无线网络安全加密自查报告

无线网络安全加密自查报告第一章现状与风险画像1.1资产清点2024年3月，XX集团信息技术中心对全网412台无线设备做全量扫描，发现27台家用级路由器混入办公网，其中11台仍使用默认管理口令；7台802.11acWave2AP被刷入第三方固件，失去原厂签名验证；3台2015年购入的FATAP无法升级至WPA3，仍广播WPA1/TKIP信号。1.2流量侧写连续14天抓包（Wireshark4.2.1+ArubaIAP流量镜像），日均1.8TB无线流量中，检测到0.37%的EAPOL重传率高于5%的阈值，判定为中间人攻击尝试；捕获16次KRACK攻击特征帧（重装的Msg3），源MAC均为外部访客终端。1.3合规缺口对照《网络安全法》第21条、GB/T22239-2019三级等保、ISO/IEC27033-6:2016，缺失项集中在：a)无“无线专用接入区”物理隔离；b)未对访客SSID做国密算法加密；c)日志留存不足6个月；d)未建立无线应急关闭预案。第二章加密策略设计2.1安全等级分层Level-0：访客网——仅允许互联网访问，强制Portal+短信验证码，会话30分钟超时；Level-1：办公网——员工域账号+证书，启用WPA3-Enterprise（AES-256+SHA-256），禁用TKIP、CCMP-128；Level-2：财务/研发网——WPA3-Enterprise+国密SM4-GCM+802.1X二次认证（EAP-TLS+EAP-TEAP），终端需预装国密证书，启用PMF（ProtectedManagementFrames）。2.2密钥生命周期1)生成：Radius服务器（FreeRADIUS3.2.5）调用HSM（ThalesLuna7）生成256-bit随机数；2)分发：通过EAP-TLS隧道自动下发，私钥加密存储于TPM2.0；3)轮换：Level-1每日04:00自动轮换组密钥；Level-2每8小时轮换；4)吊销：OCSP接口200ms内响应，Radius实时推送CRL至AC（AccessController）。2.3加密算法白名单禁用：RC4、DES、TKIP、WEP、MD5、SHA-1、SSLv3、TLS1.0/1.1；允许：AES-GCM-256、SM4-GCM、SHA-256/384、ECDSAP-384、RSA3072-bit以上。第三章实施路线图3.1阶段一：硬替换（第1–2周）周一：下架27台家用路由，统一回收至仓库，由行政贴“禁用”封条；周二：上线27台Wi-Fi6E企业级AP（HPE630），全部刷入官网最新FIPS固件，关闭2.4GHz射频，仅开5GHz与6GHz；周三：在核心交换机创建WLC管理VLAN313，ACL仅允许NTP123、Radius1812/1813、Syslog514；周四：配置DHCPSnooping+IPSourceGuard，防止私设DHCP；周五：启用ARP抑制（ARP-inspection），网关MAC静态绑定。3.2阶段二：证书体系（第3–4周）搭建离线CA（EJBCA8.0），根密钥长度secp384r1，私钥存HSM；签发二级CA“Wireless-SubCA”，有效期5年；GPO推送“根证书+二级证书”至Windows域控，macOS通过MDM（Jamf11.5）下发；安卓、iOS使用SCEP协议，证书模板扩展字段加入“Wi-Fi”OID，方便NAC识别；旧证书30天提醒、7天强制更新，Radius拒绝过期证书。3.3阶段三：策略落地（第5–6周）SSID命名规则：Corp-SM4-5G、Corp-SM4-6G、Guest-Portal；关闭“广播SSID隐藏”功能，避免探测帧泄露真实SSID；启用802.11w(PMF)为“Required”，拒绝不支持PMF的老旧终端；启用802.11k/v/r，漫游切换时延<50ms，业务不丢包；在WLC打开“DynamicFrequencySelection”与“TransmitPowerControl”，自动规避雷达信道与功率过载。3.4阶段四：监测与闭环（第7周起持续）WLC对接Splunk9.2，日志字段包含：ClientMAC、Auth类型、EAP方法、VLAN、AP名称、RSSI、信道、加密套件、密钥版本、漫游次数；设置告警：a)同一MAC在5分钟内关联失败≥8次；b)检测到DeauthFlood>100帧/秒；c)出现任何TKIP/RC4协商；告警触发后5分钟内自动下发“AP射频关闭”脚本，并短信通知值班经理。第四章管理制度4.1《无线网络加密管理办法》第5条任何部门不得私设AP，违者按《员工手册》第3.2.4条记大过，罚款2000元；第8条证书私钥禁止导出，如发现私钥文件在U盘、邮箱、网盘传播，立即吊销并追责；第12条每月最后一个工作日，IT安全部执行“无线渗透日”，使用Aircrack-ng套件对内网模拟攻击，未通过测试的AP必须24小时内整改。4.2应急预案事件分级：Level-1无线钓鱼SSID出现；Level-2密钥破解尝试导致部分用户掉线；Level-3完整密钥泄露，攻击者接入Level-2网络。处置时限：Level-115分钟内定位AP并关闭射频；Level-230分钟内轮换全部密钥并强制下线；Level-35分钟内关闭AC上联口，启动“无线隔离”VLAN，并上报网安支队。4.3法律条款引用《网络安全法》第59条：对未按规定采取技术措施的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全后果的，处一万元以上十万元以下罚款。《数据安全法》第45条：核心数据违规出境，最高可处1000万元罚款。制度与法律直接挂钩，确保执行刚性。第五章操作指南（面向零基础网络管理员）目的：在30分钟内完成一台新AP的WPA3-Enterprise加密开通，并加入现有Radius。前置条件：已拥有企业级AP（支持802.1X、WPA3）；已安装WindowsServer2019+NPS角色；已导入二级CA证书；AP已获取管理地址并能访问Radius1812端口。步骤：1)登录AP管理界面（示例：0），输入管理员账号admin/初始口令第一次强制修改；2)进入“SSID”菜单，点击“新增”，名称填写“Corp-SM4-5G”，安全模式选“WPA3-Enterprise”，加密套件仅勾选“GCMP-256”，取消“WPA2”复选框；3)在“Radius服务器”栏填写IP1，端口1812，共享密钥复制32位随机字符串（如aB3$kL9…），点击“测试连通性”，看到“Success”继续；4)打开NPS管理控制台，右键“RadiusClients”，新建，填写AP管理IP、共享密钥同上，vendor选“RADIUSStandard”；5)在“ConnectionRequestPolicy”中新建策略“Wireless-WPA3”，条件选“NASPortType=Wireless–IEEE802.11”，“AuthenticationMethod”勾选“Microsoft:EAP-TLS”；6)在“NetworkPolicy”中新建策略“Wireless-Authorize”，条件加入“DomainComputers”组，设置“Encryption=GCMP-256”，权限“Grant”；7)返回AP，点击“应用并重启射频”，等待60秒；8)用Windows11客户端搜索SSID，首次连接提示“选择证书”，点选公司颁发的“Wireless-User”证书，连接成功；9)在AP日志页面查看“ClientAssociation”，确认加密套件显示“GCMP-256”，密钥版本“3”，即完成。常见问题：Q:连接提示“无法验证服务器证书”？A:客户端缺少根证书，请通过GPO或手动安装RootCA.cer。Q:能看到SSID但获取不到IP？A:检查AP上联交换机是否放行DHCP中继，或确认DHCP作用域地址池已耗尽。排错命令：Windows:netshwlanshowprofilename=Corp-SM4-5GAP:showwirelessclientsummary|include<MAC>Radius:cat/var/log/radius/radius.log|grep<MAC>第六章真实演练记录2024年4月15日，信息技术中心联合红队（外部安全公司“网刃”）在18:00–21:00进行“无线密钥泄露”演练。红队事先获得一张合法员工证书（通过社工U盘拷贝私钥），接入Level-2网络后，使用hostapd-wpe伪造同频AP，发送4000帧Deauth迫使终端漫游至钓鱼AP，随后通过sslsplit解密TLS流量。18:42，Splunk告警“DeauthFlood>100帧/秒”，值班员王某2分钟内登录WLC，关闭涉案AP射频；18:45，Radius自动吊销该证书，OCSP返回“Revoked”；18:50，红队无法再次关联，演练结束。结论：自动关停机制有效，但证书私钥保护仍需加强，后续统一采购带TPM的笔记本，并启用BitLocker网络解锁。第七章持续改进7.1技术迭代2024Q3计划试点WPA4（草案0.9）与192-bitSuite-B加密，用于研发网；引入AI射频优化，基于终端位置自动调整BSSColoring，降低同频干扰15%。7.2人员培训每季度举办“无线安全日”，现场拆解废弃AP，演示Flash芯片取固件、JTAG调试；开发VR模拟课程，员工佩戴头显在虚拟办公室寻找非法AP，培训后测试通过率由72%提升至94%。7.3审计与合规引入第三方审计机构（中国信息通信研究