有线网络已死!这是对无线网络最乐观的估计,虽然这样的结论只能归结到标新立异,但是从应用发展趋势来看,无线网络确实已经成为网络中最重要的接入技术,并且逐渐有取代有线网络的趋势。与此相伴而来的,是无线网络安全问题的再次凸显。特别是对大型园区而言,一旦无线网络受到威胁,轻则导致数据丢失,重则发生业务中断的严重后果。正是基于这样的考虑,日前,西安高新技术产业开发区管理委员会(以下简称:高新区管委会)在进行网络建设的时候,就通过在无线上网认证系统服务器部署浪潮主机安全增强系统(以下简称:浪潮SSR),成功守卫了无线网络安全的大门。
无线网络:方便升级 安全堪忧
“我们高新区是1991年3月经国务院首批批准的国家级高新区。24年来,高新区主要经济指标增长迅猛,综合指标位于全国114个国家级高新区第三位。” 高新区管委会负责人表示,“现在,我们决定在管委会以及附近区域部署无线网络,作为未来整个高新区无线网络的试点工程。未来,我们将会在高新区的所有企业和公共区域部署无线网络,逐渐替代有线网络。”
无线网络可以提供更为灵活的接入,但是安全的防护却比有线网络更为困难,这是因为无线网络和有线网络最大的区别就是,一个是随时随地,只要有信号就可以展开攻击;一个是必须依赖于有一个网络接口。而且通常情况下,一个私自搭建的无线接入点很可能会破坏掉整个防御体系。
“如何确保无线网络的安全是让我们十分头疼的事,”该负责人表示,“这是因为我们的无线网络必须保证万无一失。”高新区管委会对无线网络安全问题如此重视,是有两个原因:未来无线网络将承接园区内企业的生产系统;无线网络的身份认证系统与系统中的其他部分相连。因为承接园区的生产系统,那么无线网络就和水和电一样,都是最基础的资源,一旦网络出现问题,就面临业务中断的风险。
而从目前无线网络的架构来看,身份认证服务器是守卫在无线网络管理的要害部位。用户从AP连接无线,首先进行的是身份认证过程,在这个过程中,认证服务器会将User Profile名称下发给无线控制器,控制器会立即启用User Profile里配置的具体内容。当用户通过认证访问设备时,控制器将通过这些具体内容限制用户的访问行为。当用户下线时,系统会自动禁用User Profile下的配置项,从而取消User Profile对用户的限定。一旦黑客通过上网认证系统窗口反向攻击系统服务器,获取服务器权限之后,就可顺延攻击企业内部网络中其它重要服务器,从而导致整个无线网络系统瘫痪。
虽然身份认证服务器守卫了无线网络的关键入口,但是本身的安全情况并不客观。一方面,系统漏洞的“真空期”无法避免。从操作系统漏洞被发现,到最后厂商发布可以稳定运行的补丁,一般有3到6个月的“真空期”,这段时间内便是操作系统最脆弱的时期,最容易被攻破。另一方面,系统维护也存在风险。超级用户权限都不受限制,其采用的“用户名+口令”的单一认证方式无法有效应对黑客使用暴力破解的攻击方式。而在日常维护方面,系统人为加固“补丁”更新不及时。这些都给黑客以可乘之机。
“正是基于以上的分析,我们决定在加强无线网络的安全防护之时,把上网认证系统服务器作为一个重要的部分。”该负责人表示。
浪潮SSR为无线网络把好安全关
在制订了安全策略之后,管委会考察了多个解决方案之后,经过综合评估,选定了浪潮SSR对服务器底层进行安全加固,防止无线上网认证系统服务器被恶意攻击者利用。“之所以选择浪潮SSR,是因为我们研究了SSR的工作原理,浪潮SSR通过ROST技术原理,能够对服务器设置访问控制规则,对系统内核层进行加固,能够帮助我们的无线网络把好安全关。”该负责人说。
通过在驱动层加上安全内核模块,SSR拦截了所有的内核访问路径,所有符合高新区无线网络规则的文件、注册表、进程、服务、权限都予以“放行”,不符合规则的就进行屏蔽。这样的强制访问控制功能可以确保操作系统用户不被新建、权限不被更改,恶意攻击者如果想通过无线网络上网认证系统攻击服务器,将无法创建用户并提权。
针对系统“真空期”的容易受到攻击的问题,浪潮SSR不需要依赖病毒行为特征库来识别攻击,而是采用白名单防护技术。这就把事后“修补”变为了彻底“免疫”,彻底杜绝了“真空期”的存在,保证了系统的安全运行。
即使最坏的情况发生,恶意攻击者暴力破解现有操作系统管理员权限,也无线对系统造成实质性的伤害,这是因为浪潮SSR三权分立技术,把系统管理员、安全管理员和审计管理权限分开,系统管理员能做的事情由安全管理员分配,安全管理员无法直接对系统操作,而审计管理员对前两者进行完整操作记录,确保操作系统管理员权限被获取也无法对操作系统造成破坏。
“在无线网络的环境中,SSR守护的这道安全门非常重要。”该负责人表示,“有了浪潮SSR为我们的无线网络站岗之后,我们对无线网络的应用增强了信心,也给未来使用的企业吃了定心丸。”
