王華明

摘 要：當(dāng)前，企業(yè)的無線網(wǎng)應(yīng)用情況發(fā)生了很大的變化，它不再是一種可有可無的選擇，也不再是有線網(wǎng)絡(luò)的輔助，而越來越成為企業(yè)員工的首選網(wǎng)絡(luò)接入方式，并由此提高辦公和生產(chǎn)的效率、提高客戶和合作伙伴的滿意度。但是，無線網(wǎng)絡(luò)因其網(wǎng)絡(luò)傳輸?shù)奶厥庑?、因其?yīng)用的復(fù)雜性等，讓企業(yè)在不斷探究無線網(wǎng)絡(luò)部署的必要性、不斷探究部署后的運行管理及信息安全防范等問題。

關(guān)鍵詞：無線網(wǎng)絡(luò)；應(yīng)用；運行管理；信息安全

1 無線網(wǎng)絡(luò)應(yīng)用的問題分析

1.1 無線網(wǎng)絡(luò)的接入問題

作為企業(yè)的辦公網(wǎng)絡(luò)，有線方式為必選，在建設(shè)無線網(wǎng)絡(luò)時需要有整體的規(guī)劃方案，以統(tǒng)籌實現(xiàn)無線和有線網(wǎng)絡(luò)對企業(yè)互聯(lián)網(wǎng)出口、局域網(wǎng)資源的應(yīng)用，實現(xiàn)無線與有線共同的信息安全防護等。但較為復(fù)雜的企業(yè)辦公區(qū)布局和網(wǎng)絡(luò)結(jié)構(gòu)，無線網(wǎng)絡(luò)的接入還需要考慮無線AP的布局、無線網(wǎng)絡(luò)的局端設(shè)備與局域網(wǎng)核心設(shè)備的路由及策略等等方面的問題，比如只能無線用戶訪問互聯(lián)網(wǎng)、可訪問互聯(lián)網(wǎng)和部分內(nèi)部信息系統(tǒng)、僅部分內(nèi)部信息系統(tǒng)、僅局域網(wǎng)全部信息系統(tǒng)等。

1.2 無線網(wǎng)絡(luò)的運行管理問題

運行管理是相對長期的過程，企業(yè)的內(nèi)部員工、訪客等需要通過智能手機、平板電腦、筆記本電腦等接入網(wǎng)絡(luò)來訪問互聯(lián)網(wǎng)、企業(yè)資源等，通常做法為依賴于一組內(nèi)部用戶（如前臺和IT人員）來創(chuàng)建、維護訪客無線網(wǎng)絡(luò)的接入帳戶，這樣使得資源消耗的同時還可能達不到企業(yè)要求的靈活性。

另外，有的無線網(wǎng)絡(luò)相關(guān)策略或權(quán)限分配不夠嚴(yán)謹(jǐn)或細(xì)致，必然導(dǎo)致訪客接入網(wǎng)絡(luò)后，企業(yè)所有的信息資源都可理論上進行訪問，這樣的情況下，在企業(yè)商業(yè)秘密防護或信息安全防護等存在隱患的同時，在無線網(wǎng)絡(luò)的管理方面還需提供無線網(wǎng)絡(luò)訪問的審計機制，需要明晰無線用戶是否進行了訪問、用什么設(shè)備進行了訪問、在哪里進行了訪問、訪問了哪些內(nèi)容等。

1.3 無線網(wǎng)絡(luò)應(yīng)用的信息安全問題

當(dāng)前，信息安全上升到國家安全的高度，企業(yè)的信息安全、商密防護也與企業(yè)的發(fā)展息息相關(guān)。因無線網(wǎng)絡(luò)的傳輸特殊性較有線方式更為特殊、更易被入侵或感染等，還有接入網(wǎng)絡(luò)后訪問資源的各種情景等，必然使得企業(yè)對無線網(wǎng)絡(luò)應(yīng)用后的信息安全問題尤為思考和探索，并著力需要考慮企業(yè)信息資源的泄密及其防護問題。

2 無線網(wǎng)絡(luò)建設(shè)與應(yīng)用的建議

2.1 合理規(guī)劃網(wǎng)絡(luò)構(gòu)架

部署無線的企業(yè)網(wǎng)絡(luò)中，網(wǎng)段的劃分宜盡可能的細(xì)化，包含有線、無線的用戶上網(wǎng)部分，IP地址規(guī)劃也宜整體固定IP，并且，除動態(tài)分配IP地址的無線網(wǎng)絡(luò)外，還應(yīng)該使用相應(yīng)的手段杜絕私接路由器等，這樣可避免私接路由器時提供無線網(wǎng)絡(luò)的出口且不容易后續(xù)出現(xiàn)問題時的追查，以為整個網(wǎng)絡(luò)上網(wǎng)行為審計打下良好記錄。此外，無線網(wǎng)絡(luò)的AP選型方面，應(yīng)充分考慮傳輸?shù)募用苄汀⒖垢蓴_、跨AP的接入連續(xù)性、設(shè)備可承載的用戶數(shù)量等。

在無線網(wǎng)絡(luò)與有線網(wǎng)絡(luò)匯聚的企業(yè)網(wǎng)絡(luò)核心路由上，應(yīng)根據(jù)企業(yè)對無線網(wǎng)絡(luò)可訪問信息資源（互聯(lián)網(wǎng)或內(nèi)部資源）的定義進行策略制定，以實現(xiàn)指定用戶只能訪問互聯(lián)網(wǎng)、指定用戶可訪問互聯(lián)網(wǎng)和部分內(nèi)部信息系統(tǒng)、指定用戶僅部分內(nèi)部信息系統(tǒng)、指定用戶僅局域網(wǎng)內(nèi)部系統(tǒng)等。

2.2 科學(xué)建設(shè)運維機制

無線網(wǎng)絡(luò)的運維機制建立在科學(xué)的網(wǎng)絡(luò)構(gòu)架之后，與網(wǎng)絡(luò)的整體規(guī)劃密切相關(guān)。運維管理機制著重在用戶可訪問資源的目的地和日常的接入管理方面?？稍L問資源的目的地由網(wǎng)絡(luò)規(guī)劃路由決定，這里就日常的接入管理略作探討。

一方面，企業(yè)應(yīng)建立涵蓋本地及外地所有所屬員工的統(tǒng)一身份的認(rèn)證管理機制，并將無線網(wǎng)絡(luò)的接入也一并納入，這樣可為企業(yè)的內(nèi)部員工解決接入時的免維護目的，可提高各辦公人員無線網(wǎng)絡(luò)接入的方便性，此外，還能使得外地所屬員工接入體驗時的“歸屬感”。

另方面，可以通過有關(guān)技術(shù)手段和管理機制，將訪客的接入授權(quán)下放到接洽人，由接洽人來授予訪客網(wǎng)絡(luò)訪問的賬號信息等，接洽人通過友好的管理界面，對訪客的基本信息做必要的錄入后可為訪客分發(fā)賬號，接洽人需對訪客的操作監(jiān)督，這樣可大大地降低運維人員的工作量。

最后，需要建立無線網(wǎng)絡(luò)的接入時間、接入地址、使用人、授權(quán)人、接入點軌跡，訪問目的地、訪問操作等方面的上網(wǎng)審計機制，便于后期的統(tǒng)計、分析及追溯。

2.3 積極構(gòu)建安全防護

無線網(wǎng)絡(luò)的安全防護方面，應(yīng)有頂層設(shè)計，應(yīng)根據(jù)無線網(wǎng)絡(luò)的應(yīng)用資源（如僅互聯(lián)網(wǎng)、互聯(lián)網(wǎng)和內(nèi)部資源都包括、僅內(nèi)部資源等等）制定不同的安全防護策略，應(yīng)將無線網(wǎng)絡(luò)與有線網(wǎng)絡(luò)的安全防護統(tǒng)籌考慮和規(guī)劃建設(shè)。

首先應(yīng)加強無線網(wǎng)絡(luò)接入層面的安全防護機制，避免無線網(wǎng)絡(luò)接入層方面的管理框架洪水、未認(rèn)證入侵、偽冒AP洪水、零探測響應(yīng)等信息安全問題。然后就是無線網(wǎng)絡(luò)的訪問授權(quán)上，應(yīng)建立靈活、不同的訪問權(quán)限。靈活的權(quán)限便于建立用戶或用戶組與訪問資源的關(guān)聯(lián)，即角色劃分。不同的訪問權(quán)限可在網(wǎng)絡(luò)VLAN細(xì)化的基礎(chǔ)上結(jié)合源地址指定目的路由、核心系統(tǒng)不允許無線訪問而僅有線網(wǎng)絡(luò)訪問的技術(shù)防護等手段來實現(xiàn)?？傊?，需要根據(jù)網(wǎng)絡(luò)的類型、用戶的類別按照最小授權(quán)的原則，最大可能的不允許訪客訪問內(nèi)部信息資源。

3 無線網(wǎng)絡(luò)應(yīng)用的總結(jié)

無線網(wǎng)絡(luò)是有線網(wǎng)絡(luò)的強力替補，無線網(wǎng)絡(luò)的建設(shè)須有頂層設(shè)計。無線網(wǎng)絡(luò)的部署及相關(guān)保障措施由無線網(wǎng)絡(luò)的訪問資源決定，無線網(wǎng)絡(luò)應(yīng)保證接入方便、應(yīng)用方便和管理方便，此外，還需根據(jù)無線網(wǎng)絡(luò)的訪問資源的應(yīng)用情況配備相應(yīng)的的網(wǎng)絡(luò)安全防范及訪問審計機制。