一、存在的問題

（一）對互聯網管理的影響

在辦理好互聯網接入手續的設備上創建WiFi熱點，可以讓其他沒有經過登記備案的設備共享網絡，出現只登記一臺設備，卻有n（n≥1）臺設備連接到互聯網的情況。這違反了互聯網管相關規定，使互聯網管理規定如同虛設。

（二）對信息安全（審計機制）的影響

2014年4月科技處舉辦的信息安全培訓中提到，“涉密場所不得布設WiFi，非涉密場所布設WiFi，必須距離涉密終端20米以上。”當位于涉密場所周圍，距離涉密場所不超過20米的互聯網的設備創建WiFi熱點，將會出現涉密隱患。此外，當創建了WiFi熱點的互聯網設備出現安全事件時，無法第一時間追蹤事件的源頭。

二、相關建議

一是出臺有關WiFi的管理制度或規范，從制度上規范WiFi的使用。二是加強對WiFi設備的管理，在登記互聯網設備時，標明該設備是否具有創建WiFi熱點的功能。在距離涉密場所20米內的區域，禁止創建WiFi熱點，并用標志標明。加強人工檢查，杜絕私自使用WiFi的情況出現。三是加強技術防護，對未獲得WiFi接入許可的設備，可以通過以下方式防止利用WiFi來“蹭網”：

1．BIOS禁用無線網卡

此方法僅對利用PC、筆記本自帶無線網卡創建熱點共享WiFi的情況有效。進入BIOS，禁用無線網卡，并設置BIOS口令。

2．禁用ICS

由于WiFi熱點的創建使用了無線網卡的AP功能，而無線網卡的AP功能是通過調用系統的InternetConnectionSharing（ICS）服務，因此可以通過禁用操作系統的ICS服務來禁用WiFi。

（1）右鍵逐步點擊“計算機”→“管理”→“服務和應用程序”→“服務”→“InternetConnectSharing”；

（2）右鍵點擊該服務，在屬性頁里的“服務狀態”里選擇停止服務；

（3）將啟動類型選擇為“禁用”。此外，網管可通過以下兩個方法來提升效率：一是利用批處理命令：編寫一個bat批處理文件，包含兩行核心內容，一行是停止ICS服務，一行是禁用ICS服務，除外還應加上不顯示執行命令行信息的語句以及隱藏命令還回結果的指令。然后將文件拷入目標機器中執行即可，也可以加入到目標機器系統的開機自動啟動項中，每次開機執行完成禁用該服務。二是組策略法：這個方法最好能配合用戶組來實現，能防止普通用戶利用默認管理員用戶權限重新打開ICS服務。打開系統的組策略編輯器，打開“默認域策略”，依次展開“計算機配置”→“windows設置”→“安全設置”，然后選中“系統服務”，在右邊中右鍵選擇“ICS服務”，點擊“屬性”。在彈出的屬性窗口中，選擇“定義這個策略設置”，并勾選“已禁用”，然后點擊“確定”。

3．TTL抓包禁用

非法接入者如果具有一定的技術知識，加上局域網的用戶管理比較松散，非法接入者就很容易通過本地電腦的管理員權限來恢復ICS服務。而網絡規模較大的話，排查也很麻煩。此時可以通過管理路由嗅探的方法來禁用隨身WiFi設備。大部分隨身WiFi設備，其TTL值多設為64，經過共享PC轉發后，會減為63（部分網絡拓撲環境下，也有62或61）。因此，發現TTL為63的設備后直接禁用IP上網即可。此方法對路由器有一定要求，傻瓜式路由器不適用此方法。

作者：吳志敏 單位：中國人民銀行河源市中心支行