全面解读“等保2.0”系列(五):移动互联安全
发布日期:2019-11-21
【天极网网络频道】编者按:
今天,互联网发展“一日千里”。无论是底层的IT基础设施和新技术,还是我们每天使用的互联网应用,变化快速发生,变革日新月异。与此同时,网络安全日益重要。但是,一直以来,我国在网络安全方面主要依据的是,2007年和2008年颁布实施的《信息安全等级保护管理办法》和《信息安全等级保护基本要求》。这两部法规被称为等保1.0。
但是,等保1.0”不仅缺乏对一些新技术和新应用的等级保护规范,比如云计算、大数据和物联网等,而且风险评估、安全监测和通报预警等工作以及政策、标准、测评、技术和服务等体系不完善。
为适应新技术的发展,解决云计算、物联网、移动互联和工控领域信息系统的等级保护工作的需要,由公安部牵头组织开展了信息技术新领域等级保护重点标准申报国家标准的工作,等级保护正式进入2.0时代。
众所周知,在等保2.0中涉及云计算、物联网、工业控制系统和移动互联。现在,让我们来看看最后一个部分,有关移动互联的安全扩展要求。
等保2.0对移动互联这样解释:采用无线通信技术将移动终端接入有线网络的过程。这最典型的例子,就是我们使用智能手机上网,看新闻、刷微博、玩游戏、叫车、订外卖等等。
在安全物理环境方面,主要是无线接入点的物理位置:无线接入设备的安装要避免过度覆盖和电磁干扰。
然后是安全区域边界,这是一大重点,它涉及边界防护、访问控制和入侵防范。在访问控制中,要求提到“无线接入设备应开启接入认证功能,并且禁止使用WEP方式认证。”同时,在入侵防范方面,则规定更加详细,不仅规定了“非授权的接入行为”,而且还有针对无线接入设备的攻击行为,比如网络扫描、DDoS攻击、密钥破解、中间人攻击和欺骗攻击。另外,该部分还规定:
1. 应能够检测到无线接入设备的SSID广播、WPS等高风险功能的开启状态;
2. 应禁用无线接入设备和无线接入网关存在风险的功能,如:SSID广播、WEP认证等;
3. 应禁止多个AP使用同一个认证密钥
然后是安全计算环境。在移动终端管控中,“移动终端应接受移动终端管理服务端的设备生命周期管理、设备远程控制,比如远程擦除、远程锁定等”。在第三级中,要求还对移动应用软件管控提出:具有选择应用软件安装、运行的功能;只允许指定证书签名的应用软件安装和运行;应具有白名单功能。
在安全建设管理方面,提出应用软件的可靠分发渠道、可靠证书签名。
来源: 天极网-网络频道 (作者: 東山)