移动互联安全山西省信息化和信息安全评测中心被测系统详细信息系统名称重要等级主要用途负责人评估人员评估日期签字确认IP地址移动互联安全山西省信息化和信息安全评测中心被测系统详细信息层面控制点层面得分7.3.1 安全物理环境7.3.1.1 无线接入点的物理位置7.3.2 安全区域边界7.3.2.1 边界防护7.3.2.2 访问控制7.3.2.3 入侵防范7.3.3 安全计算环境7.3.3.1 移动应用管控7.3.4 安全建设管理7.3.4.1 移动应用软件采购7.3.4.2 移动应用软件开发测评项测评对象无线接入设备无线接入设备无线接入设备移动终端移动终端系统建设负责人软件的签名证书应为无线接入设备的安装选择合理位置,避免过度覆盖和电磁干扰。 应保证有线网络与无线网络边界之间的访问和数据流通过无线接入网关设备。 无线接入网关设备无线接入设备应开启接入认证功能,并且禁止使用WEP方式进行认证,如使用口令,长度不小千8位字符。 a) 应能够检测到非授权无线接入设备和非授权移动终端的接入行为; 终端准入控制系统、移动终端管理系统或相关组件b) 应能够检测到针对无线接入设备的网络扫描、DDoS 攻击、密钥破解、中间人攻击和欺骗攻击等行为; 抗APT 攻击系统、网络回溯系统、威胁情报检测系统、抗DDoS 攻击系统和入侵保护系统或相关组件c) 应能够检测到无线接入设备的 SSID 广播、WPS 等高风险功能的开启状态; 无线接入设备或相关组件d) 应禁用无线接入设备和无线接入网关存在风险的功能,如:SSID 广播、WEP 认证等; 无线接入设备和无线接入网关设备e) 应禁止多个 AP 使用同一个认证密钥; a) 应具有选择应用软件安装、运行的功能; 移动终端管理客户端b) 应只允许指定证书签名的应用软件安装和运行; 移动终端管理客户端a) 应保证移动终端安装、运行的应用软件来自可靠分发渠道或使用可靠证书签名; b) 应保证移动终端安装、运行的应用软件由指定的开发者开发。 a) 应对移动业务应用软件开发者进行资格审查; b) 应保证开发移动业务应用软件的签名证书合法性。 测评方法及步骤应核查是否分别使用了不同的鉴别密钥。应核查是否具有选择应用软件安装、运行的功能。应核查全部移动应用是否由指定证书签名。应核查移动应用软件是否由指定的开发者开发。1、应核查物理位置与无线信号的覆盖范围是否合理;2、应测试验证无线信号是否可以避免电磁干扰。应核查有线网络与无线网络边界之间是否部署无线接入网关设备。应核查是否开启接入认证功能,是否使用除WEP方式以外的其他方式进行认证,密钥长度不小于8位。1、应核查是否能够检测非授权无线接入设备和移动终端的接入行为;2、应测试验证是否能够检测非授权无线接入设备和移动终端的接入行为。1、应核查是否能够对网络扫描、DDoS 攻击、密钥破解、中间人攻击和欺骗攻击等行为进行检测;2、应核查规则库版本是否及时更新。应核查是否能够检测无线接入设备的SSID 广播、WPS 等高风险功能的开启状态。应核查是否关闭了SSID广播、WEP认证等存在风险的功能。应核查移动应用软件是否来自可靠分发渠道或使用可靠证书签名。应访谈系统建设负责人,是否对开发者进行资格审查。应核查开发移动业务应用软件的签名证书是否具有合法性。检查结果符合程度结果判断测评权重5符合0.45符合15符合15符合15符合15符合15符合15符合15符合0.45符合15符合15符合15符合15符合15.00 得分整改建议25555555255555
