通過學習上一篇《安氏領信全力打造WLAN空中堡壘——系列四：WLAN安全體系篇》，相信大家對安氏領信WLAN安全保障體系框架模型——LWAF的四大特點有了深刻的認識。本期我們著重來了解一下WLAN安全的評估服務和培訓服務。

　　隨著智能手機和移動辦公市場的興起，無線網絡建設大幅度提高。區別于傳統有線網絡，無線網絡是以電波形式傳遞數據信息。作為一種新型的數據接入方式，無論其數據協議還是專用網絡設備都可能存在一些漏洞，一旦這些漏洞被非法組織或個人利用，勢必嚴重影響網絡的正常運行，給用戶、企業或其他單位造成損失。從網絡安全發展角度來看，WLAN網絡安全將是今后網絡信息安全發展的一項重要課題。

　　

　　北京安氏領信科技發展有限公司（Linktrust）作為專門從事網絡安全服務的企業，07年開始設立專門的WLAN安全研究實驗室，結合國內外WLAN安全的典型攻防案例，對網絡結構、業務應用、底層協議等進行深入研究。安氏領信在多年安全實踐的基礎上，密切關注國際、國內漏洞機理研究的最新動態，積極探尋與WLAN系統相關的各種安全性特征，為此建立了全面專業的漏洞及攻擊特征庫，在取證、驗證技術上都有較高水平。

　　為了提高使用者的無線網絡安全意識，防范使用中的不安全因素，安氏領信在2011年4月份隆重推出專業的“WLAN業務安全評估服務”和“WLAN安全培訓”。

　　一、WLAN安全評估服務

　　安氏領信（Linktrust）的WLAN安全評估服務主要從基礎設施安全、通信服務安全、業務應用安全三個層面進行安全分析和設計相應安全措施。

　　

　　圖1：通信網絡安全三個層面（ITU-T X.805 ）

　　§基礎設施安全評估

　　也就是傳統意義的安全評估。例如：評估的內容可能包括有對網絡設備、主機設備、操作系統、數據庫等評估，更細化的評估可能是針對用戶口令管理、補丁管理、服務端口管理、操作系統配置、安全機制等具體內容。

　　§通信服務安全評估

　　跟傳統的評估不一樣的地方ITU-T X.805 / ISO/IEC 18028-2多了通信服務和業務應用的評估

　　安氏領信（Linktrust）通信服務評估內容包括針對專用通信協議的正確性和有效性評估，看該協議能否對網絡之中出現的情況和問題做出正確的處理；通信配置(AC、AP等)、通信接口評估分析內外網不同接口，可模擬系統涌入超大量通信數據時的接口處理情況；分析通信安全域、會話邊界防護、業務邊界等基于通信的訪問控制策略。

　　§業務應用安全評估

　　安氏領信（Linktrust）業務應用評估的內容主要針對通信網絡提供的業務應用進行評估，服務相關性、數據流、業務操作維護、業務訪問相關的審計、業務連續性、業務模式的安全性、應用從開發到維護的安全性等。

　　業務應用安全評估主要包含的內容：

　　①流量盜用風險評估

　　正常使用WLAN業務提供的互聯網服務需要經過認證鑒權流程的檢驗，通過驗證方能使用互聯網服務。以往的案例證明通過某些特殊技術手段是可以繞過認證流程，免費使用WLAN服務的。

　　使用安氏WLAN業務安全評估工具對DNS Tunnel等流量盜用方式進行評估，檢查當前WLAN系統中是否存在該風險。

　　②認證鑒權風險評估

　　梳理WLAN業務系統中認證鑒權實現流程，分析web認證系統結構、web用戶接入流程、web用戶下線流程、定期自動認證流程和用戶在線沖突處理流程是否規范，是否存在安全風險。

　　③業務可用性風險評估

　　WLAN系統網絡、設備、應用程序的持續穩定運行是中國移動提供互聯網上網服務的基本要求，業務可用性風險評估主要分析無線網絡層面、AC和AP設備、會話管理等方面可能導致業務無法向用戶提供的的安全風險。

　　④信息泄露風險評估

　　用戶使用WLAN業務訪問互聯網會傳輸各種應用數據，其中可能包括網銀、網上營業廳等涉及敏感信息的業務，沒經過安全加固和配置WLAN系統存在泄露用戶敏感數據的風險。

　　⑤portal應用安全弱點評估

　　發現portal系統中存在的安全隱患（包括安全功能設計、安全弱點、以及安全部署中的弱點等），并針對問題提供解決方案建議。

　　二、WLAN安全培訓服務

　　安氏領信（Linktrust）WLAN安全培訓面向技術人員、維護人員、管理人員，培訓分三個階段：WLAN通信基礎培訓、WLAN業務應用培訓、WLAN安全技術培訓。通過該階段的培訓學習全面提高無線安全技術和操作技能，符合相關信息安全工作崗位的能力要求。

　　安氏領信（Linktrust）WLAN通信基礎培訓

　　安氏領信（Linktrust）WLAN通信基礎培訓涵蓋了通信領域的基礎層面，包括：無線網絡的標準規范、無線通信及無線網絡的基礎知識。通過培訓，提高對無線通信原理、國際標準的了解并掌握無線傳輸的特點。

　　

　　安氏領信（Linktrust）WLAN業務應用培訓

　　安氏領信（Linktrust）WLAN業務應用培訓包含了：無線網絡組網與應用。通過培訓，在熟悉無線原理基礎之上，讓安全管理人員了解無線業務應用范圍，掌握無線網絡安全部署方案，提高應用和實施的水平。

　　

　　安氏領信（Linktrust）WLAN安全技術培訓

　　安氏領信（Linktrust）WLAN安全技術培訓包括：無線網絡的安全基礎、無線網絡攻擊威脅。通過培訓，在掌握無線組網與應用基礎之上，一方面讓安全管理人員熟悉無線通信中不同加密傳輸的原理，以及各自的優缺點；另一方面熟悉無線網絡攻擊原理，安全軟件的使用，做到知己知彼百戰不殆，真正提高安全管理人員分析和處理問題的能力。

　　

　　三、服務價值

　　匯總以上提到的各項內容，我們能夠總結出以下三點服務價值：

　　①通過安全評估，可以發現WLAN系統的各個層面的安全問題，包括業務層面、無線設備、傳統有線設備的安全問題。包括系統漏洞攻擊、業務盜用、信息泄露等各種安全風險。

　　②通過安全評估，對WLAN系統的各種風險提出安全解決措施建議，協助對安全風險進行整改。

　　③通過項目中的知識轉移，WLAN系統運維人員、安全技術人員可以充分了解系統現狀，從理論到實踐層面提高安全認識和技能。

　　看完全文您是否對安氏領信推出的WLAN安全評估服務和培訓服務有了深入的了解？下一期，《安氏領信全力打造WLAN空中堡壘——系列六：合規管理篇》，將為大家介紹安氏領信在WLAN合規管理方面的精彩內容，敬請期待。