一、前言
今天我们来讲等保测评2.0的安全拓展要求中的关于移动互联安全方面的内容,移动互联也不是什么概念了 , 真正把它推上风口浪尖的是5G技术的快速发展 , 也让等保2.0重视起来移动互联的安全问题 , 未来是万物互联的世界,虽然这种场景还没有完全到来 , 但是等保2.0已经行动起来了 , 这说明我国的网络安全防护已经走在了技术应用的前边,从被动防护到现在的提前布局了,不只是移动互联安全,所有的安全扩展项都是这个转变的体现 。
移动互联
二、测评项
1、安全物理环境(1)无线接入点的物理位置
应为无线接入设备的安装选择合理位置,避免过度覆盖和电磁干扰 。查看无线接入点设备的参数信息 , 设备信号覆盖范围与应用场地面积应该大体一致,测试覆盖范围的信号质量 , 确保没有受到干扰,或者使用专用的电磁干扰检测仪测试 。
信号覆盖范围
2、安全区域边界
(1)边界防护
应保证有线网络与无线网络边界之间的访问和数据流通过无线接入网关设备 。首先得安装网关设备,并且拥有无线接入功能,查看这个网关设备 , 是否连接所有无线和有线设备,测试有线设备是否可以不通过网关设备连接无线设备并传输数据 。
(2)访问控制
无线接入设备应开启接入认证功能,并支持采用认证服务器认证或国家密码管理机构批准的密码模块进行认证 。测试接入无线设备,是否需要经过认证 , 常见的有web认证、密钥认证、证书认证等,至于认证服务器或者密码模块,一般都是支持采用的 。
边界防护
(3)入侵防范
a) 应能够检测到非授权无线接入设备和非授权移动终端的接入行为;使用没有授权的设备接入,查看是否阻止这些设备接入 , 并检测到这些设备的接入记录并保留 。
b) 应能够检测到针对无线接入设备的网络扫描、DDoS攻击、密钥破解、中间人攻击和欺骗攻击等行为;查看是否安装防火墙、IDS、IPS及防病毒设备,来实现无线网络的攻击行为和异常流量的检测和警告 。
c) 应能够检测到无线接入设备的SSID广播、WPS等高风险功能的开启状态;检测是否开启SSID广播功能,最简单的就是使用终端搜索无线接入设备,如果可以搜索到就是开启了,其实就是无线网络隐藏功能 , 但是连接时会不方便,需要知道网络名称后,搜索连接 。
入侵防范
d) 应禁用无线接入设备和无线接入网关存在风险的功能,如:SSID广播、WEP认证等;查看无线接入设备及网关是否关闭SSID广播、WEP认证等存在风险的功能 。
e) 应禁止多个AP使用同一个认证密钥;这里的多个,没有说明数量 , 一般认为超过3个为多,实际测试一下使用同一密钥依次登陆多个AP是否成功 。
f) 应能够阻断非授权无线接入设备或非授权移动终端 。常用的方法有IP认证、Mac地址认证等阻断非授权的无线或者终端接入,可以测试一下使用非授权设备接入是否成功 。
3、安全计算环境
(1)移动终端管控
a) 应保证移动终端安装、注册并运行终端管理客户端软件;查看移动终端的安装情况,并查看其授权书,确保终端管理客户端软件可以管控所有安装注册的终端设备 。
b) 移动终端应接受移动终端管理服务端的设备生命周期管理、设备远程控制,如:远程锁定、远程擦除等 。测试通过移动终端管理服务端为移动终端设置停止工作时间查看,控制移动终端进行锁定或者擦除操作,查看终端是否受控制接受操作 。
注册使用
(2)移动应用管控
a) 应具有选择应用软件安装、运行的功能;【一项一项教你测等保2.0安全扩展要求——移动互联安全】选择应用软件安装、运行查看是否正常 。
b) 应只允许指定证书签名的应用软件安装和运行;安装没有指定证书的应用软件,测试是否能够成功 。
c) 应具有软件白名单功能,应能根据白名单控制应用软件安装、运行 。查看是否有软件白名单功能,测试安装白名单以外的软件是否成功 。
4、安全建设管理
(1)移动应用软件采购
a) 应保证移动终端安装、运行的应用软件来自可靠分发渠道或使用可靠证书签名;就像我们安装App要选择正规应用商店一样,移动端的应用软件也要选择可靠的分发渠道,如何判断渠道是否可靠,其实国家已经有安全可靠的应用软件安装目录,只要选择目录里的软件安装运行就可以了,我们需要查看的就是所安装的应用软件是否是目录里的 。
b) 应保证移动终端安装、运行的应用软件由指定的开发者开发 。至于指定的开发者,无非就是查看这些开发者有没有相关的资质,开发相应保护等级的应用软件,像等保资质、分保资质等 。
采购方选择
(2)移动应用软件开发
a) 应对移动业务应用软件开发者进行资格审查;查看软件开发者的资质是否符合所开发软件的资质要求,例如定级等保三级的系统,所安装的应用软件的开发者应该有开发符合等保三级要求资质 。
b) 应保证开发移动业务应用软件的签名证书合法性 。合法的证书需要合法的机构签发,查看这些应用软件的证书是否是由合法的签发机关签发的 。
5、安全运维管理
(1)配置管理
应建立合法无线接入设备和合法移动终端配置库,用于对非法无线接入设备和非法移动终端的识别 。防止非法接入,一般采用绑定IP地址或者Mac地址的白名单技术,对于正常的运维接入,应该对接入设备进行安全配置限制,确保接入的设备不会造成安全事故 。
以上就是一项一项教你测等保2.0安全扩展要求——移动互联安全的所有内容,希望对大家有所帮助,之后会更新其余安全扩展要求的测评项,欢迎关注@科技兴了解更多科技尤其是网络安全方面的资讯与知识 。