電力企業(yè)無線局域網(wǎng)安全管理

車勇波

(云南電網(wǎng)有限責(zé)任公司普洱供電局，云南 普洱 665000)

0 前言

無線局域網(wǎng)是無線連網(wǎng)技術(shù)中使用最廣的一種方式，具有較高的兼容性和可靠性。其接入點(diǎn)通過無線網(wǎng)絡(luò)控制器(Access Point)，簡稱AP 進(jìn)行控制。由于無線局域網(wǎng)架設(shè)的靈活性、移動(dòng)性、簡單性、易擴(kuò)展和經(jīng)濟(jì)性(低成本)，很容易架設(shè)WIFI 網(wǎng)絡(luò)，對外提供網(wǎng)絡(luò)服務(wù)，無線網(wǎng)絡(luò)攻擊工具眾多，且技術(shù)強(qiáng)大，如尋找無線網(wǎng)絡(luò)工具，破解工具等，這對無線網(wǎng)絡(luò)的安全管理帶來了挑戰(zhàn)。針對無線局域網(wǎng)在電力企業(yè)的基本組網(wǎng)結(jié)構(gòu)和應(yīng)用，從技術(shù)創(chuàng)新和管理變革兩個(gè)方面分析和加強(qiáng)電力企業(yè)無線局域網(wǎng)的安全管理。

1 技術(shù)創(chuàng)新

1.1 無線網(wǎng)架設(shè)設(shè)計(jì)

無線網(wǎng)信號(hào)在空中開放傳遞，在信號(hào)覆蓋范圍內(nèi)均可搜索到無線網(wǎng)絡(luò)信號(hào)，在無線網(wǎng)架設(shè)初期需要進(jìn)行設(shè)計(jì)、合理規(guī)劃，正確放置天線，限制信號(hào)覆蓋區(qū)域，減少信號(hào)泄露。采用信號(hào)覆蓋分析工具。分析無線網(wǎng)信號(hào)覆蓋的區(qū)域，確保信號(hào)區(qū)域可控，同時(shí)增加信號(hào)覆蓋區(qū)域的監(jiān)測，確保不明無線網(wǎng)絡(luò)設(shè)備的接入延伸無線網(wǎng)絡(luò)信號(hào)覆蓋區(qū)域。

在無線局域網(wǎng)和有線網(wǎng)絡(luò)之間增加部署防火墻(FIREWALL)和入侵防御系統(tǒng)(IPS)，在防火墻層制定嚴(yán)密的訪問控制列表，并且僅允許MAC 地址進(jìn)行通訊。借助入侵防御系統(tǒng)建立實(shí)時(shí)動(dòng)態(tài)的安全感知平臺(tái)，對攻擊行為進(jìn)行實(shí)時(shí)研判和預(yù)警。

1.2 優(yōu)化無線網(wǎng)絡(luò)配置

1)設(shè)置數(shù)據(jù)傳輸加密，防止信號(hào)被截取帶來的數(shù)據(jù)安全問題。

2)MAC 地址過濾，阻止未經(jīng)授權(quán)的無線客戶端接入無線網(wǎng)絡(luò);

3)禁用動(dòng)態(tài)主機(jī)配置協(xié)議(DHCP)。

4)禁止通過SNMP 收集網(wǎng)絡(luò)信息，尋找攻擊缺口。

5)改變服務(wù)集標(biāo)識(shí)符(SSID)，禁止服務(wù)集標(biāo)識(shí)符(SSID)廣播。

6)采用數(shù)據(jù)加密協(xié)議，優(yōu)化無線加密協(xié)議配置。

7)接入無線網(wǎng)絡(luò)的用戶必須通過授權(quán)，禁止非授權(quán)用戶訪問網(wǎng)絡(luò)。

1.3 有線網(wǎng)絡(luò)加固與技術(shù)改造

新增無線網(wǎng)絡(luò)建設(shè)的同時(shí)，需要重新審視和加固現(xiàn)有的有線網(wǎng)絡(luò)防護(hù)體系、安全管理體系及認(rèn)證體系，甚至需要對現(xiàn)有的網(wǎng)絡(luò)系統(tǒng)進(jìn)行適度改造，確保有線網(wǎng)絡(luò)與無線網(wǎng)絡(luò)的安全對接，規(guī)避非法無線設(shè)備私接網(wǎng)絡(luò)。

1.4 實(shí)時(shí)動(dòng)態(tài)安全感知平臺(tái)

在實(shí)時(shí)動(dòng)態(tài)安全感知平臺(tái)上引入無線全頻段掃描技術(shù)，實(shí)時(shí)監(jiān)測無線網(wǎng)絡(luò)中的AP 和無線終端，對非法AP 進(jìn)行阻擊，聯(lián)動(dòng)實(shí)時(shí)預(yù)警，打造無死角的防御網(wǎng)絡(luò)，保護(hù)企業(yè)網(wǎng)絡(luò)和數(shù)據(jù)安全。引入無線掃描器監(jiān)測無線網(wǎng)絡(luò)，對暴力密碼破解行為進(jìn)行實(shí)時(shí)監(jiān)測預(yù)警，同時(shí)加強(qiáng)對WIFI 漏洞檢查和安全加固。

2 改進(jìn)建議

1)建立企業(yè)無線網(wǎng)絡(luò)安全管理機(jī)構(gòu)及管理制度.

2)人員安全管理教育培訓(xùn)。

3)實(shí)施嚴(yán)密的無線網(wǎng)絡(luò)安全維護(hù)管理制度。

4)無線網(wǎng)安全管理制度與企業(yè)相關(guān)制度的融合

3 結(jié)束語

綜上所述，在電力企業(yè)中傳統(tǒng)的有線局域網(wǎng)已經(jīng)建立了相應(yīng)的網(wǎng)絡(luò)安全防護(hù)體系，且已在日趨提高和完善中，隨著無線局域網(wǎng)在電力企業(yè)中的廣泛應(yīng)用和推廣，建立與其相關(guān)的安全管理體系顯得尤為重要，因此對無線局域網(wǎng)的安全管理也應(yīng)該從多角度、深層次進(jìn)行平衡和綜合分析，結(jié)合現(xiàn)代信息安全管理的多重手段，逐步建立和完善、豐富無線局域網(wǎng)的安全防護(hù)機(jī)制，讓無線局域網(wǎng)在企業(yè)的信息化應(yīng)用和管理中發(fā)揮出更大的作用。

［1］劉乃安.無線局域網(wǎng):WLAN 原理、技術(shù)與應(yīng)用.西安電子科技大學(xué)出版社.2004.ISBN:9787560613628

［2］郭淵博，楊奎武，張暢.無線局域網(wǎng)安全－－設(shè)計(jì)及實(shí)現(xiàn).國防工業(yè)出版社.2010.ISBN:9787118067088