WiFi认证系统作为企业网络的第一道入口，在等保测评中通常是被重点关注的对象。无线网络的开放性、用户终端的不可控性、认证数据的敏感性，都决定了它天然是高风险区域。很多项目在等保测评中，无线认证部分被扣分，不是因为技术做不到，而是因为前期设计没考虑测评要求。了解常见扣分项，在设计阶段就把控制点做到位，比后期整改更省事。

身份鉴别项的常见扣分点

等保2.0要求网络边界和重要节点具备身份鉴别能力。无线认证系统首先要回答的是：用户接入WiFi时，有没有强制身份认证？开放式WiFi、仅预共享密钥的WiFi，在等保测评中通常过不了身份鉴别项。因为预共享密钥谁都可以拿到，无法区分用户身份，更无法追溯行为。

整改方向是部署基于账号或证书的身份认证。企业办公场景推荐802.1X认证或Portal认证，校园场景推荐Portal加账号密码或短信认证。认证系统必须和内部用户数据库或外部可信源对接，比如AD域、LDAP、统一身份认证平台。临时账号、访客账号也要有有效期和审批流程，不能长期存在。

访问控制项的常见扣分点

通过认证并不代表可以访问所有网络资源。等保要求网络访问控制策略合理，不同用户、不同角色、不同区域应该有差异化的访问权限。很多企业把访客网络和员工网络放在同一个VLAN里，或者认证后所有人都能访问全部内网，这在测评中会被扣分。

整改方向是划分网络区域。访客网络、员工网络、DMZ区、核心业务区要分别隔离。认证通过后，根据用户身份下发不同的VLAN和ACL策略。Radius服务器可以下发地址池、过滤策略等属性，控制用户能访问哪些资源。访问控制策略要有文档记录，定期复核，不能只在脑子里。

安全审计项的常见扣分点

等保对日志有明确要求：覆盖范围广、记录内容全、留存时间长、防止篡改。WiFi认证系统如果日志只有简单登录成功或失败，缺少账号、MAC、IP、时间、接入位置、失败原因等字段，就不满足审计要求。日志留存时间不足180天，也是常见扣分项。

整改方向是完善日志字段，至少包括用户身份、终端MAC、分配IP、接入AP、SSID、认证方式、认证结果、时间戳、失败原因。日志要集中存储，建议用日志服务器或安全审计平台，避免本地存储容易被删除。日志写入后要设置为只读或WORM模式，禁止修改和删除。日志查询要支持多维度检索，比如按账号、MAC、IP、时间段查询。

入侵防范和恶意代码防范项

无线网络因为开放性强，更容易成为攻击入口。等保测评会关注无线入侵检测、非法AP检测、异常终端行为检测等能力。如果网络里没有WIPS或无线入侵检测系统，非法AP接入、MAC伪造、钓鱼热点这些风险就无法发现。

整改方向是部署无线入侵检测系统，或者至少在网络管理平台上开启非法AP检测和非法AP抑制。SSID广播要合理控制，内部SSID不要公开广播。访客SSID和内部SSID要分开，避免用户误连到伪造热点。网络流量要有异常行为分析，比如同一MAC频繁切换、大量认证失败、非工作时间大量接入等。

数据完整性和保密性项

认证过程中会传输账号、密码、手机号等敏感信息。如果这些信息在无线信道或网络中以明文传输，会被等保扣分。尤其是Portal认证页面，如果用的是HTTP而不是HTTPS，账号密码在传输过程中容易被截获。Radius报文如果没有启用加密，也可能被监听。

整改方向是认证页面使用HTTPS，Radius认证启用强加密，比如EAP-TLS或PEAP。无线空口要使用WPA2或WPA3，避免使用WEP或开放式网络。内部认证服务器和用户数据库之间的通信也要加密，避免中间人攻击。证书要定期更新，避免过期导致服务中断或安全警告。

整改的关键是提前规划

等保测评不是临时抱佛脚就能通过的。无线认证系统涉及身份、访问、审计、安全、加密多个控制点，每个控制点都需要在架构设计阶段考虑。等项目上线后再改，成本高、风险大。建议项目启动时就对照等保2.0基本要求，列出无线认证相关的控制点清单，逐项确认实现方式。把合规要求变成设计输入，而不是验收补丁。