有線網絡已死！這是對無線網絡最樂觀的估計，雖然這樣的結論只能歸結到標新立異，但是從應用發展趨勢來看，無線網絡確實已經成為網絡中最重要的接入技術，并且逐漸有取代有線網絡的趨勢。與此相伴而來的，是無線網絡安全問題的再次凸顯。特別是對大型園區而言，一旦無線網絡受到威脅，輕則導致數據丟失，重則發生業務中斷的嚴重后果。正是基于這樣的考慮，日前，西安高新技術產業開發區管理委員會（以下簡稱：高新區管委會）在進行網絡建設的時候，就通過在無線上網認證系統服務器部署浪潮主機安全增強系統（以下簡稱：浪潮SSR），成功守衛了無線網絡安全的大門。

無線網絡：方便升級 安全堪憂

“我們高新區是1991年3月經國務院首批批準的國家級高新區。24年來，高新區主要經濟指標增長迅猛，綜合指標位于全國114個國家級高新區第三位。” 高新區管委會負責人表示，“現在，我們決定在管委會以及附近區域部署無線網絡，作為未來整個高新區無線網絡的試點工程。未來，我們將會在高新區的所有企業和公共區域部署無線網絡，逐漸替代有線網絡。”

無線網絡可以提供更為靈活的接入，但是安全的防護卻比有線網絡更為困難，這是因為無線網絡和有線網絡最大的區別就是，一個是隨時隨地，只要有信號就可以展開攻擊；一個是必須依賴于有一個網絡接口。而且通常情況下，一個私自搭建的無線接入點很可能會破壞掉整個防御體系。

“如何確保無線網絡的安全是讓我們十分頭疼的事，”該負責人表示，“這是因為我們的無線網絡必須保證萬無一失。”高新區管委會對無線網絡安全問題如此重視，是有兩個原因：未來無線網絡將承接園區內企業的生產系統；無線網絡的身份認證系統與系統中的其他部分相連。因為承接園區的生產系統，那么無線網絡就和水和電一樣，都是最基礎的資源，一旦網絡出現問題，就面臨業務中斷的風險。

而從目前無線網絡的架構來看，身份認證服務器是守衛在無線網絡管理的要害部位。用戶從AP連接無線，首先進行的是身份認證過程，在這個過程中，認證服務器會將User Profile名稱下發給無線控制器，控制器會立即啟用User Profile里配置的具體內容。當用戶通過認證訪問設備時，控制器將通過這些具體內容限制用戶的訪問行為。當用戶下線時，系統會自動禁用User Profile下的配置項，從而取消User Profile對用戶的限定。一旦黑客通過上網認證系統窗口反向攻擊系統服務器，獲取服務器權限之后，就可順延攻擊企業內部網絡中其它重要服務器，從而導致整個無線網絡系統癱瘓。

雖然身份認證服務器守衛了無線網絡的關鍵入口，但是本身的安全情況并不客觀。一方面，系統漏洞的“真空期”無法避免。從操作系統漏洞被發現，到最后廠商發布可以穩定運行的補丁，一般有3到6個月的“真空期”，這段時間內便是操作系統最脆弱的時期，最容易被攻破。另一方面，系統維護也存在風險。超級用戶權限都不受限制，其采用的“用戶名+口令”的單一認證方式無法有效應對黑客使用暴力破解的攻擊方式。而在日常維護方面，系統人為加固“補丁”更新不及時。這些都給黑客以可乘之機。

“正是基于以上的分析，我們決定在加強無線網絡的安全防護之時，把上網認證系統服務器作為一個重要的部分。”該負責人表示。

浪潮SSR為無線網絡把好安全關

在制訂了安全策略之后，管委會考察了多個解決方案之后，經過綜合評估，選定了浪潮SSR對服務器底層進行安全加固，防止無線上網認證系統服務器被惡意攻擊者利用。“之所以選擇浪潮SSR，是因為我們研究了SSR的工作原理，浪潮SSR通過ROST技術原理，能夠對服務器設置訪問控制規則，對系統內核層進行加固，能夠幫助我們的無線網絡把好安全關。”該負責人說。

通過在驅動層加上安全內核模塊，SSR攔截了所有的內核訪問路徑，所有符合高新區無線網絡規則的文件、注冊表、進程、服務、權限都予以“放行”，不符合規則的就進行屏蔽。這樣的強制訪問控制功能可以確保操作系統用戶不被新建、權限不被更改，惡意攻擊者如果想通過無線網絡上網認證系統攻擊服務器，將無法創建用戶并提權。

針對系統“真空期”的容易受到攻擊的問題，浪潮SSR不需要依賴病毒行為特征庫來識別攻擊，而是采用白名單防護技術。這就把事后“修補”變為了徹底“免疫”，徹底杜絕了“真空期”的存在，保證了系統的安全運行。

即使最壞的情況發生，惡意攻擊者暴力破解現有操作系統管理員權限，也無線對系統造成實質性的傷害，這是因為浪潮SSR三權分立技術，把系統管理員、安全管理員和審計管理權限分開，系統管理員能做的事情由安全管理員分配，安全管理員無法直接對系統操作，而審計管理員對前兩者進行完整操作記錄，確保操作系統管理員權限被獲取也無法對操作系統造成破壞。

 “在無線網絡的環境中，SSR守護的這道安全門非常重要。”該負責人表示，“有了浪潮SSR為我們的無線網絡站崗之后，我們對無線網絡的應用增強了信心，也給未來使用的企業吃了定心丸。”