移动互联安全扩展要求
移动互联安全扩展要求是在等级保护通用要求基础上对采用移动互联技术的等级保护对象提出的扩展要求,重点对移动终端、移动应用和无线网络提出安全保护要求,防止非授权移动终端或设备接入、无线网络攻击、移动应用软件篡改等,从而降低或减少因引入移动互联技术给等级保护对象带来的安全风险,确保采用移动互联技术的等级保护对象正常运行。
采用移动互联技术的等级保护对象的安全防护,涉及安全通用要求和移动互联安全扩展要求。
以下将以三级等级保护对象为例,说明等级测评实施过程中对移动互联安全扩展要求的安全物理环境(无线接入点的物理位置)、安全区域边界(边界防护、访问控制、入侵防范)、安全计算环境(移动终端管控、移动应用管控)、安全建设管理(移动应用软件采购、移动应用软件开发)、安全运维管理(配置管理)等控制环节进行检查和获取证据的方法。
控制点
1.
安全物理环境无线接入点的物理位置
与传统设备部署在机房不同,无线网络接入设备一般部署在公共区域。因此,为无线网络接入设备选择安全的物理位置尤为重要,是无线网络安全防护的基础。
a)
安全要求:应为无线接入设备的安装选择合理位置,避免过度覆盖和电磁干扰。
要求解读:若无线接入设备的安装位置选择不当,则易被攻击者利用,特别是通过无线信号过度覆盖的弱点进行无线渗透攻击。因此,应选择合理的位置安装无线接入设备。
检查方法
1.核查无线接入设备的物理位置,确定无线信号的覆盖范围。
2.测试无线信号的覆盖范围,以及在一定范围内是否可以进行渗透攻击、电磁干扰等(应为否)。
期望结果
1.有无线接入设备部署方案。
2.无线接入设备的物理位置合理。
3.无线接入信号覆盖范围合理,未出现过度覆盖或电磁干扰。