等级保护测评是国内企业IT系统绕不开的一道关，特别是制造业、教育、医疗这些行业，等保过了才能接政府和大型企业客户的项目。无线网络作为接入层的重要组成部分，在等保测评中有关键检查项。很多项目做到一半才发现无线认证系统没有满足等保要求，整改成本非常高。以下从实际测评经验出发，把等保对无线网络的硬性要求和常见的合规误区说清楚。

等保二级的无线网络部分，最核心的要求是两条：身份鉴别和访问控制。身份鉴别意味着网络接入必须有认证环节，不能是开放网络随便连；访问控制意味着通过认证的终端，其访问范围必须受到约束，不能是认证通过就全网可达。这两条要求看似简单，但实际对应到无线认证系统的配置上，很多项目在初测时都会发现问题。

身份鉴别环节的常见合规缺陷有三个。第一是使用WPA-PSK预共享密钥作为认证方式，这是等保明确不认可的认证方式。预共享密钥的问题是密钥在所有终端上相同，一旦泄露就无法追踪是哪个终端在使用，而且密钥变更需要通知所有已知用户，实际操作中往往很长时间才换一次。测评机构在检查时会问：密钥多久更换一次？如何验证更换生效？这些问题如果答不上来，基本会被开不符合项。第二个缺陷是Portal认证页面使用了HTTP明文传输，账号密码在无线网络中以明文方式发送，这是严重的安全漏洞，任何无线抓包工具都能截获。第三个缺陷是多终端共用同一账号，无法区分是谁在使用，这在等保"应对网络用户进行身份标识"面前直接违规。

访问控制环节的合规缺陷同样普遍。常见问题是：无线认证系统和有线网络之间没有做权限分层，认证通过之后终端可以访问超过其职责范围的网络资源。比如一个普通行政员工，通过无线认证后能够访问财务系统的服务器地址段，这在等保访问控制要求面前是不允许的。另一个常见问题是终端隔离做得不彻底，无线终端之间可以互相访问，甚至能扫描到同网段内的其他设备，这对生产网络来说尤其危险。

等保三级在二级的基础上增加了几条更严格的要求，需要特别关注。一是日志留存周期，等保三级要求网络设备的访问日志至少保留六个月，很多无线认证系统的默认日志保留周期只有30天，需要在系统配置里手动调整，并确认调整后不影响系统性能。二是对管理员身份的强制要求，等保三级要求管理员操作必须使用双因素认证，不能只用账号密码。三是要求系统具备安全事件追溯能力，在发生安全事件时能通过日志还原完整的访问路径。

还有一个容易被忽视的问题：无线认证系统本身的安全加固。测评机构在检查时不仅看功能是否满足，还会看系统的安全配置是否到位。常见的扣分项包括：默认端口没有更改、默认账号没有删除或改密、管理后台暴露在非受控网络、没有定期更新补丁。这些问题在系统上线时如果不处理，等保测评前整改的时间压力会非常大。

等保合规最有效的做法是在项目设计阶段就把等保要求逐条写进技术方案，而不是等项目做完再对标整改。在需求调研时确认目标等级，在方案设计时请有等保测评经验的工程师参与，对每一条无线相关的等保要求做出技术响应，形成合规矩阵文档，上线前用这个文档逐条验收。这样做前期投入多一些，但能大大降低测评不通过的风险和整改成本。

等保测评不是一次性工作，是持续合规的要求。很多企业以为过了等保就万事大吉，实际上测评机构会在有效期内进行抽查，网络变更、系统升级、新增设备这些操作都可能影响合规状态。无线认证系统的配置变更必须有记录、有审批，变更后的合规状态要重新验证。建议把无线网络的等保合规检查纳入年度安全审计计划，而不是只在测评期间临时关注。