移动互联安全扩展要求测评项

安全物理环境-无线接入点的位置选择

应为无线接入设备的安装选择合理位置，避免过度覆盖和电磁干扰。

无线接入设备的安装位置选择不当，易被攻击者利用，特别是攻击者会通过无线信号过度覆盖的弱点进行无线渗透攻击，因此要选择合理的位置安装无线接入设备。

安全区域边界

边界防护

应保证有线网络与无线网络边界之间的访问和数据流通过无线接入网关设备。

这里的无线网络主要是指各企业单位自行搭建的 WLAN。WLAN 利用无线技术在空中传输数据、话音和视频信号。有线网络则是指各企业单位采用传统网络布线的方式搭建的网络。两者的边界就是有线网络与无线网络的边界。企业单位内部搭建的有线网络由于采用线缆铺设，因此网络边界比较清晰，而无线网络搭建则不需要铺设线缆，因此在单位一个 WAN 内部很容易出现多个无线网络，影响无线网络、有线网络以及整体网络的安全，为了防止单位内部无线网络边界与有线网络边界发生混乱，需要在无线网络与有线网络之间划分明确网络安全边界，无线接入网关则作为网络安全边界划分的重要设备，划分完成后要求访问和数据流应通过无线接入网关设备进行统一管控，这样既保证了无线接入的可管可控，也保证了有线网络的安全。

访问控制

无线接入设备应开启接入认证功能，并支持采用认证服务器认证或国家密码管理机构批准的密码模块进行认证。

为避免无线终端随意接入网络，保证无线终端的可控、可信，需要通过无线接入设备实现接入控制，增强移动互联网络的安全性。第三级以上安全要求在第二级安全要求的基础上增加了采用认证服务器认证或国家密码管理机构批准的密码模块进行认证的要求。具体为，在无线接入设备上开启认证功能，部署认证服务器对无线终端进行认证，也可以采用国家密码管理机构批准的密码技术对其进行认证。

入侵防范

应能够检测到非授权无线接入设备和非授权移动终端的接入行为；

应能够检测到针对无线接入设备的网络扫描、DDos攻击、密钥破解、中间人攻击和欺骗攻击等行为；

应能够检测到无线接入设备的SSID广播、WPS等高风险功能的开启状态；

应禁用无线接入设备和无线接入网关存在风险的功能，如SSID广播，WEP认证等；

应禁止多个AP使用同一个认证密钥；

应能够阻断非授权无线接入设备或非授权移动终端。

SSID（Service Set Identifier）是用于标识一个无线网络的名称，也可以理解为无线网络的名字。SSID广播指的是在无线网络中，路由器或者接入点周期性地发送SSID信息，以便让用户发现并连接到该网络。通常情况下，SSID广播是默认开启的，这样用户可以直接在无线网络列表中看到可用的网络并进行连接。然而，关闭SSID广播可以增加网络的安全性，因为这样其他人就无法看到你的网络。

WEP（Wired Equivalent Privacy，有线等效保密）是无线局域网中最早的加密算法之一，它是一种基于共享密钥的对称密钥加密方法，用于保护无线网络的安全。WEP算法的主要目标是提供与有线网络相当的安全保护，但由于其安全性差，易受到攻击，所以已经被更加安全的加密算法（如WPA和WPA2）所取代。

 WIPS和WIDS都是无线安全技术中常用的技术，它们的主要作用是监测和保护无线网络的安全性。        

WIPS全称为无线入侵防御系统（Wireless Intrusion Prevention System），是一种通过检测和阻止非法无线接入来保护无线网络安全的系统。它可以对网络中的所有无线数据流进行实时监控，并根据事先设定的策略对可疑的数据流进行拦截和报警。WIPS可以检测到包括未经授权的访问、恶意攻击、漏洞利用等多种威胁行为，是一种非常有效的网络保护手段。        

WIDS全称为无线入侵检测系统（Wireless Intrusion Detection System），它是一种通过对网络中的无线信号进行分析和监测来检测未经授权的无线接入和其他安全威胁的系统。WIDS通常采用被动式的监测方式，即不会对网络中的数据流进行干预，而是通过分析网络中的数据流来判断是否存在安全威胁。WIDS可以检测到包括未经授权的访问、拒绝服务攻击、漏洞利用等多种威胁行为，是一种比较常见的无线安全保护手段。          

WIPS和WIDS功能一般集成在AC设备中。

无线接入设备作为移动互联重要汇聚点，需要保证接入到无线网络中的设备均为已授权设备，防止私搭乱建无线网络所带来的安全隐患；另外需要保证无线接入设备和无线接入网关的安全性。这里的入侵防范是指的是针对非授权的连接、扫描、攻击欺骗等行为，通过 WIDS、WIPS 等实现入侵检测、定位、记录等能力。

安全计算环境

移动终端管控

应保证移动终端安装、注册并运行终端管理客户端软件；

移动终端应接受移动终端管理服务端的设备生命周期管理、设备远程控制，如：远程锁定、远程擦除等。

移动终端与传统终端相比较最大的优势是便携性好，但随之而来的是可控性降低。传统终端的管理已经有一套比较成熟完善的终端安全管理策略和措施，可控性比较高。移动终端往往是手机或平板设备，体积小、数量多，管控难度比较大。为了保证移动终端的安全可控，第三级安全要求增加了在移动终端上安装MDM系统软件，并进行统一的注册与管理的要求。一旦移动终端设备丢失，可以马上通过 MDM 客户端软件进行远程锁定和远程数据擦除，防止数据泄露。

移动设备管理（MDM）可以帮助企业管理和保护其移动设备、应用程序和数据。通过MDM系统，企业可以远程配置、监控和管理员工的移动设备，包括智能手机、平板电脑和笔记本电脑等。

MDM系统通常具有以下功能：

设备配置：远程配置设备设置和安全策略。

应用程序管理：控制哪些应用程序可以安装和使用，以及如何使用这些应用程序。

数据保护：确保数据在设备上和在云中的传输和存储过程中得到保护。

远程锁定和擦除：可以远程锁定或擦除设备的数据，以防止数据泄露或设备丢失。

监视和报告：提供设备使用情况、安全漏洞和应用程序使用情况等方面的实时监视和报告。

移动应用管控

应具有选择应用软件安装、运行的功能；

应只允许指定证书签名的应用软件安装和运行；

应具有软件白名单功能，应能根据白名单控制应用软件安装、运行。 

为了进一步加强移动应用软件在安装与使用过程中的安全可控，第三级安全要求在第二级安全要求的基础上提出了使用移动应用软件白名单、验证指定证书签名、远程管控等措施，降低移动应用软件带来的安全风险。        

移动应用软件应有开发者及官方机构（第三方）的密码签名，并且App的密码签名证书必须是移动互联系统建设单位指定的，而不是任意的证书。这里的“指定”是指该证书是经信息系统管理者确认并通过审定程序（书面）明确指定的签名证书，如国内数字证书分发机构（CA机构）、社会组织机构和信息系统建设单位签发的签名证书。移动终端应能识别 APP是否具有指定的签名证书：如果有，则可以安装、运行；如果没有，则不能安装。对 App 进行密码签名，既可以防止 App被恶意篡改，还可以溯源 App 开发者责任。        

MDM 系统要有允许运行的App清单，企业能够根据这个清单控制各移动终端的APP安装、运行，没有列人名单的 App 禁止安装、运行。

安全建设管理

移动应用软件采购

应保证移动终端安装、运行的应用软件来自可靠分发渠道或使用可靠证书签名；

应保证移动终端开发、运行的应用软件由指定的开发者开发。 

“移动应用软件采购”是指企业对通用 App 进行免费或购买下载、安装等。 “可靠分发渠道”是指信息系统管理者确认并认可的App分发（下载）渠道，如国内外知名App市场。 “指定的开发者”是指经信息系统管理者知晓并通过审定程序（书面）明确指定的APP开发者。

移动应用软件开发 

应对移动业务应用软件开发者进行资格审查；

应保证开发移动业务应用软件的签名证书合法性。 

 这里的“移动业务应用软件”是指企业单位根据业务需求委托软件开发商或由企业内部组织开发移动应用软件（App）。定制开发的App完成企业专项业务，有别于移动通用App。App开发首先要求开发者单位及个人具备专业的国家机构的相关认证证书，然后要求应用软件开发商熟悉建设方整体的总体规划和安全设计方案，开发完成后要求提供软件开发文档和使用指南，对开发的App进行软件安全检测和代码审计，明确软件存在的安全问题和可能存在的恶意代码、后门和隐蔽信道。经检测无安全风险的App，应满足应用代码安全加固要求，同时提供必要的应用封装安全能力，包括权限控制、数据防泄露控制安全水印控制等，经过企业认可的可靠证书签名后，允许上架推送使用。         App签名证书的合法性是指签名证书是否由第三方签发，密码签名算法是否采用国密算法，比如国密SM2算法。

安全运维管理

配置管理

应建立合法无线接入设备和合法移动终端配置库，用于对非法无线接入设备和非法移动终端的识别。

这里的“合法无线接入设备和合法移动终端配置库”即设备的白名单。白名单包含允许接入的无线客户端的 MAC 地址及其他相关信息。如果设置了白名单，则只有白名单中指定的无线客户端可以接入 WLAN,其他的无线客户端将被拒绝接入。        

移动互联安全运维管理过程中配置的合法无线接入设备和合法移动终端配置库，用于对非法无线接入设备和非法移动终端的识别。MDM服务器统一安全推送MDM系统的企业 WiFi、APN 等配置信息，移动终端接入企业网络需要经过网络访问控制（NAC）统认证，与白名单比对确认移动终端身份信息后，移动终端可接入企业网络，进行数据安全交互。