四大准则保护企业无线安全

　　第一项广泛应用的无线局域网技术802.11b在1999年就问世了。不过令人奇怪的是，到目前为止，许多公司仍没有为局域网和广域网上的无线连接采取合适的安全措施。如今，许多公司又在积极采用新的移动设备， 比如iPhone等，又开始面临着新的移动安全威胁。美国应用网络安全协会是一家从事信息安全专业人员培训的组织，其高级研究副总裁艾伦·凯里说: “许多公司在无线安全方面的基本功还非常欠缺。”

　　研究咨询公司伯顿集团的高级分析师埃里克·梅沃尔德表示，做好基本功并不难。目前，无线网络的两种主要保护机制有: 验证与加密，这是已经实践证明、广泛部署的安全标准。

　　第一代移动设备常常极少注意安全问题，比如苹果公司的第一款iPhone就缺乏基本的安全技术，如虚拟专用网(VPN)、强密码、安全可管理性、加密和远程删除(remote-kill)等功能。但RIM公司的“黑莓”设备却是个显著例外。随着各种移动设备在企业中越来越广泛应用，新一代的、具有上网功能的移动设备在设计时就很关注企业级安全问题，比如苹果公司的新版本iPhone、Palm公司的Treo以及基于微软Windows Mobile 6操作系统的设备。随着iPhone越来越得到许多公司的采用，苹果公司在该手机中增添了VPN功能，并且承诺会在今年6月发布软件补丁，堵上其他安全漏洞(强密码方面可能仍存在漏洞)。

　　新一代Windows Mobile和Palm Treo设备同样改进了安全功能。比方说，即将推出的版本6.1 Windows Mobile软件将让管理员可对保存在Windows Mobile设备内存卡上的数据进行加密，还能控制可以安装哪些应用程序。去年Palm应美国军方的要求，为用户推出了一个新的选项: 除了要求在Treo上输入密码外，还可以使用蓝牙读卡器刷双因子验证卡，通过后才能使用这种手持设备。

　　在极其关注安全的行业，有些公司并不满足于无线安全方面的基本措施。首当其冲的是医疗机构和高等院校，前者需要满足《健康保险可携性及责任性法案》(HIPAA)在数据隐私性方面的严格要求; 而后者需要满足数量庞大的移动教职员工和学生在多个园区工作及学习的要求。在无线网络的发展早期，这些机构成了黑客们的天堂，它们付出代价后才汲取了经验与教训。

　　如此看来，问题不是在于有没有技术，而是在于公司如何重视及考虑无线网络和移动网络的安全问题。现在仍有许多公司还没有为无线网络与移动设备制订安全策略。

　　1. 采取基本的保护机制

　　无线用户面临的重大威胁是: 他们的数据和密码等信息在传输过程中可能被人截获。这种截获的途径大不相同，比如通过无线窃听器或者通过非法接入点(rogue access point)等。同样，移动用户也面临类似威胁: 一旦他们手中的设备丢失或者被偷，里面的数据就会暴露。

　　在这两种情况下，对数据(包括静态数据和传输中的数据)进行加密和对用户访问(包括对数据、设备和网络的访问)权限进行验证是两大关键的安全方法。这些方法应当结合网络或者电脑使用的常用安全方法，比如要求输入强密码、执行用户访问控制策略以及通过VPN与虚拟局域网(VLAN)等技术来隔离流量。

　　关键在于确保针对网络及使用网络的设备全面运用这些方法，这样就能限制任何一次泄密事件带来的不利影响。

　　任何无线网络都会通过加密“握手”过程来验证用户身份，这个过程意味着: 必须使用无线保护访问(WPA)协议或者其更新版本—无线保护访问2(WPA2)。这两种协议都基于802.11i标准，不过WPA基于草案标准，而WPA2则是基于最终标准。WPA和WPA2也各有两个版本: 个人版和企业版。个人版使用预共享密钥(PSK)，这意味着所有用户都拥有同样的安全证书。企业版采用802.1x服务器为每个用户创建独特的证书，因而来得更安全。因为万一某个证书被人发现了，其他证书仍是安全的。但咨询公司Cryptography Research的总裁保罗·科克强调，企业版加大了IT人员的工作量，因此它对有许多用户的大公司来说不是理想的解决方案。

　　这就是为什么说WPA仅仅是无线网络中的第一道防线的主要原因。下一道防线应当是使用虚拟局域网(VLAN)，以便将不同流量与用户隔离开来。这与有线网络中使用子网段是同一个道理。通过把用户局限在特定的虚拟局域网中，就可以利用访问控制策略来监控无线活动，并且确定基于角色的访问权，即使未授权者通过了WPA验证这一步也没关系。

　　IT人员还应当确保在任何一种远程连接上，无线用户都遵守同样的安全做法，包括使用安全套接层(SSL)或者其他类型的加密用于访问电子邮件和服务器，以及使用VPN来创建安全的连接隧道。如果用户从公共无线热点访问公司系统，后一种做法显得特别重要，因为用户的笔记本电脑连接到接入点时往往不使用SSL。

　　如果用户使用3G网络，比如EVDO和HSDPA网络，那么安全方面的压力可能要小点。因为这些网络能够处理验证和加密，所以实际上能够自动处理电子邮件的WPA验证与SSL加密等问题。不过随着这类网络日益流行，WiMAX等新网络和700MHz频谱得到部署，预计黑客们会开始想方设法闯进来，所以有必要对所有连接通道实施统一的安全策略，哪怕不同通道做到这一步的机制不同也无所谓。

　　2. 增加对手持设备安全的关注

　　移动设备应采用与笔记本电脑同样的安全标准，所以也应支持数据加密。那样，即便移动设备丢失或者被偷，里面的数据也不容易被人访问。其他要求包括: 使用可由IT人员集中管理的强密码(不是iPhone上使用的四位数个人身份识别号)。强密码之所以对移动设备特别重要，是因为这种设备更容易丢失或者被偷; 又因为移动设备因处理功能有限往往使用不可靠的安全方法，所以比较容易被破解。

　　对笔记本电脑(以及用于工作的家用个人电脑)而言，专家建议使用全磁盘加密技术，那样即便发生了安全事件，也不用担心磁盘上数据被窃取。加密功能内置于操作系统(如Windows Vista自带的BitLocker)内，还是来自第三方(如商用PGP或者开源TrueCrypt)，并不重要。

　　问题在于，大多数移动设备并不支持这些安全技术(如加密、强密码、VPN及其他方法)，或者至少不全部支持。得克萨斯州韦科贝勒大学的信息安全官乔恩·艾伦表示，“黑莓”倒是支持—这是它在企业能够大行其道的一个原因。苹果公司最近承诺即将推出iPhone 2.0软件，这表明它会紧随其后，但至少到目前为止，一切还是未知数。一些厂商目前开始提供这类技术，通过Windows Exchange Server 2007来管理，Windows Mobile 6提供了大部分这些功能; 蓝火安全技术公司、摩托罗拉旗下的古德科技集团和赛贝斯等厂商提供了一系列工具，可添加到运行Windows Mobile和Palm的许多移动设备上。

　　专家提醒，在评估特殊的移动设备时，比如无线抄表器、机场行李领取单扫描仪、行李扫描仪和零售终端机等移动设备时，考虑可能存在的安全漏洞非常重要。在贝勒大学，人们发现终端销售点出现了这个问题，因为原先的安全设计问题没有考虑到无线安全方面的，最后这所大学添加了无线连接功能，堵住了这个漏洞。

　　3. 让移动设备符合安全标准

　　不管设备选用哪种安全方案，有一个方法总可以保护企业的数据，那就是规定允许连接至公司网络及其他系统的任何个人电脑和手持设备都必须支持一套特定的安全方法，比如VPN、WPA2、远程删除和全磁盘加密技术等。这给用户和厂商带来了符合公司规定的压力，又让IT部门可以根据自身的数据保护要求、而不是所实施的特定技术来制订安全策略。

　　比方说，不管个人信息位于何处，都必须加以保护。这意味着学生们可能再也无法访问注册信息，连注册办公室的工作人员也无法访问。为了保护存于笔记本电脑上的数据(如学生分数)，专家要求教职员工的800台笔记本电脑统一使用PGP加密功能。要求使用VPN，那样任何个人信息在传输过程中都被保护起来。

　　北卡罗来纳州杜克大学医学中心负责移动计算的IT应用经理加里·哈里森说，该中心在2008年2月采用了类似做法，而之前对3200名员工的要求比较宽松。他说: “要是某设备不支持赛贝斯公司Afaria移动管理工具的安全要求，那么不好意思，你不能连接上去。”另外，员工可以使用“黑莓”移动设备，因为这种设备自身就有安全机制。该医学中心之所以采取严厉措施，这有两个原因: 一是笔记本电脑和手持设备使用日益普及，这无形中加大了违反《健康保险可携性及责任性法案》的风险; 二是越来越多的移动设备支持安全标准，所以现在有可能执行这些标准。

　　佐治亚州马利耶塔的东南理工州立大学也执行了相关标准，规定哪些设备可以访问校园的无线网络。它要求每个人都要使用EAP-TTLS，这种采用隧道机制的传输层安全(TLS)验证协议可以在隧道中交换公匙与私匙，那样它们无法被人窥视。CIO比尔·格鲁祖克说，苹果公司的Macintosh设备在默认状态下就支持该协议，许多使用英特尔无线驱动程序的个人电脑也具有这功能。其他个人电脑和笔记本电脑用户必须安装开源SecureW2软件，才能获得这项功能。

　　但iPhone并不支持EAP-TTLS，即使这种设备基于Mac OS X操作系统; 考虑到iPhone在500多名师生中非常流行，成为校园中使用的一种主要的手持设备，格鲁祖卡无法把这项标准落实到移动设备上。不过借助于其他策略，而不仅仅是EAP-TTLS策略，他可以保证在校园中安全访问数据。比方说，一项重要策略就是: 使用虚拟局域网，根据角色来隔离流量和数据访问权限。另一项策略就是把数据保存在网络驱动器上，而不是保存在用户的电脑上，从而解决了Mac设备、Windows设备、个人电脑和手持设备的加密功能不一致的问题—这个问题曾导致无法执行统一的加密策略。他还使用瞻博网络公司(Juniper Networks)基于SSL的VPN，可以执行密码策略、查询由活动目录存储的用户权限，并且清除用户电脑上的会话。VPN不需要什么客户软件(它是使用Java与ActiveX控件，通过浏览器来管理客户端)，所以该大学就能统一管理各个方面，不必担心用户的操作。

　　4. 防止非法无线接入点

　　东南理工州立大学的格鲁祖卡注意到，黑客会欺骗接入点的服务集标识符(SSID)—这些标识符用来向希望连接到相应网络的电脑表明接入点与虚拟局域网的身份。黑客的想法是诱骗用户登录到自己的电脑上，从而截获用户的证书和数据。在校园中，接入点的信号在空中被随意发送，所以没有实际办法可以把黑客拒之门外。于是格鲁祖卡使用了Meru Networks公司的双无线装置接入点。一个无线装置处理用户连接，另一个无线装置扫描查找非法接入点。一个Meru接入点“知道”另一个Meru接入点，从而能够识别非法接入点。一旦发现了非法接入点，它们就使用第二个无线装置发送数据脉冲，这实际上遮蔽了非法接入点上被做过手脚的SSID，那样用户看不到非法接入点，就不会连接上去。这个过程只需要几分之一秒就能完成。

　　应用网络安全协会的凯里说，绝不是只有东南理工州立大学面临非法接入点威胁，很多学校都面临着这种威胁，因为黑客很容易就把非法接入点装在盆栽植物中间，或者带到大堂中。又因为个人电脑和笔记本电脑可以设置成自组织模式(ad hoc mode)—让一台电脑充当虚拟接入点，凡是拥有个人电脑的人都有可能是非法接入点。IT人员就要确保用户的电脑经过合理设置，无法通过自组织模式来连接，从而消除这后一种威胁。不过被人偷偷装在楼内或者与合法接入点位置非常靠近、因而信号能穿透墙壁的非法接入点比较难对付。使用无线嗅探器定期搜寻是个办法，使用相互连接的接入点来检测非法接入点也是个办法。

　　尽管我们面临这些威胁，但仍然有一些好消息，一些经实践证明的方法可以保护无线和移动环境。坏消息是，许多公司还没有采取这些方法来保护自己。(本文编译自《CSO》杂志)