根据IDC最近进行的一项调查，72％的企业表示曾遇过网络入侵事件，39％表示在2002年感受到安全威胁的程度高于以往。市调机构Gartner的报告预测，在2005年将有20％的企业遭遇到严重的因特网安全事故。其中不仅包括病毒，更包含各种窃取信息与智能财产的犯罪。根据南韩警政署的报告，从2001年8月到2002年3月，共接获4376次安全入侵与黑客攻击的报案，约占全球在线攻击事件总数的39％。美国、中国以及台湾则分居第二、第三与第四。

在企业忙着解决各种安全问题之际，技术的演进将让这方面的工作更具挑战性，例如像各种Web服务对于新应用的安全性造成影响，而不安全的无线局域网络（WLAN）则对企业网络形成一个严重的潜在故障点。尽管无线局域网络面临这么多安全因素，但实际上业界已推出许多强固的技术工具来保护无线网络。然而，比使用正确工具更重要的，是企业须针对使用WLAN的员工推行一套可靠的策略，让他们培养正确的安全态度。若协助保护网络的人员不了解或遵守推行的安全策略，那么任何安全措施都难以发挥功效。

最主要的敌人

根据计算机技术产业协会（Computing Technology Industry Association；CTIA）的报告，造成大多数信息科技入侵的根本因素并不是技术，而是人为疏失。CTIA进行一项调查发现超过63％的IT安全入侵，人为的错误是成因之一，仅有8％的受访者表示安全问题是因技术层面的疏失所造成。

这项调查亦发现22％的受访者表示其IT部门员工最近没有接受任何安全技术训练，69％受访者表示该组织仅有不到25％的技术员工曾接受关于防范入侵的训练，有11％的受访者表示所有IT部门员工都受过适当的安全训练。本文将介绍现今有哪些技术能用来改进在使用WLAN时的安全性。之后会讨论在使用WLAN网络时，为何可靠的策略以及正确的安全态度会是最重要的因素。

补强无线局域网络的防御弱点

和任何网络一样，WLAN须具备充份的安全性才能确保隐私与数据完整性受到充份的保护。由于WLAN技术以无线电波传输为基础，令人对其网络安全性产生质疑。因此，企业的决策制定者必须了解WLAN安全风险的性质与范围，以及目前市面上能补强各种防御弱点的解决方案。

最初的802.11 WLAN标准采用Wired Equivalent Privacy（WEP）防护技术，这套技术在保护网络方面有许多先天的弱点。网络上有许多公开的工具让人自由下载，可用来入侵一个防御不周全的网络。因此，黑客可截收网络传输的数据，然后用这些工具破解出加密钥、拦截网络上的数据封包或对网络进行未经授权的存取。

尽管采用WEP技术的802.11以及最初推出的802.11 WLAN标准存在许多防御上的弱点，但Wi-Fi Protected Access（WPA）安全规格不仅提供强固的数据加密机制来弥补WEP的弱点，更加入WEP所欠缺的用户验证功能。WPA已被建置在各种WLAN产品，如Intel的Centrino行动运算技术已将它纳入为一项标准功能，许多厂商将这项保护技术开发成应用软件供用户下载。WPA并发挥暂时密钥完整性协议（temporal key integrity protocal；TKIP）的利益。TKIP已经过顶尖密码破解专家的精心设计与检验，为WLAN网络提供更完善的保护。

为进一步补强WEP的安全漏洞，许多企业开始建置802.11X技术标准，运用WLAN基础建设验证链接至通讯端口的装置，当验证流程失败时，就会拒绝该链接埠进行存取。802.11X能在无线客户端装置、存取点以及服务器之间提供有管制的链接埠存取环境。它采用持续改变的密钥取代WEP验证流程所使用的静态式密钥，且运用一套验证协议支持双向的验证作业。也就是存取点能检验客户端的身份，而客户端也可以判断存取点是否合法。在验证过程中，用户的传输作业须经过WLAN存取点才能链接至远程用户认证拨接服务（remote authentication dial-in user service；RADIUS）的后端服务器。由于802.11X涵盖有线与无线LAN，故企业不需训练与学习两种验证解决方案的技术。

802.11i 是一套预定于2003年底、2004年初制定完成的标准，将进一步强化WPA的验证与加密机制。它将针对新型与现有的802.11装置套用802.11X验证技术。最重要的是，它将加入先进加密标准（AES），以强化加密的保护能力以及数据的隐密性。802.11i亦将为现有的802.11硬件整合一套TKIP更新安全技术，为WEP提供一套强固的软件与韧体"wrapper"防护层。

VPN提供进一步的保护

以无线方式存取网络，并达到可扩充且成熟的模式以进一步提升网络的防护性，这些都是促使用户建构虚拟私有网络（VPN）的因素。VPN让公用或不安全的网络中的用户，如公众因特网或WEP型的802.11 WLAN，能建立一个安全的联机管道串连至私有网络。VPN能建立一个管线，并阻挡未经授权用户存取VPN，运用各种业界标准的安全机制将信赖程度提升至更高的水平，其中包括IPSec（Internet Protocol Security），藉此保护WLAN。IPSec 运用各种性能强固的算法，如Data Encryption Standard（DES）与Triple DES（3DES）来进行数据加密，并利用其它算法对数据封包进行验证。IPSec亦运用数字证书来检验公开密钥。当套用至WLAN时，由VPN网关负责处理验证、封装以及加密等作业。

最佳策略──针对常见之安全入侵的解决方案

为保护WLAN网络，网络存取（验证）与数据保护（加密）等问题都须加以克服。安全入侵通常来自不合法的存取点，通常是由员工在网络管理员不知情的状况下安装，且存取点中的许多安全功能都没有开启。IT管理员可依循一连串的最佳策略并运用许多保护组件。从最基本的安全机制到最新的验证与加密协议，IT部门可达成最高的安全防护效果。企业运用更安全的机制，其网络就能受到更严密的保护，并对数据的安全性更有信心。

让用户成为您的伙伴－－每位员工都要为安全负责

网络管理者可让办公室中每位PC用户"承担"安全责任，让所有网络用户成为 "安全探员"，每位员工都负有维护安全的责任，并须承担安全入侵的成本，协助企业管控安全风险。让每位员工察觉伪装存取点所造成的入侵风险，这类未经网络管理员同意或知悉而安装的存取点，会让企业的数据曝露在被窃取的危险下。企业应强调这方面的重要性，要求员工仅能链接至已知的存取点，并建立一套系统让用户能知悉存取点的实际名称。企业亦须训练用户在使用peer-to-peer对等式网络进行无线通信所面临的安全风险，以及在公众或公用区域中使用标准通讯模式所承担的风险。

企业必须协助员工了解没有实行防护措施将承担许多风险，特别是须教导用户如何检查其PC中的各种安全机制，并在有需要时启动这些机制。这种策略可更早管理与控制网络的安全。

推行安全策略减少人为错误

任何WLAN若没有配合相关的策略以及定期的安全检查，就会面临一定程度的风险。建置后不理，这种作法是迈向网络被入侵的第一步。网络管理者应发布一份服务层级协议或制定有关无线网络安全的相关策略。管理者应针对各项策略指派负责执行的人员，负责执行相关的工作。例如，指派经过训练后的任务负责人去执行特定工作，定期扫瞄在企业网络附近是否有伪装或不明的存取点。企业亦须变更存取点的默认管理密码以及SSID，并建置动态式密钥（802.11X）或定期更新组态设定密钥。这些都有助于降低未经授权存取网络的机率。

运用实体通讯范围强化防御

WLAN有限的通讯距离可用来强化网络安全。例如，存取点最好放置在接近建筑物中央的位置，并避免将存取点面向墙壁或窗户。这种作法不仅让WLAN的通讯范围能涵盖所有办公室，亦能减少外界入侵的机率。亦可尽量减低存取点的广播功率，或仅涵盖必要的通讯区域。例如，WLAN的通讯范围不需要涵盖办公楼层中的开放式用餐区。

网络无线化对企业有利

就企业而言，生产力鲜少能出现跳跃性的成长。行动运算与无线技术则发展成一个相当显著的例外，能让员工的生产力大幅提升。但在获得生产力之前，必须先实行一定水平的安全措施，否则还未享受生产力的利益之前就将面临无数安全入侵与黑客攻击等事件。包括像WPA等技术现已为WLAN建构巩固的防御机制，许多主要第三方亦提供强固的安全方案，能与未来的802.11i标准安全方案达到前向兼容性。但建置安全的无线技术仅是成功的一半。另一半则须依赖我们自己。有些企业透过股票选择权制度，以及鼓励举行定期的公司会议，让员工对企业产生归属感以及责任心。透过教育企业员工──从资深阶级到管理阶级的人员，让他们了解遵循安全策略所能获得的利益，并了解自己在保护WLAN的工作中亦是不可或缺的一环，如此企业才能真正享受到无线化工作环境所带来的利益。透过正确的安全技术与企业文化，现在正是积极建置WLAN的最佳时机，这些WLAN采用像是Intel Centrino行动运算技术的方案作为基础，让企业无线化，运用适合的工具提高生产力、安全性以及防御能力。（作者为英特尔通讯事业群产品营销经理）