众网数聚合-金融机构解决方案

Financial institution solutions

--行业痛点：

弱防护：

没有部署功能完备的独立无线入侵防御系统。依靠传统无线网络设备集成的无线入侵防御功能模块只能实现简单的无线防御。在无线设备日益增多的环境中，设备厂商集成的无线入侵防御模块其入侵识别率低（无线检测特征码库少）、无法管理空域内全部无线设备（只能管控连接到自有AP设备上的无线终端）、入侵检测效率低（和无线AP共享射频硬件）的弊端也日益突出，已经无法满足当前的无线网络安全防御需求。

无预警：

在无线网络攻击发生之时，无法及时告警，进行威胁评估，只能依靠管理员进行攻击感知，通过较为传统的模拟数据流的方式进行问题重现和排查，解决问题时效性较差，运维人员的工作压力也会增大，有时并不能解决所有入侵问题。

无值守：

在管理时间上，管理部门无法做到7*24小时监控无线网络安全，如果攻击行为出现在人员未在场的时间段内，金融机构无线网一旦被黑客攻破入侵，那么对于网内宝贵的资料，其保密性将不复存在，这是不可想象的。

难管控：

对于金融机构员工的行为，管理员无法做到端到端的规范约束。员工在日常使用无线的时候经常出现私搭热点的情况，干扰到无线网络的正常使用。而且部分员工如果在移动终端上安装类似于Wi-Fi万能钥匙等APP，也会将无线网络的安全准入密码泄露，这些行为都会暴露银行无线网络，会造成潜在的安全隐患。

--众网威盾解决方案：

介绍：

针对金融机构无线网络的安全加固，建立一套实时监控、管理、防护、灵活的无线网络入侵防御系统，众网威盾基于无线网络二层数据链路层进行补强，在无线网络核心建联过程中增加安全防护手段，从原来三层到七层的安全防护演进为二层到七层的安全防护。金融系统无线网络安全防护采用集中式网络固定部署加移动便携部署相结合的方式。

无线设备发现与管理：

通过不间断的扫描，发现区域内所有无线AP和无线终端，无论是自有的无线热点和无线客户端，还是非自有的无线热点和无线客户端；无论是钓鱼热点、隐藏热点、虚拟热点，还是无线直连、无线桥接，都可以做到可发现、可管理、可控制。无线入侵防御系统可以协助管理部门掌握到更多的无线终端的使用情况，将这些设备添加到设备列表中，形成初步的资产管理。解决金融机构当前无线环境无法清晰可视化的管理难题。

无线行为管控：

无线入侵防御系统会对所有的AP与无线终端的无线行为进行监控，将具有攻击行为的非法热点、无线终端向管理人员告警，协助其完成首次排查，将不合法的无线热点和终端阻断，不允许这些终端连接到合法的无线网络中。通过灵活设置安全规则，自动对非法设备进行有效的无线连接阻断，防止其威胁自有无线网络，同时合法的终端不会误连接到恶意的无线热点上，避免授权无线终端上重要信息的泄露。解决金融机构无线网络难管控的安全隐患。

攻击防范与处理：

在一个时间段内对无线网络攻击次数、攻击类型进行统计与追溯，可以整体提高无线网络安全系数，将一些不安全的终端更换，对比较重要的链路实现加密传输，对边缘化AP适当降低功率借以缩小覆盖范围等手段进行安全加固，长期如此可确保金融机构无线网络更加可靠，出现被攻破的几率也会大大降低。解决金融机构无线网络入侵检测效率低、识别率低的安全隐患。

全时监控防御：

在完成首次无线扫描之后，合法的设备会添加到白名单中，成为可信合法设备。具有攻击行为的设备也被添加到黑名单中进行永久的安全隔离阻断。在后面的日常维护中，管理部门只需要针对所有无线安全防御终端进行定期查看，确保整套防御系统正常运行即可。借助于无线入侵防御系统，做到7X24小时实时监控无线网络，解决金融机构当前无线网络无预警、无值守的安全隐患。