等保2.0之移动互联安全扩展要求，勾勒无线防御建设方向

等保2.0《信息安全技术网络安全等级保护基本要求第3部分：移动互联安全扩展要求》征求意见稿中对移动互联（主指无线）环境下安全等级要求已经非常明确，这里不在过多赘述，各位可以找来看看。这次主要是针对《要求》中第二~四级防护要求中的“入侵防范”要求进行梳理解释和产品推荐，先来看全部的内容：

① 应能够检测、记录、定位非授权无线接入设备；

② 应能够对非授权移动终端接入的行为进行检测、记录、定位并阻断；

③ 应具备对针对无线接入设备的网络扫描、DoS攻击、密钥破解、中间人攻击和欺骗攻击等行为进行检测、记录、分析定位；

④ 应能够检测到无线接入设备的SSID广播、WPS等高风险功能的开启状态。

每条防护内容都明确了安全事件和防范要求，以下就这两方面进行一些简单的梳理和解释：

安全事件

安全事件的关注点文中进行了简单明了的描述，集中来看有：非授权无线接入设备（私接AP）、非授权移动终端接入（非法内联）、无线网络扫描、无线DoS攻击、无线密钥破解、无线中间人攻击、无线攻击欺骗、接入设备设置状态。覆盖了已知无线风险种类和无线环境基线要求（下图为无线风险分类划分），我们可以简称它为7+1个事件。

 从外来无线入侵，到内部非法操作，再到无线网络基线要求。等保对无线端的入侵防范场景看似只有寥寥几笔，但实际已经勾勒出整个无线网络的从运维管理、到入侵防御的整个建设方向。也对目前无线内网存在的难管理、零运维、无视安全风险的使用现状提出了挑战。

防范要求

要求中涉及到的检测、记录、定位、阻断这些防范动作，如果在有线网络环境下，受物理限制，直接在网络节点选择架设防护产品，就容易形成一夫当关万夫莫开，日志信息真实性也能够保证。而无线网络是符合IEEE 802.11标准下的无线电互联技术，网络延展性好，不受物理限制。所以有线环境下的解决思路并不适用，无线安全事件汇集到有线网络后再检测效果更是差强人意，无法保证时效性和精确性。

检测的时效性、记录的准确性、定位的精确性和阻断的实时性和持续性才是无线网络防御的最终要求。而需要满足这种要求，防护产品就必须具备能在无线空口进行从检测到定位和阻断的一整套动作的能力，这给无线网络安全提供商带来了不小挑战。

绿盟2017年发布的SWD产品下WD1000手持合规检测设备与标准化SWD无线入侵防御一样都携带有8大类100多种无线安全事件特征库，完全包含支持7+1个事件。

对于事件的防范要求，WD1000可以满足3级防护要求，即：检测、记录、定位，以下以私接AP和脆弱性监测举例，展现产品的合规检测能力。

由于设备是通过无线空口进行信息抓取和跟踪点位，所以检测的时效性，记录的准确性，定位的精确性能够很好满足，还额外提供了取证和合规报告输出，满足了等级保护要求，直观了解无线环境的状态，对后续的运维管理给出了指导性建议。

	请点击屏幕右上方“…” 关注绿盟科技公众号 NSFOCUS-weixin

↑↑↑长按二维码，下载绿盟云APP