移动互联网安全审计

   移动通讯及互联网技术的快速发展以及平台和商业模式的巨大转变，显著推动了移动互联网的发展并呈现出一种加速化和扩大化的特征，以移动互联技术为基础的新业务和创新技术 也逐步成为日常工作和生活中不可或缺的组成部分。 

    移动互联网由移动终端、移动应用和无线网络三部分组成。移动互联网由于其边界的不确定性及设备的移动性等特点，与有线网络相比，不仅仅表现为安全风险更大，而且需要在易用性和安全性之间取得平衡。下面给大家介绍一下网络与通信安全审计的主要情况。

    一.业务概述：是指移动无线网络与通信的结构安全、通信的完整性的保 密性、无线网络设备防护等内容。 

    二.审计目标和内容 

    1.结构安全 

    该控制项旨在检查组织的移动无线接入设备在设计使用时， 其处理能力和网络带宽能否满足业务高峰需要，且是否采用符合国家强制安全要求的产品。 

    2.无线网络通信完整性与保密性 

    该控制项旨在检查组织是否对传输数据的无线通信网络采 取加密技术，确保传输数据的完整性与保密性，并验证加密措 施的合规及有效性。 

    3.无线网络设备防护 

    该控制项旨在检查是否对接入组织的移动无线网络终端设 备及接入网关进行安全管理，防范对所接入的无线网络构成安 全威胁。 

    三.常见问题和风险 

    1.无线接入网关的业务处理能力不满足业务需求，导致高 峰期业务受阻或中断，影响业务的正常开展。 

    2.无线网络通信加密机制不严格，造成无线网络传输过程 中重要数据外泄。 

    3.无法网络可信验证机制不健全，导致其他网络的非法接 入，造成网络不可用或敏感信息的外泄。 

    四.审计的主要方法和程序 

    1.结构安全 

    访谈网络管理员，询问无线接入网关的业务处理能力 能否满足基本业务需求，并查看在业务高峰期接入网关的 CPU 和内存使用情况。 访谈网络管理员，询问无线接入设备的网络带宽，并检查业务高峰时期内带宽使用峰值，判断是否满足业务需求。 查看无线接入设备是否开启符合国密算法的接入认证功能。 

    2.无线网络通信完整性与保密性 

    访谈网络管理员，询问是否采用加密技术保证无线网络通信过程中数据的完整性，并查阅设计、验收文档或源代码， 查看是否有采用加密技术保护无线通信完整性的描述。 访谈网络管理员，询问是否采用加密技术保证无线网络通信过程中数据的保密性，并查阅设计、验收文档或源代码， 查看是否有采用国产加密技术保护无线通信保密性的描述，同 时测试无线通信过程中重要数据是否进行了安全加密。 

    3.无线网络设备防护 

    访谈网络管理员，询问是否通过基于密码的可信网络 连接机制，通过对连接到通信网络的设备进行可信检验，确保接入通信网络的设备真实可信，防止设备的非法接入。（通信网络设备真实性验证） 

    查阅组织是否针对无线接入设备和无线接入网关等设 备制定补丁管理制度，访谈网络管理员，询问是否对上述设备 采取补丁管理，定期对其补丁进行更新，并检查上述设备。访谈网络管理员，询问并检查无线接入设备和无线接 入网关是否关闭了“SSID 广播、WEP 认证” 等存在风险的功能。 访谈网络管理员，询问并检查无线接入设备是否分别 使用了不同的鉴别密钥。