无线WIFI接入端最新要求内容

1、本标准规定了互联网公共场所无线上网平安管理系统无线上网接入场所端的平安技术要求。 本标准适用于互联网公共场所无线上网平安管理系统无线上网接入场所端的设计、开发和检测。1.1 上网管理上网用户管理应具备互联网访问管理功能，具体要求如下：a) 对未通过认证的上网终端禁止访问互联网，对于认证成功的上网终端允许访问互联网；b) 上网终端假设一段时间无上网操作，应将其强制下线，时间段可设。上网人员身份认证应提供对场所各类终端无线上网认证的途径，主要包括上网人员通过 和短消息认证、移动终 端APF认证、自助认证等方式中的一种或者多种进展认证上网，认证信息具备一定的有效时长，假设超 过时长那么验证码失效。

2、短消息认证方式应具备采用WE页面认证或者移动APP认证的方式，上网用户通过输入 和短消息验证码的方式 进展认证上网，无效 短消息验证码禁止通过认证。a) 对于已认证成功的移动终端，应建立 和终端MAC的绑定关系，通过和 APP认证中心的数据交换，使该终端在所有使用APP认证方式的场所实现统一免认证上网；b) 对 和MAC地址绑定关系应提供定期强制重新绑定；c) 对于更换 、MAC地址和 绑定关系异常的终端，应重新进展认证；自助件认证应提供自助身份认证方式，上网人员可通过自助读取或其他件的电子身份信息以获取上网认证凭 证，无线上网场所端通过识别比对上网人员输入的认证凭证，进展有效的上网认证。第三

3、方APP身份认证方式应提供第三方APFt份认证方式，该APP勺用户账号必须经过真实身份验证或者 绑定。其他认证方式无线上网场所端除具备上述三种认证方式以外，可具备其他认证方式，该认证方式必须符合经过 真实身份验证或者 绑定等管理要求。终端上下线日志记录应具备记录终端上下线的日志功能，根据不同的上网认证方式，记录不同的日志信息容：a) 对于 短消息认证方式，应记录容如下表322-1所示，数据交换格式参考附录A；表3.1.2-1 短消息认证方式上下线日志记录序号记录容备注1认证类型2认证3上网效劳场所编码4上线时间5下线时间6场所网IP地址7源外网IPv4/IPv6地址8源外网IPv4/IPv6起

4、始端口号9源外网IPv4/IPv6完毕端口号10终端MAC地址11AP设备编号12AP 设备 MAC地址13移动AP经度14移动AP纬度15场强16会话ID17X坐标可选X表示正向18Y坐标可选Y表示正北方向b)对于第三方APP认证方式，应记录容如下表322-2所示，数据交换格式参考附录A;表3.1.2-2 第三方APP认证方式上下线日志记录骨口. 序号记录容备注1认证类型2认证3APP厂商名称4APP应用软件名称5APP版本号6APP终端认证码7上网效劳场所编码8场所类型9上线时间10下线时间11终端MAC地址12场所网IP地址13源外网IPv4/IPv6 地址14源外网IPv4/IPv6

5、起始端口号15源外网IPv4/IPv6完毕端口号16AP设备编号17AP 设备 MAC地址18移动AP经度19移动AP纬度20场强21会话ID22X坐标可选X表示正向23Y坐标可选Y表示正北方 向24终端IMSI码可选25终端IMEI码可选26终端操作系统版本可选27终端品牌可选28终端型号可选c)对于自助认证方式，应记录容如下表所示，数据交换格式参考附录A;表3.1.2-3自助件认证方式上下线日志记录骨口. 序号记录容备注1认证类型2认证3件类型4件5上网人员6上网效劳场所编码7场所类型8上线时间9下线时间10场所网IP地址11源外网IPv4/IPv6地址12源外网IPv4/IPv6起始端口

6、号13源外网IPv4/IPv6完毕端口号14终端MAC地址15AP设备编号16AP 设备 MAC地址17移动AP设备经度18移动AP设备纬度19场强可选20会话ID21X坐标可选X表示正向22Y坐标可选Y表示正北方向所示,d)应记录场所端根底数据，容如下表、3.1.数据交换格式参考附录A；3.1.2-4场所根底信息序号记录容备注1上网效劳场所编码2上网效劳场所名称3场所详细地址包括省市区县路 /弄号4场所经度5场所纬度6场所效劳类型7场所经营性质8场所经营法人序号记录容备注9经营法人有效证件类型10经营法人有效证件11联系方式12营业开始时间女口： 08: 0013营业完毕时间女口： 22:

7、3514场所网络接入方式15场所网络接入效劳商16网络接入账号或固定IP地址17平安厂商组织机构代码3.1.2-5平安厂商根底信息序号数据项中文名称说明1厂商名称2厂商组织机构代码3厂商地址4联系人5联系人6联系人3.1.2-6 AP设备公共根底信息序号数据项中文名称说明1AP设备编号2AP设备MAC地址3上网效劳场所编码3.1.2-7 固定AP设备根底信息序号数据项中文名称说明4AP设备MAC地址5AP设备经度6AP设备纬度7楼层商场、购物中 心、站台为必 填，女口 B1，L13.1.2-8 移动AP设备根底信息序号数据项中文名称说明4站点信息5地铁线路信息可选轨道交通、地 铁必填6地铁车辆

8、信息可选7地铁车厢编号可选8车牌可选车辆必填，如沪#1111e) 应对暂存在本地的上下线日志记录中的敏感信息加以保护;f) 保证日志记录不被修改，并能防止非授权用户的访问；g) 数据完成上报之后本地禁止留存。上网日志记录应记录公共上网效劳场所各终端的上网日志信息：a) 日志信息至少应满足如下表要求，数据交换格式参考附录A；表上网日志记录信息骨口. 序号记录容1日志记录时间2会话ID3网络应用效劳类型4场所网IP地址5场所网端口号6源外网IPv4/IPv6地址7源外网IPv4/IPv6起始端口号8源外网IPv4/IPv6完毕端口号9目的公网IPv4/IPv6 地址10目的公网IPv4/IPv6

9、端口号11终端MAC地址12上网效劳场所编码13AP设备编号14移动AP设备经度15移动AP设备纬度b) 应对暂存在本地的上网记录中的敏感信息加以保护；c) 应保证日志记录不被修改，并能防止非授权用户的访问；d) 数据完成上报之后本地禁止留存。1.2 平安审计设备的接入接入方式应具备旁路镜像、透明网桥或者网关路由等模式中的一种或者多种接入场所网络出口，实现对场 所上网流量的审计，具体要求如下：a) 旁路镜像接入：将设备的数据监控口连接在交换机的镜像端口上，通过交换机对场所互联网 主干通道的数据镜像审计场所端上网的流量；b) 透明网桥接入：将设备以网桥方式串接在场所端访问互联网的主干通道上，对流

10、经设备的上 网流量进展审计；c) 网关路由接入：将设备部署成场所端局域网连接互联网的出口网关设备或路由器，对流经设 备的上网流量进展审计。网络性能影响场所端设备接入场所端网络后，不能影响场所端原有网络设备和上网终端的功能；对于在线模式 部署的场所端设备，不能影响原网络系统的传输性能，延时下降率不能超过10%1.3 自身平安保障标识与鉴别应具备自身标识与鉴别功能，具体要求如下：a) 应提供授权管理员鉴别数据初始化的功能。b) 应保护存储于设备中的鉴别数据不受未授权查阅、修改和破坏。c) 应能够在鉴别尝试失败一定次数以后，终止用户建立会话的过程。d) 应鉴别任何通过系统控制口履行授权管理员功能的管

11、理员身份。系统操作日志应具备系统操作日志记录和保护功能，具体要求如下：a) 应记录控制通道用户的操作信息，包括管理员登录/退出，系统配置操作等；b) 应防止非授权用户访问日志记录；c) 应以技术措施保证日志记录不被修改和删除；d) 应支持本地或者联网查询系统操作日志。设备自身保护功能应具备自身保护功能：a) 设备的底层操作系统不提供多余的网络效劳，不开放多余的网络端口；b) 设备具备一定的抵御网络攻击能力，能够抵御SYN flood、Ping of death 和UDP flood等根本的拒绝效劳攻击。1.4 远程通讯管理端的数据交换终端上下线日志记录数据的上传应即时向管理后台上传认证数据和上网人员终端上下线数据，在网络正常的情况下，从上网人员认证、上网终端上线或下线动作发生至管理后台接收到数据的时间间隔不超过30s。上网日志记录上传应向管理后台即时上传上网记录，在网络条件正常的情况下，上网人员上网记录日志开始上传至 管理后台接