無線熱點（hot spot）是所有公共安全解決方案的核心。現在許多機場、旅館、咖啡廳等公共場所都已佈建公共無線上網熱點，任何持有無線功能之電腦或PDA的民眾都可輕 易地透過這些熱點連上Internet，但是警察、消防、醫護人員所使用的熱點卻截然不同：這些熱點僅供經授權人員使用，以保持絕對嚴密的安全性，讓訪客 在飯店內能更安心的自由暢遊網路世界。

802.11b為目前主流
無線區域網路的規格有HomeRF、infrared、藍芽與IEEE 802.11b等規格，其中以藍芽與802.11b兩種規格的競爭最為激烈，不過藍芽在製造成本無法降低與相關電腦產品並未普及採用下而露出敗象。相較於 802.11的規格，許多筆記型電腦廠商均宣佈明年推出的新款機種，均將內建該規格的網路卡，而現階段許多咖啡店或辦公室，也都採用802.11規格的橋 接器。
另外，802.11a 因使用較高的頻帶，因此應用在長距離的傳送上，其效果也比較好， 對於遠程的無線架設上比較有利, 故, 若環境特殊, 也可實行此方式..

規劃無線網路時之參考：
1.使用WEP加密協定雖然我門已經知道WEP加密協定並不安全，但是它可算是安全的第一道防線。同時，它是在802.11b裡定義好的，因此，所有通過 WI-FI認證的802.11b設備都不需要另外增加或安裝新的軟硬體，就可以使用WEP（40-bit加密金鑰的版本），只是超過半數以上的廠商對於 WEP加密協定在出廠的預設值上是不啟動的，因此使用者要特別注意自己的設備是否有將WEP加密協定打開。在實地調查裡，超過一半的無線網路都沒有使用 WEP加密協定進行無線網路卡與存取站之間的資料傳遞加密，這就好像把你家大門打開開一樣，邀請所有的人到你家走走逛逛。雖然WEP並不安全，但是有門總 比沒有門要來得好，檢查你的WEP加密有沒有設定好是你應該要去注意第一件事。

2.更換無線設備出廠之預設SSID
也許您會對此感到驚訝，然而世界上就是會有像這樣教人無法置信的事情發生。此即，有太多的廠商安裝人員或網路的管理人員對於所安裝上去的無線網路設備僅是 一知半解，抱持著『反正東西可以用就好了』舊有觀念，對於無線網路架設的規劃，事前也沒有做好。如果連SSID這種基本的設定也沒有去更改，那麼可能 Access Point或是Wireless Router的密碼也是預設的，其嚴重性便可想而知。另外，也不要將您的SSID取個太簡單易猜測的名字，像是您公司的名稱、部門名稱、或是產品名稱，這 些都不是好名字，很容易被有心的人猜到，也不要使用一些地理位置來取SSID，像是街道名稱或是建築物名稱，這些也不是好主意。

3.關掉『SSID廣播功能』在無線網路裡，無線網路卡必須要和無線存取站使用相同的SSID才能互相溝通。但是如果您將Access Point的SSID廣播功能啟動，此時，存取站不管無線網路卡的SSID為何，都會允許它使用這台存取站。因此，切記關掉您的SSID廣播功能。

4.變更存取站的預設密碼就算您已變更AccessPoint的SSID名稱，但是像NetStumbler還是可以依據存取站的MAC位址，而找出設備 的製造廠商。因此，如果您沒有變更設備的預設密碼，有心者仍是可以依據廠商的預設密碼而得以進入您的無線區域網路中恣意而為。

5.注意無線區域網路的涵蓋範圍如果您的無線區域網路只想部署在大樓內部，就要特別留意會不會有無線電波逸漏到大樓外面，而使得別人有機可趁。一般說來， 如果只部署在建築物內部時，通常會採用由建築物內部（或中心）向外面做輻射狀的方式來架設無線存取站（或橋接器），尤其需要注意部署在窗戶或牆邊的存取 站，更要特別注意逸漏出去的無線電波強度是否強到足以讓建築物外面的人來使用。

6.注意有沒有異常的無線網路設備出現身為一個無線網路的管理者，您必須特別留心無線區域網路上的一些異常現象。尤其必須在隔一段時間之後，就做一次 『sitesurvey』。像NetStumbler是一個很好用的工具，它可以找出有哪些人偷偷把自己的Access Point加到您的無線區域網路中。由於無線網路設備已經是愈來愈便宜了，因此買的人相對地也是愈來愈多。不只是無線網路卡，內部其他人或其他單位也有可 能去購買他們自己的無線網路存取設備，用來延伸或強化他們無線網路涵蓋範圍，或是擴增他們的無線網路頻寬。但是這樣卻會增加管理者相當大的困擾，同時對於 安全向的考量上也是一大挑戰，因此經常檢查是否有異常設備出現在您的無線區域網路裡便變得特別重要。

7.檢查逸漏的無線電波強度經常性地，您可能需要找台裝有無線網路卡的筆記型電腦到您的建築物四周圍走動一下，同時要記得先幫您的無線網路卡外加強一點的 天線。尤其要注意的地方包括建築物附近停車地點，或是隱密的地方，逐一檢查這些地方是否可以接收到逸漏出來的無線電波以及強度。當然，或許這些逸漏的電波 強度已經衰減到無法讓一般無線網路卡使用，但是配上一支好一點的天線，還是有可能以1Mbps速度連上你的無線網路，別小看這小小的1Mbps，它已經足 夠讓駭客玩上好一陣子了。

8.用MAC位址來控制也是不錯的方式如果管理政策許可，那麼，利用鎖定MAC位址的方式來管理那些無線網路卡當然是一個萬無一失的方式。現在有很多新的 無線網路存取設備都支援使用MAC位址來鎖定可以使用的無線網路卡，有些是在存取站上設定可以使用的無線網路卡的卡號（MAC位址），有些則是在 RADIUS伺服器上面設定哪些MAC位址的網路卡可以連上網路。唯這種方式有兩點必須要注意：第一，是無線網路卡的MAC位址是可以假造的，所以您不能 只靠這一層保護；第二，是如何更新MAC位址的問題。也就是當您的無線網路卡要新增的時候（或是暫時允許外來的卡加入你的無線網路裡面的時候），您要如何 來更新這些存取站的MAC位址列表。這些問題都是必須要先考慮清楚的，否則，您可能每天都會面臨到只為了要加這些資料而被到處追著跑的窘境。

9.使用RADIUS做進一步的使用者管理雖說RADIUS認證並沒有包含在802.11b的標準裡，不過有許多廠商都有在無線設備上面設計使用 RADIUS進行存取驗證。一些功能較強的Access Point可以設定成使用RADIUS伺服器來進行使用者的驗證，讓無線網路卡在接上無線網路之前，必須先透過AccessPoint完成RADIUS上 的使用者帳號密碼驗證。如果無法通過，那麼就表示無法連上無線網路。一般而言，使用RADIUS認證的方式都是以帳號和密碼的方式來進行，不過某一些 Access Point還可以配合RADIUS進行無線網路卡的MAC位址檢查。

10.讓無線網路卡有固定的IP位址另一個可以考量的方向是讓每一張無線網路卡都有一個固定的IP位址，換句話說，就是把DHCP配發IP位址的功能給取 消。當然，這和上面鎖定無線網路卡的MAC位址一樣會增加管理上的負荷，但是卻可以避免讓外來的無線網路卡隨便取的IP位址。此外，還有一點需注意的是， 如果您的無線網路存取設備本身的功能不差，既可以當成是Router也可以當成是NAT伺服器，此時，建議您將一些預設值也一起加以修改，比如原來的 NAT虛擬網路段可能是192.168.1.0/24 ，那麼，您可以考慮將其換成192.168.100.0/24，或是其他的虛擬網路段，以避免別人在知道廠商的預設網路段時，隨便找個IP位址試試就可以 立刻使用。

11.無線網路設備選購的考量我們已經知道WEP並不安全，尤其64-bit（40-bit 加密金鑰）的WEP比較起128-bit更在是不堪一擊，因此，選購無線網路設備時，記得避免購買只支援64-bit WEP的無線網路設備。如果您已經買了只有64-bit WEP的無線網路設備，那麼試者找找看有沒有新的驅動程式（有些卡只需要更新驅動程式即可以使用128-bit WEP）。另外，記得盡可能購買可以更新韌體的設備，有韌體的更新，才能確保您的設備可以繼續跟上標準。現今還有許多和安全相關的標準正在發展之中，如果 您的韌體無法更新，相對地也就宣告了以後沒有辦法升級的命運了。

12.非標準的功能強化有些廠商也意識到802.11b所定義的安全機制沒有辦法做到很好的保護，而在自己的產品裡提出一些非標準化的功能強化。比如說 ORiNOCO這個晶片組的設計廠商Agere System，就提出一個強化SSID保護功能的方式，並在這系列的無線網路設備裡進行實作。ORiNOCO的這個方式稱為『Closed Network』，它讓Access Point不要主動廣播SSID，因此，像是NetStumbler之類的軟體就無法得知Access Point的SSID，也因為它不會廣播SSID，所以無線網卡上面就必須靠使用者以手動風式將正確的SSID輸入，然後才能和Access Point建立連線。

且不論您是否已經擁有或正在尋找無線網路的解決方案，像是這類廠商特殊的功能，也可以列為您考慮的因素之內。當然，前提是您必須注意會不會有和其他設備產生不相容的情形發生。

部分網路安全節自,洪紹雄應用與安全管理規劃

以上內容轉載自 MIS技術交流論壇

5項基本功保平安
其實要防護病毒從USB儲存裝置感染電腦，只要利用電腦群組原則（Group Policy）、防毒軟體及防火牆，就可以達到最基本的防禦方法。如果企業架構在Windows系統上，只要變更些許設定，就能防範USB病毒「自動」感 染電腦的危機；若員工「手動」觸發病毒，就只能依靠防毒軟體的病毒特徵碼比對技術，就是「硬碰硬」的對戰。另外，若企業採用Windows AD建構網路環境，我們建議利用群組原則建立第一道防線，是最容易、且馬上可達成的方式。

網域群組原則
優點：能大規模禁止所有網域內電腦，執行自動播放功能
限制：欲控管的電腦必須登入Windows網域
如果企業網域是架構在Windows AD（Active Directory）中，利用群組原則編輯器，能很輕易地管控用戶端存取USB介面裝置。

群組原則是可以讓系統管理員集中管控Windows用戶端作業系統的工具，只要用戶端電腦登入Windows網域，管理人員就可以控制整個企業內所 有使用者與電腦環境，加上Windows又是目前最常使用的用戶端系統，因此，利用群組原則管理用戶端電腦存取方式，是防堵USB病毒最經濟且有效的方 式。

在Windows AD服務中，預設值下並沒有提供限制存USB介面裝置的設定，因此，我們需要先到http://support.microsoft.com/kb/555324/en-us下載範本檔案。使用上很容易，只要登入上述連接的網頁，複製Resolution這一段的資料到記事本中，並儲存成副檔名為.adm的檔案格式即可使用。

然後到執行網域服務的Windows Server系統上，啟動「群組原則物件編輯器」，在「電腦設定」的「系統管理範本」中，點選滑鼠右鍵使用「新增／移除範本」，匯入剛剛我們儲存 成.adm檔案的資料即可，最後在「系統管理範本」中就會出現「Custom Policy Settings」設定，它所提供的範本能管控可移除式USB硬碟、光碟機及軟碟機等多種USB介面裝置。我們實際在Windows 2000 Server SP4及Windows Server 2003 SP2測試，也能順利執行，不過在Windows Server 2003中，還需要點選「檢視」的「篩選」中，取消「只顯示可以完全管理的原則設定」，才會正常顯示禁用USB裝置的設定。

當匯入範本後，預設值中，群組原則尚未設定可移除式USB硬碟的資訊，管理人員必須自行啟動才會執行，而用戶端電腦登入網域後，就會禁止執行autorun.inf，但還是可以正常存取硬碟中的資料。
此方法是利用usbstor.sys（通用型USB的驅動程式）限定用戶端電腦存取可移除式的USB硬碟裝置，包括記憶卡、隨身碟及外接硬碟等，若有用戶不想被控管，自行刪除此檔，也將無法使用USB裝置。

本機群組原則
優點：每臺電腦可以自行處理，無需加入網域
限制：需要手動自行操作，若電腦數目多，較麻煩
網域群組原則能減少管理網域內電腦的設定麻煩，但如果企業沒有架設Windows AD呢？其實我們也可從個別電腦的本機群組原則中設定，功能大同小異，只是需要每臺逐一設定。

以Windows XP專業版為例，我們只要從群組原則的系統工具中，點選「電腦設定」中「系統管理範本」的「系統」，就有「關閉自動播放」選項，只要啟動此功能，就可以停 止從所有磁碟機或光碟機的自動播放功能；若要禁止USB介面的儲存裝置，就是選用套用在所有磁碟機。需要注意的是，它只能選擇停止所有磁碟機或光碟機的自 動播放，不像Windows AD的群組原則，可以同時限制各種介面，然而目前從USB介面感染的病毒，多半以外接可移除式硬碟為主，因此也已經足夠。

若用戶端系統採用Windows XP家用版或Windows 2000時，因為不支援群組原則的系統工具，因此只能從更改註冊機碼下手。

在登錄編輯程式中，在HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion \Policies\Explorer下，將NoDriveTypeAutoRun值改成255即可，若只想禁用USB介面的硬碟，而光碟機能正常使用自 動播放功能，就要將該值設定為95。

防毒軟體
優點：可偵測、刪除或隔離電腦病毒感染主機，是最基本的防護方式
限制：只能防止已知電腦病毒，對未知病毒防護力較弱
防毒軟體通常是企業建置資訊安全的第一步，而且企業版的防毒軟體不像個人版防毒只著重在病毒的偵測率，更會考量到管理性、部署方式、報表統計及操作介面等 眾多面向，除了防護個人電腦的安全外，更讓管理簡易化，理論上只要上線使用，並定期購買更新服務，就不用花費額外的資源處理。

現在的電腦病毒種類越來越多，防毒軟體為了應因許多病毒威脅，功能上從基本的防毒引擎，陸續延伸到個人防火牆及主機型入侵防禦系統（Host Intrusion Prevention System，HIPS）等，但原則上，防毒還是最基本需求，其他防禦機制是否啟用，則視個別用途而定。不過，現在防毒軟體對「毒」的定義也在轉變，從傳 統的電腦病毒，延伸到間諜程式、木馬程式、垃圾郵件及網路釣魚等惡意攻擊都可算是病毒，因此各防毒軟體的病毒資料料也隨著多種惡意程式的進展同步更新。因 此雖然病毒威脅增多，防毒軟體的防護功能仍持續增加中。

不過現在病毒的更新及變種速度太快，防毒軟體更新病毒特徵碼通常需要一段時間，有時根本趕不上電腦病毒變化的速度，因此單靠防毒軟體的病毒特徵碼已不敷使用。這也是近來許多電腦遭受USB病毒持續不斷、重複感染，而防毒軟體卻一籌莫展的原因。

另外，雖然現在防毒軟體強調啟發式掃瞄技術，採用類似行為分析模式，能偵測各種程式的處理方式，但對USB病毒的防護功能還是有限。

趨勢科技資深經理戴燊表示，USB病毒是利用autorun.inf執行病毒，這個過程原則上屬於合法行為，啟發式掃瞄技術可能無法判斷，但如果把 autorun.inf及病毒載入電腦的各磁區時，就認為屬於異常行為，啟發式掃瞄技術就會發出警示，只是，此時若病毒早已植入電腦，最後還是要搭配防毒 軟體的特徵碼比對能力。

賽門鐵克資深技術顧問莊添發認為，行為分析的方式仍有一定準確度，它會綜合各種合法及非法行為，最後提出一個總分，如果病毒的異常行為超過臨界值，啟發式掃瞄才會偵測到未知的惡意程式行為。

當然，哪種處理行為屬於合法或非法，就要看各家防毒軟體的設計方式，使用者也可以自定安全等級，甚至當把autorun.inf及病毒載入電腦的各磁區前就警示通報，不過誤判率可能提高的情況下，需有所取捨。

從防火牆阻擋更新來源
優點：避免病毒自行更新程式
限制：病毒更新來源變動時，需手動查詢、調整新的來源IP
現在病毒為了躲避防毒軟體更新病毒特徵碼的速度，也開始具有自我更新能力，類似在電腦中安裝下載器，一旦病毒版本發佈更新，病毒就會自動下載執行，若防毒軟體更新特徵碼速度不夠快，根本無法比對資料，也因此無法偵測及清除病毒。

USB病毒就是有這種特性，所以如果我們能分析該病毒從哪個IP Address位址更新資料，然後阻斷更新來源，再等待防毒軟體製作解藥，較能防範疫情擴大。只是一般很難自行分析病毒的更新來源，通常要依靠資安廠商協助。

奕瑞科技客服專員陳怡吉分析過最近USB病毒的特徵，也利用工具解析出該病毒更新的IP Address位址來源，發現範圍是60.169.0.182～60.169.0.188，他建議先從防火牆封鎖，可避免病毒自我更新。根據他的經 驗，60.169.0.185是最主要的更新來源，一定要阻斷連線，避免病毒更新管道。

此外，趨勢科技是利用防毒軟體。當用戶端電腦連接網路時，趨勢防毒軟體會查詢全球資料庫，確定是否為合法網站，一旦有異常，會主動通知用戶端注意。因此，就算病毒自動連線網路下載資料，防毒軟體也會察覺IP Address位址來源，防止病毒更新自身版本。

自行建立名為autorun.inf資料夾
優點：能防止病毒藉由autorun.inf載入
限制：所有磁區都要建立，只防護自動載入病毒，無法防護手動執行
USB病毒主要是利用autorun.inf將病毒植入電腦主機，或反向從遭感染的主機把病毒散播到各種USB介面的儲存裝置中。就是因為具有這種雙向傳遞的方式，病毒才能在電腦及USB儲存裝置中不斷擴散，而autorun.inf就是最主要的媒介。

這個純文字檔是讓電腦能自動播放程式的參考依據，當初它的目的是，使用者執行可移除式媒體（包括光碟、隨身碟及硬碟等）時，簡化需自行進入媒介中，手動點選程式的麻煩。但USB病毒就是利用這種方式逐一感染各個磁區。

autorun.inf本身並不是惡意程式，但惡意程式可以利用autorun.inf的內容，自動且隱密地進入電腦主機中，而且由於Windows作業系統在預設情況下，允許自動執行autorun.inf，也讓病毒感染速度更快。

感染USB病毒後，電腦內的各個磁碟區都會被植入autorun.inf及載入的電腦病毒等程式，只要有新的儲存裝置接上電腦，並被Windows 系統視為磁區（例如C、D到Z等），如果磁區中沒有autorun.inf檔案，就會自動寫入autorun.inf和電腦病毒。

因此，如果能在病毒未感染儲存裝置前，預先在各磁區的根目錄中手動新增autorun.inf的資料夾，就能在連接感染的設備時，減少遭植入病毒的機會。

這作法很容易，只要在各磁區中新增名為「autorun.inf」的「資料夾」即可，並在內容屬性中設定成「唯讀」，以防止誤刪。

操作上有點費時，因為只要Windows系統判斷成磁區的分割區，我們都要在各磁碟區的根目錄建立該資料夾，包括所有USB介面的儲存裝置。

但此種作法還是有限制。例如電腦主機的各磁區都已新增autorun.inf的資料夾，而後接上有病毒的USB隨身碟時，Windows系統還是會 自動執行autorun.inf，並載入相關病毒，到C磁區中的Windows系統資料夾中，該電腦依然會中毒，然而當該病毒要寫入其他磁區的根目錄時， 因為這些地方都已經存在autorun.inf資料夾，而無法感染，中毒範圍僅侷限在Windows系統資料夾中。