WLAN业务系统既有通用IT基础设施承载相关应用,更有其特有的专用设备、专有网络协议和业务流程。WLAN合规检查系统主要针对AC、Portal等专有设备和系统,防火墙、交换机、操作系统、数据库等安全检查由安氏领信另一款安全检查工具——配置审计系统来完成。
三、安氏领信WLAN合规管理的主要内容
WLAN安全合规性管理系统是一套针对WLAN业务系统安全配置和安全漏洞检查的专业安全系统,它填补了WLAN业务层面安全风险识别的空白。WLAN系统合规性检测功能划分为以下三个功能模块:WLAN业务安全漏洞检查、WLAN应用安全合规性检测、WLAN专有设备合规性检测。
1. 安氏领信WLAN业务安全漏洞检测
在该检测项目中重点检查:
① 流量盗用漏洞检测
正常使用WLAN业务提供的互联网服务需要经过认证鉴权流程的检验,通过验证方能使用互联网服务。由于认证流程等方面的安全漏洞存在,通过某些特殊技术手段是可以绕过认证流程,免费使用WLAN服务的。对于此类可能造成业务营收损失的安全漏洞WLAN安全合规性检查系统对整个WLAN系统中各关键组件、设备进行检查来发现可能引起漏洞危害的相关特征信息。
② 认证鉴权流程漏洞检测
根据梳理的WLAN业务系统中认证鉴权实现流程,分析web认证系统结构、web用户接入流程、web用户下线流程、定期自动认证流程和用户在线冲突处理流程是否规范,是否存在安全风险。
③ 业务可用性漏洞检测
WLAN系统网络、设备、应用程序的持续稳定运行是提供互联网上网服务的基本要求,业务可用性安全检测主要分析无线网络层面、AC和AP设备、会话管理等方面可能导致业务无法向用户提供的的安全风险。
④ 客户信息泄露漏洞检测
用户使用WLAN业务访问互联网会传输各种应用数据,其中可能包括网银、网上营业厅等涉及敏感信息的业务,没经过安全加固和配置WLAN系统存在泄露用户敏感数据的风险。在该检测项目中重点检查WLAN Portal的认证页面是否使用HTTPS加密传输涉及用户名、密码等敏感信息。
