原有的固定局域網的網絡安全技術、策略和管理方式已經不能滿足無線局域網新形勢下對網絡安全的需求。尤其是對于網絡安全有較高需求的企業來說,如何在使用無線局域網改善辦公條件的同時,能夠有效阻止外界的非法訪問、保護敏感信息等是當前企業關注的焦點。
雖然一些標準(如Wi-FiWPA2和802.11i)能夠提供全新水平的無線安全能力并得到了新的監視和入侵保護工具的支持,但是企業的焦點已經轉向如何將傳統的網絡安全和物理安全相結合,形成一套基于位置信息的新型網絡安全解決方案。幫助企業平衡在為自己的員工和訪客提供移動上網服務的同時,提供對這種難以管理的自由性進行必要檢查之間的矛盾。
例如,企業在自己的辦公大樓內部署了無線局域網,方便員工辦公,但是企業不希望處于辦公大樓之外的人訪問自己的無線局域網,以防備網絡攻擊、敏感信息竊取等安全隱患。再比如,企業因為辦公需要為人力資源部門實現無線上網功能,但是需要限制除人力資源部門以外的無線訪問,以阻止其他人訪問部門內部的敏感資料,如員工信息、績效考核信息等。
這就是基于位置信息的安全技術發揮作用的根本所在:基于用戶的位置信息限制無線局域網訪問權限。除增加了一層物理安全保護外,定位控制加訪問權限控制還可以防止網絡單元的過載(并且阻止“拒絕服務的攻擊”),以及限制訪客在哪里可以訪問網絡。
這種新的網絡安全思路其實體現了一種“物理圍欄”的概念,即基于訪客的地理位置以及授權狀態等因素,從而限制對網絡訪問的活動。這一理念在技術上并不難實現,只要將定位技術引入無線局域網即可實現。
用戶的身份基于一種或多種ID(如RFID工牌/訪客牌和移動Wi-Fi設備)來建立,同時采用定位技術來確定具體ID的位置,這樣就實現了對用戶適當的網絡訪問級別的設定。其基本的前提是圍繞每一個移動設備和每名用戶建立一個虛擬的訪問圍欄。它的工作原理是跟蹤用戶在樓內的行動情況,根據授權狀態和是否在指定的允許區域,來認可或拒絕用戶對網絡資源的訪問。
“物理圍欄”還可以設定只有當ID卡(物理安全)符合提供給指定的用戶和他的移動設備時,才能訪問無線局域網和網絡資源,這樣極大地降低了某人使用其他用戶的便攜機或移動設備訪問網上非授權信息的可能性。
“地理圍欄”通過對訪客位置進行跟蹤,當他/她在會議室與公司其他員工在一起時允許其訪問無線局域網,而離開會議室之后的訪問則予以拒絕。同時,“地理圍欄還可以在訪客離開允許區域后發出告警信息,并終止無線局域網訪問。
基于位置信息的安全技術和用戶、移動設備身份識別技術的綜合運用,把網絡的防護和智能辨認功能提升到更高的層次。“地理圍欄”可以創建一個伴隨每一個移動設備移動的客戶化的無形圍欄,使網絡管理員能夠確保每一個設備僅能訪問網絡上被授權的區域和資源。
京公網安備 11010502049343號