移動通訊及互聯網技術的快速發展以及平臺和商業模式的巨大轉變,顯著推動了移動互聯網的發展并呈現出一種加速化和擴大化的特征,以移動互聯技術為基礎的新業務和創新技術 也逐步成為日常工作和生活中不可或缺的組成部分。
移動互聯網由移動終端、移動應用和無線網絡三部分組成。移動互聯網由于其邊界的不確定性及設備的移動性等特點,與有線網絡相比,不僅僅表現為安全風險更大,而且需要在易用性和安全性之間取得平衡。下面給大家介紹一下網絡與通信安全審計的主要情況。
一.業務概述:是指移動無線網絡與通信的結構安全、通信的完整性的保 密性、無線網絡設備防護等內容。
二.審計目標和內容
1.結構安全
該控制項旨在檢查組織的移動無線接入設備在設計使用時, 其處理能力和網絡帶寬能否滿足業務高峰需要,且是否采用符合國家強制安全要求的產品。
2.無線網絡通信完整性與保密性
該控制項旨在檢查組織是否對傳輸數據的無線通信網絡采 取加密技術,確保傳輸數據的完整性與保密性,并驗證加密措 施的合規及有效性。
3.無線網絡設備防護
該控制項旨在檢查是否對接入組織的移動無線網絡終端設 備及接入網關進行安全管理,防范對所接入的無線網絡構成安 全威脅。
三.常見問題和風險
1.無線接入網關的業務處理能力不滿足業務需求,導致高 峰期業務受阻或中斷,影響業務的正常開展。
2.無線網絡通信加密機制不嚴格,造成無線網絡傳輸過程 中重要數據外泄。
3.無法網絡可信驗證機制不健全,導致其他網絡的非法接 入,造成網絡不可用或敏感信息的外泄。
四.審計的主要方法和程序
1.結構安全
訪談網絡管理員,詢問無線接入網關的業務處理能力 能否滿足基本業務需求,并查看在業務高峰期接入網關的 CPU 和內存使用情況。 訪談網絡管理員,詢問無線接入設備的網絡帶寬,并檢查業務高峰時期內帶寬使用峰值,判斷是否滿足業務需求。 查看無線接入設備是否開啟符合國密算法的接入認證功能。
2.無線網絡通信完整性與保密性
訪談網絡管理員,詢問是否采用加密技術保證無線網絡通信過程中數據的完整性,并查閱設計、驗收文檔或源代碼, 查看是否有采用加密技術保護無線通信完整性的描述。 訪談網絡管理員,詢問是否采用加密技術保證無線網絡通信過程中數據的保密性,并查閱設計、驗收文檔或源代碼, 查看是否有采用國產加密技術保護無線通信保密性的描述,同 時測試無線通信過程中重要數據是否進行了安全加密。
3.無線網絡設備防護
訪談網絡管理員,詢問是否通過基于密碼的可信網絡 連接機制,通過對連接到通信網絡的設備進行可信檢驗,確保接入通信網絡的設備真實可信,防止設備的非法接入。(通信網絡設備真實性驗證)
查閱組織是否針對無線接入設備和無線接入網關等設 備制定補丁管理制度,訪談網絡管理員,詢問是否對上述設備 采取補丁管理,定期對其補丁進行更新,并檢查上述設備。訪談網絡管理員,詢問并檢查無線接入設備和無線接 入網關是否關閉了“SSID 廣播、WEP 認證” 等存在風險的功能。 訪談網絡管理員,詢問并檢查無線接入設備是否分別 使用了不同的鑒別密鑰。
電話:01060606994 售后熱線:400-188-5118
郵箱:anzhou@anzhou.net.cn
地址:北京市海淀區西北旺東路10號院東區4號樓科銳大廈206房間