收藏
下载资源

中国移动WLAN设备通用安全功能和配置规范

上传人:m**** 文档编号:563054643 上传时间:2022-08-09 格式:DOCX 页数:23 大小:60.61KB
返回 下载 相关 举报
中国移动WLAN设备通用安全功能和配置规范_第1页
第1页 / 共23页
中国移动WLAN设备通用安全功能和配置规范_第2页
第2页 / 共23页
中国移动WLAN设备通用安全功能和配置规范_第3页
第3页 / 共23页
中国移动WLAN设备通用安全功能和配置规范_第4页
第4页 / 共23页
中国移动WLAN设备通用安全功能和配置规范_第5页
第5页 / 共23页
点击查看更多>>
资源描述

《中国移动WLAN设备通用安全功能和配置规范》由会员分享,可在线阅读,更多相关《中国移动WLAN设备通用安全功能和配置规范(23页珍藏版)》请在金锄头文库上搜索。

1、中国移动 WLAN设备安全功能和配置规范Specification for Security Function andConfiguration of WLAN Dev ices Used inChina Mo b i l e版本号:3 . 0. 0网络与信息安全规范编号:XXXX- XX- XX 发布XXXX- XX- XX(修订)中国移动通信集团公司发布目录1 概述 11.1 适用范围11.2 内部适用性说明 11.3 外部引用说明 11.4 术语和定义 11.5 符号和缩略语 22WLAN备安全功能和配置要求2.1 账号管理及认证授权要求 22.1.1 账号安全要求32.1.2 口令安全

2、要求32.1.3 授权安全要求52.2 日志安全要求 52.3 IP协议安全要求 62.4 设备其他安全要求 72.5 WLANJ络业务功能要求 82.5.1 无线标准支持要求 错误!未定义书签。2.5.2 WLA认证功能要求 错误!未定义书签。2.5.3 WLA瞰据加密功能 错误!未定义书签。2.5.4 无线参数设定功能 错误!未定义书签。2.5.5 设备管理功能 错误!未定义书签。2.5.6 网络配置功能 错误!未定义书签。2.5.7 接入控制功能 错误!未定义书签。2.5.8 信息监控功能 错误!未定义书签。2.5.9 无线控制器安全配置要求 错误!未定义书签。2.5.10 无线接入点安

3、全配置要求 错误!未定义书签。2.5.11 热点交换机安全配置要求 错误!未定义书签。2.5.12 Portal系统安全功能要求 错误!未定义书签。2.5.13 Radius服务器安全功能要求 错误!未定义书签。、/ 、 .刖百为了贯彻安全三同步的要求,在设备选型、入网测试、工程验收以及运行维护等环节,明确并落实 安全功能和配置要求。有限公司组织部分省公司编制了中国移动设备安全功能和配置系列规范。本系列 规范可作为编制设备技术规范、设备入网测试规范,工程验收手册,局数据模板等文档的依据。本规范 是该系列规范之一,明确了中国移动各类型设备所需满足的通用安全功能和配置要求,并作为本系列其 他规范的

4、编制基础。本标准起草单位:中国移动通信有限公司网络部本标准解释单位:同提出单位本标准主要起草人:严哈、申健、李小雪、翟庆庆1概述1.1 适用范围本规范适用于中国移动通信网、业务系统和支撑系统的各类 WLA般备。本 规范对上述 WLA般备明确了基本的安全要求。本规范作为编制 WLA般备技术规 范、WLA股备入网测试规范,工程验收手册,局数据模板等文档的依据。本规范通用安全功能和配置要求部分,适用于所有 WLA源统设备;之后的 安全功能和配置要求部分,分别适用于 WLA陈统对应的设备类型。1.2 内部适用性说明本规范是在中国移动设备通用设备安全功能和配置规范 (以下简称通 用规范)各项设备功能要求

5、的基础上,提出的WLANS备的安全功能要求。以下 列出本规范新增的安全功能要求,如下:1.3 外部引用说明中国移动网络与信息安全总纲中国移动内部控制手册中国移动标准化控制矩阵1.4 术语和定义设备功能要求:描述规范适用范围内设备必须和推荐满足的最低安全功能要 求。可作为编制设备技术规范、设备测试规范的依据。在设备入网测试时使用。设备配置要求:描述规范适用范围内设备必须和推荐采用的配置要求。可作为编制工程验收手册、局数据模板的依据。在工程验收和运行维护时采用。设备功能要求是实现设备配置要求的基础。1.5 符号和缩略语缩写英文描述中文描述APAccess Point接入点ACAccess Poin

6、t Controller接入控制器RADIUSRemote Authentication Dial In UserService远程用户拨号认证系统BRASBroadband Remote Access Server宽带远程接入服务器1.6 编制历史版本号更新时间编制人主要内容或重人修改1.0.02010-6新建2.02011-2AC与AP部分进行单列3.02011-4增加了 WLA原统交换机、radius、portal部 分2 WLAg:备通用安全功能和配置要求本规范所指的设备为 Wi-Fi使用的WLANS备。本规范提出的安全功能要求 要求,在未特别说明的情况下,均适用于各类 WLA般备。本

7、规范从WLA般备的认证授权功能、安全日志功能以及 IP网络安全功能, 其他自身安全配置功能和WLANR体设备类型提出安全要求。2.1 账号管理及认证授权要求认证功能用于确认登录WLAN勺用户真实身份。认证功能的具体实现方式包括静态口令、动态口令、指纹等生物鉴别技术等。授权功能赋予系统账号的操作 权限,并限制用户进行超越其账号权限的操作。账号口令管理功能是实现正确认 证和授权的基础。对于存在字符或图形界面(WEB1面)的人机交互的WLANS备,应提供账号 管理及认证授权功能,并应满足以下各项要求。2.1.1 账号安全要求功能要求:编号内容安全要求-设备-WLAN-功能-1WLAN备应能支持按用户

8、分配账号。安全要求-设备-WLAN-功能-2WLAN备应支持增加、删除、锁定、修改账号功能。安全要求-设备-WLAN-功能-3WLANE能够限制允许远程登录的账号。配置要求:编号内容安全要求-设备-WLAN-g1置-1WLANE按照用户分配账号。避免不同用户间共享账号。安全要求-设备-WLAN-g1置-2WLANE删除或锁定与设备运行、维护等工作无关的账号。安全要求-设备-WLAN-g1置-3WLAN应限制具备管理员权限的用户远程登录。远程执行管理员权限操作,应先以普通权限用户远程登录后,再切换到管理员权限账号后执行 相应操作。2.1.2 口令安全要求功能要求:编号内容安全要求-设备-WLAN

9、-功能-4对于采用静态口令认证技术的WLAN备,应支持数字、小写字母、大写字母和特殊符号 4类字符构成的口令。应支持配置口令复杂度检查。在配置了复杂度后检查,WLAN设备自动拒绝用户设置不符合复杂度要求的口令。安全要求-设备-WLAN-功能-5对于采用静态口令认证技术的 WLAN备,应支持按天配置口令生存期 功能。在配置了口令生存期后, WLAN设备在口令超过生存期的用户登录时,应提示并强迫该用户设置新口令。安全要求-设备-WLAN-功能-6对于采用静态口令认证技术的 WLAN备,应支持配置用户不得重复使用其最近已用口令的功能。当配置相应功能后,WLAN设备拒绝用户重复使用在限制次数内的口令,

10、具体限制次数可配置。安全要求-设备-WLAN-功能-7对于采用静态口令认证技术的 WLAN备,应支持配置用户连续认证失败次数上限。当用户连续认证失败次数超过上限时,WLAN设备自动锁定该用户账号。必须由其他账号,通常为具有管理员权限的账号,才可以解除该账号锁定安全要求-设备-WLAN-功能-8对于采用静态口令认证技术的 WLAN备,必须支持口令修改,口令修改后不影响设备中业务的正常使用。安全要求-设备-WLAN-功能-9对于采用静态口令认证技术的WLAN备,支持静态口令加密存放。安全要求-设备-WLAN-功能-10WLAN备应具备密码字典能力,能够进行弱密码检测,对于用户设置预先配置在弱密码列

11、表中的弱密码进行密码设置拒绝。安全要求-设备-WLAN-功能-11WLAN设备应支持设备之间需要进行用户名、密码配置的,密码应密文处理存放,同时密码可以修改,且修改后不影响相关业务和直接关联系 统业务的运行。配置要求:编号内容安全要求-设备-WLAN-g1置-4对于采用静态口令认证技术的 WLAN 口令长度至少6位,并包括数字、 小写字母、大写字母和特殊符号4类中至少2类。安全要求-设备-WLAN-g1置-5对于采用静态口令认证技术的WLAN账户口令的生存期不长于 90天。安全要求-设备-WLAN-g1置-6对于采用静态口令认证技术的WLAN应配置设备,使用户不能重复使用最近5次(含5次)内已

12、使用的口令。安全要求-设备-WLAN-g1置-7对于采用静态口令认证技术的WLAN应配置当用户连续认证失败次数超过6次(不含6次),锁定该用户使用的账号。2.1.3授权安全要求功能要求:编号内容安全要求-设备-WLAN-功能-12WLANE支持对不同用户授予不同权限。安全要求-设备-WLAN-功能-13对于用户可通过人机交互界面访问文件系统的WLAN备,应支持对文件系统中的目录和文件,给不同用户或用户组分别授予读、写、执行权限。配置要求:编号内容安全要求-设备-WLAN朝置-12在WLANZ限配置能力内,根据用户的业务需要,配置其所需的最小权 限。安全要求-设备-WLAN朝置-13对于用户可通

13、过人机交互界面访问文件系统的 WLAN在WLANR限配置 能力内,根据用户的业务需要, 对文件系统中的目录和文件, 给不同用 户或用户组分别授予读、写、执行的最小权限。安全要求-设备-WLAN-ll置-14不采用安全要求-设备-WLAN朝置-15不采用2.2 日志安全要求功能要求:编号内容安全要求-设备-WLAN-功能-16WLAN备日志应支持对用户登录/登出进行记录。记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址。安全要求-设备-WLAN-功能-17WLAN备日志应支持记录用户对设备的操作,包括但不限于以下内容: 账号创建、删除和权限修改,口令修改

14、,读取和修改设备配置,读取和 修改业务用户的话费数据、身份数据、涉及通信隐私数据。记录需要包 含用户账号,操作时间,操作内容以及操作结果。安全要求-设备-WLAN-功能-18WLAN备应支持远程日志功能。所有设备日志均能通过远程日志功能传输到日志服务器。设备应支持至少一种通用的远程标准日志接口,如SYSLOG FTP等。安全要求-设备-WLAN-功能-19WLAN备日志应支持记录与 WLAN1关的安全事件。安全要求-设备-WLAN-功能-20WLAN备应能够按账号分配日志文件读取、修改和删除权限,从而防止日志文件被篡改或非法删除。安全要求-设备-WLAN-功能-21日志保存时间应满足:通过WLAN备本地端口直接操作的系统操作日志本地保存不小于 7天。配置要求:编号内容安全要求-设备-WLAN朝置-16WLAN设备应配置日志功能,对用户登录进行记录,记录内容包括用 户登录使用的账号,登录是否成功,登录时间,以及远程登录时, 用户使用的IP地址。安全要求-设备-WLAN朝置-17WLAN设备应配置日志功能,记录用户对设备的操作,包括但不限于以下内容:账号创建、删除和权限修改,口令修改, 读取和修改设备 配置,读取和修改业务用户的话费数据、 身份数据、涉及通信隐私数 据。记录

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 商业/管理/HR > 营销创新

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号