等保2.0即将实施，无线安全如何保障？

2019年5月13日，网络安全等级保护制度2.0国家标准（简称等保2.0标准）正式发布，并将于2019年12月1日（本周日）起开始实施。

网络安全等级保护制度是国家网络安全领域的基本国策、基本制度、和基本方法。行业主管单位要求相关单位根据等保2.0标准开展等级保护工作，进而落实网络安全保护义务，合理规避风险。目前已经下发的行业要求文件有：金融、电力、广电、医疗、教育等。

等保2.0标准分为五级，一至五级等级逐级增高。不同的信息系统等级，监管管理的等级不同：

等保2.0标准对无线网络的要求

网络安全等级保护制度在2.0时代着重于全方位的动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控，实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联和工业控制信息系统等保护对象的全覆盖，针对无线安全，等保2.0标准也提出对应安全要求，总结要点如下：

• 边界防护：非授权用户内网行为检查或限制、授权用户外网行为检查或限制；保证无线网络通过受控设备接入内网；

• 访问控制：网络流量基于应用协议和应用内容进行访问控制；

• 安全审计：对远程访问的用户行为、访问互联网的用户行为进行审计和数据分析；

• 身份鉴别：通过口令、密码、生物技术鉴别用户身份；

• 入侵防护：阻断非授权无线接入设备或非授权移动终端；

边界防护

等保2.0标准要求：应能够对非授权设备私自联到内部网络的行为进行检查或限制、应能够对内部用户非授权联到外部网络的行为进行检查或限制。

要实现该点要求，对内部网络的接入均需采用授权方式上网（即需要认证上网，禁止使用无认证、PSK共享秘钥等），对非授权设备、暴力破解私自接入内部网络的终端要自动列入黑名单进行报警并通知管理员。

同时，还需对内部用户的终端进行无线连接跟踪，发现非授权接入外部网络的行为及时进行报警并通知管理员。

等保2.0标准要求：应限制无线网络的使用，保证无线网络通过受控的边界设备接入内部网络。

要实现区域边界的限制，可在某特定区域范围内凭密码、口令或生物识别技术进行验证接入。

有线网络和无线网络之间的访问和数据都需要经过网关设备，信锐无线控制器自带边界防护功能，可以通过访问策略进行双向的流量控制。

访问控制

等保2.0标准要求：除了访问控制规则等，无线接入设备还应开启接入认证功能，并支持采用认证服务器认证或国家管理机构批准的密码模块进行认证。同时还要求，应对进出网络的数据流实现基于应用协议和应用内容的访问控制。

针对进出网络数据实现应用协议和应用内容的访问控制，可以通过部署无线控制器或上网行为管理实现，但很多厂商的无线设备不具备或具备的应用内容不全面，识别度不高，进而导致误控制。

信锐无线支持丰富的接入认证方式，并支持对接市面上主流的认证服务器，包括Radius、LDAP、AD、WAPI、CA、Oracle、Mysql、MS-SQL、阿里钉钉等。

安全审计

等保2.0标准要求：除了实现网络边界、重要网络节点的安全审计、审计记录的保护外，还应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。

大部分客户通过部署上网行为管理实现对访问互联网的用户行为的审计和数据分析，但是往往忽略了远程访问的用户行为（比如telnet操作），信锐无线控制器可以实现全方位的行为审计和数据分析，包括远程访问和互联网访问。

身份鉴别

等保2.0标准要求：除了身份标识和鉴别、防止鉴别信息被侦听等，还应采用口令、密码技术、生物技术等两种或以上的组合鉴别技术对用户进行身份鉴别（其中一种鉴别技术至少应使用密码技术来实现）。

信锐推出的多因子认证采用高安全性设计，可以实现密码+人脸/指纹/FaceID进行安全认证。

入侵防范

等保2.0标准要求：应能够检测到非授权无线接入设备和非授权移动終端的接入行为并阻断。

通过无线入侵检测/防钓鱼技术实时检测能够及时检测到非授权无线接入设备并及时告警通知给管理员，进行自动反制；采用接入认证方式以及MAC地址黑白名单，可以对非授权的移动终端进行控制。

等保2.0标准要求：应能够检测到针对无线接入设备的网络扫描、DDoS攻击,密钥破解、中间人攻击和欺骗攻击等行为。

信锐无线具有丰富的入侵检测功能，对网络扫描（IP扫描、端口扫描等）、DDoS攻击、密钥暴力破解、欺骗攻击进行实时监测和防御，自动告警和加入黑名单。

等保2.0标准要求：应禁用无线接入设备和无线接入网关存在的风险功能，如:SSID广播、WEP认证等。

信锐无线已经将WEP等安全性低的认证方式禁用，针对SSID广播功能可以进行自主选择关闭。

等保2.0标准要求：应禁止多个AP使用同一个认证密钥。

信锐无线采用账户密码+验证码/生物认证等多因素接入认证方式，防止多个AP使用同一个认证秘钥。

信锐无线专注于为用户提供安全连接、业务可视、极简运维的企业级无线网络，满足等保2.0标准中对边界防护、访问控制、安全审计、身份鉴别、入侵防范等相关要求，为用户构建端到端的安全无线网络。