某银行无线安全防御系统

北京锐云通信息技术有限公司

2018-08-03 12:03:03
信软用户
文章摘要: 由于银行的内网WLAN,是处理银行内部业务、研发、移动办公等应用数据,对风险非常敏感;而互联网WLAN为员工和客户提供互联网接入,风险度比前者低;因此,两个无线场景需要防范的安全风险各不相同,需要根据实际场景、为二者提供可划分安全域/组、配置准确防御策略、实现精准防护的能力。

1、需求分析

某银行在业务、研发、办公、培训、营业网点等场景,广泛部署和使用着WLAN系统,有效提升了各类应用数据的处理效率。但随着移动数据流量的进一步提升,WLAN安全风险正逐步显现。

通过管理员监控发现:办公环境中存在员工私自搭建无线热点连接有线网络,破坏了有线边界安全,并且很难查找;其次,非法嗅探、未授权连接、中间人攻击、无线拒绝服务、无线钓鱼等各种安全事件开始不同程度发生;另外,邻近企事业单位或个人的无线热点信号辐射到银行办公环境,造成一定程度的信号干扰;

因此,部署无线安全防护体系,对该银行WLAN系统运行、安全风险的实时监控、检测、智能防御的要求已迫在眉睫。

2、风险分析

针对上述需求,以及银行WLAN系统的配置、管理,我们发现,该银行WLAN具有下述具体风险存在:

a、连接风险:账户泄漏、使用OPEN、WPA2-个人链路层加密认证、未开启AP的二层隔离、同一无线终端对内网与互联网WLAN的交叉访问,都具有异常大的安全风险存在。

b、共享风险:在内网WLAN私自搭建有线?无线分享、无线终端安装wifi密码分享app工具;一旦分享热点被攻击者连接,则内网数据泄漏风险将城北增长;

c、打印风险:内网WLAN打印设备,开启无线打印功能,传输、打印涉密资料;一旦被攻击者无线嗅探窃取打印数据,将造成涉密资料泄漏的巨大风险;

d、账户风险:OPEN,WEP、WPA/WPA2-个人加密认证,无法有效记录、管理、审计无线用户的接入(包括账户名、认证方式、上下线时间、设备IP、设备MAC、终端系统指纹等)是否正常,也导致安全事件无法追溯。

e、运维风险:WLAN会遭受邻近无线热点同信道干扰,甚至故意干扰攻击,如果不能及时扫描、检测,优化无线配置,定位、清理干扰源,将使无线连接掉线,甚至中断,对WLAN长期稳定运行造成巨大风险。

3、解决方案

由于银行的内网WLAN,是处理银行内部业务、研发、移动办公等应用数据,对风险非常敏感;而互联网WLAN为员工和客户提供互联网接入,风险度比前者低;因此,两个无线场景需要防范的安全风险各不相同,需要根据实际场景、为二者提供可划分安全域/组、配置准确防御策略、实现精准防护的能力。

同时,需要依据银行相关规定、并遵循等级保护法规条例,设计和部署一套可靠、稳定、持续、有效的整体无线安全防护体系,如下图所示:

121404353.png

图2-1 无线安全防护体系

a、系统核心功能:

安全接入:启用WLAN系统的WPA2-企业加密认证方案,并开启AP的无线用户二层隔离,避免敏感数据遭嗅探和扫描;

身份认证:建立无线用户“一人一身份”,并通过身份认证系统对用户接入进行记录,包括不限于:账号、IP、MAC、时间、认证方式(账户、手机号、微信号、AD域)等;

环境监控:部署分布式无线探针,实时监控无线环境中无线热点和无线设备,展示二者关联关系;监测无线信道资源的使用和干扰,帮助管理者诊断无线网络的运行是否稳定;

合规扫描:使用无线合规扫描器随时、随机、或按计划展开WLAN环境的移动检测工作,同时对攻击源精确定位、拍照取证;并输出安全检测报告,帮助管理者有效的管理、优化、清理WLAN环境,符合相关的法律、法规、规章的相关要求;

入侵防御:7*24小时持续检测各种攻击行为;一旦发现风险,防御策略自动实时启动,由距离攻击源最近的无线探针发起反制,智能化的防御策略仅阻断攻击者,但不影响其他任何合法无线连接;

安全态势:图形化交互管理界面,全面展示WLAN运行、安全状态;有效统计、分析,揭示WLAN安全态势,并使用地图告警帮助管理者快速定位攻击源,通过邮件、短信、企业微信及时发送告警信息;

b、其他核心功能包括:

地图告警:系统支持通过可视化的安全事件地图展示,为管理者呈现更直观的攻击/防御事件发生的物理位置;

安全域/组:系统通过将资产、探针、安全策略进行安全域的划分,为用户提供更精细化的精确无线攻击防御能力;

实时告警:系统支持通过屏幕、地图、邮件、短信、微信等多种方式向管理者推送告警信息,帮助管理者掌握最新的无线安全风险;

c、组网方案:

分别在该银行总部及分支机构等数十个位置,部署安全探针:

121428513.png

图、组网拓扑

方案优势:持续的无线环境安全检测和攻击防御,结合无线扫描器对非法无线设备精确定位,有效清理、拍照取证,并提供完整的WLAN安全检测报告,真正满足了用户对WLAN安全、稳定运行的诉求。

用户评价:全面的保障了银行WLAN网络安全,能够有效检测和发现、智能防御未授权连接、代理/私接AP、中间人和钓鱼攻击,并通过丰富实时的告警能力,有效提示了安全管理员的工作效率。

信息化软件服务网 - 助力数字中国建设 | 责编:赵涛