无线WIFI接入端最新要求

1、1 范围本标准规定了互联网公共场所无线上网安全管理系统无线上网接入场所端的安全技术要求。本标准适用于互联网公共场所无线上网安全管理系统无线上网接入场所端的设计、开发和检测。1.1 上网管理上网用户管理应具备互联网访问管理功能，具体要求如下：a) 对未通过认证的上网终端禁止访问互联网，对于认证成功的上网终端允许访问互联网；b) 上网终端若一段时间无上网操作，应将其强制下线，时间段可设。上网人员身份认证应提供对场所内各类终端无线上网认证的途径，主要包括上网人员通过手机号码和短消息认证、移动终端APP认证、自助身份证认证等方式中的一种或者多种进行认证上网，认证信息具备一定的有效时长，若超过时长则验证

2、码失效。手机短消息认证方式支持第一种就OK应具备采用WEB页面认证或者移动APP认证的方式，上网用户通过输入手机号码和短消息验证码的方式进行认证上网，无效手机短消息验证码禁止通过认证。a) 对于已认证成功的移动终端，应建立手机号码和终端MAC的绑定关系，通过和APP认证中心的数据交换，使该终端在所有使用APP认证方式的场所实现统一免认证上网；b) 对手机号码和MAC地址绑定关系应提供定期强制重新绑定 确认是否实现？；c) 对于更换手机号码、MAC地址和手机号码绑定关系异常的终端，应重新进行认证；自助身份证件认证应提供自助身份认证方式，上网人员可通过自助读取身份证或其他身份证件的电子身份信息以获

3、取上网认证凭证，无线上网场所端通过识别比对上网人员输入的认证凭证，进行有效的上网认证。第三方APP身份认证方式应提供第三方APP身份认证方式，该APP的用户账号必须经过真实身份验证或者手机号码绑定。其他认证方式无线上网场所端除具备上述三种认证方式以外，可具备其他认证方式，该认证方式必须符合经过真实身份验证或者手机号码绑定等管理要求。终端上下线日志记录应具备记录终端上下线的日志功能，根据不同的上网认证方式，记录不同的日志信息内容：a) 对于手机短消息认证方式，应记录内容如下表3.2.2-1所示，数据交换格式参考附录A；表 3.1.2-1 手机短消息认证方式上下线日志记录序号记录内容备注1认证类型

4、字符串, 下同2认证帐号3上网服务场所编码String ?？实现方式4上线时间5下线时间6场所内网IP地址7源外网IPv4/IPv6地址AP WAN ip8源外网IPv4/IPv6起始端口号Int 0x0401 0xFFFF9源外网IPv4/IPv6结束端口号10终端MAC地址11AP设备编号SN12AP设备MAC地址13移动AP经度云AC配置14移动AP纬度15场强 STA信号强度16会话ID？-117X坐标（可选）X表示正东方向18Y坐标（可选）Y表示正北方向b) 对于第三方APP认证方式，应记录内容如下表3.2.2-2所示，数据交换格式参考附录A；表 3.1.2-2 第三方APP认证方式

5、上下线日志记录序号记录内容备注1认证类型2认证帐号3APP厂商名称4APP应用软件名称5APP版本号6APP终端认证码7上网服务场所编码上网场所服务代码，自定义8场所类型? String type = 0; /场所类型,1:宾馆，2：酒店，3：企业，4：学校，5：公司 99其他 9上线时间10下线时间11终端MAC地址12场所内网IP地址13源外网IPv4/IPv6地址14源外网IPv4/IPv6起始端口号15源外网IPv4/IPv6结束端口号16AP设备编号17AP设备MAC地址18移动AP经度19移动AP纬度20场强21会话ID22X坐标（可选）X表示正东方向23Y坐标（可选）Y表示正北方

6、向24终端IMSI码（可选）25终端IMEI码（可选）26终端操作系统版本（可选）27终端品牌（可选）28终端型号（可选）c) 对于自助身份证认证方式， 应记录内容如下表3.1.2-3所示，数据交换格式参考附录A；表 3.1.2-3 自助身份证件认证方式上下线日志记录不需要序号记录内容备注1认证类型2认证帐号3身份证件类型4身份证件号码5上网人员姓名6上网服务场所编码7场所类型8上线时间9下线时间10场所内网IP地址11源外网IPv4/IPv6地址12源外网IPv4/IPv6起始端口号13源外网IPv4/IPv6结束端口号14终端MAC地址15AP设备编号16AP设备MAC地址17移动AP设备

7、经度18移动AP设备纬度19场强（可选）20会话ID21X坐标（可选）X表示正东方向22Y坐标（可选）Y表示正北方向d) 应记录场所端基础数据，内容如下表3.1.2-4、3.1.2-5、3.1.2-6、3.1.2-7、3.1.2-8所示，数据交换格式参考附录A；3.1.2-4 场所基础信息 云AC保存序号记录内容备注1上网服务场所编码2上网服务场所名称3场所详细地址（包括省市区县路/弄号）4场所经度5场所纬度6场所服务类型7场所经营性质8场所经营法人9经营法人有效证件类型10经营法人有效证件号码11联系方式12营业开始时间如：08：0013营业结束时间如：22：3514场所网络接入方式15场所

8、网络接入服务商16网络接入账号或固定IP地址17安全厂商组织机构代码3.1.2-5 安全厂商基础信息序号数据项中文名称说明1厂商名称2厂商组织机构代码3厂商地址4联系人5联系人电话6联系人邮件3.1.2-6 AP设备公共基础信息序号数据项中文名称说明1AP设备编号2AP设备MAC地址3上网服务场所编码3.1.2-7 固定AP设备基础信息序号数据项中文名称说明4AP设备MAC地址5AP设备经度6AP设备纬度7楼层商场、购物中心、站台内为必填，如B1，L13.1.2-8 移动AP设备基础信息没有序号数据项中文名称说明4站点信息轨道交通、地铁必填5地铁线路信息（可选）6地铁车辆信息（可选）7地铁车厢

9、编号（可选）8车牌号码（可选）车辆必填，如沪XX1111e) 应对暂存在本地的上下线日志记录中的敏感信息加以保护AC帐号；f) 保证日志记录不被修改，并能防止非授权用户的访问；g) 数据完成上报之后本地禁止留存。上网日志记录应记录公共上网服务场所内各终端的上网日志信息：a) 日志信息至少应满足如下表3.1.4要求，数据交换格式参考附录A；表 3.1.4上网日志记录信息序号记录内容1日志记录时间2会话ID3网络应用服务类型int protocol = 0; /协议: 1表示HTTP；2表示FTP；3表示SMTP；4表示IMAP；5表示POP3；6表示SSL；7表示TLS；8表示SSH；9表示MS

10、N；10表示JABBER；11表示SMB；12表示SMB2；13表示DCERPC;14表示DCERPC_UDP; 15表示QQ；16表示TELNET；17表示PPPOE；18表示FETION；19表示YAHOO；20表示ICQ；21表示UC；22表示POPO；23表示ALWW;24表示GOOGLETALK;25表示MV；26表示KC；27表示KDT；28表示NNTP；29表示RTSP；30表示MMS；31表示QQ_GAME；32表示浩方游戏平台；99表示其他4场所内网IP地址5场所内网端口号Soure port6源外网IPv4/IPv6地址7源外网IPv4/IPv6起始端口号NAT 后的源端口

11、 0x0401 0xFFFF8源外网IPv4/IPv6结束端口号9目的公网IPv4/IPv6地址目的公网IP10目的公网IPv4/IPv6端口号11终端MAC地址12上网服务场所编码13AP设备编号14移动AP设备经度15移动AP设备纬度b) 应对暂存在本地的上网记录中的敏感信息加以保护；c) 应保证日志记录不被修改，并能防止非授权用户的访问；d) 数据完成上报之后本地禁止留存。1.2 安全审计设备的接入去掉，不需要接入方式应具备旁路镜像、透明网桥或者网关路由等模式中的一种或者多种接入场所网络出口，实现对场所上网流量的审计，具体要求如下：a) 旁路镜像接入没有此接入方式：将设备的数据监控口连接

12、在交换机的镜像端口上，通过交换机对场所互联网主干通道的数据镜像审计场所端上网的流量；b) 透明网桥接入：将设备以网桥方式串接在场所端访问互联网的主干通道上，对流经设备的上网流量进行审计；c) 网关路由接入：将设备部署成场所端局域网连接互联网的出口网关设备或路由器，对流经设备的上网流量进行审计。网络性能影响场所端设备接入场所端网络后，不能影响场所端原有网络设备和上网终端的功能；对于在线模式部署的场所端设备，不能影响原网络系统的传输性能，延时下降率不能超过10%。1.3 自身安全保障标识与鉴别应具备自身标识与鉴别功能，具体要求如下：a) 应提供授权管理员鉴别数据初始化的功能。b) 应保护存储于设备

13、中的鉴别数据不受未授权查阅、修改和破坏。c) 应能够在鉴别尝试失败一定次数以后，终止用户建立会话的过程。d) 应鉴别任何通过系统控制口履行授权管理员功能的管理员身份。系统操作日志应具备系统操作日志记录和保护功能，具体要求如下：a) 应记录控制通道内用户的操作信息，包括管理员登录/退出，系统配置操作等；b) 应防止非授权用户访问日志记录；c) 应以技术措施保证日志记录不被修改和删除；d) 应支持本地或者联网查询系统操作日志。设备自身保护功能应具备自身保护功能：a) 设备的底层操作系统不提供多余的网络服务，不开放多余的网络端口；b) 设备具备一定的抵御网络攻击能力，能够抵御SYN flood、Ping of death和UDP flood等基本的拒绝服务攻击。1.4 远程通讯管理端的数据交换终端上下线日志记录数据的上传应即时向管理后台上传认证数据和上网人员终端上下线数据，在网络正常的情况下，从上网人员认证、上网终端上线或下线动作发生至管理后台接收到数据的时间间隔不超过30s。上网日志记录上传应向管理后台即时上传上网记录