DB13T 2517-2017 i-hebei无线局域网建设 与服务规范

ICS35110M36DB13河北省地方标准DB13/T25172017IHEBEI无线局域网建设与服务规范SPECIFICATIONFORTHECONSTRUCTIONANDSERVICEOFIHEBEIWIRELESSLOCALAREANETWORK20170517发布20170801实施河北省质量技术监督局发布DB13/T25172017I目次前言II引言III1范围12规范性引用文件13术语和定义14缩略语35基本要求36建设规范47服务规范7附录A（规范性附录）无线接入现场验收要求9附录B（规范性附录）APP客户端建设要求10附录C（规范性附录）服务质量评价要求11参考文献12DB13/T25172017II前言本标准按照GB/T112009给出的规则起草。本标准由河北省工业和信息化厅提出并归口。本标准起草单位河北电信设计咨询有限公司、河北省信息安全测评中心。本标准主要起草人凌江峰、李瑞洁、陶卫江、张凤臣、于佳、侯彬锋、李良、崔昭彦、张金燕、姜彧等。DB13/T25172017III引言本标准的制定对支撑河北省信息经济发展、培育战略性新兴产业、推动网络提速降费、服务民生、促进“互联网”行动和信息消费、加快信息产业发展具有重要意义。DB13/T251720171IHEBEI无线局域网建设与服务规范1范围本标准规定了IHEBEI无线局域网建设与服务的术语和定义、缩略语、基本要求、建设规范、服务规范和服务质量评价等。本标准适用于IHEBEI无线局域网的建设及运营管理。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T2887计算机场地通用规范GB/T21671基于以太网技术的局域网系统验收测评规范GB/Z288282012信息安全技术公共及商用服务信息系统个人信息保护指南GB/T324202015无线局域网测试规范YD52142015无线局域网工程设计规范YD52152015无线局域网工程验收规范YD26962014公众无线局域网安全防护要求YD26972014公众无线局域网安全防护检测要求3术语和定义下列术语和定义适用于本文件。31无线局域网络WIRELESSLOCALAREANETWORK以无线电波作为传输媒介，基于TCP/IP网络协议建立起来的计算机网络系统。在本标准中，专指采用80211无线技术进行互联的一组计算机和相关设备。32无线保真WIRELESSFIDELITY允许电子设备连接到一个无线局域网络（WLAN）的技术，通常使用24GUHF或5GSHFISM射频频段。33移动应用程序APPLICATION可在移动设备上使用，满足用户咨询、购物、社交、娱乐等需求的应用程序。34DB13/T251720172PORTALWEB应用，通常用来提供个性化、单点登录、聚焦各个信息源的内容，并作为信息系统表现层的宿主。35无线访问接入点ACCESSPOINT通过无线方式接入网络的终端提供服务的设备。36无线控制器APCONTROLLER提供对无线接入点的集中控制管理、包括版本下发、配置下发、射频管理和用户流量管理。37高级加密标准ADVANCEDENCRYPTIONSTANDARD又称RIJNDAEL加密法，是一种区块加密标准。38服务集标识符SERVICESETID也称为热点名称，用来区分不同网络的唯一标识符。39有线等效保密WIREDEQUIVALENTPRIVACY一种协议，对在两台设备间无线传输的数据进行加密，用以防止非法用户窃听或侵入无线网络。它也是80211X所使用的默认加密机制，包括64位或128位密钥长度。310IHEBEI无线局域网河北省在省内规定公共区域提供的免费WIFI无线局域网络接入服务的统一服务品牌。311WIFI接入保护WIFIPROTECTEDACCESSWPA是一种基于标准的可互操作的WLAN安全性增强解决方案，可大大增强现有以及未来无线局域网系统的数据保护和访问控制水平。WPA源于IEEE80211I标准并将与之保持前向兼容。312第二代WIFI接入保护WIFIPROTECTEDACCESS2第二代WPA，是国际WIFI联盟对采用IEEE80211I安全增强功能的产品的认证计划，需要高级加密标准（AES）来加密数据。313WLAN鉴别与保密基础结构WLANAUTHENTICATIONANDPRIVACYINFRASTRUCTUREDB13/T251720173我国企业自主设计、拥有自主知识产权的普适性安全接入技术基础架构。它是在客观承认当前和下一代主流的接入网络CAS客户端承载节点服务器架构的基础上，在链路层提出的新的安全体系架构。4缩略语下列缩略语适用于本文件。AC无线控制器APCONTROLLERAES高级加密标准ADVANCEDENCRYPTIONSTANDARDAP无线访问接入点ACCESSPOINTAPP移动应用程序APPLICATIONSSID服务集标识符SERVICESETIDWAPIWLAN鉴别与保密基础结构WLANAUTHENTICATIONANDPRIVACYINFRASTRUCTUREWEP有线等效保密WIREDEQUIVALENTPRIVACYWIFI无线保真WIRELESSFIDELITYWLAN无线局域网络WIRELESSLOCALAREANETWORKWPAWIFI接入保护WIFIPROTECTEDACCESSWPA2第二代WIFI接入保护WIFIPROTECTEDACCESS25基本要求51统一业务名称和标识以统一的热点业务名称“IHEBEI”为河北省境内用户提供无线接入服务。各地市可在“IHEBEI”品牌下根据实际情况设置免费WIFI标识，并在主要公共区域张贴免费WIFI热点铭牌标识。APP客户端程序及SSID使用统一的名称。根据统一的标识，在视觉上统一APP及PORTAL主界面设计。52免费无线接入服务在“IHEBEI”无线网络覆盖区域内，提供724小时的免费无线接入互联网服务，凡是通过规定流程取得合法接入账号的河北省境内用户，在“IHEBEI”无线网络覆盖范围内，至少可通过手机、平板终端免费接入互联网，每用户接入平均带宽不低于2MBPS，连续登录2小时后重新登录。53符合接入验收规范以“IHEBEI”名称为公众提供免费无线接入服务前，建设方应委托第三方检验检测机构进行现场验收测试，应符合附录A的要求。54一次注册、无感知认证登录、全省漫游各运营企业应实现免费无线接入服务认证信息的互联互通。河北省境内用户通过网页PORTAL、APP客户端等方式完成首次注册认证登录后，即可在“IHEBEI”无线网络免费WIFI覆盖范围内接入互联网，不需要再次输入用户名和密码认证，实现“一次注册、无感知认证登录、全省漫游”。55网络质量DB13/T251720174根据GB/T21671要求，“IHEBEI”服务网络中的信道信号强度、信噪比、连通性、上下行吞吐率、丢包率、延迟时间、WEB认证失败次数、WEB认证接入时延等网络质量指标应符合附录A。56网络与信息安全保障“IHEBEI”各运营企业应对各自提供的网络安全负责。“IHEBEI”各运营企业应委托第三方检验检测机构定期对“IHEBEI”的网络安全进行检查。6建设规范61建设要求611管理服务系统建设统一的省级认证平台和运营服务平台，包括网络设备、安全设备、认证服务器、PORTAL服务器等设备；能够实现用户注册、认证、短信推送、安全审计等功能，与各市认证和运营服务平台互联互通。612ACAC设备采用分布式或集中式部署，可根据接入点AP规划结果来确定AC数量和控制范围，分层架构、集中管理。多AC之间实现负载均衡，简化AC管理；合理选择备份方式，增强AC可靠性；节省链路带宽。613APAP设备应符合80211B/G、80211A、80211N、80211AC技术要求AAP覆盖根据覆盖区域实际情况合理选择AP覆盖方式，减少频率干扰；室内覆盖交通枢纽（机场、车站）、公立医院候诊区、行政服务办事大厅、公共文化服务场所等公共场所，采用室内型AP进行WIFI覆盖，覆盖指标应符合附录B要求；室外覆盖对于旅游景点游客休息区、公园、广场等公共场所，选择专用的室外型AP，进行室外的WIFI覆盖，覆盖指标应符合附录B要求。BAP容量从设备性能、目标覆盖区域、用户分布等方面，合理规划AP数量和AP并发用户数，原则上单个AP并发用户数不低于30个。CAP频点设置原则及工作频率支持24GHZ和58GHZ频段的同时覆盖，频点宜采用互不干扰的信道。D负载均衡对于同时支持24GHZ、58GHZ频段的无线终端，AP可优先引导无线终端到信道更丰富的58GHZ频段接入，实现AP在24GHZ和58GHZ频段的负载分担。62认证要求用户首次通过“IHEBEI”无线网络免费WIFI接入互联网时，以手机号码作为注册标识，由当前“IHEBEI”无线网络运营企业采用网页PORTAL、APP软件的认证方式，实现用户的注册和认证，同时推送有关WIFI风险的安全警示。用户再次登录“IHEBEI”无线网络时，由运营企业在后台对用户信息进行认证，无需再次输入密码、验证码等信息，从而实现“一次注册，无感知认证登录，全省漫游”。DB13/T25172017563APP客户端要求“IHEBEI”APP客户端统一开发，以“IHEBEI”名义发布的APP应符合附录C的要求。64安全规范641技术防范6411用户信息保护本项目要求包括但不限于A用户采用认证的方式，防止非授权用户侵入该无线局域网；B对认证信息和业务敏感数据应加密，防止个人信息泄露、毁损、篡改或者丢失，对用户认证数据和上网行为数据的分析应保障个人信息安全、企业信息安全，甚至国家安全，同时应符合GB/Z288282012标准及相关文件要求；C对用户认证数据和上网行为数据应脱敏后，并经主管部门同意才能向第三方提供，向第三方提供的数据应保障个人信息、企业信息的安全。6412用户隔离接入网络的用户之间应隔离，用户隔离包括同一AP下用户之间的隔离以及不同AP下用户之间的隔离。6413唯一性限制在同一时间内只允许用户采用同一个账号在一台终端设备上使用“IHEBEI”无线网络业务。6414基础设施防护本项目要求包括但不限于A“IHEBEI”无线网络涉及的核心机房、网络、服务器等基础设施，均按照国家信息安全等级保护3级及以上要求进行防护；B建立安全管理平台，对网络设备、安全设备、服务器等进行统一管理，形成安全事件和用户行为的关联分析；C使用安全漏洞扫描设备定期对所有公众WLAN相关设备（AC、认证服务器、WEBPORTAL等）进行安全漏洞扫描，检查有无高中风险安全漏洞，并及时对漏洞进行修补。6415应用系统防护本项目要求包括但不限于A“IHEBEI”无线网络APP客户端、网站均按照国家信息安全等级保护3级及以上要求进行防护，定期对网站进行安全扫描；B在“IHEBEI”无线网络平台上线的应用，上线前应由运营企业进行审核，并由运营企业或委托第三方检验检测机构对上线应用的可用性、稳定性、安全性等进行检测，并出具检测报告。由运营企业自行组织检测的，需由主管部门委托第三方检验检测机构进行定期抽检。6416连接安全本项目要求包括但不限于APORTAL页面和APP客户端与认证服务器之间的通讯采用HTTPS等加密连接；DB13/T251720176BAPP客户端上包含“IHEBEI”无线网络所有合法AP的信息，当连接AP时进行比对，防止连接到非法AP；C对未通过认证的上网终端禁止访问互联网，对于认证成功的上网终端允许访问互联网；D上网终端若一段时间无上网操作，应将其强制下线，时间段可设定。6417认证安全本项目要求包括但不限于A提供对接入侧内各类终端无线上网认证的途径，主要包括PORTAL认证、移动终端APP认证等方式，且认证信息应具备一定的有效时长，若超时则验证码失效，且时长可设定；BPORTAL应采用HTTPS等加密方式登录页面，或基于数字证书的安全接入认证系统；C采用移动终端APP身份认证方式时，用户账号必须经过真实身份验证或者手机号码绑定；D采用其他认证方式，必须符合经过真实身份验证或者手机号码绑定等管理要求；E认证信息与无线上网终端绑定关系异常时，应重新进行认证。6418安全审计本项目要求包括但不限于A系统应使用取得互联网公共上网服务场所无线接入产品计算机信息系统安全专用产品销售许可证的安全审计产品；B应对用户认证信息、上网行为进行严格审计，审计记录应具备记录终端上下线、上网行为的功能，提供安全可控的审计追溯能力，且符合国家相关要求；C应对保存的上下线审计记录和上网日志信息加以保护，保证日志信息不被修改，并能防止非授权用户的访问，日志信息应至少保存6个月；D场所端系统时钟应与管理后台系统时钟同步，时钟误差应小于1秒。6419AP前端安全系统应具备对无线网络中的非法假冒AP、DOS攻击、私接AP等威胁进行识别、告警的措施，并有响应机制。定期巡检，实时阻断。642管理机制6421管理制度本项目要求包括但不限于A建立完善岗位信息安全责任制度及信息安全管理制度体系，明确岗位及人员的信息安全责任；B应成立安全保障工作小组，组长应为运营企业主要负责人。6422风险告知本项目要求包括但不限于A有效预防“IHEBEI”无线网络带来的安全风险，建立风险告知制度，对用户使用“IHEBEI”无线网络可能存在的风险给予事先告知；B对发现的新安全风险应及时上报相关部门，并更新现有的风险告知。6423应急响应本项目要求包括但不限于DB13/T251720177A应建立信息安全应急响应机制，分类分级处理不同的安全突发事件；B应定期对系统运营进行风险评估和应急响应演练；C应定期对应急响应机制进行评估和完善。6424安全评测运营系统整体应达到信息安全等级保护3级及以上要求，并按相关要求进行安全测评。643运营维护6431日常维护本项目要求包括但不限于A各运营企业应对“IHEBEI”无线网络专用宽带远程接入服务器（BRAS）、汇聚交换机等设备的性能进行实时监控，并有告警和响应机制；B各运营企业应第一时间处理用户投诉的重点问题；C各运营企业对重要接入参数的变更需会同维护人员进行讨论确定，不得私自变更。6432内容监管本项目要求包括但不限于A各运营企业应加强平台运营内容监管，建立内容发布管理制度，明确内容审核及发布的人员职责；B各运营企业应建立审批流程，严格内容审核，禁止发布及推送非法内容。6433平台合作伙伴、商家维护保障本项目要求包括但不限于A应选择具备信息安全服务资质的服务提供商或内容提供商，签订服务合同和保密协议；B应与各运营企业签订服务管理规范，及时发现并快速处置违法违规信息、账号、应用。7服务规范71服务保障体系“IHEBEI”业务运营企业应建立健全服务质量管理体系，依照本标准，向公众提供免费WIFI服务。“IHEBEI”运营企业应派专人负责，为第三方检测平台提供相应的数据接口，保证检测数据的准确性和完整性。72覆盖范围发布“IHEBEI”运营企业应及时通告其无线网络覆盖范围，并向社会统一发布。73故障修复“IHEBEI”运营企业检修线路、设备搬迁、工程割接、网络及软件升级等可预见的原因，影响或可能影响用户使用的，应提前72小时通告。74终止服务DB13/T251720178运营企业停止提供“IHEBEI”服务时，应向主管部门报备，并提前60日发布通知，妥善做好善后工作。75客户服务应答751建立沟通机制“IHEBEI”运营企业应建立与用户沟通的渠道和制度，听取用户的意见和建议，自觉改善服务工作。752服务受理“IHEBEI”运营企业应向用户提供业务咨询、查询和障碍申告受理等服务，并采取公布监督电话等形式，受理用户投诉。753应答时限对于用户关于“IHEBEI”服务方面的投诉，运营企业应在接到用户投诉之日起5个工作日内答复用户。在服务方面与用户发生纠纷的，在纠纷解决前，应当保存相关原始资料。76服务质量评价77总体要求由第三方检验检测机构对“IHEBEI”无线局域网进行网络质量检测评价，同时，“IHEBEI”运营企业应在企业内部建立服务质量自我检查制度，由专职安全检查人员和质量检验人员组成检查小组，定期对无线网络服务质量进行检查，对发现的问题应及时改进和处理。78评价内容评价内容包括但不限于网络覆盖、网络质量、用户指标。A网络覆盖率指标针对“IHEBEI”无线网络覆盖情况进行评估；B网络质量指标针对“IHEBEI”服务质量情况进行评估；C用户指标针对用户对“IHEBEI”网络的使用情况进行评估，包括用户数、用户使用时长、用户满意度等；详细评估内容见附录C。79评价方法评价方法采用上报数据评估、现场抽查和网站用户调查三种方式进行。其中第三方检验检测机构根据上报数据，结合现场抽查验证，进行结果统计分析，对网络质量、网络覆盖率和部分用户指标做出评价。通过网站发起用户满意度调查，由用户进行评价，定期发布。DB13/T251720179附录A（规范性附录）无线接入现场验收要求A1无线接入现场验收要求见表A1。表A1无线接入现场验收要求序号类别指标验收内容和要求1信号覆盖信道信号强度在95覆盖范围内，信道信号强度75DBM2信噪比在AP接入点附近（5米），信噪比25DB3连通性从终端PINGAC或AC上连端口的IP地址，应全部连通4网络性能下行吞吐率30个并发用户情况下，用户平均下行吞吐率不低于2MBPS5上行吞吐率30个并发用户情况下，用户平均上行吞吐率不低于1MBPS6丢包率发送ICMP1024字节测试数据包（不少于100个），数据包丢失率57延迟时间发送ICMP1024字节数据包（不少于100个），对本地网络进行PING测试，平均往返延迟50MS8WEB认证失败次数10次WEB认证次数，失败次数1次9WEB认证接入时延平均登录时延5S10安全要求技术保障基础设施和网络安全防护核心机房应达到GB/T2887标准中A级机房的相关要求；具有抵御拒绝服务攻击、欺骗攻击等功能，确保同一个AP下终端的安全隔离11应用安全防护授予不同用户完成其各自承担任务所需的最小权限，并对用户的重要操作行为进行安全审计；应用在正式上线前，应通过安全审核12数据安全防护认证信息和业务敏感数据应加密存储13安全管理管理机制明确信息安全主管领导和管理机构；建立信息安全管理制度体系14运维管理对重要设备进行性能监控，禁止未经许可的私自变更，建立内容发布管理制度15应急响应及风险告知制定信息安全应急预案，每年开展一次应急演练；建立风险告知机制16合作伙伴管理安全运维服务商应具有信息安全服务和应急响应资质；与渠道代理商或商家签订服务管理规范，规范内容提供商的管理17建设文档无线局域网的建设文档应齐全18物理防护室外型无线接入点的安装应考虑防雷、防雨、防尘，无线接入点应符合IP66/67防护等级标准以及YD/T23242011无线基站防雷技术要求和测试方法DB13/T2517201710附录B（规范性附录）APP客户端建设要求B1APP客户端建设要求见表B1。表B1服务质量评价要求序号检测类检测指标检测内容检测要求1网络覆盖公共场所【1】免费开放WIFI有效覆盖率（免费开放WIFI有效覆盖的公共场所【2】数/公共场所个数）1001002公共场所AP免费开放数量存量AP免费开放数（本市存量AP以免费形式对公众开放数量）全省排名增量AP免费开放数（本市增量AP以免费形式对公众开放数量）全省排名3网络质量指标AP设备完好率1（AP非运行总时长【3】/（AP数量统计时长）100984无线网络接入成功率无线终端发起数据连接建立请求并成功建立连接的次数/无线终端发起数据连接建立请求总次数955无线网络接入时间在无线接入网络覆盖范围内，手机、PAD等各类无线终端接入网络的时间20秒6平均上行/下行速率平均上行传输速率1MBPS平均下行传输速率2MBPS7无线网络开放时长724小时免费开放8漫游联通全省漫游（本地一次注册全省漫游使用，即免二次注册）9平台互联互通（河北省各市自有平台与IHEIBEI平台互联互通）10用户指标用户满意度网站投票满意（含一般）投票数实地抽查满意（含一般）投票数）/总抽查投票数10060DB13/T2517201711附录C（规范性附录）服务质量评价要求C1服务质量评价要求见表C1。表C1APP客户端建设要求序号类别子类别内容1命名规范名称APP客户端应使用同一的前级名称“IHEBEI”，后缀名可自行设计、应简短易懂，不得与第三方知名应用混淆2包含字符APP客户端名称中只可包含以下字符英文字母、阿拉伯数字、小数点“”、中衡杠“”、下划线“_”3界面规范快捷方式APP客户端安装完成后，应创建统一的标识符图标、名称与发布名称一致4注册界面APP客户端应使用