移動通訊及互聯網技術的快速發展以及平臺和商業模式的巨大轉變��,顯著推動了移動互聯網的發展并呈現出一種加速化和擴大化的特征���,以移動互聯技術為基礎的新業務和創新技術 也逐步成為日常工作和生活中不可或缺的組成部分�。
移動互聯網由移動終端�、移動應用和無線網絡三部分組成���。移動互聯網由于其邊界的不確定性及設備的移動性等特點�,與有線網絡相比�,不僅僅表現為安全風險更大���,而且需要在易用性和安全性之間取得平衡���。下面給大家介紹一下網絡與通信安全審計的主要情況�。
一.業務概述:是指移動無線網絡與通信的結構安全�、通信的完整性的保 密性�、無線網絡設備防護等內容��。
二.審計目標和內容
1.結構安全
該控制項旨在檢查組織的移動無線接入設備在設計使用時����, 其處理能力和網絡帶寬能否滿足業務高峰需要�,且是否采用符合國家強制安全要求的產品��。
2.無線網絡通信完整性與保密性
該控制項旨在檢查組織是否對傳輸數據的無線通信網絡采 取加密技術�����,確保傳輸數據的完整性與保密性����,并驗證加密措 施的合規及有效性�。
3.無線網絡設備防護
該控制項旨在檢查是否對接入組織的移動無線網絡終端設 備及接入網關進行安全管理��,防范對所接入的無線網絡構成安 全威脅��。
三.常見問題和風險
1.無線接入網關的業務處理能力不滿足業務需求�����,導致高 峰期業務受阻或中斷�����,影響業務的正常開展��。
2.無線網絡通信加密機制不嚴格��,造成無線網絡傳輸過程 中重要數據外泄����。
3.無法網絡可信驗證機制不健全��,導致其他網絡的非法接 入����,造成網絡不可用或敏感信息的外泄����。
四.審計的主要方法和程序
1.結構安全
訪談網絡管理員�����,詢問無線接入網關的業務處理能力 能否滿足基本業務需求����,并查看在業務高峰期接入網關的 CPU 和內存使用情況���。
訪談網絡管理員�,詢問無線接入設備的網絡帶寬��,并檢查業務高峰時期內帶寬使用峰值�,判斷是否滿足業務需求���。
查看無線接入設備是否開啟符合國密算法的接入認證功能��。
2.無線網絡通信完整性與保密性
訪談網絡管理員���,詢問是否采用加密技術保證無線網絡通信過程中數據的完整性����,并查閱設計���、驗收文檔或源代碼�����, 查看是否有采用加密技術保護無線通信完整性的描述��。
訪談網絡管理員��,詢問是否采用加密技術保證無線網絡通信過程中數據的保密性��,并查閱設計�����、驗收文檔或源代碼�����,
查看是否有采用國產加密技術保護無線通信保密性的描述����,同 時測試無線通信過程中重要數據是否進行了安全加密��。
3.無線網絡設備防護
訪談網絡管理員�,詢問是否通過基于密碼的可信網絡 連接機制�,通過對連接到通信網絡的設備進行可信檢驗�����,確保接入通信網絡的設備真實可信����,防止設備的非法接入�。(通信網絡設備真實性驗證)
查閱組織是否針對無線接入設備和無線接入網關等設 備制定補丁管理制度����,訪談網絡管理員���,詢問是否對上述設備 采取補丁管理���,定期對其補丁進行更新����,并檢查上述設備��。訪談網絡管理員����,詢問并檢查無線接入設備和無線接 入網關是否關閉了“SSID 廣播�、WEP 認證” 等存在風險的功能�����。
訪談網絡管理員����,詢問并檢查無線接入設備是否分別 使用了不同的鑒別密鑰��。
