弱防护：
金融行业通常没有部署功能完备的独立无线网络防御系统，仅依靠传统无线网络设备集成的无线入侵防御功能模块实现简单的无线防御。在无线设备日益增多的环境中，尤其是越来越多的具备联网功能的智能设备（如具备无线投屏功能的电视屏、无线打印机、无线摄像头）, 设备厂商集成的无线入侵防御模块存在入侵识别率低（无线检测特征码库少）、入侵检测效率低（和无线AP共享射频硬件）、无法管理空域内全部无线设备（只能管控连接到自有AP设备上的无线终端）等弊端，已经无法满足当前的无线网络安全防御需求。

无预警：
在无线网络攻击发生之时，如果攻击未传导到有线网络区域，缺乏专业安全防护的无线网络系统无法及时告警供安全人员进行威胁评估，只能依靠管理员通过人工方式进行攻击感知，或通过较为传统的模拟数据流的方式进行问题重现和排查，解决问题时效性较差，并且极大的增加的网络安全运维成本，而且有时并不能解决遇到的入侵问题。

无值守：
在管理时间上，安全运维部门无法实施7*24小时无线网络安全监控，如果无线渗透入侵行为出现在专业安全人员未能覆盖的时间段内，金融机构的内网信息将会受到严重的安全威胁。

难管控：
对于金融机构员工的行为，管理员无法做到端到端的规范约束。员工或外包人员在日常工作中经常出现私搭热点的情况，干扰到无线网络的正常使用。而且部分员工如果在移动终端上安装类似于Wi-Fi万能钥匙等APP，也会将无线网络的安全准入密码泄露，这些行为都会暴露机构无线网络的敏感信息，会造成潜在的安全隐患。

方案简介：
针对金融机构无线网络实施安全加固，建立起一套实时监控、灵活管理、即时防护的无线网络入侵防御系统。众网威盾基于无线网络二层数据链路层进行安全强化，在无线网络核心建联过程中增加安全防护手段，将原来三层到七层的安全防护演进为二层到七层的安全防护。 金融系统无线网络安全防护建议采用部署分布式实时防护与便携版机动审查相结合的模式。

无线设备发现与管理：
通过不间断的扫描，发现空域内所有无线AP和无线终端，无论是自有的无线热点和无线客户端，还是非自有的无线热点和无线客户端；无论是钓鱼热点、隐藏热点、虚拟热点，还是无线直连、无线桥接，都可以做到可发现、可管理、可控制。无线入侵防御系统可以协助管理部门掌握到更多的无线终端的使用情况，将这些设备按照可信或存在攻击行为等分类依据分别添加到黑、白设备列表中，帮助用户完善无线资产管理。解决金融机构当前无线环境缺乏可视化管理的难题。

无线行为管控：
无线入侵防御系统会对所有无线AP与无线终端的无线行为进行监控，发现存在攻击行为的非法无线热点和终端时将即时向管理人员发出告警，协助其完成首次排查，阻断非法的无线热点和终端，不允许这些设备连接到合法的无线网络中。 无线入侵防御系统可通过灵活设置的安全规则，自动对非法设备进行有效的无线连接阻断，防止其威胁自有无线网络，同时防止合法的终端误连接到恶意的无线热点上，避免敏感信息通过授权无线终端外泄。解决金融机构无线网络难管控的安全隐患。

攻击防范与处理：
无线安全入侵防御系统会统计特定时间段内对无线网络攻击次数、攻击类型进行统计与追溯，以报告的形式提出更换不安全终端、对重要链路实施加密传输、降低边缘AP功率等安全加固建议，借此整体提高无线网络安全系数，确保金融机构无线网络更加可靠，降低无线网络被渗透突破的几率。解决金融机构无线网络入侵检测效率低、识别率低的安全隐患。

全时监控防御：
在完成首次无线扫描之后，合法的设备会添加到白名单中，成为可信合法设备。具有攻击行为的设备也被添加到黑名单中进行永久的安全隔离阻断。在日后的定期维护中，管理部门只需要根据自动生成的无线安全报告对既有的安全策略进行维护，确保整套防御系统正常运行即可。借助于无线入侵防御系统，做到7X24小时实时监控无线网络，解决金融机构当前无线网络无预警、无值守的安全隐患。