无线WIFI接入端最新要求讲述.docx
- 文档编号:11106823
- 上传时间:2023-02-25
- 格式:DOCX
- 页数:11
- 大小:18.87KB
无线WIFI接入端最新要求讲述.docx
《无线WIFI接入端最新要求讲述.docx》由会员分享,可在线阅读,更多相关《无线WIFI接入端最新要求讲述.docx(11页珍藏版)》请在冰豆网上搜索。
无线WIFI接入端最新要求讲述
1 范围
本标准规定了互联网公共场所无线上网安全管理系统无线上网接入场所端的安全技术要求。
本标准适用于互联网公共场所无线上网安全管理系统无线上网接入场所端的设计、开发和检测。
1.1 上网管理
上网用户管理
应具备互联网访问管理功能,具体要求如下:
a)对未通过认证的上网终端禁止访问互联网,对于认证成功的上网终端允许访问互联网;
b)上网终端若一段时间无上网操作,应将其强制下线,时间段可设。
上网人员身份认证
应提供对场所内各类终端无线上网认证的途径,主要包括上网人员通过手机号码和短消息认证、移动终端APP认证、自助身份证认证等方式中的一种或者多种进行认证上网,认证信息具备一定的有效时长,若超过时长则验证码失效。
手机短消息认证方式
应具备采用WEB页面认证或者移动APP认证的方式,上网用户通过输入手机号码和短消息验证码的方式进行认证上网,无效手机短消息验证码禁止通过认证。
c)对于已认证成功的移动终端,应建立手机号码和终端MAC的绑定关系,通过和APP认证中心的数据交换,使该终端在所有使用APP认证方式的场所实现统一免认证上网;
d)对手机号码和MAC地址绑定关系应提供定期强制重新绑定;
e)对于更换手机号码、MAC地址和手机号码绑定关系异常的终端,应重新进行认证;
自助身份证件认证
应提供自助身份认证方式,上网人员可通过自助读取身份证或其他身份证件的电子身份信息以获取上网认证凭证,无线上网场所端通过识别比对上网人员输入的认证凭证,进行有效的上网认证。
第三方APP身份认证方式
应提供第三方APP身份认证方式,该APP的用户账号必须经过真实身份验证或者手机号码绑定。
其他认证方式
无线上网场所端除具备上述三种认证方式以外,可具备其他认证方式,该认证方式必须符合经过真实身份验证或者手机号码绑定等管理要求。
终端上下线日志记录
应具备记录终端上下线的日志功能,根据不同的上网认证方式,记录不同的日志信息内容:
f)对于手机短消息认证方式,应记录内容如下表3.2.2-1所示,数据交换格式参考附录A;
表3.1.2-1手机短消息认证方式上下线日志记录
序号
记录内容
备注
1
认证类型
2
认证帐号
3
上网服务场所编码
4
上线时间
5
下线时间
6
场所内网IP地址
7
源外网IPv4/IPv6地址
8
源外网IPv4/IPv6起始端口号
9
源外网IPv4/IPv6结束端口号
10
终端MAC地址
11
AP设备编号
12
AP设备MAC地址
13
移动AP经度
14
移动AP纬度
15
场强
16
会话ID
17
X坐标(可选)
X表示正东方向
18
Y坐标(可选)
Y表示正北方向
g)对于第三方APP认证方式,应记录内容如下表3.2.2-2所示,数据交换格式参考附录A;
表3.1.2-2第三方APP认证方式上下线日志记录
序号
记录内容
备注
1
认证类型
2
认证帐号
3
APP厂商名称
4
APP应用软件名称
5
APP版本号
6
APP终端认证码
7
上网服务场所编码
8
场所类型
9
上线时间
10
下线时间
11
终端MAC地址
12
场所内网IP地址
13
源外网IPv4/IPv6地址
14
源外网IPv4/IPv6起始端口号
15
源外网IPv4/IPv6结束端口号
16
AP设备编号
17
AP设备MAC地址
18
移动AP经度
19
移动AP纬度
20
场强
21
会话ID
22
X坐标(可选)
X表示正东方向
23
Y坐标(可选)
Y表示正北方向
24
终端IMSI码(可选)
25
终端IMEI码(可选)
26
终端操作系统版本(可选)
27
终端品牌(可选)
28
终端型号(可选)
h)对于自助身份证认证方式,应记录内容如下表3.1.2-3所示,数据交换格式参考附录A;
表3.1.2-3自助身份证件认证方式上下线日志记录
序号
记录内容
备注
1
认证类型
2
认证帐号
3
身份证件类型
4
身份证件号码
5
上网人员姓名
6
上网服务场所编码
7
场所类型
8
上线时间
9
下线时间
10
场所内网IP地址
11
源外网IPv4/IPv6地址
12
源外网IPv4/IPv6起始端口号
13
源外网IPv4/IPv6结束端口号
14
终端MAC地址
15
AP设备编号
16
AP设备MAC地址
17
移动AP设备经度
18
移动AP设备纬度
19
场强(可选)
20
会话ID
21
X坐标(可选)
X表示正东方向
22
Y坐标(可选)
Y表示正北方向
i)应记录场所端基础数据,内容如下表3.1.2-4、3.1.2-5、3.1.2-6、3.1.2-7、3.1.2-8所示,数据交换格式参考附录A;
3.1.2-4场所基础信息
序号
记录内容
备注
1
上网服务场所编码
2
上网服务场所名称
3
场所详细地址(包括省市区县路/弄号)
4
场所经度
5
场所纬度
6
场所服务类型
7
场所经营性质
8
场所经营法人
9
经营法人有效证件类型
10
经营法人有效证件号码
11
联系方式
12
营业开始时间
如:
08:
00
13
营业结束时间
如:
22:
35
14
场所网络接入方式
15
场所网络接入服务商
16
网络接入账号或固定IP地址
17
安全厂商组织机构代码
3.1.2-5安全厂商基础信息
序号
数据项中文名称
说明
1
厂商名称
2
厂商组织机构代码
3
厂商地址
4
联系人
5
联系人电话
6
联系人邮件
3.1.2-6AP设备公共基础信息
序号
数据项中文名称
说明
1
AP设备编号
2
AP设备MAC地址
3
上网服务场所编码
3.1.2-7固定AP设备基础信息
序号
数据项中文名称
说明
4
AP设备MAC地址
5
AP设备经度
6
AP设备纬度
7
楼层
商场、购物中心、站台内为必填,如B1,L1
3.1.2-8移动AP设备基础信息
序号
数据项中文名称
说明
4
站点信息
轨道交通、地铁必填
5
地铁线路信息(可选)
6
地铁车辆信息(可选)
7
地铁车厢编号(可选)
8
车牌号码(可选)
车辆必填,如沪XX1111
j)应对暂存在本地的上下线日志记录中的敏感信息加以保护;
k)保证日志记录不被修改,并能防止非授权用户的访问;
l)数据完成上报之后本地禁止留存。
上网日志记录
应记录公共上网服务场所内各终端的上网日志信息:
m)日志信息至少应满足如下表3.1.4要求,数据交换格式参考附录A;
表3.1.4上网日志记录信息
序号
记录内容
1
日志记录时间
2
会话ID
3
网络应用服务类型
4
场所内网IP地址
5
场所内网端口号
6
源外网IPv4/IPv6地址
7
源外网IPv4/IPv6起始端口号
8
源外网IPv4/IPv6结束端口号
9
目的公网IPv4/IPv6地址
10
目的公网IPv4/IPv6端口号
11
终端MAC地址
12
上网服务场所编码
13
AP设备编号
14
移动AP设备经度
15
移动AP设备纬度
n)应对暂存在本地的上网记录中的敏感信息加以保护;
o)应保证日志记录不被修改,并能防止非授权用户的访问;
p)数据完成上报之后本地禁止留存。
1.2 安全审计设备的接入
接入方式
应具备旁路镜像、透明网桥或者网关路由等模式中的一种或者多种接入场所网络出口,实现对场所上网流量的审计,具体要求如下:
q)旁路镜像接入:
将设备的数据监控口连接在交换机的镜像端口上,通过交换机对场所互联网主干通道的数据镜像审计场所端上网的流量;
r)透明网桥接入:
将设备以网桥方式串接在场所端访问互联网的主干通道上,对流经设备的上网流量进行审计;
s)网关路由接入:
将设备部署成场所端局域网连接互联网的出口网关设备或路由器,对流经设备的上网流量进行审计。
网络性能影响
场所端设备接入场所端网络后,不能影响场所端原有网络设备和上网终端的功能;对于在线模式部署的场所端设备,不能影响原网络系统的传输性能,延时下降率不能超过10%。
1.3 自身安全保障
标识与鉴别
应具备自身标识与鉴别功能,具体要求如下:
t)应提供授权管理员鉴别数据初始化的功能。
u)应保护存储于设备中的鉴别数据不受未授权查阅、修改和破坏。
v)应能够在鉴别尝试失败一定次数以后,终止用户建立会话的过程。
w)应鉴别任何通过系统控制口履行授权管理员功能的管理员身份。
系统操作日志
应具备系统操作日志记录和保护功能,具体要求如下:
x)应记录控制通道内用户的操作信息,包括管理员登录/退出,系统配置操作等;
y)应防止非授权用户访问日志记录;
zz)应以技术措施保证日志记录不被修改和删除;
aa)应支持本地或者联网查询系统操作日志。
设备自身保护功能
应具备自身保护功能:
bb)设备的底层操作系统不提供多余的网络服务,不开放多余的网络端口;
cc)设备具备一定的抵御网络攻击能力,能够抵御SYNflood、Pingofdeath和UDPflood等基本的拒绝服务攻击。
1.4 远程通讯管理端的数据交换
终端上下线日志记录数据的上传
应即时向管理后台上传认证数据和上网人员终端上下线数据,在网络正常的情况下,从上网人员认证、上网终端上线或下线动作发生至管理后台接收到数据的时间间隔不超过30s。
上网日志记录上传
应向管理后台即时上传上网记录,在网络条件正常的情况下,上网人员上网记录日志开始上传至管理后台接收到数据的时间间隔应不超过30s。
数据交换安全
应保证与管理后台数据传输的保密性、完整性和一致性。
1.5 其他要求
应具备其他功能,具体要求如下:
dd)场所端系统时钟应能与管理后台系统时钟同步,同步误差应小于1s;
ee)具备远程升级功能,并能对升级进行集中式管理,在网络正常的情况下,升级能及时生效;
ff)具备远程控制和维护功能,无需场所端设备开放专用的维护端口。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 无线 WIFI 接入 最新 要求 讲述