无线WIFI接入端最新要求

1、1 范围本标准规定了互联网公共场所无线上网安全管理系统无线上网接入场所端的安全技术要求。本标准适用于互联网公共场所无线上网安全管理系统无线上网接入场所端的设计、开发和检测。1.1上网管理上网用户管理应具备互联网访问管理功能，具体要求如下：a) 对未通过认证的上网终端禁止访问互联网，对于认证成功的上网终端允许访问互联网；b) 上网终端若一段时间无上网操作，应将其强制下线，时间段可设。上网人员身份认证应提供对场所内各类终端无线上网认证的途径，主要包括上网人员通过手机号码和短消息认证、移动终端 APP认证、自助身份证认证等方式中的一种或者多种进行认证上网，认证信息具备一定的有效时长，若超过时长则验证

2、码失效。手机短消息认证方式应具备采用 WEB页面认证或者移动APP认证的方式，上网用户通过输入手机号码和短消息验证码的方式进行认证上网，无效手机短消息验证码禁止通过认证。a)对于已认证成功的移动终端，应建立手机号码和终端MAC的绑定关系，通过和APP 认证中心的数据交换，使该终端在所有使用APP认证方式的场所实现统一免认证上网；b) 对手机号码和 MAC地址绑定关系应提供定期强制重新绑定；c) 对于更换手机号码、 MAC地址和手机号码绑定关系异常的终端，应重新进行认证；自助身份证件认证应提供自助身份认证方式，上网人员可通过自助读取身份证或其他身份证件的电子身份信息以获取上网认证凭证，无线上网场

3、所端通过识别比对上网人员输入的认证凭证，进行有效的上网认证。第三方 APP身份认证方式应提供第三方APP身份认证方式，该APP的用户账号必须经过真实身份验证或者手机号码绑定。其他认证方式无线上网场所端除具备上述三种认证方式以外，可具备其他认证方式，该认证方式必须符合经过真实身份验证或者手机号码绑定等管理要求。终端上下线日志记录应具备记录终端上下线的日志功能，根据不同的上网认证方式，记录不同的日志信息内容：a)对于手机短消息认证方式，应记录内容如下表3.2.2-1所示，数据交换格式参考附录A；表 3.1.2-1手机短消息认证方式上下线日志记录序号记录内容备注1234567891011121314

4、15161718认证类型认证帐号上网服务场所编码上线时间下线时间场所内网 IP 地址源外网 IPv4/IPv6 地址源外网 IPv4/IPv6 起始端口号源外网 IPv4/IPv6 结束端口号终端 MAC 地址AP 设备编号AP 设备 MAC 地址移动 AP 经度移动 AP 纬度场强会话 IDX 坐标（可选）X 表示正东方向Y 坐标（可选）Y 表示正北方向b)对于第三方APP认证方式，应记录内容如下表3.2.2-2所示，数据交换格式参考附录A；表 3.1.2-2第三方 APP认证方式上下线日志记录序号记录内容备注1认证类型2认证帐号3APP 厂商名称4567891011121314151617

5、18192021222324252627APP 应用软件名称APP 版本号APP 终端认证码上网服务场所编码场所类型上线时间下线时间终端 MAC 地址场所内网IP 地址源外网 IPv4/IPv6 地址源外网 IPv4/IPv6 起始端口号源外网 IPv4/IPv6 结束端口号AP 设备编号AP 设备 MAC 地址移动 AP 经度移动 AP 纬度场强会话 IDX 坐标（可选）X 表示正东方向Y 坐标（可选）Y 表示正北方向终端 IMSI 码（可选）终端 IMEI 码（可选）终端操作系统版本（可选）终端品牌（可选）28终端型号（可选）c)对于自助身份证认证方式，应记录内容如下表3.1.2-3所示，

6、数据交换格式参考附录A；表 3.1.2-3自助身份证件认证方式上下线日志记录序号123456789101112131415161718192021记录内容备注认证类型认证帐号身份证件类型身份证件号码上网人员姓名上网服务场所编码场所类型上线时间下线时间场所内网 IP 地址源外网 IPv4/IPv6 地址源外网 IPv4/IPv6 起始端口号源外网 IPv4/IPv6 结束端口号终端 MAC 地址AP 设备编号AP 设备 MAC 地址移动 AP 设备经度移动 AP 设备纬度场强（可选）会话 IDX 坐标（可选）X 表示正东方向22Y 坐标（可选）Y 表示正北方向d) 应记录场所端基础数据，内容如下

7、表 3.1.2-4 、 3.1.2-5 、 3.1.2-6 、 3.1.2-7 、 3.1.2-8 所示，数据交换格式参考附录 A；3.1.2-4 场所基础信息序号记录内容备注1上网服务场所编码2上网服务场所名称3场所详细地址（包括省市区县路/弄号）4场所经度5场所纬度6场所服务类型7场所经营性质8场所经营法人9经营法人有效证件类型10经营法人有效证件号码11联系方式12营业开始时间如： 08：0013营业结束时间如： 22：3514场所网络接入方式15场所网络接入服务商16网络接入账号或固定 IP 地址17安全厂商组织机构代码3.1.2-5 安全厂商基础信息序号数据项中文名称说明1厂商名称2

8、厂商组织机构代码3厂商地址4联系人5联系人电话6联系人邮件3.1.2-6 AP设备公共基础信息序号数据项中文名称1AP 设备编号2AP 设备 MAC 地址3上网服务场所编码3.1.2-7固定 AP设备基础信息序号数据项中文名称4AP 设备 MAC 地址5AP 设备经度6AP 设备纬度7楼层3.1.2-8 移动 AP设备基础信息序号数据项中文名称4站点信息5地铁线路信息（可选）6地铁车辆信息（可选）7地铁车厢编号（可选）8车牌号码（可选）说明说明商场、购物中心、站台内为必填，如 B1，L1说明轨道交通、地铁必填车辆必填，如沪 XX1111e) 应对暂存在本地的上下线日志记录中的敏感信息加以保护；

9、f) 保证日志记录不被修改，并能防止非授权用户的访问；g) 数据完成上报之后本地禁止留存。上网日志记录应记录公共上网服务场所内各终端的上网日志信息：a) 日志信息至少应满足如下表3.1.4 要求，数据交换格式参考附录A；表 3.1.4上网日志记录信息序号记录内容1日志记录时间2会话 ID3网络应用服务类型4场所内网 IP 地址5场所内网端口号6源外网 IPv4/IPv6地址7源外网 IPv4/IPv6起始端口号8源外网 IPv4/IPv6结束端口号9目的公网 IPv4/IPv6地址10目的公网 IPv4/IPv6端口号11终端 MAC 地址12上网服务场所编码13AP 设备编号14移动 AP

10、设备经度15移动 AP 设备纬度b) 应对暂存在本地的上网记录中的敏感信息加以保护；c) 应保证日志记录不被修改，并能防止非授权用户的访问；d) 数据完成上报之后本地禁止留存。1.2安全审计设备的接入接入方式应具备旁路镜像、透明网桥或者网关路由等模式中的一种或者多种接入场所网络出口，实现对场所上网流量的审计，具体要求如下：a) 旁路镜像接入：将设备的数据监控口连接在交换机的镜像端口上，通过交换机对场所互联网主干通道的数据镜像审计场所端上网的流量；b) 透明网桥接入：将设备以网桥方式串接在场所端访问互联网的主干通道上，对流经设备的上网流量进行审计；c) 网关路由接入：将设备部署成场所端局域网连接

11、互联网的出口网关设备或路由器，对流经设备的上网流量进行审计。网络性能影响场所端设备接入场所端网络后，不能影响场所端原有网络设备和上网终端的功能；对于在线模式部署的场所端设备，不能影响原网络系统的传输性能，延时下降率不能超过10%。1.3自身安全保障标识与鉴别应具备自身标识与鉴别功能，具体要求如下：a) 应提供授权管理员鉴别数据初始化的功能。b) 应保护存储于设备中的鉴别数据不受未授权查阅、修改和破坏。c) 应能够在鉴别尝试失败一定次数以后，终止用户建立会话的过程。d) 应鉴别任何通过系统控制口履行授权管理员功能的管理员身份。系统操作日志应具备系统操作日志记录和保护功能，具体要求如下：a)应记录

12、控制通道内用户的操作信息，包括管理员登录b)应防止非授权用户访问日志记录；c)应以技术措施保证日志记录不被修改和删除；d)应支持本地或者联网查询系统操作日志。/ 退出，系统配置操作等；设备自身保护功能应具备自身保护功能：a) 设备的底层操作系统不提供多余的网络服务，不开放多余的网络端口；b)设备具备一定的抵御网络攻击能力，能够抵御 SYN flood 、 Ping of death 本的拒绝服务攻击。和UDP flood等基1.4远程通讯管理端的数据交换终端上下线日志记录数据的上传应即时向管理后台上传认证数据和上网人员终端上下线数据，在网络正常的情况下，从上网人员认证、上网终端上线或下线动作发生至管理后台接收到数据的时间间隔不超过30s。上网日志记录上传应向管理后台即时上传上网记录，在网络条件正常的情况下，上网人员上网记