如何防止Wi-Fi办公环境下的智能终端被窃听

有线网络的出现让企事业单位从传统的纸笔文件签名的复杂流程中解放,极大地简化了办公流程;随着部⻔门规模的扩大,办公自动化程度的深入,网络节点的增加,办公单位希望工作不再受时间、空间的限制,无线办公网络的出现则让企事业单位自动化办公效率提升一个档次。
 

   在我们享受无线WIFI带来的上网便利时，大量的WIFI钓鱼、WIFI窃密等风险也偷偷地向我们袭来，手机等移动终端的信息安全，在无线WIFI被肆意恶意利用的形势下，更面临严峻考验。

1、移动终端被窃听：系统单元中心的业务数据，同时无线是不同的网络于有线，无线通过空气传输的所有数据的网络，有监听的风险，并且破解，导致机密单位泄露。

2、Wi-Fi被钓鱼：无线部署为延长线，进入安全边界和更难控制网络相比于有线，私营等安全问题的Wi-Fi的员工，也是一个缺乏一个好的管理工具。各类钓鱼AP，点对点的可能隐藏在无线环境，数据传输上，该病毒是无处不在的，数据必须受到保护，以确保数据的安全。
 

是什么让移动终端被窃听？
 

1、不够安全的认证机制：在PSK模式下使用身份验证（固定密码）。它被认为在公司中不够安全。组织结构的所有部门都使用相同的密码进行访问。知道密码的任何人都可以在无线登录。在局域网上，包括非法用户或黑客。

2、忽视数据加密：数据加密可以有效保护数据完整性和数据传输的完整性。一些单元使用Web身份验证进行身份验证，以方便和简单内联网办公室不够安全。 Web身份验证方法使用明文传输数据，不对数据进行加密。同时，WLAN接入使用数据加密认证，但如果加密算法不够先进，则还存在被破译的风险。

3、非法Wi-Fi带来安全隐患：网络钓鱼AP的出现，与手机的Wi-Fi连接增加为无线。环境网络中存在许多常见问题，具有很高的安全风险。身份网络钓鱼AP（网络钓鱼）是假用户，在配置活动接入点时声称是合法接入点。身份欺骗终端连接到AP，然后窃取信息并拦截数据。对于那些AP，我们称之为身份盗用AP。同时，如果员工使用便携式Wi-Fi，则会泄露内部网数据并发生无法控制的变化，导致重要商业信息泄露。

4、缺乏用户/终端/内容的精细化管控：如果员工管理失控的行为，例如，页面访问木马病毒，内网病毒的员工不受控制的访问行为，使网络盗窃系统数据，移动终端的个人信息自动加载等，隐患很大。数据泄漏的许多风险来自不正确的网络管理。安全风险隐藏在应用程序中，例如基于Web安全漏洞的越来越多的攻击。如何准确识别应用程序成为网络安全管理的严峻挑战。
 

如何确保移动Wi-Fi上网的安全性，避免安全隐患，如拦截

 

一、保证安全的WLAN上网环境
 

1、非法Wi-Fi反制：对于AP钓鱼潜在的便携式安全问题的Wi-Fi，最有效的办法就是打击非法的Wi-Fi，你可以扫描周围检测无线环境，如发现可疑，非法接入点AP，钓鱼，警告和违背反钓鱼AP开后，为防止连接到Wi-Fi网络的伪装坏的手机，防止机密信息窃取用户隐私。

2、定时射频开关：晚上的大部分时间，无线网络是无用的，如果它已经打开不间断的Wi-Fi，黑客们有很多时间的网络入侵，开放性和合理的功能，可以防止这种隐患发生。

3、采用更高级的安全认证和数据加密机制：802.1x认证是公认的认证方法具有高安全性的访问，并在认证过程期间数据被加密。 128位AES + CCMP加密算法提供更高级别。安全性同时，CA证书认证CA认证需要验证用户身份的真实性，因此在用户访问和数据传输方面具有很高的安全性。因此，使用更高级别的CA 802.1x和证书认证可以更好地保证访问数据的安全性。
 

二、对访问终端的风险管控
 

1、终端识别，非办公终端无法接入：如果被允许访问所有的终端，没有有效的控制终端和网络安全办公室是不完美的。采用终端识别技术的类型，不能访问非办公终端，提高安全性。

2、用户终端一对一绑定：用于链接用户和终端的策略。终端和无关的用户无法访问网络。他们可以直接拒绝攻击者的设备连接到网络并降低入侵事件的可能性。同时，自动链路策略不需要输入大量的mac地址，这样可以减少管理员的工作量，提高运营和维护效率。
 

三，风险管理和控制用户访问和对内容的访问
 

1、应用层的安全管控，识别潜藏风险：基于应用层的安全管理，能有效识别安全隐患的风险中的应用，提高抗风险网络中的无线网络的容量并采用上网行为，可以合理地解决员工的各种网络行为的专业管理。控制和提高无线网络的安全性。与此同时，网上行为规范化可以显著提高员工的工作效率。对网络和业务策略不同的访问权限，根据不同的用户组，用户，访问地点等分配，控制和粒度的应用程序和URL粒度被截获时，并获得非法淫秽色情网站的拦截，网络环境是清洁，以保证接入Internet环境绿色。

2、VLAN间用户隔离，防止黑客嗅探：为内部用户，VLAN可以被根据职业公寓，住宅，终端类型，等等，限制传输的域和降低黑客攻击的范围划分。在不同的VLAN用户不能访问彼此;同一层上的用户是隔离的。即使在同一个VLAN内的用户不能互相访问，这样可以防止黑客可以跟踪他们。

3、办公、访客网络相互隔离，根据地理位置灵活创建：除了日常办公，经常有业内人士参观，商务会议和该单元内的其他访问。参观者还将有机会获得无线网络。为了保证公司的信息安全网络，就可以建立无线网络商务办公和客人网络是隔离和独立。您需要创建一个无线网络取决于接入点的位置，比如开幕酒会的公司，在接待大厅，会议室等需要为客人创造该区域的无线网络中，比如为游客办公室和会议室，和更新网络安全领域建立在办公室内网的无线办公网络。

4、对访问行为的合规审查：审计职工、访客的所有无线上网行为，满足公安部82号令的要求，有效掌握员工的网络访问内容。在数据中心后台，还可通过报表对职工的上网习惯进行分析，了解思想动向。

总结：所有方面的无线保护是在所述无线终端的安全的结构的改变，和网络结构将相应地改变。无线网络的规划势在必行。创建一个安全的无线上网环境防止智能终端被绑架和监听，我们必须通过无线环境，允许进程访问接入网络，从网络层到应用层，安全保护的各个方面，端到端的安全性。