本地內聯網、互聯網 WiFi 網絡設備保安

中小企業內聯網的保安手段離不開路由器 (router) 及防火牆 (firewall) 的使用。現在一般中小企業使用的路由器大部份都是多功能、可配置防火牆或其他網絡功能如 lPS (Intrusion Prevention Service) 以避免網絡襲擊。中小企業必須確定這些功能設置開啟,系統自動韌體更新 (firmware update) 亦須啟動。中小企業人手資源比較緊張,自動更新比手動更新較佳。其它保安措施主要有:

WiFi 路由器

今天 WiFi 路由器是集互聯網連接、保安及 WiFi 網絡功能於一身(或稱為寬頻路由器, broadband router)。WiFi 網絡是一非物理性連接 (no physical connection) 的網絡,對其保安手段的設置必須非常重視,無論是一般寫字樓、工厦、家居的 WiFi 路由器,其保安設置應以最高等級的配置為目標; 以下列舉必要的保安措施:

1.跟使用路由器、防火牆硬件一樣,其原廠保安密碼必須更改,系統自動更新應該啟動。

2. SSlD 的配置

WiFi 用户端為了搜尋正確的網絡使用,是以SSID識認; 比較保護私隱的做法是使用不容易顯示身份的 SSlD 名字,例如避免使用公司名字。如果可以控制用户端 WiFi 設定的話,應預先鍵入SSID,並隱藏 SSID 碼就更好。

3.必須使用自己配置的 WiFi 加密系統

現時一般較常用、安全、中小企業易於執行的標準為 WPA2。WPA2 密碼會在用户端按入使用,請仔細考慮誰人可知道其內容,及好好備份該密碼於安全的地方,密碼亦應該定期更新。

4.用户端使用權限 (access rights)

所有網絡設備 (桌面電腦、平板電腦、智能手機) 必備有以太地址 (Ethernet MAC Address)。中小企業可收錄各用户端硬件的以太地址成一清單,並按入路由器權限的設置上,強制路由器只可為名單上的硬件服務。

5.應該從你的內聯網利用瀏覽器設置路由器的配置。

6.考慮到商業上訪客會使用你公司的 WiFi 網絡,請選擇使用一些設有獨立訪客配置 (Guest WiFi) 的路由器,並盡可能設置 Guest WiFi 密碼,有訪客到來方告知其密碼,並定期更改。Guest WiFi 能獨立於你公司WiFi內聯網,技術上令整個網絡系統私隱度較高一籌。

 

互聯網連接

中小企業辦公室要通往雲端,租用電訊服務商的寬頻上網必不可少。寬頻網絡商亦有機會提供你上網賬户名稱及初始密碼,一般情況下,你可利用寬頻網絡商提供的網頁設定版面更改你的賬户密碼; 如果其服務還提供互聯網保安的增值服務 (如防火牆),可開啟使用。

另外,有些寬頻路由器提供虛擬網絡功能 (VPN,virtual private network),提供一個接口方便用户透過公眾網絡,接駁公司內聯網的伺服器或其他網絡設備 (如遠端儲存設備 NAS,network access storage)。

未有雲端服務普及的時期,VPN 不失為遠端獲取公司數據、檔案及軟件應用服務的方案。但是從保安角度考慮,相關設備、系統繁復的及較多的手動配置只會令有更多機會暴露保安弱點。所以對中小企而言,減少使用或避免自設的 VPN,並利用雲端服務實為最佳策略; 同時更應該把公司本地網絡 (local area network)、內聯網 (intranet) 內設備的遠端接口 (remote access) 完全關閉。

 

Have more questions? Submit a request

0 Comments

Please sign in to leave a comment.
Powered by Zendesk