办公Wi-Fi领域无线安全靠什么来防护？

　　无线其实是把双刃剑。无线办公给企业带来无限便利的同时，也因为无线的空间蔓延特性，打破了原来有线的物理边界，从而带来信息安全问题。由于“信息安全”的领域非常广泛，涉及到的安全产品品类也非常丰富，文中的方案介绍主要聚焦在“无线安全”的剖析和解决。

　　企业无线办公，想用却不敢用

　　打破了网络边界

　　无线带来的安全问题，首先是打破了企业的网络边界，没有无线之前，如果要想接入企业内网，需要越过门卫、进入企业的大门。而现在，我们可以经常在墙外扫到各家企业的内网无线信号。这给了入侵者可乘之机。

　　打破了终端边界

　　BYOD使自有终端变成了办公终端，除了笔记本，手机也成为办公终端，通讯录、移动OA、会议APP等已经成为企业办公人员手机的标配。终端自由移动和接入不同的网络会带来系统被入侵的威胁，最终导致企业内网被入侵。

　　流氓Wi-Fi给企业带来致命威胁

　　企业的有线网络往往没有准入，可以直接接入。而员工从有线网络中私接Wi-Fi出来，会导致其他人也可以无准入地进入企业内网。

　　Wi-Fi攻击成本越来越低

　　钓鱼Wi-Fi大家都不陌生，其攻击门槛非常低，可以说只要他有心钓你，有机会钓你，就能钓到。试想如果调到的是一个重要人士(比如服务器管理员)的账户信息，那将是一件多么恐怖的事情。

　　无线安全，怎么考虑?

　　关于无线安全问题的本质——“无线打破网络边界”，有用户曾提出，你能让Wi-Fi成“断崖式”覆盖么?让它在哪里没信号，就在哪里没信号。很遗憾地告诉大家，目前世界上还不存在这种技术。那么，我们如何看待和处理无线安全问题呢?安全界有几个朴素的真理：

　　没有绝对的安全。

　　安全的目标在于防御，也就是防患于未然。

　　防御的目标在于让攻击成本大于攻击收益，没啥值得别人惦记的，就别买安全产品了。

　　一个初级目标，让你的攻击成本大于隔壁老王的就好了。

　　从防御的角度，我们怎么考虑无线安全呢?

　　一个终端在接入Wi-Fi、并使用Wi-Fi网络的时候，需要回答以下几个问题

　　你是谁?身份问题

　　你安全么?终端和射频安全问题

　　你想干嘛?资源授权问题

　　你在干嘛?行为审计问题

　　其中，1-3点都和无线关系密切，分别为无线网络的准入策略、防入侵策略和隔离策略。

　　锐捷观点：保障无线办公网的安全，需要从三个维度考虑。

　　严苛的准入和认证;

　　不同安全等级的区域隔离;

　　主动式防御，预先知悉网络中攻击及风险，做出及时响应;

　　无线NEW办公，让企业无线更安全

　　通过锐捷AP场景化、等级化的准入认证方案，AP虚拟化隔离技术，以及主动出击的安全雷达，实现强防御、高隔离的安全办公。

　　场景化、等级化的准入认证

　　针对业务网、访客网、办公网等不同场景的终端，采取不同严苛级别的安全准入策略，并给不同角色的终端分配不同权限的资源。

　　准入安全等

　　典型场景准入推荐

　　深度的安全域隔离

　　通过AP虚拟化技术，采用多隧道、多控制器的安全隔离，将不同安全等级的网络进行隔离，不允许互相访问，保核心业务安全。每张网有独立的控制器，不仅安全并且可靠。

　　主动出击的“安全雷达”

　　724小时360°无损全方位主动扫描，智能分析无线网络中存在的威胁及风险，准确定位信号来源以及受害终端，并构建一套扫描->识别->告警->防御的联动机制，使办公网络安全可视可知可防御，使可疑威胁无处匿藏。

　　“安全雷达”通过锐捷的本地化WIS--“Wi-Fi魔镜”软件实现

　　锐捷无线NEW办公之“安全办公”，不仅仅交付产品，更能够给决策者赋予持续抵抗无线威胁的能力、看懂无线安全现状的能力、自主无线安全运维的能力。

　　Tips：锐捷无线安全办公方案，就是绝对安全了么?回答是No，没有绝对的安全。安全办公方案只是在有限的成本范围内，大幅地增加了攻击成本。本案中无线安全雷达可免费使用;如需无线业务隔离，建议多采购一台控制器。

　　“无线安全办公”方案清单