医疗机构无线网络使用策略（严格级别）

版本：v1.0
发布日期：2025-12-08
归口部门：信息中心（网络组）、信息安全管理部、临床工程部
生效范围：全院区（含手术区、病房区、门急诊、医技科室、办公区）

一、适用范围和定义条款

1. 适用范围

   • 本策略适用于医疗机构院区内所有无线网络（WLAN）规划、部署、使用与运维活动，包括临床无线医疗设备（IoMT）、医护人员终端、办公终端、运维终端及合规授权的访客终端。
   • 涵盖2.4GHz、5GHz、6GHz（如启用）频段的企业级无线网络控制器（WLC）、接入点（AP）、网络接入控制（NAC/802.1X）、RADIUS/PKI、日志与监控系统、WIDS/WIPS。

2. 术语定义

   • WPA3-Enterprise：企业级无线加密与认证标准，使用AES-GCMP-256（或同等级）加密与SAE/PMF等机制。
   • 802.1X（EAP-TLS）：基于证书的终端与用户双向认证机制，使用RADIUS作为后端鉴权。
   • WIDS/WIPS：无线入侵检测/防御系统，用于发现并处置恶意或异常无线行为。
   • 零漫游中断：终端在AP间切换过程中语音/关键业务不感知（业务不中断），漫游时延满足临床实时业务需求。
   • 等保三级：中华人民共和国网络安全等级保护2.0第三级要求。
   • 三层隔离与白名单：跨三层（L3/VRF）实施网络隔离，采用明确允许（deny-by-default）的访问控制列表（ACL）/基于组策略的访问控制（GBP）实现仅授权流量放行。
   • 紧急SSID：在认证基础设施异常或重大事件应急时启用的临时受限SSID，具有限定范围、业务最小可用、强制留痕与限时关闭属性。

二、网络接入控制要求

1. SSID规划与用途

   • OR-CRITICAL（手术区关键网）：WPA3-Enterprise（EAP-TLS），启用FT（802.11r）+ 802.11k/v，面向需零漫游中断的临床无线业务。
   • MED-DEVICE（医疗设备网）：WPA3-Enterprise（EAP-TLS），绑定医疗设备资产，纳入L3隔离域（VRF-MED），对白名单业务放行。
   • MED-STAFF（医护办公网）：WPA3-Enterprise（EAP-TLS），面向院内受管控终端与医护移动终端，NAC判定与动态策略下发。
   • GUEST（访客网，如启用）：WPA3-Personal（SAE）或门户注册，独立VRF，禁止访问内网，仅允许互联网与有限公共服务。
   • MED-EMERG（紧急SSID，默认关闭）：应急启用，WPA3-Personal（SAE）+ 每设备专属密钥（PPSK/DPPSK），最小权限ACL与受控时段。

2. 认证与授权

   • 统一采用802.1X EAP-TLS；所有SSID禁用明文与WPA2-PSK（仅紧急SSID作为应急措施使用SAE）。
   • RADIUS主备双活，跨机房部署；AP/WLC到RADIUS通信必须启用相互认证与加密（RadSec或隧道）。
   • 动态VLAN与动态ACL：依据NAC评估结果（设备指纹、合规状态、用户角色）下发，未通过合规检查的终端进入隔离VLAN，仅允许补救资源访问。
   • 拒绝默认放行：除白名单条目外，跨网段访问默认拒绝。

3. 手术区零漫游中断要求

   • 漫游技术：启用802.11r（FT-EAP）、802.11k（邻居报告）、802.11v（BSS转移），控制器集中漫游域一致。
   • L2/L3移动性：手术区SSID优先采用同VLAN/L2域覆盖；如需L3分布，必须启用厂家支持的L3移动锚定以保持会话不中断。
   • 目标SLA：语音/关键业务漫游时延≤50ms；信号覆盖不低于-65 dBm，SNR≥25 dB，AP间重叠覆盖20%–30%。
   • 无线参数：手术区固定信道与功率（禁用动态大幅波动），5GHz/6GHz优先、20 MHz信道带宽，限制2.4GHz仅为确需设备保留；关闭会导致突发探测的功能（过度Band Steering/过激负载均衡等）。

4. 网络分区与三层隔离

   • 医疗设备网（VRF-MED）、办公网（VRF-OFFICE）、访客网（VRF-GUEST）三层隔离；跨域访问必须通过下一代防火墙/策略引擎按白名单放行。
   • 医疗设备与办公网流量白名单：仅允许与PACS/HIS/LIS/EMR等指定服务的必要端口与协议（如DICOM、HL7、HTTPS、NTP、DNS）进行通信；禁止SMB、mDNS、P2P、任意跨段广播。
   • 管理面隔离：AP/WLC管理与运维访问单独管理VRF与跳板堡垒，使用基于证书的多因子认证。

5. 访客与外包接入

   • 访客/外包终端仅可使用GUEST网络；禁止访问院内生产系统；带宽与并发数限额、内容过滤与DNS安全必须启用。
   • 外包作业需要临时准入，逐单审批，最小权限与时窗控制，审计必达。

三、设备管理和认证机制

1. 证书与PKI

   • EAP-TLS证书由院内企业CA签发，CA密钥置于硬件安全模块（HSM）；启用CRL与OCSP；强制PMF（Protected Management Frames）。
   • 证书生命周期：用户终端证书有效期≤12个月，医疗设备证书≤24个月；自动化颁发与续期采用EST/SCEP；证书吊销在1小时内全网生效。
   • 终端准入绑定：证书内嵌设备标识（序列号/UDID/资产编号）与角色信息；RADIUS基于证书属性与NAC联合决策。

2. 终端合规与NAC

   • 受管终端（MDM/EMM）：强制设备加密、多因子解锁、基线策略（补丁、恶意代码防护、越狱/Root检测）；不合规进入隔离VLAN。
   • 医疗设备（IoMT）：优先EAP-TLS接入；确不支持802.1X的，经例外审批采用PPSK+MAC绑定并实施单设备VLAN与严控ACL，按月复核并列入替换计划。
   • 高危端口与共享热点：禁用终端Wi-Fi热点/网卡共享；检测到即阻断或下线处理。

3. AP/WLC与基础设施

   • 控制器HA：主备同构SSO或N+1冗余，配置与固件变更双人审批；固件变更必须过预生产验证与回退预案。
   • AP部署：医用环境合规型号，手术区独立AP组，射频规划经现场勘测与旁路干扰评估确认。
   • 管理访问：仅允许基于证书的SSH/HTTPS/API访问，源地址白名单，操作全量审计。

四、安全防护措施

1. 加密与加固

   • SSID统一启用WPA3-Enterprise；优先使用192-bit安全级套件（如可用），禁止WPA2/TKIP；紧急SSID采用WPA3-Personal（SAE），启用PMF。
   • 禁止明文协议：禁止Telnet/FTP/HTTP/SNMPv2c等；采用SSH/SFTP/HTTPS/SNMPv3。
   • DNS与NTP安全：强制使用院内安全DNS与签名NTP源，阻断外部DNS/NTP直连。

2. WIDS/WIPS

   • 覆盖范围：全院区重要区域（含手术区）全频段监测（2.4/5/6GHz）；基线告警包括恶意AP/Evil Twin、未经授权热点、欺骗/去认证攻击、信道占用异常。
   • 处置策略：默认监测+告警；对手术区内的活跃阻断采取审慎策略，原则上仅监测并联动物理排查；必要阻断需合规审批并避开手术时段。
   • 白名单：院内合法AP/BSSID、医疗设备MAC/证书指纹纳入白名单，避免误报与误处置。

3. 防火墙与访问控制

   • 南北向/东西向防护：VRF间必须经防火墙策略放行；对医疗设备实施微隔离（基于IP/设备组），默认拒绝。
   • 应用层审计：对临床系统访问启用L7识别与日志审计，检测异常会话与数据外泄。
   • 恶意代码与APT防护：出口与关键节点启用沙箱与威胁情报订阅，阻断已知恶意C2与钓鱼域名。

4. 日志与审计（满足等保三级与留存1年）

   • 日志范围：认证与计费（RADIUS/802.1X）、控制器与AP事件、WIDS/WIPS告警、配置变更、NAC决策、DHCP/DNS、关键流量审计、紧急SSID启停、管理员操作。
   • 日志管理：统一收集至集中日志/SIEM，NTP对时，日志加签与完整性校验；在线可检索≥3个月，归档保留≥12个月，离线备份副本≥1份；访问最小权限与留痕。
   • 审计频率：安全审计周检，关键告警实时联动；按月出具合规报表。

5. 可靠性与业务连续性

   • 关键链路与设备冗余：双上联、双电源、机房双路由；控制器/AAA/PKI部署跨机房冗余。
   • 手术区SLA：无线可用性≥99.99%，漫游不中断；按季度开展现场Roaming测试与语音质保（MOS）测试。
   • 变更冻结：手术排班时段禁做射频参数与核心组件变更；紧急变更须双人审批与临床确认。

五、用户行为规范

1. 账户与凭据

   • 禁止共享账户与证书；遗失设备或离岗必须在2小时内报备吊销证书与账户。
   • 不得私自安装非授权Wi-Fi设备（AP/路由器/中继/上网卡）。
   • 禁止使用个人热点或私接外网，发现将立即下线并记录。

2. 终端使用

   • 仅可使用授权SSID；禁止对无线配置进行非法抓包、破解或绕过NAC。
   • 医疗设备移动、维护前应提前纳入资产台账并校验证书与策略。
   • 访客与外包终端仅使用GUEST网络，不得尝试访问内网。

3. 数据与合规

   • 禁止通过无线网络传输与工作无关的高风险流量（如P2P下载）。
   • 不得将患者敏感数据通过非授权应用/通道外传。
   • 遵守等保三级与本院信息安全管理制度，配合审计与稽核。

六、违规处理程序

1. 分级与响应

   • 一级（严重）：恶意AP/Evil Twin、绕过认证、手术区干扰与中断引发业务风险。处置：立即隔离/下线、启用应急预案、上报院级应急小组、保全证据与取证。
   • 二级（高）：私设热点、越权访问、未经批准的设备接入。处置：下线、清除配置与教育整改，必要时纪律处理。
   • 三级（中）：弱口令/证书管理不当、设备合规失败。处置：限时整改与复测，通过后恢复。
   • 四级（低）：轻微策略违背或误操作。处置：提醒与记录。

2. 取证与留痕

   • 保留WIDS/WIPS告警、无线抓取元数据（合法合规前提下）、RADIUS日志、配置变更记录、取证镜像与时间线。
   • 涉嫌违法行为移交法务与监管部门，按规定处理。

七、紧急SSID预案

1. 启动条件
   • RADIUS/PKI不可用导致大面积认证失败；或重大突发事件需保障关键无线业务最小可用。
2. 启动流程（双人审批）
   • 由网络组提出申请，安全管理部复核风险，临床工程部确认影响范围；两名不同部门管理者在线签批；SIEM自动记录。
3. 技术参数
   • SSID：MED-EMERG；加密：WPA3-Personal（SAE）+ 每设备PPSK；启用PMF；接入VLAN为应急隔离VLAN；带宽/并发限额与L3白名单最小放行（仅关键临床系统）。
   • 有效时间：默认≤24小时，到期自动关闭；人工延长需再次双人审批。
   • 启停留痕：完整记录启停时间、操作者、影响范围、访问日志与后评估报告。
4. 收尾与复盘
   • 业务恢复后15个工作日内完成根因分析与改进措施（含AAA/PKI韧性提升）。

八、政策修订流程（含变更双人审批）

1. 修订触发
   • 法规/等保要求更新、重大安全事件、架构或技术变更、年度审计发现。
2. 评审与审批
   • 网络组起草与影响评估；安全管理部进行合规复核；临床工程部评估对医疗设备影响；必要时征询供应商与第三方测评。
   • 重大条款与生产变更执行“双人审批+跨部门会签”，包含测试计划与回退预案。
3. 发布与宣贯
   • 在变更窗口实施，更新配置基线与知识库，开展针对性培训与告知。
4. 周期复审
   • 每12个月最少复审一次；手术区零漫游SLA按季度检测与优化。
5. 文档与证据
   • 全流程留痕：需求、风险评估、测试报告、审批记录、实施记录、回退记录、成效评估，保存≥1年。

附：关键技术与执行标准要点

• 无线规划：
  • 手术区：5GHz/6GHz优先，20MHz信道，固定信道与功率；覆盖≥-65 dBm、SNR≥25 dB；AP重叠20%–30%；最大客户数/射频利用率阈值告警。
  • 普通区：自适应RRM可用，但需限制功率波动与信道切换频率。
• 漫游优化：启用802.11r/k/v、PMK缓存/OKC（作为兼容）；对不支持11r的设备实施专用SSID或例外策略并限期替换。
• 访问白名单示例（按需细化到端口/协议/方向）：
  • MED-DEVICE -> PACS：TCP 104（DICOM）、TLS加密通道
  • MED-DEVICE -> HIS/EMR：HTTPS 443
  • 统一NTP/DNS：UDP 123/53（仅院内）
  • 阻断：SMB/NetBIOS、mDNS、P2P、外部DNS/NTP
• 审计与告警阈值：RADIUS失败率、认证时延、漫游时延、AP射频利用率、WIDS高危事件、紧急SSID启用告警（高优先级）。
• 资产与标签：对终端、用户、应用实施分组与标签化管理（角色/科室/设备类型），基于组策略下发ACL与QoS。

本策略旨在为医疗机构提供可操作、可审计、可度量的企业级无线安全与可用性保障，满足等保三级、手术区零漫游中断、医疗设备与办公网三层隔离与白名单、WPA3-Enterprise+802.1X（EAP-TLS）、WIDS/WIPS、紧急SSID与日志留存1年的综合要求。所有实施需按本文件与相关制度执行，并接受持续合规审计与优化。

制造工厂无线网络使用策略（高级安全级别）

版本：v1.0
发布日期：2025-12-08
责任部门：信息技术部（IT）/工业控制安全组（OT Security）/健康安全环保（HSE）

适用范围与定义条款

• 适用范围：本政策适用于本制造工厂园区内所有无线网络设施与用户，包括但不限于生产车间、仓储物流、研发测试区、办公区、危险作业区与临时施工区。
• 对象：员工、承包商/访客、AGV（自动导引车）、PLC/IPC、机器人、传感器/IoT终端、便携式维护终端、生产执行系统（MES）终端。
• 关键定义：
  • OT：工业控制网络与资产（如PLC、DCS、SCADA、工业机器人）。
  • NAC：网络访问控制系统，基于指纹识别与证书准入实现动态授权与隔离。
  • 证书准入：基于企业私有PKI的EAP-TLS（802.1X）认证方式。
  • 快速漫游：802.11r/k/v协同的快速BSS切换，目标切换时延小于50 ms（95分位）。
  • 危险区：按国家/地区法规划分的爆炸性环境区域（如IEC 60079/ATEX/NEC分类）。

网络接入控制要求

1. SSID与分区
   • OT-RT（实时控制专用）：仅5 GHz/6 GHz；WPA3-Enterprise（EAP-TLS）；启用802.11r/k/v；信道20 MHz；禁止客户端连接2.4 GHz；仅允许AGV/PLC/机器人等实时业务设备接入；与办公网、访客网进行L3/L7隔离；东-西向微分段。
   • OT-STD（一般OT设备）：优先5 GHz/6 GHz；WPA3-Enterprise（EAP-TLS）；允许非实时工业终端（IPC、HMI、工程师平板）。
   • CORP（员工办公）：优先5 GHz/6 GHz；WPA3-Enterprise（EAP-TLS）；与OT网隔离，通过受控跳点/防火墙访问OT应用。
   • GUEST-CONTRACTOR（承包商/访客）：门户认证（临时凭证/短信/工单绑定），分配独立访客VLAN与DMZ，互联网直通；禁止访问内网；必要时仅开放经批准的临时受限资源代理。
   • MAINT-EMERG（应急维护）：默认禁用；启用需两人复核授权（IT+OT），有效期不超过4小时；强访问控制、全量审计；仅在AAA故障应急时启用。
2. 身份与授权
   • 强制使用802.1X（EAP-TLS）身份认证；禁止共享凭据；基于NAC的设备指纹与用户身份共同判定访问级别。
   • 不支持802.1X的遗留OT设备：仅经审批后采用PPSK（每设备或每承包商唯一密钥）或MAB（MAC认证）接入，强制落入隔离VLAN并施加最小权限策略；90天内完成替换或部署外置安全网桥以实现证书认证。
3. 网络分段与访问控制
   • 按业务/区域/危险区划分VLAN与安全域；OT-RT独立安全域；基于零信任原则实施细粒度访问控制（基于用户/设备标签的策略与ACL/微分段）。
   • 南北向通过工业安全网关/防火墙实施L4-L7访问控制，识别主流工业协议（如PROFINET、EtherNet/IP、Modbus/TCP），仅放行必要站点与功能码。
   • 启用DHCP Snooping、动态ARP检查、防伪DHCP、IP源验证；禁止私设热点与桥接。
4. 地址与命名
   • 为各SSID独立的地址池；OT-RT使用可预测的静态或保留地址；统一IPAM管理；禁止重复网段。
5. 服务质量与KPI
   • OT-RT目标：漫游切换<50 ms（P95），单向时延<10 ms（P95），抖动<10 ms（P95），丢包<1%（P95）。
   • 无线覆盖指标（OT-RT）：工作高度处RSSI≥-65 dBm、SNR≥25 dB、同信道利用率<40%。

设备管理与认证机制

1. 证书与密钥
   • 采用企业私有PKI，设备与用户强制EAP-TLS；推荐密钥：ECC P-256或RSA≥3072；证书有效期≤24个月；自动化发放（SCEP/EST）；强制OCSP/CRL校验，离线容忍窗口≤24小时。
   • 证书私钥存储在受保护模块（TPM/SE）或设备安全区；严禁导出。
2. 设备指纹与准入
   • NAC基于被动/半主动指纹识别工业协议栈、操作系统、厂商OUI与行为特征确定设备类型（AGV、PLC、HMI、工程终端、访客设备）。
   • 指纹与证书双因子准入：任一不匹配则降权或隔离；对高风险指纹变化（如协议栈异常）触发告警与阻断。
3. 配置基线与补丁
   • 无线终端与AP/WLC/交换设备执行统一基线：禁用默认账号、最小权限、时间同步（NTP）、日志远程投递（Syslog/安全日志）。
   • 固件与安全更新按月度节奏维护；OT设备更新需经变更审批与验证窗口。
4. 管理平面与运维
   • 管理访问采用多因素认证；变更经变更管理流程与双人复核；所有运维操作全量审计。
   • 管理协议强制TLS 1.2+；AP到控制器隧道加密；有线侧优先启用MACsec（如可用）。
5. 不支持证书的临时接入
   • 承包商设备通过访客门户或PPSK接入；密钥按项目/人员唯一，最短7天有效期，过期自动失效；入网前通过安全体检（恶意软件、补丁、磁盘加密）后发放。
6. 工控专用网桥/客户端
   • 对无法升级的PLC/老旧设备，使用支持EAP-TLS的工业Wi-Fi客户端/网桥实现凭据抽象；网桥需具备防护接地与危险区认证（若在危险区使用）。

安全防护措施

1. 射频规划（5/6 GHz优先）
   • 以5 GHz/6 GHz为主承载，2.4 GHz仅用于经批准的少量低速传感器；对OT-RT SSID仅开放5/6 GHz。
   • 采用20 MHz信道（RT业务）以提升抗干扰与漫游效率；6 GHz使用PSC优先信道；根据当地法规评估DFS信道可用性并做冗余规划。
   • 静态或受控RRM策略：预先定义信道/功率上限，禁止自动扩宽；AP安装高度、极化与天线方向按现场勘测报告执行；金属环境下重点控制反射与遮挡。
   • 覆盖验收：热力图与现场测试达到RSSI/SNR/KPI基准；重点走廊/叉车通道/AGV路径设置重叠覆盖（-65 dBm下至少两AP重叠）。
2. 快速漫游与低时延优化
   • 启用802.11r（FT-EAP）、802.11k、802.11v；统一SSID、统一移动域；启用OKC/PMK缓存（如设备支持）。
   • WMM开启，QoS映射：DSCP EF/CS6/CS7→AC_VO；关键控制流量启用TSPEC/Admission Control（如支持）。
   • 广播/多播优化：IGMP Snooping/Querier，必要时多播转单播；限制低速管理帧；禁用11b速率与过低基本速率。
   • 电源节能策略：OT-RT SSID设置DTIM=1；AGV/PLC禁用省电（由设备供应商配置）以减少唤醒时延。
3. 工业与终端防护
   • OT区域部署工业协议感知的入侵检测/防火墙；对PLC写入/模式切换实施白名单。
   • 终端加固：杀毒/EDR（办公/维护终端），磁盘加密，USB控制；禁止越狱/Root设备接入。
4. 无线入侵防御（WIPS）
   • 7x24侦测：恶意AP、仿冒门户、Evil Twin、中继攻击、去认证攻击；对非法AP/热点立即阻断并记录。
   • 启用管理帧保护（802.11w）；禁用WEP/WPA/WPA2-PSK（生产网）。
5. 日志与监控
   • 集中日志与可观测性：关联WLC/AP/NAC/AAA/防火墙/工业网关到SIEM；保存≥12个月。
   • 关键KPI看板：漫游时延、信道利用率、告警热度、证书到期、门户发放量、危险区功率合规。
6. 危险区合规与限功率
   • 设备选型与安装遵循当地适用法规与标准（例如IEC 60079、ATEX、NEC等），采用具备相应认证的本安/隔爆AP、天线或经认证的防爆外壳与正压/惰化方案；电源与布线使用防爆部件。
   • 在无线控制器中为危险区AP设定发射功率上限策略并锁定配置；实施物理防拆与周期复核；优先采用光纤回传或本安隔离措施，避免产生点火源。
   • 危险区内的维护操作需按动火/进入许可流程执行；临时AP须经专项审批与风险评估。
7. 数据与隐私
   • 空口加密：WPA3-Enterprise（EAP-TLS）；后台数据最小可见性原则；敏感日志脱敏存储；遵循适用数据保护法规。

用户行为规范

1. 禁止私自架设无线AP/热点、私接天线或变更AP位置/功率。
2. 禁止将办公终端转借他人使用或共享企业证书/密钥；丢失设备须在1小时内报失并吊销证书。
3. 承包商/访客仅可使用GUEST-CONTRACTOR SSID；不得尝试访问内部资源或绕过门户。
4. 工程师在生产时段不得执行可能影响射频环境或控制逻辑的测试；变更需走工单与窗口。
5. 危险区内严禁携带未经认证的无线设备；维护终端须使用认证外壳或在安全区操作。
6. 发现无线异常（掉线、伪AP、认证异常）须立即通过工单或热线上报，不得私自排障更改策略。

违规处理程序

1. 发现与记录：WIPS/NAC/监控系统自动告警；一线支持记录事件编号。
2. 隔离措施：对可疑设备立即切换至隔离VLAN或阻断；承包商账户与临时凭证即时冻结。
3. 分级处置：
   • 一级（低风险配置偏差）：通知整改，24小时内复核。
   • 二级（未授权接入/热点）：立即阻断，设备下线，提交事件分析报告。
   • 三级（恶意攻击/破坏生产）：永久封禁、上报合规与法务，视情移交。
4. 复原与审计：根因分析、补丁/规则更新、策略优化；相关日志保全≥24个月；复盘会议在5个工作日内完成。

停机应急切换预案与月度审计

1. 高可用架构
   • 无线控制器高可用（SSO/N+1）；AP具备本地可存活模式与本地认证能力（如可用）。
   • AAA/RADIUS双活或主备（园区内两节点+中心节点），本地OCSP/CRL缓存；DHCP故障转移；核心链路与互联网出口双链路冗余。
   • 关键设备UPS与发电机供电，最小维持时长按业务RTO配置。
2. 应急流程（示例时序）
   • AAA不可用超过5分钟：启用本地缓存认证与降级策略；若影响OT-RT稳定，按授权启用MAINT-EMERG SSID（4小时时效，仅特定运维账号，最小权限，严格审计）。
   • 控制器故障：自动切换到备控制器；若AP大规模掉线，逐区分批复位，优先恢复OT-RT覆盖。
   • 射频异常/强干扰：临时启用备用信道计划（预配置方案B）；在不影响危险区功率限制前提下调整功率。
   • 重大事故通报：15分钟内发布状态通告；每30分钟更新一次直至恢复。
3. 月度审计与演练
   • 审计内容：证书到期清单与撤销记录、NAC指纹误差率、WIPS告警处置、危险区功率与设备合规、补丁与配置漂移、漫游KPI达标率、访客账户发放与回收。
   • 技术测试：抽样实测漫游切换时延（至少3条AGV路径）、信道利用率、覆盖盲区扫描、AAA切换演练、备用信道计划切换演练、应急SSID演练（沙盒环境）。
   • 报告输出：月度合规报告与整改计划，提交IT/OT/HSE联席评审会。

政策修订流程

1. 评审周期：每12个月例行评审；发生以下任一情况触发临时修订：工艺重大变更、新建/改造产线、法规更新、重大事件复盘结论、无线标准或安全基线更新。
2. 变更流程：草案（IT/OT/HSE联合）→ 风险评估与试点 → 联席评审与批准 → 分区分阶段实施 → 验收与文档归档。
3. 文档管理：版本化存档；向相关人员发布更新说明与培训材料；报废旧版并标注失效日期。

附：实施与配置基线（摘要）

• OT-RT SSID：5/6 GHz、20 MHz、802.11r/k/v启用、DTIM=1、WMM-AC开启、禁用2.4 GHz、最小基本速率≥12 Mbps、禁用11b/低速率。
• 频道与功率：静态或受控RRM；危险区功率上限锁定；6 GHz优先PSC；DFS按现场评估择用；同信道复用距离满足现场勘测要求。
• NAC策略：指纹+证书双重校验；MAB/PPSK仅限审批对象且自动隔离；动态VLAN与下载ACL。
• 安全基线：启用802.11w、关闭WPS/开放认证；日志集中与时间同步；设备配置签名与备份；变更双人复核。
• 工业协议：最小开放策略；启用IGMP Snooping/Querier；多播转单播（必要时）；禁止L2泛洪。
• 危险区：仅部署认证设备与外壳；光纤优先；运维按许可作业。

本政策与行业标准和最佳实践保持一致（如IEC 62443、ISO/IEC 27001、IEEE 802.11系列、适用的IEC 60079/ATEX/NEC危险区规范）。具体实施细节需结合本厂现场勘测报告与法律法规执行。