【GA公共安全标准】 信息安全技术互联网公共上网服务场所信息安全管理系统的无线上网接入产品安全技术要求

ICS35.040
中华人民共和国公共安全行业标准GA 1716—2020
信息安全技术
，互联网公共上网服务
场所信息安全管理系统的无线上网接入产品安全技术要求
Information security technology-Security technical requirements for wirelessinternet accessing products of information security management system forpublic internetservicearea
2020-04-02发布
中华人民共和国公安部
2020-08-01实施
规范性引用文件
3术语和定义
缩略语
产品描述
安全功能要求
［网管理
设备接人
自身安全要求
远程通讯端的数据交换
7数据交换格式
前端数据交换格式
基础数据交换格式
8数据传输规范
数据传输文件规范免费标准bzxz.net
文件传输接口规范·
9统一XML.Schema格式说明
XML Schema定义...
元索信息插述
属性信总描述
取值定义描述·
数据传输接口
TCP/UDP接口
FTP接口
附录A（规范性附录）
附录B（规范性附录）
附录C（规范性附录）
附录D（规范性附录）
命名和编码规范
数据传输格式样例
美字符转义
附录E（规范性附录）
厂商端口号、加密约定
GA 1716—2020
本标准按照GB/T1.12009给出的规则起草。本标滩由公安部网络安全保卫局提出。本标准出公安部信息系统安全标准化技术委员会归口。本标准起草单位：公安部网络安全保卫局、公安部第三研究所本标准主要起草人：顾玮、顾建新、俞优、邹春明、赵婷、顾健，GA1716—2020
1范围
信息安全技术互联网公共上网服务场所信息安全管理系统的无线上网接入产品安全技术要求
GA1716—2020
本标准舰定了互联网公共1网服务场所信息安全管理系统的无线「网接人产品安全功能要求、数据交换格式、数据传输规范、统一XMLSchetna格式说明、数据传输接口等内容。本标准适用丁五联网公共上网服务场所信息安全管理系统的无线上网接入产品的设计、开发及检测。
2规范性引用文件
下列文件对丁本文件的应用是必不可少的：凡是注日期的引用文件，仅注日期的版本适用丁本文件：凡是不注日期的引用文件，其最新版本（包括所有的修改单)适用于本文件：G3/T2260中华人民共和国行政区划代码G3/T5271.82001信息技术词汇第8部分：安伞GA/T3802012全国公安机关机构代码编制规则GA/T2000.156—2015常用证件代码3术语和定义
GB/T2260,GB/T5271.82001、GA/T 2000.1562016界定的以及下列术语和定义适用丁本文件。
无线上网wirelessinternet accessing使用具备无线网卡设备的终端通过无线传输协议接人互联网并使用互联网资源。3.2
手机短消息认证moblie phone shortmessage authentication在公共场所无线上网时用来对试图接人场所的无线终端进行认证，认证方式为手机短消息：4缩略语
下列缩略语适用丁本文件，
AP：无线接人点（AccessPoint）wEP：有线等效保密办议（wircdEquivalentPrivacy）WIFl：无线网（WirclcssFidelity）WPA：wiFi网络安全接人（wiFiProlectedAccess）1
GA 1716—2020
5产品描述
互联网公共上网服务场所是指为公众提供免费的互联网上网服务的场所，五联网公共上网服务场所信息安全管理系统是指部署在互联网公共「网服务场所的信息安全管理系统，由前端「网接人产品和后台远程通信端两部分组成
后台远程通信端部署在研发单位、届地公安管理部门，可实现对前端「网接人产品的集中管理.接收前端1网接人产品「传的各类审计数据。无线「网接人产品(以下简称产品)是指部署在该奖场所：为网民提供无线「网接服务，同时实现！网行为审订和「传的产品，对于使用在人型场所的产品，一般以网关或名网桥模式呈现，申联或名旁路模式部署在场所网络出口处，结合场所内已有的无线AP设备，为用户提供无线1网接人服务：对于使用在较小型场所的产品，一般以网关路由模式呈现.设备同时其各无线AP模块，为用提供无线上网接人服务。6安全功能要求
6.1上网管理
6.1.1上网终端管理
具备控制上网终端访问五联网的管理功能，具体要求如下：a）末通过认证的「网终端禁止访问五联网，认证成功的「网终端允许访问互联网：h）通过认证的「网终端在可设置的一段时间内再次访问互联网时，无需二次认证；c）1网终端若一段时间无「网操作，应将其强制下线，时间段可设。6.1.2上网身份认证
6.1.2.1手机短消息认证方式
采用在网页页面或名移动APP界面中输入于机号码和于机短消息认证密码的方式对上网人员近行认证，并要求：
a）输入手机码和短消总验证码：b）无效手机短消息验证码禁止通过认证：对已认证成功的移动终端，建立手机号码和终端MAC的绑定关系，通过和APP认证中心的数据交换.使该终端在所有使用APP认证方式的场所实现统一免认证「网；对于机号码和MA地址绑定关系应定期强制重新绑定：d)
对于史换于机号码、MAC地址和于机号码绑定关系异常的终端.重新进行认证。e
第三方APP身份认证方式
支持「网人员使用经过真实身份验证或名手机号码绑定的第三方APP用户账号进行认证，6.1.2.3自助身份证件认证
支持通过识别比对上网人员白助读取身份证或其他身份证件的电子身份信息而获取的上网认证凭证进行认证。
6.1.2.4其他认证方式
可支持其他经过真实身份验证或者于机号码绑定等管理要求的认证方式。2
终端上下线日志记录
GA1716—2020
记录终端「下线的志，根据不同的！网认证方式，记录的Ⅱ志信息内容和要求如下：对于手机短消息认证方式，记录内容如表1所示，数据交换格式见7.1.1：a
对丁第一方APP认证方式.记录内容如2所示，数据交换格式见7.1.1；对于自助身份证件认证方式，记录内容如表3所示，数据交换格式见7.1,1；记录场所端基础数据，具体数据内容和交换格式见7.2；对暂存在本地的「！下线志记录中的敏感信息加以保护：保证日志记录不被修收，并能防止非授权用户的访问：数据完成上报之后本地禁止留存表1手机短消息认证方式上下线日志记录序号
记录内容
认证类型
认证账号
上网服务场所编码
上线时间
下线时间
场所内网[P地址
源外网1P4/1P6地址
源外网IPv4/IPv6起始端口号
源外网1Pv4/IPv6结束端11号
终端MAC地址
AP设备编号
AP设备MAC地址
移动AP经度
移动AP纤度
会话ID
Y坐标（可选）
Y坐标（可选）
站点信息
第三方APP认证方式上下线日志记录记录内容
认证类型
认证账号
APP）商名称
X表示止东方问
Y表示正北方向
GA 1716—2020
表2（续）
记录内容
APP应川软件名称
APP版农号
APP终端认证码
上网服务场所编码
场所类型
1线时间
下线时间
终端MAC地址
场所内网IP地址
源外网IPv1/IPv6地址
源外网IPv4/IPv6起始端11号
源外网IPvi/IPv6结束端1号
AP设备编号
AP设备MAC地址
移动AP经度
移动AP纬度
站点信息
会话1D)
X坐标(可选）
Y坐标(可选）
终端IMSI码（可选）
终端1MEI码（可选）
终端操作系统版本（可选）
终端品牌（可选）
终端型号（可选）
站点信息
自助身份证件认证方式上下线日志记录记录内容
认证类型
认证账号
身份证件类型
身份证件号码
X表示正东方向
丫表示正北方向
上网日志记录
表3（续）
记录内容
1网人员姓名
上网服务场所编码
场所类荆
上线时问
下线时间
场所内网IP地址
源外网IPv4/IPv6地址
源外网IPv4/IPv6起始端口号
源外网TP4/IPv6结束端口号
终端MAC地址
AP设备编号
AP设备MAC地址
移动AP设备经度
移动AP设备纬度
站点信息
场强(可选)
会话ID
入坐标（可选）
Y坐标（可选）
站点信息
记录公共「网服务场所内各终端的「网山志信总，具体要求如下：a)
日志信息应记录的具体数据内容和交换格式见7.1.2；对暂存在本地的上网记录中的感信息加以保扩；保证Ⅱ志记录不被修改，并能防止非授权用户的访问；数据完成「报之后本地禁止留存。设备接入
接入方式
GA 1716—2020
丫表示正东方向
丫表示正北方向
具备旁路镜像、透明网桥或网关路由等模式中的一种或名多种接入场所网络出口，实现对场所「网流量的审计，具体要求如下：旁路镜像接人：将设备的数据监控口连接在场所网络出口交换机的镜像端口上，通过交换机对a）
场所互联网主干通道的数据镜像审计场所端1网的流量：b)
透明网桥接人：将设备以网桥方式串接在场所端访问五联网的主干通道1.对流经设备的15
GA 1716—2020
网流量进行中计；
网关路由接入：将设备部署成场所端局域网连接互联网的出口网关设备或路由器，对流经设备的！网流量进行审计。
6.2.2网络传输影响
在线模式部翼的产品，不能影响原网络系统的传输性能，延时下降率不能超过10%，6.3自身安全要求
6.3.1标识与鉴别
其备自身标识与鉴别功能·其体要求如下：a）：提供授权管埋员鉴别数初始化的功能；保护存诺于设备中的鉴别数据不受授权查阅、修改和破坏：h)
c）保证鉴别数据中的登录密码具备一定的复杂度要求（例如密码长度8位以上，包括数字和字母等)；
d）在鉴别尝试失败-定次数以后.终止用建立会话的过程，最多失败次数仪由授权管埋员设定：
c）鉴别任何通过系统控制口履行授权管理员功能的管理员身份。6.3.2系统操作日志
其各系统操作日志记录和保护功能，其体要求如下：a）记录控制道道内用的操作信息，包括管理员登录/退出，系统配置操作等；h）防止非授权用户访问Ⅱ志记录；以技术措施保证日志记录不被修改和删除：C
d）支持本地或者联网查询系统操作日志，6.3.3设备自身保护功能
具各白身保护功能，具体要求如下：a）设备的底层操作系统不提供多余的网络服务，不放多余的网络端口；设备具备一定的抵御网络攻击能力.例如能够抵御SYVIlool,Pingolcleath和UDPlood等b)
基本的拒绝服务攻击：
6.4远程通讯端的数据交换
6.4.1用户上下线记录上传
即时或者定时向远程通讯端上传上网人员上下线数据，具体数据交换格式见7.1.1，上传方式见第10章，
6.4.2上网日志记录上传
即时或者定时间远程通讯端上传用户上网记录，具体数据交换格式见7.1.2.上传方式见第10章。6.4.3设备运行状态分析及上传
应具备运行状态分析功能，例如正觉在线、兄常在线等，并能定时「传至远程通信端传方式见第10章。
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。