金融服务提供商受到为数众多的客户资料安全保障规则的制约。像GLBA法案(Gramm-Leach-Bliley Act),涉及面广而且比较抽象,但它要求对所有类型的网络必须进行风险鉴定和评估,实现安全措施并对其进行监控,这其中就包括无线网。其他一些规定如著名的支付卡行业数据安全标准(PCI DSS),明确包含了在WLAN范围内必须执行的标准,例如检测异常操作,对无线传输的数据进行安全加密。 虽然每种规则的具体情况不同,但金融服务机构通过采取以下的无线网安全最佳做法可以建立一个被全行业遵守的规则基础,继无线网络安全的最佳做法(上)之后,本文介绍了后五种最佳做法: 6.限制访问 无线……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
金融服务提供商受到为数众多的客户资料安全保障规则的制约。像GLBA法案(Gramm-Leach-Bliley Act),涉及面广而且比较抽象,但它要求对所有类型的网络必须进行风险鉴定和评估,实现安全措施并对其进行监控,这其中就包括无线网。其他一些规定如著名的支付卡行业数据安全标准(PCI DSS),明确包含了在WLAN范围内必须执行的标准,例如检测异常操作,对无线传输的数据进行安全加密。
虽然每种规则的具体情况不同,但金融服务机构通过采取以下的无线网安全最佳做法可以建立一个被全行业遵守的规则基础,继无线网络安全的最佳做法(上)之后,本文介绍了后五种最佳做法:
6.限制访问
无线网打开了一个外人可以入侵的窗口,要想避免出现这种情况除非你能对其进行控制。选择并实施一个强有力的WLAN身份验证措施,最好选择有相互身份验证的WPA2企业标准 (802.1X)。如果你所在的组织缺乏这方面的技能、基础设施或对802.1X的客户端支持,你还可以使用WPA2个人标准(PSK),但请至少使用含有13个字符长度并定期更改的随机密码。永远不要依靠MAC地址过滤器作为你唯一的访问控制措施。如果你的WLAN提供guest级的互联网访问权限,请限制它所能访问的内容,并对那部分网络通信做日志,从而减少对公司业务造成的风险。
7.无线监测
虽然许多规则强烈建议采用全天候分布式无线入侵检测或防御系统(WIDS/WIPS),但也允许在那些处理受控数据的站点上进行周期性的扫描。前者效率更高,效果也更加明显,特别适用于大规模的无线局域网。无论选择哪种方式,你都需要知道你监测的对象不仅仅是无线接入点欺诈,还包括未经授权的客户、配置错误的设备、意义不明确的安全策略、安全侦查、攻击通信流量,以及彼此相连或连到外部WLAN的异常客户端。
8.做好准备
监测只是某种手段,你需要安装一个WLAN事件响应程序。例如,你如何暂时屏蔽掉异常的AP?您如何找它,并从物理上移除它?你需要审查所有的扫描结果、无线入侵检测或入侵防御系统的警报和流量日志,从而及时评估潜在的威胁。实际上,利用自动化的工具(如无线入侵检测或入侵防御系统)对网络连接进行跟踪和隔离,可以实时地制止入侵。请确保监测工具能够收集充足数据,使得事件响应和取证调查更加精确。
9.保护终端
一台被盗的销售点终端或一台被黑了的笔记本电脑可以轻易获得授权并使用加密的连接,由此侵入具有严密保护措施的无线网络。这时,你可以采用远程访问安全的最佳做法,使得无线终端相互隔绝,阻止丢失和被盗的移动设备对无线网络进行未授权的访问。如果您的组织实施了网络访问控制(NAC),那么你可以对无线连接设备的完整性进行检查,并使用主机入侵检测或防御手段阻止终端的异常行为(如,同时对有线网络和无线网络进行连接)。
10.评估和改进
永远不要认为安全措施会像预期那样,你的安全审计人员就不会这么认为。你需要对无线连接的网络和设备进行渗透测试,它会有意触发WIDS/WIPS警报,捕获通无线信流量并对其进行分析。你可以尝试着从不同的位置去连接未经授权的设备和用户,记录下会发生的情况,然后通过对已发现的漏洞打上补丁来提高安全标准。你需要定时或不定时进行安全评估,以找到并修复新发现的漏洞,比如你可以通过对接入点、控制器或客户端打上安全补丁,阻止新型的黑客攻击。
综上所述,如果金融企业肯花时间评估无线安全威胁、管理访问权限、保障传输安全、对无线数据进行强有力的安全加密以及采取其他一些重要措施,其自身的安全性甚至可以超过审计人员的预期。
作者
Lisa Phifer owns Core Competence Inc., a consultancy specializing in safe business use of emerging Internet technologies.
翻译
相关推荐
-
市场变局中 国产安全厂商的进击之路
未来EPP类厂商,将不仅仅局限于解决终端的各类管理问题,极有可能会将企业的网络边界管理等功能纳入,为企业用户提供更好的综合性解决方案。
-
采购指南:网络访问控制产品一览
当企业选购最佳网络访问控制产品时,需要考虑多个因素。同时,并不是所有产品都适合所有类型的企业,有些供应商针对资金雄厚的较大型企业,而其他供应商则倾向较小型企业,这些企业不需要支持大量不同类型的新设备……
-
关于Wi-Fi安全的探讨
十多年以来,Wi-Fi一直应用在企业网络环境中。企业无线安全问题不断涌现,在本文中,专家Kevin Beaver探讨了关于Wi-Fi安全的问题。
-
案例:4种BYOD安全方法(二)
MDM是针对BYOD安全的解决方案,它可以追踪网络中的移动设备,并能根据企业的政策来限制哪些用户可以访问特定应用或者网络区域。但单靠MDM并不够……