9.3　移動互聯安全擴展要求

9.3　移動互聯安全擴展要求

9.3.1　安全物理環境

9.3.1.1　無線接入點的物理位置

應為無線接入設備的安裝選擇合理位置，避免過度覆蓋和電磁干擾。

9.3.2　安全區域邊界

9.3.2.1　邊界防護

應保證有線網絡與無線網絡邊界之間的訪問和數據流通過無線接入網關設備。

9.3.2.2　訪問控制

無線接入設備應開啟接入認證功能，并支持采用認證服務器認證或國家密碼管理機構批準的密碼模塊進行認證。

9.3.2.3　入侵防范

本項要求包括：
a) 應能夠檢測到非授權無線接入設備和非授權移動終端的接入行為；
b) 應能夠檢測到針對無線接入設備的網絡掃描、DDoS攻擊、密鑰破解、中間人攻擊和欺騙攻擊等行為；
c) 應能夠檢測到無線接入設備的SSID廣播、WPS等高風險功能的開啟狀態；
d) 應禁用無線接入設備和無線接入網關存在風險的功能，如：SSID廣播、WEP認證等；
e) 應禁止多個AP使用同一個認證密鑰；

9.3.3　安全計算環境

9.3.3.1　移動終端管控

本項要求包括：
a) 應保證移動終端安裝、注冊并運行終端管理客戶端軟件；
b) 移動終端應接受移動終端管理服務端的設備生命周期管理、設備遠程控制，如：遠程鎖定、遠程擦除等；

9.3.3.2　移動應用管控

本項要求包括：
a) 應具有選擇應用軟件安裝、運行的功能；
b) 應只允許指定證書簽名的應用軟件安裝和運行；
c) 應具有軟件白名單功能，應能根據白名單控制應用軟件安裝、運行；

9.3.4　安全建設管理

9.3.4.1　移動應用軟件采購

本項要求包括：
a) 應保證移動終端安裝、運行的應用軟件來自可靠分發渠道或使用可靠證書簽名；

9.3.4.2　移動應用軟件開發

本項要求包括：
a) 應對移動業務應用軟件開發者進行資格審查；

9.3.5　安全運維管理

9.3.5.1　配置管理

應建立合法無線接入設備和合法移動終端配置庫，用于對非法無線接入設備和非法移動終端的識別。