移動(dòng)通訊及互聯(lián)網(wǎng)技術(shù)的快速發(fā)展以及平臺(tái)和商業(yè)模式的巨大轉(zhuǎn)變��,顯著推動(dòng)了移動(dòng)互聯(lián)網(wǎng)的發(fā)展并呈現(xiàn)出一種加速化和擴(kuò)大化的特征����,以移動(dòng)互聯(lián)技術(shù)為基礎(chǔ)的新業(yè)務(wù)和創(chuàng)新技術(shù) 也逐步成為日常工作和生活中不可或缺的組成部分。
移動(dòng)互聯(lián)網(wǎng)由移動(dòng)終端�、移動(dòng)應(yīng)用和無線網(wǎng)絡(luò)三部分組成。移動(dòng)互聯(lián)網(wǎng)由于其邊界的不確定性及設(shè)備的移動(dòng)性等特點(diǎn)����,與有線網(wǎng)絡(luò)相比,不僅僅表現(xiàn)為安全風(fēng)險(xiǎn)更大�����,而且需要在易用性和安全性之間取得平衡���。下面給大家介紹一下網(wǎng)絡(luò)與通信安全審計(jì)的主要情況��。
一.業(yè)務(wù)概述:是指移動(dòng)無線網(wǎng)絡(luò)與通信的結(jié)構(gòu)安全����、通信的完整性的保 密性、無線網(wǎng)絡(luò)設(shè)備防護(hù)等內(nèi)容��。
二.審計(jì)目標(biāo)和內(nèi)容
1.結(jié)構(gòu)安全
該控制項(xiàng)旨在檢查組織的移動(dòng)無線接入設(shè)備在設(shè)計(jì)使用時(shí)����, 其處理能力和網(wǎng)絡(luò)帶寬能否滿足業(yè)務(wù)高峰需要���,且是否采用符合國家強(qiáng)制安全要求的產(chǎn)品�。
2.無線網(wǎng)絡(luò)通信完整性與保密性
該控制項(xiàng)旨在檢查組織是否對(duì)傳輸數(shù)據(jù)的無線通信網(wǎng)絡(luò)采 取加密技術(shù)�,確保傳輸數(shù)據(jù)的完整性與保密性,并驗(yàn)證加密措 施的合規(guī)及有效性�。
3.無線網(wǎng)絡(luò)設(shè)備防護(hù)
該控制項(xiàng)旨在檢查是否對(duì)接入組織的移動(dòng)無線網(wǎng)絡(luò)終端設(shè) 備及接入網(wǎng)關(guān)進(jìn)行安全管理,防范對(duì)所接入的無線網(wǎng)絡(luò)構(gòu)成安 全威脅����。
三.常見問題和風(fēng)險(xiǎn)
1.無線接入網(wǎng)關(guān)的業(yè)務(wù)處理能力不滿足業(yè)務(wù)需求,導(dǎo)致高 峰期業(yè)務(wù)受阻或中斷�,影響業(yè)務(wù)的正常開展。
2.無線網(wǎng)絡(luò)通信加密機(jī)制不嚴(yán)格�,造成無線網(wǎng)絡(luò)傳輸過程 中重要數(shù)據(jù)外泄。
3.無法網(wǎng)絡(luò)可信驗(yàn)證機(jī)制不健全��,導(dǎo)致其他網(wǎng)絡(luò)的非法接 入,造成網(wǎng)絡(luò)不可用或敏感信息的外泄����。
四.審計(jì)的主要方法和程序
1.結(jié)構(gòu)安全
訪談網(wǎng)絡(luò)管理員,詢問無線接入網(wǎng)關(guān)的業(yè)務(wù)處理能力 能否滿足基本業(yè)務(wù)需求��,并查看在業(yè)務(wù)高峰期接入網(wǎng)關(guān)的 CPU 和內(nèi)存使用情況���。
訪談網(wǎng)絡(luò)管理員�����,詢問無線接入設(shè)備的網(wǎng)絡(luò)帶寬����,并檢查業(yè)務(wù)高峰時(shí)期內(nèi)帶寬使用峰值�����,判斷是否滿足業(yè)務(wù)需求���。
查看無線接入設(shè)備是否開啟符合國密算法的接入認(rèn)證功能��。
2.無線網(wǎng)絡(luò)通信完整性與保密性
訪談網(wǎng)絡(luò)管理員��,詢問是否采用加密技術(shù)保證無線網(wǎng)絡(luò)通信過程中數(shù)據(jù)的完整性����,并查閱設(shè)計(jì)、驗(yàn)收文檔或源代碼�����, 查看是否有采用加密技術(shù)保護(hù)無線通信完整性的描述�。
訪談網(wǎng)絡(luò)管理員���,詢問是否采用加密技術(shù)保證無線網(wǎng)絡(luò)通信過程中數(shù)據(jù)的保密性����,并查閱設(shè)計(jì)���、驗(yàn)收文檔或源代碼�,
查看是否有采用國產(chǎn)加密技術(shù)保護(hù)無線通信保密性的描述����,同 時(shí)測(cè)試無線通信過程中重要數(shù)據(jù)是否進(jìn)行了安全加密。
3.無線網(wǎng)絡(luò)設(shè)備防護(hù)
訪談網(wǎng)絡(luò)管理員�,詢問是否通過基于密碼的可信網(wǎng)絡(luò) 連接機(jī)制,通過對(duì)連接到通信網(wǎng)絡(luò)的設(shè)備進(jìn)行可信檢驗(yàn),確保接入通信網(wǎng)絡(luò)的設(shè)備真實(shí)可信���,防止設(shè)備的非法接入�。(通信網(wǎng)絡(luò)設(shè)備真實(shí)性驗(yàn)證)
查閱組織是否針對(duì)無線接入設(shè)備和無線接入網(wǎng)關(guān)等設(shè) 備制定補(bǔ)丁管理制度���,訪談網(wǎng)絡(luò)管理員�����,詢問是否對(duì)上述設(shè)備 采取補(bǔ)丁管理���,定期對(duì)其補(bǔ)丁進(jìn)行更新,并檢查上述設(shè)備���。訪談網(wǎng)絡(luò)管理員����,詢問并檢查無線接入設(shè)備和無線接 入網(wǎng)關(guān)是否關(guān)閉了“SSID 廣播���、WEP 認(rèn)證” 等存在風(fēng)險(xiǎn)的功能�����。
訪談網(wǎng)絡(luò)管理員�,詢問并檢查無線接入設(shè)備是否分別 使用了不同的鑒別密鑰。
