等保移动互联网安全
移动互联网安全的重点对象是移动终端
、移动应用
、无线网络
物理环境
- 无线网络接入设备一般部署在公共区域。为无线网络接入色被选择安全的物理位置尤为重要,是无线网络安全的基础。
- 无线网络避免过度覆盖或被电磁干扰。
区域边界
-
防止无线网络边界与有线网络边界的混乱,要在无线网络与有线网络之间进行明确的网络安全边界划分。
-
网络边界处,部署无线接入网关设备。
-
部署认证服务器对无线接入终端进行认证,采用国家密码管理机构批准的密码模块进行认证。
-
禁止多个AP使用统一认证密钥。
-
使用无线入侵检测/无线入侵防御(WIDS/WIPS):
- 检测到非授权无线接入设备和非授权移动终端的接入行为。
- 检测对无线网络的攻击行为,包括网络扫描、DDos攻击、密钥破解、中间人攻击、欺骗攻击。
高风险技术
-
SSID广播:无线路由器或接入点(AP)发送自己的SSID信息,使得附近的设备能够检测到该无线网络的存在并连接到它。
-
WPS保护装置:由WiFi联盟组织实施的认证项目,其主要目的是用来简化无线网络的安全加密配置。
-
WEP认证:有线等效保密(WEP)协议是对在两台设备间无线传输的数据进行加密的方式,用以防止非法用户窃听或侵入无线网络。
-
TKIP临时密钥完整性协议:由于WEP协议存在安全漏洞,TKIP应运而生,以提供更可靠的安全协议。然而,TKIP自2012年的802.11标准中已经不再被视为安全且即将废弃。
计算环境
-
为降低移动终端面临的安全风险,保证移动终端安全可控,应在移动终端上安装移动终端客户端软件并进行统一的注册和管理。
-
使用远程锁定和远程擦除等技术进行服务端对移动端的生命周期管理和设备远程控制。
-
采用移动应用白名单、验证指定证书签名、远程管控等措施加强移动端应用软件的在安装和使用过程的安全性,可控性。
-
使用指定证书对移动应用软件进行签名,以保证安装文件的完整性,防止移动应用软件被篡改。
建设管理
- 降低移动应用软件
采购
、下载
、使用
中的风险。对移动应用软件的来源和开发者的合法性进行检查 - 等保三级特别要求要由指定的开发者进行开发,明确开发单位、开发者。
运维管理
- 建立无线配置库来识别非授权设备。