吴仲

（中国人民银行三亚市中心支行  572000 ）

【摘要】随着无线网络的发展，企业WIFI技术已经普及开来。本文梳理了企业WIFI存在的安全问题并提出相关建议。

【关键词】WIFI  安全

    WIFI 是 Wireless Fidelity 的缩写，实质上是一种商业认证，所有具有WIFI认证的产品都必须符合 IEEE 802.11b 无线网络规范。

一、企业为什么要使用WIFI

   (一)无线电波的覆盖范围广

WIFI的半径则可达300米，适合办公室及单位楼层内部使用。

(二)速度快，可靠性高

IEEE802.11b最高带宽为l1Mbps，在信号较弱或有干扰的情况下，带宽可调整，有效地保障了网络的稳定性和可靠性。

(三)组网方便

WIFI最主要的优势在于不需要布线，可以不受布线条件的限制，因此非常适合移动办公用户的需要。而且WIFI集成到已有的宽带网络中，也能将已有的宽带业务应用到WIFI网络中。这样，就可以利用已有的宽带有线接入资源，迅速地部署WIFI网络，形成无缝覆盖。

(四)WIFI技术健康安全

IEEE802．1lb规定的发射功率不可超过100毫瓦，实际发射功率约6O～70毫瓦，是绝对安全的。

二、WIFI存在的安全问题

（一） 钓鱼WIFI

钓鱼WiFi是由黑客提前架设的一个恶意WIFI热点。当用户的设备与其连接之后，就会被对方的嗅探工具窃取信息，如果这时你的移动设备正好连在网站上进行了数据通信，且涉及到了类似账号、用户名、密码等数据时，对方就会获得你的相应账号和密码。

首先，企业尤其是银行网点，如果客户前来办理业务却被钓鱼WIFI致使经济损失，会给企业带来很大的影响。其次，不法分子诱使企业员工登录其事先建立的无线网络，从而对企业的系统进行扫描和攻击，进而控制企业的计算机，窃取企业计算机中的机密文件，并使企业计算机遭受木马攻击的可能性大大增加。

（二） 被窃听

嗅探攻击的技术已经活跃了十几年的时间，傻瓜化的嗅探软件甚至早已出现在手机应用平台中。窃听者并不需要精通多么高深的黑客技术，他可能就是躲在附近上网的一个普通人，正在借助自动化的的手机黑客软件进行一次悄无声息的窥探。不法分子可以利用监听和分析企业员工通信信息的数据流及其模式，从而窃听企业员工的通信信息，利用监视软件捕获企业用户输入的信息，将其在捕获软件中显示，这样就可以获取企业的私密信息，谋取不当得利。

（三） 未经授权用户盗用

首先，在无线环境中，非法用户通过侦听等手段获得网络中合法站点的 MAC 地址比有线环境中要容易得多，这些合法的MAC地址可以被用来伪装成合法用户从而盗用WIFI网络。其次，非法用户使用工具等通过破解密码，强行使用企业办公WIFI网络。

非法用户不经授权而擅自使用网络资源，不仅占用宝贵的无线信道资源，增加带宽费用，影响企业员工正常工作，造成企业不必要的经济损失，而且会使企业网络受到攻击与入侵的可能性大大提高，从而给企业的网络安全带来不利影响，而且未经授权的用户没有遵守相应的条款，甚至可能导致法律纠纷。

（四） 被入侵

通过入侵企业WIFI网络，不法分子可以未经授权非法获取企业网络的管理权限。当其入侵企业的WIFI网络后，就可以访问企业WIFI网络的管理界面，如果企业网络的验证密码容易破解，则不法分子就可以登陆管理界面而任意设置企业的WIFI接入点，这样就可盗取企业的网络信息，如上网账号与口令等。此外，非法用户很容易装扮成企业的WIFI接入点，诱导企业员工连接该接入点进入网络，从而进一步获取合法用户的鉴别身份信息，通过会话拦截实现网络入侵。

由于WIFI网络一般是有线网的延伸部分，一旦攻击者进入WIFI网络，它将成为进一步入侵其他系统的起点。而多数部署的WIFI网络都在防火墙之后，这样WIFI网络的安全隐患就会成为整个安全系统的漏洞，只要攻破无线网络，就会使整个网络暴露在非法用户面前。

三、相关建议

（一） 加强安全宣传与管理

首先，在企业对外服务的地方要张贴告示，明确说明提供给客户的公共WIFI的SSID，并提示风险提醒客户其余的WIFI并非本企业提供，谨防钓鱼WIFI；在企业内部发布邮件或者文件告知提供给员工WIFI的SSID，不得访问名单之外的WIFI。

其次，企业内部还需要管理部门制定相应的无线网络安全使用规定等制度，建立完善的应急预案。加强安全保密教育，使员工安全用网。对不同级别的用户可以设置不同的访问权限。通过代理服务器上安装局域网监控软件，追踪可疑目标。禁止员工私自安装AP尤其是在有线网络的机器上架设WIFI热点。配置设备检查非法进入单位的2.4G 电磁波发生器，防止被干扰和攻击。

（二）关闭 SSID广播信息并进行区域划分

首先，企业可以关闭SSID中的广播功能，使其他用户和不法分子无法发现 SSID发射的网络信号，企业员工则采用企业网管事先分配的SSID安全接入本无线网络。这样不法分子就无法通过没有经过授权的计算机查看企业的SSID，进而寻找到其所发射的无线信号，入侵企业的无线网络。其次，利用SSID设置，可以进行用户群体分组，避免任意漫游带来的安全和访问性能的问题。通过设置隐藏接入点(AP)及SSID区域的划分和权限控制可以达到保密的目的。

（三）做好安全保密措施

1、使用WPA2加密。WPA标准是一种克服了WEP标准缺点而且有着更为丰富内涵的加密算法。作为802.11i标准的子集，WPA包含了认证、加密和数据完整性校验三个组成部分，是一个完整的安全性方案。

2、浏览器使用HTTPS协议。企业员工涉及到工作机密或者是敏感信息时，浏览器要使用HTTPS协议访问网站，对信息进行加密。

3、合理设置AP的功率并使用定向天线。采用专用的发射天线定向覆盖需要连接网络的范围，尽可能减少信号的暴露。在满足对无线网速基本需求的前提下，企业可以适当降低无线AP功率，缩短其辐射的范围与距离，减少不法分子非法访问企业WIFI网络的机会。在涉密场所及其周围20米内，不要设置WIFI热点。

4、加强对AP、无线路由器等WIFI设备的口令的管理。口令的强度要足够，比如八位以上的数字加字符组成，并且要定期更改口令。

（四）加强访问管理

关闭DHCP功能，让无线路由/AP无法自动给无线客户端分配IP地址。修改默认网关，避免被非法用户猜到。建立允许访问的MAC地址表，并将其与网管分配的IP地址进行绑定过滤，不允许列表外的设备访问企业内部WIFI网络。

（五） 加强软硬件防护

在企业计算机上安装防病毒等安全软件，及时处理木马病毒等安全事件。在WIFI网络的入口处部署入侵检测系统和防火墙，防止非法入侵和非法访问。有条件的情况下在有线网络和WIFI网络的连接处也要部署入侵检测系统和防火墙，避免非法用户通过进入WIFI网络从而轻易的入侵有线网络。