电子科技集团公司第十五研究所、工业和信息化部电信研究院、 浙江大学、浙江国利信安科技有限公司、机械工业仪器仪表综合 技术经济研究所、杭州科技职业技术学院、北京奇虎科技有限公 司等。 13 14 • 无线网络、虚拟计算、云计算、大数据威胁和特 • 27000-2013版和800-53-2013版发生变化的 • 标准修订可能影响的范围-相关国家标准和行业标准 o 《等级保护基本要求标准修订研究报告》 研究目标 n 二、 国内外信息安全发展状况分析 n 2.1 当前的信息安全形势 n 2.2 需要关注的几个问题 n 2.3 建议采取的对策 n 三、 新技术新应用使用状况分析 n 3.1 无线网络应用现状和安全关注点 n 3.2 虚拟技术应用现状和安全关注点 n 3.3 云计算技术应用现状和安全关注点 n 3.4 大数据应用现状和安全关注点 n 四、 基本要求使用中主要问题分析 n 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信； o b) 应能够对非授权设备私自联到内部网络的行为进行检查或限制； o c) 应能够对内部用户非授权联到外部网络的行为进行检查或限制； o d) 应限制无线网络的使用，保证无线网络通过受控的边界设备接入内部网络； o e) 应能够在发现非授权设备私自联到内部网络的行为或内部用户非授权联到外部网络的行为时 ，对其进行有效阻断； o f) 应采用可信验证机制对接

针对利用通用安全协议、算法、软件等缺陷获取信息或破坏通信完整 性和保密性，需要通过数据加密技术、数据校验技术来保障。  针对内部人员未授权违规连接外部网络，或者外部人员未经许可随意 接入内部网络而引发的安全风险，以及因使用无线网络传输的移动终 端而带来的安全接入风险等问题，需要通过违规外联、安全准入控制 以及无线安全控制措施来解决。 15 网络安全等级保护（第三级）建设/整改方案 v2.0  针对通过分布式拒绝 计算机进行安全检查，使其必须满足一定安全基线要求、经过认证授权的情况 下方能使用网络系统，保障网络区域边界的完整性保护。 5.2.2.9 无线网络安全管理 无线网络安全管理主要用于限制和管理无线网络的使用，确保无线终端通 过无线边界防护设备认证和授权后方能接入网络。无线网络安全管理通常包括 无线接入、无线认证、无线防火墙、无线入侵防御、无线加密、无线定位等技 术措施。 5.2.2.10 区域边界安全审计 依据实际项目阐述部署方式、位置、安全策略，及相应部署拓扑图。 6.8 无线安全管理系统 6.8.1 产品特性 XX 安全无线系统涵盖了无线接入、无线加密、无线认证、无线防火墙、无 线入侵检测、无线阻断、无线定位以及无线网络状态评估等多项功能，在软件 结构设计上引入了一体化的设计理念，即将各处理引擎进行一体化设计，以达 到性能最优的目的。 XX 安全无线系统主要由 XX 安全无线控制器（SecAC）、XX 安全无线接入

要配置参数和边界防护应用程序等进行可信验 证，并在应用程序的关键执行环节进行动态可 信验证 可信验证 1. 非授权设备访问内部网络应进行管控 2. 内部用户非授权访问外部网络应进行管控 3. 应对无线网络的使用进行管控 边界防护 1. 应启用有效的访问控制策略 2. 应对进出网络的数据流实现基于应用协议和 应用内容的访问控制 访问控制 1. 应在关键网络节点处对内部或外部发起 的网络攻击进行管控 设计内容 对应设备 边界防护 非授权设备访问内部网络应进行管控 部署终端接入控制系统对终端违规内联行为、外联行为 进行检查、定位和阻断 终端准入控制 内部用户非授权访问外部网络应进行管控 应对无线网络的使用进行管控 无线接入网关实现对终端设备的管理 访问控制 应启用有效的访问控制策略 基础级防火墙、路由器和交换机应启用有效的访问控制 策略 防火墙 应对进出网络的数据流实现基于应用协议和应用内容的访问控制

经过边界设备，并接受规则检查，其中无线网络的接入也需要经过边界设备检 查，因此不仅需要对非授权设备私自联到内部网络的行为进行检查，还需要对内 部非授权用户私自联到外部网络的行为进行检查，维护边界完整性。 等保二级只强调了跨区域边界通信要通过受控接口通信，等保三级在等保二级基 础上增加了对设备接入内网和内部用户访问外部网络的行为进行检测或限制，同 时强调无线网络接入内网时要做好边界防护。  云计算场景：应具备在虚拟化网络边界实施访问控制的能力，应具备虚拟化网络 边界、虚拟机与宿主机、虚拟机之间的入侵防御能力，同时云平台对云租户的操 作可被租户审计。  移动互联场景：有线网络和无线网络边界要通过无线接入网关设备，边界防护设 备等隔离，应对无线接入设备进行准入控制，防止非授权无线接入设备接入。  物联网场景：应对感知设备进行准入控制，防止非授权感知设备接入网络，同时 设置 所处的接入位置、接入时间，以及终端合规性检查的结果，对非授权接入 网络的设备（包括无线网络终端）进行检查和限制。 − 非授权用户外联行为监控 可以发现终端试图访问非授信网络资源的行为，如试图与没有通过系统授 权许可的终端进行通信，自行试图通过拨号连接互联网等行为。对于发现 的非法外联行为，可以记录日志并产生告警信息。 − 无线网络访问管理 当有访客需要接入企业内网时，能够对接入的用户身份进行区分，验证来

参考依据：GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》中第三级安全要求 ，设备和计算安全层面，控制点8.1.4.4（远程 管理通道安全）的测评要求为：“应通过互联网 或无线网络进行远程管理的设备，管理通道应加 密。” 结合等级保护测评实践指南，对于仅在机 房内部通过堡垒机进行运维的场景，堡垒机本身 作为管理终端，其管理通道通常指从运维人员到 堡垒机的通道（若不跨越互联网则不适用），而