等保测评是很多企业、学校、医院、政务单位绕不开的一道关。WiFi认证系统作为无线网络的入口，在等保测评中通常会被重点检查。不少单位在测评前临时抱佛脚，发现认证日志不够、密码策略太弱、网络隔离没做，结果测评不通过，需要返工。其实等保对WiFi认证系统的要求并不神秘，只要前期按规范建设，测评时自然水到渠成。

一、身份鉴别：不能只靠密码

等保对身份鉴别有明确要求，尤其是三级及以上系统，要求采用双因素认证或更可靠的身份鉴别机制。对于WiFi认证系统来说，如果只靠账号密码，通常无法满足三级要求。企业需要结合短信验证码、证书、动态令牌、生物识别等方式，提升身份鉴别的强度。

但双因素认证也要看场景。对于访客WiFi，强制双因素可能影响体验，这时可以通过其他方式弥补，比如手机号实名认证、MAC地址绑定、终端识别、行为审计等。关键是认证系统要能证明“接入网络的人和注册的人是同一个”，并且这个证明过程是可追溯的。

另外，等保还要求口令复杂度、定期更换、登录失败处理、账号锁定等机制。如果WiFi认证系统允许用户设置简单密码，或者不限制连续失败次数，都会被测评项扣分。

二、访问控制：不同身份进不同网络

等保要求根据用户身份分配不同的访问权限，禁止越权访问。在WiFi认证系统中，这意味着办公人员、访客、外包人员、物联网设备应该接入不同的网络域，访问不同的资源。

很多企业只做了SSID区分，比如一个Staff网络、一个Guest网络，但后台VLAN和权限没有做彻底隔离。等保测评时，测评人员会检查不同网络之间是否能互相访问。如果Guest网络能ping通Staff网络里的服务器，这就是明显的访问控制缺陷。

正确的做法是基于身份的动态VLAN和ACL。用户认证通过后，系统根据身份标签分配对应的VLAN和访问策略。这个策略要在接入交换机和无线控制器上生效，而不是只在Portal页面上做区分。

三、安全审计：日志是硬指标

等保对安全审计的要求非常具体。WiFi认证系统必须记录用户的接入行为、认证结果、访问控制策略变更、管理员操作等日志。日志字段要包括用户ID、时间、IP地址、MAC地址、操作类型、操作结果等。日志保存时间要满足法规要求，通常至少6个月。

测评人员会抽查日志，检查是否存在关键日志缺失。比如用户认证失败、管理员修改策略、账号权限变更等事件，如果没有记录，就会被扣分。此外，日志要具备防篡改能力，普通管理员不能删除或修改日志。很多企业把日志存在普通数据库里，没有审计保护，这是常见失分项。

还要注意的是，日志分析能力也是测评关注的点。等保不仅要求“有日志”，还要求“能审计”。如果日志只能手工翻页查找，没有检索和告警能力，也会被认为审计能力不足。

四、数据安全：认证信息不能明文传输

WiFi认证过程中会涉及用户名、密码、手机号、验证码等敏感信息。等保要求这些信息在传输过程中必须加密，禁止明文传输。Portal认证页面必须使用HTTPS，而不是HTTP。RADIUS认证如果使用EAP-PEAP等方式，也要配置TLS加密通道。

数据存储方面，认证数据库中的口令必须加密或哈希存储，不能明文保存。用户的手机号、身份证号等个人信息要按照最小必要原则采集，并采取加密、脱敏等措施。如果认证系统把用户手机号明文存在数据库里，且没有访问控制，测评时会被认定为数据安全问题。

个人信息保护方面，还要满足知情同意、目的明确、不超出必要范围等要求。认证系统采集手机号时，应该有隐私政策说明，且不能过度收集无关信息。

五、项目建议：等保不是测评前才做的事

等保测评不是一次性的考试，而是对日常安全建设的检验。WiFi认证系统在设计阶段就应该把等保要求纳入需求。比如认证强度、网络隔离、日志字段、数据加密、管理员权限分离等，都要在架构设计时就明确。

建议在系统上线前做一次内部等保预评估，对照等保条款逐项检查。提前发现不合规项并整改，比正式测评时补材料要轻松得多。同时，等保要求是持续性的，即使测评通过了，后续的系统变更、升级、扩容也要保持合规。

WiFi认证系统虽然只是网络中的一个环节，但它是无线安全的第一道门。把等保要求落地到认证系统中，不仅是为了通过测评，更是为了把网络入口真正守住。