2026年办公WIFI安全使用管理规范

2026年办公WIFI安全使用管理规范第一章总则1.1为防范因无线网络开放特性带来的数据泄露、横向移动、勒索植入与合规风险，依据《网络安全法》《数据安全法》《个人信息保护法》《密码法》及ISO/IEC27001:2022、NISTSP800-213A等最新标准，制定本规范。1.2本规范适用于公司总部、分支机构、研发中心、智能制造基地、移动办公场景、临时项目组及第三方驻场人员。1.3所有员工、外包人员、访客、IoT设备厂商、运维合作方，凡需通过公司无线接入点（AP）或无线控制器（AC）访问任何资源，均须无条件遵守本规范。1.4信息安全部为本规范解释与修订唯一责任部门，每年3月、9月各组织一次技术复核，必要时可临时发布补丁条款，补丁条款自发布之时起生效。第二章网络分区与SSID命名规则2.1公司无线环境采用“4+2+1”分区模型：分区代码SSID名称广播方式加密套件认证方式主要使用者默认VLAN互联网权限内部资源权限备注CORPCORP-6G隐藏WPA3-Enterprise(Suite-B)EAP-TLS+OCSP正式员工10全开放全开放强制PMFGUESTGUEST-WIFI公开WPA3-Personal(SAE)短信验证码访客20白名单80端口禁止限速10MbpsIOTIOT-SEC隐藏WPA3-EnterpriseEAP-TLS智能设备30仅MQTT8883仅消息总线MAC白名单DEVDEV-LAB定向广播WPA2-EnterpriseEAP-PEAP研发测试40部分开放实验室网段每日0点断网TEMPTEMP-PROJ临时公开WPA3-Personal二维码项目驻场50按项目策略按项目策略7天自动回收BACKUPBACKUP-5G隐藏OWE过渡证书+PSK网络运维99仅管理口仅管理口双因素EMERGEMERG公开开放Portal一键应急演练98仅官网仅DNS演练时启用2.2SSID命名须符合“公司简称-场景-频段”三段式，禁止出现“free、test、1、2”等无意义字段，避免攻击者钓鱼。2.3所有SSID必须在AC侧关闭“邻居列表广播”与“ProbeResponse”，降低被动嗅探面。2.4任何个人或团队不得私设SSID，违者第一次封停账号15天，第二次移交人力资源部按严重违纪处理。第三章认证与账号生命周期3.1员工入职时，信息安全部通过HR系统拉取工号、手机号、部门、汇报线，自动创建802.1X账号，初始证书有效期365天，支持自动续期。3.2访客账号采用“短信+证件号”双因子，系统随机生成8位字母数字组合口令，有效期8小时，到期自动失效；如确需延长，须接待人登录访客系统二次确认。3.3外包人员账号由业务部门负责人发起，经信息安全部审批后生成，有效期最长90天，到期前7天系统邮件提醒，逾期自动锁定。3.4所有账号禁止共享、转借、买卖；发现异常，AC即时踢线并冻结，同步推送SIEM。3.5离职、转岗、长期休假≥30天人员，HR系统在状态变更后30分钟内触发账号冻结脚本，AC同步撤销证书，并自动加入吊销列表（CRL）。第四章加密与密钥管理4.1公司级无线统一采用WPA3-Enterprise，加密套件优先使用AES-256-GCM、SHA-384、ECDSA-P384，禁止回退至TKIP、RC4。4.2证书私钥长度≥384位椭圆曲线，证书颁发机构（CA）采用双机热备+HSM，私钥离线分片保存，任何操作须三员（管理员、审核员、监控员）同时在场。4.3每季度执行一次密钥轮换，轮换窗口为周三凌晨02:00-04:00，AC自动推送新证书，终端无感知切换；旧密钥在24小时后正式废弃。4.4PSK场景（如GUEST、TEMP）采用随机32位字符，含大小写、数字、符号，熵值≥180bit，通过密码管理器生成，禁止人工设置。4.5所有密钥禁止通过邮件、即时通讯、网盘、口头方式传递，统一经公司密码保险库加密分享，阅后即焚。第五章终端准入与基线核查5.1终端接入前须通过NAC系统完成“六维”核查：维度检查项通过阈值失败处理备注OS补丁近30天高危补丁100%隔离VLAN110自动修复杀毒病毒库版本≤3天隔离VLAN111推送升级防火墙系统防火墙开启是隔离VLAN112脚本修复证书公司根证书链完整阻断手动安装越狱iOS/Androidroot未越狱阻断永久拉黑资产登记SN+MAC绑定一致阻断走工单5.2隔离VLAN仅开放补丁服务器、杀毒升级源、证书分发点，其余流量一律丢弃。5.3员工个人电脑须安装公司统一终端管控（ETM）客户端，未安装设备即使输入正确密码也无法关联IP地址。5.4所有终端默认关闭“自动连接已知网络”，防止攻击者伪造相同SSID钓鱼。第六章无线设备固件与配置基线6.1AP、AC、POE交换机统一纳入ITSM资产管理，固件升级窗口为每月第二个周六22:00至周日06:00，升级包须校验SHA-256与厂商PGP签名。6.2配置基线采用“黄金镜像”策略，任何变更须通过Git版本库MergeRequest，双人审核后方可推送至AC；AC自动比对哈希，不一致即回滚。6.3关闭所有未用接口，禁用Telnet、HTTP、WPS、SSHv1；仅保留SSHv2，端口2222，限定源IP为运维堡垒机。6.4射频层面，2.4GHz仅开启1、6、11信道，带宽20MHz；5GHz优先使用36、40、44、48低频段，带宽80MHz；6GHz遵循UNII-5~8，启用AFC。6.5发射功率按“最小够用”原则，开放区≤14dBm，会议室≤11dBm，仓库≤17dBm；通过自动射频调优（RRM）每日凌晨校准一次。第七章日志、监控与威胁检测7.1AC、AP、认证服务器、DHCP、DNS、防火墙、NAC、SIEM全部对接syslog，日志级别INFO及以上，统一送入Kafka，保留180天，冷存7年。7.2关键事件触发SOAR剧本：事件剧本动作SLA备注同一账号5地登录踢线+短信提醒+冻结5分钟防账号共享暴力破解EAP拉黑MAC+溯源+告警3分钟阈值30次/5分钟伪AP信号>-50dBm频谱扫描+定位+拍照10分钟联动摄像头异常DNS隧道流量采样+上传沙箱15分钟阈值1MB/h凌晨2-5点大流量DPI检测+限速+告警实时阈值500Mbps7.3每周一出具《无线安全运营周报》，包含关联数、认证失败Top10、攻击类型分布、补丁合规率、违规事件处理结果。第八章数据分级与传输加密8.1公司数据按敏感度分为公开、内部、机密、绝密四级，对应无线传输要求如下：级别示例无线传输要求存储要求备注公开官网新闻无额外要求无可走GUEST内部会议纪要WPA3+TLS1.3普通硬盘禁止明文SMTP机密客户合同WPA3+国密SM4+TLS1.3加密盘须走CORP绝密源代码WPA3+IPSec+SM4-GCM硬件加密机专机专用8.2禁止使用个人邮箱、社交软件传输机密及以上数据；如确需外发，须通过安全邮件网关（SEG）审批并加水印。8.3无线侧启用DLP策略，对HTTP上传、SMTP附件、网盘外链进行关键字匹配，命中后实时阻断并记录。第九章访客与外包管理9.1访客进入办公区须由正式员工在访客系统登记，拍摄现场照片，系统与门禁联动，未授权区域自动拒绝开门。9.2访客终端首次接入GUEST-WIFI，浏览器强制弹出免责条款，须勾选“同意并承担法律责任”后方可上网。9.3外包人员须签署《无线接入保密协议》，协议期限与项目周期一致；如跨项目，须重新签署。9.4访客与外包流量统一NAT至独立公网地址段，便于审计；禁止访问RFC1918私网，防止横向移动。第十章IoT与智能终端10.1所有IoT设备须经过信息安全实验室“白盒+灰盒”双重检测，检测通过后方可进入MAC白名单。10.2IoT证书有效期180天，设备须支持自动续期，不支持的老旧设备须更换或退网。10.3禁止IoT设备固件自带硬编码密码，检测发现即视为不合格，直接退货。10.4打印机、智能电视、无线投影默认关闭无线直连（Wi-FiDirect），如业务需要，须单独申请并设置一次性PSK，会议结束后立即撤销。第十一章移动办公与远程接入11.1员工出差、居家办公须通过公司SASE客户端建立WireGuard隧道，隧道内嵌证书+硬件指纹，禁止分流传输。11.2公共酒店、机场、展会WIFI被定义为“不可信网络”，接入后自动启用全隧道加密，本地网段隔离，禁止访问局域网共享。11.3远程会议涉及机密内容，须使用公司自研音视频会议系统，启用国密SM4端到端加密，禁止通过公共SaaS传输。第十二章无线攻防演练与红队评估12.1公司每年组织两次无线攻防演练，红队在不提前告知的情况下，尝试伪造AP、劫持握手、攻击RADIUS、植入恶意固件。12.2演练范围覆盖总部、工厂、仓库、零售门店，时间跨度两周；蓝队须在30分钟内发现、60分钟内定位、120分钟内闭环。12.3演练结束后出具《无线安全成熟度报告》，得分<80分的区域，必须在30天内完成整改，整改后由第三方复测。第十三章隐私保护与合规审计13.1无线系统收集的MAC、位置、流量元数据属于“个人信息”，须按最小够用原则处理，保存期限不超过90天，超期自动打码。13.2欧盟GDPR、美国CCPA、中国PIPL适用区域，须分别设置数据驻留节点，禁止跨境传输原始日志。13.3每年聘请外部审计机构（如BSI、DNV）对无线控制进行ISO27701隐私合规审计，审计报告向董事会汇报。第十四章违规处罚与申诉14.1违规行为按“记分制”处理，12分扣满即视为严重违纪：行为扣分经济处罚附加处罚备注私设SSID62000元通报立即拆除共享账号31000元书面检查冻结30天破解他人密码125000元开除移交公安传播木马1210000元开除赔偿损失拒绝补丁2500元限期整改强制隔离14.2当事人对处罚有异议，可在5个工作日内向信息安全部提出申诉，信息安全部联合HR、法务组成三人仲裁小组，7日内给出终局结论。第十五章培训与意识提升15.1新员工入职第一周须完成“无线安全基础”线上课程，时长45分钟，满分100分，80分合格，不合格自动延长试用期。15.2每季度推出“无线安全微课”，采用3分钟动画+答题模式，全员完成率≥95%，未达标部门扣减当年安全绩效5%。15.3针对研发、采购、行政、财务等高风险岗位，每年组织一次“无线钓鱼实战”，点击率≤3%为优秀，>10%须重新培训。第十六章应急与灾难恢复16.1无线控制器采用“双活+异地冷备”架构，主节点宕机30秒内完成切换，RPO=0，RTO<5分钟。16.2若发生大规模证书泄露，立即启用“紧急吊销”流程：1.00:00-05:00生成新CRL并推送；2.05:00-06:00强制所有终端重新认证；3.06:00-07:00回收旧证书并物理销毁HSM镜像；4.07:00-08:00向全员发布事件公告。16.3遇到不可抗力（地震、火灾、洪水）导致机房损毁，冷备节点在2小时内接管，同时启用卫星链路保障应急通信。第十七章附表与模板17.1无线接入申请表（模板）```申请人：__________工号：__________部门：__________申请SSID：__________使用期限：__________业务理由：________________________________________________部门经理签字：__________信息安全部签字：__________日期：____年__月__日```17.2访客接入审批单（模板）```访客姓名：__________证件类型：__________证件号：__________接待人：__________工号：__________访问区域：__________有效期：____年__月__日____:____至____:____接待人签字：__________信息安全部签字：__________日期：____年__月__日```17.3无线安全事件报告（模板）```事件编号：__________发现时间：__________报告人：__________事件类型：__________影响范围：__________事件描述：________________________________________________处置过程：________________________________________________根因分析：________________________________________________改进措施：________________________________________________报告时间：____年__月__日```17.4无线设备固件升级记录（模板）设备型号SN当前版本目标版本升级时间升级人校验值备注AP-6E-PROAX2026000.02026-03-1122:30张三a1b2c3d4正常17.5无线安全演练评分表（模板）指标权重评分标准得分备注发现速度30%30分钟内发现得满分30蓝队优秀定位精度20%定位到AP端口得满分15误差一层楼闭环时间30%120分钟内闭环得满分25超时10分钟报告质量20%要素齐全、图文清晰18缺拓扑图总分100%88达标第十八章技术演进与前瞻18.12026年下半年试点WPA3-Enterprise192-bitSuite-BCNSA，取代现有ECC-384，后量子时代提前布局。18.2评估Wi-Fi7（802.11be）多链路操作（MLO）对漫游安全的影响，提前制定多证书关联策略。18.3研究增强开放（EnhancedOpen）与机会性无线加密（OWE）在访客场景的可