扩展要求(移动互联网安全三级): 目前实不编检查施方案符不符 规范要求 适解决建议(若不符合) 号 内容 (简要合 合 用 描述) 应为无线接8.3.18.3.1.1入设备的安安全无线接入装选择合理由无线网络承建方负 物理点的物理位置,避免过责。 环境 位置 度覆盖和电磁干扰。 应保证有线部署无线安全控制器,网络与无线采用集中管控模式对所网络边界之8.3.2.1有无线AP进行管控,确间的访问和 边界防护 保所有数据经过无线控数据流通过制器处理后接入有线网无线接入网络。 关设备。 无线接入设备应开启接入认证功能,并支持采用通过无线接入点汇聚交8.3.2.2认证服务器 换机上部署安全准入网访问控制 认证或国家关。 8.3 密码管理机构批准的密8.3.2码模块进行安全认证。 区域通过安全准入网关,实边界 时监测哑终端指纹信息的变化,当哑终端指纹信息变化时,可及时对a) 应能够检其进行告警或阻断,同测到非授权时结合SSID白名单,对无线接入设 连接到白名单之外的非备和非授权授权无线接入设备,进8.3.2.3移动终端的行阻断和告警。提供移入侵防范 接入行为; 动终端入网的设备注册功能,未注册的非授权移动终端的接入行为进行记录和阻断。 b) 应能够检通过部署无线安全控制测到针对无 器和无线安全探针,对线接入设备无线攻击进行检测,包的网络扫描、DDoS 攻击、密钥破解、中间人攻击和欺骗攻击等行为; c) 应能够检测到无线接入设备的 SSID 广播、 WPS 等高风险功能的开启状态; d) 应禁用无线接入设备和无线接入网关存在风 险的功能,如:SSID 广播、WEP 认证等; e) 应禁止多个 AP 使用 同一个认证密钥; 括网络扫描、DDoS 攻击、密钥破解、中间人攻击和欺骗攻击等 部署无线安全控制器和无线安全探针,通过无线环境检测功能发现无线网络(SSID),包括隐藏无线网络,无线攻击检查中的WPS探测发现无线接入设备高风险 通过无线安全控制器和无线安全探针进行检测,并结合人工进行核查,对存在的高风险功能进行调整、关闭、修复。 对所有AP采用动态密码验证机制(短信、微信等)机制进行验证,禁止使用静态密码方式。 通过安全准入网关实现,实时监测哑终端指纹信息的变化,当哑终端指纹信息变化、非授权无线接入设备时,可及时对其进行告警或阻断,提供移动终端入网的设备注册功能,未注册的非授权移动终端的接入行为进行记录和阻断。 可通过移动安全管理平台EMM实现。 可通过移动安全管理平台EMM实现。 f) 应能够阻断非授权无线接入设备 或非授权移动终端。 a) 应保证移动终端安装、8.3.38.3.3.1注册并运行 安全移动终端终端管理客计算管控 户端软件; 环境 b) 移动终端 应接受移动 终端管理服务端的设备生命周期管理、设备远程控制,如:远程锁定、远程擦除等。 a) 应具有选择应用软件 安装、运行的功能; b) 应只允许指定证书签8.3.3.2名的应用软 移动应用件安装和运管控 行; c) 应具有软件白名单功能,应能根据 白名单控制应用软件安装、运行。 a) 应保证移动终端安装、运行的应用软件来自可 靠分发渠道8.3.4.1或使用可靠移动应用证书签名; 软件采购 b) 应保证移动终端安装、运行的应用8.3.4 软件由指定安全的开发者开建设发。 管理 a) 应对移动业务应用软 件开发者进 8.3.4.2行资格审查;移动应用b) 应保证开软件开发 发移动业务应用软件的 签名证书合法性。 可通过移动安全管理平台EMM实现。 可通过移动安全管理平台EMM实现。 可通过移动安全管理平台EMM实现。 由移动应用软件开发商负责。 由移动应用软件开发商负责。 由移动应用软件开发商负责。 由移动应用软件开发商负责。 应建立合法无线接入设备和合法移8.3.5动终端配置安全8.3.5.1库,用于对非 运维配置管理 法无线接入管理 设备和非法移动终端的识别。 通过网络接入控制系统,建立白名单、黑名单和启用注册功能,建立配置库,非白名单和注册的终端,不允许接入。 扩展要求(工业控制系统安全三级): 编号 检查内容 规范要求 目前实不不施方案符符适解决建议(若不符合) (简要合 合 用 描述) 由基础设施承建单位或工控系统承建单位负责。 8.5.1安全物理环境 8.5.2安8.5 全通信网络 8.5.3安全区域边界 a) 室外控制设备应放置于采用铁板或其他防火材料制作的箱体或装置中并紧固; 8.5.1.1箱体或装置具有透风、散热、室外控防盗、防雨和防火能力等; 制设备b) 室外控制设备放置应远物理防离强电磁干扰、强热源等环护 境,如无法避免应及时做好 应急处置及检修,保证设备正常运行。 a) 工业控制系统与企业其他系统之间应划分为两个区 域,区域间应采用单向的技术隔离手段; b) 工业控制系统内部应根据业务特点划分为不同的安8.5.2.1 全域,安全域之间应采用技网络架术隔离手段; 构 c) 涉及实时控制和数据传输的工业控制系统,应使用独立的网络设备组网,在物 理层面上实现与其它数据网及外部公共信息网的安全隔离。 在工业控制系统内使用广域8.5.2.2网进行控制指令或相关数据通信传交换的应采用加密认证技术 输 手段实现身份认证、访问控制和数据加密传输。 a) 应在工业控制系统与企业其他系统之间部署访问控制设备,配置访问控制策略,禁止任何穿越区域边界的 8.5.3.1E-Mail、Web、Telnet、访问控Rlogin、FTP 等通用网络服制 务; b) 应在工业控制系统内安全域和安全域之间的边界防 护机制失效时,及时进行报 由基础设施承建单位或工控系统承建单位负责。 采用工业防火墙/工业网闸实现。 采用工业防火墙/工业网闸实现。 采用工业防火墙/工业网闸实现。 采用内置国密算法卡的加密网关设备实现。 采用工业防火墙/工业网闸实现。 采用工业防火墙/工业网闸实现。
好文档 - 专业文书写作范文服务资料分享网站