抓住“黑wi-fi”尾巴

　　今年315晚会上一个有关黑wi-fi陷阱的演示，让人们最为直观的认识到了无线安全问题的严峻性。当人们的手机型号系统、朋友圈分享的自拍照片、电子邮箱密码，甚至是个人网银账号都显示在现场演示大屏幕上时，震惊！而这一切都源自于现场的诱饵wi-fi。

　　这是怎么回事儿？人们的信息是如何泄露的？不安全的无线wi-fi都能造成哪些危害？有些人认为，无线安全问题主要在于移动终端上，与无线wi-fi并无多大关联。可如果这是一个假冒的“黑wi-fi”那么问题就来了。无线wi-fi信号是移动终端和服务端进行数据交互的通道，一旦用于数据传输的无线wi-fi信号被假冒顶替，那就意味着传输通道里的所有数据实际上都暴露在了诱饵“黑wi-fi”的设置者面前，如果这些数据没有被加密或者加密简单，那就只能用“欲取欲求”来形容这些数据所可能面临的悲惨遭遇了。

　　中国最大的互联网安全公司360下属的360unicornteam自主研发了一套完全独立的无线入侵防御系统“360天巡”，通过无线热点传感器发现并监控区域内的所有无线热点，帮助企业解决无线网络的边界安全问题。

　　令人堪忧的移动世界安全

　　细说起来，移动世界里从智能移动终端、无线信号到服务器端都存在着各类安全问题。在移动互联网快速发展起来之前，无线网络大多仅在有限区域内使用，比如在企业有线网络的基础上搭建的无线网络，最终数据还是要通过有线网络传输到服务器端。由于有线网络已经搭建起成熟的安全防御体系，所以无线网络往往不会采取任何安全防护措施，加之传统网络边界被打破，种种因素使得无线网络的安全防护极度脆弱，甚至是无从下手。

　　移动终端的操作系统许多都是安卓，而安卓系统的开放性，使其在安全方面很薄弱。即便是安全性较高的苹果ios操作系统，由于“越狱”行为的大量存在，也被从外界突破了安全防线。至于运行在移动终端里的各类app应用的安全性就更无从谈起了，漏洞、输入法劫持、二次打包……应用的安全问题在愈发凸显。随着越来越多的数据存储在云端，云中数据的安全问题也在成为人们关注的焦点。但唯独对于无线wi-fi的安全问题却总是被人们所忽视。

　　无线wi-fi惊人的安全隐患

　　无线网络大多基于802.11标准，而802.11标准在保证易用性的同时，在安全方面却存在诸多隐患。比如，dsss安全缺陷使得无线电信号容易被截取解析，而自从2001年7月wep中的rc4加密技术被破解后，即便是采用128位密钥的wep也会被专业黑客在2、3个小时内破解，还有essid安全缺陷、共享密钥认证安全缺陷、访问控制列表安全缺陷、密钥管理安全缺陷等等。看，无线wi-fi的背后存在着如此之多的安全隐患，而恶意攻击者们正在利用这些安全缺陷设计、发起各类攻击。

　　在公共场所里，许多貌似免费、没有接入密码的wi-fi信号恰恰是黑客所伪造的钓鱼黑wi-fi。而且这些黑wi-fi还大多会伪装成运营商的无线网络连接id名称，例如“chinaunicom001”。一旦接入，那么用户传输的所有数据信息都会暴露在恶意攻击者面前。

　　而企业的有线网络虽然已经采取了严密的安全防护措施，但那些没有设置密码的企业无线wi-fi使得恶意攻击者无需物理接触，就可以藉此轻松渗透进入企业内部网络。而员工所私建的无线热点，则相当于在企业内部网络上开了一个大口子，恶意攻击者可以借用这些无线热点作为攻击企业内网的跳板。实际上，企业在无线热点的建立大多还存在着“无序”的问题，这也为无线安全管理增加了难度。

　　抓住“黑wi-fi”给无线热点套上缰绳

　　一些对安全性要求高的企业用户已经在考虑如何解决无线安全问题、移动安全问题。比如对移动设备进行管理，对移动应用进行管理，对移动应用进行安全加固，对接入无线网络的人员进行身份认证、权限设置等等。不过能够对无线信号、无线热点进行安全管理的产品还是不多。

　　目前对无线网络的安全解决方法主要是在企业级ap中增加wips模块，由于这类解决方案通常采用混杂模式网卡，在对异常无线热点做阻断操作时企业无法进行正常业务，这就使得无线网络安全防护在实时性和效率上大打折扣。而且由于其往往需要控制经过网关的所有流量，对于数据保密性要求很高的用户就不大适用了。

　　360天巡由中控服务器、app管理端、windows准入客户端和无线热点传感器组成，属于软硬件相结合的综合性解决方案。其采用b/s架构，能够根据企业规模和部署要求，配置相应性能的天巡服务器和相应数量的传感器，无线热点传感器可以被分布式的部署在企业办公环境中，而每个传感器在空旷环境下的物理空间覆盖范围可达300平米。