freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

干货 | 金融行业无线安全常见痛点及对应解决方案
2019-06-10 16:25:08

近年来,随着无线网络技术较快发展,金融机构的业务服务、移动办公和互联网接入等领域越来越广泛应用到无线网络技术,但由于缺乏线路连接控制及管理不规范等问题,无线网络信息截取、非法入侵、伪冒诈骗等风险呈上升态势。


按照《中国银保监会办公厅关于加强无线网络安全管理的通知》(银保监办发([2018]50号)、《GA/T 1390.3 —2017-信息安全技术网络安全等级保护基本要求——第3部分移动互联安全扩展要求》、《银行业金融机构信息科技风险评估指南(2011版)》等相关标准进行无线网络安全风险评估,国舜股份通过对用户无线网络安全管理和安全技术防护状况的调研分析,找出与银保监会50号文要求、国家标准之间的差距以及主要的安全风险。通过无线安全评估服务过程中所遇到的常见问题匹配相应的解决方案:


痛点1

场景:被评估的无线网络采用AD域结合上网行为管理的方式实现访问控制。根据不同用户需求无线网络区域划分了不同的VLAN与网段。外网边界部署了入侵检测系统、上网行为管理、流量控制等安全设备。具备基本的安全手段提供安全防护能力。


存在问题:

  • 部分用户的WLAN身份验证方式未实现绑定设备序列号或MAC地址的过滤方式进行访问控制,可能会存在非法的MAC地址接入无线局域网。

  • 另一方面为了日常使用的便利,SSID禁用方面的安全控制,常存在管理盲区,存在攻击者通过扫描直接获取无线网络信息的风险。

  • 部分公司内部,由于配置或维护上的便利员工将移动终端接入至各个安全级别不同的区域进行频繁的交互使用,未进行任何的数据防泄漏及准入的控制,存在严重的数据泄露、恶意代码传播的风险。


解决方案:

  • 增加WLAN接入身份验证方式使用绑定设备序列号或MAC地址的过滤方式进行访问控制,拒绝非法的MAC地址接入无线局域网。

  • 重点或核心区域,特别是生产环境“内网WLAN”禁止使用SSID广播,避免攻击者通过扫描直接获取无线网络信息。

  • 严禁“一机两用”的行为,严禁移动智能终端(如平板电脑、手机等)通过电话拨号、无线等方式与内网和互联网联接,并采取非法外联相关措施及时监控并强制阻断违规外联,以加强信息防泄露防护,防范恶意代码传播。

 

痛点2

场景:用户所在的在无线网络,对无线网络设备管理账号进行了严格管理,无线网络用户需通过用户名、密码,并与AD域账号绑定进行实名身份认证;账录密码要求满足长度及复杂度均符合合规要求,且进行定期修改。

 此外,“内网WLAN”、“互联网WLAN”接入网络用户除通过用户名、密码与AD域账号绑定实名认证控制外,还结合上网行为管理要求对用户上网行为内容进行监控。


存在问题:

由于管理上的疏忽部分用户未启用无线网络设备的安全基线管理,未关闭设备上不必要的服务,这些不必要的服务可能会被利用,导致对设备造成破坏。


解决方案:

启用无线网络设备及相关安全设备的安全基线管理,关闭设备上不必要的服务,确保设备满足基本安全要求。

 

痛点3

场景:大部分用户有对员工进行信息安全技术及信息安全意识方面培训,但目前还缺少专门针对无线网络方面的安全意识教育和宣贯培训。


存在问题:

缺少针对新员工或全体员工进行无线网络安全方面的培训,可能会由于新员工对无线网络安全风险认识不足而导致无线网络安全事件的发生。


解决方案:

必须定期对公司全员及新员工开展无线网络安全意识方面的宣贯和培训,增强员工无线网络安全意识,防止无线网络安全风险。

 

痛点4

场景:大部分用户开启了无线网络设备、相关安全设备的日志功能,用以记录网络系统中的网络设备运行状况、网络流量、用户行为等内容,并通过日志管理平台对日志信息记录进行管理。但在无线网络安全日常管理工作中缺少对于日志的审计及无线安全专项的评估工作。


存在问题:

  • 未定期对无线网络安全设备及相关安全设备的日志信息进行分析与审查,可能导致无线网络安全事件无法追溯。

  • 未开展针对无线网络的安全风险评估和测试,未针对网络部署架构、设备和系统进行配置检测、漏洞扫描、渗透测试等技术手段的检测,只在发生异常事件后对无线网络进行检测,不利于及时发现无线网络中存在的安全风险,进而产生日常操作和管理上的漏洞和薄弱点。


解决方案:

  • 定期对日志管理平台上无线管理设备及相关安全设备的日志信息进行分析与审查,分析和预防网络攻击事件。

  • 定期开展针对无线网络的安全风险评估和测试,特别针对无线网络部署架构、设备和系统进行配置检测、漏洞扫描、渗透测试等技术手段的检测,以防止无线网络感染和传播病毒等恶意程序,防范无线网络遭受入侵和攻击风险。

 

jpg

坚持业务驱动、数据驱动、价值驱动,为网络空间保障安全,为商业巨人业务保驾护航。国舜股份自成立以来,始终坚持纵深、动态、主动的安全理念,紧跟安全的最新态势,充分发挥自身产品研发和安全服务的特长,为客户提供了全方位的网络安全产品与解决方案,以提升客户竞争力。

专业的技术服务团队

国舜股份研发技术团队包含近百名网络安全行业顶级研发人才,更有多名乌云社区榜上有名的白帽子;此外国舜股份还设立了国舜金融科技安全研究院,中国工程院院士沈昌祥、原中国银行副行长王永利、世界互联网之父Stephen wolff、中国互联网协会副理事长黄澄清等业界大牛都是该研究院专家指导委员会成员。

权威的安全服务资质

截止到2018年底,国舜股份已经获得数十项行业资质,其中包含多项行业顶级资质。

丰富的安全服务经验

国舜股份的产品以及解决方案已被中国移动、中国联通、中国电信、中国银行、工商银行、民生银行、光大银行、华夏银行、安邦保险、中国石油、中国石化、国家电网等众多行业顶级企业及行政事业单位应用,并得到客户的广泛认可和肯定,在金融及电信运营商等关键行业持续保持市场领先地位。




本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者