安全物理環(huán)境-無線接入點的位置選擇

應為無線接入設備的安裝選擇合理位置，避免過度覆蓋和電磁干擾。

無線接入設備的安裝位置選擇不當，易被攻擊者利用，特別是攻擊者會通過無線信號過度覆蓋的弱點進行無線滲透攻擊，因此要選擇合理的位置安裝無線接入設備。

安全區(qū)域邊界

邊界防護

應保證有線網絡與無線網絡邊界之間的訪問和數據流通過無線接入網關設備。

這里的無線網絡主要是指各企業(yè)單位自行搭建的 WLAN。WLAN 利用無線技術在空中傳輸數據、話音和視頻信號。有線網絡則是指各企業(yè)單位采用傳統(tǒng)網絡布線的方式搭建的網絡。兩者的邊界就是有線網絡與無線網絡的邊界。企業(yè)單位內部搭建的有線網絡由于采用線纜鋪設，因此網絡邊界比較清晰，而無線網絡搭建則不需要鋪設線纜，因此在單位一個 WAN 內部很容易出現(xiàn)多個無線網絡，影響無線網絡、有線網絡以及整體網絡的安全，為了防止單位內部無線網絡邊界與有線網絡邊界發(fā)生混亂，需要在無線網絡與有線網絡之間劃分明確網絡安全邊界，無線接入網關則作為網絡安全邊界劃分的重要設備，劃分完成后要求訪問和數據流應通過無線接入網關設備進行統(tǒng)一管控，這樣既保證了無線接入的可管可控，也保證了有線網絡的安全。

訪問控制

無線接入設備應開啟接入認證功能，并支持采用認證服務器認證或國家密碼管理機構批準的密碼模塊進行認證。

為避免無線終端隨意接入網絡，保證無線終端的可控、可信，需要通過無線接入設備實現(xiàn)接入控制，增強移動互聯(lián)網絡的安全性。第三級以上安全要求在第二級安全要求的基礎上增加了采用認證服務器認證或國家密碼管理機構批準的密碼模塊進行認證的要求。具體為，在無線接入設備上開啟認證功能，部署認證服務器對無線終端進行認證，也可以采用國家密碼管理機構批準的密碼技術對其進行認證。

入侵防范

應能夠檢測到非授權無線接入設備和非授權移動終端的接入行為；

應能夠檢測到針對無線接入設備的網絡掃描、DDos攻擊、密鑰破解、中間人攻擊和欺騙攻擊等行為；

應能夠檢測到無線接入設備的SSID廣播、WPS等高風險功能的開啟狀態(tài)；

應禁用無線接入設備和無線接入網關存在風險的功能，如SSID廣播，WEP認證等；

應禁止多個AP使用同一個認證密鑰；

應能夠阻斷非授權無線接入設備或非授權移動終端。

SSID（Service Set Identifier）是用于標識一個無線網絡的名稱，也可以理解為無線網絡的名字。SSID廣播指的是在無線網絡中，路由器或者接入點周期性地發(fā)送SSID信息，以便讓用戶發(fā)現(xiàn)并連接到該網絡。通常情況下，SSID廣播是默認開啟的，這樣用戶可以直接在無線網絡列表中看到可用的網絡并進行連接。然而，關閉SSID廣播可以增加網絡的安全性，因為這樣其他人就無法看到你的網絡。

WEP（Wired Equivalent Privacy，有線等效保密）是無線局域網中最早的加密算法之一，它是一種基于共享密鑰的對稱密鑰加密方法，用于保護無線網絡的安全。WEP算法的主要目標是提供與有線網絡相當的安全保護，但由于其安全性差，易受到攻擊，所以已經被更加安全的加密算法（如WPA和WPA2）所取代。

?WIPS和WIDS都是無線安全技術中常用的技術，它們的主要作用是監(jiān)測和保護無線網絡的安全性。 ? ? ? ?

WIPS全稱為無線入侵防御系統(tǒng)（Wireless Intrusion Prevention System），是一種通過檢測和阻止非法無線接入來保護無線網絡安全的系統(tǒng)。它可以對網絡中的所有無線數據流進行實時監(jiān)控，并根據事先設定的策略對可疑的數據流進行攔截和報警。WIPS可以檢測到包括未經授權的訪問、惡意攻擊、漏洞利用等多種威脅行為，是一種非常有效的網絡保護手段。 ? ? ? ?

WIDS全稱為無線入侵檢測系統(tǒng)（Wireless Intrusion Detection System），它是一種通過對網絡中的無線信號進行分析和監(jiān)測來檢測未經授權的無線接入和其他安全威脅的系統(tǒng)。WIDS通常采用被動式的監(jiān)測方式，即不會對網絡中的數據流進行干預，而是通過分析網絡中的數據流來判斷是否存在安全威脅。WIDS可以檢測到包括未經授權的訪問、拒絕服務攻擊、漏洞利用等多種威脅行為，是一種比較常見的無線安全保護手段。 ? ? ? ? ?

WIPS和WIDS功能一般集成在AC設備中。

無線接入設備作為移動互聯(lián)重要匯聚點，需要保證接入到無線網絡中的設備均為已授權設備，防止私搭亂建無線網絡所帶來的安全隱患；另外需要保證無線接入設備和無線接入網關的安全性。這里的入侵防范是指的是針對非授權的連接、掃描、攻擊欺騙等行為，通過 WIDS、WIPS 等實現(xiàn)入侵檢測、定位、記錄等能力。

安全計算環(huán)境

移動終端管控

應保證移動終端安裝、注冊并運行終端管理客戶端軟件；

移動終端應接受移動終端管理服務端的設備生命周期管理、設備遠程控制，如：遠程鎖定、遠程擦除等。

移動終端與傳統(tǒng)終端相比較最大的優(yōu)勢是便攜性好，但隨之而來的是可控性降低。傳統(tǒng)終端的管理已經有一套比較成熟完善的終端安全管理策略和措施，可控性比較高。移動終端往往是手機或平板設備，體積小、數量多，管控難度比較大。為了保證移動終端的安全可控，第三級安全要求增加了在移動終端上安裝MDM系統(tǒng)軟件，并進行統(tǒng)一的注冊與管理的要求。一旦移動終端設備丟失，可以馬上通過 MDM 客戶端軟件進行遠程鎖定和遠程數據擦除，防止數據泄露。

移動設備管理（MDM）可以幫助企業(yè)管理和保護其移動設備、應用程序和數據。通過MDM系統(tǒng)，企業(yè)可以遠程配置、監(jiān)控和管理員工的移動設備，包括智能手機、平板電腦和筆記本電腦等。

MDM系統(tǒng)通常具有以下功能：

設備配置：遠程配置設備設置和安全策略。

應用程序管理：控制哪些應用程序可以安裝和使用，以及如何使用這些應用程序。

數據保護：確保數據在設備上和在云中的傳輸和存儲過程中得到保護。

遠程鎖定和擦除：可以遠程鎖定或擦除設備的數據，以防止數據泄露或設備丟失。

監(jiān)視和報告：提供設備使用情況、安全漏洞和應用程序使用情況等方面的實時監(jiān)視和報告。

移動應用管控

應具有選擇應用軟件安裝、運行的功能；

應只允許指定證書簽名的應用軟件安裝和運行；

應具有軟件白名單功能，應能根據白名單控制應用軟件安裝、運行。?

為了進一步加強移動應用軟件在安裝與使用過程中的安全可控，第三級安全要求在第二級安全要求的基礎上提出了使用移動應用軟件白名單、驗證指定證書簽名、遠程管控等措施，降低移動應用軟件帶來的安全風險。 ? ? ? ?

移動應用軟件應有開發(fā)者及官方機構（第三方）的密碼簽名，并且App的密碼簽名證書必須是移動互聯(lián)系統(tǒng)建設單位指定的，而不是任意的證書。這里的“指定”是指該證書是經信息系統(tǒng)管理者確認并通過審定程序（書面）明確指定的簽名證書，如國內數字證書分發(fā)機構（CA機構）、社會組織機構和信息系統(tǒng)建設單位簽發(fā)的簽名證書。移動終端應能識別 APP是否具有指定的簽名證書：如果有，則可以安裝、運行；如果沒有，則不能安裝。對 App 進行密碼簽名，既可以防止 App被惡意篡改，還可以溯源 App 開發(fā)者責任。 ? ? ? ?

MDM 系統(tǒng)要有允許運行的App清單，企業(yè)能夠根據這個清單控制各移動終端的APP安裝、運行，沒有列人名單的 App 禁止安裝、運行。

安全建設管理

移動應用軟件采購

應保證移動終端安裝、運行的應用軟件來自可靠分發(fā)渠道或使用可靠證書簽名；

應保證移動終端開發(fā)、運行的應用軟件由指定的開發(fā)者開發(fā)。?

“移動應用軟件采購”是指企業(yè)對通用 App 進行免費或購買下載、安裝等。 “可靠分發(fā)渠道”是指信息系統(tǒng)管理者確認并認可的App分發(fā)（下載）渠道，如國內外知名App市場。 “指定的開發(fā)者”是指經信息系統(tǒng)管理者知曉并通過審定程序（書面）明確指定的APP開發(fā)者。

移動應用軟件開發(fā)?

應對移動業(yè)務應用軟件開發(fā)者進行資格審查；

應保證開發(fā)移動業(yè)務應用軟件的簽名證書合法性。?

?這里的“移動業(yè)務應用軟件”是指企業(yè)單位根據業(yè)務需求委托軟件開發(fā)商或由企業(yè)內部組織開發(fā)移動應用軟件（App）。定制開發(fā)的App完成企業(yè)專項業(yè)務，有別于移動通用App。App開發(fā)首先要求開發(fā)者單位及個人具備專業(yè)的國家機構的相關認證證書，然后要求應用軟件開發(fā)商熟悉建設方整體的總體規(guī)劃和安全設計方案，開發(fā)完成后要求提供軟件開發(fā)文檔和使用指南，對開發(fā)的App進行軟件安全檢測和代碼審計，明確軟件存在的安全問題和可能存在的惡意代碼、后門和隱蔽信道。經檢測無安全風險的App，應滿足應用代碼安全加固要求，同時提供必要的應用封裝安全能力，包括權限控制、數據防泄露控制安全水印控制等，經過企業(yè)認可的可靠證書簽名后，允許上架推送使用。 ? ? ? ? App簽名證書的合法性是指簽名證書是否由第三方簽發(fā)，密碼簽名算法是否采用國密算法，比如國密SM2算法。

安全運維管理

配置管理

應建立合法無線接入設備和合法移動終端配置庫，用于對非法無線接入設備和非法移動終端的識別。

這里的“合法無線接入設備和合法移動終端配置庫”即設備的白名單。白名單包含允許接入的無線客戶端的 MAC 地址及其他相關信息。如果設置了白名單，則只有白名單中指定的無線客戶端可以接入 WLAN,其他的無線客戶端將被拒絕接入。 ? ? ? ?

移動互聯(lián)安全運維管理過程中配置的合法無線接入設備和合法移動終端配置庫，用于對非法無線接入設備和非法移動終端的識別。MDM服務器統(tǒng)一安全推送MDM系統(tǒng)的企業(yè) WiFi、APN 等配置信息，移動終端接入企業(yè)網絡需要經過網絡訪問控制（NAC）統(tǒng)認證，與白名單比對確認移動終端身份信息后，移動終端可接入企業(yè)網絡，進行數據安全交互。?