无线WIFI接入端最新要求

Comment y1 支持第一种就 OK Comment y2 确认是否实现 1 范围 本标准规定了互联网公共场所无线上网安全管理系统无线上网接入场所端的安全技术要求 本标准适用于互联网公共场所无线上网安全管理系统无线上网接入场所端的设计 开发和检测 1 1 上网管理 上网用户管理 应具备互联网访问管理功能 具体要求如下 a 对未通过认证的上网终端禁止访问互联网 对于认证成功的上网终端允许访问互联网 b 上网终端若一段时间无上网操作 应将其强制下线 时间段可设 上网人员身份认证 应提供对场所内各类终端无线上网认证的途径 主要包括上网人员通过手机号码和短消息认证 移动终端APP认证 自助身份证认证等方式中的一种或者多种进行认证上网 认证信息具备一定的有效 时长 若超过时长则验证码失效 手机短消息认证方式 应具备采用WEB页面认证或者移动APP认证的方式 上网用户通过输入手机号码和短消息验证码的 方式进行认证上网 无效手机短消息验证码禁止通过认证 a 对于已认证成功的移动终端 应建立手机号码和终端 MAC 的绑定关系 通过和 APP 认证中心 的数据交换 使该终端在所有使用 APP 认证方式的场所实现统一免认证上网 b 对手机号码和 MAC 地址绑定关系应提供定期强制重新绑定 c 对于更换手机号码 MAC 地址和手机号码绑定关系异常的终端 应重新进行认证 自助身份证件认证 应提供自助身份认证方式 上网人员可通过自助读取身份证或其他身份证件的电子身份信息以获 取上网认证凭证 无线上网场所端通过识别比对上网人员输入的认证凭证 进行有效的上网认证 第三方 APP 身份认证方式 应提供第三方APP身份认证方式 该APP的用户账号必须经过真实身份验证或者手机号码绑定 其他认证方式 无线上网场所端除具备上述三种认证方式以外 可具备其他认证方式 该认证方式必须符合经过 真实身份验证或者手机号码绑定等管理要求 终端上下线日志记录 应具备记录终端上下线的日志功能 根据不同的上网认证方式 记录不同的日志信息内容 a 对于手机短消息认证方式 应记录内容如下表 3 2 2 1 所示 数据交换格式参考附录 A 表 3 1 2 1 手机短消息认证方式上下线日志记录 序号记录内容备注 Comment y3 字符串 下同 Comment y4 String 实现方式 Comment y5 AP WAN ip Comment y6 Int 0 x0401 0 xFFFF Comment y7 SN Comment y8 云 AC 配置 Comment y9 STA 信号强度 Comment y10 1 1 认证类型 2 认证帐号 3 上网服务场所编码 4 上线时间 5 下线时间 6 场所内网 IP 地址 7 源外网 IPv4 IPv6 地址 8 源外网 IPv4 IPv6 起始端口号 9 源外网 IPv4 IPv6 结束端口号 10 终端 MAC 地址 11 AP 设备编号 12 AP 设备 MAC 地址 13 移动 AP 经度 14 移动 AP 纬度 15 场强 16 会话 ID 17 X 坐标 可选 X 表示正东方 向 18 Y 坐标 可选 Y 表示正北方 向 b 对于第三方 APP 认证方式 应记录内容如下表 3 2 2 2 所示 数据交换格式参考附录 A 表 3 1 2 2 第三方 APP 认证方式上下线日志记录 序号记录内容备注 1 认证类型 2 认证帐号 3 APP 厂商名称 Comment y11 上网场所服务代码 自定义 Comment y12 String type 0 场 所类型 1 宾馆 2 酒店 3 企业 4 学校 5 公司 99 其他 4 APP 应用软件名称 5 APP 版本号 6 APP 终端认证码 7 上网服务场所编码 8 场所类型 9 上线时间 10 下线时间 11 终端 MAC 地址 12 场所内网 IP 地址 13 源外网 IPv4 IPv6 地址 14 源外网 IPv4 IPv6 起始端口号 15 源外网 IPv4 IPv6 结束端口号 16 AP 设备编号 17 AP 设备 MAC 地址 18 移动 AP 经度 19 移动 AP 纬度 20 场强 21 会话 ID 22 X 坐标 可选 X 表示正东方 向 23 Y 坐标 可选 Y 表示正北方 向 24 终端 IMSI 码 可选 25 终端 IMEI 码 可选 26终端操作系统版本 可选 27 终端品牌 可选 Comment y13 不需要 28 终端型号 可选 c 对于自助身份证认证方式 应记录内容如下表 3 1 2 3 所示 数据交换格式参考附录 A 表 3 1 2 3 自助身份证件认证方式上下线日志记录 序号记录内容备注 1 认证类型 2 认证帐号 3 身份证件类型 4 身份证件号码 5 上网人员姓名 6 上网服务场所编码 7 场所类型 8 上线时间 9 下线时间 10 场所内网 IP 地址 11 源外网 IPv4 IPv6 地址 12 源外网 IPv4 IPv6 起始端口号 13 源外网 IPv4 IPv6 结束端口号 14 终端 MAC 地址 15 AP 设备编号 16 AP 设备 MAC 地址 17 移动 AP 设备经度 18 移动 AP 设备纬度 19 场强 可选 20 会话 ID 21 X 坐标 可选 X 表示正东方 向 Comment y14 云 AC 保存 22 Y 坐标 可选 Y 表示正北方 向 d 应记录场所端基础数据 内容如下表 3 1 2 4 3 1 2 5 3 1 2 6 3 1 2 7 3 1 2 8 所示 数据交换格式参考附录 A 3 1 2 4 场所基础信息 序号记录内容备注 1上网服务场所编码 2上网服务场所名称 3 场所详细地址 包括省市区县路 弄号 4场所经度 5场所纬度 6场所服务类型 7场所经营性质 8场所经营法人 9经营法人有效证件类型 10经营法人有效证件号码 11联系方式 12营业开始时间如 08 00 13营业结束时间如 22 35 14场所网络接入方式 15场所网络接入服务商 16网络接入账号或固定 IP 地址 17安全厂商组织机构代码 3 1 2 5 安全厂商基础信息 序号数据项中文名称说明 1厂商名称 Comment y15 没有2厂商组织机构代码 3厂商地址 4联系人 5联系人电话 6联系人邮件 3 1 2 6 AP 设备公共基础信息 序号数据项中文名称说明 1AP 设备编号 2AP 设备 MAC 地址 3上网服务场所编码 3 1 2 7 固定 AP 设备基础信息 序号数据项中文名称说明 4AP 设备 MAC 地址 5AP 设备经度 6AP 设备纬度 7楼层 商场 购物中 心 站台内为 必填 如 B1 L1 3 1 2 8 移动 AP 设备基础信息 序号数据项中文名称说明 4站点信息 5地铁线路信息 可选 6地铁车辆信息 可选 7地铁车厢编号 可选 轨道交通 地 铁必填 8车牌号码 可选 车辆必填 如 Comment y16 AC 帐号 Comment y17 int protocol 0 协议 1 表示 HTTP 2 表示 FTP 3 表示 SMTP 4 表示 IMAP 5 表示 POP3 6 表示 SSL 7 表示 TLS 8 表示 SSH 9 表示 MSN 10 表示 JABBER 11 表示 SMB 12 表示 SMB2 13 表示 DCERPC 14 表示 DCERPC UDP 15 表示 QQ 16 表示 TELNET 17 表示 PPPOE 18 表示 FETION 19 表示 YAHOO 20 表示 ICQ 21 表 示 UC 22 表示 POPO 23 表示 ALWW 24 表示 GOOGLETALK 25 表 示 MV 26 表示 KC 27 表示 KDT 28 表示 NNTP 29 表示 RTSP 30 表示 MMS 31 表示 QQ GAME 32 表示浩方游戏平台 99 表示其他 Comment y18 Soure port Comment y19 NAT 后的源端口 0 x0401 0 xFFFF Comment y20 目的公网 IP Comment y21 去掉 不需要 沪 XX1111 e 应对暂存在本地的上下线日志记录中的敏感信息加以保护 f 保证日志记录不被修改 并能防止非授权用户的访问 g 数据完成上报之后本地禁止留存 上网日志记录 应记录公共上网服务场所内各终端的上网日志信息 a 日志信息至少应满足如下表 3 1 4 要求 数据交换格式参考附录 A 表 3 1 4 上网日志记录信息 序号记录内容 1 日志记录时间 2 会话 ID 3 网络应用服务类型 4 场所内网 IP 地址 5 场所内网端口号 6 源外网 IPv4 IPv6 地址 7 源外网 IPv4 IPv6 起始端口号 8 源外网 IPv4 IPv6 结束端口号 9 目的公网 IPv4 IPv6 地址 10 目的公网 IPv4 IPv6 端口号 11 终端 MAC 地址 12 上网服务场所编码 13 AP 设备编号 14 移动 AP 设备经度 15 移动 AP 设备纬度 b 应对暂存在本地的上网记录中的敏感信息加以保护 c 应保证日志记录不被修改 并能防止非授权用户的访问 d 数据完成上报之后本地禁止留存 1 2 安全审计设备的接入 接入方式 Comment y22 没有此接入方式 应具备旁路镜像 透明网桥或者网关路由等模式中的一种或者多种接入场所网络出口 实现对场 所上网流量的审计 具体要求如下 a 旁路镜像接入 将设备的数据监控口连接在交换机的镜像端口上 通过交换机对场所互联网 主干通道的数据镜像审计场所端上网的流量 b 透明网桥接入 将设备以网桥方式串接在场所端访问互联网的主干通道上 对流经设备的上 网流量进行审计 c 网关路由接入 将设备部署成场所端局域网连接互联网的出口网关设备或路由器 对流经设 备的上网流量进行审计 网络性能影响 场所端设备接入场所端网络后 不能影响场所端原有网络设备和上网终端的功能 对于在线模式 部署的场所端设备 不能影响原网络系统的传输性能 延时下降率不能超过10 1 3 自身安全保障 标识与鉴别 应具备自身标识与鉴别功能 具体要求如下 a 应提供授权管理员鉴别数据初始化的功能 b 应保护存储于设备中的鉴别数据不受未授权查阅 修改和破坏 c 应能够在鉴别尝试失败一定次数以后 终止用户建立会话的过程 d 应鉴别任何通过系统控制口履行授权管理员功能的管理员身份 系统操作日志 应具备系统操作日志记录和保护功能 具体要求如下 a 应记录控制通道内用户的操作信息 包括管理员登录 退出 系统配置操作等 b 应防止非授权用户访问日志记录 c 应以技术措施保证日志记录不被修改和删除 d 应支持本地或者联网查询系统操作日志 设备自身保护功能 应具备自身保护功能 a 设备的底层操作系统不提供多余的网络服务 不开放多余的网络端口 b 设备具备一定的抵御网络攻击能力 能够抵御 SYN flood Ping of death 和 UDP flood 等基 本的拒绝服务攻击 1 4 远程通讯管理端的数据交换 终端上下线日志记录数据的上传 应即时向管理后台上传认证数据和上网人员终端上下线数据 在网络正常的情况下 从上网人员 认证 上网终端上线或下线动作发生至管理后台接收到数