中国移动WLAN设备安全功能与配置规范.docx

1、中国移动WLAN设备安全功能与配置规范中国移动WLAN设备安全功能和配置规范Specification for Security Function and Configuration of WLAN Devices Used in China Mobile版本号：3.0.0网络与信息安全规范编号:XXXX-XX-XX 发布XXXX-XX-XX（修订）中国移动通信集团公司 发布 前言为了贯彻安全三同步的要求，在设备选型、入网测试、工程验收以及运行维护等环节，明确并落实安全功能和配置要求。有限公司组织部分省公司编制了中国移动设备安全功能和配置系列规范。本系列规范可作为编制设备技术规范、设备入网测试

2、规范，工程验收手册，局数据模板等文档的依据。本规范是该系列规范之一，明确了中国移动各类型设备所需满足的通用安全功能和配置要求，并作为本系列其他规范的编制基础。本标准起草单位：中国移动通信有限公司网络部本标准解释单位：同提出单位本标准主要起草人：严晗、申健、李小雪、翟庆庆1 概述2 2.1 适用范围2.2 本规范适用于中国移动通信网、业务系统和支撑系统的各类WLAN设备。本规范对上述WLAN设备明确了基本的安全要求。本规范作为编制WLAN设备技术规范、WLAN设备入网测试规范，工程验收手册，局数据模板等文档的依据。本规范通用安全功能和配置要求部分，适用于所有WLAN系统设备；之后的安全功能和配置

3、要求部分，分别适用于WLAN系统对应的设备类型。2.3 内部适用性说明2.4 本规范是在中国移动设备通用设备安全功能和配置规范（以下简称通用规范）各项设备功能要求的基础上，提出的WLAN设备的安全功能要求。以下列出本规范新增的安全功能要求，如下：2.5 外部引用说明2.6 中国移动网络与信息安全总纲中国移动内部控制手册中国移动标准化控制矩阵2.7 术语和定义2.8 设备功能要求：描述规范适用范围内设备必须和推荐满足的最低安全功能要求。可作为编制设备技术规范、设备测试规范的依据。在设备入网测试时使用。设备配置要求：描述规范适用范围内设备必须和推荐采用的配置要求。可作为编制工程验收手册、局数据模板

4、的依据。在工程验收和运行维护时采用。设备功能要求是实现设备配置要求的基础。2.9 符号和缩略语缩写英文描述中文描述APAccess Point接入点ACAccess Point Controller接入控制器RADIUSRemote Authentication Dial In User Service远程用户拨号认证系统BRASBroadband Remote Access Server宽带服务器2.10 编制历史版本号更新时间编制人主要内容或重大修改1.0.02010-6新建2.02011-2AC与AP部分进行单列3.02011-4增加了WLAN系统交换机、radius、portal部分3

5、 WLAN设备通用安全功能和配置要求4 本规范所指的设备为Wi-Fi使用的WLAN设备。本规范提出的安全功能要求要求，在未特别说明的情况下，均适用于各类WLAN设备。本规范从WLAN设备的认证授权功能、安全日志功能以及IP网络安全功能，其他自身安全配置功能和WLAN具体设备类型提出安全要求。4.1 账号管理及认证授权要求4.2 认证功能用于确认登录WLAN的用户真实身份。认证功能的具体实现方式包括静态口令、动态口令、指纹等生物鉴别技术等。授权功能赋予系统账号的操作权限，并限制用户进行超越其账号权限的操作。账号口令管理功能是实现正确认证和授权的基础。对于存在字符或图形界面（WEB界面）的人机交互

6、的WLAN设备，应提供账号管理及认证授权功能，并应满足以下各项要求。4.2.1 账号安全要求4.2.2 功能要求：编号内容安全要求-设备-WLAN-功能-1 WLAN设备应能支持按用户分配账号。安全要求-设备-WLAN-功能-2WLAN设备应支持增加、删除、锁定、修改账号功能。安全要求-设备-WLAN-功能-3WLAN应能够限制允许远程登录的账号。配置要求：编号内容安全要求-设备-WLAN-配置-1WLAN应按照用户分配账号。避免不同用户间共享账号。安全要求-设备-WLAN-配置-2WLAN应删除或锁定与设备运行、维护等工作无关的账号。安全要求-设备-WLAN-配置-3WLAN应限制具备管理员

7、权限的用户远程登录。远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到管理员权限账号后执行相应操作。4.2.3 口令安全要求4.2.4 功能要求：编号内容安全要求-设备-WLAN-功能-4对于采用静态口令认证技术的WLAN设备，应支持数字、小写字母、大写字母和特殊符号4类字符构成的口令。应支持配置口令复杂度检查。在配置了复杂度后检查，WLAN设备自动拒绝用户设置不符合复杂度要求的口令。安全要求-设备-WLAN-功能-5对于采用静态口令认证技术的WLAN设备，应支持按天配置口令生存期功能。在配置了口令生存期后，WLAN设备在口令超过生存期的用户登录时，应提示并强迫该用户设置新口令。安

8、全要求-设备-WLAN-功能-6对于采用静态口令认证技术的WLAN设备，应支持配置用户不得重复使用其最近已用口令的功能。当配置相应功能后，WLAN设备拒绝用户重复使用在限制次数内的口令，具体限制次数可配置。安全要求-设备-WLAN-功能-7对于采用静态口令认证技术的WLAN设备，应支持配置用户连续认证失败次数上限。当用户连续认证失败次数超过上限时，WLAN设备自动锁定该用户账号。必须由其他账号，通常为具有管理员权限的账号，才可以解除该账号锁定安全要求-设备-WLAN-功能-8对于采用静态口令认证技术的WLAN设备，必须支持口令修改，口令修改后不影响设备中业务的正常使用。安全要求-设备-WLAN

9、-功能-9对于采用静态口令认证技术的WLAN设备，支持静态口令加密存放。安全要求-设备-WLAN-功能-10WLAN设备应具备密码字典能力，能够进行弱密码检测，对于用户设置预先配置在弱密码列表中的弱密码进行密码设置拒绝。安全要求-设备-WLAN-功能-11WLAN设备应支持设备之间需要进行用户名、密码配置的，密码应密文处理存放，同时密码可以修改，且修改后不影响相关业务和直接关联系统业务的运行。配置要求：编号内容安全要求-设备-WLAN-配置-4对于采用静态口令认证技术的WLAN，口令长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。安全要求-设备-WLAN-配置-5对于采用

10、静态口令认证技术的WLAN，账户口令的生存期不长于90天。安全要求-设备-WLAN-配置-6对于采用静态口令认证技术的WLAN，应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令。安全要求-设备-WLAN-配置-7对于采用静态口令认证技术的WLAN，应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。4.2.5 授权安全要求4.2.6 功能要求：编号内容安全要求-设备-WLAN-功能-12WLAN应支持对不同用户授予不同权限。安全要求-设备-WLAN-功能-13对于用户可通过人机交互界面访问文件系统的WLAN设备，应支持对文件系统中的目录和文件，给不同用户或用户

11、组分别授予读、写、执行权限。配置要求：编号内容安全要求-设备-WLAN-配置-12在WLAN权限配置能力内，根据用户的业务需要，配置其所需的最小权限。安全要求-设备-WLAN-配置-13对于用户可通过人机交互界面访问文件系统的WLAN，在WLAN权限配置能力内，根据用户的业务需要，对文件系统中的目录和文件，给不同用户或用户组分别授予读、写、执行的最小权限。安全要求-设备-WLAN-配置-14不采用安全要求-设备-WLAN-配置-15不采用4.3 日志安全要求4.4 功能要求：编号内容安全要求-设备-WLAN-功能-16WLAN设备日志应支持对用户登录/登出进行记录。记录内容包括用户登录使用的账

12、号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。安全要求-设备-WLAN-功能-17WLAN设备日志应支持记录用户对设备的操作，包括但不限于以下内容：账号创建、删除和权限修改，口令修改，读取和修改设备配置，读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。记录需要包含用户账号，操作时间，操作内容以及操作结果。安全要求-设备-WLAN-功能-18WLAN设备应支持远程日志功能。所有设备日志均能通过远程日志功能传输到日志服务器。设备应支持至少一种通用的远程标准日志接口，如SYSLOG、FTP等。安全要求-设备-WLAN-功能-19WLAN设备日志应支持记录与WLAN相关的安

13、全事件。安全要求-设备-WLAN-功能-20WLAN设备应能够按账号分配日志文件读取、修改和删除权限，从而防止日志文件被篡改或非法删除。安全要求-设备-WLAN-功能-21日志保存时间应满足：通过WLAN设备本地端口直接操作的系统操作日志本地保存不小于7天。配置要求：编号内容安全要求-设备-WLAN-配置-16WLAN设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。安全要求-设备-WLAN-配置-17 WLAN设备应配置日志功能，记录用户对设备的操作，包括但不限于以下内容：账号创建、删除和权限修改，口令修改，读

14、取和修改设备配置，读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。记录需要包含用户账号，操作时间，操作内容以及操作结果。安全要求-设备-WLAN-配置-18WLAN设备应配置远程日志功能，将需要重点关注的日志内容传输到日志服务器。安全要求-设备-WLAN-配置-19WLAN设备应配置日志功能，记录对与WLAN相关的安全事件。安全要求-设备-WLAN-配置-20WLAN设备应配置权限，控制对日志文件读取、修改和删除权限操作。安全要求-设备-WLAN-配置-21日志保存时间应满足：通过WLAN设备本地端口直接操作的系统操作日志本地保存不小于7天。4.5 IP协议安全要求4.6 功能要求：

15、编号内容安全要求-设备-WLAN-功能-22对于具备TCP/UDP协议功能的WLAN设备，应支持配置基于源IP地址、目的IP地址、通信协议类型（如TCP、UDP、ICMP）、源端口、目的端口的流量过滤。安全要求-设备-WLAN-功能-23对于通过IP协议进行远程维护的WLAN设备，设备应支持使用HTTPS、SSH等加密协议。安全要求-设备-WLAN-功能-24对于通过IP协议进行远程维护的WLAN设备，应支持对允许登录到该设备的IP地址范围进行设定。安全要求-设备-WLAN-功能-25对于具备TCP/UDP协议功能的设备，应支持列出当前开放端口列表以及WLAN和其他设备连接情况。安全要求-设备

16、-WLAN-功能-26不采纳配置要求：编号内容安全要求-设备-WLAN-配置-22对于具备TCP/UDP协议功能的WLAN，设备应根据业务需要，配置基于源IP地址、通信协议TCP或UDP、目的IP地址、源端口、目的端口的流量过滤，过滤所有和业务不相关的流量。安全要求-设备-WLAN-配置-23对于通过IP协议进行远程维护的WLAN，应使用HTTPS、SSH等加密协议进行远程维护。安全要求-设备-WLAN-配置-24对于通过IP协议进行远程维护的WLAN，应设定允许登录到该设备的IP地址范围。4.7 设备其他安全要求4.8 功能要求：编号内容安全要求-设备-WLAN-功能-27对于具备字符交互界

17、面的WLAN，应支持超时账户自动登出。登出后用户需再次登录才能进入系统。安全要求-设备-WLAN-功能-28对于具备图形界面（含WEB界面）的WLAN，应支持手动和定时自动屏幕锁定。锁屏后需再次进行身份认证后才能解除屏幕锁定。安全要求-设备-WLAN-功能-29对于具备console口的WLAN，应具备console口密码保护功能。安全要求-设备-WLAN-功能-30WLAN应具备通过补丁升级消除软件安全漏洞的能力。安全要求-设备-WLAN-功能-31WLAN应能够实现原厂安全补丁的加载，且不会对相关设备与业务运行造成不利影响。安全要求-设备-WLAN-功能-32不采用安全要求-设备-WLAN

18、-功能-33不采用配置要求：编号内容安全要求-设备-WLAN-配置-27对于具备字符交互界面的WLAN，应配置定时账户自动登出。安全要求-设备-WLAN-配置-28对于具备图形界面（含WEB界面）的WLAN，应配置定时自动屏幕锁定。安全要求-设备-WLAN-配置-29对于具备console口的WLAN，应配置console口密码保护功能。5 WLAN设备安全功能和配置要求6 如下WLAN设备安全功能和配置要求与专项要求不冲突，WLAN设备应在满足专项要求基础上，符合WLAN设备安全功能和配置要求。6.1 AC安全要求6.2 功能要求：编号内容安全要求-设备-WLAN-功能-34无线控制器应支持

19、无线频率自动选择，数据率设置，输出功率调整，信标间隔，前导帧设定和多AP间的负载均衡。安全要求-设备-WLAN-功能-35无线控制器应支持虚拟AP设置，以应用不同的安全接入策略。安全要求-设备-WLAN-功能-36无线控制器应支持https管理方式。安全要求-设备-WLAN-功能-37无线控制器应支持配置文件的备份与恢复。安全要求-设备-WLAN-功能-38无线控制器应支持策略自动下发到AP。安全要求-设备-WLAN-功能-39无线控制器应支持SNMP功能，包括SNMP Trap与SNMP Agent。安全要求-设备-WLAN-功能-40无线控制器应支持http重定向。安全要求-设备-WLAN

20、-功能-41无线控制器应支持AC ACL功能。安全要求-设备-WLAN-功能-42无线控制器应支持无线客户端隔离功能。安全要求-设备-WLAN-功能-43无线控制器应支持无线拒绝服务攻击检测功能。安全要求-设备-WLAN-功能-44无线控制器应支持各端口信息统计功能。安全要求-设备-WLAN-功能-45无线控制器应支持瘦AP在线监控功能。安全要求-设备-WLAN-功能-46无线控制器应支持无线终端监控功能。安全要求-设备-WLAN-功能-47无线控制器应支持非法AP识别功能。安全要求-设备-WLAN-功能-48无线控制器应支持日志记录功能。安全要求-设备-WLAN-功能-49无线控制器应支持V

21、LAN设置，支持VLAN接口设置。安全要求-设备-WLAN-功能-50无线控制器应支持DHCP Server、DHCP Relay功能。安全要求-设备-WLAN-功能-51无线控制器应支持静态NAT设置和动态NAT功能。安全要求-设备-WLAN-功能-52无线控制器应支持静态路由协议功能。安全要求-设备- WLAN功能-53无线控制器应支持MAC与AP的绑定功能。安全要求-设备- WLAN -功能-54无线控制器应支持细化到IP的DNS访问控制策略。安全要求-设备- WLAN -功能-55无线控制器应支持DNS安全检测功能。安全要求-设备- WLAN -功能-56无线控制器应支持扩展型访问控制

22、列表。安全要求-设备- WLAN -功能-57无线控制器应支持三/四层DoS防护功能。安全要求-设备- WLAN -功能-58无线控制器应支持DHCP FLOOD攻击检测功能。安全要求-设备- WLAN -功能-59无线控制器应支持CAPWAP协议检测。安全要求-设备- WLAN -功能-60无线控制器应支持一定复杂度的SNMP Community String。安全要求-设备- WLAN -功能-61无线控制器应能对CAPWAP协议进行有效识别。安全要求-设备- WLAN -功能-62无线控制器应能正常识别CAPWAP协议封装下的带有VLANID的数据包。安全要求-设备- WLAN -功能-

23、63无线控制器应能识别DTLS封装的CAPWAP协议报文。安全要求-设备- WLAN -功能-64无线控制器应能解析AP与AC之间的控制报文并且对内容进行有效识别，具体包括AP的SSID、AP的IP地址、AP的MAC地址、AP的制造厂商标识、DHCP的option43内容、STA上线时间、STA下线时间。安全要求-设备- WLAN -功能-65无线控制器应能解析AP与AC之间的数据报文并且对内容进行有效识别，具体包括STA真实IP地址、STA的MAC地址、STA登录的用户名、STA的源端口、STA的目的端口、STA的协议类型。安全要求-设备- WLAN -功能-66无线控制器应能支持对IP、T

24、CP、UDP及ICMP协议的访问控制。安全要求-设备- WLAN -功能-67无线控制器应能对于分片数据包妥善处理。安全要求-设备- WLAN -功能-68无线控制器应能够阻断异常的CAPWAP 会话报文，防止AC的AP列表被恶意欺骗。安全要求-设备- WLAN -功能-69无线控制器应能检测STA提交的大量的DHCP 请求，防止AC的DHCP地址池耗光的攻击。安全要求-设备- WLAN -功能-70无线控制器应能检测针对AC的Authentication Flood攻击。安全要求-设备- WLAN -功能-71无线控制器应能检测具有欺骗性畸形特性的Authentication Flood攻击

25、。安全要求-设备- WLAN -功能-72无线控制器应能维护STA的真实MAC地址表。安全要求-设备- WLAN -功能-73无线控制器应能提供超过阈值的会话报文的处理动作。安全要求-设备- WLAN -功能-74无线控制器应能检测针对AC的De-authentication Flood攻击。安全要求-设备- WLAN -功能-75无线控制器应能检测具有欺骗特性的De-authentication Flood的攻击。安全要求-设备- WLAN -功能-76无线控制器应能检测针对AC的Association Flood攻击，Association Flood将导致AP过载，造成AP的拒绝服务，对

26、AP上线、下线的跟踪。安全要求-设备- WLAN -功能-77无线控制器应能维护一个真实AP列表，内容包括AP的BSSID（MAC）、SSID和厂商标识。安全要求-设备- WLAN -功能-78无线控制器应能检测针对AC的Disassociation Flood攻击。安全要求-设备- WLAN -功能-79无线控制器应能检测具有欺骗特性的Disassociation Flood攻击。安全要求-设备- WLAN -功能-80预留选项配置要求：编号内容安全要求-设备-WLAN-配置-34无线控制器应配置无线客户端隔离功能 安全要求-设备-WLAN-配置-35无线控制器应配置无线拒绝服务攻击检测功能

27、安全要求-设备- WLAN配置-36无线控制器应配置MAC与AP的绑定功能。安全要求-设备- WLAN 配置-37无线控制器应配置DNS安全检测功能。安全要求-设备- WLAN 配置-38无线控制器应配置DHCP FLOOD攻击检测功能。安全要求-设备- WLAN 配置-39无线控制器应配置CAPWAP协议检测。安全要求-设备- WLAN 配置-40无线控制器应配置检测STA提交的大量的DHCP 请求，防止AC的DHCP地址池耗光的攻击。安全要求-设备- WLAN 配置-41无线控制器应配置细化到IP的DNS访问控制策略。安全要求-设备- WLAN 配置-42无线控制器应配置扩展型访问控制列表

28、。安全要求-设备- WLAN 配置-43无线控制器应配置三/四层DoS防护功能。安全要求-设备- WLAN 配置-44无线控制器应配置一定复杂度的SNMP Community String。6.3 AP安全要求6.4 功能要求：编号内容安全要求-设备- WLAN-功能-81接入点应支持接入VLAN管理功能。安全要求-设备- WLAN -功能-82接入点应能支持SSH远程管理功能。安全要求-设备- WLAN -功能-83胖AP应能配置具有一定复杂度的SNMP Community String。安全要求-设备- WLAN -功能-84接入点应能支持自适应的发射功率调整。安全要求-设备- WLAN

29、-功能-85胖AP应能支持访问控制列表功能。安全要求-设备- WLAN -功能-86接入点应能支持对IPv4和IPv6双协议栈。 安全要求-设备- WLAN -功能-87接入点应能支持对AP的扫描探测的检测与防护。安全要求-设备- WLAN -功能-88接入点应能支持对AP的缓冲区溢出攻击的防护。安全要求-设备- WLAN -功能-89接入点应能支持对AP的config文件泄露的检测与防护 。安全要求-设备- WLAN -功能-90接入点应能支持对AP开放服务（协议）的识别与检测。安全要求-设备- WLAN -功能-91接入点系统应能对AP开放的服务进行有效防护。安全要求-设备- WLAN -功能-92接入点应能提供对动态黑名单进行浏览、手动删除操作。安全要求-设备- WLAN -功能-93接入点应能提供一张可信的AP MAC地址表，内容需要包括AP的MAC地址和IP地址。安全要求-设备- WLAN -功能-94接入点应能支持点对点桥接应用。安全要求-设备- WLAN -功能-95接入点应能支持无线钓鱼欺骗攻击的入侵检测。安全要求-设备- WLAN -功能-96接入点应能支持基于WAPJack攻击检测。安全要求-设备- WLAN -功能-97不采用安全