中国移动通信CHINA MOBILE中国移动 WLAN设备安全功能和配置规范Specification for Security Function andConfiguration of WLAN Devices Used i nChina Mo b i l e版本号:3 . 0. 0网络与信息安全规范编号:XXXX- XX- XX 发布XXXX- XX- XX (修订)中国移动通信集团公司发布中国移动通信CHINA MOBILE中国移动设备AP控制器安全功能和配置规范目录1 概述 1.1.1 适用范围 1..1.2 内部适用性说明 1..1.3 外部引用说明 1..1.4 术语和定义 1..1.5 符号和缩略语 2.2 WLA般备安全功能和配置要求 2.2.1 账号管理及认证授权要求 2.2.1.1 账号安全要求 3.2.1.2 口令安全要求 3.2.1.3 授权安全要求 5.2.2 日志安全要求 5.2.3 IP协议安全要求 6.2.4 设备其他安全要求 7.2.5 WLA胸络业务功能要求 8.2.5.1 无线标准支持要求 错误!未定义书签2.5.2 WLAN认证功能要求 错误!未定义书签。
2.5.3 WLAN数据加密功能 错误!未定义书签2.5.4 无线参数设定功能 错误!未定义书签2.5.5 设备管理功能 错误!未定义书签2.5.6 网络配置功能 错误!未定义书签2.5.7 接入控制功能 错误!未定义书签2.5.8 信息监控功能 错误!未定义书签2.5.9 无线控制器安全配置要求 错误!未定义书签2.5.10 无线接入点安全配置要求 错误!未定义书签2.5.11 热点交换机安全配置要求 错误!未定义书签2.5.12 Portal系统安全功能要求 错误!未定义书签2.5.13 Radius服务器安全功能要求 错误!未定义书签刖百为了贯彻安全三同步的要求,在设备选型、入网测试、工程验收以及运行维护等环节,明确并落实 安全功能和配置要求有限公司组织部分省公司编制了中国移动设备安全功能和配置系列规范本系列 规范可作为编制设备技术规范、设备入网测试规范,工程验收手册,局数据模板等文档的依据本规范 是该系列规范之一,明确了中国移动各类型设备所需满足的通用安全功能和配置要求,并作为本系列其 他规范的编制基础本标准起草单位:中国移动通信有限公司网络部本标准解释单位:同提出单位本标准主要起草人:严哈、申健、李小雪、翟庆庆@中国移动通信CHINA MOBILE 中国移动AC安全功能和配置规范1概述1.1 适用范围本规范适用于中国移动通信网、业务系统和支撑系统的各类 WLA般备。
本 规范对上述 WLA般备明确了基本的安全要求本规范作为编制 WLA能备技术规 范、WLANS备入网测试规范,工程验收手册,局数据模板等文档的依据本规范通用安全功能和配置要求部分,适用于所有 WLA源统设备;之后的 安全功能和配置要求部分,分别适用于 WLA陈统对应的设备类型1.2 内部适用性说明本规范是在《中国移动设备通用设备安全功能和配置规范》 (以下简称《通 用规范》)各项设备功能要求的基础上,提出的WLAN设备的安全功能要求以 下列出本规范新增的安全功能要求,如下:1.3 外部弓I用说明《中国移动网络与信息安全总纲》《中国移动内部控制手册》《中国移动标准化控制矩阵》1.4 术语和定义设备功能要求:描述规范适用范围内设备必须和推荐满足的最低安全功能要 求可作为编制设备技术规范、设备测试规范的依据在设备入网测试时使用设备配置要求:描述规范适用范围内设备必须和推荐采用的配置要求可作为编制工程验收手册、局数据模板的依据在工程验收和运行维护时采用设备中国移动通信集团公司Page # of 21功能要求是实现设备配置要求的基础1.5 符号和缩略语缩写英文描述中文描述AP AccessPoint接入点ACAccess Point Controller接入控制器RADIUSRemote Authentication Dial In UserService远程用户拨号认证系统BRASBroadband Remote Access Server宽带远程接入服务器1.6 编制历史版本号更新时间编制人主要内容或重人修改1.0.0 2010-6新建2.0 2011-2AC与AP部分进行单列3.0 2011-4增加了 WLA原统交换机、radius、portal 部分2 WLA般备通用安全功能和配置要求本规范所指的设备为 Wi-Fi使用的WLAN设备。
本规范提出的安全功能要求要求,在未特别说明的情况下,均适用于各类 WLAN设备本规范从WLAN设备的认证授权功能、安全日志功能以及IP网络安全功能, 其他自身安全配置功能和WLAN具体设备类型提出安全要求2.1 账号管理及认证授权要求认证功能用于确认登录WLAN勺用户真实身份认证功能的具体实现方式包@中国移动通信 CHIgMO6lL£ 中国移动AC安全功能和配置规范括静态口令、动态口令、指纹等生物鉴别技术等授权功能赋予系统账号的操作 权限,并限制用户进行超越其账号权限的操作账号口令管理功能是实现正确认 证和授权的基础对于存在字符或图形界面(WE/面)的人机交互的WLANS备,应提供账号 管理及认证授权功能,并应满足以下各项要求2.1.1 账号安全要求功能要求:编号内容安全要求-设备-WLAN功能-1WLAN^备应能支持按用户分配账号安全要求-设备-WLAN功能-2WLAN^备应支持增加、删除、锁定、修改账号功能安全要求-设备-WLAN功能-3WLANE能够限制允许远程登录的账号配置要求:编号内容安全要求-设备-WLAN配置-1WLANE按照用户分配账号避免不同用户间共享账号安全要求-设备-WLAN配置-2WLANE删除或锁定与设备运行、维护等工作无关的账号。
安全要求-设备-WLAN配置-3WLAN应限制具备管理员权限的用户远程登录远程执行管理员权限操作,应先以普通权限用户远程登录后,再切换到管理员权限账号后执行 相应操作2.1.2 口令安全要求功能要求:编号内容安全要求-设备-WLAN功能-4对于采用静态口令认证技术的 WLAN^备,应支持数字、小写字母、大 写字母和特殊符号4类字符构成的口令应支持配置口令复杂度检查在配置了复杂度后检查, WLAN设备自动拒绝用户设置不符合复杂度要 求的口令中国移动通信CHINA MOBILE中国移动AC安全功能和配置规范安全要求-设备-WLAN功能-5对于采用静态口令认证技术的 WLAN^备,应支持按天配置口令生存期 功能在配置了口令生存期后, WLAN设备在口令超过生存期的用户登 录时,应提示并强迫该用户设置新口令安全要求-设备-WLAN功能-6对于采用静态口令认证技术的 WLAN^备,应支持配置用户不得重复使用其最近已用口令的功能当配置相应功能后, WLAN设备拒绝用户重复使用在限制次数内的口令,具体限制次数可配置安全要求-设备-WLAN功能-7对于采用静态口令认证技术的 WLAN^备,应支持配置用户连续认证失败次数上限。
当用户连续认证失败次数超过上限时, WLAN设备自动锁定该用户账号必须由其他账号,通常为具有管理员权限的账号, 才可以解除该账号锁定安全要求-设备-WLAN功能-8对于采用静态口令认证技术的 WLAN^备,必须支持口令修改,口令修改后不影响设备中业务的正常使用安全要求-设备-WLAN功能-9对于采用静态口令认证技术的 WLAN^备,支持静态口令加密存放安全要求-设备-WLAN功能-10WLAN^备应具备密码字典能力,能够进行弱密码检测,对于用户设置预先配置在弱密码列表中的弱密码进行密码设置拒绝安全要求-设备-WLAN功能-11WLAN设备应支持设备之间需要进行用户名、密码配置的,密码应密文处理存放,同时密码可以修改,且修改后不影响相关业务和直接关联系 统业务的运行配置要求:编号内容安全要求-设备-WLAN配置-4对于采用静态口令认证技术的 WLAN 口令长度至少6位,并包括数字、 小写字母、大写字母和特殊符号 4类中至少2类安全要求-设备-WLAN配置-5对于采用静态口令认证技术的 WLAN账户口令的生存期不长于 90天安全要求-设备-WLAN配置-6对于采用静态口令认证技术的 WLAN应配置设备,使用户不能重复使用最近5次(含5次)内已使用的口令。
安全要求-设备-WLAN配置-7对于采用静态口令认证技术的 WLA N应配置当用户连续认证失败次数超过6次(不含6次),锁定该用户使用的账号2.1.3 授权安全要求功能要求:编号内容安全要求-设备-WLAN功能-12WLANE支持对不同用户授予不同权限安全要求-设备-WLAN功能-13对于用户可通过人机交互界面访问文件系统的 WLAN^备,应支持对文件系统中的目录和文件,给不同用户或用户组分别授予读、写、执行权限配置要求:编号内容安全要求-设备-WLAN配置-12在WLANZ限配置能力内,根据用户的业务需要,配置其所需的最小权 限安全要求-设备-WLAN配置-13对于用户可通过人机交互界面访问文件系统的 WLAN在WLANZ限配置 能力内,根据用户的业务需要, 对文件系统中的目录和文件, 给不同用 户或用户组分别授予读、写、执行的最小权限安全要求-设备-WLAN配置-14不采用安全要求-设备-WLAN配置-15不采用2.2 日志安全要求功能要求:编号内容安全要求-设备-WLAN功能-16WLAN^备日志应支持对用户登录/登出进行记录记录内容包括用户登 录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用 的IP地址。
安全要求-设备-WLAN功能-17WLAN^备日志应支持记录用户对设备的操作,包括但不限于以下内容: 账号创建、删除和权限修改,口令修改,读取和修改设备配置,读取和 修改业务用户的话费数据、身份数据、涉及通信隐私数据记录需要包 含用户账号,操作时间,操作内容以及操作结果中国移动通信集团公司Page # of 21令中国移动通信 CHINA MOBILE中国移动AC安全功能和配置规范安全要求-设备-WLAN功能-18WLAN^备应支持远程日志功能 所有设备日志均能通过远程日志功能传输到日志服务器设备应支持至少一种通用的远程标准日志接口,如SYSLOGFTP 等安全要求-设备-WLAN功能-19WLAN^备日志应支持记录与 WLANf关的安全事件安全要求-设备-WLAN功能-20WLAN^备应能够按账号分配日志文件读取、 修改和删除权限,从而防止日志文件被篡改或非法删除安全要求-设备-。