YD/T 2696-2014
标准分类号
关联标准
出版信息
相关单位信息
标准简介
YD/T 2696-2014.Security protection requirements for public wireless local area network.
1范围
YD/T 2696规定了公众无线局域网分安全保护等级的安全防护要求,涉及到业务安全、设备及软件系统安全、网络安全、物理环境安全和管理安全。
YD/T 2696适用于基础电信业务经营者和增值电信业务经营者建设或者运营的公众无线局域网。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
YD/T 1731-2008《 电信网和互联网灾难备份及恢复实施指南》
YD/T 1754-2008《电信网 和互联网物理环境安全等级保护要求》
YD/T 1756-2008《电信网和互联网管理安全等级保护要求》
YD/T 2698-2014《电信网 与互联网安全防护基线配置要求及检测要求网络设备》
YD/T 2700-2014《电信网 与互联网安全防护基线配置要求及检测要求数据库》
YD/T 2701-2014《电信网 与互联网安全防护基线配置要求及检测要求操作系统》
3术语、定义积缩略语
3.1术语和定义
下列术语和定义适用于本文件.
3.1.1
无线局域网 Wireless Local Area Networks
采用无线工作方式,空中接口采用载波侦听多路访问/碰撞避免(CSMACA)技术实现共享媒质接入控制的一种局城网技术。无线局域网只涉及空中接口的物理层(PHY)和媒质接入控制层(MAC),对上层协议透明。无线局域网一般工作在2.4GHz或5.8GHz频段。在本标准中,无线局域网指空中接口采用IEEE802.11标准族规定的空中接口协议。
1范围
YD/T 2696规定了公众无线局域网分安全保护等级的安全防护要求,涉及到业务安全、设备及软件系统安全、网络安全、物理环境安全和管理安全。
YD/T 2696适用于基础电信业务经营者和增值电信业务经营者建设或者运营的公众无线局域网。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
YD/T 1731-2008《 电信网和互联网灾难备份及恢复实施指南》
YD/T 1754-2008《电信网 和互联网物理环境安全等级保护要求》
YD/T 1756-2008《电信网和互联网管理安全等级保护要求》
YD/T 2698-2014《电信网 与互联网安全防护基线配置要求及检测要求网络设备》
YD/T 2700-2014《电信网 与互联网安全防护基线配置要求及检测要求数据库》
YD/T 2701-2014《电信网 与互联网安全防护基线配置要求及检测要求操作系统》
3术语、定义积缩略语
3.1术语和定义
下列术语和定义适用于本文件.
3.1.1
无线局域网 Wireless Local Area Networks
采用无线工作方式,空中接口采用载波侦听多路访问/碰撞避免(CSMACA)技术实现共享媒质接入控制的一种局城网技术。无线局域网只涉及空中接口的物理层(PHY)和媒质接入控制层(MAC),对上层协议透明。无线局域网一般工作在2.4GHz或5.8GHz频段。在本标准中,无线局域网指空中接口采用IEEE802.11标准族规定的空中接口协议。
标准图片预览
标准内容
ICS33.040
中华人民共和国通信行业标准
YD/T2696-2014
公众无线局域网安全防护要求
Security protection requirementsforpublicwireless local areanetwork2014-10-14发布
2014-10-14实施
中华人民共和国工业和信息化部发布前言
1范围·
2规范性引用文件
3术语、定义和缩略语·
3.1术语和定义··
3.2缩略语
4PWLAN安全防护概述
4.1PWLAN安全防护范围.
PWLAN安全风险分析
4.3PWLAN安全防护内容
5PWLAN安全防护要求·
第1级要求
第2级要求
5.3第3级要求·
5.4第4级要求
5.5第5级要求
附录A(规范性附录)PWLAN风险分析目
YD/T2696-2014
YD/T2696-2014
本标准是“电信网和互联网安全防护体系”系列标准之一,该系列标准的结构及名称预计如下:1.《电信网和互联网安全防护管理指南》2.《电信网和互联网安全等级保护实施指南》3.《电信网和互联网安全风险评估实施指南》4.《电信网和互联网灾难备份及恢复实施指南》5.《固定通信网安全防护要求》6.《移动通信网安全防护要求》7.《互联网安全防护要求》
8.《增值业务网一消息网安全防护要求》9.《增值业务网一智能网安全防护要求》10.《接入网安全防护要求》
11.《传送网安全防护要求》
12.《IP承载网安全防护要求》
13.《信令网安全防护要求》
14.《同步网安全防护要求》
15.《支撑网安全防护要求》
16.《非核心生产单元安全防护要求》17.《电信网和互联网物理环境安全等级保护要求》18.《电信网和互联网管理安全等级保护要求》19.《固定通信网安全防护检测要求》20.《移动通信网安全防护检测要求》21.《互联网安全防护检测要求》《增值业务网一消息网安全防护检测要求》22.
《增值业务网智能网安全防护检测要求》23.
《接入网安全防护检测要求》
《传送网安全防护检测要求》
26.《IP承载网安全防护检测要求》27.《信令网安全防护检测要求》28.《同步网安全防护检测要求》29.《支撑网安全防护检测要求》30.《非核心生产单元安全防护检测要求》日
31.《电信网和互联网物理环境安全等级保护检测要求》32.电信网和互联网管理安全等级保护检测要求》33.《域名系统安全防护要求》
34.&域名系统安全防护检测要求》35.《网上营业厅安全防护要求》36。《网上营业厅安全防护检测要求》37.《WAP网关系统安全防护要求》38.《WAP网关系统安全防护检测要求》39.《电信网和互联网信息服务业务系统安全防护要求》40.《电信网和互联网信息服务业务系统安全防护检测要求》41.《增值业务网即时消息业务系统安全防护要求》42.《增值业务网即时消息业务系统安全防护检测要求》43.《域名注册系统安全防护要求》44.《域名注册系统安全防护检测要求》45.《移动互联网应用商店安全防护要求》46.《移动互联网应用商店安全防护检测要求》47.《互联网内容分发网络安全防护要求》48.《互联网内容分发网络安全防护检测要求》《互联网数据中心安全防护要求》49.
50.《互联网数据中心安全防护检测要求》51.《移动互联网联网应用安全防护要求》52.
《移动互联网联网应用安全防护检测要求》53.《公众无线局域网安全防护要求》(本标准)54.《公众无线局域网安全防护检测要求》55.电信网和互联网安全防护基线配置要求及检测要求网络设备》56.《电信网和互联网安全防护基线配置要求及检测要求安全设备》57.电信网和互联网安全防护基线配置要求及检测要求操作系统》58.《电信网和互联网安全防护基线配置要求及检测要求数据库》59.电信网和互联网安全防护基线配置要求及检测要求中间件》60.
《电信网和互联网安全防护基线配置要求及检测要求Web应用系统》61.《电信和互联网用户个人电子信息保护通用技术要求和管理要求》62.《电信和互联网用户个人电子信息保护检测要求》本标准与YD/TxXXx-XXXx《公众无线局域网安全防护检测要求》配套使用。YD/T2696-2014
随着电信网和互联网的发展,将不断补充和完善电信网和互联网安全防护体系的相关标准。本标准按照GB/T1.1-2009给出的规则起草。YD/T2696-2014
本标准附录A为规范性附录。
本标准由中国通信标准化协会提出并归口。本标准起草单位:工业和信息化部电信研究院、中国联合网络通信集团有限公司、中国电信集团公司、中国移动通信集团公司、北京启明星辰信息技术股份有限公司。璇、魏薇、封莎、雀
村玮、龚双瑾、卜哲、廖
涛、杨激敏、
本标准主要起草人:张彦超、谢张佳琦、王新峰、陈军、杨晓光、李祥军、崔鹏。IV
1范围
公众无线局域网安全防护要求
YD/T2696-2014
本标准规定了公众无线局域网分安全保护等级的安全防护要求,涉及到业务安全、设备及软件系统安全、网络安全、物理环境安全和管理安全。本标准适用于基础电信业务经营者和增值电信业务经营者建设或者运营的公众无线局域网。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。YD/T1731-2008
YD/T1754-2008
YD/T1756-2008
YD/T2698-2014
YD/T2700-2014
《电信网和互联网灾难备份及恢复实施指南》《电信网和互联网物理环境安全等级保护要求》《电信网和互联网管理安全等级保护要求》《电信网与互联网安全防护基线配置要求及检测要求网络设备》《电信网与互联网安全防护基线配置要求及检测要求数据库》YD/T2701-2014《电信网与互联网安全防护基线配置要求及检测要求操作系统》3术语、定义和缩略语
3.1术语和定义
下列术语和定义适用于本文件。3.1.1
无线局域网WirelessLocalAreaNetworks采用无线工作方式,空中接口采用载波使听多路访问/碰撞避免(CSMA/CA)技术实现共享媒质接入控制的一种局域网技术。无线局域网只涉及空中接口的物理层(PHY)和媒质接入控制层(MAC),对上层协议透明。无线局域网一般工作在2.4GHz或5.8GHz频段。在本标准中,无线局域网指空中接口采用IEEE802.11标准族规定的空中接口协议。3.1.2
公众无线局域网PublicWirelessLocalAreaNetworks利用无线局域网(WLAN)、IP、Web等技术组建并为公众提供网络接入服务的网络。3.1.3
公众无线局域网安全等级SecurityClassificationofPublicWirelessLocalAreaNetwork公众无线局域网安全重要程度的表征。重要程度可从公众无线局域网受到破坏后,对国家安全、社会秩序、经济运行、公共利益、网络和业务运营商造成的损害来衡量。3.1.4
公众无线局域网安全等级保护ClassifiedSecurityProtectionofPublicWirelessLocalAreaNetwork对公众无线局域网分等级实施安全保护。-
YD/T2696-2014
公众无线局域网安全风险SecurityRiskofPublicWirelessLocalAreaNetwork人为或自然的威胁可能利用公众无线局域网中存在的脆弱性导致安全事件的发生及其对组织造成的影响。
公众无线局域网安全风险评估SecurityRiskAssessmentofPublicWirelessLocalAreaNetwork运用科学的方法和手段,系统地分析公众无线局域网所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和安全措施。防范和化解公众无线局域网安全风险,或者将风险控制在可接受的水平,为最大限度地为保障公众无线局域网的安全提供科学依据。
公众无线局域网资产AssetofPublicWirelessLocalAreaNetwork公众无线局域网中具有价值的资源,是安全防护保护的对象。公众无线局域网中的资产可能是以多种形式存在,无形的、有形的、硬件、软件,包括物理布局、通信设备、物理线路、数据、软件、文档、规程、业务承载能力、人员、管理等各种类型的资源。公众无线局域网中的典型资产包括AC、AP、Radius、WebPortal等。
公众无线局域网威胁ThreatofPublicWirelessLocalAreaNetwork可能导致对公众无线局域网产生危害的不希望事件潜在起因,它可能是人为的,也可能是非人为的:可能是无意失误,也可能是恶意攻击。3.1.9
公众无线局域网脆弱性VulnerabilityofPublicWirelessLocalAreaNetwork脆弱性是公众无线局域网中存在的弱点、缺陷与不足,不直接对公众无线局域网资产造成危害,但可能被公众无线局域网威胁所利用从而危及公众无线局域网资产的安全。3.1.10
公众无线局域网灾难DisasterofPublicWirelessLocalAreaNetwork由于各种原因,造成公众无线局域网故障或瘫痪,使公众无线局域网支持的业务功能停顿或服务水平不可接受、达到特定的时间的突发性事件。3.1.11
公众无线局域网灾难备份BackupforDisasterRecoveryofPublicWirelessLocalAreaNetwork为了公众无线局域网灾难恢复而对相关的网络要素进行备份的过程。3.1.12
公众无线局域网灾难恢复DisasterRecoveryofPublicWirelessLocalAreaNetwork为了将公众无线局域网从灾难造成的故障或瘫状态恢复到正常运行状态或部分正常运行状态、并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态,而设计的活动和流程。3.1.13
无线破解攻击WirelessCrackAttack2
YD/T2696-2014
攻击者使用工具,通过捕获802.11报文,采用逆向算法获得WLAN网络密钥,或者通过弱口令字典,并辅以不断尝试认证,对WLAN网络进行暴力破解,达到入侵的目的。3.1.14
无线钓鱼攻击WirelessFishingAttack攻击者通过工具或者搭建软AP,在目标WLAN网络附近,构造与目标WLAN网络相同或者相近的网络,引诱被害者连接,一旦连接建立,攻击者会进一步截获被害者的网络流量,获取敏感信息。3.1.15
无线中间人攻击WirelessMan-In-The-MiddleAttack攻击者通过伪造WLAN网络标识、MAC地址等物理信息,对特定用户的无线通信进行欺骗,使得正常的通信流量流经攻击者,攻击者可以在流量中插入攻击代码或截获流量中的敏感信息,发起进一步的攻击。
无线DoS攻击WirelessDenialofServiceAttack攻击者通过向WLAN网络中发送大量伪造的认证、关联等802.11报文,从而达到让AP或AC过载的目的,使得正常用户无法接入WLAN网络:或者通过发送大量伪造的去认证,去关联等802.1I报文,拆除已经建立的WLAN连接,导致用户无法通过WLAN网络接入。3.1.17
无线注入攻击WirelessInjectionAttack攻击者通过伪造802.11报文,向WLAN网络中注入流量,例如通过注入ARPRequest(地址解析协议请求),对WLAN进行干扰,达到加快破解的目的:通过无线注入攻击,攻击者也可以伪造网络向量分配,抢占WLAN信道通信时间,实现拒绝服务攻击:攻击者也可以通过注入更为复杂的流量,达到网络欺骗的目的。
HotSpotter攻击HotspotterAttack攻击者监测WLAN网络中的探测请求,并将发现的WLAN网络与自身的WLAN热点列表进行对比,如果一旦发现匹配的WLAN网络,攻击发起者会伪造认证和关联过程,引诱用户,一且连接建立,攻击者会进一步对受害者进行毒化或扫描,并发起进一步的攻击。3.1.19
SQL注入攻击SqlInjection
SQL注入是一个代码注入技术,它利用一个Web应用程序的安全漏洞,在数据库层实施攻击。如果对用户输入的非法字符串(如Web表单递交或输入域名或页面请求的查询字符串)过滤不严谨,则会把构建的恶意SQL语句传递到数据库,欺骗服务器执行恶意的SQL命令中执行。3.1.20此内容来自标准下载网
跨站脚本攻击CrossSiteScripting一种Web应用程序的漏洞类型,能令攻击者插入客户端脚本到Web页面,当其他用户查看时被攻击。3.1.21
网页木马Web-PageTrojan
YD/T2696-2014
表面上伪装成普通的网页文件或是将恶意的代码直接插入到正常的网页文件中,当有人访问时,网页木马就会利用对方系统或者浏览器的漏洞自动将配置好的木马的服务端下载到访问者的电脑上来自动执行。
TCPFlood
TCP拒绝服务
一种拒绝服务攻击,利用TCP协议缺陷,发送大量伪造的TCP连接请求,从而使得被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。3.1.23
Portal 服务器Portal Server
Portal是一种Web应用,通常用来提供个性化、单点登录、聚集各个信息源的内容,并作为信息系统表现层的宿主。聚集是指将来自各个信息源的内容集成到一个Web页面里的活动。3.2缩略语
下列缩略语适用于本标准。
RADIUS
Access Point Controller
Access Control List
AccessPoint
Border Gateway Protocol
Broadband Remote Access ServerDistributed Denial of ServiceDomain Name System
Digital Subscriber Line
High Availability
Hypertext Transfer Protocol
Internet Protocol
IntermediatesystemtointermediatesystemMedia Access Control
Open Shortest PathFirst
Passive Optical Network
PublicWirelessLocal AreaNetworkRemoteAuthenticationDial InUserServiceStructured Query Language
SecureShell
Wireless IntrusionPreventionSystemWireless Local Area NetworksCross Site Script
接入控制器
访间控制列表
接入点
边界网关协议
宽带接入服务器
分布式拒绝服务攻击
域名系统
数字用户专线
高可用性
超文本传输协议
网际协议
中间系统到中间系统
介质访问控制
开放式最短路径优先
无源光纤网络
公众无线局域网
远程访问拨号接入用户服务
结构化查询语言
安全外壳协议
无线入侵防御系统
无线局域网
跨站脚本攻击
4PWLAN安全防护概述
4.1PWLAN安全防护范围
YD/T2696-2014
公众无线局域网(PWLAN)是指利用无线局域网(WLAN)、IP、Web等技术组建并为公众提供网络接入服务的网络。
PWLAN网络结构有三种,分别为传统自治型胖AP、新型集中管理型瘦AP-AC直挂方式、.新型集中管理型瘦AP-AC旁挂方式,如图1所示。PWLAN主要设备包括AC、AP、热点交换机、BRAS、关口(Portal)服务器、采用Radius等协议的认证服务器等:其主要功能是对使用PWLAN的用户进行认证、授权和计费,并利用接入技术实现无线接入。中心机房
防火墙
热点交换机
传统的自治型胖AP
热点交换机
热点交换机
新型的集中管理型
瘦AP-AC直挂方式
图1PWLAN网络结构示意
新型的集中管理型
搜AP-AC务挂方式
PWLAN安全防护范畴主要包括上述PWLAN中的软硬件以及产生和处理的数据等。本标准主要针对PWLAN提出安全防护要求,与PWLAN相关的其他网络单元如接入网、IP承载网、支撑网等的安全防护要求见相应网络类型的安全防护标准。4.2PWLAN安全风险分析
PWLAN中的重要资产至少应包括:PWLAN设备:AC、AP、BRAS、Radius、WebPortal等。PWLAN数据:AC标识、AP标识、设备配置信息、认证信息、话单信息等。PWLAN其他的资产(如文档、人员等)可见附录A表A.1对资产的分类及举例。PWLAN在设备部署、配置、系统管理等环节上均可能引入安全脆弱点,如各类AC、AP等设备在软硬件安全方面存在的漏洞以及无线网络架构可能存在安全域未划分、无元余备份等脆弱性。PWLAN的脆弱性分析应包括但不限于附录A表A.2所列范围。PWLAN的威胁根据来源可分为技术威胁、环境威胁和人为威胁。环境威胁包括自然界不可抗的威胁和其他物理威胁。根据威胁的动机,人为威胁又可分为恶意和非恶意两种。PWLAN的威胁分析应包括但不限于附录A表A.3所列范围。5
YD/T2696-2014
PWLAN可能存在的安全脆弱性被利用后会产生很大的安全风险,突出的安全风险如:1)PWLAN向用户推送的认证页面(WebPortal)信息被算改:2)用户认证等隐私信息被窃取;3)逃避计费:
4)计费数据被算改或替换:
5)网络被攻击后不可用等。
4.3PWLAN安全防护内容
PWLAN安全防护内容及要求可划分为业务安全、设备及软件系统安全、网络安全、物理环境安全、管理安全等五个层面。其中
业务安全
主要包括业务认证管理、业务资源控制、业务安全防范、业务安全审计等方面的安全要求。设备及软件系统安全
主要包括PWLAN相关网络设备、通用主机设备、操作系统和数据库等方面安全要求。一网络安全
主要包括PWLAN相关系统层面的结构拓扑、网络保护与恢复、网络管理和网络攻击防范等方面的安全要求。
物理环境安全
主要包括机房位置、电力供应、防火、防水、防静电、温湿度控制等方面的安全要求。管理安全
主要包括机构、人员、制度、日常运维、安全监控、风险评估、应急预案等方面的安全要求。5PWLAN安全防护要求
5.1第1级要求
5.1.1业务安全要求
5.1.1.1业务认证管理
a)应对登录用户进行身份标识和鉴别。b)应采用加密方式传输用户的口令信息。c)应采用加密方式存储用户的口令信息。5.1.1.2业务资源控制
用户异常掉线后,AC、AP应释放内存,回收资源,防止黑客发起的拒绝服务攻击。5.1.1.3业务安全防范
a)应具备发现和处理含有恶意代码链接的能力,防止用户访问PWLAN登录页面被非法利用窃取用户信息。
b)应具备防护SQL注入攻击和变种注入攻击的能力,保护Portal页面和PWLAN设备Web管理界面,防止PWLAN数据库中的敏感数据被非授权读取、算改。c)应具备URL访问控制能力,避免恶意用户利用PWLAN系统内相关web页面业务逻辑漏洞实施威胁性攻击或绕过认证计费非授权访问公众互联网5.1.1.4业务安全审计
YD/T2696-2014
a)审计范围应覆盖到每个用户的关键操作、重要行为、业务资源使用情况等重要事件,如普通用户异常登录、发布恶意代码、异常修改账号信息等行为以及管理员在业务功能和账号控制方面的关键操作等。
b)应保护审计记录,保证无法删除、修改或覆盖等。c)业务相关审计记录应包括事件日期、时间、发起者信息、类型、描述和结果等。5.1.2设备及软件系统安全要求
5.1.2.1AC、AP及热点交换机设备a)AC设备在应用层应对Cookies或者Session做判断,防止任意用户在不通过验证的情况下下载设备配置文件,进而破解管理员密码,获得AC的控制权。b)AC、Radius设备应支持SSH、HTTPS等加密形式登陆。c)AC设备应开启防护功能,包括端口隔离、用户隔离、非法AP检测等功能,d)AP设备和热点交换机应开启二层隔离功能。e)AC设备上应配置ACL,防止DNS隧道(DNSTunnel)攻击绕过认证机制。5.1.2.2网络设备
PWLAN相关网络设备主要包括各类交换机设备等,相关网络设备应满足YD/T2700-2014电信网与互联网安全防护基线配置要求及检测要求网络设备》的安全要求。5.1.2.3数据库
数据库的安全应满足YD/T2700-2014《电信网与互联网安全防护基线配置要求及检测要求数据库》的安全要求。
5.1.2.4操作系统
操作系统的安全应满足YD/T2700-2014《电信网与互联网安全防护基线配置要求及检测要求操作系统》的安全要求。
5.1.3网络安全要求
5.1.3.1网络拓扑
PWLAN节点部署合理,具有较高的可用性和可扩展性。5.1.3.2网络保护与恢复
a)PWLAN节点重要部件和模块(如电源模块、主控模块等)应配置为主备用方式。b)PWLAN重要节点(如AC、BRAS等)间链路应采取链路元余保护措施,以保证网络具有抗灾以及灾难恢复能力。
c)PWLAN应根据应用的需求采用链路聚合、保护倒换等安全保护措施。5.1.3.3网络管理
a)PWLAN应根据网络结构形式采用分域的管理方式,并根据实际需求或运维体制设置分级权限,实现对网络的灵活管理。
b)PWLAN业务网络与运维、管理、监测等辅助系统(或平台)间应实现逻辑隔离,并启用安全域访问控制策略,严格限制对有关设备的访问。c)PWLAN网络管理应使用用户安全鉴别和认证措施。7
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国通信行业标准
YD/T2696-2014
公众无线局域网安全防护要求
Security protection requirementsforpublicwireless local areanetwork2014-10-14发布
2014-10-14实施
中华人民共和国工业和信息化部发布前言
1范围·
2规范性引用文件
3术语、定义和缩略语·
3.1术语和定义··
3.2缩略语
4PWLAN安全防护概述
4.1PWLAN安全防护范围.
PWLAN安全风险分析
4.3PWLAN安全防护内容
5PWLAN安全防护要求·
第1级要求
第2级要求
5.3第3级要求·
5.4第4级要求
5.5第5级要求
附录A(规范性附录)PWLAN风险分析目
YD/T2696-2014
YD/T2696-2014
本标准是“电信网和互联网安全防护体系”系列标准之一,该系列标准的结构及名称预计如下:1.《电信网和互联网安全防护管理指南》2.《电信网和互联网安全等级保护实施指南》3.《电信网和互联网安全风险评估实施指南》4.《电信网和互联网灾难备份及恢复实施指南》5.《固定通信网安全防护要求》6.《移动通信网安全防护要求》7.《互联网安全防护要求》
8.《增值业务网一消息网安全防护要求》9.《增值业务网一智能网安全防护要求》10.《接入网安全防护要求》
11.《传送网安全防护要求》
12.《IP承载网安全防护要求》
13.《信令网安全防护要求》
14.《同步网安全防护要求》
15.《支撑网安全防护要求》
16.《非核心生产单元安全防护要求》17.《电信网和互联网物理环境安全等级保护要求》18.《电信网和互联网管理安全等级保护要求》19.《固定通信网安全防护检测要求》20.《移动通信网安全防护检测要求》21.《互联网安全防护检测要求》《增值业务网一消息网安全防护检测要求》22.
《增值业务网智能网安全防护检测要求》23.
《接入网安全防护检测要求》
《传送网安全防护检测要求》
26.《IP承载网安全防护检测要求》27.《信令网安全防护检测要求》28.《同步网安全防护检测要求》29.《支撑网安全防护检测要求》30.《非核心生产单元安全防护检测要求》日
31.《电信网和互联网物理环境安全等级保护检测要求》32.电信网和互联网管理安全等级保护检测要求》33.《域名系统安全防护要求》
34.&域名系统安全防护检测要求》35.《网上营业厅安全防护要求》36。《网上营业厅安全防护检测要求》37.《WAP网关系统安全防护要求》38.《WAP网关系统安全防护检测要求》39.《电信网和互联网信息服务业务系统安全防护要求》40.《电信网和互联网信息服务业务系统安全防护检测要求》41.《增值业务网即时消息业务系统安全防护要求》42.《增值业务网即时消息业务系统安全防护检测要求》43.《域名注册系统安全防护要求》44.《域名注册系统安全防护检测要求》45.《移动互联网应用商店安全防护要求》46.《移动互联网应用商店安全防护检测要求》47.《互联网内容分发网络安全防护要求》48.《互联网内容分发网络安全防护检测要求》《互联网数据中心安全防护要求》49.
50.《互联网数据中心安全防护检测要求》51.《移动互联网联网应用安全防护要求》52.
《移动互联网联网应用安全防护检测要求》53.《公众无线局域网安全防护要求》(本标准)54.《公众无线局域网安全防护检测要求》55.电信网和互联网安全防护基线配置要求及检测要求网络设备》56.《电信网和互联网安全防护基线配置要求及检测要求安全设备》57.电信网和互联网安全防护基线配置要求及检测要求操作系统》58.《电信网和互联网安全防护基线配置要求及检测要求数据库》59.电信网和互联网安全防护基线配置要求及检测要求中间件》60.
《电信网和互联网安全防护基线配置要求及检测要求Web应用系统》61.《电信和互联网用户个人电子信息保护通用技术要求和管理要求》62.《电信和互联网用户个人电子信息保护检测要求》本标准与YD/TxXXx-XXXx《公众无线局域网安全防护检测要求》配套使用。YD/T2696-2014
随着电信网和互联网的发展,将不断补充和完善电信网和互联网安全防护体系的相关标准。本标准按照GB/T1.1-2009给出的规则起草。YD/T2696-2014
本标准附录A为规范性附录。
本标准由中国通信标准化协会提出并归口。本标准起草单位:工业和信息化部电信研究院、中国联合网络通信集团有限公司、中国电信集团公司、中国移动通信集团公司、北京启明星辰信息技术股份有限公司。璇、魏薇、封莎、雀
村玮、龚双瑾、卜哲、廖
涛、杨激敏、
本标准主要起草人:张彦超、谢张佳琦、王新峰、陈军、杨晓光、李祥军、崔鹏。IV
1范围
公众无线局域网安全防护要求
YD/T2696-2014
本标准规定了公众无线局域网分安全保护等级的安全防护要求,涉及到业务安全、设备及软件系统安全、网络安全、物理环境安全和管理安全。本标准适用于基础电信业务经营者和增值电信业务经营者建设或者运营的公众无线局域网。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。YD/T1731-2008
YD/T1754-2008
YD/T1756-2008
YD/T2698-2014
YD/T2700-2014
《电信网和互联网灾难备份及恢复实施指南》《电信网和互联网物理环境安全等级保护要求》《电信网和互联网管理安全等级保护要求》《电信网与互联网安全防护基线配置要求及检测要求网络设备》《电信网与互联网安全防护基线配置要求及检测要求数据库》YD/T2701-2014《电信网与互联网安全防护基线配置要求及检测要求操作系统》3术语、定义和缩略语
3.1术语和定义
下列术语和定义适用于本文件。3.1.1
无线局域网WirelessLocalAreaNetworks采用无线工作方式,空中接口采用载波使听多路访问/碰撞避免(CSMA/CA)技术实现共享媒质接入控制的一种局域网技术。无线局域网只涉及空中接口的物理层(PHY)和媒质接入控制层(MAC),对上层协议透明。无线局域网一般工作在2.4GHz或5.8GHz频段。在本标准中,无线局域网指空中接口采用IEEE802.11标准族规定的空中接口协议。3.1.2
公众无线局域网PublicWirelessLocalAreaNetworks利用无线局域网(WLAN)、IP、Web等技术组建并为公众提供网络接入服务的网络。3.1.3
公众无线局域网安全等级SecurityClassificationofPublicWirelessLocalAreaNetwork公众无线局域网安全重要程度的表征。重要程度可从公众无线局域网受到破坏后,对国家安全、社会秩序、经济运行、公共利益、网络和业务运营商造成的损害来衡量。3.1.4
公众无线局域网安全等级保护ClassifiedSecurityProtectionofPublicWirelessLocalAreaNetwork对公众无线局域网分等级实施安全保护。-
YD/T2696-2014
公众无线局域网安全风险SecurityRiskofPublicWirelessLocalAreaNetwork人为或自然的威胁可能利用公众无线局域网中存在的脆弱性导致安全事件的发生及其对组织造成的影响。
公众无线局域网安全风险评估SecurityRiskAssessmentofPublicWirelessLocalAreaNetwork运用科学的方法和手段,系统地分析公众无线局域网所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和安全措施。防范和化解公众无线局域网安全风险,或者将风险控制在可接受的水平,为最大限度地为保障公众无线局域网的安全提供科学依据。
公众无线局域网资产AssetofPublicWirelessLocalAreaNetwork公众无线局域网中具有价值的资源,是安全防护保护的对象。公众无线局域网中的资产可能是以多种形式存在,无形的、有形的、硬件、软件,包括物理布局、通信设备、物理线路、数据、软件、文档、规程、业务承载能力、人员、管理等各种类型的资源。公众无线局域网中的典型资产包括AC、AP、Radius、WebPortal等。
公众无线局域网威胁ThreatofPublicWirelessLocalAreaNetwork可能导致对公众无线局域网产生危害的不希望事件潜在起因,它可能是人为的,也可能是非人为的:可能是无意失误,也可能是恶意攻击。3.1.9
公众无线局域网脆弱性VulnerabilityofPublicWirelessLocalAreaNetwork脆弱性是公众无线局域网中存在的弱点、缺陷与不足,不直接对公众无线局域网资产造成危害,但可能被公众无线局域网威胁所利用从而危及公众无线局域网资产的安全。3.1.10
公众无线局域网灾难DisasterofPublicWirelessLocalAreaNetwork由于各种原因,造成公众无线局域网故障或瘫痪,使公众无线局域网支持的业务功能停顿或服务水平不可接受、达到特定的时间的突发性事件。3.1.11
公众无线局域网灾难备份BackupforDisasterRecoveryofPublicWirelessLocalAreaNetwork为了公众无线局域网灾难恢复而对相关的网络要素进行备份的过程。3.1.12
公众无线局域网灾难恢复DisasterRecoveryofPublicWirelessLocalAreaNetwork为了将公众无线局域网从灾难造成的故障或瘫状态恢复到正常运行状态或部分正常运行状态、并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态,而设计的活动和流程。3.1.13
无线破解攻击WirelessCrackAttack2
YD/T2696-2014
攻击者使用工具,通过捕获802.11报文,采用逆向算法获得WLAN网络密钥,或者通过弱口令字典,并辅以不断尝试认证,对WLAN网络进行暴力破解,达到入侵的目的。3.1.14
无线钓鱼攻击WirelessFishingAttack攻击者通过工具或者搭建软AP,在目标WLAN网络附近,构造与目标WLAN网络相同或者相近的网络,引诱被害者连接,一旦连接建立,攻击者会进一步截获被害者的网络流量,获取敏感信息。3.1.15
无线中间人攻击WirelessMan-In-The-MiddleAttack攻击者通过伪造WLAN网络标识、MAC地址等物理信息,对特定用户的无线通信进行欺骗,使得正常的通信流量流经攻击者,攻击者可以在流量中插入攻击代码或截获流量中的敏感信息,发起进一步的攻击。
无线DoS攻击WirelessDenialofServiceAttack攻击者通过向WLAN网络中发送大量伪造的认证、关联等802.11报文,从而达到让AP或AC过载的目的,使得正常用户无法接入WLAN网络:或者通过发送大量伪造的去认证,去关联等802.1I报文,拆除已经建立的WLAN连接,导致用户无法通过WLAN网络接入。3.1.17
无线注入攻击WirelessInjectionAttack攻击者通过伪造802.11报文,向WLAN网络中注入流量,例如通过注入ARPRequest(地址解析协议请求),对WLAN进行干扰,达到加快破解的目的:通过无线注入攻击,攻击者也可以伪造网络向量分配,抢占WLAN信道通信时间,实现拒绝服务攻击:攻击者也可以通过注入更为复杂的流量,达到网络欺骗的目的。
HotSpotter攻击HotspotterAttack攻击者监测WLAN网络中的探测请求,并将发现的WLAN网络与自身的WLAN热点列表进行对比,如果一旦发现匹配的WLAN网络,攻击发起者会伪造认证和关联过程,引诱用户,一且连接建立,攻击者会进一步对受害者进行毒化或扫描,并发起进一步的攻击。3.1.19
SQL注入攻击SqlInjection
SQL注入是一个代码注入技术,它利用一个Web应用程序的安全漏洞,在数据库层实施攻击。如果对用户输入的非法字符串(如Web表单递交或输入域名或页面请求的查询字符串)过滤不严谨,则会把构建的恶意SQL语句传递到数据库,欺骗服务器执行恶意的SQL命令中执行。3.1.20此内容来自标准下载网
跨站脚本攻击CrossSiteScripting一种Web应用程序的漏洞类型,能令攻击者插入客户端脚本到Web页面,当其他用户查看时被攻击。3.1.21
网页木马Web-PageTrojan
YD/T2696-2014
表面上伪装成普通的网页文件或是将恶意的代码直接插入到正常的网页文件中,当有人访问时,网页木马就会利用对方系统或者浏览器的漏洞自动将配置好的木马的服务端下载到访问者的电脑上来自动执行。
TCPFlood
TCP拒绝服务
一种拒绝服务攻击,利用TCP协议缺陷,发送大量伪造的TCP连接请求,从而使得被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。3.1.23
Portal 服务器Portal Server
Portal是一种Web应用,通常用来提供个性化、单点登录、聚集各个信息源的内容,并作为信息系统表现层的宿主。聚集是指将来自各个信息源的内容集成到一个Web页面里的活动。3.2缩略语
下列缩略语适用于本标准。
RADIUS
Access Point Controller
Access Control List
AccessPoint
Border Gateway Protocol
Broadband Remote Access ServerDistributed Denial of ServiceDomain Name System
Digital Subscriber Line
High Availability
Hypertext Transfer Protocol
Internet Protocol
IntermediatesystemtointermediatesystemMedia Access Control
Open Shortest PathFirst
Passive Optical Network
PublicWirelessLocal AreaNetworkRemoteAuthenticationDial InUserServiceStructured Query Language
SecureShell
Wireless IntrusionPreventionSystemWireless Local Area NetworksCross Site Script
接入控制器
访间控制列表
接入点
边界网关协议
宽带接入服务器
分布式拒绝服务攻击
域名系统
数字用户专线
高可用性
超文本传输协议
网际协议
中间系统到中间系统
介质访问控制
开放式最短路径优先
无源光纤网络
公众无线局域网
远程访问拨号接入用户服务
结构化查询语言
安全外壳协议
无线入侵防御系统
无线局域网
跨站脚本攻击
4PWLAN安全防护概述
4.1PWLAN安全防护范围
YD/T2696-2014
公众无线局域网(PWLAN)是指利用无线局域网(WLAN)、IP、Web等技术组建并为公众提供网络接入服务的网络。
PWLAN网络结构有三种,分别为传统自治型胖AP、新型集中管理型瘦AP-AC直挂方式、.新型集中管理型瘦AP-AC旁挂方式,如图1所示。PWLAN主要设备包括AC、AP、热点交换机、BRAS、关口(Portal)服务器、采用Radius等协议的认证服务器等:其主要功能是对使用PWLAN的用户进行认证、授权和计费,并利用接入技术实现无线接入。中心机房
防火墙
热点交换机
传统的自治型胖AP
热点交换机
热点交换机
新型的集中管理型
瘦AP-AC直挂方式
图1PWLAN网络结构示意
新型的集中管理型
搜AP-AC务挂方式
PWLAN安全防护范畴主要包括上述PWLAN中的软硬件以及产生和处理的数据等。本标准主要针对PWLAN提出安全防护要求,与PWLAN相关的其他网络单元如接入网、IP承载网、支撑网等的安全防护要求见相应网络类型的安全防护标准。4.2PWLAN安全风险分析
PWLAN中的重要资产至少应包括:PWLAN设备:AC、AP、BRAS、Radius、WebPortal等。PWLAN数据:AC标识、AP标识、设备配置信息、认证信息、话单信息等。PWLAN其他的资产(如文档、人员等)可见附录A表A.1对资产的分类及举例。PWLAN在设备部署、配置、系统管理等环节上均可能引入安全脆弱点,如各类AC、AP等设备在软硬件安全方面存在的漏洞以及无线网络架构可能存在安全域未划分、无元余备份等脆弱性。PWLAN的脆弱性分析应包括但不限于附录A表A.2所列范围。PWLAN的威胁根据来源可分为技术威胁、环境威胁和人为威胁。环境威胁包括自然界不可抗的威胁和其他物理威胁。根据威胁的动机,人为威胁又可分为恶意和非恶意两种。PWLAN的威胁分析应包括但不限于附录A表A.3所列范围。5
YD/T2696-2014
PWLAN可能存在的安全脆弱性被利用后会产生很大的安全风险,突出的安全风险如:1)PWLAN向用户推送的认证页面(WebPortal)信息被算改:2)用户认证等隐私信息被窃取;3)逃避计费:
4)计费数据被算改或替换:
5)网络被攻击后不可用等。
4.3PWLAN安全防护内容
PWLAN安全防护内容及要求可划分为业务安全、设备及软件系统安全、网络安全、物理环境安全、管理安全等五个层面。其中
业务安全
主要包括业务认证管理、业务资源控制、业务安全防范、业务安全审计等方面的安全要求。设备及软件系统安全
主要包括PWLAN相关网络设备、通用主机设备、操作系统和数据库等方面安全要求。一网络安全
主要包括PWLAN相关系统层面的结构拓扑、网络保护与恢复、网络管理和网络攻击防范等方面的安全要求。
物理环境安全
主要包括机房位置、电力供应、防火、防水、防静电、温湿度控制等方面的安全要求。管理安全
主要包括机构、人员、制度、日常运维、安全监控、风险评估、应急预案等方面的安全要求。5PWLAN安全防护要求
5.1第1级要求
5.1.1业务安全要求
5.1.1.1业务认证管理
a)应对登录用户进行身份标识和鉴别。b)应采用加密方式传输用户的口令信息。c)应采用加密方式存储用户的口令信息。5.1.1.2业务资源控制
用户异常掉线后,AC、AP应释放内存,回收资源,防止黑客发起的拒绝服务攻击。5.1.1.3业务安全防范
a)应具备发现和处理含有恶意代码链接的能力,防止用户访问PWLAN登录页面被非法利用窃取用户信息。
b)应具备防护SQL注入攻击和变种注入攻击的能力,保护Portal页面和PWLAN设备Web管理界面,防止PWLAN数据库中的敏感数据被非授权读取、算改。c)应具备URL访问控制能力,避免恶意用户利用PWLAN系统内相关web页面业务逻辑漏洞实施威胁性攻击或绕过认证计费非授权访问公众互联网5.1.1.4业务安全审计
YD/T2696-2014
a)审计范围应覆盖到每个用户的关键操作、重要行为、业务资源使用情况等重要事件,如普通用户异常登录、发布恶意代码、异常修改账号信息等行为以及管理员在业务功能和账号控制方面的关键操作等。
b)应保护审计记录,保证无法删除、修改或覆盖等。c)业务相关审计记录应包括事件日期、时间、发起者信息、类型、描述和结果等。5.1.2设备及软件系统安全要求
5.1.2.1AC、AP及热点交换机设备a)AC设备在应用层应对Cookies或者Session做判断,防止任意用户在不通过验证的情况下下载设备配置文件,进而破解管理员密码,获得AC的控制权。b)AC、Radius设备应支持SSH、HTTPS等加密形式登陆。c)AC设备应开启防护功能,包括端口隔离、用户隔离、非法AP检测等功能,d)AP设备和热点交换机应开启二层隔离功能。e)AC设备上应配置ACL,防止DNS隧道(DNSTunnel)攻击绕过认证机制。5.1.2.2网络设备
PWLAN相关网络设备主要包括各类交换机设备等,相关网络设备应满足YD/T2700-2014电信网与互联网安全防护基线配置要求及检测要求网络设备》的安全要求。5.1.2.3数据库
数据库的安全应满足YD/T2700-2014《电信网与互联网安全防护基线配置要求及检测要求数据库》的安全要求。
5.1.2.4操作系统
操作系统的安全应满足YD/T2700-2014《电信网与互联网安全防护基线配置要求及检测要求操作系统》的安全要求。
5.1.3网络安全要求
5.1.3.1网络拓扑
PWLAN节点部署合理,具有较高的可用性和可扩展性。5.1.3.2网络保护与恢复
a)PWLAN节点重要部件和模块(如电源模块、主控模块等)应配置为主备用方式。b)PWLAN重要节点(如AC、BRAS等)间链路应采取链路元余保护措施,以保证网络具有抗灾以及灾难恢复能力。
c)PWLAN应根据应用的需求采用链路聚合、保护倒换等安全保护措施。5.1.3.3网络管理
a)PWLAN应根据网络结构形式采用分域的管理方式,并根据实际需求或运维体制设置分级权限,实现对网络的灵活管理。
b)PWLAN业务网络与运维、管理、监测等辅助系统(或平台)间应实现逻辑隔离,并启用安全域访问控制策略,严格限制对有关设备的访问。c)PWLAN网络管理应使用用户安全鉴别和认证措施。7
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。