无线网络的普及因其速率提升、使用便捷等特点大势所趋。目前,全球大型金融行业服务区,甚至包括科研、开发、数据中心、机关等都部署无线网络,无线网络已经渗透进金融行业的办公、生产、测试、离行等各个环节,在分行营业部、网点、离行自助厅、贵宾理财室、会议室等环境当中。
金融业是安全敏感型行业,任何应用系统的运行开通或技术实施都要求安全第一。无论在何种应用场景,加强无线环境的监管,提升整体WIFI的安全性是保障金融行业系统安全,业务正常运行的关键。本文将从安全和运维管理的视角,分析当前金融行业的无线环境存在的问题以及针对性的解决措施。
银行业无线环境风险分析
虽然在在金融行业的网络环境中,可能会存在多个不同的安全区域,有各种各样的安全规范,但是仍有80%已有无线网络在规划时未完全考虑安全问题,在无线网络安全管理方面缺少技术手段和相应资源,存在多类型安全风险。
缺少技术手段对伪冒WLAN热点进行侦测,防范欺诈、钓鱼等无线网络攻击;
无法对私建的无线网络进行有效侦测,则面临无法防范针对Wi-Fi密码破解的攻击;
无法发现内部人员私搭乱建的Wi-Fi网络或外部人员搭建的钓鱼Wi-Fi,导致这些Wi-Fi成为内网被入侵的新入口,内网数据泄漏风险将成倍增长;
办公人员私接AP或者总行办公楼无线网络没有认证机制,造成外部人员非法链接我行无线网络。
综上所诉,银行业所存在的问题主要存在于安全管理机制不完善和技术监管手段匮乏两方面,具体表现为:
无线安全解决方案概述
神州明达长期致力于企业级无线安全的技术研究,依据银行业无线安全管理现状、相关规定和需求、并遵循等级保护法规条例,针对无线网络基础设施建设、网络身份认证及终端安全准入、网络安全防御等方面提出相关解决方案,加强无线网络准入管理及安全防护。
方案需求性价值体现
(一)安全价值
1.无线设备智能防护,满足监管合规需求
在合规性检测方面,W Hunter针对《中国银保监会办公厅关于加强无线网络安全管理的通知》当中的无线网络安全管理要求,能够完成80%的基础无线检测任务,包含安全威胁持续监控、仿冒侦测、移动应用安全和数据防泄露、网络安全技术措施、禁止SSID广播、禁止安装和使用危害程序等多项无线安全要求,再结合无线安全服务,完全实现针对合规性的长期监测和移动运检工作。
2.无线安全监测与防护
2.1攻击识别和阻断
对监控区域内无线设备与热点提供全方位安全防护,识别并阻断包含钓鱼攻击、下线攻击等针对无线热点与终端的多类型攻击行为,保障无线热点运行安全。同时支持钓鱼WIFI定位、攻击流量包下载,为执法问责/追责提供数据支撑。
钓鱼WIFI是不法分子在公共场所搭建“免费”WIFI,或者搭建与银行无线网络相似或相统的无线网络(SSID),诱使用户访问虚假的无线接入点,从而达到解惑其账号、密码等信息的目的。我们会通过AP,实时对周边的无线信号进行监测,对存在的钓鱼接入点、异常WIFI信号进行阻断,避免上网用户的银行钱财、隐私信息被盗。
2.2智能威胁告警服务
当发生无线攻击事件时,系统将第一时间进行攻击阻断,并提供声光报警或电子邮件通告,实现告警消息快速传递,为安全决策人提供详细事件信息。
3.无线网络身份认证需求
规范化企业无线网络,确保内外网安全隔离。内网WLAN禁止使用SSID广播,配合身份认证及访问控制平台,对接入网络的用户进行认证和授权;针对网点员工SSID连接无线网络认证,可以通过对接AD/LDAP实现认证,同时可以针对员工分组、设备类型、终端数量、上网时段等条件进行设置管控。
(二)运维价值
1.无线数据智能采集定位
从网络运维管理角度来看,无线网络承载的是金融行业的业务系统、应用系统和数据等方面信息,对整个网络运行情况以及无线Wi-Fi资产的统一监控,确保设备和业务系统稳定运行是关键。对监控区域内无线设备、无线热点进行精确定位与数据采集,可根据实际需求额外提供无线设备移动轨迹数据采集。并具备对区域内人员流动及人员操作数据的采集,包括人员停留时间、人员到访次数、接通热点时间等,精确采集无线数据,供二次利用。
2.智能区域监管现状展示
友好的人机交互设计,管理者可通过监控区域地图可视化了解监控区域内所有无线设备类型、无线热点位置、安全事件报警消息、人流量监控数据等信息,直观展现监控区域无线安全现状数据信息。
3.无线智能报表统计分析
对采集到的无线数据进行智能分析,如对安全事件进行统计分类、对无线设备与热点数据进行统计汇编、流量数据变化趋势分析,并生成丰富的数据报表。
4.简易部署和统一管控
W Hunter无线环境监管系统实行以位置为基础的策略管理,灵活可控。可以按照不同的地区、办公区域类型、楼层等物理因素制定不同的策略,以满足不同的管理需求。极大简化网络部署结构,减少网络投入成本,降低网络运维成本。
4.1单区域部署,方便灵活
适用于网点,离行ATM机等。该产品采用无线自组网模式,可以根据场景变化弹性调整,覆盖范围随时扩展,无需走线,并与业务系统物理隔离,充分满足单一场景,固定监管场所的部署需求。
4.2多区域集中组网,统一监管有保障
W Hunter系统支持多区域监控功能,对于较小的或者无法部署服务器的场所,可以只部署采集器进行无线数据采集,通过网络把数据回传给部署了完整系统的场所,统一解析处理。下图以银行网点情况来举例说明。
分级管理系统部署
对于有上下级的单位和场所,都部署了W Hunter系统时,上级单位可以通过分级管理系统了解下级单位的无线安全概况。
下级单位的系统需要开放数据推送接口,把分析后的资产信息、告警通知等推送给上级单位。上级单位需要增加管理服务器,接收推送过来的数据并进一步分析展示。
(三)运营价值
1.用户大数据分析,为金融决策提供支持
通过无线网络即可实现智能统计和客户视图绘制,在银行WiFi信号的覆盖范围之内开启智能手机等移动设备的WiFi功能,都可以监测并记录,包括终端MAC地址、人流量统计,访客到访时间分布、停留时间、访客数量、出现频率等,辅助提高相关用户工作效率。
2.银行网点细分人群实时感知,提升客户体验
将需要感知的用户分组预先导入系统中,对于WIFI设备嗅探至匹配用户分别推送至相应的管理者手机中,为管理者下一步管理动作提供实时感知。
关键参数
神州明达持续为银行业用户提供可运营、可管控、可增值的无线网络解决方案,构建以“持续监控+统一管理”为核心的新一代无线安全监管体系。