信息安全等级保护,是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。在中国,信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作;狭义上一般指信息系统安全等级保护。
移动互联安全
无线接入点的物理位置
应为无线接入设备的安装选择合适位置,避免过度覆盖和电磁干扰。
边界防护
应保证有线网络与无线网络边界之间的访问和数据流通过无线接入网关设备。
访问控制
无线接入设备应开启接入认证功能,并支持采用认证服务器认证或国家密码管理机构批准的密码模块进行认证。
入侵防范
应能够检测到非授权无线接入设备和非授权移动终端的接入行为;
应能够检测到针对无线接入设备的网络扫描、DDoS攻击、密钥破解、中间人攻击和欺骗攻击等行为;
应能够检测到无线接入设备的SSID广播、WPS等高风险功能的开启状态;
应禁用无线接入设备和无线接入网关存在风险的功能,如:SSID广播、WEP认证等;
应禁止多个AP使用同一个鉴别密钥;
应能够阻断非授权无线接入设备或非授权移动终端。
移动终端管控
应保证移动终端安装、注册并运行终端管理客户端软件。
移动终端应接受移动终端管理服务端的设备生命周期管理、设备远程控制,如:远程锁定、远程擦除等。
移动应用管控
应具有选择应用软件安装、运行的功能。
应只允许制定证书签名的应用软件安装和运行。
应具有软件白名单功能,应能根据白名单控制应用软件安装、运行。
移动应用软件采购
应保证移动终端安装、运行的应用软件来自可靠分发渠道或使用可靠证书签名。
应保证移动终端安装、运行 应用软件由指定的开发者开发。
移动应用软件开发
应对移动业务应用软件开发者进行资格审查。
应保证开发移动业务应用软件的签名证书合法性,
配置管理
应建立合法无线接入设备和合法移动终端配置库,用于对非法无线接入设备和非法移动终端的识别。