作者：张勇    ：中国电脑教育报  2003年03月03日

无线通讯科技的最大优点是用户只要有权连接到适当位置的无线网络接入点 (Access point)，便可随时随地接入他/她所属公司的网络。然而，值得注意的是无线通讯技术属于广播式媒体，透过空气中的无线电波进行资料传送。讯号会先传送至空气中，再由接收器将其接收，表示只要拥有兼容的接收器，便可接收到相同的讯号以及传递的任何资料。具体例子是公众广播电台以及听众拥有的收音机。由于并没有方向性或特定目标，因此资料的保密程度备受质疑。利用无线方式传递资料，最大的挑战是如何令信息传递媒体安全保密，只让特定接收者获取有关讯息。就以移动电话网络为例，即使所有用户都采用同一网络，但只有你致电的人士才会接收到你的讯号，其他人绝对无法窃听你们在电话中的对话。

在无线数据传输方面，现在市面上有多种常用的接入方法，包括无线局域网(WLAN)、蓝牙(Bluetooth)、GPRS及其他专利技术。

WLAN的安全问题不容忽视

WLAN越来越受企业欢迎，不少机构开始容许使用公众的WLAN接入区，例如在机场、大学及商场内。由于目前无线网络的保密机制尚不完善，所以如何确保以WLAN接入企业网络时的安全性变得尤为重要。事实上，WLAN的保密能力不足，外界可以轻易截取空气中的讯号并将其记录下来，要是入侵者有充足的时间或合适的工具，便可安坐家中，慢慢从讯号中解读资料。

WLAN采用的加密程序称为WEP (有线等效加密)，以RC4作为算法。WEP将WLAN卡与WLAN基站之间的空中接口加密。实际使用结果却显示，WEP的网络安全功能很差，RC4不时遭受袭击，加密资料很易遭人破解。与此同时，为了方便使用，大部分WLAN都选择共享密钥 (Shared key) 的方式，表示WLAN 基站的每名用户均拥有同一密钥以解读传送中的数据。有意入侵企业网络的黑客，只要令两名或以上的用户在回复电子邮件时发出相同的内容，便可轻而易举地击破加密程序。WEP的另一毛病是最初用做建置安全通讯模式的方针欠缺妥善。

综上所述，WEP存在诸多漏洞，安全效能不足，而且甚至可以从黑客网站上找到入侵WEP的工具，例如WEP Crack及AirSnort。黑客还可以选择重返该特定的WLAN网络环境，将“特洛伊木马 (Trojan)” 或其他计算机病毒注入该企业网络。

企业如何保护网络安全？

首先是必须仔细考虑公司网络的设计。要在企业环境中增设WLAN，并使用虚拟专用网 (VPN) 来加强安全效能，过程简单容易。然而，要是网络的设计欠妥，仍会很容易遭受外界入侵。虽然可以在现有网络中加设安全软件，但这却非确保网络安全的良方妙药。也许我们应该先向自己提出一个问题，就是“在重新设计网络方面，应该经过哪些程序”？

为了保障企业资料安全，避免遭人窃取，很有必要将资料加密，并应采取端对端的加密方案，而不是仅将加密方案放于空中接口。此外，亦应使用合乎业界标准或军用级别的加密技术以及认证机制，避免特定接收者以外人士可以读取用户的个人资料。

要确保企业网络安全，最佳方法是避免在无线及有线网络中分别采用不同的网络安全方案。换言之，即使同一网络内使用不同技术，但网络安全措施却不应有丝毫差异，因为这样只会令网络的部署及管理变得繁复不堪。企业的信息主管当然不希望要为WLAN用户定出一项网络安全策略，再为手提电脑用户定出另一策略，然后又要为GPRS 电话用户定出不同的策略。

要顾及企业的整体信息网络，引进端对端的无线网络安全方案。要是能够有一些网络安全工具及策略，是企业网络内所有用户及设备同样合用的，工作就变得简单轻松，而VPN技术就是最佳选择。

目前，VPN技术可以应用于有线或无线接入的网络。因此，用户接入企业网络时，不论是在家中以DSL连接；或是在机场的无线热点 (hotspot) 以笔记本电脑或具备VPN客户机功能的移动电话，均沿用基于同一网络安全机制的相同网络安全策略。当用户经过 WLAN 接入点，继而穿越互联网，最终进入企业网络，整个过程中传送的资料均以3DES或AES 加密程序处理。这表示VPN 需要经由用户的接入装置直达企业网络，因此，一切通讯模式亦可使用，包括宽频、WLAN、GPRS、蓝牙或第三代移动通讯 (3G)。

在企业环境中提供 WLAN 接入服务，最安全稳妥的方法是将 WLAN 接入点放于防火墙外，原理就如同互联网连接——利用处理互联网连接的相同方法来管理公司内的WLAN。正如其他连接一样，WLAN 亦要遵守相同的网络安全守则，需要通过防火墙及VPN。

举例来说，要是一家公司决定在所有会议室装设WLAN，便应避免将WLAN 接入点连接至主干网，而应将所有 WLAN 接入点放于同一网段，并将该网段放于防火墙上的一个独立端口 (port) ，就如该网段是另一个网络连接。此外，亦应从使用VPN连接的用户终止WLAN连接，这样便可令整体连接增添另一重安全保障。

另一项重要问题是如何利用无线网络，为公司内众多用户的密钥加密 (Encryption keys)。使用密钥的方法分为两种，第一种方法是给予每位用户一条“私人密钥”，这种方法最能确保网络安全，但却难于管理。第二种方法是所有用户共享一条“公开密钥”，大部分公司现正采用这种方法，可惜其网络安全效能却备受诟病。

解决这个问题的最佳方法是让员工在使用“公开密钥”的同时，以虚拟专网(VPN) 作为额外一重保障，从接入网络所用工具，例如笔记本电脑或个人数字助理 (PDA)，返回VPN网关。此举可以确保所有企业用户接入网络时的安全，并能有效保障WLAN免受非法入侵。一旦如上文所述，WLAN 网段(segments)穿越防火墙，表示已通过进一步的核证程序。

总结

不论是有线或无线网络，要确保网络安全，必须做出周详考虑，切勿掉以轻心，亦切勿贪图容易。一家企业只要懂得选用合适的工具，再加上合适的网络设计以及安全策略，便能为企业网络建立可靠的安全方案。