\"等保2.0”系列解讀

 今天，互聯(lián)網(wǎng)發(fā)展“一日千里”。無(wú)論是底層的IT基礎(chǔ)設(shè)施和新技術(shù)，還是我們每天使用的互聯(lián)網(wǎng)應(yīng)用，變化快速發(fā)生，變革日新月異。與此同時(shí)，網(wǎng)絡(luò)安全日益重要。但是，一直以來(lái)，我國(guó)在網(wǎng)絡(luò)安全方面主要依據(jù)的是，2007年和2008年頒布實(shí)施的《信息安全等級(jí)保護(hù)管理辦法》和《信息安全等級(jí)保護(hù)基本要求》。這兩部法規(guī)被稱為等保1.0。

但是，等保1.0”不僅缺乏對(duì)一些新技術(shù)和新應(yīng)用的等級(jí)保護(hù)規(guī)范，比如云計(jì)算、大數(shù)據(jù)和物聯(lián)網(wǎng)等，而且風(fēng)險(xiǎn)評(píng)估、安全監(jiān)測(cè)和通報(bào)預(yù)警等工作以及政策、標(biāo)準(zhǔn)、測(cè)評(píng)、技術(shù)和服務(wù)等體系不完善。

為適應(yīng)新技術(shù)的發(fā)展，解決云計(jì)算、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)和工控領(lǐng)域信息系統(tǒng)的等級(jí)保護(hù)工作的需要，由公安部牽頭組織開(kāi)展了信息技術(shù)新領(lǐng)域等級(jí)保護(hù)重點(diǎn)標(biāo)準(zhǔn)申報(bào)國(guó)家標(biāo)準(zhǔn)的工作，等級(jí)保護(hù)正式進(jìn)入2.0時(shí)代。

眾所周知，在等保2.0中涉及云計(jì)算、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)和移動(dòng)互聯(lián)?，F(xiàn)在，讓我們來(lái)看看最后一個(gè)部分，有關(guān)移動(dòng)互聯(lián)的安全擴(kuò)展要求。

等保2.0對(duì)移動(dòng)互聯(lián)這樣解釋：采用無(wú)線通信技術(shù)將移動(dòng)終端接入有線網(wǎng)絡(luò)的過(guò)程。這最典型的例子，就是我們使用智能手機(jī)上網(wǎng)，看新聞、刷微博、玩游戲、叫車、訂外賣等等。

在安全物理環(huán)境方面，主要是無(wú)線接入點(diǎn)的物理位置：無(wú)線接入設(shè)備的安裝要避免過(guò)度覆蓋和電磁干擾。

然后是安全區(qū)域邊界，這是一大重點(diǎn)，它涉及邊界防護(hù)、訪問(wèn)控制和入侵防范。在訪問(wèn)控制中，要求提到“無(wú)線接入設(shè)備應(yīng)開(kāi)啟接入認(rèn)證功能，并且禁止使用WEP方式認(rèn)證。”同時(shí)，在入侵防范方面，則規(guī)定更加詳細(xì)，不僅規(guī)定了“非授權(quán)的接入行為”，而且還有針對(duì)無(wú)線接入設(shè)備的攻擊行為，比如網(wǎng)絡(luò)掃描、DDoS攻擊、密鑰破解、中間人攻擊和欺騙攻擊。

另外，該部分還規(guī)定：

1. 應(yīng)能夠檢測(cè)到無(wú)線接入設(shè)備的SSID廣播、WPS等高風(fēng)險(xiǎn)功能的開(kāi)啟狀態(tài);

2. 應(yīng)禁用無(wú)線接入設(shè)備和無(wú)線接入網(wǎng)關(guān)存在風(fēng)險(xiǎn)的功能，如：SSID廣播、WEP認(rèn)證等;

3. 應(yīng)禁止多個(gè)AP使用同一個(gè)認(rèn)證密鑰

然后是安全計(jì)算環(huán)境。在移動(dòng)終端管控中，“移動(dòng)終端應(yīng)接受移動(dòng)終端管理服務(wù)端的設(shè)備生命周期管理、設(shè)備遠(yuǎn)程控制，比如遠(yuǎn)程擦除、遠(yuǎn)程鎖定等”。在第三級(jí)中，要求還對(duì)移動(dòng)應(yīng)用軟件管控提出：具有選擇應(yīng)用軟件安裝、運(yùn)行的功能;只允許指定證書(shū)簽名的應(yīng)用軟件安裝和運(yùn)行;應(yīng)具有白名單功能。

在安全建設(shè)管理方面，提出應(yīng)用軟件的可靠分發(fā)渠道、可靠證書(shū)簽名。