無線網絡的普及因其速率提升、使用便捷等特點大勢所趨。目前,全球大型金融行業服務區,甚至包括科研、開發、數據中心、機關等都部署無線網絡,無線網絡已經***進金融行業的辦公、生產、測試、離行等各個環節,在分行營業部、網點、離行自助廳、貴賓理財室、會議室等環境當中。
金融業是安全敏感型行業,任何應用系統的運行開通或技術實施都要求安全第一。無論在何種應用場景,加強無線環境的監管,提升整體WIFI的安全性是保障金融行業系統安全,業務正常運行的關鍵。本文將從安全和運維管理的視角,分析當前金融行業的無線環境存在的問題以及針對性的解決措施。
銀行業無線環境風險分析
雖然在在金融行業的網絡環境中,可能會存在多個不同的安全區域,有各種各樣的安全規範,但是仍有80%已有無線網絡在規劃時未完全考慮安全問題,在無線網絡安全管理方面缺少技術手段和相應資源,存在多類型安全風險。
缺少技術手段對僞冒WLAN熱點進行偵測,防範欺詐、釣魚等無線網絡;
無法對私建的無線網絡進行有效偵測,則面臨無法防範針對Wi-Fi密碼破解的;
無法發現內部人員私搭亂建的Wi-Fi網絡或外部人員搭建的釣魚Wi-Fi,導致這些Wi-Fi成爲內網被的新入口,內網數據泄漏風險將成倍增長;
辦公人員私接AP或者總行辦公樓無線網絡沒有認證機制,造成外部人員非法鏈接我行無線網絡。
綜上所訴,銀行業所存在的問題主要存在於安全管理機制不完善和技術監管手段匱乏兩方面,具體表現爲:
無線安全解決方案概述
四維創智長期致力於企業級無線安全的技術研究,依據銀行業無線安全管理現狀、相關規定和需求、並遵循等級保護法規條例,針對無線網絡基礎設施建設、網絡身份認證及終端安全准入、網絡安全防禦等方面提出相關解決方案,加強無線網絡准入管理及安全防護。
方案需求性價值體現
(一)安全價值
1.無線設備智能防護,滿足監管合規需求
在合規性檢測方面,W Hunter針對《中國銀保監會辦公廳關於加強無線網絡安全管理的通知》當中的無線網絡安全管理要求,能夠完成80%的基礎無線檢測任務,包含安全威脅持續監控、仿冒偵測、移動應用安全和數據防泄露、網絡安全技術措施、禁止SSID廣播、禁止安裝和使用危害程序等多項無線安全要求,再結合無線安全服務,完全實現針對合規性的長期監測和移動運檢工作。
2.無線安全監測與防護
2.1***識別和阻斷
對監控區域內無線設備與熱點提供全方位安全防護,識別並阻斷包含釣魚、下線等針對無線熱點與終端的多類型行爲,保障無線熱點運行安全。同時支持釣魚WIFI定位、流量包下載,爲執法問責/追責提供數據支撐。
釣魚WIFI是不法分子在公共場所搭建“免費”WIFI,或者搭建與銀行無線網絡相似或相統的無線網絡(SSID),誘使用戶訪問虛假的無線接入點,從而達到解惑其賬號、密碼等信息的目的。我們會通過AP,實時對周邊的無線信號進行監測,對存在的釣魚接入點、異常WIFI信號進行阻斷,避免上網用戶的銀行錢財、隱私信息被盜。
2.2智能威脅告警服務
當發生無線事件時,系統將第一時間進行阻斷,並提供聲光報警或電子郵件通告,實現告警消息快速傳遞,爲安全決策人提供詳細事件信息。
3.無線網絡身份認證需求
規範化企業無線網絡,確保內外網安全隔離。內網WLAN禁止使用SSID廣播,配合身份認證及訪問控制平臺,對接入網絡的用戶進行認證和授權;針對網點員工SSID連接無線網絡認證,可以通過對接AD/LDAP實現認證,同時可以針對員工分組、設備類型、終端數量、上網時段等條件進行設置管控。
(二)運維價值
1.無線數據智能採集定位
從網絡運維管理角度來看,無線網絡承載的是金融行業的業務系統、應用系統和數據等方面信息,對整個網絡運行情況以及無線Wi-Fi資產的統一監控,確保設備和業務系統穩定運行是關鍵。對監控區域內無線設備、無線熱點進行精確定位與數據採集,可根據實際需求額外提供無線設備移動軌跡數據採集。並具備對區域內人員流動及人員操作數據的採集,包括人員停留時間、人員到訪次數、接通熱點時間等,精確採集無線數據,供二次利用。
2.智能區域監管現狀展示
友好的人機交互設計,管理者可通過監控區域地圖可視化了解監控區域內所有無線設備類型、無線熱點位置、安全事件報警消息、人流量監控數據等信息,直觀展現監控區域無線安全現狀數據信息。
3.無線智能報表統計分析
對採集到的無線數據進行智能分析,如對安全事件進行統計分類、對無線設備與熱點數據進行統計彙編、流量數據變化趨勢分析,並生成豐富的數據報表。
4.簡易部署和統一管控
W Hunter無線環境監管系統實行以位置爲基礎的策略管理,靈活可控。可以按照不同的地區、辦公區域類型、樓層等物理因素制定不同的策略,以滿足不同的管理需求。極大簡化網絡部署結構,減少網絡投入成本,降低網絡運維成本。
4.1單區域部署,方便靈活
適用於網點,離行ATM機等。該產品採用無線自組網模式,可以根據場景變化彈性調整,覆蓋範圍隨時擴展,無需走線,並與業務系統物理隔離,充分滿足單一場景,固定監管場所的部署需求。
4.2多區域集中組網,統一監管有保障
W Hunter系統支持多區域監控功能,對於較小的或者無法部署服務器的場所,可以只部署採集器進行無線數據採集,通過網絡把數據回傳給部署了完整系統的場所,統一解析處理。下圖以銀行網點情況來舉例說明。
分級管理系統部署
對於有上下級的單位和場所,都部署了W Hunter系統時,上級單位可以通過分級管理系統瞭解下級單位的無線安全概況。
下級單位的系統需要開放數據推送接口,把分析後的資產信息、告警通知等推送給上級單位。上級單位需要增加管理服務器,接收推送過來的數據並進一步分析展示。
**(三)運營價值
1.用戶大數據分析,爲金融決策提供支持**
通過無線網絡即可實現智能統計和客戶視圖繪製,在銀行WiFi信號的覆蓋範圍之內開啓智能手機等移動設備的WiFi功能,都可以監測並記錄,包括終端MAC地址、人流量統計,訪客到訪時間分佈、停留時間、訪客數量、出現頻率等,輔助提高相關用戶工作效率。
2.銀行網點細分人羣實時感知,提升客戶體驗
將需要感知的用戶分組預先導入系統中,對於WIFI設備嗅探至匹配用戶分別推送至相應的管理者手機中,爲管理者下一步管理動作提供實時感知。
關鍵參數
四維創智持續爲銀行業用戶提供可運營、可管控、可增值的無線網絡解決方案,構建以“持續監控+統一管理”爲核心的新一代無線安全監管體系。
原創文章轉載請註明來源:四維創智***實驗室