安全上网是刚需,WiFi安全审计怎么做?

  1. 云栖社区>
  2. 博客>
  3. 正文

安全上网是刚需,WiFi安全审计怎么做?

沉默术士 2017-07-03 11:34:00 浏览1564
展开阅读全文

行业的规范化是一个行业发展必须的过程,目前猛科技WiFi圈接收到很多创业团队、创业公司在咨询遇到当地公安对安全的要求,如何满足?如何低成本的方式实现?

据悉,鉴于日前缺乏统一管理,存在巨大公共安全隐患的公共WiFi,包括非经营性的诸如餐饮、酒店、商超等场景,特别是新出现的公共交通场景的WiFi,将实现规范的准入制度管理。实际上,国家在2015年上半年就正式推出无线上网准入规范。

无线上网需求巨大,WiFi热点数量质量乏力

在商业WiFi没有流行前,我国提供的WiFi热点主要由三大国有电信运营商提供,热点数合计大约在400万-600万,均采取实名收费方式使用。

随着千元智能机的普及以及流量费的逐年降低,无线终端迅猛发展,据不完全统计,我国具备WiFi上网功能的设备终端(含只有WiFi上网接口的平板电脑)大约在10亿级别,运营商的热点远远不能满足企业和个人的需求。

由于各种原因,电信运营商是公众WiFi并没有找到好的盈利模式,多方信息显示,在未来运营商的热点不会增加。

随着2012年开始的商业WiFi创业热潮的来袭,无数个上万的热点开始在各种场景被建立,他们除了采取固网加路由的WiFi形态外,以公共交通为主要场景,诸如地铁、火车、公交车、出租车,出现上网卡加路由的WiFi形态。绝大多数属于免费提供,属于非经营性。预计在不久的将来,或许电信运营商提供的热点将被边缘化。

据猛科技分析,未来的热点将会形成如下格局,电信运营商热点、政府主推的公众热点、商业WiFi热点、商家自主WiFi和家用热点。

WiFi存在巨大信息安全隐患

值得关注的是,包括在2016年3月31日,在北京举行的中国WiFi产业联盟安全工作会议上,WiFi的安全成为讨论的焦点。在大会上推出了绿色上网倡议,以及针对网民的倡议和APP开发者的呼吁。接下来,由服务机构hotlabs将建立WiFi服务标准,让网民上网更加完全。

用通俗的说法来讲,WiFi的安全问题由三个完全不同的安全问题组成。有专家总结为三种模式,第一个叫网内有贼,第二个叫网就是贼,第三个叫网后有贼。

而从安全危害来讲有两个方面,一个是用户(企业或个人)隐私的泄露和(企业或个人)财产的不安全,另一个是面向政府信息管控的不安全。

不少媒体曾经报道过,用户在没有安全意识下登录一些有安全隐患的WiFi导致支付宝账号密码被盗,损失惨重;也有用户家里的WiFi被盗取导致个人隐私泄露。

在猛科技看来,钓鱼WiFi是目前WiFi不安全的最大问题。这个问题需要政府、从业企业和网民的共同努力,就像打击金融和通信诈骗一样。如果行业联盟联合成立打击钓鱼WiFi中心,与公安联动,或许是一个不错的选择,起码给诈骗份子一种有力的震慑。

82号令主导规范行业

据猛科技了解,《互联网安全保护技术措施规定》曾经在2005年11月23日公安部部长办公会议通过,二〇〇五年十二月十三日中华人民共和国公安部令第82 号发布,自2006年3月1日起施行,其中商户WiFi也被要求符合规范。

一些公司都按照公安部认证的要求,提供了一些解决方案,例如某互联网安全管理软件,主要针对网民网络行为控制,内容审计,黑白名单等。

主要内容如下:

“要求专门人员负责本单位的计算机信息网络国际联网网上备案工作。拒不落实安全保护技术措施的,公安机关将根据《计算机信息网络国际联网安全保护管理办法》第二十一条、第二十三之规定,给予警告并责令限期整改;在规定的限期内未改正的,对单位的主管负责人员和其他直接责任人员可以并处五千元以下的罚款,对单位可以并处一万五千元以下的罚款;情节严重的,并可以给予六个月以内的停止联网、停机整顿的处罚,必要时可以建议原发证、审批机构吊销经营许可证或者取消联网资格。”

三大门槛加速行业洗牌

按照目前的审计要求,国内无线热点存量以及新建热点必须全部接入公安网监平台,覆盖数千万公共热点。而目前市面中小场所热点数量仅为百万级以内,尤其以商业WiFi为主要运营方向的相关业内公司热点存量较少,仍有较大的发展空间。

而目前市面绝大部分商业WiFi运营公司产品均无相关符合公安部要求的审计功能,这也就意味着目前的商业WiFi运营公司生存空间更加狭小。大中型公共场所(车站、商超、公共交通、广场等)重点场所进场门槛提高,也就意味着市场竞争的门槛进一步提高。

猛科技分析认为,安全审计在一方面加速了行业的有序发展,特别是之前门槛低、安全意识淡薄、缺乏管理和运营能力差的现状,并不有利于行业的健康可持续发展。另一方面也实际上提高了行业门槛,主要体现在:

1、技术门槛

安全审计功能模块开发,要求对包括但不限于QCA/AR/BCM/MTK等无线网络芯片厂商的适配(根据自身使用的设备情况),同时,从运营的角度来看,需要审计能达到占用资源少,审计迅速等要求。特别是在车载WiFi领域,一旦审计,上网体验受到巨大影响,这对于普通的商业WiFi运营公司无疑是一个技术门槛。(对相关技术的研发投入,时间都是巨大的成本。)

2、资金门槛

按照目前的审计要求解决方案,硬件方面不说,在审计模式方面,需要无线接入场所负责单位承担审计费用,这将是一笔不可小觑的成本。有行业人士透露给猛科技,部分号称通过网安审核的公司,对外报价收取200-300元每台ap的授权费,另外10万元左右的审计系统费用,如果一家拥有1000台ap的公司,每年的审计费就需要20万,这让大多数从事WiFi创业的中小企业直接放弃。

3、满足全国市场的能力

对于那些提供商业WiFi解决方案的公司,按照目前公安部的要求,就算满足了公安三所提供的要求,也只是完成了第一步,每个城市有自己的要求,而全国各地差异化较大,甚至每个街道都有自己的要求,一家企业要想完成满足所有区域的要求,绝非易事。

一位业内资深认识告诉猛科技,如果一家企业全新开发,大致需要少则3个月,多则1~2年的研发时间。

如何降低审计成本?

有没有一种方式可以通过SDK的模式,实现云审计,降低成本?

目前主流的审计公司提供的审计方案基本沿用网吧时代的审计规范,审计成本较高。云计算的出现打破了审计信息化的瓶颈。其技术和理念恰好可以解决当前我国审计信息化所面临的问题。标准化的应用又解决了数据传输的难题,为数据信息在审计人员、云平台和被审计单位之间的传输奠定了基础。

据猛科技了解,已经有不少安全公司采用云审计模式,但这种插件的模式挑战也不小,特别是要求对所有的硬件厂家进行配合,也对网络体验造成一定的影响,是否有更好的技术方式?也有不少地方在尝试新型的审计模式,猛科技将持续关注这个领域的技术发展。

问题来了,如果一家本地无线网络服务商要做好符合公安网络完全要求,应该是自己去开发还是采取合作的方式呢?如何降低成本,快速发展,答案显而易见。

本文转自d1net(转载)

网友评论

登录后评论
0/500
评论
沉默术士
+ 关注