WiFi网络认证系统在等保2.0测评中属于网络边界安全和身份认证的重点检查对象。很多单位在测评前自认为认证系统做得不错，结果测评时被扣了一堆分，原因不是系统功能不完善，而是配置细节没有对照等保要求逐项落实。测评机构的检查粒度很细，从密码策略到日志审计到访问控制，每个项都有明确的技术指标。提前了解常见扣分项，在系统建设和运维阶段就按规范落实，能少走很多弯路。

一、身份鉴别机制的扣分项

等保2.0对身份鉴别的要求是"采用密码技术或者生物技术进行身份鉴别"。WiFi网络认证系统中，这个要求对应的是认证方式的选择。很多单位在办公网络中使用WPA2-PSK认证，所有员工共用一个密码。测评机构认为这种方式无法区分具体用户身份，不满足身份鉴别要求，直接扣分。

整改方案是把WPA2-PSK改为WPA2企业版配合802.1X认证，每个用户使用独立的账号密码或数字证书认证。测评机构看到认证系统可以区分每个用户的身份、记录每个用户的认证行为，就认为身份鉴别机制满足要求。如果单位还在使用WPA-PSK（第一代WPA），不仅等保不通过，还存在已知安全漏洞（TKIP加密可被破解），必须升级到WPA2以上。

密码复杂度策略也是扣分重灾区。等保要求密码长度不少于8位，包含大小写字母、数字和特殊字符中的三种以上。认证系统的密码策略配置如果允许用户设置简单密码（比如123456），测评时不通过。整改方法是在认证系统中强制密码复杂度策略，用户设置密码时系统校验是否满足复杂度要求，不满足则拒绝。

密码定期更换要求在等保中也有规定。三级系统要求密码定期更换，更换周期不超过90天。很多单位的WiFi认证密码几年不换，测评时被扣分。整改方法是在认证系统中配置密码过期策略，到期后强制用户修改密码。但这个策略对用户体验影响较大，建议提前通知用户，给足修改时间。

二、访问控制策略的扣分项

等保2.0要求"在网络边界根据访问控制策略设置访问控制规则"。WiFi网络认证系统中的访问控制主要体现在VLAN隔离和ACL配置上。测评机构会检查访客网络是否能访问内网、不同部门的网络是否能互访、管理平面和数据平面是否隔离。

常见扣分项是访客网络与内网隔离不彻底。测评人员连接访客WiFi后，尝试连通内网服务器地址，如果能连通就判定隔离失效。有时候VLAN配置了但ACL没有配套，访客VLAN可以通过路由到达内网VLAN。整改方法是逐条检查防火墙和核心交换机上的ACL规则，确保访客VLAN到内网VLAN的所有访问都被拒绝，只允许访客VLAN访问互联网网关和DNS服务器。

管理平面的隔离也是容易被忽略的扣分项。AP和交换机的管理IP如果在用户VLAN可达的网段，用户可以通过SNMP或者Web界面访问网络设备。测评人员扫描用户网段发现网络设备的管理端口开放，判定管理平面隔离不达标。整改方法是把网络设备管理IP划到独立的管理VLAN，用户VLAN的ACL中禁止访问管理VLAN。

三、安全审计的扣分项

安全审计是等保测评中扣分最多的环节。等保2.0要求"对网络通信、用户行为、安全事件进行审计记录"。WiFi网络认证系统的审计日志需要覆盖认证事件、用户上下线、管理操作等。测评机构检查日志的完整性、留存时间、保护措施三个方面。

日志完整性方面，常见问题是认证失败日志没有记录。有些系统只记录认证成功的事件，认证失败的请求被忽略。测评机构认为认证失败日志是发现攻击行为的重要依据，不记录就不满足审计要求。整改方法是在RADIUS服务器上配置详细的认证日志，包括成功和失败的认证请求，失败请求需要记录失败原因（密码错误、账号不存在、账号过期等）。

日志留存时间不满足六个月要求是最常见的扣分项。很多系统的日志默认配置只保留30天或者90天，超过的自动删除。测评人员查看日志系统发现最早可查的日志只有三个月前的，直接判定不合规。整改方法是根据日志数据量规划存储容量，配置日志保留策略为至少180天。日志量大的系统可以使用分层存储，近30天的日志在高速存储上，30到180天的日志归档到低成本存储。

日志保护措施方面，等保要求"保护审计记录免受未授权的修改、删除"。如果运维人员有权限直接修改或删除日志文件，测评机构认为日志保护措施不到位。整改方法是日志文件设置为只追加权限，管理界面不提供日志删除功能，日志清理只在审批后由系统自动执行。

四、入侵防范的扣分项

等保2.0要求"在网络边界检测和阻断网络攻击"。WiFi网络认证系统作为网络入口，需要具备一定的入侵防范能力。测评机构会检查是否部署了WIPS（无线入侵防御系统）或者类似功能，能否检测非法AP、拒绝服务攻击、暴力破解等威胁。

很多单位只部署了WiFi认证系统，没有部署WIPS，测评时认为入侵防范能力不足。整改方案有两种。一种是部署独立的WIPS设备或者AP内置的WIPS功能，扫描无线电环境中的非法AP和恶意行为。另一种是在认证系统层面增加防护能力，比如配置认证失败锁定策略（同一账号连续认证失败5次后锁定30分钟），防止暴力破解攻击。

非法AP检测在办公环境中尤其重要。攻击者携带一个伪装成企业WiFi的AP放在办公室角落，员工手机自动连接到这个AP（因为SSID和密码相同），攻击者通过这个中间人AP截获员工的网络流量。WIPS可以检测到环境中出现了未授权的AP，及时告警。

五、整改优先级和项目化管理

等保测评发现的问题不是一次性改完就万事大吉，需要建立持续合规的机制。整改优先级按照风险等级排列：身份鉴别和访问控制的问题优先整改（涉及安全底线），日志审计的整改其次（涉及合规底线），入侵防范的整改最后（涉及防护能力提升）。

整改完成后需要做一次内部模拟测评，对照等保测评的检查表逐项验证。模拟测评最好由未参与整改的人员执行，避免"自己查自己"的盲区。内部模拟测评通过后，再请测评机构做正式复测。

WiFi网络认证系统的等保合规不是测评前突击整改能解决的，需要在系统规划、设计、部署、运维的全生命周期中持续对照等保要求。把等保要求融入日常运维流程，定期做合规自查，才能在正式测评中少扣分、不踩红线。