什么是企业网络安全?企业网络安全是对连接企业内部系统、大型机和设备(如智能手机和平板电脑)的网络的保护。公司、大学、政府和其他实体使用企业网络将其用户与信息和人员联系起来。随着网络规模和复杂性的增加,安全问题也随之增加。企业无线网络存在哪些安全威胁?无线网络(也称为Wi-Fi)缺乏有线网络常见的强大安全工具,例如防火墙、入侵防御系统、内容过滤器以及防病毒和反恶意软件检测程序;Wi-Fi网络还提供无线接入点,很容易被穿透。由于它们可能缺乏与有线网络相同的保护,因此无线网络和设备容易受到旨在访问公司网络的各种攻击。攻击者可以通过无线接入点访问组织的网络以执行恶意活动,包括数据包嗅探、创建流氓接入点、密码窃取和中间人攻击。这些攻击可能会阻碍网络连接、减慢进程,甚至会导致组织的系统瘫痪。您如何最大程度地降低企业Wi-Fi网络的风险?网络安全协议已经发展到可以抵御不断变化的攻击。Wi-Fi保护访问3(WPA3)包括128位高级加密标准(AES)。2018年6月,Wi-Fi联盟开始对支持取代WPA2的Wi-Fi保护访问3(WPA3)的设备进行认证。当WPA3设备可用时,用户应采用新标准。信息技术(IT)安全专业人员和网络管理员还应考虑这些额外的最佳实践,以帮助保护他们的企业Wi-Fi网络:在每个网络系统(WIPS)上部署无线入侵检测系统(WIDS)和无线入侵防御。根据开发人员服务包版本更新所有软件,确保现有设备没有已知漏洞。安全地配置设备。确保所有设备符合美国联邦信息处理标准(FIPS)140-3:密码模块安全要求中的加密要求(这一点遵循中国国家机密的相关要求)。确保符合最新的美国国家标准与技术研究院。建立多重身份验证(MFA)以访问网络。如果这难以实现,请考虑除单一共享密码之外的其他安全身份验证方法,例如ActiveDirectory服务身份验证或替代方法(例如,令牌)以在您的网络中创建MFA。使用基于可扩展身份验证协议传输层安全证书的方法(或更好)来保护整个身份验证事务和通信。使用计数器模式密码块链消息身份验证代码协议,这是无线应用协议2(WAP)企业网络很少使用的一种AES加密形式。可能的话,在开发和审批的时候,使用更复杂的符合FIPS140-3(国内,参考国家机密最新研究成果)的加密技术。实施与主网络分开的访客Wi-Fi网络。使用具有多个服务集标识符(SSID)的路由器或使用其他无线隔离功能来确保访客网络流量或通过使用其他无线隔离功能无法访问组织信息。网络有哪些额外的保护措施?采用主动WIDS/WIPS使网络管理员能够通过监视、检测和减轻潜在风险来创建和实施无线安全。WIDS和WIPS都会检测并自动断开未经授权的设备。WIDS自动监控和检测任何未经授权的恶意接入点的存在,而WIPS部署针对已识别威胁的对策。WIPS缓解的一些常见威胁包括流氓接入点、错误配置的接入点、客户端错误关联、未经授权的关联、中间人攻击、临时网络、媒体访问控制欺骗、蜜罐/邪恶双胞胎攻击和拒绝-服务攻击。以下列表包括保护WIDS/WIPS传感器网络的最佳实践。管理员应根据当地考虑因素和适用的合规性要求调整这些做法。使用恶意检测进程功能。无论违规设备使用何种身份验证或加密技术(例如,网络地址转换、加密、软WAP),此功能都应检测通过恶意客户端或WAP进行的Wi-Fi访问。设置WIDS/WIPS传感器以检测连接到有线或无线网络的802.11a/b/g/n/ac设备;通过多个无线通道检测并阻止来自单个传感器设备的多个WAP。每个子网和跨多个子网实施“无Wi-Fi”政策。在传感器和服务器之间提供最低限度的安全通信,并确定特定的最低允许Kbps-系统应根据公司政策和治理提供客户端和WAP的自动分类。提供可定制的自动(事件触发)和预定报告。根据业务需求细分报告和管理。通过生成事件日志和实时数据包捕获并将它们直接显示在分析师工作站上。导入场地图纸以满足场地规划和位置跟踪要求。在应用程序中使用自动缩放手动创建简单的建筑布局。以电子方式将传感器和WAP放置在建筑地图上,以保持传感器放置和未来位置的准确记录。至少有四种不同级别的权限允许WIPS管理员将特定视图和管理员权限委派给其他管理员。满足所有适用的标准,例如政府相关文件和采购法规。参考来源:美国CISA官网
