企業(yè)訪客無線接入安全方案探討

摘要：如何方便快捷地幫助訪客接入互聯(lián)網(wǎng)，是每個企業(yè)都會遇到的問題。文章從企業(yè)訪客網(wǎng)絡的現(xiàn)狀出發(fā)，提出了企業(yè)訪客網(wǎng)絡建設需要滿足的合規(guī)性、安全性、方便性三個基本原則，并且在ISO 27002的基礎(chǔ)上探討了企業(yè)建設訪客網(wǎng)絡時應該遵循的網(wǎng)絡接入策略，同時介紹了一個滿足該接入策略的訪客接入解決方案。

關(guān)鍵詞：無線接入；安全方案；網(wǎng)絡建設；企業(yè)訪客網(wǎng)絡；互聯(lián)網(wǎng) 文獻標識碼：A

中圖分類號：TN92 文章編號：1009-2374（2016）05-0065-02 DOI：10.13535/j.cnki.11-4406/n.2016.05.033

1 問題的提出

對大多數(shù)企業(yè)來說，幫助前來訪問的客人快捷方便地進行互聯(lián)網(wǎng)接入，往往能夠增加訪客對企業(yè)的滿意程度，提高企業(yè)與訪客的溝通效率，從而對企業(yè)的發(fā)展起到良好的促進作用。隨著無線局域網(wǎng)（WLAN）技術(shù)以及各種手持入網(wǎng)設備的成熟，用戶自帶設備（BYOD）接入網(wǎng)絡的解決方案越來越多，從企業(yè)IT部門的角度來看，IT部門可以利用這些技術(shù)為企業(yè)訪客提供便捷的互聯(lián)網(wǎng)接入服務。一般來說，在進行網(wǎng)絡接入管理時，企業(yè)IT需要考慮的問題與普通的開放式場所或個人家庭有所不同，企業(yè)的網(wǎng)絡訪問必須在嚴格的管理下進行。企業(yè)需要更多地考慮入網(wǎng)的合規(guī)性，尤其是信息泄漏的風險問題。任何一個企業(yè)絕不會允許由于接入方案或管理策略不當而引發(fā)網(wǎng)絡安全問題。如何制定合理的訪客入網(wǎng)策略，在合法、合規(guī)的基礎(chǔ)上，為企業(yè)訪客提供安全便捷的互聯(lián)網(wǎng)服務，規(guī)避信息泄漏風險，提高企業(yè)IT對訪客接入的管理能力與效率，同時提高訪客的滿意度，為企業(yè)的發(fā)展服務，是企業(yè)IT管理部門必須面對的問題。

2 訪客網(wǎng)絡接入現(xiàn)狀

在有線網(wǎng)絡時代，企業(yè)為訪客準備的典型方案是：在固定的地點，如會議室、會客廳，提供一定數(shù)量的網(wǎng)絡接口或?qū)Ｓ秒娔X，訪客將自己的身份信息登記后，使用自帶的電腦通過這些網(wǎng)絡接口接入或者使用企業(yè)提供的專用電腦接入。這個方案的優(yōu)點為：（1）將訪客的信息訪問點限制在固定的網(wǎng)絡接口上，IT管理部門通過對交換機、防火墻的設置，保證訪客接入不會對企業(yè)內(nèi)網(wǎng)造成影響；（2）登記訪客身份信息，為事后的合規(guī)性審查提供幫助。

方案的缺點為：（1）不支持手機、平板電腦的接入；（2）限制了接入地點，訪客接入很不方便；（3）企業(yè)需要為此安排專人進行訪客信息人工登記。由于涉及到人工筆錄，流程比較繁瑣，登記信息容易出錯，為事后審核造成了隱患。

隨著無線網(wǎng)絡技術(shù)的發(fā)展，有些企業(yè)開始考慮為訪客提供無線網(wǎng)絡解決方案：訪客進行身份信息人工登記后，得到一個無線接入共享密碼。訪客憑此密碼，可以接入企業(yè)的無線訪客網(wǎng)絡。共享密碼由專人管理，進行不定期的更換。

這種無線方案擴大了訪客的接入地點，支持手機、平板電腦接入網(wǎng)絡，方便程度上有明顯的提高，同時又帶來了一些網(wǎng)絡安全及維護的問題：（1）由于使用了共享密碼方式進行網(wǎng)絡接入，密碼容易泄漏或被破解，使得未進行登記的訪客也有可能使用無線網(wǎng)絡，造成新的潛在風險；（2）共享密碼的更換需要專人負責，在無線接入設備上定期修改，這種工作模式增加了企業(yè)IT管理的復雜度。

上述有線和無線兩種方案，各有其優(yōu)缺點。能否充分利用現(xiàn)有的技術(shù)，提供一個真正滿足企業(yè)需求的解決方案，是一個亟待解決的問題。

3 訪客網(wǎng)絡接入原則

基于訪客網(wǎng)絡接入現(xiàn)狀，我們可以看到，一個合格的無線網(wǎng)絡接入解決方案需要滿足三個原則：合規(guī)性、安全性、簡便性。

3.1 合規(guī)性

2002年出臺的美國薩班斯法案（SOX）明確要求：所有對財務報告有影響的人員操作、IT系統(tǒng)操作都應有明確的定義，對這些定義要進行記錄，對這些操作要有過程審計記錄。我國于2006年開始實施的公安部第82號令中，對于互聯(lián)網(wǎng)訪問，也有明確的規(guī)定：“……應當落實具有以下功能的安全保護技術(shù)措施：（一）記錄并留存用戶注冊信息。”

以上規(guī)定要求企業(yè)在進行互聯(lián)網(wǎng)接入建設時，需要充分考慮審計方面的需求，以便在發(fā)生網(wǎng)絡安全問題時，能夠有效支持事后審核及取證工作。

3.2 安全性

無線網(wǎng)絡數(shù)據(jù)在空中以廣播方式傳輸，其數(shù)據(jù)有可能被大量的無關(guān)設備接收，因此無線網(wǎng)絡面臨的安全問題比有線網(wǎng)絡更加嚴重。為了限制無關(guān)人員的接入及竊聽，WLAN標準中有三種安全技術(shù)可供選擇：WEP、WPA、WPA2。WEP技術(shù)來源于有線網(wǎng)絡，該技術(shù)采用共享密鑰，在鏈路層采用RC4對稱加密技術(shù)，網(wǎng)絡上每個用戶都使用相同的密碼。該技術(shù)在數(shù)據(jù)傳輸階段安全性比較脆弱，很容易受到攻擊，導致密碼泄漏，使得整個網(wǎng)絡受到安全威脅。此技術(shù)不可以用于企業(yè)無線網(wǎng)絡。

WPA技術(shù)是WEP技術(shù)的臨時替代方案，該技術(shù)可以采用個人模式和企業(yè)模式：個人模式支持共享密鑰，企業(yè)模式支持802.1x協(xié)議。

WPA2技術(shù)是WPA技術(shù)的升級版本，支持AES加密算法及CCMP完整碼協(xié)議。該協(xié)議較為完善，已于2006年成為強制性標準，所有的相關(guān)產(chǎn)品都必須支持WPA2。與WPA技術(shù)類似，WPA2也支持個人模式和企業(yè)模式。

對企業(yè)用戶來說，建議采用WPA2企業(yè)模式。

3.3 簡便性

由于訪客接入幾乎是時時刻刻都在發(fā)生的事情，企業(yè)有必要提供合理的接入流程，在滿足合規(guī)性要求的同時，盡量減少對訪客的干預。這樣既能夠提高工作效率，同時也能增加訪客對企業(yè)的滿意度。

4 訪客網(wǎng)絡接入策略

企業(yè)可以參考ISO 27002信息安全體系文獻，建立相應的訪客接入管理策略。在ISO 27002中，與訪客接入相關(guān)的最主要的策略是用戶訪問管理和用戶責任管理。下面我們就針對這兩部分重點，羅列出一些關(guān)鍵策略，作為企業(yè)制定訪客接入策略的參考：

4.1 用戶訪問管理策略

這部分策略涵蓋了用戶帳號管理的整個生命周期，包括從訪客注冊到帳號注銷的各個階段。相關(guān)的關(guān)鍵策略包括：（1）在訪客注冊帳號的過程中，必須要求訪客簽訂企業(yè)信息安全管理協(xié)議。該協(xié)議的目的在于提醒用戶不要利用網(wǎng)絡做違紀、違法之事，同時在訪客因不當使用網(wǎng)絡而引起糾紛時，盡量在法律層面上保護企業(yè)的權(quán)利。（2）為訪客分配的帳號是按序列號編制的匿名帳號。通過匿名帳號隱藏訪客的真實信息，防止無關(guān)人員猜測、收集訪客與企業(yè)溝通的內(nèi)容，保護企業(yè)的商業(yè)秘密。（3）每個訪客的帳號必須是唯一的，需要在系統(tǒng)后臺數(shù)據(jù)庫中建立帳號與訪客真實身份的關(guān)系表。這樣做可以方便管理員基于帳號進行網(wǎng)絡權(quán)限控制，同時便于事后審計，進行問題追蹤。（4）每個訪客帳號必須設置一個終止期限。系統(tǒng)自動注銷過期帳號，防止長期不用的帳號被非授權(quán)人獲得而非法使用。（5）訪客必須在第一次登錄后修改口令，這樣做使得與該帳號登錄相關(guān)的系統(tǒng)活動只歸屬于某一特定用戶。（6）忘記口令的用戶必須重新注冊，獲得新的口令。避免非授權(quán)用戶以口令丟失的名義，通過電話、郵件等方法獲得其他用戶的口令，引發(fā)網(wǎng)絡安全的風險。

4.2 用戶責任相關(guān)策略

這部分策略要求已經(jīng)注冊入網(wǎng)的訪客了解自己的責任，在口令的使用以及設備使用等方面，配合企業(yè)確保網(wǎng)絡的正常使用，規(guī)避安全風險。相關(guān)的策略包括：（1）訪客設置的口令不得采用任何可預知或輕易可以猜測到的結(jié)構(gòu)或特征；（2）訪客不得把自己的口令寫下來，除非用看似無關(guān)的字符掩蓋或用某個編碼系統(tǒng)隱藏口令；（3）訪客如果懷疑口令已被泄漏，必須立即修改口令；（4）任何訪客無論出于什么目的，如果被證明已將自己的口令泄漏給任何人或任何機構(gòu)，都應該立即撤銷其登錄系統(tǒng)的權(quán)限；（5）任何訪客都應該對其使用自己的帳號相關(guān)的一切活動負責。

如果在企業(yè)中能夠嚴格實施上述網(wǎng)絡管理策略，訪客網(wǎng)絡的安全狀況必然會有所改善。需要注意的是，在企業(yè)中，任何策略的實施都需要管理層的大力配合。因此，任何網(wǎng)絡管理策略的制定必須經(jīng)過與上級管理層的充分討論，取得一致意見，進行貫徹實施，才能取得良好的效果。

5 訪客無線接入方案實踐

基于對訪客接入問題的理解及企業(yè)IT的管理實踐，我們推薦一種訪客無線接入解決方案。此方案完成的主要功能有：（1）掃描訪客的第二代身份證，進行訪客注冊，自動生成帳號和密碼；（2）自動打印簡明的入網(wǎng)指南，指導訪客入網(wǎng)；（3）靈活設置入網(wǎng)策略，對訪客入網(wǎng)進行管理；（4）自動記錄每個訪客的入網(wǎng)時間、IP地址用于事后審計。

該方案由訪客注冊子系統(tǒng)、無線接入子系統(tǒng)和接入控制服務器三部分構(gòu)成：（1）訪客注冊子系統(tǒng)。由電腦、打印機、身份證掃描設備以及一套訪客注冊軟件構(gòu)成。訪客使用時，需要先掃描二代身份證，系統(tǒng)提示入網(wǎng)協(xié)議，訪客選擇同意入網(wǎng)協(xié)議后，系統(tǒng)打印出入網(wǎng)指南；（2）無線接入子系統(tǒng)。由一組無線AP設備及AC設備構(gòu)成，采用WPA2企業(yè)模式，用戶通過802.1x認證接入網(wǎng)絡；（3）接入控制服務器。提供用戶管理、入網(wǎng)策略管理、RADIUS認證、DHCP IP地址分配、日志審計等服務，管理員主要通過此服務器進行入網(wǎng)策略、審計等操作。同時該服務器支持高可用（HA）雙機熱備方式運行，保證系統(tǒng)不間斷運行。

圖1 系統(tǒng)組成

通過實施基于身份證掃描注冊的訪客無線接入方案，可以完成自助式的訪客接入流程，滿足訪客的需要，簡化企業(yè)IT部門的管理流程，同時滿足企業(yè)的合規(guī)性要求。

參考文獻

[1] 中華人民共和國公安部令（第82號）：互聯(lián)網(wǎng)安全保護技術(shù)措施規(guī)定[EB].http：//www.gov.cn/gongbao/content/2006/content_421771.htm.

[2] 劉乃安.無線局域網(wǎng)：WLAN原理技術(shù)與應用[M].西安：西安電子科技大學出版社，2014.

[3] 伍德.信息安全策略編制指南[M].北京：化學工業(yè)出版社，2014.

[4] 艾科網(wǎng)信.網(wǎng)絡準入控制解決方案[EB].http：//www.acknetworks.com/ackpages/product/solutions/index.html.

作者簡介：黃嘉東，男，中國南方電網(wǎng)調(diào)峰調(diào)頻發(fā)電公司信息通信運維中心專責，中級工程師，碩士，研究方向：信息安全、企業(yè)級信息系統(tǒng)建設。

（責任編輯：黃銀芳）