近日,中国银保监会办公厅发布《关于加强无线网络安全管理的通知》(以下简称《通知》)。要求各银监局、保监局、银行、保险、资产管理等金融机构加强无线网络风险防范,确保银行业和保险业网络和信息系统安全。
近年来,无线网络技术发展较快,在银行保险机构的业务服务、移动办公和互联网接入等领域得到广泛应用,但由于缺乏线路连接控制及管理不规范问题,无线网络信息截取、非法入侵、伪冒诈骗等风险近期呈上升态势。对此,本文就《通知》的重点条文进行解读,并针对无线网络基础设施建设、网络身份认证及终端安全准入、网络安全防御等提出相关解决方案,加强无线网络准入管理及安全防护。 1、无线网络基础设施建设安全 [现象]无线网络内用户可以随意修改IP地址或MAC地址,造成网络冲突。另有私自安装无线路由、随身WiFi等行为非法扩展网络,扰乱无线网络建设秩序,威胁网络使用安全。 [文件]第二条:在无线网络建设中安全技术措施应遵循“同步规划、同步建设、同步使用”的原则同步推进,严格禁止私搭乱建和未经授权使用无线网络,杜绝不符合规范的无线网络。 [方案]此项在WLAN网络架构层处理。 2、无线网络设备运维管理安全 [现象]企业内网络设备普遍采用常用账号及弱密码,运维人员使用权限统一或者权限过大,扰乱了运维管理制度,增加企业运维风险。 [文件]第三、四条:按照“谁主管谁负责、谁运营谁负责”的原则,建立无线网络的审批备案管理制度,对使用需求、访问权限和用户行为进行严格管理。 [方案]针对组成无线网络中的无线控制器、交换机,可采用AAA管理+双因子认证混合方案,为企业运维人员提供双因子账号认证加固、细粒度权限管理及运维操作审计功能。 3、无线网络用户身份认证及访问控制管理 [现象]大部分企业内网SSID可以被扫描到。员工通过SSID账号及静态密码登录企业网络,任何人都可以登录内网WLAN,严重影响企业无线网络安全。 [文件]第五条(四):银行保险机构应采用安全、可靠的加密协议,对无线通信信道进行安全加密。 第五条(六):“内网WLAN”应禁止共享账号,并采用双因素认证方式对接入用户进行身份校验,应停用长时间未活动用户;“互联网WLAN”应通过短信验证码、微信或用户名/密码等方式对接入网络的用户进行实名认证。 [方案]规范化企业无线网络,确保内外网安全隔离。内网WLAN禁止使用SSID广播,配合身份认证及访问控制平台,对接入网络的用户进行认证和授权。宁盾为其提供全场景无线认证解决方案,内网员工可采用802.1x+Portal+双因素认证,实现无线通信信道加密及双因素账号加固;外网访客可采用短信、微信、协助扫码等实名认证方式接入。另与上网审计设备联动,实现实名认证及实名审计。 4、无线终端安全检测及准入控制管理 [现象]BYOD大量涌入企业内部,接入企业的终端安全难以预测。增加了企业中病毒及被攻击的可能。 [文件]第五条(七):内网WLAN”的接入终端应经过审批授权,采取无线网络终端设备准入控制措施,防止终端通过WLAN非法接入银行保险机构内部网络; [方案]在终端接入网络之前,应先进行合规性检测,宁盾终端准入解决方案基于可视化检测技术、旁路隔离技术、第三方联动及网络身份认证技术,支持无客户端和有客户端安全检测。实时动态检测终端是否加入域、补丁版本、是否安装杀毒软件、是否安装企业合规软件、软件运行进程……条件,判断终端合规状态,自动对非法终端进行隔离。并配合无线身份认证方案快速定位目标,提高运维效率。 5、网络威胁安全防御 [现象]随着勒索病毒等恶意攻击的泛滥,病毒入侵导致的网络瘫痪的事件频繁发生。 [文件]第六条:银行保险机构应对无线网络安全威胁进行持续监控,及时处置无线网络安全事件,防止无线网络感染和传播病毒等恶意程序,防范无线网络遭受入侵和攻击风险。 [方案]可通过防火墙、入侵检测、防病毒等网络安全方案,加强对无线网络的威胁防御,防止无线网络感染和传播病毒等恶意攻击行为。 另,银行保险机构应积极开展无线网络用户的安全意识教育,严格要求内部员工遵守网络与信息安全管理规定。不使用随身WiFi,不随便将个人终端接入企业内网,及时更新企业终端补丁及病毒库等。企业应加强无线网络安全防护及入侵安全检测,定期对无线网络的基础设施建设、运行监控、安全防御、安全审计等领域进行自查、评估和整改,以确保无线网络安全可靠。 |