监管单位提要求，金融行业WLAN建设需重视！

互联网信息时代，信息安全越来越受关注。尤其涉及金融数据、财产信息，一旦出现网络安全问题，损失不可估量。据可靠消息，为了应对无线网络信息截取、非法侵入、伪冒诈骗等风险，监管单位发文对金融机构内外网WLAN建设、专用移动通信网建设提出了明确要求。

监管单位要求：“严格禁止私乱搭建和未经授权使用无线网络；建立无线网络的审批备案管理制度，对使用需求，访客权限和用户行为进行严格管理；内外网实施严格隔离；对无线接入点进行准入控制和数据防泄漏；内网禁止SSID广播；WLAN应该通过绑定设备序列号或MAC地址等信息进行准入控制；安全风险评估和测试……”

作为专业的无线网络供应商，信锐技术针对金融无线网络需求，设计了一套完备的安全网络管理解决方案，并能满足此次监管单位对无线安全提出的要求。

信锐技术金融行业无线安全措施

1.信锐无线可以对非法接入点进行自动检测和反制，针对办公大楼及周围非银行建设的无线网络（比如私接的家用路由器、手机开设的Wi-Fi热点），都可以实时检测出来并报警通知管理员，同时进行自动抑制，杜绝员工终端连接到私搭乱建和未经授权的无线网络；

2.可以根据使用需求划分多个不同且逻辑安全的SSID，用于不同使用场景，比如业务办公、互联网办公和访客网络三个网络；

3.通过AC行为管理或者无线AC进行访问权限控制，不同员工、部门、上网位置、时间段、接入终端分配不一样的访问权限；

4.通过上网行为管理和审计，对用户行为进行严格管理。一方面禁止员工使用非法应用，规范员工上网行为；另一方面通过审计记录员工上班时访问的各类应用及时长，进行员工行为大数据分析；

5.信锐无线AP与无线AC之间具备激活程序，不是所有的AP接到信锐的无线AC上都能使用，必须经过一个激活过程，我们可以通过设备SN序列号或者MAC地址进行准入控制；

6.银行内网WLAN建议采用安全性较高的认证方式，比如802.1X或者CA证书认证，可以实现全程的加密通信（包括认证过程和上网过程），防止信息被非法窃听、伪造、篡改或者重放。一定要避免使用Portal、PSK、OPEN等安全性较差的认证方式；

7.信锐无线设备默认只启用部分必要的管理端口（比如https443），对于不必要的端口默认是关闭的；

8.信锐无线网络管理账户的密码在首次登陆时会强制要求更改，必须包括字母/数字/字符中的两种以上，且不低于8位，保证不出现弱密码；同时可以限制管理员账号在固定的IP或者IP段才能登陆；

9.内网WLAN采用双因素认证方式进行身份效验，信锐可以通过多种方式实现，一是账号+终端MAC地址；二是账号+已绑定手机的短信随机验证码；三是账号+口袋助理或者其他APP审核；

相比传统厂商，信锐无线在金融安全方面还具有以下优势：

→部署无线AP(用于扫描和反制)，即可以阻止用户连入相似以及相同SSID的私接Wi-Fi、非法钓鱼Wi-Fi（相同SSID的通过设置信任的SSID和BSSID）；对金融行业用户原有网络也能实现对接监控；

→信锐无线支持自动注销长时间无流量的用户，并进行账号安全画像分析，可以分析出哪些账号＞7天或者30天未登陆使用，方便真正停用这些上网账号；

→可以通过部署信锐无线控制器，实现内部员工双因素用户统一认证，以及外部访客实名认证（短信、微信、账号密码）；

→对网络安全威胁持续监控；深信服安全感知平台+探针；对安全设备进行联动，如深信服安全态势感知。

→可以实现控制终端在内网和外网交叉使用风险；

目前，信锐技术已服务招商银行超过2000家全国营业网点、湖南省农村信用社联合社营业网点2000家；浙商银行全国分行等超过百家金融行业用户选择信锐无线，为其提供了集中管理、可视化界面、安全稳定的无线网络解决方案。