2024无线上网安全审计系统

前 范 规范性引用文 术语和定 命名规 上网管 安全审计设备的接 远程通讯管理端的数据交 测试工 检验规 检验分 抽样批次和方 本文件规定了无线上网安全审计系统的命名规则、功能要求、测试方法和检验规则。本文件适用于无线上网安全审计系统的研发设计。下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GA/WA3011.1—2015GB/T2828.1—2012计数抽样检验程序第1AQL无线上网安全审计系统命名规则如下图1所示。×××11151.2通则应提供对场所内各类终端无线上网认证的途径，主要包括上网人员通过手机号码和短消息认证、移动终端APP认证、自助身份证认证等方式中的一种或者多种进行认证上网，认证信息具备一定的有效时长，若超过时长则验证码失效。应具备釆用WEB页面认证或者移动APP认证的方式，上网用户通过输入手机号码和短消息验证码 对于已认证成功的移动终端，应建立手机号码和终端MAC的绑定关系，通过和APP认证中心APP认证方式的场所实现统一免认证上网；对手机号码和MAC对于更换手机号码、MAC应提供自助身份认证方式，上网人员可通过自助读取身份证或其他身份证件的电子身份信息以获取上网认证凭证，无线上网场所端通过识别比对上网人员输入的认证凭证，进行有效的上网认证。第三方APP应提供第三方APP身份认证方式，该APP无线上网场所端除具备上述三种认证方式以外，可具备其他认证方式，该认证方式必须符合经过真实身份验证或者手机号码绑定等管理要求。1.3 1GA/WA3011.1—2015A；表1手机短消息认证方式上下线日志记录（续APAP设备MAC移动AP移动APX（可选XY（可选Y 对于第三方APP认证方式，应记录内容如表2所示，数据交换格式参考GA/WA3011.1—2015A；表2第三方APPAPPAPPAPP终端MACAP表2第三方APP（续AP设备MAC移动AP移动APX（可选XY（可选Y 3GA/WA3011.1—2015A；表3表3自助身份证件认证方式上下线日志记录（续终端MACAPAP设备MACAPAPX（可选XY（可选Y 45678GA/WA3011.1—2015中附录A；4场所基础信息4场所基础信息（续5安全厂商基础信息6APAPAP设备MAC7固定APAP设备MACAPAP8移动AP车辆必填，如沪51.49GA/WA3011.1—20159上网日志记录信息场所内网IPAPAPAP应对暂存在本地的上网记录中的敏感信息加以保护应具备旁路镜像、透明网桥或者网关路由等模式中的一种或者多种接入场所网络出口，实现对场所上网流量的审计，具体要求如下： 旁路镜像接入：将设备的数据监控口连接在交换机的镜像端口上，通过交换机对场所互联网主干通道的数据镜像审计场所端上网的流量； 透明网桥接入：将设备以网桥方式串接在场所端访问互联网的主干通道上，对流经设备的上网流量进行审计； 网关路由接入：将设备部署成场所端局域网连接互联网的出口网关设备或路由器，对流经设备的上网流量进行审计。场所端设备接入场所端网络后，不能影响场所端原有网络设备和上网终端的功能；对于在线模式部署的场所端设备，不能影响原网络系统的传输性能，延时下降率不能超过10%。设备的底层操作系统不提供多余的网络服务，应即时向无线管理后台上传认证数据和上网人员终端上下线数据，在网络正常的情况下，从上网人员认证、上网终端上线或下线动作发生至无线管理后台接收到数据的时间间隔不超过30s。应向无线管理后台即时上传上网记录，在网络条件正常的情况下，上网人员上网日志记录开始上传至无线管理后台接收到数据的时间间隔应不超过30s。应保证违法信息过滤策略在被正确接收后的60s应保证与无线管理后台数据传输的保密性、1WFBBPS上网用户管理6.2111 使用上网终端连接目标网络，不通过身份认证或通过错误的鉴别信息进行认证后，尝试访问互联网，若访问成功，则本项判为不符合； 上网人员身份认证 尝试通过产品提供的身份认证方式进行认证，若未提供上网人员通过手机号码和短消息认证、移动终端APP认证、自助身份证认证等方式中的一种或者多种，则本项判为不符合； 尝试通过产品提供的身份认证方式进行认证并获取验证码，达到超时时间后尝试进行身份认6.211.3 尝试通过产品提供的手机短消息认证方式进行认证，若不具备釆用WEB页面认证或者移动APP 通过移动APPAPP尝试对手机号码和MAC 对于更换手机号码、MAC地址和手机号码以及MAC地址和手机号码绑定关系异常，若不能重6.21 尝试不通过自助读取身份证或其他身份证件的电子身份信息获取上网认证凭证进行上网认证，若认证成功，则本项判为不符合。6.211.5APP尝试通过第三方APP 尝试使用未进行真实身份验证或者手机号码绑定的第三方APP6.211.6尝试通过其他认证方式进行认证，若使用未进行真实身份验证或者手机号码绑定的方式即可认证成功，则判为不符合。 釆用第三方APP 釆用自助身份认证方式进行身份认证，并进行上下线操作，若不能生成上下线日志或日志内容不正确，则本项判为不符合；若不能生成场所端基础数据或日志内容不正确， 若上下线日志记录的数据交换格式不符合GA/WA3011.1—2015中附录A的要求，则本项判为 使用终端通过身份认证并访问互联网，若未记录终端的上网日志信息或日志内容不正确，则本项判为不符合； 若上网日志记录的数据交换格式不符合GA/WA3011.1—2015A的要求，则本项判为不分别尝试以旁路镜像、透明网桥或者网关路由等模式接入安全审计设备，若不具备旁路镜像、透明网桥或者网关路由等模式中的一种或者多种方式，则判为不符合。 分别尝试以旁路镜像、透明网桥或者网关路由等模式接入安全审计设备，正常运行，若设备接入场所端网络后影响场所端原有网络设备和上网终端的功能，则本项判为不符合； 对于在线模式部署的场所端设备，若影响原网络系统的传输性能，延时下降率超过10%，则本项判为不符合。 设置鉴别失败尝试次数（或内置鉴别尝试失败达到该次数以后，尝试以正确的用户名和鉴别信息进行鉴别，若不能终止用户建立会话的过程，则本项判为不符合； 使用未授权用户尝试不经过鉴别即通过系统控制口履行授权管理员功能，若成功，则本项判为不符合。 对产品进行安全性测试，若产品的底层操作系统提供多余的网络服务，或者开放多余的网络端口，则本项判为不符合； SYNflood、PingofdeathUDPflood使用终端进行认证，并生成上下线数据，若从上网人员认证、上网终端上线或下线动作发生至无线管理后台接收到数据的时间间隔＞30s，则判为不符合。使用终端进行认证，并生成上网数据，若从上网人员上网日志记录开始上传至无线管理后台接收到数据的时间间隔应＞30s，则判为不符合。 分析数据并与实际的终端上下线和上网等事件比对，若不一致或数据交换时没有完整性和一致性相关安全性保障，则本项判为不符合。 调整场所端系统时钟与管理后台系统的时钟，使其差距一段时间，尝试进行时间同步操作，若不能同步或者同步误差＞ls，则本项判为不符合； 尝试进行集中远程升级操作，若不能对升级进行集中式管理，或者在网络正常