设为首页 加入收藏 联系我们
关于联盟 联盟工作 联盟成员 WAPI产业链 WAPI专题 行业资讯 咨询测试 WAPI互操作认定 招贤纳士
 
 
 联盟活动
热点新闻
市场推广
联盟测试
成员交流
技术交流
 
技术交流
WAPI问答(系列连载)第六部分

在WAPI服务各行各业关键信息基础设施建设的过程中,联盟总结了一些市场用户的常见问题,并结合百度百科、搜狗百科、互动百科、维基百科中文版等对WAPI的解释存在一定不准确乃至错误之处,开辟WAPI问答(系列连载)栏目,帮助大家更加客观准确地了解WAPI。

欢迎您随时和我们交流探讨。

联系方式:010-82351181,staff@wapia.org

1、问:和安全无线局域网相关的国家法律法规规章和技术标准有哪些,其内在要求的关系是什么?

答:党的十八大以来,我国网络安全和信息化事业取得重大成就,网络安全保障体系和能力持续提升,网信领域科技自立自强步伐加快,网络空间法治化程度不断提高,网络空间国际话语权和影响力明显增强,网络强国建设迈出新步伐。国家正加快构建大网络安全工作格局,筑牢国家网络安全屏障。

法律是由全国人民代表大会及其常委会制定的规范性文件,是以国家强制力保证实施的规范体系;行政法规是由国务院制定的具有全国通用性的规范性文件,是对法律的补充,在成熟的情况下会被补充进法律;部门规章是由国务院各部、委员会和具有行政管理职能的直属机构发布的规范性文件,在本部门/行业的权限范围内有效;标准则是由国务院标准化行政主管部门(国家市场监督管理总局 国家标准化管理委员会)批准或者授权批准的,农业、工业、服务业以及社会事业等领域需要统一的技术要求。

判断安全无线局域网(WLAN)产品和系统是否合规,最基础的依据是应符合相关的法律、行政法规、部门规章和技术标准。安全无线局域网相关的法律包括《中华人民共和国网络安全法》《中华人民共和国密码法》《中华人民共和国标准化法》《中华人民共和国数据安全法》《中华人民共和国国家安全法》《中华人民共和国个人信息保护法》等,行政法规和部门规章包括《中华人民共和国无线电管理条例》《中华人民共和国电信条例》《中华人民共和国计算机信息系统安全保护条例》《商用密码管理条例》《关键信息基础设施安全保护条例》《网络安全审查办法》《网络产品安全漏洞管理规定》等,支撑上述法律法规规章实施的技术标准包括GB 15629.11无线局域网国家标准(系列标准)、GB/T 32420《无线局域网测试规范》、T/WAPIA 040关键信息基础设施无线局域网技术要求(系列标准)、T/WAPIA 041关键信息基础设施无线局域网测试方法(系列标准)、T/WAPIA 046《无线局域网安全技术规范》、T/WAPIA 047无线局域网系统规范(系列标准)、T/WAPIA 048《信息系统无线局域网密码应用基本要求》,以及GB/T 22239网络安全等级保护基本要求、GB/T 39786信息系统密码应用基本要求等。

与无线局域网相关的法律、行政法规、部门规章和技术标准,共同构成了完整的无线局域网产品和服务合规性要求体系。具体如下图。

 

2、问:在关键信息基础设施领域,为什么采购和使用WAPI产品合法合规,采购和使用Wi-Fi产品、提供Wi-Fi服务涉嫌违法?

答:我国现行的法律体系,明确了在关键信息基础设施领域,符合WAPI技术标准体系的设备、系统和服务具有合规性,采购和使用Wi-Fi产品、提供Wi-Fi服务则涉嫌违法。

以《中华人民共和国网络安全法》和《中华人民共和国密码法》为例,说明如下:

(1)《网络安全法》第十条“建设、运营网络或者通过网络提供服务,应当依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。”其中明确要求应依照国家标准的强制性要求——GB 15629.11系列标准以及对应的测试标准是国家标准,其中WAPI安全协议是国家标准内容中的强制性要求,因此建设、运营WLAN网络如不采用WAPI则涉嫌违法;明确要求维护网络数据的完整性、保密性和可用性——GB 15629.11系列标准是迄今为止全球唯一的、可保障WLAN网络达到上述三性要求的,不符合则涉嫌违法。

(2)《网络安全法》第二十二条“网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。”其中明确要求发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施——全球已经大量披露了Wi-Fi安全机制(包括WPA2/WPA3)的安全缺陷,若不采取补救措施,仍在建设WLAN、提供WLAN服务中使用Wi-Fi安全机制、提供Wi-Fi服务,涉嫌违法。

(3)《密码法》第二十七条“法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。”其中明确要求关键信息基础设施应当使用商用密码进行保护——符合GB 15629.11系列国家标准即满足了使用商用密码进行保护的要求,使用Wi-Fi机制、提供Wi-Fi服务则不符合上述规定,涉嫌违法。

3、问:《网络安全法》要求“关键信息基础设施在网络安全等级保护制度的基础上,实行重点保护”,针对应用在关基领域的无线局域网,网络安全等级保护标准是如何规定的?

《网络安全法》第三十一条“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。”其中明确要求关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护——在网络安全等级保护标准GB/T 22239中,明确规范了在密码管理上应遵循密码相关的国家标准和行业标准,在WLAN领域,GB 15629.11系列国家标准(WAPI)是密码相关的国家标准,应依法遵循;Wi-Fi标准不是中国国家或行业标准,且未经国家密码管理主管部门认证核准,因此使用WAPI符合网络安全法,使用Wi-Fi产品、提供Wi-Fi服务不合法。

4、问:有人认为“强制性标准必须执行”,但“推荐性标准”就可以不执行,这种说法对么?

《标准化法》第二条“本法所称标准(含标准样品),是指农业、工业、服务业以及社会事业等领域需要统一的技术要求。国家标准分为强制性标准、推荐性标准,行业标准、地方标准是推荐性标准。强制性标准必须执行。国家鼓励采用推荐性标准。”据此,有人认为推荐性标准可以不执行,这种说法是错误的。

(1)合规性体系是指包括法律、行政法规、部门规章和技术标准在内的,以国家强制力保证实施的完整的规范体系。强制性标准是《标准化法》赋予自身具有强制力保障实施的规范性文件,推荐性标准虽不具备《标准化法》赋予的自身强制力,但其通过其他法律(如《网络安全法》《密码法》等)的引用,被赋予了强制力实施的属性,如《网络安全法》第十条“建设、运营网络或者通过网络提供服务,应当依照法律、行政法规的规定和国家标准的强制性要求采取技术措施和其他必要措施,保障网络安全、稳定运行”,此处所述依照标准的强制性要求(指推荐性标准中的必备项,满足这些必备项要求是判定产品/服务符合标准的前提)即由《网络安全法》赋予了强制力实施的属性。

(2)标准是由国务院标准化行政主管部门(国家市场监督管理总局国家标准化管理委员会)批准或者授权批准的,农业、工业、服务业以及社会事业等领域需要统一的技术要求。标准是对重复性事物和概念所做的统一规定,以科学技术和实践经验的结合成果为基础,以特定形式发布作为共同遵守的准则和依据;只有统一的高标准才能引领高质量发展。网络的基本属性是互联互通,除强制性标准外,推荐性标准即为事实上的引导建设高质量网络、提供高质量网络服务的统一要求,是应该要使用的。 

5、问:《标准化法》规定“国家鼓励产业技术联盟制定团体标准”,但有人认为:无线局域网建设只需要遵守国家或者行业标准,团体标准则可以忽略,这种说法对么?

答:这种说法是错误的。

(1)《标准化法》第十八条“国家鼓励学会、协会、商会、联合会、产业技术联盟等社会团体协调相关市场主体共同制定满足市场和创新需要的团体标准,由本团体成员约定采用或者按照本团体的规定供社会自愿采用。”按照上述法律要求,WAPI产业联盟制定WAPI相关团体标准是国家法律鼓励的行为,团体标准对产品和服务的要求高于国家或者行业标准,是对促进国家和行业标准实施的必要补充,运营者或者产品制造商不应排斥采用WAPI团体标准,而应积极采用以提升产品质量和服务水平。

(2)2023年2月,中共中央、国务院印发了《质量强国建设纲要》,其中第22条明确要求优化质量基础设施管理,要求深入推进标准化运行机制创新,优化政府颁布标准与市场自主制定标准二元结构,不断提升标准供给质量和效率,推动国内国际标准化协同发展,进一步从政策层面支持和鼓励团体标准的制定和实施。

(3)2022年7月6日,国家市场监督管理总局等16个部门印发了《贯彻实施〈国家标准化发展纲要〉行动计划》,明确了2023年年底前重点工作,要求有序推进任务落实,更好发挥标准化在推进国家治理体系和治理能力现代化中的基础性、引领性作用。其中明确要求“探索推进… …推荐性国家标准采信团体标准… …等机制创新。”

(4)合规性体系是指包括法律、行政法规、部门规章和技术标准在内的,以国家强制力保证实施的完整的规范体系,在安全无线局域网建设中应符合相关国家、行业、团体标准。

6、问:把Wi-Fi作为无线局域网的代名词使用,对吗?

答:把“无线局域网(WLAN)”称为“Wi-Fi”,存在以偏概全的错误,是不正确的。

(1)Wi-Fi产品/系统,特指符合美国主导的Wi-Fi联盟标准的产品/系统,它只是现阶段无线局域网实现的部分形式,把“无线局域网(WLAN)=Wi-Fi”,相当于把“篮球=NBA”,把“卫星导航系统=GPS”,形式上是以偏概全,实质上是抹杀中国产业界“安全无线局域网”相关的自主创新技术成果。

(2)可能未授权使用了美国Wi-Fi产业联盟组织的商标名称。使用“Wi-Fi”标记的前提是:产品符合美国Wi-Fi联盟标准(美IEEE标准+Wi-Fi联盟互操作标准),并通过了Wi-Fi联盟收费的产品认证。

(3)错误使用导致涉嫌违法。违反了《中华人民共和国国家通用语言文字法》中“需要使用外国语言文字的,应当用国家通用语言文字作必要的注释”的规定。

(4)需要纠正目前国内存在的一些典型错误表达——包括政府或行业在公开会议、下发文件、采购要求中,把无线局域网(WLAN)称为“Wi-Fi”;把一些WLAN覆盖(包括支持WAPI服务)的区域,标记为Wi-Fi等。

(5)应合法、规范使用正确中英文学名,在描述“无线局域网”这种网络形态时,使用正确表述——“无线局域网”或者“WLAN”;在描述“符合中国标准的安全无线局域网”时,使用正确表述——“符合GB 15629.11系列国家标准和相关行业/团体标准的安全无线局域网”或者“采用WAPI技术的安全无线局域网”。 

7、问:目前在信息系统网络安全等级保护方面,涉及到安全无线局域网时,产品和系统应符合哪些标准?

答:安全无线局域网产品和系统应符合现行有效的WAPI标准体系,共计73项标准。

(1)GB/T 22239—2019《信息安全技术 网络安全等级保护基本要求》规定了网络安全等级保护的第一级到第四级等级保护对象的安全通用要求和安全扩展要求。

(2)针对安全无线局域网,WAPI 产业联盟联合成员单位和其他标准化组织,以GB 15629.11 系列国家标准为基础,从总体、基础技术、组网技术、网络管理技术、产品及测评、应用六个方面规划布局,构建了完整的基于WAPI 的无线局域网标准体系,截至2023年6月,标准体系共计73项标准。标准清单详见WAPI产业联盟发布的《2023 年WAPI 标准产业应用及环境监测报告》(2023年6月版)。 

8、问:目前在信息系统密码应用安全性保护方面,涉及到安全无线局域网时,产品和系统应符合哪些标准?

答:安全无线局域网产品和系统应符合WAPI标准体系。

(1)GB/T 39786—2021《信息安全技术  信息系统密码应用基本要求》规定了信息系统第一级到第四级的密码应用的基本要求,从信息系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个技术层面提出了第一级到第四级的密码应用技术要求,并从管理制度、人员管理、建设运行和应急处置四个方面提出了第一级到第四级的密码应用管理要求。

(2)T/WAPIA 048—2023《信息系统无线局域网密码应用基本要求》规定了信息系统中WLAN网络的密码应用通用要求,并针对WLAN网络的通信主体、通信信道及提供通信保护功能的设备提出了第一级到第四级的密码应用基本要求,适用于应用WLAN网络的信息系统的规划、建设、运行及测评。

(3)安全无线局域网的密码应用安全性评估涉及GB 15629.11系列国家标准、GB/T 37092《信息安全技术 密码模块安全要求》、T/WAPIA 046《无线局域网安全技术规范》。

9、问:针对无线局域网系统工程,业内有无相应的标准体系和验收测评方法?

答:有。

T/WAPIA 047系列无线局域网系统规范,在GB/T 32420—2015《无线局域网测试规范》基础上,对无线局域网系统工程设计、工程施工、竣工验收等环节提供了规范要求和测试方法。其中,第1部分“工程设计”确立了适用于无线局域网系统的工程设计需要遵守的总体原则和相关要求;第2部分“工程施工”确立了适用于无线局域网系统的工程施工需要遵守的总体原则和相关要求;第3部分“验收测试方法”为无线局域网系统验收确立了可操作、可追溯、可证实的测试程序。

目前,WAPI产业联盟测试实验室已经具备依据上述标准判断无线局域网系统工程建设是否合规的能力。
 
  


 
 


电话:010-82351181/82357730   传真:010-82351181 Ext.1901  邮箱:wapia@wapia.org; wapi@wapia.org

地址:北京市海淀区知春路27号量子芯座1608室 邮编 :100191