安氏領(lǐng)信WLAN安全合規(guī)性管理系統(tǒng)白皮書V2.0.0.1

1、安氏領(lǐng)信WLAN安全合規(guī)性管理系統(tǒng)白皮書文檔命名：LinkTrust _WSCM安氏領(lǐng)信WLAN安全合規(guī)性管理系統(tǒng)白皮書 V版本控制版本號(hào)日期狀態(tài)變更說明修訂人審核人V12011.7.30C創(chuàng)建劉健皓、白峻李宗洋V22011.2.9M修改郭斌狀態(tài)標(biāo)識(shí)：C Created A - Added M - Modified D - Deleted版本控制 II目錄 II WLAN安全合規(guī)性管理系統(tǒng)版權(quán)聲明1）權(quán)利歸屬本文檔中的LinkTrust的所有權(quán)和運(yùn)作權(quán)歸安氏領(lǐng)信科技發(fā)展有限公司（下稱安氏領(lǐng)信） ，安氏領(lǐng)信提供的服務(wù)將完全按照其發(fā)布的版權(quán)聲明以及相關(guān)的操作規(guī)則嚴(yán)格執(zhí)行。LinkTr

2、ust 是安氏領(lǐng)信的商標(biāo)。因LinkTrust所產(chǎn)生的一切知識(shí)產(chǎn)權(quán)歸安氏領(lǐng)信,并受版權(quán)、商標(biāo)、標(biāo)簽和其他財(cái)產(chǎn)所有權(quán)法律的保護(hù)。2）其它產(chǎn)品說明本文檔中所提及的所有其他名稱是各自所有者的品牌、 產(chǎn)品、商標(biāo)或注冊(cè)商標(biāo)。3）授權(quán)聲明任何組織和個(gè)人對(duì)安氏領(lǐng)信產(chǎn)品的擁有、使用以及復(fù)制都必須經(jīng)過安氏領(lǐng)信書面的有效授權(quán)。4）服務(wù)修訂安氏領(lǐng)信保留可能更改本文檔中所包含的信息而不需預(yù)先知照用戶的權(quán)利；如果該信息非從安氏領(lǐng)信接收，它們將有被更改或變更的可能，安氏領(lǐng)信不需對(duì)用戶或第三方負(fù)責(zé)。5）特別提示用戶對(duì)該信息的使用承擔(dān)風(fēng)險(xiǎn)，并須在原封不動(dòng)條件下使用。安氏領(lǐng)信對(duì)此不作任何類型的擔(dān)保，不論是明確的或隱含的，包括商

3、業(yè)性和某個(gè)特定目的適應(yīng)性的保證。6）有限責(zé)任安氏領(lǐng)信僅就產(chǎn)品信息預(yù)先說明的范圍承擔(dān)責(zé)任，安氏領(lǐng)信對(duì)引起使用或傳播的任何損害（包括直接的、間接的、偶然的、附加的、重要的或特殊的以及繼起的損害）不負(fù)任何責(zé)任（即使已經(jīng)建議安氏領(lǐng)信這些損害的可能性）。7）管理用戶對(duì)信息和服務(wù)的使用是根據(jù)所有適用于安氏領(lǐng)信的國(guó)家法律、地方法律和國(guó)際法律標(biāo)準(zhǔn)的。8）目的本聲明僅為文檔信息的使用而發(fā)表，非為廣告或產(chǎn)品背書目的。9）服務(wù)安氏領(lǐng)信在產(chǎn)品發(fā)布前完全檢查過對(duì) Internet 資源的鏈接和地址，但是 Internet 不斷變化的性質(zhì)使安氏領(lǐng)信不能保證資源內(nèi)容的連續(xù)性或存在性。如有可能，將參考包含使用其他方法可獲得信

4、息的預(yù)備站點(diǎn)或關(guān)鍵詞。10）法律上述條款要與中華人民共和國(guó)的法律解釋相一致，用戶和安氏領(lǐng)信一致同意遵循中國(guó)司法管轄之原則。如發(fā)生上述條款與中華人民共和國(guó)法律相抵觸時(shí)，則這些條款將完全按照法律規(guī)定重新解釋，而其他條款則依舊保持原法律效力和影響。目錄一、概述4二、系統(tǒng)典型應(yīng)用62.1.應(yīng)用場(chǎng)景62.1.1.安全檢查72.1.2.設(shè)備入網(wǎng)72.1.3.工程驗(yàn)收72.1.4.日常維護(hù)72.2.管理范圍82.3.使用方式82.3.1.基于遠(yuǎn)程掃描92.3.2.基于離線檢查9三、系統(tǒng)功能介紹103.1.WLAN業(yè)務(wù)安全漏洞檢查103.2.WLAN設(shè)備配置安全合規(guī)性檢查113.3.規(guī)則管理113.4.設(shè)備管

5、理113.5.任務(wù)管理113.6.報(bào)表展示123.7.系統(tǒng)升級(jí)123.8.系統(tǒng)安全性12四、系統(tǒng)特色124.1.最廣泛的設(shè)備支持124.2.基于安氏領(lǐng)先豐富的WLAN系統(tǒng)建設(shè)和安全建設(shè)項(xiàng)目案例研制開發(fā)134.3.優(yōu)秀漏洞挖掘和研究能力134.4.按照運(yùn)營(yíng)商組網(wǎng)結(jié)構(gòu)搭建的權(quán)威的WLAN安全研究實(shí)驗(yàn)室144.5.量化的檢查結(jié)果15一、 概述國(guó)家十二五規(guī)劃提出要建設(shè)寬帶無線城市、各電信運(yùn)營(yíng)商全國(guó)范圍內(nèi)WLAN無線城市建設(shè)也在如火如荼的進(jìn)行當(dāng)中，WLAN網(wǎng)絡(luò)建設(shè)的主要目的為：分流2/3G網(wǎng)絡(luò)的數(shù)據(jù)流量，擴(kuò)大網(wǎng)絡(luò)覆蓋，支持業(yè)務(wù)發(fā)展，并作為家庭寬帶接入的重要手段。隨著WLAN網(wǎng)絡(luò)建設(shè)工作的逐步開展，通過W

6、LAN業(yè)務(wù)進(jìn)行無線網(wǎng)絡(luò)分流，擴(kuò)大業(yè)務(wù)覆蓋范圍以及靈活的組網(wǎng)和資費(fèi)，開始為電信運(yùn)營(yíng)商帶來穩(wěn)定的業(yè)務(wù)收入。但與此同時(shí)，越來越多的安全威脅被引入到全I(xiàn)P化的WLAN網(wǎng)絡(luò)中來。WLAN系統(tǒng)面臨的風(fēng)險(xiǎn)包括資源耗盡風(fēng)險(xiǎn)、無加密的空中信息傳輸泄密風(fēng)險(xiǎn)、來自客戶端的攻擊等各類可能引發(fā)Wlan系統(tǒng)不可用風(fēng)險(xiǎn)、系統(tǒng)服務(wù)質(zhì)量下降、無線頻譜干擾風(fēng)險(xiǎn)、空中中間人攻擊風(fēng)險(xiǎn)、非法廣播信息風(fēng)險(xiǎn)、客戶信息泄密風(fēng)險(xiǎn)等。從用戶的安全運(yùn)營(yíng)角度，我們對(duì)wlan面臨的安全風(fēng)險(xiǎn)進(jìn)行了分類如下：n 業(yè)務(wù)濫用，流量盜用風(fēng)險(xiǎn)：在大量的wlan系統(tǒng)中，都存在繞過驗(yàn)證portal認(rèn)證機(jī)制免費(fèi)使用WLAN流量上網(wǎng)的問題。同時(shí)部分用戶的上網(wǎng)認(rèn)證密碼非常

7、簡(jiǎn)單，也可能導(dǎo)致盜用上網(wǎng)的風(fēng)險(xiǎn)存在。在實(shí)際的網(wǎng)絡(luò)當(dāng)中，還存在重置密碼過于簡(jiǎn)單的問題導(dǎo)致盜用上網(wǎng)的風(fēng)險(xiǎn)存在?；趕ession hijacking的盜取服務(wù)攻擊。n 網(wǎng)絡(luò)服務(wù)不可用風(fēng)險(xiǎn)：WLAN系統(tǒng)是指應(yīng)用無線通信技術(shù)為用戶提供極速而穩(wěn)定的無線連接，保障網(wǎng)絡(luò)的可用性至關(guān)重要。在實(shí)際的系統(tǒng)當(dāng)中可能存在以下問題都會(huì)致使網(wǎng)絡(luò)不可用，這里主要包括惡意的或非惡意的拒絕服務(wù)攻擊。惡意的拒絕服務(wù)攻擊包括：BeaconFlood -無線SSID干擾攻擊Authentication DoS - DHCP地址耗盡攻擊Deauthentication/Disassociation Amok -指定用戶斷線攻擊。無惡意

8、的拒絕服務(wù)攻擊主要指wlan客戶端被攻擊者利用或者感染病毒后，對(duì)wlan核心網(wǎng)發(fā)動(dòng)的拒絕服務(wù)攻擊等。n 用戶信息被盜用風(fēng)險(xiǎn):由于在無線環(huán)境下中間人攻擊、釣魚攻擊、sniffer會(huì)變得更為容易，對(duì)于AP及用戶的攻擊除會(huì)造成用戶無法接入網(wǎng)絡(luò)以外，用戶的數(shù)據(jù)也得不到安全保證，特別是用戶登錄無線網(wǎng)絡(luò)的認(rèn)證信息。用戶在使用無線網(wǎng)絡(luò)的時(shí)候,存在以下安全威脅都可能導(dǎo)致用戶的重要信息被獲取，包括無線釣魚，獲取敏感信息無線網(wǎng)絡(luò)監(jiān)聽、無線網(wǎng)絡(luò)嗅探攻擊無線破解攻擊：WEP的破解、WPA的破解n 專有設(shè)備被利用風(fēng)險(xiǎn):AP、AC設(shè)備由于配置不嚴(yán)格，存在弱口令或者其他安全隱患都有可能導(dǎo)致設(shè)備別非法控制，從而出現(xiàn)斷網(wǎng)的風(fēng)險(xiǎn)

9、。各安全漏洞在網(wǎng)絡(luò)結(jié)構(gòu)中的分布如下圖：二、 系統(tǒng)典型應(yīng)用. 應(yīng)用場(chǎng)景WLAN安全合規(guī)性管理系統(tǒng)是一套針對(duì)WLAN設(shè)備安全配置和安全漏洞檢查的專業(yè)安全系統(tǒng)，它填補(bǔ)了WLAN業(yè)務(wù)層面安全風(fēng)險(xiǎn)識(shí)別的空白。其應(yīng)用范圍非常廣泛，主要包括新業(yè)務(wù)系統(tǒng)的上線安全檢查、第三方入網(wǎng)安全檢查、合規(guī)性安全檢查（上級(jí)檢查）、日常安全檢查維護(hù)工作等。通過對(duì)目標(biāo)系統(tǒng)展開合規(guī)安全檢查，找出不符合的項(xiàng)并選擇和實(shí)施安全措施來控制安全風(fēng)險(xiǎn)。WLAN安全合規(guī)性管理系統(tǒng)主要應(yīng)用在以下三種場(chǎng)合：2.1.1. 安全檢查采用WLAN合規(guī)性管理系統(tǒng)能夠自動(dòng)化的對(duì)WLAN系統(tǒng)進(jìn)行漏洞、配置、重要信息等多方面、全方位的安全測(cè)評(píng)，為安

10、全檢查工作提供了方便高效的工具支持，提供了標(biāo)準(zhǔn)量化的數(shù)據(jù)支撐。2.1.2. 設(shè)備入網(wǎng)從安全系統(tǒng)的生命周期來看，在入網(wǎng)階段就進(jìn)行安全把控，可以極大降低上線后安全加固的成本。WLAN合規(guī)性管理系統(tǒng)能夠方便快捷而且權(quán)威的對(duì)入網(wǎng)設(shè)備進(jìn)行評(píng)估。2.1.3. 工程驗(yàn)收WLAN合規(guī)性管理系統(tǒng)能夠保證驗(yàn)收上線的WLAN設(shè)備符合配置要求。避免設(shè)備帶病運(yùn)行。同時(shí)，也大大降低了人工檢查的時(shí)間成本。2.1.4. 日常維護(hù)日常安全檢查是安全運(yùn)維工作不可缺少的工作，能夠?qū)崟r(shí)掌握網(wǎng)絡(luò)安全風(fēng)險(xiǎn)狀況，極大的降低突發(fā)事件出現(xiàn)的概率，從安全維護(hù)成本上考慮非常有利。同時(shí)也可以根據(jù)內(nèi)部使用定義周期執(zhí)行安全配置檢查，根據(jù)周期任務(wù)結(jié)果生成

11、評(píng)估和分析報(bào)告，同時(shí)，也可以安全漏洞更新以及移動(dòng)制定安全規(guī)范進(jìn)行工具和系統(tǒng)升級(jí)，保持對(duì)最新安全漏洞的檢查能力。2.2. 管理范圍一般的安全防護(hù)及基于基礎(chǔ)IT設(shè)備評(píng)估的體系，從內(nèi)容上，開展的安全風(fēng)險(xiǎn)評(píng)估、滲透測(cè)試大部分僅停留在系統(tǒng)和設(shè)備安全配置上，缺乏對(duì)應(yīng)用層、通信業(yè)務(wù)的全面評(píng)估和加固手段，且評(píng)估范圍有限，不能全面發(fā)現(xiàn)漏洞，無法應(yīng)對(duì)日新月異的WLAN業(yè)務(wù)系統(tǒng)安全威脅。傳統(tǒng)安全管理、安全技術(shù)措施無法滿足新的業(yè)務(wù)安全需求，存在明顯空白薄弱點(diǎn)。WLAN安全合規(guī)性管理系統(tǒng)是一套針對(duì)WLAN系統(tǒng)安全配置和安全漏洞檢查的專業(yè)安全系統(tǒng)，它填補(bǔ)了WLAN業(yè)務(wù)層面安全風(fēng)險(xiǎn)識(shí)別的空白。WLAN安全合規(guī)性管理系統(tǒng)在全

12、面識(shí)別傳統(tǒng)IT網(wǎng)元設(shè)備安全配置脆弱性的基礎(chǔ)之上增加了對(duì)WLAN系統(tǒng)專有協(xié)議、專有設(shè)備、專有系統(tǒng)模塊的安全配置分析和業(yè)務(wù)安全漏洞檢測(cè)。2.3. 使用方式WLAN安全合規(guī)性管理系統(tǒng)從檢查方式上來看分為遠(yuǎn)程檢查和離線檢查,遠(yuǎn)程檢查體現(xiàn)為漏洞掃描和安全配置檢查的過程，離線檢查體現(xiàn)為對(duì)導(dǎo)出無線設(shè)備的配置文件和對(duì)當(dāng)前的狀態(tài)進(jìn)行檢查。因此，以檢查手段為基礎(chǔ)，將WLAN安全合規(guī)性管理系統(tǒng)檢查分為安全漏洞檢查、安全配置檢查。最終，WLAN安全合規(guī)性管理系統(tǒng)以系統(tǒng)輸出的任務(wù)報(bào)表為結(jié)果，并與中國(guó)移動(dòng)WLAN設(shè)備通用安全功能和配置規(guī)范比對(duì)，獲得當(dāng)前系統(tǒng)的安全狀況，并通過多次檢查的結(jié)果，梳理出系統(tǒng)的變化趨勢(shì)。2.3.1

13、. 基于遠(yuǎn)程掃描遠(yuǎn)程檢查通常描述為漏洞掃描技術(shù)和安全合規(guī)性檢查為一體的掃描，主要用來評(píng)估設(shè)備的安全性和合規(guī)性，是設(shè)備安全防御中的一項(xiàng)重要技術(shù)，其原理采用對(duì)工具授權(quán)的情況下對(duì)設(shè)備進(jìn)行已知的安全漏洞進(jìn)行逐項(xiàng)檢查，同時(shí)也體現(xiàn)在對(duì)AC的安全配置上的檢查，由于移動(dòng)集團(tuán)對(duì)各省的AC設(shè)備有中國(guó)移動(dòng)WLAN設(shè)備通用安全功能和配置規(guī)范，此工具也可以滿足中國(guó)移動(dòng)WLAN設(shè)備通用安全功能和配置規(guī)范的要求。主要對(duì)象是AC設(shè)備、認(rèn)證系統(tǒng)等。檢查人員可以根據(jù)合規(guī)性管理系統(tǒng)提供的任務(wù)報(bào)表，為提高WLAN設(shè)備整體的安全系數(shù)提供重要依據(jù)。2.3.2. 基于離線檢查本地檢查是基于無線AC設(shè)備的配置文件，通過獲取無線設(shè)備的安全配置

14、文件和狀態(tài)信息，然后根據(jù)獲取到的相關(guān)信息與安全功能與配置要求進(jìn)行比較，分析符合情況，最后根據(jù)分析出來的相關(guān)信息進(jìn)行匯總。配置核查離線檢查最常見的一項(xiàng)內(nèi)容。WLAN安全合規(guī)性管理系統(tǒng)主要是針對(duì)無線AC、AP設(shè)備進(jìn)行安全檢查。檢查項(xiàng)主要包括：賬號(hào)、口令、授權(quán)、日志、IP協(xié)議等有關(guān)的安全特性。三、 系統(tǒng)功能介紹3.3.1. WLAN業(yè)務(wù)安全漏洞檢查通過在WLAN攻防實(shí)驗(yàn)室內(nèi)研究發(fā)現(xiàn)，我們已經(jīng)具備挖掘安全漏洞的能力和實(shí)力，同時(shí)新的漏洞數(shù)量也在不斷挖掘已備后期工具中的升級(jí)和補(bǔ)充。工具在安全漏洞檢測(cè)項(xiàng)目中重點(diǎn)檢查：l WLAN業(yè)務(wù)系統(tǒng)DNS驗(yàn)證繞過漏洞檢測(cè)正常使用WLAN業(yè)務(wù)提供的互聯(lián)網(wǎng)服務(wù)需要經(jīng)過認(rèn)證鑒

15、權(quán)流程的檢驗(yàn)，通過驗(yàn)證方能使用互聯(lián)網(wǎng)服務(wù)。由于認(rèn)證流程等方面的安全漏洞存在，通過某些特殊技術(shù)手段是可以繞過認(rèn)證流程，免費(fèi)使用WLAN服務(wù)的。對(duì)于此類可能造成業(yè)務(wù)營(yíng)收損失的安全漏洞WLAN安全合規(guī)性管理系統(tǒng)對(duì)整個(gè)WLAN系統(tǒng)中各關(guān)鍵組件、設(shè)備進(jìn)行檢查來發(fā)現(xiàn)可能引起漏洞危害的相關(guān)特征信息。l WLAN業(yè)務(wù)訂購(gòu)短信濫用漏洞根據(jù)梳理的WLAN業(yè)務(wù)系統(tǒng)中認(rèn)證鑒權(quán)實(shí)現(xiàn)流程，分析web認(rèn)證系統(tǒng)結(jié)構(gòu)、web用戶接入流程、web用戶下線流程、定期自動(dòng)認(rèn)證流程和用戶在線沖突處理流程是否規(guī)范，是否存在安全風(fēng)險(xiǎn)。l WLAN系統(tǒng)Portal應(yīng)用連接漏洞檢測(cè)WLAN業(yè)務(wù)系統(tǒng)中portal應(yīng)用的出現(xiàn)的HP-UNIX+ap

16、che的部署環(huán)境,使用客戶端用telnet方式發(fā)起大量連接服務(wù)器的80端口,就會(huì)出現(xiàn)鏈接數(shù)無法釋放的問題,極大的消耗Portal應(yīng)用資源導(dǎo)致WLAN業(yè)務(wù)系統(tǒng)癱瘓的風(fēng)險(xiǎn)l WLAN設(shè)備配置任意下載漏洞檢測(cè)用戶使用WLAN業(yè)務(wù)訪問互聯(lián)網(wǎng)會(huì)傳輸各種應(yīng)用數(shù)據(jù)，其中可能包括網(wǎng)銀、網(wǎng)上營(yíng)業(yè)廳等涉及敏感信息的業(yè)務(wù)，沒經(jīng)過安全加固和配置WLAN系統(tǒng)存在泄露用戶敏感數(shù)據(jù)的風(fēng)險(xiǎn)。在該檢測(cè)項(xiàng)目中重點(diǎn)檢查WLAN Portal的認(rèn)證頁(yè)面是否使用HTTPS加密傳輸涉及用戶名、密碼等敏感信息。l WLAN無線控制器任意添加管理員賬號(hào)漏洞檢測(cè)WLAN設(shè)備個(gè)別廠家或者移動(dòng)的網(wǎng)絡(luò)管理員會(huì)提供WEB管理方式，對(duì)于WEB暴露在公網(wǎng)

17、中是非常危險(xiǎn)的，由于不同的廠家WEB的防護(hù)和管理是存在差異的，對(duì)于這種情況就極其造成安全隱患。對(duì)于使用WEB管理的人員使用帳號(hào)漏洞檢測(cè)可以避免在現(xiàn)網(wǎng)中開啟WEB管理的WLAN設(shè)備風(fēng)險(xiǎn)，從而未避免了對(duì)WLAN設(shè)備的造成安全威脅。3.2. WLAN設(shè)備配置安全合規(guī)性檢查在WLAN組網(wǎng)結(jié)構(gòu)中AC、AP等專有設(shè)備承載著WLAN業(yè)務(wù)的核心功能，專有設(shè)備自身由于廠商開發(fā)過程及代碼編寫不安全等原因存在不同嚴(yán)重程度的安全漏洞。但由于其不開放性導(dǎo)致很多安全漏洞不為大多數(shù)人所知，在WLAN安全合規(guī)性管理系統(tǒng)中整合了若干此類安全問題的集合，在檢查中可以發(fā)現(xiàn)專有設(shè)備自身的安全漏洞。3.3. 規(guī)則管理對(duì)于移動(dòng)運(yùn)營(yíng)商來講

18、，WLAN廠商的設(shè)備是種類是非常多的，對(duì)于運(yùn)營(yíng)商級(jí)的WLAN廠商設(shè)備種類WLAN安全合規(guī)性管理系統(tǒng)已經(jīng)基本覆蓋到。對(duì)于新入圍的WLAN廠商也支持升級(jí)和更新WLAN設(shè)備。同時(shí)，也遵循中國(guó)移動(dòng)WLAN設(shè)備通用安全功能和配置規(guī)范對(duì)于新加入的安全功能和配置規(guī)范，可以隨時(shí)更新和升級(jí)。3.4. 設(shè)備管理WLAN業(yè)務(wù)系統(tǒng)普遍的特點(diǎn)是覆蓋廣、規(guī)模大，系統(tǒng)中包含大量的AC、AP等設(shè)備。該檢查系統(tǒng)為提高工作效率向使用者提供了逐一添加待檢查目標(biāo)設(shè)備資產(chǎn)和批量統(tǒng)一導(dǎo)入資產(chǎn)列表的兩種不同方式，批量導(dǎo)入方式使用者按照檢查系統(tǒng)規(guī)定格式調(diào)整既有資產(chǎn)清單即可快速導(dǎo)入待檢查目標(biāo)。3.5. 任務(wù)管理針對(duì)WLAN系統(tǒng)的安全合規(guī)性檢測(cè)

19、不是一次性工作，長(zhǎng)期、高頻度執(zhí)行安全檢查工作才能保證WLAN系統(tǒng)的持續(xù)穩(wěn)定運(yùn)行。該安全檢查系統(tǒng)提供即時(shí)執(zhí)行式、預(yù)約執(zhí)行式和定期重復(fù)執(zhí)行式的不同檢查任務(wù)管理功能。3.6. 報(bào)表展示W(wǎng)LAN合規(guī)性管理系統(tǒng)對(duì)于檢查結(jié)果會(huì)進(jìn)行系統(tǒng)分析和整理。報(bào)告以Word格式呈現(xiàn)，考慮的報(bào)表輸出環(huán)境，支持多種OFFICE版本。對(duì)于輸出的檢查結(jié)果管理者可以方便進(jìn)行分類、匯總以及后期的查詢。同時(shí)，報(bào)告中呈現(xiàn)的安全威脅也會(huì)提供詳細(xì)的安全建議。對(duì)于不需要輸出的報(bào)告情況，可以提供結(jié)果在線預(yù)覽的功能。3.7. 系統(tǒng)升級(jí)WLAN合規(guī)性管理系統(tǒng)支持檢查的20多家的WLAN設(shè)備廠家、安全配置規(guī)范以及安全漏洞需要不斷的被挖掘、更新和補(bǔ)充

20、，在開發(fā)中也考慮到了后期升級(jí)的場(chǎng)景，對(duì)于后期挖掘的安全漏洞、移動(dòng)集團(tuán)新添加的安全配置規(guī)范、新入圍的廠家設(shè)備信息會(huì)隨時(shí)更新和補(bǔ)充。同時(shí)，工具支持離線系統(tǒng)升級(jí)的快捷快速的方式。3.8. 系統(tǒng)安全性對(duì)于WLAN合規(guī)性管理系統(tǒng)的自身安全，我們以USB-Key方式控制系統(tǒng)啟動(dòng)和系統(tǒng)關(guān)鍵文件和密碼加密的保密存儲(chǔ)，避免了工具中涉及到WLAN設(shè)備的敏感信息被竊取和盜用等安全風(fēng)險(xiǎn)。四、 系統(tǒng)特色4.4.1. 最廣泛的設(shè)備支持規(guī)則是檢測(cè)WLAN業(yè)務(wù)系統(tǒng)安全性的基準(zhǔn)，WLAN安全合規(guī)性管理系統(tǒng)的規(guī)則定義完全遵循中國(guó)移動(dòng)WLAN設(shè)備通用安全功能和配置規(guī)范的規(guī)定，針對(duì)規(guī)則的重要程度，分為必選、一般、可選三個(gè)級(jí)別，同時(shí)可

21、設(shè)置手動(dòng)、自動(dòng)的檢查方式。規(guī)則管理主要負(fù)責(zé)規(guī)則的分類查看與管理，檢測(cè)范圍涵蓋WLAN設(shè)備配置安全合規(guī)性檢查、WLAN業(yè)務(wù)安全漏洞檢查的合規(guī)檢查。該系統(tǒng)支持的WLAN專用設(shè)備包括傲天、網(wǎng)件、新郵通、聯(lián)信永益、明華澳漢、大唐電信、京信、虹信、廣州杰賽、國(guó)人、中太數(shù)據(jù)、弘浩明傳、H3C、福建三元達(dá)、中興、阿德利亞、摩托羅拉、Aruba、上海貝爾、華三通信、智達(dá)康等常用各廠家的wlan專用設(shè)備。同時(shí)該系統(tǒng)支持對(duì)華為、亞信聯(lián)創(chuàng)、安氏的WLAN認(rèn)證系統(tǒng)的評(píng)估和檢查。4.2. 基于安氏領(lǐng)先豐富的WLAN系統(tǒng)建設(shè)和安全建設(shè)項(xiàng)目案例研制開發(fā)安氏領(lǐng)信協(xié)助北京移動(dòng)持續(xù)建設(shè)了2008奧運(yùn)會(huì)WLAN認(rèn)證系統(tǒng)，T3航站樓

22、 WLAN認(rèn)證系統(tǒng)，北京移動(dòng)高校WLAN認(rèn)證系統(tǒng)，北京移動(dòng)集團(tuán)客戶WLAN認(rèn)證系統(tǒng)，所以對(duì)移動(dòng)的網(wǎng)絡(luò)結(jié)構(gòu)和業(yè)務(wù)流程非常了解（各省移動(dòng)都是按照集團(tuán)規(guī)范建設(shè)的）；同時(shí)承擔(dān)了移動(dòng)第一個(gè)WLAN安全服務(wù)項(xiàng)目-天津移動(dòng)WLAN安全服務(wù)項(xiàng)目，所以通過項(xiàng)目梳理了WLAN在網(wǎng)絡(luò)結(jié)構(gòu)，設(shè)備，配置方面的安全風(fēng)險(xiǎn)，對(duì)WLAN的安全建設(shè)提出了建議。安氏領(lǐng)信是國(guó)內(nèi)唯一一家既參與WLAN系統(tǒng)建設(shè)又參與WLAN安全建設(shè)項(xiàng)目的廠商。安氏領(lǐng)信在2011年里曾多次參加全國(guó)各省移動(dòng)的WLAN安全評(píng)估工作，包括：北京移動(dòng)、天津移動(dòng)、河北移動(dòng)、河南移動(dòng)、湖南移動(dòng)、廣西移動(dòng)、云南移動(dòng)、貴陽(yáng)移動(dòng)、內(nèi)蒙移動(dòng)。4.3. 優(yōu)秀漏洞挖掘和研究能力

23、安氏領(lǐng)信領(lǐng)先于其它廠商一直從事WLAN安全研究。并和工業(yè)與信息化部CNCERT/CC、中國(guó)移動(dòng)集團(tuán)保持了關(guān)于WLAN安全良好合作研究。在實(shí)驗(yàn)室的研究過程中，發(fā)現(xiàn)了中國(guó)首例WLAN方面的高危漏洞。意識(shí)到漏洞的危害性和影響范圍很大，安氏領(lǐng)信立即于2011年3月31日將該漏洞情況提交給工信部CNCERT，中國(guó)移動(dòng)集團(tuán)公司網(wǎng)絡(luò)部。2011年4月1日，安氏領(lǐng)信收到工信部國(guó)家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT）反饋，上報(bào)的漏洞已經(jīng)入選國(guó)家漏洞庫(kù)，中文名：“傲天動(dòng)聯(lián)無線控制器繞過驗(yàn)證下載配置文件漏洞”,CNVD編號(hào)為CNVD-2011-04873，漏洞貢獻(xiàn)者：北京安氏領(lǐng)信科技發(fā)展有限公司 專業(yè)安全服務(wù)部 劉健皓。-移動(dòng)集團(tuán)公司對(duì)此漏洞極為重視，于4月2日通過工單T-001-110402-00013向全國(guó)各省發(fā)布“關(guān)于緊急防范傲天及其OEM產(chǎn)品WLAN AC安全漏洞威脅的緊急預(yù)警信息公告”，通知各地漏洞情況，要求全網(wǎng)進(jìn)行緊急規(guī)避處理，同時(shí)下發(fā)了安氏的檢測(cè)工具。-4月12日，移動(dòng)集團(tuán)網(wǎng)絡(luò)部安全處要安氏提供了“安氏針對(duì)該漏洞檢測(cè)工具”（軟件）、“檢測(cè)工具的使用說明”（文檔），“漏洞危害情況說明”（文檔），以便各