如何保护用户信息安全？看银行用小AP解决钓鱼Wi-Fi大问题

“你们这里有Wi-Fi吗，密码是多少？”对于很多场所来说，每天遇到最多的问题就是询问无线网络的密码。随着网络和通讯技术的发展以及人民生活水平的提高，互联网已经成为人们生活中必不可少的获取信息的渠道，其中无线已经成为人们日常生活中更为便捷且必不可少的上网方式。

为了让人们在银行网点办理业务的同时也能使用互联网，某省中行选择与锐捷网络合作，在其网点部署了来宾无线营销系统，让客户来到中行网点等候办理业务的时候，可以连接到互联网获取相关业务的信息，同时可以通过该系统了解中行推广的业务。

互联网为生活大开方便之门，也使得人们的个人信息更容易被暴露，一些不法分子正是通过他们所掌握的一些技术手段非法获取用户的个人信息数据。由于无线网络传输介质的特殊性，无线网络环境中存在信息安全问题，特别是非法AP、以及各种钓鱼AP等。非法 AP 通过伪造无线网络信号，欺骗无线终端接入，轻则导致用户无法上网，重则导致用户的信息被窃取，可能造成严重的财产损失。

为保障用户信息的安全，应对无线网络信息截取、非法侵入、伪冒诈骗等风险，中国银保监会发布了《中国银保监会办公厅关于加强无线网络安全管理的通知》（银保监办发【2018】50号）简称“50号文”，要求银行保险机构应部署安全设备加强网络安全，并特别强调要加强对非法AP的侦测，防范欺诈、钓鱼等无线网络攻击。

非法 AP 指的是来源于未知、不可信赖或者未经授权的无线网络访问接入点，它可能存在安全漏洞或被攻击者操纵。例如攻击者架设非法AP，发射和合法AP相同或相似的SSID信号，诱导用户链接非法AP，当用户接入非法 AP 时，用户的信息就会被非法 AP 获取， 因此非法 AP 会对用户网络的安全造成严重威胁或危害。

非法AP危害巨大，但要准确防控有一定难度：第一，相似度高难以辨别，非法AP为了避免被发现，利用类似字符，设置的SSID和合法的SSID非常相似，例如“0”和“o”，“l”等，难以发现；第二，资源占用过高，影响正常通讯。要保证及时监控，必须实时扫描，而这会占用现有的无线空口资源，使得正常的无线网络使用受到限制；第三，双频防护更复杂，目前日常使用的无线射频有2.4G和5G两个频段，要彻底防止非法AP，必须两个频段同时进行防护；第四，发现与处置需连贯，防止损失扩大，对于非法AP不仅要及时发现，还要及时对其进行反制和定位，切断感染源，阻止损失继续扩大。

针对银行客户无线场景面临的一系列难题，锐捷网络在该网点的来宾营销系统中增加了无线AP反制系统和反制AP，用来对非法的AP进行全频段的检测和反制，保证反制效果的同时不影响通讯质量。同时启用智能模糊匹配检测，当非法SSID和合法的SSID达到一定相似度时，可以自动告警并阻断。

非法 AP 检测功能是由工作在监控模式或者混合模式下的监听 AP 进行检测，它会定期发送广播探查请求并等待探查响应消息，在监控 AP 附近的设备都将收到探查请求并给出响应，这样监听AP可以收到周围所有的SSID信号。通过一套行之有效的智能算法，监听AP可以识别每个SSID信号是否合法，如果AP不合法则认定为钓鱼AP。

监听AP检测到非法 AP后，可以对其进行反制。监听AP模拟钓鱼AP发送解关联报文，关联到非法 AP 上的无线终端收到这些报文后断开连接并不再关联到非法 AP上，从而消除了非法AP获取用户信息的安全隐患。结合监听AP的位置，系统可以追溯钓鱼AP的位置以及受害的终端相关信息，为进一步处理提供技术支撑。

在系统部署之前，锐捷网络配合银行客户进行了严格测试，通过测试表明，本方案对非法AP释放的SSID及静态反制列表中的AP有非常好的反制效果，启用AP反制后，终端无法连接非法AP，有效的地保证了无线网络安全。

用户个人信息数据的安全，不仅与个人利益联系紧密，也和社会利益息息相关。数据的安全防护，应该是整个社会共同重视并不断推进的重点事项，也是银行这种信息安全重点行业的工作重点。通过在网点部署反制AP，对可能存在的非法AP进行反制，有效地保护了用户的信息安全，避免了个人信息的泄露，对防范网络诈骗起到了非常积极的作用，同时满足了银保监会相关要求。