根據IDC最近進行的一項調查，72％的企業表示曾遇過網路入侵事件，39％表示在2002年感受到安全威脅的程度高於以往。市調機構Gartner的報告預測，在2005年將有20％的企業遭遇到嚴重的網際網路安全事故。其中不僅包括病毒，更包含各種竊取資訊與智慧財產的犯罪。根據南韓警政署的報告，從2001年8月到2002年3月，共接獲4376次安全入侵與駭客攻擊的報案，約佔全球線上攻擊事件總數的39％。美國、中國以及臺灣則分居第二、第三與第四。

在企業忙著解決各種安全問題之際，技術的演進將讓這方面的工作更具挑戰性，例如像各種Web服務對於新應用的安全性造成影響，而不安全的無線區域網路（WLAN）則對企業網路形成一個嚴重的潛在故障點。儘管無線區域網路面臨這麼多安全因素，但實際上業界已推出許多強固的技術工具來保護無線網路。然而，比使用正確工具更重要的，是企業須針對使用WLAN的員工推行一套可靠的策略，讓他們培養正確的安全態度。若協助保護網路的人員不瞭解或遵守推行的安全策略，那麼任何安全措施都難以發揮功效。

最主要的敵人

根據電腦技術產業協會（Computing Technology Industry Association；CTIA）的報告，造成大多數資訊科技入侵的根本因素並不是技術，而是人為疏失。CTIA進行一項調查發現超過63％的IT安全入侵，人為的錯誤是成因之一，僅有8％的受訪者表示安全問題是因技術層面的疏失所造成。

這項調查亦發現22％的受訪者表示其IT部門員工最近沒有接受任何安全技術訓練，69％受訪者表示該組織僅有不到25％的技術員工曾接受關於防範入侵的訓練，有11％的受訪者表示所有IT部門員工都受過適當的安全訓練。本文將介紹現今有哪些技術能用來改進在使用WLAN時的安全性。之後會討論在使用WLAN網路時，為何可靠的策略以及正確的安全態度會是最重要的因素。

補強無線區域網路的防禦弱點

和任何網路一樣，WLAN須具備充份的安全性才能確保隱私與資料完整性受到充份的保護。由於WLAN技術以無線電波傳輸為基礎，令人對其網路安全性產生質疑。因此，企業的決策制定者必須瞭解WLAN安全風險的性質與範圍，以及目前市面上能補強各種防禦弱點的解決方案。

最初的802.11 WLAN標準採用Wired Equivalent Privacy（WEP）防護技術，這套技術在保護網路方面有許多先天的弱點。網路上有許多公開的工具讓人自由下載，可用來入侵一個防禦不週全的網路。因此，駭客可截收網路傳輸的資料，然後用這些工具破解出加密鑰、攔截網路上的資料封包或對網路進行未經授權的存取。

儘管採用WEP技術的802.11以及最初推出的802.11 WLAN標準存在許多防禦上的弱點，但Wi-Fi Protected Access（WPA）安全規格不僅提供強固的資料加密機制來彌補WEP的弱點，更加入WEP所欠缺的使用者驗證功能。WPA已被建置在各種WLAN產品，如Intel的Centrino行動運算技術已將它納入為一項標準功能，許多廠商將這項保護技術開發成應用軟體供用戶下載。WPA並發揮暫時密鑰完整性協定（temporal key integrity protocal；TKIP）的利益。TKIP已經過頂尖密碼破解專家的精心設計與檢驗，為WLAN網路提供更完善的保護。

為進一步補強WEP的安全漏洞，許多企業開始建置802.11X技術標準，運用WLAN基礎建設驗證連結至通訊埠的裝置，當驗證流程失敗時，就會拒絕該連結埠進行存取。802.11X能在無線客戶端裝置、存取點以及伺服器之間提供有管制的連結埠存取環境。它採用持續改變的密鑰取代WEP驗證流程所使用的靜態式密鑰，且運用一套驗證協定支援雙向的驗證作業。也就是存取點能檢驗客戶端的身份，而客戶端也可以判斷存取點是否合法。在驗證過程中，使用者的傳輸作業須經過WLAN存取點才能連結至遠端使用者認證撥接服務（remote authentication dial-in user service；RADIUS）的後端伺服器。由於802.11X涵蓋有線與無線LAN，故企業不需訓練與學習兩種驗證解決方案的技術。

802.11i 是一套預定於2003年底、2004年初制定完成的標準，將進一步強化WPA的驗證與加密機制。它將針對新型與現有的802.11裝置套用802.11X驗證技術。最重要的是，它將加入先進加密標準（AES），以強化加密的保護能力以及資料的隱密性。802.11i亦將為現有的802.11硬體整合一套TKIP更新安全技術，為WEP提供一套強固的軟體與韌體"wrapper"防護層。

VPN提供進一步的保護

以無線方式存取網路，並達到可擴充且成熟的模式以進一步提升網路的防護性，這些都是促使用戶建構虛擬私有網路（VPN）的因素。VPN讓公用或不安全的網路中的使用者，如公眾網際網路或WEP型的802.11 WLAN，能建立一個安全的連線管道串連至私有網路。VPN能建立一個管線，並阻擋未經授權使用者存取VPN，運用各種業界標準的安全機制將信賴程度提升至更高的水準，其中包括IPSec（Internet Protocol Security），藉此保護WLAN。IPSec 運用各種性能強固的演算法，如Data Encryption Standard（DES）與Triple DES（3DES）來進行資料加密，並利用其它演算法對資料封包進行驗證。IPSec亦運用數位憑證來檢驗公開密鑰。當套用至WLAN時，由VPN閘道器負責處理驗證、封裝以及加密等作業。

最佳策略──針對常見之安全入侵的解決方案

為保護WLAN網路，網路存取（驗證）與資料保護（加密）等問題都須加以克服。安全入侵通常來自不合法的存取點，通常是由員工在網路管理員不知情的狀況下安裝，且存取點中的許多安全功能都沒有開啟。IT管理員可依循一連串的最佳策略並運用許多保護元件。從最基本的安全機制到最新的驗證與加密協定，IT部門可達成最高的安全防護效果。企業運用更安全的機制，其網路就能受到更嚴密的保護，並對資料的安全性更有信心。

讓使用者成為您的夥伴－－每位員工都要為安全負責

網路管理者可讓辦公室中每位PC使用者"承擔"安全責任，讓所有網路使用者成為 "安全探員"，每位員工都負有維護安全的責任，並須承擔安全入侵的成本，協助企業管控安全風險。讓每位員工察覺偽裝存取點所造成的入侵風險，這類未經網路管理員同意或知悉而安裝的存取點，會讓企業的資料曝露在被竊取的危險下。企業應強調這方面的重要性，要求員工僅能連結至已知的存取點，並建立一套系統讓使用者能知悉存取點的實際名稱。企業亦須訓練使用者在使用peer-to-peer對等式網路進行無線通訊所面臨的安全風險，以及在公眾或公用區域中使用標準通訊模式所承擔的風險。

企業必須協助員工瞭解沒有採行防護措施將承擔許多風險，特別是須教導使用者如何檢查其PC中的各種安全機制，並在有需要時啟動這些機制。這種策略可更早管理與控制網路的安全。

推行安全策略減少人為錯誤

任何WLAN若沒有配合相關的策略以及定期的安全檢查，就會面臨一定程度的風險。建置後不理，這種作法是邁向網路被入侵的第一步。網路管理者應發佈一份服務層級協議或制定有關無線網路安全的相關策略。管理者應針對各項策略指派負責執行的人員，負責執行相關的工作。例如，指派經過訓練後的任務負責人去執行特定工作，定期掃瞄在企業網路附近是否有偽裝或不明的存取點。企業亦須變更存取點的預設管理密碼以及SSID，並建置動態式密鑰（802.11X）或定期更新組態設定密鑰。這些都有助於降低未經授權存取網路的機率。

運用實體通訊範圍強化防禦

WLAN有限的通訊距離可用來強化網路安全。例如，存取點最好放置在接近建築物中央的位置，並避免將存取點面向牆壁或窗戶。這種作法不僅讓WLAN的通訊範圍能涵蓋所有辦公室，亦能減少外界入侵的機率。亦可儘量減低存取點的廣播功率，或僅涵蓋必要的通訊區域。例如，WLAN的通訊範圍不需要涵蓋辦公樓層中的開放式用餐區。

網路無線化對企業有利

就企業而言，生產力鮮少能出現跳躍性的成長。行動運算與無線技術則發展成一個相當顯著的例外，能讓員工的生產力大幅提升。但在獲得生產力之前，必須先實行一定水準的安全措施，否則還未享受生產力的利益之前就將面臨無數安全入侵與駭客攻擊等事件。包括像WPA等技術現已為WLAN建構鞏固的防禦機制，許多主要協力廠商亦提供強固的安全方案，能與未來的802.11i標準安全方案達到前向相容性。但建置安全的無線技術僅是成功的一半。另一半則須依賴我們自己。有些企業透過股票選擇權制度，以及鼓勵舉行定期的公司會議，讓員工對企業產生歸屬感以及責任心。透過教育企業員工──從資深階級到管理階級的人員，讓他們瞭解遵循安全策略所能獲得的利益，並瞭解自己在保護WLAN的工作中亦是不可或缺的一環，如此企業才能真正享受到無線化工作環境所帶來的利益。透過正確的安全技術與企業文化，現在正是積極建置WLAN的最佳時機，這些WLAN採用像是Intel Centrino行動運算技術的方案作為基礎，讓企業無線化，運用適合的工具提高生產力、安全性以及防禦能力。（作者為英特爾通訊事業群產品行銷經理）