企業(yè)無(wú)線網(wǎng)絡(luò)應(yīng)用的探討

王華明

摘 要：當(dāng)前，企業(yè)的無(wú)線網(wǎng)應(yīng)用情況發(fā)生了很大的變化，它不再是一種可有可無(wú)的選擇，也不再是有線網(wǎng)絡(luò)的輔助，而越來(lái)越成為企業(yè)員工的首選網(wǎng)絡(luò)接入方式，并由此提高辦公和生產(chǎn)的效率、提高客戶和合作伙伴的滿意度。但是，無(wú)線網(wǎng)絡(luò)因其網(wǎng)絡(luò)傳輸?shù)奶厥庑浴⒁蚱鋺?yīng)用的復(fù)雜性等，讓企業(yè)在不斷探究無(wú)線網(wǎng)絡(luò)部署的必要性、不斷探究部署后的運(yùn)行管理及信息安全防范等問(wèn)題。

關(guān)鍵詞：無(wú)線網(wǎng)絡(luò)；應(yīng)用；運(yùn)行管理；信息安全

1 無(wú)線網(wǎng)絡(luò)應(yīng)用的問(wèn)題分析

1.1 無(wú)線網(wǎng)絡(luò)的接入問(wèn)題

作為企業(yè)的辦公網(wǎng)絡(luò)，有線方式為必選，在建設(shè)無(wú)線網(wǎng)絡(luò)時(shí)需要有整體的規(guī)劃方案，以統(tǒng)籌實(shí)現(xiàn)無(wú)線和有線網(wǎng)絡(luò)對(duì)企業(yè)互聯(lián)網(wǎng)出口、局域網(wǎng)資源的應(yīng)用，實(shí)現(xiàn)無(wú)線與有線共同的信息安全防護(hù)等。但較為復(fù)雜的企業(yè)辦公區(qū)布局和網(wǎng)絡(luò)結(jié)構(gòu)，無(wú)線網(wǎng)絡(luò)的接入還需要考慮無(wú)線AP的布局、無(wú)線網(wǎng)絡(luò)的局端設(shè)備與局域網(wǎng)核心設(shè)備的路由及策略等等方面的問(wèn)題，比如只能無(wú)線用戶訪問(wèn)互聯(lián)網(wǎng)、可訪問(wèn)互聯(lián)網(wǎng)和部分內(nèi)部信息系統(tǒng)、僅部分內(nèi)部信息系統(tǒng)、僅局域網(wǎng)全部信息系統(tǒng)等。

1.2 無(wú)線網(wǎng)絡(luò)的運(yùn)行管理問(wèn)題

運(yùn)行管理是相對(duì)長(zhǎng)期的過(guò)程，企業(yè)的內(nèi)部員工、訪客等需要通過(guò)智能手機(jī)、平板電腦、筆記本電腦等接入網(wǎng)絡(luò)來(lái)訪問(wèn)互聯(lián)網(wǎng)、企業(yè)資源等，通常做法為依賴于一組內(nèi)部用戶（如前臺(tái)和IT人員）來(lái)創(chuàng)建、維護(hù)訪客無(wú)線網(wǎng)絡(luò)的接入帳戶，這樣使得資源消耗的同時(shí)還可能達(dá)不到企業(yè)要求的靈活性。

另外，有的無(wú)線網(wǎng)絡(luò)相關(guān)策略或權(quán)限分配不夠嚴(yán)謹(jǐn)或細(xì)致，必然導(dǎo)致訪客接入網(wǎng)絡(luò)后，企業(yè)所有的信息資源都可理論上進(jìn)行訪問(wèn)，這樣的情況下，在企業(yè)商業(yè)秘密防護(hù)或信息安全防護(hù)等存在隱患的同時(shí)，在無(wú)線網(wǎng)絡(luò)的管理方面還需提供無(wú)線網(wǎng)絡(luò)訪問(wèn)的審計(jì)機(jī)制，需要明晰無(wú)線用戶是否進(jìn)行了訪問(wèn)、用什么設(shè)備進(jìn)行了訪問(wèn)、在哪里進(jìn)行了訪問(wèn)、訪問(wèn)了哪些內(nèi)容等。

1.3 無(wú)線網(wǎng)絡(luò)應(yīng)用的信息安全問(wèn)題

當(dāng)前，信息安全上升到國(guó)家安全的高度，企業(yè)的信息安全、商密防護(hù)也與企業(yè)的發(fā)展息息相關(guān)。因無(wú)線網(wǎng)絡(luò)的傳輸特殊性較有線方式更為特殊、更易被入侵或感染等，還有接入網(wǎng)絡(luò)后訪問(wèn)資源的各種情景等，必然使得企業(yè)對(duì)無(wú)線網(wǎng)絡(luò)應(yīng)用后的信息安全問(wèn)題尤為思考和探索，并著力需要考慮企業(yè)信息資源的泄密及其防護(hù)問(wèn)題。

2 無(wú)線網(wǎng)絡(luò)建設(shè)與應(yīng)用的建議

2.1 合理規(guī)劃網(wǎng)絡(luò)構(gòu)架

部署無(wú)線的企業(yè)網(wǎng)絡(luò)中，網(wǎng)段的劃分宜盡可能的細(xì)化，包含有線、無(wú)線的用戶上網(wǎng)部分，IP地址規(guī)劃也宜整體固定IP，并且，除動(dòng)態(tài)分配IP地址的無(wú)線網(wǎng)絡(luò)外，還應(yīng)該使用相應(yīng)的手段杜絕私接路由器等，這樣可避免私接路由器時(shí)提供無(wú)線網(wǎng)絡(luò)的出口且不容易后續(xù)出現(xiàn)問(wèn)題時(shí)的追查，以為整個(gè)網(wǎng)絡(luò)上網(wǎng)行為審計(jì)打下良好記錄。此外，無(wú)線網(wǎng)絡(luò)的AP選型方面，應(yīng)充分考慮傳輸?shù)募用苄?、抗干擾、跨AP的接入連續(xù)性、設(shè)備可承載的用戶數(shù)量等。

在無(wú)線網(wǎng)絡(luò)與有線網(wǎng)絡(luò)匯聚的企業(yè)網(wǎng)絡(luò)核心路由上，應(yīng)根據(jù)企業(yè)對(duì)無(wú)線網(wǎng)絡(luò)可訪問(wèn)信息資源（互聯(lián)網(wǎng)或內(nèi)部資源）的定義進(jìn)行策略制定，以實(shí)現(xiàn)指定用戶只能訪問(wèn)互聯(lián)網(wǎng)、指定用戶可訪問(wèn)互聯(lián)網(wǎng)和部分內(nèi)部信息系統(tǒng)、指定用戶僅部分內(nèi)部信息系統(tǒng)、指定用戶僅局域網(wǎng)內(nèi)部系統(tǒng)等。

2.2 科學(xué)建設(shè)運(yùn)維機(jī)制

無(wú)線網(wǎng)絡(luò)的運(yùn)維機(jī)制建立在科學(xué)的網(wǎng)絡(luò)構(gòu)架之后，與網(wǎng)絡(luò)的整體規(guī)劃密切相關(guān)。運(yùn)維管理機(jī)制著重在用戶可訪問(wèn)資源的目的地和日常的接入管理方面?？稍L問(wèn)資源的目的地由網(wǎng)絡(luò)規(guī)劃路由決定，這里就日常的接入管理略作探討。

一方面，企業(yè)應(yīng)建立涵蓋本地及外地所有所屬員工的統(tǒng)一身份的認(rèn)證管理機(jī)制，并將無(wú)線網(wǎng)絡(luò)的接入也一并納入，這樣可為企業(yè)的內(nèi)部員工解決接入時(shí)的免維護(hù)目的，可提高各辦公人員無(wú)線網(wǎng)絡(luò)接入的方便性，此外，還能使得外地所屬員工接入體驗(yàn)時(shí)的“歸屬感”。

另方面，可以通過(guò)有關(guān)技術(shù)手段和管理機(jī)制，將訪客的接入授權(quán)下放到接洽人，由接洽人來(lái)授予訪客網(wǎng)絡(luò)訪問(wèn)的賬號(hào)信息等，接洽人通過(guò)友好的管理界面，對(duì)訪客的基本信息做必要的錄入后可為訪客分發(fā)賬號(hào)，接洽人需對(duì)訪客的操作監(jiān)督，這樣可大大地降低運(yùn)維人員的工作量。

最后，需要建立無(wú)線網(wǎng)絡(luò)的接入時(shí)間、接入地址、使用人、授權(quán)人、接入點(diǎn)軌跡，訪問(wèn)目的地、訪問(wèn)操作等方面的上網(wǎng)審計(jì)機(jī)制，便于后期的統(tǒng)計(jì)、分析及追溯。

2.3 積極構(gòu)建安全防護(hù)

無(wú)線網(wǎng)絡(luò)的安全防護(hù)方面，應(yīng)有頂層設(shè)計(jì)，應(yīng)根據(jù)無(wú)線網(wǎng)絡(luò)的應(yīng)用資源（如僅互聯(lián)網(wǎng)、互聯(lián)網(wǎng)和內(nèi)部資源都包括、僅內(nèi)部資源等等）制定不同的安全防護(hù)策略，應(yīng)將無(wú)線網(wǎng)絡(luò)與有線網(wǎng)絡(luò)的安全防護(hù)統(tǒng)籌考慮和規(guī)劃建設(shè)。

首先應(yīng)加強(qiáng)無(wú)線網(wǎng)絡(luò)接入層面的安全防護(hù)機(jī)制，避免無(wú)線網(wǎng)絡(luò)接入層方面的管理框架洪水、未認(rèn)證入侵、偽冒AP洪水、零探測(cè)響應(yīng)等信息安全問(wèn)題。然后就是無(wú)線網(wǎng)絡(luò)的訪問(wèn)授權(quán)上，應(yīng)建立靈活、不同的訪問(wèn)權(quán)限。靈活的權(quán)限便于建立用戶或用戶組與訪問(wèn)資源的關(guān)聯(lián)，即角色劃分。不同的訪問(wèn)權(quán)限可在網(wǎng)絡(luò)VLAN細(xì)化的基礎(chǔ)上結(jié)合源地址指定目的路由、核心系統(tǒng)不允許無(wú)線訪問(wèn)而僅有線網(wǎng)絡(luò)訪問(wèn)的技術(shù)防護(hù)等手段來(lái)實(shí)現(xiàn)?？傊?，需要根據(jù)網(wǎng)絡(luò)的類(lèi)型、用戶的類(lèi)別按照最小授權(quán)的原則，最大可能的不允許訪客訪問(wèn)內(nèi)部信息資源。

3 無(wú)線網(wǎng)絡(luò)應(yīng)用的總結(jié)

無(wú)線網(wǎng)絡(luò)是有線網(wǎng)絡(luò)的強(qiáng)力替補(bǔ)，無(wú)線網(wǎng)絡(luò)的建設(shè)須有頂層設(shè)計(jì)。無(wú)線網(wǎng)絡(luò)的部署及相關(guān)保障措施由無(wú)線網(wǎng)絡(luò)的訪問(wèn)資源決定，無(wú)線網(wǎng)絡(luò)應(yīng)保證接入方便、應(yīng)用方便和管理方便，此外，還需根據(jù)無(wú)線網(wǎng)絡(luò)的訪問(wèn)資源的應(yīng)用情況配備相應(yīng)的的網(wǎng)絡(luò)安全防范及訪問(wèn)審計(jì)機(jī)制。