YD/T 2697-2014
标准分类号
关联标准
出版信息
相关单位信息
标准简介
YD/T 2697-2014.Security protection test requirements for public wireless local area network.
1范围
YD/T 2697规定了公众无线局域网分安全保护等级的安全防护检测要求,涉及到业务安全、设备及软件系统安全、网络安全、物理环境安全和管理安全。
YD/T 2697适用于基础电信业务经营者和增值电信业务经营者建设或者运营的公众无线局域网。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
YD/T 1731-2.008《电信网和互联网灾难备份及恢复实施指南》
YD/T 1754-2008《电信网和互联网物理环境安全等级保护要求》
YD/T 1756-2008《电信网和互联网 管理安全等级保护要求》
YD/T 2698-2014《电信网与互联网安全防护基线配置要求及检测要求网络设备》
YD/T 2700-2014《电信网与 互联网安全防护基线配置要求及检测要求数据库》
YD/T 2/01-2014《电信网与互联网安全防护基线配置要求及检测要求操作系统》
3术语、定义和缩略谮
3.1术语和定义
下列术语和定义适用于本文件。
3.1.1
无线局域网 Wireless Loca! Ares Neitworks
采用无线工作方式,空中接口采用载波侦听多路访问/碰撞避免(CSMA/CA)技术实现共享媒质接入控制的一种局域网技术。无线局域网只涉及空中接口的物理层(PHY)和媒质接入控制层(MAC),对上层协议透明。无线局域网-般工作在2.4GHz或5.8GHz频段。在本标准中,无线局域网指空中接口采用IEEE802.1 1标准族规定的空中接口协议。
1范围
YD/T 2697规定了公众无线局域网分安全保护等级的安全防护检测要求,涉及到业务安全、设备及软件系统安全、网络安全、物理环境安全和管理安全。
YD/T 2697适用于基础电信业务经营者和增值电信业务经营者建设或者运营的公众无线局域网。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
YD/T 1731-2.008《电信网和互联网灾难备份及恢复实施指南》
YD/T 1754-2008《电信网和互联网物理环境安全等级保护要求》
YD/T 1756-2008《电信网和互联网 管理安全等级保护要求》
YD/T 2698-2014《电信网与互联网安全防护基线配置要求及检测要求网络设备》
YD/T 2700-2014《电信网与 互联网安全防护基线配置要求及检测要求数据库》
YD/T 2/01-2014《电信网与互联网安全防护基线配置要求及检测要求操作系统》
3术语、定义和缩略谮
3.1术语和定义
下列术语和定义适用于本文件。
3.1.1
无线局域网 Wireless Loca! Ares Neitworks
采用无线工作方式,空中接口采用载波侦听多路访问/碰撞避免(CSMA/CA)技术实现共享媒质接入控制的一种局域网技术。无线局域网只涉及空中接口的物理层(PHY)和媒质接入控制层(MAC),对上层协议透明。无线局域网-般工作在2.4GHz或5.8GHz频段。在本标准中,无线局域网指空中接口采用IEEE802.1 1标准族规定的空中接口协议。
标准图片预览
标准内容
ICS33.040
中华人民共和国通信行业标准
YD/T2697-2014
公众无线局域网安全防护检测要求Security protection test requirements forpublicwirelesslocalareanetwork2014-10-14发布
2014-10-14实施
中华民共和国工业和信息化部发布前言
1范围·
2规范性引用文件:
3术语、定义和缩略语
3.1术语和定义
3.2缩略语·…
4PWLAN安全防护检测概述·
4.1PWLAN安全防护检测内容
4.2PWLAN安全防护检测对象·
4.3PWLAN安全防护检测环境
5PWLAN安全防护检测要求
5.1第1级要求
5.2第2级要求
5.3第3级要求
5.4第4级要求
第5级要求
YD/T2697-2014
YD/T2697-2014
本标准是“电信网和互联网安全防护体系”系列标准之一,该系列标准的结构及名称预计如下:1.《电信网和互联网安全防护管理指南》2。《电信网和互联网安全等级保护实施指南》3.《电信网和互联网安全风险评估实施指南》4《电信网和互联网灾难备份及恢复实施指南》5.《固定通信网安全防护要求》6.《移动通信网安全防护要求》7.《互联网安全防护要求》
8.《增值业务网一消息网安全防护要求》9.《增值业务网一智能网安全防护要求》10.《接入网安全防护要求》
11.《传送网安全防护要求》
《IP承载网安全防护要求》
13.《信令网安全防护要求》
14.《同步网安全防护要求》
15.《支撑网安全防护要求》
《非核心生产单元安全防护要求》16.
《电信网和互联网物理环境安全等级保护要求》17.
《电信网和互联网管理安全等级保护要求》18.
19.《固定通信网安全防护检测要求》20.
《移动通信网安全防护检测要求》《互联网安全防护检测要求》
22.《增值业务网一消息网安全防护检测要求》23.《增值业务网一智能网安全防护检测要求》《接入网安全防护检测要求》
25.《传送网安全防护检测要求》26.《IP承载网安全防护检测要求》27.《信令网安全防护检测要求》28.《同步网安全防护检测要求》29.《支撑网安全防护检测要求》30.《非核心生产单元安全防护检测要求》.31.《电信网和互联网物理环境安全等级保护检测要求》32.《电信网和互联网管理安全等级保护检测要求》33.《域名系统安全防护要求》
34.《域名系统安全防护检测要求》35.《网上营业厅安全防护要求》36.《网上营业厅安全防护检测要求》37.《WAP网关系统安全防护要求》38.《WAP网关系统安全防护检测要求》39.《电信网和互联网信息服务业务系统安全防护要求》40.《电信网和互联网信息服务业务系统安全防护检测要求》《增值业务网即时消息业务系统安全防护要求》41.
42.《增值业务网即时消息业务系统安全防护检测要求》43.《域名注册系统安全防护要求》44.
《域名注册系统安全防护检测要求》45.
《移动互联网应用商店安全防护要求》46.《移动互联网应用商店安全防护检测要求》47.《互联网内容分发网络安全防护要求》48.《互联网内容分发网络安全防护检测要求》49.《互联网数据中心安全防护要求》50.《互联网数据中心安全防护检测要求》51.《移动互联网联网应用安全防护要求》52.《移动互联网联网应用安全防护检测要求》53.《公众无线局域网安全防护要求》54。《公众无线局域网安全防护检测要求》(本标准)55.《电信网和互联网安全防护基线配置要求及检测要求网络设备》56.《电信网和互联网安全防护基线配置要求及检测要求安全设备》57.《电信网和互联网安全防护基线配置要求及检测要求操作系统》58.《电信网和互联网安全防护基线配置要求及检测要求数据库》59.《电信网和互联网安全防护基线配置要求及检测要求中间件》60.《电信网和互联网安全防护基线配置要求及检测要求WEB应用系统》61.《电信和互联网用户个人电子信息保护通用技术要求和管理要求》62.《电信和互联网用户个人电子信息保护检测要求》本标准与YD/T2696-2014《公众无线局域网安全防护要求》配套使用。YD/T2697-2014
随着电信网和互联网的发展,将不断补充和完善电信网和互联网安全防护体系的相关标准。本标准按照GB/T1.1-2009给出的规则起草。YD/2697-2014
本标准由中国通信标准化协会提出并归口。本标准起草单位:工业和信息化部电信研究院、中国联合网络通信集团有限公司、中国电信集团公司、中国移动通信集团公司、北京启明星辰信息技术股份有限公司。本标准主要起草人:张彦超、谢玮、龚双瑾、卜哲、廖璇、魏薇、封莎、崔涛、杨淑敏、张佳琦、王新峰、陈军、杨晓光、李祥军、崔鹏。TV
1范围
公众无线局域网安全防护检测要求YD/T26972014
本标准规定了公众无线局域网分安全保护等级的安全防护检测要求,涉及到业务安全、设备及软件系统安全、网络安全、物理环境安全和管理安全。本标准适用于基础电信业务经营者和增值电信业务经营者建设或者运营的公众无线局域网。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。YD/T1731-2008
YD/T1754-2008
YD/T1756-2.008
YD/T2698-2014
YD/T2700-2014
YD/T2/01-2014
《电信网和互联网灾难备份及恢复实施指南》《电信网和互联网物理环境安全等级保护要求》《电信网和互联网管理安全等级保护要求》《电信网与互联网安全防护基线配置要求及检测要求网络设备》《电信网与互联网安全防护基线配置要求及检测要求数据库》《电信网与互联网安全防护基线配置要求及检测要求操作系统》3术语、定义和缩略语
3.1术语和定义
下列术语和定义适用于本文件。3.1.1
无线局域网 WirelessLocatArosNeiworks采用无线工作方式:空中接口采用载波侦听多路访问/碰撞避免(CSMA/CA)技术实现共享媒质接入控制的一种局域网技术。无线局域网只涉及空中接口的物理层(PHY)和媒质接入控制层(MAC),对上层协议透明。无线局域网一般工作在2.4Giz或5.8GHz频段。在本标准中,无线局域网指空中接口采用IEEE802.11标准族规定的空中接口协议。3.1.2
公众无线局域网PublicWireless LocalAreaNetworks利用无线局域网(WLAN)、IP、Web等技术组建并为公众提供网络接入服务的网络。3.1.3
公众无线局域网安全等级SecurityClassificationofPublicWirelessLocalAreaNetwork公众无线局域网安全重要程度的表征。重要程度可从公众无线局域网受到破坏后,对国家安全、社会秩序、经济运行、公共利益、网络和业务运营商造成的损害来衡量。3.1.4
公众无线局域网安全等级保护ClassifiedSecurityProtectionofPublicWirelessLocalAreaNetwork1
YD/T2697-2014
对公众无线局域网分等级实施安全保护。3.1.5
公众无线局域网安全风险SecurityRiskofPublicWirelessLocalAreaNetwork人为或自然的威胁可能利用公众无线局域网中存在的脆弱性导致安全事件的发生及其对组织造成的影响。
公众无线局域网安全风险评估securityriskassessmentofpublicwirelesslocalareanetwork运用科学的方法和手段,系统地分析公众无线局域网所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和安全措施。防范和化解公众无线局域网安全风险,或者将风险控制在可接受的水平,为最大限度地为保障公众无线局域网的安全提供科学依据。
公众无线局域网资产AssetofPublicWirelessLocalAreaNetwork公众无线局域网中具有价值的资源,是安全防护保护的对象。公众无线局域网中的资产可能是以多种形式存在,无形的、有形的、硬件、软件,包括物理布局、通信设备、物理线路、数据、软件、文档、规程、业务承载能力、人员、管理等各种类型的资源。公众无线局域网中的典型资产包括AC、AP、Radius、WebPortal等。bzxz.net
公众无线局域网威胁ThreatofPublicWirelessLocalAreaNetwork可能导致对公众无线局域网产生危害的不希望事件潜在起因,它可能是人为的,也可能是非人为的;可能是无意失误,也可能是恶意攻击。3.1.9
公众无线局域网脆弱性VulnerabilityofPublicWirelessLocalAreaNetwork脆弱性是公众无线局域网中存在的弱点、缺陷与不足,不直接对公众无线局域网资产造成危害,但可能被公众无线局域网威胁所利用从而危及公众无线局域网资产的安全。3.1.10
公众无线局域网灾难DisasterofPublicWirelessLocalAreaNetwork由于各种原因,造成公众无线局域网故障或瘫痪,使公众无线局域网支持的业务功能停顿或服务水平不可接受、达到特定的时间的突发性事件。3.1.11
公众无线局域网火难备份 BackupforDisasterRecoveryofPublicVWirelessLocal Area Network为了公众无线局域网灾难恢复而对相关的网络要素进行备份的过程。3.1.12
公众无线局域网灾难恢复DisasterRecoveryofPublicWirelessLocalAreaNetwork为了将公众无线局域网从灾难造成的故障或瘫痪状态恢复到正常运行状态或部分正常运行状态、并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态。而设计的活动和流程。3.1.13
无线破解攻击WirelessCrackAttackYD/T2697-2014
攻击者使用工具,通过捕获802.11报文,采用逆向算法获得WLAN网络密钥,或者通过弱口令字典,并辅以不断尝试认证,对WLAN网络进行暴力破解,达到入侵的目的。3.1.14
无线钓鱼攻击WirelessFishingAttack攻击者通过工具或者搭建软AP,在目标WLAN网络附近,构造与目标WLAN网络相同或者相近的网络,引诱被害者连接,一旦连接建立,攻击者会进一步截获被害者的网络流量,获取敏感信息。3.1.15
无线中间人玫击WirelessMan-In-The-MiddleAttack攻击者通过伪造WLAN网络标识、MAC地址等物理信息,对特定用户的无线通信进行欺骗,使得正常的通信流量流经攻击者,攻击者可以在流量中插入攻击代码或截获流量中的敏感信息,发起进一步的攻击。
无线DoS攻击WirelessDenialofServiceAttack攻击者通过向WLAN网络中发送大量伪造的认证、关联等802.11报文,从而达到让AP或AC过载的目的,使得正常用户无法接入WLAN网络:或者通过发送大量伪造的去认证、去关联等802.11报文,拆除已经建立的WLAN连接,导致用户无法通过WLAN网络接入。3.1.17
无线注入攻击WirelessInjectionAttack攻击者通过伪造802.11报文,向WLAN网络中注入流量,例如通过注入ARPRequest(地址解析协议请求),对WLAN进行干扰,达到加快破解的目的;通过无线注入攻击,攻击者也可以伪造网络向量分配,抢占WLAN信道通信时间,实现拒绝服务攻击:攻击者也可以通过注入更为复杂的流量,达到网络欺骗的目的。
hotspotter攻击HotspotterAttack攻击者监测WLAN网络中的探测请求,并将发现的WLAN网络与自身的WLAN热点列表进行对比,如果一且发现匹配的WLAN网络,攻击发起者会伪造认证和关联过程,引诱用户,一旦连接建立,攻击者会进一步对受害者进行毒化或扫描,并发起进一步的攻击。3.1.19
SQL注入攻击SqlInjection
SQL注入是一个代码注入技术,它利用一个web应用程序的安全漏洞,在数据库层实施攻击。如果对用户输入的非法字符串(如web表单递交或输入域名或页面请求的查询字符串)过滤不严谨,则会把构建的恶意SQL语句传递到数据库,欺骗服务器执行恶意的SQL命令中执行。3.1.20
跨站脚本攻击CrossSiteScripting一种web应用程序的漏洞类型,能令攻击者插入客户端脚本到web页面,当其他用户查看时被攻击。3.1.21
YD/T2697-2014
网页木马Web-PageTrojan
表面上伪装成普通的网页文件或是将恶意的代码直接插入到正常的网页文件中,当有人访问时,网页木马就会利用对方系统或者浏览器的漏洞自动将配置好的木马的服务端下载到访问者的电脑上来自动执行。
TCP拒绝服务TCPFlood
一种拒绝服务攻击,利用TCP协议缺陷,发送大量伪造的TCP连接请求,从而使得被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。3.1.23
Portal 服务器Portal Server
Portal是一种web应用,通常用来提供个性化、单点登录、聚集各个信息源的内容,并作为信息系统表现层的宿主。聚集是指将来自各个信息源的内容集成到一个web页面里的活动。3.2缩略语
下列缩略语适用于本标准。
RADIUS
Access Point Controller
Access Control List
Access Point
Border Gateway Protocol
Broadband Remote Access ServerDistributed Denial of ServiceDomain Name System
Digital Subscriber Line
High Availability
Hypertext Transfer Protocol
Internet Protocol
Intermediate system to intermediate systemMedia Access Control
Open Shortest Path First
Passive Optical Network
PublicWirelessLocalAreaNetworkRemoteAuthenticationDial InUserServiceStructured Query Language
Secure Shell
Wireless IntrusionPreventionSystemWireless Local Area NetworksCross Site Script
接入控制器
访问控制列表
接入点
边界网关协议
宽带接入服务器
分布式拒绝服务攻击
域名系统
数字用户专线
高可用性
超文本传输协议
网际协议
中间系统到中间系统
介质访问控制
开放式最短路径优先
无源光纤网络
公众无线局域网
远程访问拨号接入用户服务
结构化查询语言
安全外壳协议
无线入侵防御系统
无线局域网
跨站脚本攻击
4PWLAN安全防护检测概述
4.1PWLAN安全防护检测内容
YD/T2697-2014
本标准的安全防护检测内容与YD/T2696-2014《公众无线局域网安全防护要求》一致,包括业务安全、设备及软件系统安全、网络安全、物理环境安全和管理安全。4.2PWLAN安全防护检测对象
PWLAN安全防护检测对象是基础电信业务经营者和增值电信业务经营者建设或者运营的公众无线局域网,本标准主要对公众无线局域网的各项要求的实施进行检测。4.3PWLAN安全防护检测环境
对PWLAN的安全防护检测需在现网中进行,其检测环境结构示意如图1所示。内网
中心机房代
防火墙
热点交换机
热点交换机
热点交换机
图1PWLAN安全防护检测环境结构示意被测对象包括:PWLAN网络设备(如AC、AP、BRAS、热点交换机等)和PWLAN辅助性IT系统(如运维、管理、监测系统等)。
测试工具包括:协议分析仪(应支持IP协议簇各层协议的解析)和漏洞扫描器(应支持主机扫描、端口扫描、漏洞检测等功能)。YD/T2697-2014
5PWLAN安全防护检测要求
5.1第1级要求
5.1.1业务安全要求
5.1.1.1业务认证管理
测试编号:PWLAN-第1级-业务安全-业务认证管理-01测试项目:《公众无线局域网安全防护要求》5.1.1.1-a,用户的身份标识和鉴别要求测试步骤:
1)创建合法测试账号,并保证账号功能正常:2)使用合法测试账号,提供正确的鉴别信息执行登录系统操作:3)检查系统是否通过了合法测试账户的登录操作:4)使用合法测试账户,提供错误的鉴别信息执行登录系统操作:5)检查系统是否拒绝合法测试账户的登录操作;6)使用无效的测试账户,执行登录系统操作:7)检查系统是否拒绝无效测试账户的登录操作预期结果:
1)系统对提供正确鉴别信息的台法测试账户的登录操作,予以通过:2)系统对提供错误监别信息的合法测试账户的登录操作,予以拒绝;3)系统对无效测试账户的登录操作,予以拒绝判定原则:
达到以上预期结果,则通过,否则不通过测试编号:PWLAN-第1级-业务安全-业务认证管理-02测试项目:《公众无线局域网安全防护要求》5.1.1.1-b,加密方式传输用户的口令信息测试步骤:
1)访谈相关技术人员,确认系统设计,传输业务用户的密码信息时是否进行了加密:2)通过抓包等方式,截获数据:3)验证是否以加密方式传输用户的口令信息预期结果:
1)系统设计中,传输业务用户的密码信息,需进行加密:2)抓包结果分析显示采用密文方式传输用户的口令信息判定原则:
达到以上预期结果,则通过,否则不通过
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国通信行业标准
YD/T2697-2014
公众无线局域网安全防护检测要求Security protection test requirements forpublicwirelesslocalareanetwork2014-10-14发布
2014-10-14实施
中华民共和国工业和信息化部发布前言
1范围·
2规范性引用文件:
3术语、定义和缩略语
3.1术语和定义
3.2缩略语·…
4PWLAN安全防护检测概述·
4.1PWLAN安全防护检测内容
4.2PWLAN安全防护检测对象·
4.3PWLAN安全防护检测环境
5PWLAN安全防护检测要求
5.1第1级要求
5.2第2级要求
5.3第3级要求
5.4第4级要求
第5级要求
YD/T2697-2014
YD/T2697-2014
本标准是“电信网和互联网安全防护体系”系列标准之一,该系列标准的结构及名称预计如下:1.《电信网和互联网安全防护管理指南》2。《电信网和互联网安全等级保护实施指南》3.《电信网和互联网安全风险评估实施指南》4《电信网和互联网灾难备份及恢复实施指南》5.《固定通信网安全防护要求》6.《移动通信网安全防护要求》7.《互联网安全防护要求》
8.《增值业务网一消息网安全防护要求》9.《增值业务网一智能网安全防护要求》10.《接入网安全防护要求》
11.《传送网安全防护要求》
《IP承载网安全防护要求》
13.《信令网安全防护要求》
14.《同步网安全防护要求》
15.《支撑网安全防护要求》
《非核心生产单元安全防护要求》16.
《电信网和互联网物理环境安全等级保护要求》17.
《电信网和互联网管理安全等级保护要求》18.
19.《固定通信网安全防护检测要求》20.
《移动通信网安全防护检测要求》《互联网安全防护检测要求》
22.《增值业务网一消息网安全防护检测要求》23.《增值业务网一智能网安全防护检测要求》《接入网安全防护检测要求》
25.《传送网安全防护检测要求》26.《IP承载网安全防护检测要求》27.《信令网安全防护检测要求》28.《同步网安全防护检测要求》29.《支撑网安全防护检测要求》30.《非核心生产单元安全防护检测要求》.31.《电信网和互联网物理环境安全等级保护检测要求》32.《电信网和互联网管理安全等级保护检测要求》33.《域名系统安全防护要求》
34.《域名系统安全防护检测要求》35.《网上营业厅安全防护要求》36.《网上营业厅安全防护检测要求》37.《WAP网关系统安全防护要求》38.《WAP网关系统安全防护检测要求》39.《电信网和互联网信息服务业务系统安全防护要求》40.《电信网和互联网信息服务业务系统安全防护检测要求》《增值业务网即时消息业务系统安全防护要求》41.
42.《增值业务网即时消息业务系统安全防护检测要求》43.《域名注册系统安全防护要求》44.
《域名注册系统安全防护检测要求》45.
《移动互联网应用商店安全防护要求》46.《移动互联网应用商店安全防护检测要求》47.《互联网内容分发网络安全防护要求》48.《互联网内容分发网络安全防护检测要求》49.《互联网数据中心安全防护要求》50.《互联网数据中心安全防护检测要求》51.《移动互联网联网应用安全防护要求》52.《移动互联网联网应用安全防护检测要求》53.《公众无线局域网安全防护要求》54。《公众无线局域网安全防护检测要求》(本标准)55.《电信网和互联网安全防护基线配置要求及检测要求网络设备》56.《电信网和互联网安全防护基线配置要求及检测要求安全设备》57.《电信网和互联网安全防护基线配置要求及检测要求操作系统》58.《电信网和互联网安全防护基线配置要求及检测要求数据库》59.《电信网和互联网安全防护基线配置要求及检测要求中间件》60.《电信网和互联网安全防护基线配置要求及检测要求WEB应用系统》61.《电信和互联网用户个人电子信息保护通用技术要求和管理要求》62.《电信和互联网用户个人电子信息保护检测要求》本标准与YD/T2696-2014《公众无线局域网安全防护要求》配套使用。YD/T2697-2014
随着电信网和互联网的发展,将不断补充和完善电信网和互联网安全防护体系的相关标准。本标准按照GB/T1.1-2009给出的规则起草。YD/2697-2014
本标准由中国通信标准化协会提出并归口。本标准起草单位:工业和信息化部电信研究院、中国联合网络通信集团有限公司、中国电信集团公司、中国移动通信集团公司、北京启明星辰信息技术股份有限公司。本标准主要起草人:张彦超、谢玮、龚双瑾、卜哲、廖璇、魏薇、封莎、崔涛、杨淑敏、张佳琦、王新峰、陈军、杨晓光、李祥军、崔鹏。TV
1范围
公众无线局域网安全防护检测要求YD/T26972014
本标准规定了公众无线局域网分安全保护等级的安全防护检测要求,涉及到业务安全、设备及软件系统安全、网络安全、物理环境安全和管理安全。本标准适用于基础电信业务经营者和增值电信业务经营者建设或者运营的公众无线局域网。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。YD/T1731-2008
YD/T1754-2008
YD/T1756-2.008
YD/T2698-2014
YD/T2700-2014
YD/T2/01-2014
《电信网和互联网灾难备份及恢复实施指南》《电信网和互联网物理环境安全等级保护要求》《电信网和互联网管理安全等级保护要求》《电信网与互联网安全防护基线配置要求及检测要求网络设备》《电信网与互联网安全防护基线配置要求及检测要求数据库》《电信网与互联网安全防护基线配置要求及检测要求操作系统》3术语、定义和缩略语
3.1术语和定义
下列术语和定义适用于本文件。3.1.1
无线局域网 WirelessLocatArosNeiworks采用无线工作方式:空中接口采用载波侦听多路访问/碰撞避免(CSMA/CA)技术实现共享媒质接入控制的一种局域网技术。无线局域网只涉及空中接口的物理层(PHY)和媒质接入控制层(MAC),对上层协议透明。无线局域网一般工作在2.4Giz或5.8GHz频段。在本标准中,无线局域网指空中接口采用IEEE802.11标准族规定的空中接口协议。3.1.2
公众无线局域网PublicWireless LocalAreaNetworks利用无线局域网(WLAN)、IP、Web等技术组建并为公众提供网络接入服务的网络。3.1.3
公众无线局域网安全等级SecurityClassificationofPublicWirelessLocalAreaNetwork公众无线局域网安全重要程度的表征。重要程度可从公众无线局域网受到破坏后,对国家安全、社会秩序、经济运行、公共利益、网络和业务运营商造成的损害来衡量。3.1.4
公众无线局域网安全等级保护ClassifiedSecurityProtectionofPublicWirelessLocalAreaNetwork1
YD/T2697-2014
对公众无线局域网分等级实施安全保护。3.1.5
公众无线局域网安全风险SecurityRiskofPublicWirelessLocalAreaNetwork人为或自然的威胁可能利用公众无线局域网中存在的脆弱性导致安全事件的发生及其对组织造成的影响。
公众无线局域网安全风险评估securityriskassessmentofpublicwirelesslocalareanetwork运用科学的方法和手段,系统地分析公众无线局域网所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和安全措施。防范和化解公众无线局域网安全风险,或者将风险控制在可接受的水平,为最大限度地为保障公众无线局域网的安全提供科学依据。
公众无线局域网资产AssetofPublicWirelessLocalAreaNetwork公众无线局域网中具有价值的资源,是安全防护保护的对象。公众无线局域网中的资产可能是以多种形式存在,无形的、有形的、硬件、软件,包括物理布局、通信设备、物理线路、数据、软件、文档、规程、业务承载能力、人员、管理等各种类型的资源。公众无线局域网中的典型资产包括AC、AP、Radius、WebPortal等。bzxz.net
公众无线局域网威胁ThreatofPublicWirelessLocalAreaNetwork可能导致对公众无线局域网产生危害的不希望事件潜在起因,它可能是人为的,也可能是非人为的;可能是无意失误,也可能是恶意攻击。3.1.9
公众无线局域网脆弱性VulnerabilityofPublicWirelessLocalAreaNetwork脆弱性是公众无线局域网中存在的弱点、缺陷与不足,不直接对公众无线局域网资产造成危害,但可能被公众无线局域网威胁所利用从而危及公众无线局域网资产的安全。3.1.10
公众无线局域网灾难DisasterofPublicWirelessLocalAreaNetwork由于各种原因,造成公众无线局域网故障或瘫痪,使公众无线局域网支持的业务功能停顿或服务水平不可接受、达到特定的时间的突发性事件。3.1.11
公众无线局域网火难备份 BackupforDisasterRecoveryofPublicVWirelessLocal Area Network为了公众无线局域网灾难恢复而对相关的网络要素进行备份的过程。3.1.12
公众无线局域网灾难恢复DisasterRecoveryofPublicWirelessLocalAreaNetwork为了将公众无线局域网从灾难造成的故障或瘫痪状态恢复到正常运行状态或部分正常运行状态、并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态。而设计的活动和流程。3.1.13
无线破解攻击WirelessCrackAttackYD/T2697-2014
攻击者使用工具,通过捕获802.11报文,采用逆向算法获得WLAN网络密钥,或者通过弱口令字典,并辅以不断尝试认证,对WLAN网络进行暴力破解,达到入侵的目的。3.1.14
无线钓鱼攻击WirelessFishingAttack攻击者通过工具或者搭建软AP,在目标WLAN网络附近,构造与目标WLAN网络相同或者相近的网络,引诱被害者连接,一旦连接建立,攻击者会进一步截获被害者的网络流量,获取敏感信息。3.1.15
无线中间人玫击WirelessMan-In-The-MiddleAttack攻击者通过伪造WLAN网络标识、MAC地址等物理信息,对特定用户的无线通信进行欺骗,使得正常的通信流量流经攻击者,攻击者可以在流量中插入攻击代码或截获流量中的敏感信息,发起进一步的攻击。
无线DoS攻击WirelessDenialofServiceAttack攻击者通过向WLAN网络中发送大量伪造的认证、关联等802.11报文,从而达到让AP或AC过载的目的,使得正常用户无法接入WLAN网络:或者通过发送大量伪造的去认证、去关联等802.11报文,拆除已经建立的WLAN连接,导致用户无法通过WLAN网络接入。3.1.17
无线注入攻击WirelessInjectionAttack攻击者通过伪造802.11报文,向WLAN网络中注入流量,例如通过注入ARPRequest(地址解析协议请求),对WLAN进行干扰,达到加快破解的目的;通过无线注入攻击,攻击者也可以伪造网络向量分配,抢占WLAN信道通信时间,实现拒绝服务攻击:攻击者也可以通过注入更为复杂的流量,达到网络欺骗的目的。
hotspotter攻击HotspotterAttack攻击者监测WLAN网络中的探测请求,并将发现的WLAN网络与自身的WLAN热点列表进行对比,如果一且发现匹配的WLAN网络,攻击发起者会伪造认证和关联过程,引诱用户,一旦连接建立,攻击者会进一步对受害者进行毒化或扫描,并发起进一步的攻击。3.1.19
SQL注入攻击SqlInjection
SQL注入是一个代码注入技术,它利用一个web应用程序的安全漏洞,在数据库层实施攻击。如果对用户输入的非法字符串(如web表单递交或输入域名或页面请求的查询字符串)过滤不严谨,则会把构建的恶意SQL语句传递到数据库,欺骗服务器执行恶意的SQL命令中执行。3.1.20
跨站脚本攻击CrossSiteScripting一种web应用程序的漏洞类型,能令攻击者插入客户端脚本到web页面,当其他用户查看时被攻击。3.1.21
YD/T2697-2014
网页木马Web-PageTrojan
表面上伪装成普通的网页文件或是将恶意的代码直接插入到正常的网页文件中,当有人访问时,网页木马就会利用对方系统或者浏览器的漏洞自动将配置好的木马的服务端下载到访问者的电脑上来自动执行。
TCP拒绝服务TCPFlood
一种拒绝服务攻击,利用TCP协议缺陷,发送大量伪造的TCP连接请求,从而使得被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。3.1.23
Portal 服务器Portal Server
Portal是一种web应用,通常用来提供个性化、单点登录、聚集各个信息源的内容,并作为信息系统表现层的宿主。聚集是指将来自各个信息源的内容集成到一个web页面里的活动。3.2缩略语
下列缩略语适用于本标准。
RADIUS
Access Point Controller
Access Control List
Access Point
Border Gateway Protocol
Broadband Remote Access ServerDistributed Denial of ServiceDomain Name System
Digital Subscriber Line
High Availability
Hypertext Transfer Protocol
Internet Protocol
Intermediate system to intermediate systemMedia Access Control
Open Shortest Path First
Passive Optical Network
PublicWirelessLocalAreaNetworkRemoteAuthenticationDial InUserServiceStructured Query Language
Secure Shell
Wireless IntrusionPreventionSystemWireless Local Area NetworksCross Site Script
接入控制器
访问控制列表
接入点
边界网关协议
宽带接入服务器
分布式拒绝服务攻击
域名系统
数字用户专线
高可用性
超文本传输协议
网际协议
中间系统到中间系统
介质访问控制
开放式最短路径优先
无源光纤网络
公众无线局域网
远程访问拨号接入用户服务
结构化查询语言
安全外壳协议
无线入侵防御系统
无线局域网
跨站脚本攻击
4PWLAN安全防护检测概述
4.1PWLAN安全防护检测内容
YD/T2697-2014
本标准的安全防护检测内容与YD/T2696-2014《公众无线局域网安全防护要求》一致,包括业务安全、设备及软件系统安全、网络安全、物理环境安全和管理安全。4.2PWLAN安全防护检测对象
PWLAN安全防护检测对象是基础电信业务经营者和增值电信业务经营者建设或者运营的公众无线局域网,本标准主要对公众无线局域网的各项要求的实施进行检测。4.3PWLAN安全防护检测环境
对PWLAN的安全防护检测需在现网中进行,其检测环境结构示意如图1所示。内网
中心机房代
防火墙
热点交换机
热点交换机
热点交换机
图1PWLAN安全防护检测环境结构示意被测对象包括:PWLAN网络设备(如AC、AP、BRAS、热点交换机等)和PWLAN辅助性IT系统(如运维、管理、监测系统等)。
测试工具包括:协议分析仪(应支持IP协议簇各层协议的解析)和漏洞扫描器(应支持主机扫描、端口扫描、漏洞检测等功能)。YD/T2697-2014
5PWLAN安全防护检测要求
5.1第1级要求
5.1.1业务安全要求
5.1.1.1业务认证管理
测试编号:PWLAN-第1级-业务安全-业务认证管理-01测试项目:《公众无线局域网安全防护要求》5.1.1.1-a,用户的身份标识和鉴别要求测试步骤:
1)创建合法测试账号,并保证账号功能正常:2)使用合法测试账号,提供正确的鉴别信息执行登录系统操作:3)检查系统是否通过了合法测试账户的登录操作:4)使用合法测试账户,提供错误的鉴别信息执行登录系统操作:5)检查系统是否拒绝合法测试账户的登录操作;6)使用无效的测试账户,执行登录系统操作:7)检查系统是否拒绝无效测试账户的登录操作预期结果:
1)系统对提供正确鉴别信息的台法测试账户的登录操作,予以通过:2)系统对提供错误监别信息的合法测试账户的登录操作,予以拒绝;3)系统对无效测试账户的登录操作,予以拒绝判定原则:
达到以上预期结果,则通过,否则不通过测试编号:PWLAN-第1级-业务安全-业务认证管理-02测试项目:《公众无线局域网安全防护要求》5.1.1.1-b,加密方式传输用户的口令信息测试步骤:
1)访谈相关技术人员,确认系统设计,传输业务用户的密码信息时是否进行了加密:2)通过抓包等方式,截获数据:3)验证是否以加密方式传输用户的口令信息预期结果:
1)系统设计中,传输业务用户的密码信息,需进行加密:2)抓包结果分析显示采用密文方式传输用户的口令信息判定原则:
达到以上预期结果,则通过,否则不通过
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。