信息技术 安全技术 网络安全 第6部分：无线网络访问安全 征求意见稿

1GB/T25068.6—20XX信息技术安全技术网络安全第6部分：无线网络访问安全本文件描述了与无线网络相关的威胁、安全要求、安全控制和设计技术，为使用无线网络进行安全通信提供所需的技术选择、实施和监控指导。本文件适用于选择涉及使用及设计无线网络技术安全架构选项，在满足GB/T25068.2的基础上，为负责实施和维护安全无线网络的用户和实施者提供指导。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T25068.1—2020信息技术安全技术网络安全第1部分：综述与概念（ISO/IEC27033-1:2015，IDT）GB/T25068.2—2020信息技术安全技术网络安全第2部分：网络安全设计和实现指南（ISO/IEC27033-2:2012，IDT）GB/T29246—2023信息技术安全技术信息安全管理体系概述和词汇（ISO/IEC27000:2016，IDT）3术语和定义GB/T25068.1、GB/T29246界定的以及下列术语和定义适用于本文件。3.1无线访问接入点wirelessaccesspoint允许无线设备连接到有线网络的设备或设备部件。3.2无线基站wirelessbasestation提供移动终端与核心通信网络连接的设备。3.3核心网络corenetwork移动通信网络的一部分，规定了核心交换或呼叫路由功能的网元。3.4加固hardening通过减少漏洞暴露面来保护系统的过程。注：加固通常包括删除不必要的软件、不必要的用户名或登录名以及禁2GB/T25068.6—20XX3.5机器对机器machinetomachine允许无线或有线系统和其他相同型号的设备进行通信的一种技术。3.6信噪比signal-to-noiseratio接收到的有用信号的强度与接收到的干扰信号（噪声和干扰）的强度的比值。3.7无线接入网radioaccessnetwork移动通信系统的一部分，实现了无线接入技术，如TD-SCDMA/WCDMA、LTE或NR，为终端用户设备提供对核心网络（3.3）的接入。3.8无线热点Wi-Fi™一种创建在ISO/IEC/IEEE8802-11标准上的无线局域网技术，允许电子设备连接到网络，主要使用2.4GHz和5GHz无线频段。注：“Wi-Fi™”是Wi-Fi联盟的商标，通常被用作无线局域网的代名词，大多数无线局域网都是基于ISO/IEC/IEEE3.9无线自组织网络WirelessAd-Hocnetwork一种多跳的、无中心的、自组织无线网络，网络中所有节点的地位平等，无需设置任何的中心控制节点，网络中的节点不仅具有普通移动终端所需的功能，而且具有报文转发能力。4缩略语下列缩略语适用于本文件。2FA：双因素认证（Two-factorauthentication）3G：第三代移动通信技术（ThirdGenerationofmobiletelecommunicationstechnology）3GPP：第三代合作伙伴计划（ThirdGenerationPartnershipProgram）4G：第四代移动通信技术（FourthGenerationofmobiletelecommunicationstechnology）5G：第五代移动通信技术（FifthGenerationofmobiletelecommunicationstechnology）AAA：鉴别、授权和计费（Authentication,Authorization,andAccounting）AES：高级加密标准（AdvancedEncryptionStandard）Ad-hoc：自组织网（Ad-hoc）AP：访问接入点（AccessPoint）ASE：鉴别服务实体（AuthenticationServiceEntity）CCM：带密码块链消息认证码的计数器模式（CTRwithCBCMessageauthenticationcode）CCMP：密码块链消息认证码协议（CipherBlockChainingMessageAuthenticationCodeProtocol）3GB/T25068.6—20XXCISO：首席信息安全官（ChiefInformationSecurityOfficer）DMZ：非军事区（De-MilitarizedZone）DoS：拒绝服务（DenialofService）EAP：扩展鉴别协议（ExtensibleAuthenticationProtocol）FTP：文件传输协议（FileTransferProtocol）HTTP：超文本传输协议（HyperTextTransferProtocol）GHz：千兆赫兹（gigahertz）IDS：入侵检测系统（IntrusionDetectionSystem）IEEE：电气和电子工程师协会（InstituteofElectricalandElectronicsEngineers）IMAP：因特网信息访问协议（Internetmessageaccessprotocol）IMEI：国际移动设备识别码（InternationalMobileEquipmentIdentity）IMS：IP多媒体子系统（InternetProtocol(IP)MultimediaSubsystem）IMSI：国际移动用户识别码（InternationalMobileSubscriberIdentity）IPS：入侵防御系统（IntrusionPreventionSystem）IPsec：互联网安全协议（InternetProtocolSecurity）ISM：工业、科学和医疗（Industrial,ScientificandMedical）ISP：互联网服务提供商（InternetServiceProvider）IT：信息技术（InformationTechnology）LTE：长期演进（LongTermEvolution）MAC：媒体访问控制（MediaAccessControl）MIC：消息接口代码（MessageInterfaceCode）NIC：网络接口卡（NetworkInterfaceCard）OBEX：对象交换（Objectexchange）PDA：个人数字助理（PersonalDigitalAssistant）PIN：个人识别码（PersonalIdentificationNumber）PKI：公钥基础设施（PublicKeyInfrastructure）PLMN：公用陆地移动通信网（PublicLandMobileNetwork）POP：邮局协议（PostOfficeProtocol）RAP：无线电接入点（RadioAccessPoint）RAN：无线电接入网（RadioAccessNetwork）RBAC：基于角色的访问控制（RoleBasedAccessControl）RF：射频（RadioFrequency）RFCOMM：射频通信（RFCommunication）4GB/T25068.6—20XXSAE：系统架构演进（SystemArchitectureEvolution）SLA：服务等级协议（ServiceLevelAgreement）SIM：用户识别模块（SubscriberIdentityModule）SNMP：简单网络管理协议（SimpleNetworkManagementProtocol）SMTP：简单邮件传输协议（SimpleMailTransferProtocol）SSH：安全外壳协议（SecureShell）SSID：服务集标识符（ServiceSetIdentifier）STA：站点（STAtion）TCP：传输控制协议（TransmissionControlProtocol）TLS：安全传输层协议（TransportLayerSecurity）UE：用户设备（UserEquipment）UHF：超高频（UltraHighFrequency）UICC：通用集成电路卡（UniversalIntegratedCircuitCard）UMTS：通用移动通信系统（UniversalMobileTelecommunicationsSystem）USB：通用串行总线（UniversalSerialBus）UWB：超宽带（Ultra-WideBand）VLAN：虚拟局域网（VirtualLocalAreaNetwork(LAN)）VPN：虚拟专用网（VirtualPrivateNetwork）WAI：无线局域网鉴别基础结构（WLANAuthenticationInfrastructure）WAPI：无线局域网鉴别与保密基础结构（WLANAuthenticationandPrivacyInfrastructure）WEP：无线等效加密（WirelessEquivalentPrivacy）WIDS：无线入侵检测系统（WirelessIntrusionDetectionSystem）WIPS：无线入侵防御系统（WirelessIntrusionPreventionSystem）WLAN：无线局域网（WirelessLocalAreaNetwork）WMAN：无线城域网（WirelessMetropolitanAreaNetwork）WNIC：无线网络接口控制器（WirelessNetworkInterfaceController）WPA：无线保护访问加密协议（Wi-Fi™ProtectedAccess）WPA2：第二代无线保护访问加密协议（Wi-Fi™ProtectedAccess2）WPA3：第三代无线保护访问加密协议（Wi-Fi™ProtectedAccess3）WPAN：无线个域网（WirelessPersonalAreaNetwork）WPA-PSK：WPA预共享密钥（WPAPre-SharedKey）WPI：无线局域网保密基础设施（WLANPrivacyInfrastructure）5GB/T25068.6—20XX5文档结构本文件的结构包括：——无线网络及其安全性要求概述（见第6章）；——无线网络的安全威胁（见第7章——无线网络的安全要求（见第8章——无线网络架构的安全控制（见第9章）；——无线网络的安全性设计技术（见第10章）。6概述6.1无线网络接入技术根据应用领域不同，无线通信网络分为无线个域网（WPAN）、无线局域网（WLAN）、无线城域网（WMAN），通过无线网络和固网接入互联网。以下列出了主要的无线网络类别，包括一些关键技术的示例。——WPAN：一种不依赖或较少依赖基础设施的小型无线网络。WPAN是用于处理便携式和移动计算设备（如个人电脑、平板电脑、外设、智能手机和其他消费类电子产品）的无线网络，允许这些设备相互通信和互操作。WPAN技术的示例如下：蓝牙，一种用于在固定设备和移动设备之间短距离交换数据的无线技术，可用于在小型便携式设备之间建立无线网络WPAN；UWB，一种在宽频谱范围上进行近距离、超宽带通信的低功耗无线电技术。可以在短距离内实现高达480Mbps的数据速率，并可以支持全方位的WPAN应用，例如传感器数据收集、精确定位和跟踪；紫蜂协议（ZigBee®),一种基于ISO/IEC/IEEE8802-15-4标准的轻型WPAN技术，旨在满足低成本、低功耗无线传感器和控制网络的需求，如空调系统和建筑照明。——WLAN：由一组在有限区域内进行无线电通信的节点组成的无线网络，通常供范围内的设备使用，如办公楼或校园建筑，并且作为现有有线局域网的扩展，以增强用户使用的灵活性。WLAN技术的示例如下：WAPI。GB15629.11系列标准中规范的无线局域网安全机制。WAPI机制包括WAI协议和WPI方案两部分，在WAPI中，STA、AP和ASE利用数字证书和五条消息传递进行相互实体鉴别；部署WAPI应符合GB15629.11国家标准；Wi-Fi™。Wi-Fi有四种安全类型，即WEP、WPA、WPA2和WPA3，基于WEP和WPA的Wi-Fi存在典型安全漏洞，目前主要依赖于WPA2和WPA3。WPA2支持使用WPA-PSK和ISO/IEC/IEEE8802-1X+EAP进行鉴别。WPA2/WPA3使用的数据机密性和完整性协议6GB/T25068.6—20XX（如CCMP）保护STA和AP之间的通信。部署WPA2/WPA3应确保每个AP及其相应的身份鉴别服务之间的通信通过加密得到充分保护。——WMAN：无线城域网是指在地域上覆盖城市及其郊区范围的分布节点之间传输信息的本地分配无线网络。其覆盖范围的典型值为3~5km，点到点链路的覆盖可达几十千米，可以提供支持QoS的能力和具有一定范围移动性的共享接入能力。WMAN技术的示例包括以下内容：3G，第三代移动通信技术。3G可应用于无线语音通话、移动互联网接入、固定无线互联网接入、视频通话和移动电视。3G网络使用KASUMI分组密码过程中存在严重弱点；4G，第四代移动通信技术。4G系统除了提供3G常规语音和其他服务外，还提供移动互联网接入，例如带USB无线调制解调器的笔记本电脑、智能手机和其他移动设备；5G，第五代移动通信技术。5G是具有高速率、低时延和大连接特点的新一代宽带移动通信技术，是实现人机物互联的网络基础设施，其性能目标是高数据速率、减少延迟、节省能源、降低成本、提高系统容量和大规模设备连接。6.2无线网络安全原则由于无线电传播的广播性质，无线空口是开放的，授权用户和非法用户均可访问。开放的通信环境使无线传输比有线通信更容易受到恶意攻击。因此，无线网络宜包括以下安全原则：——机密性：所传输的信息不以任何方式泄露；——完整性：所传输的信息在传输过程中不被更改；——可用性：网络服务可用；——身份鉴别：对寻求接入网络的用户或实体身份的确认；——访问控制：对网络、网络接入点的访问控制；——可核查性：任何违反网络安全的行为都可追溯到特定的用户或实体。许多不同类型的无线设备被用于在家庭、户外、商业/组织/企业环境、公共区域、服务提供商部署和工业部署中开展业务。应考虑到用户行为、用户设备类型、正在使用的信息资产数量、类型以及威胁趋势。对于组织、企业和服务提供商来说，负责建立、监测和执行互联网使用策略的信息安全管理部门应评估无线网络面临的威胁，以统筹考虑无线网络特有的威胁、要求、控制和设计技术。7安全威胁7.1概述无线网络不仅易受传统有线网络面临的安全威胁的影响，而且还面临与使用无线接入技术直接相关的威胁。由于大多数无线介质的特性，几乎不可能在一个控制区域内限制无线电信号，这些辐射信号受到秘密拦截和利用。在传统的有线基础设施中，工作场所或服务提供商场所的物理安全性为网络提供了7GB/T25068.6—20XX一些保护，因为用户必须通过物理连接到网络来访问其资源。在无线环境中，这一层防御不再适用，需要重新评估整个威胁环境，本条款描述了一些与无线网络相关的威胁。7.2未授权的访问未经授权的访问可能导致敏感信息泄露、数据篡改、DoS攻击和非法使用资源。一旦未经授权的用户访问了网络，可能通过监视未受保护的数据来截获用户名和密码，实施进一步攻击。无线网络面临与有线网络类似的未授权访问威胁。无线网络接入可能会导致安全威胁，如果现有信息泄露，将会引发进一步的探查。例如，获得SSID名称和设置就可以进一步使用无线网络，接入无线网络后，可由此连接到该网络中其他资源。7.3数据包嗅探未启动加密的无线网络容易遭到窃听，实现窃听需要天线、连接到无线网络的设备和网络数据包嗅探器。数据包嗅探器是一个将网卡置于“混杂模式”的程序，这意味着接口将接收和处理它看到的所有流量，而不仅仅是针对它的流量。网络嗅探器将向用户显示所有网络数据包，并对它们进行解码以便阅读，所有的明文流量都易于读取，并且可以定义过滤器来查找特定的关键字或值。通过对几种常用的明文协议和服务（比如，HTTP、POP、IMAP、SMTP、FTP）进行嗅探和过滤，邮件和信息中的用户名、口令和敏感信息可以被轻易地获取。专门为检测数据包嗅探攻击而设计的工具，通过监控网络流量或扫描以混杂模式工作的网卡，以检测无线网络嗅探器。典型的无线数据包嗅探工具（或者数据包分析器）包括Wireshark和Snoop。对于WLAN通信以及蓝牙等其他无线技术来说，天线增益越高，发射功率越大，就越容易被窃听。除窃听这种被动攻击形式外，攻击还包括会话劫持或中间人攻击等其他形式，其中用户和无线AP之间的消息被拦截和修改的目的是获得信息或设备未经授权的访问。早期的移动网络极易被窃听，随着网络性能的提升和这些网络承载保密和敏感信息的增多，已经为用户AP接口定义了信息加密规范。7.4恶意无线AP攻击者可以故意安装恶意无线AP使攻击者获得本地网络或远程网络的访问权，还可以将现有的无线AP替换为具有完整配置和监视访问权限的无线AP，甚至可以配置具有类似设置但具有更高功率比的恶意无线AP，以取代合法无线AP的信号。合法用户一旦连接到了一个恶意无线AP，私密信息就可以被获取。对PLMN而言，通常有防御措施保护（如物理隔离等难以部署恶意无线AP或基站。因此，大多数移动网络设备宜部署在特定的机房或难以进入和安装恶意设备的位置。在部署小型基站时，攻击者可能将已被入侵的基站部署在业务或客户场所，尽管如此，攻击者仍需获得网络接入鉴别。在未获得网络接入鉴别的情况下，由于基站由PLMN运营商集中控制，任何安全8GB/T25068.6—20XX事件、恶意基站周围网络性能下降的状态都可能向运营商告警。因此，虽然攻击者可以发起本地DoS攻击或使用某些免费移动设备，但攻击范围可能受限。7.5DoS攻击DoS攻击的本质是耗尽其目标的内存或计算能力，使计算机或网络无法提供正常的服务。无线网络由于其介质的开放性、拓扑结构的动态变化、算法的协同性、协议的分散性以及缺乏明确的防线等特点，特别容易受到DoS攻击。许多为有线网络开发的防御技术不适用于这种移动环境。一种造成DoS攻击的简单方法是通过射频干扰，即攻击设备在无线网络的频率范围内发射电子信号或能量，如果攻击者的射频信号不频繁或为短脉冲，被称之为加扰，则更难被网络运营商检测到。在更复杂的场景下，攻击者向电源有限的移动设备（如远程机器到机器设备）发送合法的重复消息，导致其过早耗尽电量，停止服务。此外，还有模糊攻击，包括向设备发送格式错误或非标准数据，并监控设备的反应。如果因受到这些攻击，设备的响应减慢或停止，则进一步引发DoS攻击。7.6蓝牙劫持蓝牙劫持是对支持蓝牙的移动设备（如手机）进行的攻击。攻击者通过向启用蓝牙的设备发送未经允许的消息发起蓝牙劫持。消息本身不会对用户的设备造成伤害，但它们可能会诱使用户以某种方式做出响应或将新联系人添加到设备的地址簿中。这种消息发送攻击类似于针对电子邮件用户的垃圾邮件和网络钓鱼攻击。当用户响应带有恶意企图的蓝牙劫持消息时，可能对用户造成伤害。7.7蓝牙漏洞攻击蓝牙漏洞攻击是通过蓝牙连接实现对无线设备未经授权的访问，这种情况通常发生于手机、台式电脑、笔记本和PDA之间。被攻击后可能会导致设备里的保密和私人信息被未经授权访问。7.8Ad-hoc网络威胁无线网络一般是通过无线设备连接到无线AP/无线路由器来创建的，而无线Ad-hoc是直接在两个或多个启用WLAN的设备之间创建的。即使设备间并未直接的互联，它们仍然可以通过公共计算机/其他计算机相互通信。Ad-hoc网络是某些操作系统的默认启动选项，当Ad-hoc网络中的通信未加密时，在发送信息的计算机范围内的攻击者可能会尝试连接到该设备并访问其共享文档。7.9其他威胁其他威胁示例如下：——消息或数据包的错误路由或重复路由；——IMSI捕获攻击；9GB/T25068.6—20XX——UE追踪；——强制切换；——LTE中不受保护的引导和多播信令的威胁；——提供机密性但不提供完整性的IPsec隧道可能不同步。其他威胁包括对用户设备和存储在上面的信息（如加密密钥等）的威胁。8安全要求8.1概述安全要求和控制同样适用于无线和有线网络。但是，无线网络需要额外的安全要求来处理特定的无线威胁（详见第7条），第8条包括这些额外的需求。当评价8.2到8.7中列举的核心安全需求是否被满足时，威胁和威胁的情景需要纳入到考虑范围。8.2机密性为了降低对无线网络传输的数据机密性的安全顾虑，需要对用户数据以及在某些情况下的信令、控制和管理平面数据进行加密，以确保数据不会在传输过程中泄漏或被窃听。根据无线接入技术的不同，可以采用不同的加密方案和加密强度。为确保数据的机密性，网络管理员宜使用强加密方案，同时考虑网络性能、网络容量、密钥管理和可用性之间的平衡。8.3完整性为确保无线网络传输的数据的完整性，宜使用适当的完整性保护机制，该机制保证用户数据或信令、控制或管理数据没有被更改或篡改。无线接入技术均可使用具有特定加密强度的完整性保护机制。网络管理员宜使用强加密方案，同时考虑网络性能、网络容量、密钥管理和可用性之间的平衡。8.4可用性无线网络的可用性取决于诸多因素（多数是共性的），包括以下内容：——所选技术的射频特性（比如，信道带宽、信号强度、频带、调制、编码方式等——网络部署的环境（物理地形、大气）；——网络在负载状态和过载状态下的性能；——如何规划网络（负载能力、频谱的复用——设计网络和组成网元时考虑的冗余等级；——网络和组成网元对于DoS攻击的弹性。网络提供商、服务提供商、组织和/或企业可能受法规、地方政策约束，向客户提供不同级别的服务。一些客户可能会与服务提供商协商SLA，这将影响上述某些因素。GB/T25068.6—20XX8.5身份鉴别对数据来源或通信方、网络管理员和维护人员身份进行鉴别是无线网络安全的基础。无线接入技术可对试图连接或访问网络的用户设备使用不同的身份鉴别方案，设备均具有其特定的强制鉴别协议。在多数情况下，网络管理员将无法操控该协议。网络管理员宜使用最强的身份鉴别选项，同时权衡网络性能、密钥或密码管理、可用性、部署模型等方面。在移动网络环境下，由运营商决定用户设备如何向网络进行身份鉴别，以及网络接入点如何向用户设备鉴别身份，因此，对于PLMN来说，CISO或IT管理人员需要掌握上述内容。8.6授权访问控制确保仅允许授权人员或设备访问网元、存储信息、信息流、服务和应用程序。无线接入技术以用户、控制和信令数据（包括设备和元件管理数据）的规范形式定义了终端设备和RAP的接入控制，存在，此外，设备供应商会定义和实施特定的RAP接入控制方案。WLAN环境下，CISO/IT管理员决定可以访问网络的用户。PLMN环境下，运营商决定可以访问网络的用户设备（由IMEI决定），而组织/企业的IT管理员不具有决定权。8.7可核查性应强制实施无线网络用户可核查性，以确保任何违反政策的行为都可以追溯到特定用户。它通过提供各种网络相关操作的可用证据（如义务、意图或承诺的证据、数据来源证据、所有权证据、资源使用证据）防止个人或实体否认执行与数据相关的特定操作。它确保了证据的可用性，这些证据可以提交给第三方，并用于证明已发生的某种事件或行为。WLAN环境下，AP可配置记录客户端访问信息，此数据可用于故障排除、监视网络性能和趋势分析。客户端访问失败、身份鉴别失败、客户端关联历史记录提示使网络管理员能监视潜在的安全漏洞，并跟踪和帮助识别实施特定活动的客户端。9安全控制9.1无线安全策略当出现安全风险时，宜评审每项安全资产，以确定其是否与资产或网络相关，是否会影响资产或网络，并确定降低风险控制措施的优先级，可以通过多重控制来降低大多数风险。例如，访问控制和身份鉴别适用于抵抗恶意代码的攻击。评估安全风险确定了在项目风险评估和管理阶段中对安全控制选择或防御层的决策。GB/T25068.6—20XX无线网络的关键安全策略是采用多级防御，一些关键的通用控制包括：——设备加固；——设备软件补丁；——基于资产风险评估的信息管理系统；——操作员培训；——终端用户安全意识的提升。9.2加密控制和实现以下的参数供信息管理部门在加密时参考：——可用的数据加密算法，在设备/网络和终端用户中可实现的数据加密算法；——终端用户是否需要选择加密类型，或者是否可以仅由网络管理员进行配置；——在使用强加密算法的同时，还要考虑对加密算法选择做出权衡，来适配网络接口、终端用户设备和接口可用带宽的性能；——告知终端用户其数据的加密级别，即其数据的安全程度；——需要熟悉加密密钥的管理，是否部署了PKI，无线解决方案是否部署本地证书颁发机构或链接公共/根证书颁发机构的接口。密钥管理过程的自动化程度越高，对用户就越友好；——在某些地区，本地政策法规规定了是否可以部署某些类型的加密；——SLA还可以规定宜部署的加密类型；——与其他无线网络的互操作性。例如，如果终端用户切换到了另一个网络，第二个网络是否支持与第一个网络相同的加密等级；——与不同版本的设备/装置的向后兼容性。例如，用户设备的早期版本可能不支持相同等级的加密。由于无线安全标准只能在每次转发基础上或在接口（例如空口）上决定采用何种数据加密机制，因此在考虑数据加密时，信息安全管理部门宜评审端到端的数据流。在特定情况下，宜进一步考虑端到端安全隧道或VPN连接。除了端到端的数据流之外，还需要考虑对存储在无线访问接入点和终端设备中的数据进行加密，通常遵循存储保密数据的做法。在加密方面，信息安全管理部门应该意识到任何对加密算法的破解都会被公开。一般来说，已发布漏洞肯定会成为信息和通信行业的共识，宜与所有系统供应商签订漏洞披露协议，以确保CISO了解此类漏洞。9.3完整性评估无线接口使用完整性检查机制作为抵御会话劫持、中间人攻击、消息重放等攻击的主要防御层。在无线网络标准定义完整性检查方法时，某些标准可能为信息安全管理部门提供了大量选项以供选择。9.2列出的内容同样适用于完整性评估。GB/T25068.6—20XX当信息安全管理部门选择数据完整性机制时，需要考虑用户数据和传输中的控制数据，以及与管理有关（如软件下载、升级或配置下载）的数据。9.4身份鉴别为防止未经授权访问网络、AP或数据，设置恶意访问点和中间人攻击等威胁，无线技术标准对鉴别机制进行定义，包括密码认证、共享密钥或公钥/私钥以及更复杂的组合方案。信息安全管理部门宜考虑终端用户和终端用户设备如何通过身份鉴别接入网络（AP或中间网关），AP或中间网关如何通过身份鉴别向终端用户设备进行鉴别，AP之间如何相互鉴别和AP如何通过身份鉴别接入核心网络。相关安全标准中通常已经对大多数无线技术进行了定义。以下的注意事项供信息管理部门参考：——与所用的无线技术相关的无线安全标准定义了身份鉴别机制，并定义了相应的接口，包括是否仅为空口，是否为用于管理和控制设备及AP的接口。该标准还可能定义了接口间相互匿名鉴别机制；——应用于装置/网络和终端用户设备的身份鉴别机制，某些设备及AP装置可能不支持最新的标准或所有的安全选项；——在选择和配置身份鉴别机制时，网络管理员可用的选项；——在使用强身份鉴别机制的同时，还需要权衡用户友好性、网络管理员的可管理性以及部署方案的成本；——需要了解凭证的管理策略；——需要了解的其他凭证管理策略包括:处理失败的身份鉴别行为；撤销和重新安装凭证；凭证有效期管理。这些内容不但适用于用户平面还适用于控制和管理平面；——2G/3G/4G/5G这样的无线技术在终端用户设备中使用了SIM/UICC设备，这些终端用户设备由PLMN运营商提供和配置，或者可以由设备生产商永久安装，信息安全管理部门需要了解这些。CISO也需要了解物理层面的安全机制，这些机制被用来保护终端用户设备或控制器（比如，防篡改集成电路，可信环境等）的凭证；——在某些特定管理区，本地政策法规规定了是否可以部署某些身份鉴别机制；——SLA还可以规定宜部署的身份鉴别机制；——与其他无线网络的互操作性。例如，如果终端用户切换到了另一个网络，第二个网络是否支持与第一个网络相同类型的身份鉴别。信息安全管理部门通常不具备配置或控制互操作性的权限，但应该了解不同无线安全技术的效能；——向后兼容不同的设备/装置版本。9.5访问控制9.5.1无线访问控制机制GB/T25068.6—20XX通用访问控制机制（比如RBAC权限控制、文件系统访问控制、防火墙、入侵检测）不论是否被集成到独立产品或作为额外的防御层，也同样适用于无线网络。另外，有些无线安全标准中特定机制被用于增强传统访问控制。以下的控制机制供信息管理部门参考：——与所选无线技术相关的无线安全标准提供何种访问控制机制；——由于某些设备或AP可能不支持最新标准或所有的安全选项，所以需考虑在装置、网络和终端用户设备中实施何种访问控制机制；——在网络管理员选择和配置访问控制机制时考虑可用的选项；——在某些地区，本地政策法规规定了是否可以部署某些类型的访问控制机制；——与其他无线网络的互操作性；——信息安全管理部门通常不具备配置或控制互操作性的权限，但应该了解不同无线安全技术的效——向后兼容不同的设备/装置版本；——为了检测或防止未经授权访问无线网络，以及此类安全漏洞的后续影响，宜考虑使用无线IDS/IPS。9.5.2权限控制实施MAC地址过滤宜确保仅获得许可的无线网络客户端可连接到无线网络。攻击者可能伪装成一个合法的无线网络客户端，所以只靠这一个安全特性不足以实现有效控制，仅可作为一层防御措施。在移动网络标准中，识别用户设备标识符是一种允许或禁止访问网络的机制。因此，如果用户的IMEI被运营商列入黑名单，他们就无法接入网络。9.5.3基于网络的控制经对无线技术标准的验证发现，在多数情况下，用户数据和控制协议的定义和实现是分离的，在分离模式下进行标准定义和实现，本身逻辑上就会出现一个访问控制的层级。对于移动网络标准，当一个安全域跨越网络边界切换到另一个不安全域时，推荐使用基于IPsec协议来实现控制平面流量保护。运营商也可将此网络配置作为用户数据的一个选项。9.6抵御DoS攻击防御或处置DoS攻击的典型机制包括使用安全源代码技术、源代码分析测试、漏洞测试，以及使用基于网络或主机的IDS/IPS来检测IP或应用程序流量中的异常行为。射频干扰是专门针对无线网络的干扰，射频干扰信号来自攻击者或者意外信源。CISO需要确认网络部署了监控设备，以确保检测到射频干扰事件并记录与事件相关的信息。异常检测系统可以检测到特定的无线协议DoS攻击。CISO需要知道在其网络中部署了哪些监控设GB/T25068.6—20XX备，监控设备具备哪些功能，并需日常留意新的或不断演变的威胁。9.7通过防火墙保护实现DMZ隔离由于无线网络的空口易受到攻击，建议任何连接到安全内部网络的无线网络应通过DMZ网络连接。该无线DMZ网络宜通过防火墙与受保护的网络隔离，防火墙将主动限制来自无线网络的特定流量访问受保护网络。无线访客网络作为组织或企业网络的一部分，是运用控制措施的一个典型示例。9.8通过安全配置和设备加固实现漏洞管理宜建立一个漏洞管理程序，可以通过无线漏洞扫描工具来对应用和基础设施的漏洞进行定期评估。可通过为应用程序、操作系统或设备打补丁，以及对设备进行安全配置和加固来修补漏洞。9.9无线网络的持续监控无线网络宜与企业安全监控系统集成。可使用安全事件、事件管理工具以及企业威胁检测工具提供日常或持续的监控，以检测攻击和数据泄漏。10安全设计技术和注意事项10.1安全设计规划在规划阶段，可以使用下列基础核查清单来确保CISO、IT系统或者网络架构师能够评审和安全地部署新技术：a）对使用新的无线技术进行风险评估；b）作为无线标准开发的一部分，尤其是安全部分，标准开发组织通常开展威胁分析，描述对技术造成影响的威胁和降低泄露风险的对策措施，并将对策列为推荐措施，或纳入标准规范；c）CISO或IT安全专家宜了解与无线技术相关的特定威胁；d）确保机构有一套无线安全策略专门解决以下问题：——无线网络用户身份鉴别；——员工和访客对于无线网络的接入控制；——员工访问组织控制之外的其他无线网络；——允许AP连接到组织网络的授权管理层。10.2WLAN10.2.1安全机制WLAN的基本组成部分是客户端设备（如笔记本电脑、平板电脑、智能手机）和AP，它们在逻辑上将客户端设备与分布式网络（通常是组织的有线网络基础设施）连接起来。一些WLAN还使用无线GB/T25068.6—20XX交换机，作为AP和分布式网络之间的中继。WLAN的安全性在很大程度上依赖于最初的WLAN设计、WLAN可选组件部署（包括客户端设备、AP、ASE和无线交换机）、日常维护和监控的安全程度。WLAN安全性弱于有线网络的原因有很多，包括无线网络的易访问性和WLAN常用的弱安全配置，这些配置为满足便利性而牺牲安全性。WAPI安全机制包括通过ASE实现客户端设备和AP之间的双向身份鉴别功能、用户数据加密手段和用户数据完整性保护措施。10.2.2用户身份鉴别所有试图获得受组织控制和管理的无线网络访问权限的用户，宜在获得网络或访客WLANAP的访问权之前进行身份鉴别。员工访问网络宜使用2FA（如PIN）实现。为了授权访客访问互联网，宜考虑以下内容：——所有无线网络访客的注册，宜由组织内的相关人员协助完成；——访客ID宜是唯一的，以保持责权一致。在难以单独分配ID和密码的情况下（例如，大型客户会议），可以共享ID和密码；——宜按照业务需要设定密码过期规则（最多一周）；——宜为访客提供一份提示说明条款和访问条件的“条款通知”。10.2.3机密性和完整性宜对组织网络间传输的数据进行加密。为了进行数据加密传输，宜使用以下机制：——WLAN宜采用WAPI进行数据机密性和完整性保护，兼容WPA2/WPA3；——使用SM4算法进行加密保护。10.2.4WLAN设备安全配置所有连接到组织网络的无线接入设备宜使用经组织IT安全部门批准的IT安全设备和安全配置。宜使用以下技术：——AP：支持WAPI使用WAI身份鉴别并兼容ISO/IEC/IEEE8802-11a/b/g/n/ac/ax的接入点；——ASE：任何实现对证书的管理和WAI身份鉴别的鉴别服务器；——客户端设备：支持WAPI机制，使用WAI身份鉴别并兼容ISO/IEC/IEEE8802-11a/b/g/n/ac/ax的无线NIC。10.2.5其他WLAN配置对于某些依赖无线配置的应用程序（如使用AAA鉴别的仓库库存扫描仪），在无法满足本章列出的安全要求时，宜进行安全风险评估，以确定补充控制，例如：——优先采用数字证书鉴别机制；GB/T25068.6—20XX——宜定期更新WPA-PSK最大长度/安全密码；——专用SSID；——限定无线电传输范围；——通过TCP防火墙或独立VLAN实现对网络的访问限制；——可用的监控记录。10.2.6访问控制—用户设备一般来说，无线网络的访问控制机制宜与有线网络相同。无线安全策略宜明确规定，访客用户不应通过无线网络访问组织内网，组织的员工不应将WLAN桥接到组织网络边界（例如，使用WLAN建立同步连接到组织局域网和不受组织控制的外部网络）。因此，员工不宜实施以下行为，例如，启用IP转发、建立无线点对点连接、使用自组织网络模式或者建立其他形式的路由等。WIDS/WIPS可以提供一个有效的防御层来对抗恶意AP和DoS攻击等威胁，可以扫描射频频谱并将结果传回管理服务器，服务器可以使用传感器所捕捉的数据来采取行动。常见的WIDS/WIPS也包含了一个承担信息资源库角色的数据库服务器。10.2.7访问控制—基础设施AP基础设施AP宜遵守以下配置指南：——将AP的默认管理密码修改成强密码（随机字母组合，不少于15个字母数字的字符，至少含有一个数字或特殊字符）；——使用AAA网络设备基础设施对AP管理员进行身份鉴别；——禁用远程无线局域网（WLAN）管理，只允许通过以太网、USB或串口进行管理；——对所有远程管理使用传输加密（例如，使用https/SSH且禁用http/telnet）；——修改所有默认SNMP的社区字符串，避免被轻易破解；——尽可能对所有AP网络管理功能使用V3版本以上的SNMP；——当安装AP时，须通过现场调查来测量和建立AP范围，确保广播覆盖区得到适当的物理控制（例如，避免广播到停车场等非预期区域）。确保路由器的信号在特定范围，以限制未授权用户的访问；——以适当方式对所有AP进行物理保护，以防止盗窃或篡改；——修改默认的SSID为统一的网络名称并且允许AP广播SSID，出于安全考虑可以禁用SSID广播；——鉴于AP的弱点，攻击者很容易仿冒相同SSID的无线网络，并且使用高灵敏度定向天线来覆盖初始AP无线信号；——将无线网络从组织内网和互联网中分离出来；GB/T25068.6—20XX——为增强可靠性和安全性，需使用最新版本的固件更新路由器和AP；——宜通过提供分离的访客网络来限制访客访问。在部署AP时，可能会有多种特权的管理账户用来管理AP（每个接入点可能会有一个或多个特权账户），组织或企业宜确保有一个管理这些特权账户的机制。组织宜考虑进行独立的第三方安全审计。专业从事无线安全审计的独立第三方可能更了解安全漏洞的更新情况，并且能够更好地评估无线网络系统的安全性。10.2.8可用性无线网络（如冗余路由器、电源等）宜采用与有线网络相同的可用性技术。以WLAN为例，AP的可用性及其加密算法将显示在客户端计算机中。WLAN网络可采取以下附加措施或核查，包括：——定期审计WLAN网络组件（如客户端设备和AP）的安全配置，以确保它们符合最低安全级别或组织的安全配置；——使用无线IDS/IPS对WLAN网络进行监控，该系统位于组织设施的不同位置，以便于检测无线网络上的流量模式异常。上述两种措施旨在发现WLAN网络或客户端设备特性的变化，识别攻击先兆，避免网络弱点被利用而降低网络的可用性。10.2.9可核查性在法律和规定允许情况下，宜允许启用AP的集中化日志来记录用户和事件活动，例如：——时间戳；——MAC地址；——用户名；——成功事件或失败事件；——事件的类型（如登录尝试——重新启动；——修改配置；——关联/解除关联，这些可能表示尝试发动DoS攻击；——标识恶意AP。在无线网络中，应定期扫描组织管理设施中未经授权的AP，以掌握无线网络安全状况。10.3WMAN移动通信系统，一般包括基站、无线网络控制器和接入运营商核心网络的接口和网关。基站支持一个或多个小区，这些小区映射在一起可以覆盖更大的物理区域。移动互联网时代，海量的移动用户设备GB/T25068.6—20XX在小区之间甚至运营商网络间漫游，由此形成了对互联网功能的新需求，例如4G-LTE可以为诸如笔记本电脑、智能手机和其他移动设备等提供移动高速互联网接入。WMAN的安全性包括用户设备与网络的相互鉴别标准、完整性保护、机密性机制、网络的访问控制等。随着WLAN和移动通信系统的整合升级，针对于这些整合的特定安全威胁也已体现在相关的国际和国家标准中。如果企业或组织的员工使用移动通信设备，这些设备通常由服务提供商来进行控制与维护，用户可能无法控制安全选项（如数据加密和设备/AP的身份鉴别）。即使加密RAN的数据传输，也无法保证端到端链接的安全。因为RAN是被运营商控制的，可能无法保证通信的加密，端到端传输中的终端用户宜使用替代的安全机制（例如，使用VPN来传输敏感和涉密信息）。10.4蓝牙蓝牙是一个无线技术标准，用于移动和固定设备之间进行短距离传输数据（使用微波在2400MHz到2480MHz频段内进行传输）。蓝牙点对点链接安全性很大程度上取决于当前设备上支持和使用的蓝牙版本。由于蓝牙协议中无法避免的安全漏洞，宜在组织所控制的蓝牙设备上禁止传输涉密或敏感信息。蓝牙存在大多数无线技术所无法避免的漏洞。蓝牙发射器通过自由空间向位于覆盖范围内的任何接频段）上的任何设备可以不受限制传输和接收数据。未经授权的监控设备无须与蓝牙发射器直接连接仍可拦截传输。这种监控设备具备易隐藏、无法检测、易部署的特点。蓝牙存在的实现错误或安全缺陷如下：a)Bluedumping：基于截获的配对交换反向推算出用户PIN的攻击；b)蓝牙漏洞攻击：利用OBEX推送协议中的实现错误，使得攻击者可以访问目标设备的地址簿和任务数据库；c)蓝牙窃听：利用隐藏的蓝牙RFCOMM频道，使得攻击者可以远程控制电话的大部分功能，包括进行未授权的呼叫和打开麦克风以便窃听；d)蓝牙劫持：利用某些设备上OBEX配置文件安全性不足，使得攻击者可以将任意条目添加到目标设备的电话列表中；e)Bluestabbing：攻击者将其蓝牙设备修改为错误格式的设备名称，导致目标设备搜索附近其他蓝牙设备时崩溃；f)Bluebumping：一种社会工程学攻击。攻击者利用社会工程的方法诱导目标设备与其建立配对连接，即便目标设备删除配对连接，攻击者仍可利用未删除的隐藏连接，潜入目标设备；g)Blu