9.3　移動互聯安全測評擴展要求

9.3　移動互聯安全測評擴展要求

9.3.1　安全物理環境

9.3.1.1　無線接入點的物理位置

9.3.1.1.1　測評單元（L4-PES3-01）

該測評單元包括以下要求：
a) 測評指標：應為無線接入設備的安裝選擇合理位置，避免過度覆蓋和電磁干擾；
b) 測評對象：無線接入設備；
c) 測評實施包括以下內容：
1) 應核查物理位置與無線信號的覆蓋范圍是否合理；
2) 應測試驗證無線信號是否可以避免電磁干擾。

9.3.2　安全區域邊界

9.3.2.1　邊界防護

9.3.2.1.1　測評單元（L4-ABS3-01）

該測評單元包括以下要求：
a) 測評指標：應保證有線網絡與無線網絡邊界之間的訪問和數據流通過無線接入網關設備；
b) 測評對象：無線接入網關設備；
c) 測評實施：應核查有線網絡與無線網絡邊界之間是否部署無線接入網關設備；

9.3.2.2　訪問控制

9.3.2.2.1　測評單元（L4-ABS3-02）

該測評單元包括以下要求：
a) 測評指標：無線接入設備應開啟接入認證功能，并支持采用認證服務器認證或國家密碼管理機構批準的密碼模塊進行認證；
b) 測評對象：無線接入設備；
c) 測評實施：應核查是否開啟接入認證功能，是否采用認證服務器或國家密碼管理機構批準的密碼模塊進行認證；

9.3.2.3　入侵防范

9.3.2.3.1　測評單元（L4-ABS3-03）

該測評單元包括以下要求：
a) 測評指標：應能夠檢測到非授權無線接入設備和非授權移動終端的接入行為；
b) 測評對象：終端準入控制系統、移動終端管理系統或相關組件；
c) 測評實施包括以下內容：
1) 應核查是否能夠檢測非授權無線接入設備和移動終端的接入行為；
2) 應測試驗證是否能夠檢測非授權無線接入設備和移動終端的接入行為。

9.3.2.3.2　測評單元（L4-ABS3-04）

該測評單元包括以下要求：
a) 測評指標：應能夠檢測到針對無線接入設備的網絡掃描、DDoS攻擊、密鑰破解、中間人攻擊和欺騙攻擊等行為；
b) 測評對象：抗APT攻擊系統、網絡回溯系統、威脅情報檢測系統、抗DDoS攻擊系統和入侵保護系統或相關組件；
c) 測評實施包括以下內容：
1) 應核查是否能夠對網絡掃描、DDoS攻擊、密鑰破解、中間人攻擊和欺騙攻擊等行為進行檢測；
2) 應核查規則庫版本是否及時更新。

9.3.2.3.3　測評單元（L4-ABS3-05）

該測評單元包括以下要求：
a) 測評指標：應能夠檢測到無線接入設備的SSID廣播、WPS等高風險功能的開啟狀態；
b) 測評對象：無線接入設備或相關組件；
c) 測評實施：應核查是否能夠檢測無線接入設備的SSID廣播、WPS等高風險功能的開啟狀態；

9.3.2.3.4　測評單元（L4-ABS3-06）

該測評單元包括以下要求：
a) 測評指標：應禁用無線接入設備和無線接入網關存在風險的功能，如：SSID廣播、WEP認證等；
b) 測評對象：無線接入設備和無線接入網關設備；
c) 測評實施：應核查是否關閉了SSID廣播、WEP認證等存在風險的功能；

9.3.2.3.5　測評單元（L4-ABS3-07）

該測評單元包括以下要求：
a) 測評指標：應禁止多個AP使用同一個鑒別密鑰；
b) 測評對象：無線接入設備；
c) 測評實施：應核查是否分別使用了不同的鑒別密鑰；

9.3.2.3.6　測評單元（L4-ABS3-08）

該測評單元包括以下要求：
a) 測評指標：應能夠定位和阻斷非授權無線接入設備或非授權移動終端；
b) 測評對象：終端準入控制系統、移動終端管理系統或相關組件；
c) 測評實施包括以下內容：
1) 應核查是否能夠定位和阻斷非授權無線接入設備或非授權移動終端接入；
2) 應測試驗證是否能夠定位和阻斷非授權無線接入設備或非授權移動終端接入。

9.3.3　安全計算環境

9.3.3.1　移動終端管控

9.3.3.1.1　測評單元（L4-CES3-01）

該測評單元包括以下要求：
a) 測評指標：應保證移動終端安裝、注冊并運行終端管理客戶端軟件；
b) 測評對象：移動終端和移動終端管理系統；
c) 測評實施：應核查移動終端是否安裝、注冊并運行移動終端客戶端軟件；

9.3.3.1.2　測評單元（L4-CES3-02）

該測評單元包括以下要求：
a) 測評指標：移動終端應接受移動終端管理服務端的設備生命周期管理、設備遠程控制，如：遠程鎖定、遠程擦除等；
b) 測評對象：移動終端和移動終端管理系統；
c) 測評實施包括以下內容：
1) 應核查移動終端管理系統是否設置了對移動終端進行設備遠程控制及設備生命周期管理等安全策略；
2) 應測試驗證是否能夠對移動終端進行遠程鎖定和遠程擦除等。

9.3.3.1.3　測評單元（L4-CES3-03）

該測評單元包括以下要求：
a) 測評指標：應保證移動終端只用于處理指定業務；
b) 測評對象：移動終端和移動終端管理系統；
c) 測評實施：應核查移動終端是否只用于處理指定業務；

9.3.3.2　移動應用管控

9.3.3.2.1　測評單元（L4-CES3-04）

該測評單元包括以下要求：
a) 測評指標：應具有選擇應用軟件安裝、運行的功能；
b) 測評對象：移動終端管理客戶端；
c) 測評實施：應核查是否具有選擇應用軟件安裝、運行的功能；

9.3.3.2.2　測評單元（L4-CES3-05）

該測評單元包括以下要求：
a) 測評指標：應只允許系統管理者指定證書簽名的應用軟件安裝和運行；
b) 測評對象：移動終端管理客戶端；
c) 測評實施：應核查全部移動應用的的簽名證書是否由系統管理者指定；

9.3.3.2.3　測評單元（L4-CES3-06）

該測評單元包括以下要求：
a) 測評指標：應具有軟件白名單功能，應能根據白名單控制應用軟件安裝、運行；
b) 測評對象：移動終端管理客戶端；
c) 測評實施包括以下內容：
1) 應核查是否具有軟件白名單功能；
2) 應測試驗證白名單功能是否能夠控制應用軟件安裝、運行。

9.3.3.2.4　測評單元（L4-CES3-07）

該測評單元包括以下要求：
a) 測評指標：應具有接受移動終端管理服務端推送的移動應用軟件管理策略，并根據該策略對軟件實施管控的能力；
b) 測評對象：移動終端；
c) 測評實施：應核查是否具有接受移動終端管理服務端遠程管控的能力；

9.3.4　安全建設管理

9.3.4.1　移動應用軟件采購

9.3.4.1.1　測評單元（L4-CMS3-01）

該測評單元包括以下要求：
a) 測評指標：應保證移動終端安裝、運行的應用軟件來自可靠分發渠道或使用可靠證書簽名；
b) 測評對象：移動終端；
c) 測評實施：應核查移動應用軟件是否來自可靠分發渠道或使用可靠證書簽名；

9.3.4.1.2　測評單元（L4-CMS3-02）

該測評單元包括以下要求：
a) 測評指標：應保證移動終端安裝、運行的應用軟件由指定的開發者開發；
b) 測評對象：移動終端；
c) 測評實施：應核查移動應用軟件是否由指定的開發者開發；

9.3.4.2　移動應用軟件開發

9.3.4.2.1　測評單元（L4-CMS3-03）

該測評單元包括以下要求：
a) 測評指標：應對移動業務應用軟件開發者進行資格審查；
b) 測評對象：系統建設負責人；
c) 測評實施：應訪談系統建設負責人，是否對開發者進行資格審查；

9.3.4.2.2　測評單元（L4-CMS3-04）

該測評單元包括以下要求：
a) 測評指標：應保證開發移動業務應用軟件的簽名證書合法性；
b) 測評對象：軟件的簽名證書；
c) 測評實施：應核查開發移動業務應用軟件的簽名證書是否具有合法性；

9.3.5　安全運維管理

9.3.5.1　配置管理

9.3.5.1.1　測評單元（L4-MMS3-01）

該測評單元包括以下要求：
a) 測評指標：應建立合法無線接入設備和合法移動終端配置庫，用于對非法無線接入設備和非法移動終端的識別；
b) 測評對象：記錄表單類文檔、移動終端管理系統或相關組件；
c) 測評實施：應核查是否建立無線接入設備和合法移動終端配置庫，并通過配置庫識別非法設備；