前 范 規范性引用文 術語和定 命名規 上網管 安全審計設備的接 遠程通訊管理端的數據交 測試工 檢驗規 檢驗分 抽樣批次和方 本文件規定了無線上網安全審計系統的命名規則、功能要求、測試方法和檢驗規則。本文件適用于無線上網安全審計系統的研發設計。下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GA/WA3011.1—2015GB/T2828.1—2012計數抽樣檢驗程序第1AQL無線上網安全審計系統命名規則如下圖1所示。×××11151.2通則應提供對場所內各類終端無線上網認證的途徑，主要包括上網人員通過手機號碼和短消息認證、移動終端APP認證、自助身份證認證等方式中的一種或者多種進行認證上網，認證信息具備一定的有效時長，若超過時長則驗證碼失效。應具備釆用WEB頁面認證或者移動APP認證的方式，上網用戶通過輸入手機號碼和短消息驗證碼 對于已認證成功的移動終端，應建立手機號碼和終端MAC的綁定關系，通過和APP認證中心APP認證方式的場所實現統一免認證上網；對手機號碼和MAC對于更換手機號碼、MAC應提供自助身份認證方式，上網人員可通過自助讀取身份證或其他身份證件的電子身份信息以獲取上網認證憑證，無線上網場所端通過識別比對上網人員輸入的認證憑證，進行有效的上網認證。第三方APP應提供第三方APP身份認證方式，該APP無線上網場所端除具備上述三種認證方式以外，可具備其他認證方式，該認證方式必須符合經過真實身份驗證或者手機號碼綁定等管理要求。1.3 1GA/WA3011.1—2015A；表1手機短消息認證方式上下線日志記錄（續APAP設備MAC移動AP移動APX（可選XY（可選Y 對于第三方APP認證方式，應記錄內容如表2所示，數據交換格式參考GA/WA3011.1—2015A；表2第三方APPAPPAPPAPP終端MACAP表2第三方APP（續AP設備MAC移動AP移動APX（可選XY（可選Y 3GA/WA3011.1—2015A；表3表3自助身份證件認證方式上下線日志記錄（續終端MACAPAP設備MACAPAPX（可選XY（可選Y 45678GA/WA3011.1—2015中附錄A；4場所基礎信息4場所基礎信息（續5安全廠商基礎信息6APAPAP設備MAC7固定APAP設備MACAPAP8移動AP車輛必填，如滬51.49GA/WA3011.1—20159上網日志記錄信息場所內網IPAPAPAP應對暫存在本地的上網記錄中的敏感信息加以保護應具備旁路鏡像、透明網橋或者網關路由等模式中的一種或者多種接入場所網絡出口，實現對場所上網流量的審計，具體要求如下： 旁路鏡像接入：將設備的數據監控口連接在交換機的鏡像端口上，通過交換機對場所互聯網主干通道的數據鏡像審計場所端上網的流量； 透明網橋接入：將設備以網橋方式串接在場所端訪問互聯網的主干通道上，對流經設備的上網流量進行審計； 網關路由接入：將設備部署成場所端局域網連接互聯網的出口網關設備或路由器，對流經設備的上網流量進行審計。場所端設備接入場所端網絡后，不能影響場所端原有網絡設備和上網終端的功能；對于在線模式部署的場所端設備，不能影響原網絡系統的傳輸性能，延時下降率不能超過10%。設備的底層操作系統不提供多余的網絡服務，應即時向無線管理后臺上傳認證數據和上網人員終端上下線數據，在網絡正常的情況下，從上網人員認證、上網終端上線或下線動作發生至無線管理后臺接收到數據的時間間隔不超過30s。應向無線管理后臺即時上傳上網記錄，在網絡條件正常的情況下，上網人員上網日志記錄開始上傳至無線管理后臺接收到數據的時間間隔應不超過30s。應保證違法信息過濾策略在被正確接收后的60s應保證與無線管理后臺數據傳輸的保密性、1WFBBPS上網用戶管理6.2111 使用上網終端連接目標網絡，不通過身份認證或通過錯誤的鑒別信息進行認證后，嘗試訪問互聯網，若訪問成功，則本項判為不符合； 上網人員身份認證 嘗試通過產品提供的身份認證方式進行認證，若未提供上網人員通過手機號碼和短消息認證、移動終端APP認證、自助身份證認證等方式中的一種或者多種，則本項判為不符合； 嘗試通過產品提供的身份認證方式進行認證并獲取驗證碼，達到超時時間后嘗試進行身份認6.211.3 嘗試通過產品提供的手機短消息認證方式進行認證，若不具備釆用WEB頁面認證或者移動APP 通過移動APPAPP嘗試對手機號碼和MAC 對于更換手機號碼、MAC地址和手機號碼以及MAC地址和手機號碼綁定關系異常，若不能重6.21 嘗試不通過自助讀取身份證或其他身份證件的電子身份信息獲取上網認證憑證進行上網認證，若認證成功，則本項判為不符合。6.211.5APP嘗試通過第三方APP 嘗試使用未進行真實身份驗證或者手機號碼綁定的第三方APP6.211.6嘗試通過其他認證方式進行認證，若使用未進行真實身份驗證或者手機號碼綁定的方式即可認證成功，則判為不符合。 釆用第三方APP 釆用自助身份認證方式進行身份認證，并進行上下線操作，若不能生成上下線日志或日志內容不正確，則本項判為不符合；若不能生成場所端基礎數據或日志內容不正確， 若上下線日志記錄的數據交換格式不符合GA/WA3011.1—2015中附錄A的要求，則本項判為 使用終端通過身份認證并訪問互聯網，若未記錄終端的上網日志信息或日志內容不正確，則本項判為不符合； 若上網日志記錄的數據交換格式不符合GA/WA3011.1—2015A的要求，則本項判為不分別嘗試以旁路鏡像、透明網橋或者網關路由等模式接入安全審計設備，若不具備旁路鏡像、透明網橋或者網關路由等模式中的一種或者多種方式，則判為不符合。 分別嘗試以旁路鏡像、透明網橋或者網關路由等模式接入安全審計設備，正常運行，若設備接入場所端網絡后影響場所端原有網絡設備和上網終端的功能，則本項判為不符合； 對于在線模式部署的場所端設備，若影響原網絡系統的傳輸性能，延時下降率超過10%，則本項判為不符合。 設置鑒別失敗嘗試次數（或內置鑒別嘗試失敗達到該次數以后，嘗試以正確的用戶名和鑒別信息進行鑒別，若不能終止用戶建立會話的過程，則本項判為不符合； 使用未授權用戶嘗試不經過鑒別即通過系統控制口履行授權管理員功能，若成功，則本項判為不符合。 對產品進行安全性測試，若產品的底層操作系統提供多余的網絡服務，或者開放多余的網絡端口，則本項判為不符合； SYNflood、PingofdeathUDPflood使用終端進行認證，并生成上下線數據，若從上網人員認證、上網終端上線或下線動作發生至無線管理后臺接收到數據的時間間隔＞30s，則判為不符合。使用終端進行認證，并生成上網數據，若從上網人員上網日志記錄開始上傳至無線管理后臺接收到數據的時間間隔應＞30s，則判為不符合。 分析數據并與實際的終端上下線和上網等事件比對，若不一致或數據交換時沒有完整性和一致性相關安全性保障，則本項判為不符合。 調整場所端系統時鐘與管理后臺系統的時鐘，使其差距一段時間，嘗試進行時間同步操作，若不能同步或者同步誤差＞ls，則本項判為不符合； 嘗試進行集中遠程升級操作，若不能對升級進行集中式管理，或者在網絡正常