專家建議：全方位的無線安全政策

專家建議：全方位的無線安全政策

企業應用專區：李欣茹綜合整理

無線科技可能給予使用者高度的行動通訊自由，但在企業部署無線網路的過程中，若缺少審慎考量，也無管理政策，WLAN本身的安全瑕疵也可能引發高度的安全風險。最悲慘的結局可能是：重金打造的防火牆形同虛設，導致企業資訊重地門戶洞開，惡意份子不費力氣就可登門造訪。

在WLAN還難以達成百分百隱密與安全性之前，妥善擬定無線安全政策將是唯一可行的最後安全防線。

當有線遇上無線網路，在複雜的網路架構下，企業究竟要如何降低安全風暴發生的或然率？Foundstone亞太區總監陳彥銘建議，基本上可從妥善計畫、多層防禦（Defense in Layers）、定期稽核等－確保無線安全的三項措施著手。

企業在決定擁抱哪一項無線科技之前，首先應該進行執行需求的評估，確認是否有非打造無線通訊環境不可的必要性。若決定部署，下一個關鍵步驟就是將「安全」融入原有資訊管理政策中。最重要的是，同步擬定一套稽核制度以保證安全政策執行無誤。

另一種稽核作法是「委外」，定期邀請外部顧問進行無線網路的滲透測試，揪出違反政策的無線網路漏洞。

此外，企業應事先衡量風險指數，選擇一個適合企業現況的無線技術，之後再架設多層防禦系統，從不同角度保護最核心的資產。陳彥銘強調，只要在部署科技之前，先有一套詳盡的計畫，條列出所有可能的安全考量，再一步步妥善的解決，並且定期稽核，還是有助於避免WLAN的安全危機。

他進一步說明，企業可以深入剖析無線網路的生命週期，包括需求分析、設計、驗證與運作與維護等各個階段，從中剔除可能存在的威脅與風險，以提升無線網路的安全性。

他也強調，企業管理安全風險的同時，也應制定無線網路的安全政策，以及可確實執行的方式。在思考如何擬定相關安全政策時，可採用「CIA」概念－也就是機密性（Confidentiality）、完整性（Integrity）、可用性（Availability）為標準條件設定執行策略。

如架設網路之後，誰有資格存取？如何認證與身分控管？如何杜絕外人入侵等角度切入，並思考如何確保無線網路在傳輸過程中的資料完整性，不會中斷或遭受攔截。假設有朝一日安全警報響起，企業如何因應？在無線網路無法運作的情況下，企業內的其他系統與網路如何進行備援等，均是享受WLAN的無線自由之前不能輕忽的重要關鍵。