DB13-T2517-2017-i-hebei无线局域网建设与服务规范-河北省

ICS35.110DB13M36河北省地方标准DB13/T2517—2017i-hebei无线局域网建设与服务规范Specificationfortheconstructionandserviceofi-hebeiwirelesslocalareanetwork河北省质量技术监督局发布DB13/T2517—2017目次前言.................................................................................II引言................................................................................III1234567范围...............................................................................1规范性引用文件.....................................................................1术语和定义.........................................................................1缩略语.............................................................................3基本要求...........................................................................3建设规范...........................................................................4服务规范...........................................................................7附录A（规范性附录）无线接入现场验收要求...........................................9附录B（规范性附录）APP客户端建设要求.............................................10附录C（规范性附录）服务质量评价要求..............................................11参考文献.............................................................................12IDB13/T2517—2017前言本标准按照GB/T1.1-2009给出的规则起草。本标准由河北省工业和信息化厅提出并归口。本标准起草单位：河北电信设计咨询有限公司、河北省信息安全测评中心。本标准主要起草人：凌江峰、李瑞洁、陶卫江、张凤臣、于佳、侯彬锋、李良、崔昭彦、张金燕、姜彧等。IIDB13/T2517—2017引言本标准的制定对支撑河北省信息经济发展、培育战略性新兴产业、推动网络提速降费、服务民生、促进“互联网+”行动和信息消费、加快信息产业发展具有重要意义。IIIDB13/T2517—2017i-hebei无线局域网建设与服务规范1范围本标准规定了i-hebei无线局域网建设与服务的术语和定义、缩略语、基本要求、建设规范、服务规范和服务质量评价等。本标准适用于i-hebei无线局域网的建设及运营管理。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T2887计算机场地通用规范GB/T21671基于以太网技术的局域网系统验收测评规范GB/Z28828-2012GB/T32420-2015信息安全技术公共及商用服务信息系统个人信息保护指南无线局域网测试规范YD5214-2015YD5215-2015YD2696-2014YD2697-2014无线局域网工程设计规范3无线局域网络wirelesslocalareanetwork以无线电波作为传输媒介，基于TCP/IP网络协议建立起来的计算机网络系统。在本标准中，专指允许电子设备连接到一个无线局域网络（WLAN）的技术，通常使用2.4GUHF或5GSHFISM射频频1DB13/T2517—2017PortalWeb应用，通常用来提供个性化、单点登录、聚焦各个信息源的内容，并作为信息系统表现层的宿主。3.5无线访问接入点accesspoint通过无线方式接入网络的终端提供服务的设备。3.6无线控制器apcontroller提供对无线接入点的集中控制管理、包括版本下发、配置下发、射频管理和用户流量管理。3.7高级加密标准advancedencryptionstandard又称Rijndael加密法，是一种区块加密标准。3.8服务集标识符servicesetid也称为热点名称，用来区分不同网络的唯一标识符。3.9有线等效保密wiredequivalentprivacy一种协议，对在两台设备间无线传输的数据进行加密，用以防止非法用户窃听或侵入无线网络。它也是802.11x所使用的默认加密机制，包括64位或128位密钥长度。WPA是一种基于标准的可互操作的WLAN安全性增强解决方案，可大大增强现有以及未来无线局域网系统的数据保护和访问控制水平。WPA源于IEEE802.11i标准并将与之保持前向兼容。第二代WiFi接入保护WiFiprotectedaccess2第二代WPA，是国际Wi-Fi联盟对采用IEEE802.11i安全增强功能的产品的认证计划，需要高级加密标准（AES）来加密数据。2DB13/T2517—2017我国企业自主设计、拥有自主知识产权的普适性安全接入技术基础架构。它是在客观承认当前和下一代主流的接入网络C-A-S(客户端-承载节点-服务器)架构的基础上，在链路层提出的新的安全体系架构。4缩略语下列缩略语适用于本文件。AC：无线控制器(APController)AES：高级加密标准(AdvancedEncryptionStandard)AP：无线访问接入点(AccessPoint)APP：移动应用程序(Application)SSID：服务集标识符(ServiceSetID)WAPI：WLAN鉴别与保密基础结构(WLANAuthenticationandPrivacyInfrastructure)WEP：有线等效保密(WiredEquivalentPrivacy)WiFi：无线保真(WirelessFidelity)WLAN：无线局域网络(WirelessLocalAreaNetwork)WPA：WiFi接入保护(WiFiProtectedAccess)WPA2：第二代WiFi接入保护(WiFiProtectedAccess2)5基本要求以统一的热点业务名称“i-hebei”为河北省境内用户提供无线接入服务。各地市可在“i-hebei”品牌下根据实际情况设置免费WiFi标识，并在主要公共区域张贴免费WiFi热点铭牌标识。APP客户端程序及SSID使用统一的名称。根据统一的标识，在视觉上统一APP及Portal主界面设计。在“i-hebei”无线网络覆盖区域内，提供7×24小时的免费无线接入互联网服务，凡是通过规定流程取得合法接入账号的河北省境内用户，在“i-hebei”无线网络覆盖范围内，至少可通过手机、平板终端免费接入互联网，每用户接入平均带宽不低于2Mbps，连续登录2小时后重新登录。以“i-hebei”名称为公众提供免费无线接入服务前，建设方应委托第三方检验检测机构进行现场各运营企业应实现免费无线接入服务认证信息的互联互通。河北省境内用户通过网页Portal、APP客户端等方式完成首次注册认证登录后，即可在“i-hebei”无线网络免费WiFi覆盖范围内接入互联3DB13/T2517—2017根据GB/T21671要求，“i-hebei”服务网络中的信道信号强度、信噪比、连通性、上下行吞吐率、丢包率、延迟时间、Web认证失败次数、Web认证接入时延等网络质量指标应符合附录A。5.6网络与信息安全保障“i-hebei”各运营企业应对各自提供的网络安全负责。“i-hebei”各运营企业应委托第三方检验检测机构定期对“i-hebei”的网络安全进行检查。6建设规范6.1建设要求6.1.1管理服务系统建设统一的省级认证平台和运营服务平台，包括网络设备、安全设备、认证服务器、Portal服务器等设备；能够实现用户注册、认证、短信推送、安全审计等功能，与各市认证和运营服务平台互联互通。6.1.2ACAC设备采用分布式或集中式部署，可根据接入点AP规划结果来确定AC数量和控制范围，分层架构、集中管理。多AC之间实现负载均衡，简化AC管理；合理选择备份方式，增强AC可靠性；节省链路带宽。6.1.3AP根据覆盖区域实际情况合理选择AP覆盖方式，减少频率干扰；室内覆盖：交通枢纽（机场、车站）、公立医院候诊区、行政服务办事大厅、公共文化服务场所等公共场所，采用室内型AP进行WiFi覆盖，覆盖指标应符合附录B要求；室外覆盖：对于旅游景点游客休息区、公园、广场等公共场所，选择专用的室外型AP，进行室外的WiFi覆盖，覆盖指标应符合附录B要求。从设备性能、目标覆盖区域、用户分布等方面，合理规划AP数量和AP并发用户数，原则上单个AP并发用户数不低于30个。对于同时支持2.4GHz、5.8GHz频段的无线终端，AP可优先引导无线终端到信道更丰富的5.8GHz频段接入，实现AP在2.4GHz和5.8GHz频段的负载分担。用户首次通过“i-hebei”无线网络免费WiFi接入互联网时，以手机号码作为注册标识，由当前“i-hebei”无线网络运营企业采用网页Portal、APP软件的认证方式，实现用户的注册和认证，同时推送有关WiFi风险的安全警示。用户再次登录“i-hebei”无线网络时，由运营企业在后台对用户信息进行认证，无需再次输入密码、验证码等信息，从而实现“一次注册，无感知认证登录，全省漫游”。4DB13/T2517—20176.3APP客户端要求“i-hebei”APP客户端统一开发，以“i-hebei”名义发布的APP应符合附录C的要求。6.4安全规范6.4.1技术防范用户信息保护本项目要求包括但不限于：a)b)用户采用认证的方式，防止非授权用户侵入该无线局域网；对认证信息和业务敏感数据应加密，防止个人信息泄露、毁损、篡改或者丢失，对用户认证数据和上网行为数据的分析应保障个人信息安全、企业信息安全，甚至国家安全，同时应符合GB/Z28828-2012标准及相关文件要求；c)对用户认证数据和上网行为数据应脱敏后，并经主管部门同意才能向第三方提供，向第三方提供的数据应保障个人信息、企业信息的安全。用户隔离接入网络的用户之间应隔离，用户隔离包括同一AP下用户之间的隔离以及不同AP下用户之间的隔离。唯一性限制在同一时间内只允许用户采用同一个账号在一台终端设备上使用“i-hebei”无线网络业务。“i-hebei”无线网络涉及的核心机房、网络、服务器等基础设施，均按照国家信息安全等级保护3级及以上要求进行防护；建立安全管理平台，对网络设备、安全设备、服务器等进行统一管理，形成安全事件和用户行为的关联分析；使用安全漏洞扫描设备定期对所有公众WLAN相关设备（AC、认证服务器、WebPortal等）进行安全漏洞扫描，检查有无高中风险安全漏洞，并及时对漏洞进行修补。“i-hebei”无线网络APP客户端、网站均按照国家信息安全等级保护3级及以上要求进行防护，定期对网站进行安全扫描；在“i-hebei”无线网络平台上线的应用，上线前应由运营企业进行审核，并由运营企业或委托第三方检验检测机构对上线应用的可用性、稳定性、安全性等进行检测，并出具检测报告。由运营企业自行组织检测的，需由主管部门委托第三方检验检测机构进行定期抽检。5DB13/T2517—2017b)APP客户端上包含“i-hebei”无线网络所有合法AP的信息，当连接AP时进行比对，防止连接到非法AP；c)d)对未通过认证的上网终端禁止访问互联网，对于认证成功的上网终端允许访问互联网；上网终端若一段时间无上网操作，应将其强制下线，时间段可设定。认证安全本项目要求包括但不限于：a)提供对接入侧内各类终端无线上网认证的途径，主要包括Portal认证、移动终端APP认证等方式，且认证信息应具备一定的有效时长，若超时则验证码失效，且时长可设定；Portal应采用HTTPS等加密方式登录页面，或基于数字证书的安全接入认证系统；采用移动终端APP身份认证方式时，用户账号必须经过真实身份验证或者手机号码绑定；采用其他认证方式，必须符合经过真实身份验证或者手机号码绑定等管理要求；认证信息与无线上网终端绑定关系异常时，应重新进行认证。b)c)d)e)安全审计本项目要求包括但不限于：a)b)c)d)系统应使用取得互联网公共上网服务场所无线接入产品《计算机信息系统安全专用产品销售许可证》的安全审计产品；应对用户认证信息、上网行为进行严格审计，审计记录应具备记录终端上下线、上网行为的功能，提供安全可控的审计追溯能力，且符合国家相关要求；应对保存的上下线审计记录和上网日志信息加以保护，保证日志信息不被修改，并能防止非授权用户的访问，日志信息应至少保存6个月；系统应具备对无线网络中的非法假冒AP、DoS攻击、私接AP等威胁进行识别、告警的措施，并有响建立完善岗位信息安全责任制度及信息安全管理制度体系，明确岗位及人员的信息安全责任；应成立安全保障工作小组，组长应为运营企业主要负责人。有效预防“i-hebei”无线网络带来的安全风险，建立风险告知制度，对用户使用“i-hebei”无线网络可能存在的风险给予事先告知；6DB13/T2517—2017a)b)c)应建立信息安全应急响应机制，分类分级处理不同的安全突发事件；应定期对系统运营进行风险评估和应急响应演练；应定期对应急响应机制进行评估和完善。安全评测运营系统整体应达到信息安全等级保护3级及以上要求，并按相关要求进行安全测评。6.4.3运营维护日常维护本项目要求包括但不限于：a)各运营企业应对“i-hebei”无线网络专用宽带远程接入服务器（BRAS）、汇聚交换机等设备的性能进行实时监控，并有告警和响应机制；b)c)各运营企业应第一时间处理用户投诉的重点问题；各运营企业对重要接入参数的变更需会同维护人员进行讨论确定，不得私自变更。内容监管本项目要求包括但不限于：a)各运营企业应加强平台运营内容监管，建立内容发布管理制度，明确内容审核及发布的人员职责；b)各运营企业应建立审批流程，严格内容审核，禁止发布及推送非法内容。7“i-hebei”业务运营企业应建立健全服务质量管理体系，依照本标准，向公众提供免费WiFi服务。“i-hebei”运营企业应派专人负责，为第三方检测平台提供相应的数据接口，保证检测数据的准确性“i-hebei”运营企业检修线路、设备搬迁、工程割接、网络及软件升级等可预见的原因，影响或7DB13/T2517—2017运营企业停止提供“i-hebei”服务时，应向主管部门报备，并提前60日发布通知，妥善做好善后工作。7.5客户服务应答建立沟通机制7.5.1“i-hebei”运营企业应建立与用户沟通的渠道和制度，听取用户的意见和建议，自觉改善服务工作。7.5.2服务受理“i-hebei”运营企业应向用户提供业务咨询、查询和障碍申告受理等服务，并采取公布监督电话等形式，受理用户投诉。7.5.3应答时限对于用户关于“i-hebei”服务方面的投诉，运营企业应在接到用户投诉之日起5个工作日内答复用户。在服务方面与用户发生纠纷的，在纠纷解决前，应当保存相关原始资料。7.67.7服务质量评价总体要求由第三方检验检测机构对“i-hebei”无线局域网进行网络质量检测评价，同时，“i-hebei”运营企业应在企业内部建立服务质量自我检查制度，由专职安全检查人员和质量检验人员组成检查小组，定期对无线网络服务质量进行检查，对发现的问题应及时改进和处理。用户指标针对用户对“i-hebei”网络的使用情况进行评估，包括用户数、用户使用时长、用户满意度等；详细评估内容见附录C。第三方检验检测机构根据上报数据，结合现场抽查验证，进行结果统计分析，对网络质量、网络8DB13/T2517—2017附录A（规范性附录）无线接入现场验收要求A.1无线接入现场验收要求见表A.1。表A.1无线接入现场验收要求序号类别指标验收内容和要求123456信道信号强度信噪比在95%覆盖范围内，信道信号强度≥-75dBm在AP接入点附近（≤5米），信噪比≥25dB信号覆盖连通性从终端pingAC或AC上连端口的IP地址，应全部连通30个并发用户情况下，用户平均下行吞吐率不低于2Mbps30个并发用户情况下，用户平均上行吞吐率不低于1Mbps发送ICMP1024字节测试数据包（不少于100个），数据包丢失率≤5％下行吞吐率上行吞吐率丢包率网络性能发送ICMP1024字节数据包（不少于100个），对本地网络进行ping测试，平均往返延迟≤50ms7延迟时间核心机房应达到GB/T2887标准中A级机房的相关要求；具有抵御拒绝服务攻击、欺骗攻击等功能，确保同一个AP下终端的安全隔离1011应用安全防护认证信息和业务敏感数据应加密存储无线局域网的建设文档应齐全9DB13/T2517—2017附录B（规范性附录）APP客户端建设要求B.1APP客户端建设要求见表B.1。表B.1服务质量评价要求序号检测类检测指标检测内容检测要求公共场所【1】免费开放（免费开放WiFi有效覆盖的公共场所【2】数/公共1100%WiFi有效覆盖率场所个数）*100%存量AP免费开放数（本市存量AP以免费形式对公众开放数量）网络覆盖全省排名全省排名>98%公共场所AP免费开放2数量增量AP免费开放数（本市增量AP以免费形式对公众开放数量）[1-（AP非运行总时长【3】/（AP数量*统计时345AP设备完好率长）]*100%无线终端发起数据连接建立请求并成功建立连接的次数/无线终端发起数据连接建立请求总次数在无线接入网络覆盖范围内，手机、PAD等各类无线终端接入网络的时间无线网络接入成功率无线网络接入时间>95%≤20秒平均上行/下行速率78无线网络开放时长全省漫游（本地一次注册全省漫游使用，即免二次注册）平台互联互通（河北省各市自有平台与i-heibei平台互联互通）网站投票满意（含一般）投票数+实地抽查满意（含一般）投票数）/总抽查投票数*100%10DB13/T2517—2017附录C（规范性附录）服务质量评价要求C.1服务质量评价要求见表C.1。表C.1APP客户端建设要求序号类别子类别内容APP客户端应使用同一的前级名称“i-hebei”，后缀名可自行设计、1234名称应简短易懂，不得与第三方知名应用混淆命名规范APP客户端名称中只可包含以下字符：英文字母、阿拉伯数字、小数点“.”、中衡杠“-”、下