江苏网站建设价格,做自己的优惠券网站,车身做网站宣传图,报个电脑培训班多少钱安全物理环境-无线接入点的位置选择
应为无线接入设备的安装选择合理位置#xff0c;避免过度覆盖和电磁干扰。
无线接入设备的安装位置选择不当#xff0c;易被攻击者利用#xff0c;特别是攻击者会通过无线信号过度覆盖的弱点进行无线渗透攻击#xff0c;因此要选择合理…安全物理环境-无线接入点的位置选择
应为无线接入设备的安装选择合理位置避免过度覆盖和电磁干扰。
无线接入设备的安装位置选择不当易被攻击者利用特别是攻击者会通过无线信号过度覆盖的弱点进行无线渗透攻击因此要选择合理的位置安装无线接入设备。
安全区域边界
边界防护
应保证有线网络与无线网络边界之间的访问和数据流通过无线接入网关设备。
这里的无线网络主要是指各企业单位自行搭建的 WLAN。WLAN 利用无线技术在空中传输数据、话音和视频信号。有线网络则是指各企业单位采用传统网络布线的方式搭建的网络。两者的边界就是有线网络与无线网络的边界。企业单位内部搭建的有线网络由于采用线缆铺设因此网络边界比较清晰而无线网络搭建则不需要铺设线缆因此在单位一个 WAN 内部很容易出现多个无线网络影响无线网络、有线网络以及整体网络的安全为了防止单位内部无线网络边界与有线网络边界发生混乱需要在无线网络与有线网络之间划分明确网络安全边界无线接入网关则作为网络安全边界划分的重要设备划分完成后要求访问和数据流应通过无线接入网关设备进行统一管控这样既保证了无线接入的可管可控也保证了有线网络的安全。
访问控制
无线接入设备应开启接入认证功能并支持采用认证服务器认证或国家密码管理机构批准的密码模块进行认证。
为避免无线终端随意接入网络保证无线终端的可控、可信需要通过无线接入设备实现接入控制增强移动互联网络的安全性。第三级以上安全要求在第二级安全要求的基础上增加了采用认证服务器认证或国家密码管理机构批准的密码模块进行认证的要求。具体为在无线接入设备上开启认证功能部署认证服务器对无线终端进行认证也可以采用国家密码管理机构批准的密码技术对其进行认证。
入侵防范
应能够检测到非授权无线接入设备和非授权移动终端的接入行为
应能够检测到针对无线接入设备的网络扫描、DDos攻击、密钥破解、中间人攻击和欺骗攻击等行为
应能够检测到无线接入设备的SSID广播、WPS等高风险功能的开启状态
应禁用无线接入设备和无线接入网关存在风险的功能如SSID广播WEP认证等
应禁止多个AP使用同一个认证密钥
应能够阻断非授权无线接入设备或非授权移动终端。
SSIDService Set Identifier是用于标识一个无线网络的名称也可以理解为无线网络的名字。SSID广播指的是在无线网络中路由器或者接入点周期性地发送SSID信息以便让用户发现并连接到该网络。通常情况下SSID广播是默认开启的这样用户可以直接在无线网络列表中看到可用的网络并进行连接。然而关闭SSID广播可以增加网络的安全性因为这样其他人就无法看到你的网络。
WEPWired Equivalent Privacy有线等效保密是无线局域网中最早的加密算法之一它是一种基于共享密钥的对称密钥加密方法用于保护无线网络的安全。WEP算法的主要目标是提供与有线网络相当的安全保护但由于其安全性差易受到攻击所以已经被更加安全的加密算法如WPA和WPA2所取代。 WIPS和WIDS都是无线安全技术中常用的技术它们的主要作用是监测和保护无线网络的安全性。
WIPS全称为无线入侵防御系统Wireless Intrusion Prevention System是一种通过检测和阻止非法无线接入来保护无线网络安全的系统。它可以对网络中的所有无线数据流进行实时监控并根据事先设定的策略对可疑的数据流进行拦截和报警。WIPS可以检测到包括未经授权的访问、恶意攻击、漏洞利用等多种威胁行为是一种非常有效的网络保护手段。
WIDS全称为无线入侵检测系统Wireless Intrusion Detection System它是一种通过对网络中的无线信号进行分析和监测来检测未经授权的无线接入和其他安全威胁的系统。WIDS通常采用被动式的监测方式即不会对网络中的数据流进行干预而是通过分析网络中的数据流来判断是否存在安全威胁。WIDS可以检测到包括未经授权的访问、拒绝服务攻击、漏洞利用等多种威胁行为是一种比较常见的无线安全保护手段。
WIPS和WIDS功能一般集成在AC设备中。
无线接入设备作为移动互联重要汇聚点需要保证接入到无线网络中的设备均为已授权设备防止私搭乱建无线网络所带来的安全隐患另外需要保证无线接入设备和无线接入网关的安全性。这里的入侵防范是指的是针对非授权的连接、扫描、攻击欺骗等行为通过 WIDS、WIPS 等实现入侵检测、定位、记录等能力。
安全计算环境
移动终端管控
应保证移动终端安装、注册并运行终端管理客户端软件
移动终端应接受移动终端管理服务端的设备生命周期管理、设备远程控制如远程锁定、远程擦除等。
移动终端与传统终端相比较最大的优势是便携性好但随之而来的是可控性降低。传统终端的管理已经有一套比较成熟完善的终端安全管理策略和措施可控性比较高。移动终端往往是手机或平板设备体积小、数量多管控难度比较大。为了保证移动终端的安全可控第三级安全要求增加了在移动终端上安装MDM系统软件并进行统一的注册与管理的要求。一旦移动终端设备丢失可以马上通过 MDM 客户端软件进行远程锁定和远程数据擦除防止数据泄露。
移动设备管理MDM可以帮助企业管理和保护其移动设备、应用程序和数据。通过MDM系统企业可以远程配置、监控和管理员工的移动设备包括智能手机、平板电脑和笔记本电脑等。
MDM系统通常具有以下功能
设备配置远程配置设备设置和安全策略。
应用程序管理控制哪些应用程序可以安装和使用以及如何使用这些应用程序。
数据保护确保数据在设备上和在云中的传输和存储过程中得到保护。
远程锁定和擦除可以远程锁定或擦除设备的数据以防止数据泄露或设备丢失。
监视和报告提供设备使用情况、安全漏洞和应用程序使用情况等方面的实时监视和报告。
移动应用管控
应具有选择应用软件安装、运行的功能
应只允许指定证书签名的应用软件安装和运行
应具有软件白名单功能应能根据白名单控制应用软件安装、运行。
为了进一步加强移动应用软件在安装与使用过程中的安全可控第三级安全要求在第二级安全要求的基础上提出了使用移动应用软件白名单、验证指定证书签名、远程管控等措施降低移动应用软件带来的安全风险。
移动应用软件应有开发者及官方机构第三方的密码签名并且App的密码签名证书必须是移动互联系统建设单位指定的而不是任意的证书。这里的“指定”是指该证书是经信息系统管理者确认并通过审定程序书面明确指定的签名证书如国内数字证书分发机构CA机构、社会组织机构和信息系统建设单位签发的签名证书。移动终端应能识别 APP是否具有指定的签名证书如果有则可以安装、运行如果没有则不能安装。对 App 进行密码签名既可以防止 App被恶意篡改还可以溯源 App 开发者责任。
MDM 系统要有允许运行的App清单企业能够根据这个清单控制各移动终端的APP安装、运行没有列人名单的 App 禁止安装、运行。
安全建设管理
移动应用软件采购
应保证移动终端安装、运行的应用软件来自可靠分发渠道或使用可靠证书签名
应保证移动终端开发、运行的应用软件由指定的开发者开发。
“移动应用软件采购”是指企业对通用 App 进行免费或购买下载、安装等。 “可靠分发渠道”是指信息系统管理者确认并认可的App分发下载渠道如国内外知名App市场。 “指定的开发者”是指经信息系统管理者知晓并通过审定程序书面明确指定的APP开发者。
移动应用软件开发
应对移动业务应用软件开发者进行资格审查
应保证开发移动业务应用软件的签名证书合法性。 这里的“移动业务应用软件”是指企业单位根据业务需求委托软件开发商或由企业内部组织开发移动应用软件App。定制开发的App完成企业专项业务有别于移动通用App。App开发首先要求开发者单位及个人具备专业的国家机构的相关认证证书然后要求应用软件开发商熟悉建设方整体的总体规划和安全设计方案开发完成后要求提供软件开发文档和使用指南对开发的App进行软件安全检测和代码审计明确软件存在的安全问题和可能存在的恶意代码、后门和隐蔽信道。经检测无安全风险的App应满足应用代码安全加固要求同时提供必要的应用封装安全能力包括权限控制、数据防泄露控制安全水印控制等经过企业认可的可靠证书签名后允许上架推送使用。 App签名证书的合法性是指签名证书是否由第三方签发密码签名算法是否采用国密算法比如国密SM2算法。
安全运维管理
配置管理
应建立合法无线接入设备和合法移动终端配置库用于对非法无线接入设备和非法移动终端的识别。
这里的“合法无线接入设备和合法移动终端配置库”即设备的白名单。白名单包含允许接入的无线客户端的 MAC 地址及其他相关信息。如果设置了白名单则只有白名单中指定的无线客户端可以接入 WLAN,其他的无线客户端将被拒绝接入。
移动互联安全运维管理过程中配置的合法无线接入设备和合法移动终端配置库用于对非法无线接入设备和非法移动终端的识别。MDM服务器统一安全推送MDM系统的企业 WiFi、APN 等配置信息移动终端接入企业网络需要经过网络访问控制NAC统认证与白名单比对确认移动终端身份信息后移动终端可接入企业网络进行数据安全交互。
