無線局域網(wǎng)安全防護(hù)研究

◆劉艷花

（邯鄲市人民政府辦公室 河北 056000）

手機(jī)的普遍使用迫切需要隨時(shí)隨地連接網(wǎng)絡(luò)，用戶使用手機(jī)已不僅僅是瀏覽網(wǎng)頁、聊天娛樂，人們需要使用手機(jī)進(jìn)行移動(dòng)辦公、業(yè)務(wù)辦理、網(wǎng)上聽課等各種行為，為有效節(jié)約用戶移動(dòng)網(wǎng)絡(luò)流量開支，保障用戶使用手機(jī)終端上網(wǎng)的便捷性，一些機(jī)關(guān)單位、高校、企業(yè)陸續(xù)建立了無線局域網(wǎng)（WLAN）。無線局域網(wǎng)是對(duì)有線聯(lián)網(wǎng)模式的有效補(bǔ)充，帶來上網(wǎng)便利的同時(shí)也存在網(wǎng)絡(luò)安全隱患。一些單位為節(jié)約開支，甚至將無線網(wǎng)絡(luò)與有線辦公網(wǎng)絡(luò)共用核心網(wǎng)絡(luò)設(shè)備，一旦手機(jī)感染病毒，極有可能通過無線局域網(wǎng)攻擊有線網(wǎng)絡(luò)，造成內(nèi)部信息被竊取等安全隱患。為此，加強(qiáng)無線網(wǎng)絡(luò)安全防護(hù)非常必要。

1 無線網(wǎng)絡(luò)特點(diǎn)

無線局域網(wǎng)是以IEEE802.11標(biāo)準(zhǔn)為基礎(chǔ)，應(yīng)用無線通信技術(shù)建設(shè)的相互通信及資源共享的網(wǎng)絡(luò)。無線局域網(wǎng)無需將終端設(shè)備進(jìn)行有線連接，可滿足終端隨時(shí)接入網(wǎng)絡(luò)需要。

1.1 無線網(wǎng)絡(luò)的開放性

無線網(wǎng)絡(luò)以微波進(jìn)行輻射傳播，使得任何進(jìn)入無線覆蓋區(qū)域的終端都能接收到來自其發(fā)射的信號(hào)，便利了用戶使用。除手機(jī)、筆記本等能接入到網(wǎng)絡(luò)中，電話手表等智能終端設(shè)備也可以接入進(jìn)來。

1.2 接入終端的移動(dòng)性

手機(jī)等接入終端無需使用固定線路，可以隨時(shí)接入并移出無線網(wǎng)絡(luò)。在整個(gè)無線WIFI覆蓋區(qū)域內(nèi)，這些終端可以自由漫游，不影響網(wǎng)絡(luò)信號(hào)接收。除在辦公場所使用無線局域網(wǎng)將這些終端接入網(wǎng)絡(luò)外，員工回到家中或在公共場所同樣可以使用相同的終端連接不同的網(wǎng)絡(luò)。

1.3 無線網(wǎng)絡(luò)結(jié)構(gòu)的靈活性

無線網(wǎng)絡(luò)克服了有線網(wǎng)絡(luò)的線纜限制，解決了建設(shè)時(shí)間過長問題。其組網(wǎng)結(jié)構(gòu)靈活，架設(shè)方便。在會(huì)議室、餐廳、室外等有線網(wǎng)絡(luò)部署比較不便捷的地方，通過快速安裝接入交換機(jī)和無線接入點(diǎn)（AP），就能達(dá)到很好的網(wǎng)絡(luò)覆蓋效果。

2 無線網(wǎng)絡(luò)安全問題分析

2.1 非授權(quán)用戶接入網(wǎng)絡(luò)

由于無線網(wǎng)絡(luò)的開放性，只要是信號(hào)覆蓋到的地方都有可能有用戶嘗試連接進(jìn)入網(wǎng)絡(luò)，實(shí)現(xiàn)非授權(quán)訪問。在便利合法用戶使用網(wǎng)絡(luò)的同時(shí)，也給不法分子帶來了可乘之機(jī)。如果沒有任何接入權(quán)限設(shè)置將導(dǎo)致無線信號(hào)隨意被使用，不法分子可以冒充合法用戶上網(wǎng)發(fā)表不當(dāng)言論，甚至輕易入侵網(wǎng)絡(luò)造成破壞。

2.2 病毒入侵和黑客攻擊

無線局域網(wǎng)遭受的攻擊可分為“主動(dòng)”和“被動(dòng)”兩種。由于接入終端的移動(dòng)性，員工除在辦公場所使用無線局域網(wǎng)接入網(wǎng)絡(luò)外，回到家庭或在公共場所連接一些沒有安全防護(hù)的免費(fèi)WIFI系統(tǒng)，極有可能使得手機(jī)終端被感染病毒木馬[1]。當(dāng)再次使用該手機(jī)終端連接單位無線局域網(wǎng)時(shí)，病毒就會(huì)“主動(dòng)”通過網(wǎng)絡(luò)蔓延到單位內(nèi)部?！氨粍?dòng)”攻擊主要是黑客嘗試通過無線局域網(wǎng)的互聯(lián)網(wǎng)出口或手機(jī)客戶端攻擊無線網(wǎng)絡(luò)，竊取手機(jī)內(nèi)的信息，甚至通過無線局域網(wǎng)與有線網(wǎng)絡(luò)的相互通聯(lián)部分，進(jìn)入到辦公網(wǎng)絡(luò)，造成信息泄露。

2.3 無線與有線混接

許多單位認(rèn)為無線網(wǎng)絡(luò)只是便利員工手機(jī)上網(wǎng)，手機(jī)并非單位資產(chǎn)，無需進(jìn)行深入防護(hù)，建設(shè)無線局域網(wǎng)只需投入設(shè)備實(shí)現(xiàn)發(fā)射信號(hào)即可，因此，將AP、POE交換機(jī)直接連接在辦公網(wǎng)絡(luò)中，共用核心交換機(jī)、共用互聯(lián)網(wǎng)出口的現(xiàn)象經(jīng)常發(fā)生。

3 無線網(wǎng)絡(luò)和有線網(wǎng)絡(luò)的分離

3.1 無線網(wǎng)絡(luò)基本組成

采用層次化、模塊化的設(shè)計(jì)思路進(jìn)行無線局域網(wǎng)設(shè)備部署，由核心交換機(jī)組成核心層，帶POE供電的交換機(jī)組成接入層，AP設(shè)備直接連接到接入層交換機(jī)上，無線控制器（AC）實(shí)現(xiàn)對(duì)AP的管控，連接在核心交換機(jī)上。為保障網(wǎng)絡(luò)的健壯性，也可以部署雙AC。AP設(shè)備分為室內(nèi)AP和室外AP，室內(nèi)AP又分為放裝式AP、面板式AP、高密度AP。在樓道天花板部署放裝AP，安裝AP時(shí)，需考慮吊頂材質(zhì)，若為無機(jī)復(fù)合板、石膏板，衰減較小，可安裝于吊頂內(nèi)，若為鋁制板，衰減較大，需要吸頂安裝在天花板上。面板AP多用于房間有隔斷、部分隔斷為承重墻、相對(duì)封閉的環(huán)境，這里在重點(diǎn)辦公室安裝面板AP保障WIFI覆蓋質(zhì)量。在會(huì)議室或餐廳可安裝高密度AP，保障人員密集分布時(shí)的上網(wǎng)質(zhì)量。室外AP通常安裝于樓頂或周邊的較高燈桿上，在目標(biāo)覆蓋區(qū)域中央與室外AP之間無遮擋物，可按照全向天線100米半徑、定向天線300米半徑參考指標(biāo)進(jìn)行覆蓋。部署AP時(shí)要避免大功率電器或變電器等干擾源。

3.2 無線與有線的隔離

一些單位在初期建設(shè)無線局域網(wǎng)時(shí)，為節(jié)約資源和便于部署，直接將POE交換機(jī)掛接在有線網(wǎng)絡(luò)上，無線局域網(wǎng)與有線網(wǎng)絡(luò)共用核心設(shè)備和互聯(lián)網(wǎng)出口，如圖1所示。

圖1 無線局域網(wǎng)與有線網(wǎng)絡(luò)混接

隨著網(wǎng)絡(luò)安全形勢(shì)的逐年嚴(yán)峻，根據(jù)《網(wǎng)絡(luò)安全法》及網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0標(biāo)準(zhǔn)要求，必須對(duì)網(wǎng)絡(luò)進(jìn)行整改，保障無線網(wǎng)絡(luò)和有線網(wǎng)絡(luò)的相對(duì)獨(dú)立，防止手機(jī)等移動(dòng)終端在其他網(wǎng)絡(luò)感染病毒、木馬后，將病毒、木馬感染到辦公計(jì)算機(jī)或服務(wù)器。要采取措施將無線網(wǎng)絡(luò)和有線網(wǎng)絡(luò)在結(jié)構(gòu)上有效隔離，分別使用不同的核心交換機(jī)和不同的互聯(lián)網(wǎng)出口。這里使用一臺(tái)防火墻將無線局域網(wǎng)與有線辦公網(wǎng)絡(luò)隔離，形成無線網(wǎng)絡(luò)和有線網(wǎng)絡(luò)的清晰邊界。一是通過設(shè)置防火墻的過濾策略有效攔截非法訪問，禁止無線網(wǎng)絡(luò)和辦公網(wǎng)絡(luò)用戶的互訪，將無線網(wǎng)絡(luò)與有線辦公網(wǎng)絡(luò)形成一道安全屏障；二是防火墻開啟端口鏡像功能，將無線網(wǎng)絡(luò)的流量引流到有線網(wǎng)絡(luò)的核心交換機(jī)設(shè)備上，使用有線網(wǎng)絡(luò)安全管理區(qū)域的入侵檢測、日志審計(jì)等設(shè)備進(jìn)行安全審計(jì)，實(shí)現(xiàn)旁掛設(shè)備的共享使用。如圖2所示。

圖2 無線網(wǎng)絡(luò)與有線網(wǎng)絡(luò)的隔離

4 安全防護(hù)策略

無線局域網(wǎng)同樣需要網(wǎng)絡(luò)安全等級(jí)保護(hù)備案和測評(píng)，通過等級(jí)保護(hù)備案測評(píng)過程，發(fā)現(xiàn)無線局域網(wǎng)安全防護(hù)的薄弱點(diǎn)，有針對(duì)性地實(shí)現(xiàn)網(wǎng)絡(luò)安全加固，確保網(wǎng)絡(luò)安全各項(xiàng)要求的高效落實(shí)，一旦出現(xiàn)網(wǎng)絡(luò)安全問題，根據(jù)影響程度，可以免受或減少被處罰程度。根據(jù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測評(píng)具體要求，采取“積極防御、綜合防范”的方針，通過用戶認(rèn)證和MAC地址過濾、上網(wǎng)行為管理等策略實(shí)現(xiàn)人員準(zhǔn)入、定位和行為治理，通過防火墻、審計(jì)設(shè)備等實(shí)現(xiàn)網(wǎng)絡(luò)防護(hù)和監(jiān)視審計(jì)。

4.1 用戶認(rèn)證機(jī)制

針對(duì)無線局域網(wǎng)，必須采取認(rèn)證機(jī)制控制用戶訪問[2]，實(shí)現(xiàn)移動(dòng)終端的可管可控可溯源。通過部署無線終端準(zhǔn)入控制系統(tǒng)，可對(duì)所有接入設(shè)備強(qiáng)制進(jìn)行接入認(rèn)證，系統(tǒng)支持Portal、802.1X、短信、二維碼等多種認(rèn)證協(xié)議。網(wǎng)絡(luò)管理人員按照部門、科室等組織結(jié)構(gòu)對(duì)單位用戶分配賬號(hào)密碼，用戶通過Web Portal認(rèn)證登錄界面填寫用戶名和密碼后，系統(tǒng)將記錄終端MAC地址，對(duì)用戶合法身份賦予權(quán)限。系統(tǒng)能夠?qū)崿F(xiàn)一次登錄長期有效使用的功能。對(duì)于來賓用戶，可采取短信認(rèn)證方式，來賓用戶在來賓登錄界面向系統(tǒng)發(fā)送短信，系統(tǒng)收到驗(yàn)證碼后實(shí)現(xiàn)驗(yàn)證上網(wǎng)登錄。來賓用戶只可訪問限定的網(wǎng)絡(luò)資源，如表1所示。短信認(rèn)證功能需要與第三方短信平臺(tái)對(duì)接，租用運(yùn)營商的短信服務(wù)包。為防止有人冒充來賓用戶長期蹭網(wǎng)，可設(shè)置來賓用戶有效時(shí)間為幾個(gè)小時(shí)或1天，超時(shí)將自動(dòng)斷開網(wǎng)絡(luò)。

表1 用戶認(rèn)證方式

終端準(zhǔn)入控制系統(tǒng)以可視化的界面，實(shí)現(xiàn)用戶管理?？梢栽O(shè)置用戶分組和訪問網(wǎng)絡(luò)資源的權(quán)限、統(tǒng)計(jì)員工用戶列表、來賓用戶列表、當(dāng)前在線人數(shù)列表，系統(tǒng)將IP地址翻譯成用戶賬號(hào)、MAC地址和手機(jī)名稱，可以查看具體某個(gè)人員的用戶名、終端MAC地址、終端數(shù)量、當(dāng)天登錄時(shí)間等，方便對(duì)用戶的流量審計(jì)等網(wǎng)絡(luò)管理。終端準(zhǔn)入控制系統(tǒng)也可通過直接MAC地址綁定的方式，將不支持彈出Web界面進(jìn)行認(rèn)證的電話手表等智能終端設(shè)備接入無線局域網(wǎng)，實(shí)現(xiàn)所有接入設(shè)備的在線管控。

4.2 隱藏?zé)o線SSID

SSID是無線設(shè)備的身份標(biāo)識(shí)符，用戶通過SSID建立終端與接入點(diǎn)之間的連接。我們可以設(shè)置隱藏?zé)o線設(shè)備的SSID[3]，即禁止SSID廣播，無線客戶端必須提供正確的SSID才能與AP進(jìn)行連接，防止非授權(quán)接入和偵聽。

4.3 MAC地址過濾技術(shù)

終端準(zhǔn)入控制系統(tǒng)可查看用戶名對(duì)應(yīng)的用戶MAC地址，通過MAC地址過濾功能禁止不在用戶名列表中的MAC地址，有效控制訪客的訪問[4]。MAC地址過濾是防止無線“蹭網(wǎng)”的高效方法，保障了網(wǎng)絡(luò)安全。

4.4 獨(dú)立互聯(lián)網(wǎng)出口

為保障無線局域網(wǎng)與有線網(wǎng)絡(luò)的相互獨(dú)立性，用戶單位要租用至少兩條運(yùn)營商出口，手機(jī)用戶通過無線互聯(lián)網(wǎng)出口訪問網(wǎng)絡(luò)，辦公計(jì)算機(jī)使用另一個(gè)互聯(lián)網(wǎng)出口訪問網(wǎng)絡(luò)資源。

4.5 下一代防火墻

在互聯(lián)網(wǎng)出口部署具有入侵防御和防病毒模塊的下一代防火墻設(shè)備，形成較為完善的網(wǎng)絡(luò)安全防御屏障。傳統(tǒng)防火墻主要工作在網(wǎng)絡(luò)層，實(shí)現(xiàn)邊界合法接入和安全訪問控制，對(duì)各安全域訪問控制進(jìn)行安全過濾，保障網(wǎng)絡(luò)資源不被非法使用。但針對(duì)應(yīng)用層的攻擊，傳統(tǒng)防火墻不能檢測出封裝在有效數(shù)據(jù)內(nèi)的惡意威脅與攻擊，這時(shí)需要針對(duì)網(wǎng)絡(luò)和應(yīng)用系統(tǒng)進(jìn)行深度包過濾[5]，實(shí)現(xiàn)非法信息阻斷，提高系統(tǒng)整體安全性。下一代防火墻中的入侵防御模塊能夠監(jiān)視網(wǎng)絡(luò)應(yīng)用層的惡意活動(dòng)，識(shí)別并記錄活動(dòng)信息，嘗試阻斷會(huì)話。防病毒模塊實(shí)現(xiàn)對(duì)病毒攻擊的防范，監(jiān)視端口掃描、強(qiáng)力攻擊、木馬后門、DDoS、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等行為，實(shí)現(xiàn)對(duì)病毒攻擊的防范。

4.6 上網(wǎng)行為管理

用戶訪問互聯(lián)網(wǎng)需要進(jìn)行嚴(yán)格的控制和審計(jì)，如果沒有上網(wǎng)行為管理設(shè)備，用戶手機(jī)終端的訪問行為、使用的軟件、對(duì)帶寬的利用情況等均無法進(jìn)行管理。一方面互聯(lián)網(wǎng)鏈路的使用情況不可控，各種非關(guān)鍵業(yè)務(wù)占用著帶寬且不易控制，關(guān)鍵業(yè)務(wù)不能得到保障，不能滿足網(wǎng)絡(luò)安全等級(jí)保護(hù)關(guān)于“資源控制”的要求。另一方面用戶上網(wǎng)行為缺乏審計(jì)，既不能讓單位“網(wǎng)絡(luò)行為規(guī)范”的相關(guān)制度落地，也不能滿足等級(jí)保護(hù)關(guān)于“行為審計(jì)”的要求。通過在互聯(lián)網(wǎng)出口串接部署上網(wǎng)行為管理設(shè)備，實(shí)現(xiàn)用戶上網(wǎng)行為的控制和監(jiān)測，對(duì)網(wǎng)絡(luò)中的網(wǎng)絡(luò)社區(qū)、P2P或IM帶寬濫用以及網(wǎng)絡(luò)游戲、炒股、非法網(wǎng)站訪問等行為進(jìn)行精細(xì)化識(shí)別和控制，利用設(shè)備的日志分析功能，保障網(wǎng)絡(luò)關(guān)鍵應(yīng)用和服務(wù)的帶寬，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)流量、用戶上網(wǎng)行為進(jìn)行深入分析和審計(jì)。

4.7 Web防護(hù)

在無線局域網(wǎng)內(nèi)部也可部署一些服務(wù)器，但這時(shí)一定要加強(qiáng)對(duì)服務(wù)器的防護(hù)，服務(wù)器內(nèi)各類業(yè)務(wù)系統(tǒng)是黑客攻擊的主要對(duì)象，這些系統(tǒng)一旦被攻破將會(huì)給用戶單位帶來嚴(yán)重?fù)p失。這里使用WAF設(shè)備來進(jìn)一步保障終端準(zhǔn)入控制系統(tǒng)等服務(wù)器的安全，WAF設(shè)備能夠檢測、阻斷對(duì)Web服務(wù)產(chǎn)生威脅的可疑行為，如篡改網(wǎng)頁、SQL注入、XSS攻擊等。

4.8 全面監(jiān)測和審計(jì)技術(shù)

全面監(jiān)測和審計(jì)技術(shù)能夠?qū)崿F(xiàn)全網(wǎng)的實(shí)時(shí)監(jiān)控，彌補(bǔ)安全防護(hù)系統(tǒng)的不足。雖然網(wǎng)絡(luò)安全防護(hù)系統(tǒng)能夠阻擋大部分攻擊，但針對(duì)內(nèi)部有意或無意的攻擊行為，以及較高級(jí)的透過防護(hù)系統(tǒng)進(jìn)入網(wǎng)絡(luò)內(nèi)造成嚴(yán)重威脅的黑客攻擊，防護(hù)系統(tǒng)不能對(duì)其有效阻止，也不能實(shí)現(xiàn)監(jiān)視和記錄。這時(shí)在網(wǎng)內(nèi)部署入侵檢測等監(jiān)控和審計(jì)設(shè)備，能夠力爭攻擊行為在產(chǎn)生破壞前被發(fā)現(xiàn)并進(jìn)行有效處理，即使發(fā)生網(wǎng)絡(luò)安全事件，也能夠通過實(shí)行監(jiān)測保障對(duì)事件追蹤溯源。

（1）入侵檢測技術(shù)

入侵檢測系統(tǒng)將流經(jīng)核心交換機(jī)各個(gè)重要通信端口的進(jìn)出數(shù)據(jù)流量鏡像至監(jiān)聽端口[6]，通過入侵檢測系統(tǒng)監(jiān)聽、收集和分析獲得的網(wǎng)絡(luò)流量信息，檢查網(wǎng)絡(luò)中是否存在違反安全策略的行為和被攻擊的跡象，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊行為的全方位檢測和立體呈現(xiàn)。入侵檢測是實(shí)時(shí)發(fā)現(xiàn)入侵的專家，由于其部署于旁路位置，對(duì)于來自內(nèi)部和外部的攻擊行為都能夠起到有效的發(fā)現(xiàn)作用。入侵檢測系統(tǒng)在精確檢測行為的基礎(chǔ)上強(qiáng)調(diào)對(duì)威脅的可管理性，尤其是對(duì)產(chǎn)生的大量事件進(jìn)行了智能過濾，僅向網(wǎng)絡(luò)管理人員展示真正需要關(guān)注的威脅，在減輕網(wǎng)絡(luò)管理人員工作量的同時(shí)，保障威脅處理的及時(shí)性。同時(shí)，入侵檢測設(shè)備能夠與防火墻聯(lián)動(dòng)，一旦發(fā)現(xiàn)攻擊可通過與防火墻聯(lián)動(dòng)或發(fā)阻斷包等方式進(jìn)行網(wǎng)絡(luò)訪問限制。

（2）審計(jì)技術(shù)

無線局域網(wǎng)通過共享使用有線網(wǎng)絡(luò)內(nèi)安裝的審計(jì)系統(tǒng)，建立安全審計(jì)機(jī)制，可以完整記錄網(wǎng)絡(luò)操作過程，一旦發(fā)生網(wǎng)絡(luò)安全事件，能夠根據(jù)審計(jì)信息提供技術(shù)證據(jù)。全面的審計(jì)體系包括網(wǎng)絡(luò)審計(jì)、日志審計(jì)、數(shù)據(jù)庫審計(jì)。網(wǎng)絡(luò)審計(jì)設(shè)備針對(duì)網(wǎng)絡(luò)操作行為進(jìn)行細(xì)粒度的合規(guī)性審計(jì)，通過對(duì)人員訪問系統(tǒng)的行為進(jìn)行解析、分析、記錄和匯報(bào)，幫助網(wǎng)絡(luò)管理人員事前規(guī)劃預(yù)防、事中監(jiān)視、事后合規(guī)報(bào)告，并對(duì)行為進(jìn)行追蹤溯源。日志審計(jì)系統(tǒng)收集并分析全網(wǎng)網(wǎng)絡(luò)設(shè)備、安全設(shè)備和主機(jī)設(shè)備的日志等數(shù)據(jù)，從而發(fā)現(xiàn)違反安全策略的行為。數(shù)據(jù)庫審計(jì)設(shè)備通過對(duì)網(wǎng)絡(luò)數(shù)據(jù)的采集、分析和識(shí)別，實(shí)時(shí)監(jiān)控對(duì)數(shù)據(jù)庫的所有訪問操作，實(shí)現(xiàn)數(shù)據(jù)庫操作的內(nèi)容監(jiān)測識(shí)別，發(fā)現(xiàn)違規(guī)操作行為時(shí)，能夠及時(shí)報(bào)警響應(yīng)、全過程操作還原，從而實(shí)現(xiàn)安全事件的準(zhǔn)確全程跟蹤定位，保障數(shù)據(jù)庫系統(tǒng)安全。

5 人員培訓(xùn)

“網(wǎng)絡(luò)安全為人民，網(wǎng)絡(luò)安全靠人民”，網(wǎng)絡(luò)安全已不僅僅是單純靠技術(shù)防護(hù)，還需要使用人員的大力支持與配合。因手機(jī)等無線接入終端的移動(dòng)性，網(wǎng)絡(luò)管理人員無法限制離開辦公區(qū)域后用戶接入家庭網(wǎng)絡(luò)，甚至接入無任何防護(hù)的免費(fèi)WIFI。因此必須經(jīng)常對(duì)員工進(jìn)行網(wǎng)絡(luò)安全培訓(xùn)，要求員工避免在公共場所接入免費(fèi)WIFI，防止終端從其他網(wǎng)絡(luò)感染病毒、木馬。員工不得隨意下載安裝包，點(diǎn)擊無關(guān)網(wǎng)站或郵箱中的不明鏈接。單位也可組織人員參加網(wǎng)絡(luò)安全宣傳周等活動(dòng)，通過觀摩宣傳周生動(dòng)、形象的案例，增強(qiáng)用戶的網(wǎng)絡(luò)安全防護(hù)意識(shí)。用戶還要為自己的手機(jī)安裝殺毒軟件進(jìn)行病毒查殺，發(fā)現(xiàn)異常情況要及時(shí)斷開網(wǎng)絡(luò)連接，并向網(wǎng)絡(luò)管理人員報(bào)告。同時(shí)，要經(jīng)常提醒和灌輸“上網(wǎng)不涉密、涉密不上網(wǎng)”的用網(wǎng)底線，防止員工利用微信、QQ、郵箱、移動(dòng)辦公系統(tǒng)等發(fā)送、傳輸涉密文件。

6 結(jié)束語

無線局域網(wǎng)安全不能被忽視，它關(guān)系著單位每個(gè)用戶手機(jī)終端的安全使用，出現(xiàn)網(wǎng)絡(luò)安全問題可能會(huì)波及到有線網(wǎng)絡(luò)。本文在研究無線局域網(wǎng)特點(diǎn)的基礎(chǔ)上，為保障網(wǎng)絡(luò)安全，通過防火墻隔離技術(shù)，實(shí)現(xiàn)了無線局域網(wǎng)與有線辦公網(wǎng)絡(luò)的有效分離，通過在互聯(lián)網(wǎng)出口構(gòu)建網(wǎng)絡(luò)安全防護(hù)體系，并部署終端準(zhǔn)入控制系統(tǒng)，大大提高了無線網(wǎng)絡(luò)的安全程度。同時(shí)，復(fù)用有線網(wǎng)絡(luò)安全管理中心的監(jiān)測和審計(jì)設(shè)備，在保障網(wǎng)絡(luò)有效隔離的同時(shí)，實(shí)現(xiàn)了無線流量的安全監(jiān)測，節(jié)約了經(jīng)濟(jì)成本。本文對(duì)于機(jī)關(guān)事業(yè)單位、高校、企業(yè)等機(jī)構(gòu)的無線網(wǎng)絡(luò)安全部署提供了一定的參考價(jià)值。