管理制度-中国移动WLAN设备通用安全功能和配置规范V3XXXX0522 精品.doc

XXXX-XX-XX（修订）XXXX-XX-XX 发布中国移动WLAN设备安全功能和配置规范Specification for Security Function and Configuration of WLAN Devices Used in China Mobile版本号：3.0.0网络与信息安全规范编号:中国移动通信集团公司 发布 中国移动设备AP控制器安全功能和配置规范目录1概述11.1适用范围11.2内部适用性说明11.3外部引用说明11.4术语和定义11.5符号和缩略语22WLAN设备安全功能和配置要求22.1账号管理及认证授权要求22.1.1账号安全要求22.1.2口令安全要求32.1.3授权安全要求42.2日志安全要求52.3IP协议安全要求62.4设备其他安全要求72.5WLAN网络业务功能要求82.5.1无线标准支持要求82.5.2WLAN认证功能要求82.5.3WLAN数据加密功能92.5.4无线参数设定功能92.5.5设备管理功能92.5.6网络配置功能92.5.7接入控制功能102.5.8信息监控功能102.5.9无线控制器安全配置要求102.5.10无线接入点安全配置要求122.5.11热点交换机安全配置要求132.5.12Portal系统安全功能要求152.5.13Radius服务器安全功能要求16前言为了贯彻安全三同步的要求，在设备选型、入网测试、工程验收以及运行维护等环节，明确并落实安全功能和配置要求。有限公司组织部分省公司编制了中国移动设备安全功能和配置系列规范。本系列规范可作为编制设备技术规范、设备入网测试规范，工程验收手册，局数据模板等文档的依据。本规范是该系列规范之一，明确了中国移动各类型设备所需满足的通用安全功能和配置要求，并作为本系列其他规范的编制基础。本标准起草单位：中国移动通信有限公司网络部本标准解释单位：同提出单位本标准主要起草人：严晗、申健、李小雪、翟庆庆 中国移动AC安全功能和配置规范1 概述1.1 适用范围本规范适用于中国移动通信网、业务系统和支撑系统的各类WLAN设备。本规范对上述WLAN设备明确了基本的安全要求。本规范作为编制WLAN设备技术规范、WLAN设备入网测试规范，工程验收手册，局数据模板等文档的依据。本规范通用安全功能和配置要求部分，适用于所有WLAN系统设备；之后的安全功能和配置要求部分，分别适用于WLAN系统对应的设备类型。1.2 内部适用性说明本规范是在中国移动设备通用设备安全功能和配置规范（以下简称通用规范）各项设备功能要求的基础上，提出的WLAN设备的安全功能要求。以下列出本规范新增的安全功能要求，如下：1.3 外部引用说明中国移动网络与信息安全总纲中国移动内部控制手册中国移动标准化控制矩阵1.4 术语和定义设备功能要求：描述规范适用范围内设备必须和推荐满足的最低安全功能要求。可作为编制设备技术规范、设备测试规范的依据。在设备入网测试时使用。设备配置要求：描述规范适用范围内设备必须和推荐采用的配置要求。可作为编制工程验收手册、局数据模板的依据。在工程验收和运行维护时采用。设备功能要求是实现设备配置要求的基础。1.5 符号和缩略语缩写英文描述中文描述APAccess Point接入点ACAccess Point Controller接入控制器RADIUSRemote Authentication Dial In User Service远程用户拨号认证系统BRASBroadband Remote Access Server宽带远程接入服务器1.6 编制历史版本号更新时间编制人主要内容或重大修改1.0.0201020XX-6新建2.0201120XX-2AC与AP部分进行单列3.0201120XX-4增加了WLAN系统交换机、radius、portal部分2 WLAN设备通用安全功能和配置要求本规范所指的设备为Wi-Fi使用的WLAN设备。本规范提出的安全功能要求要求，在未特别说明的情况下，均适用于各类WLAN设备。本规范从WLAN设备的认证授权功能、安全日志功能以及IP网络安全功能，其他自身安全配置功能和WLAN具体设备类型提出安全要求。2.1 账号管理及认证授权要求认证功能用于确认登录WLAN的用户真实身份。认证功能的具体实现方式包括静态口令、动态口令、指纹等生物鉴别技术等。授权功能赋予系统账号的操作权限，并限制用户进行超越其账号权限的操作。账号口令管理功能是实现正确认证和授权的基础。对于存在字符或图形界面（WEB界面）的人机交互的WLAN设备，应提供账号管理及认证授权功能，并应满足以下各项要求。2.1.1 账号安全要求功能要求：编号内容安全要求-设备-WLAN-功能-1 WLAN设备应能支持按用户分配账号。安全要求-设备-WLAN-功能-2WLAN设备应支持增加、删除、锁定、修改账号功能。安全要求-设备-WLAN-功能-3WLAN应能够限制允许远程登录的账号。配置要求：编号内容安全要求-设备-WLAN-配置-1WLAN应按照用户分配账号。避免不同用户间共享账号。安全要求-设备-WLAN-配置-2WLAN应删除或锁定与设备运行、维护等工作无关的账号。安全要求-设备-WLAN-配置-3WLAN应限制具备管理员权限的用户远程登录。远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到管理员权限账号后执行相应操作。2.1.2 口令安全要求功能要求：编号内容安全要求-设备-WLAN-功能-4对于采用静态口令认证技术的WLAN设备，应支持数字、小写字母、大写字母和特殊符号4类字符构成的口令。应支持配置口令复杂度检查。在配置了复杂度后检查，WLAN设备自动拒绝用户设置不符合复杂度要求的口令。安全要求-设备-WLAN-功能-5对于采用静态口令认证技术的WLAN设备，应支持按天配置口令生存期功能。在配置了口令生存期后，WLAN设备在口令超过生存期的用户登录时，应提示并强迫该用户设置新口令。安全要求-设备-WLAN-功能-6对于采用静态口令认证技术的WLAN设备，应支持配置用户不得重复使用其最近已用口令的功能。当配置相应功能后，WLAN设备拒绝用户重复使用在限制次数内的口令，具体限制次数可配置。安全要求-设备-WLAN-功能-7对于采用静态口令认证技术的WLAN设备，应支持配置用户连续认证失败次数上限。当用户连续认证失败次数超过上限时，WLAN设备自动锁定该用户账号。必须由其他账号，通常为具有管理员权限的账号，才可以解除该账号锁定安全要求-设备-WLAN-功能-8对于采用静态口令认证技术的WLAN设备，必须支持口令修改，口令修改后不影响设备中业务的正常使用。安全要求-设备-WLAN-功能-9对于采用静态口令认证技术的WLAN设备，支持静态口令加密存放。安全要求-设备-WLAN-功能-10WLAN设备应具备密码字典能力，能够进行弱密码检测，对于用户设置预先配置在弱密码列表中的弱密码进行密码设置拒绝。安全要求-设备-WLAN-功能-11WLAN设备应支持设备之间需要进行用户名、密码配置的，密码应密文处理存放，同时密码可以修改，且修改后不影响相关业务和直接关联系统业务的运行。配置要求：编号内容安全要求-设备-WLAN-配置-4对于采用静态口令认证技术的WLAN，口令长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。安全要求-设备-WLAN-配置-5对于采用静态口令认证技术的WLAN，账户口令的生存期不长于90天。安全要求-设备-WLAN-配置-6对于采用静态口令认证技术的WLAN，应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令。安全要求-设备-WLAN-配置-7对于采用静态口令认证技术的WLAN，应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。2.1.3 授权安全要求功能要求：编号内容安全要求-设备-WLAN-功能-12WLAN应支持对不同用户授予不同权限。安全要求-设备-WLAN-功能-13对于用户可通过人机交互界面访问文件系统的WLAN设备，应支持对文件系统中的目录和文件，给不同用户或用户组分别授予读、写、执行权限。配置要求：编号内容安全要求-设备-WLAN-配置-12在WLAN权限配置能力内，根据用户的业务需要，配置其所需的最小权限。安全要求-设备-WLAN-配置-13对于用户可通过人机交互界面访问文件系统的WLAN，在WLAN权限配置能力内，根据用户的业务需要，对文件系统中的目录和文件，给不同用户或用户组分别授予读、写、执行的最小权限。安全要求-设备-WLAN-配置-14不采用安全要求-设备-WLAN-配置-15不采用2.2 日志安全要求功能要求：编号内容安全要求-设备-WLAN-功能-16WLAN设备日志应支持对用户登录/登出进行记录。记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。安全要求-设备-WLAN-功能-17WLAN设备日志应支持记录用户对设备的操作，包括但不限于以下内容：账号创建、删除和权限修改，口令修改，读取和修改设备配置，读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。记录需要包含用户账号，操作时间，操作内容以及操作结果。安全要求-设备-WLAN-功能-18WLAN设备应支持远程日志功能。所有设备日志均能通过远程日志功能传输到日志服务器。设备应支持至少一种通用的远程标准日志接口，如SYSLOG、FTP等。安全要求-设备-WLAN-功能-19WLAN设备日志应支持记录与WLAN相关的安全事件。安全要求-设备-WLAN-功能-20WLAN设备应能够按账号分配日志文件读取、修改和删除权限，从而防止日志文件被篡改或非法删除。安全要求-设备-WLAN-功能-21日志保存时间应满足：通过WLAN设备本地端口直接操作的系统操作日志本地保存不小于7天。配置要求：编号内容安全要求-设备-WLAN-配置-16WLAN设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。安全要求-设备-WLAN-配置-17 WLAN设备应配置日志功能，记录用户对设备的操作，包括但不限于以下内容：账号创建、删除和权限修改，口令修改，读取和修改设备配置，读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。记录需要包含用户账号，操作时间，操作内容以及操作结果。安全要求-设备-WLAN-配置-18WLAN设备应配置远程日志功能，将需要重点关注的日志内容传输到日志服务器。安全要求-设备-WLAN-配置-19