。使用采用安全套接层(SSL)协议的虚拟专用网(VPN),用于与远程设备之间的通信。这样谁都可以访问公司网站――它不需要SSL,但又只允许经过适当授权的人才可以访问相关应用。
4.限制对文件的访问。虽然推销员可能需要历史客户信息(姓名、地址、上一次向公司购买的商品),但他们可能不需要信用卡号码(这可能归会计/计费部门所管)。所以推销员应当无法访问这些文件或者数据库。技术人员在提供安装服务时可能需要访问硬件信息,但不需要客户关系管理方面的详细资料。
5.使用端点扫描技术。这可以确定哪些无线和有线设备在访问网络,然后确定它们是否经过授权、采用了合理的安全机制(譬如更新的Windows补丁、没有已知病毒等)。来自未加保护的远程设备(如便携式电脑)的安全威胁要多于来自外部黑客的安全威胁,因为远程设备在外地使用时会感染上病毒,然后访问网络,从而累及整个系统。由于拥有设备的常常是用户而不是企业,所以企业不会自动更新安全机制。Matthias说,许多企业和个人所犯的一个相关的重大安全错误是,允许谁都可以使用无线设备。所以,每个无线设备应当包括某种“质询机制”,譬如通过个人身份识别号(PIN)和口令来获得访问权。还应当包括在特定时间段内未使用后就自动超时中断的机制。
6.在WLAN中使用WPA或者802.1x技术。这项技术要求用户使用验证密钥来访问无线局域网(WLAN)。比较新的802.1x技术旨在用于有线网络和无线网络都有可能存在的企业环境。
7.加强测试。为了确保安全没有差错,测试工作必不可少。这包括请信得过的人或者第三方利用远程设备设法闯入系统,确保授权用户可以继续访问网络。
8.使用双因素验证。为了获得最佳保护效果,这意味着不仅仅使用PIN和口令。双因素验证通常结合使用某人知道的东西(口令)和他拥有的东西(如令牌)。Hopen说,Aentail安装的系统大约60%包括了安全令牌。如果公司规模小,只有几个人需要验证,那么不妨考虑使用预共享密钥(pre-shared key)。比较大的企业应当依赖可以在预定基础上更换密钥的令牌。譬如,Hopen的钥匙链上就挂着一块令牌,每隔60秒钟会更改密钥。
9.审查及监控结果。Hopen指出,不仅从安全方面来考虑,这一步很重要,从遵守《萨班斯-奥克斯利法案》方面来考虑,也很重要。
10.明白加强安全需要持之以恒。IT领导和所有员工都必须认识到: 加强安全是一项日常性的工作,并非一蹴而就。正如Matthais强调的那样,说到网络安全,“根本就没有大功告成的时候。”
