GA 1716-2020 信息安全技术 互联网公共上网服务场所信息安全管理系统的无线上网接入产品安全技术要求.pdf

1、ICS 35.040 A90 GA 中 华 人 民 共 和 国 公 共 安 全 行 业 标 准 GA XXXX-XXXX 信息安全技术 互联网公共上网服务场所信 息安全管理系统的无线上网接入产品安全 技术要求 Information security technology Security technical requirements for wireless internet accessing products of information security management system for public internet service area （报批稿） XXXX - XX

2、 - XX 发布 XXXX - XX - XX 实施 中华人民共和国公安部 发布 GA XXXX-XXXX I 目 次 前言 . II 1 范围 . 1 2 规范性引用文件 . 1 3 术语和定义 . 1 4 缩略语 . 1 5 产品描述 . 2 6 安全功能要求 . 2 6.1 上网管理 . 2 6.2 设备接入 . 5 6.3 自身安全要求 . 6 6.4 远程通讯端的数据交换 . 6 7 数据交换格式 . 7 7.1 前端数据交换格式 . 7 7.2 基础数据交换格式 . 12 8 数据传输规范 . 15 8.1 数据传输文件 规范 . 15 8.2 文件传输接口规范 . 19 9 统一

3、 XML Schema 格式说明 . 19 9.1 XML Schema 定义 . 19 9.2 元素信息描述 . 21 9.3 属性信息描述 . 21 9.4 取值定义描述 . 23 10 数据传输接口 . 24 10.1 TCP/UDP 接口 . 24 10.2 FTP 接口 . 25 附录 A（规范性附录）代码 . 27 附录 B（规范性附录）命名和编码规范 . 32 附录 C（规范性附录）数据传输格式样例 . 33 附录 D（规范性附录）关键字符转义 . 34 附录 E（规范性附录）厂商端口号、加密约定 . 35 GA XXXX-XXXX II 前 言 本标准按照 GB/T 1.1-2

4、009给出的规则起草。 本标准由公安部网络安全保卫局提出。 本标准由公安部信息系统安全标准化技术委员会归口。 本标准起草单位： 公安部网络安全保卫局、公安部第三研究所 。 本标准主要起草人 ：顾玮、 顾建新 、俞优、 邹春明 、 赵婷 、 顾健 。 GA XXXX-XXXX 1 信息安全技术 互联网公共上网服务场所信息安全管理系统的无线 上网接入产品安全技术要求 1 范围 本标准规定了互联网公共上网服务场所信息安全管理系统的无线上网接入产品安全功能要求、数据 交换格式、数据传输规范、 统一 XML Schema格式说明、 数据传输接口等内容 。 本标准 适用于互联网公共上网服务场所信息安全管理

5、系统的无线上网接入产品的设计、开发及检 测。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。 凡是不注日期的引 用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 2260 中华人民共和国行政区划代码 GB/T 5271.8-2001 信息技术 词汇 第 8部分：安全 GA/T 2000.156-2016 常用证件代码 GA/T 380-2012 全国公安机关机构代码编制规则 3 术语和定义 GB/T 2260、 GB/T 5271.8-2001、 GA/T 2000.156-2016界定的以及下列术语和定义适用于本 文

6、件 。 3.1 无线上网 wireless internet accessing 使用具备无线网卡设备的 终端通过无线传输协议接入互联网并使用互联网资源 。 3.2 手机短消息认证 moblie phone short message authentication 在公共场所无线上网时用来对试图接入场所的无线终端进行认证，认证方式为手机短消息。 4 缩略语 下列缩略语适用于本 文件。 GA XXXX-XXXX 2 AP ： 无线接入点 （ Access Point） WEP： 有线等效保密协议 （ Wired Equivalent Privacy ） WIFI：无线网（ Wireless Fi

7、delity） WPA： WiFi网络安全接入 （ WiFi Protected Access） 5 产品描述 互联网公共上网服务场所是指为公众提供免费的互联网上网服务的场所，互联网公共上网服务场所 信息安全管理系统是指部署在互联网公共上网服务场所的信息安全管理系统，由前端上网接入产品和后 台远程通信端两部分组成。 后台远程通信端部署在研发单位、属地公安管理部门，可实现对前端上网接入产品的集中管理，接 收前端上网接入产品上传的各类审计数据。无线上网接入产品（以下简称产品）是指部署在该类场所， 为网民提供无线上网接入服务，同时实现上网行为审计和上传的产品。对于使用在大型场所的产品，一 般以网关或

8、者网桥模 式呈现，串联或者旁路模式部署在场所网络出口处，结合场所内已有的无线 AP设备， 为用户提供无线上网接入服务；对于使用在较小型场所的产品，一般以网关路由模式呈现，设备同时具 备无线 AP模块，为用户提供无线上网接入服务。 6 安全功能要求 6.1 上网管理 6.1.1 上网终端管理 具备控制上网终端访问互联网的管理功能，具体要求如下： a) 未通过认证的上网终端禁止访问互联网，认证成功的上网终端允许访问互联网； b) 通过认证的上网终端在可设置的一段时间内再次访问互联网时，无需二次认证； c) 上网终端若一段时间无上网操作，应将其强制下线，时间段可设。 6.1.2 上网 身份认证 6.

9、1.2.1 手机短消息认证方式 采用在网页页面或者移动 APP界面中输入手机号码和手机短消息认证密码的方式对上网人员进行认 证，并要求： a) 输入手机号码和短消息验证码； b) 无效手机短消息验证码禁止通过认证； c) 对已认证成功的移动终端，建立手机号码和终端 MAC的绑定关系，通过和 APP认证中心的数据 交换，使该终端在所有使用 APP认证方式的场所实现统一免认证上网； d) 对手机号码和 MAC 地址绑定关系应定期强制重新绑定； e) 对于更换手机号码、 MAC地址和手机号码绑定关系异常的终端，重新进行认证。 GA XXXX-XXXX 3 6.1.2.2 第三方 APP 身份认证方式

10、 支持上网人 员使用经过真实身份验证或者手机号码绑定的第三方 APP用户账号进行认证。 6.1.2.3 自助身份证件认证 支持通过识别比对上网人员自助读取身份证或其他身份证件的电子身份信息而获取的上网认证凭 证进行认证。 6.1.2.4 其他认证方式 可支持其他经过真实身份验证或者手机号码绑定等管理要求的认证方式。 6.1.3 终端上下线日志记录 记录终端上下线的日志，根据不同的上网认证方式，记录的日志信息内容 和要求 如下： a) 对于手机短消息认证方式，记录内容如 表 1所示，数据交换格式见 7.1.1； b) 对于第三方 APP认证方式，记录内容如 表 2所示，数据交换格式见 7.1.1

11、； c) 对于自助身份证 件 认证方式，记录内容如 表 3所示，数据交换格式见 7.1.1； d) 记录场所端基础数据，具体数据内容和交换格式见 7.2； e) 对暂存在本地的上下线日志记录中的敏感信息加以保护； f) 保证日志记录不被修改，并能防止非授权用户的访问； g) 数据完成上报之后本地禁止留存。 表 1 手机短消息认证方式上下线日志记录 序号 记录内容 备注 1 认证类型 无 2 认证帐号 无 3 上网服务场所编码 无 4 上线时间 无 5 下线时间 无 6 场所内网 IP 地址 无 7 源外网 IPv4/IPv6 地址 无 8 源外 网 IPv4/IPv6 起始端口号 无 9 源外

12、网 IPv4/IPv6 结束端口号 无 10 终端 MAC 地址 无 11 AP 设备编号 无 12 AP 设备 MAC 地址 无 13 移动 AP 经度 无 14 移动 AP 纬度 无 15 场强 无 16 会话 ID 无 17 X 坐标（可选） X 表示正东方向 18 Y 坐标（可选） Y 表示正北方向 19 站点信息 无 GA XXXX-XXXX 4 表 2 第三方 APP 认证方式上下线日志记录 序号 记录内容 备注 1 认证类型 无 2 认证帐号 无 3 APP 厂商名称 无 4 APP 应用 软件名称 无 5 APP 版本号 无 6 APP 终端认证码 无 7 上网服务场所编码 无

13、 8 场所类型 无 9 上线时间 无 10 下线时间 无 11 终端 MAC 地址 无 12 场所内网 IP 地址 无 13 源外网 IPv4/IPv6 地址 无 14 源外网 IPv4/IPv6 起始端口号 无 15 源外网 IPv4/IPv6 结束端口号 无 16 AP 设备编号 无 17 AP 设备 MAC 地址 无 18 移动 AP 经度 无 19 移动 AP 纬度 无 20 站点信息 无 21 场强 无 22 会 话 ID 无 23 X 坐标（可选） X 表示正东方向 24 Y 坐标（可选） Y 表示正北方向 25 终端 IMSI 码（可选） 无 26 终端 IMEI 码（可选） 无

14、 27 终端操作系统版本（可选） 无 28 终端品牌（可选） 无 29 终端型号（可选） 无 30 站点信息 无 表 3 自助身份证件认证方式上下线日志记录 序号 记录内容 备注 1 认证类型 无 2 认证帐号 无 3 身份证件类型 无 4 身份证件号码 无 5 上网人员姓名 无 6 上网服务场所编码 无 GA XXXX-XXXX 5 表 3（ 续 ） 7 场 所类型 无 8 上线时间 无 9 下线时间 无 10 场所内网 IP 地址 无 11 源外网 IPv4/IPv6 地址 无 12 源外网 IPv4/IPv6 起始端口号 无 13 源外网 IPv4/IPv6 结束端口号 无 14 终端

15、MAC 地址 无 15 AP 设备编号 无 16 AP 设备 MAC 地址 无 17 移动 AP 设备经度 无 18 移动 AP 设备纬度 无 19 站点信息 无 20 场强（可选） 无 21 会话 ID 无 22 X 坐标（可选） X 表示正东方向 23 Y 坐标（可选） Y 表示正北方 向 24 站点信息 无 6.1.4 上网日志记录 记录公共上网服务场所内各终端的上网日志信息，具体要求如下： a) 日志信息应记录的具体数据内容和交换格式见 7.1.2； b) 对暂存在本地的上网记录中的敏感信息加以保护； c) 保证日志记录不被修改，并能防止非授权用户的访问； d) 数据完成上报之后本地禁

16、止留存。 6.2 设备接入 6.2.1 接入方式 具备旁路镜像、透明网桥或者网关路由等模式中的一种或者多种接入场所网络出口，实现对场所上 网流量的审计，具体要求如下： a) 旁路镜像接入：将设备的数据监控口连接在场所网络出口交换机的镜像端口上，通过交换机对 场所互联 网主干通道的数据镜像审计场所端上网的流量； b) 透明网桥接入：将设备以网桥方式串接在场所端访问互联网的主干通道上，对流经设备的上网 流量进行审计； c) 网关路由接入：将设备部署成场所端局域网连接互联网的出口网关设备或路由器，对流经设备 的上网流量进行审计。 6.2.2 网络传输影响 在线模式部署的产品，不能影响原网络系统的传输

17、性能，延时下降率不能超过 10%。 GA XXXX-XXXX 6 6.3 自身安全要求 6.3.1 标识与鉴别 具备自身标识与鉴别功能，具体要求如下： a) 提供授权管理员鉴别数据初始化的功能； b) 保护存储于设备中的鉴别数据不受未授权查阅、修改和破坏； c) 保证鉴别数据中 的登录密码具备一定的复杂度要求（ 例如 密码长度 8位以上，包括数字和字母 等）； d) 在鉴别尝试失败一定次数以后，终止用户建立会话的过程 , 最多失败次数仅由授权管理员设 定； e) 鉴别任何通过系统控制口履行授权管理员功能的管理员身份。 6.3.2 系统操作日志 具备系统操作日志记录和保护功能，具体要求如下： a

18、) 记录控制通道内用户的操作信息，包括管理员登录 /退出，系统配置操作等； b) 防止非授权用户访问日志记录； c) 以技术措施保证日志记录不被修改和删除； d) 支持本地或者联网查询系统操作日志。 6.3.3 设备自身保护功能 具备自身保护功能，具体要求如下： a) 设 备的底层操作系统不提供多余的网络服务，不开放多余的网络端口； b) 设备具备一定的抵御网络攻击能力，例如能够抵御 SYN flood、 Ping of death 和 UDP flood 等基本的拒绝服务攻击。 6.4 远程通讯端的数据交换 6.4.1 用户上下线记录上传 即时或者定时向远程通讯端上传上网人员上下线数据，具体

19、数据交换格式见 7.1.1，上传方式见第 10章。 6.4.2 上网日志记录上传 即时或者定时向远程通讯端上传用户上网记录，具体数据交换格式见 7.1.2，上传方式见第 10章。 6.4.3 设备运行状态分析及上传 应具备运行状态分析功能，例如正常在线、 异常在线等，并能定时上传至远程通信端，上传方式见 第 10章。 6.4.4 升级功能 GA XXXX-XXXX 7 具备远程升级功能，由远程通讯端将升级包推送至场所端设备进行自动升级，并在网络正常的情况 下及时生效。 7 数据交换格式 7.1 前端数据交换格式 7.1.1 终端上下线信息（ WA_SOURCE_FJ_ 0001） 记录终端上下

20、线信息，具体格式见表 4。 表 4 终端上下线信息 序号 元素编 码 数据项中文 名称 数据项英文名称 类型 字符最大长度 是否必填 说明 1 B040021 认证类型 AUTH_TYPE 字符型 7 是 见附录 A 2 B040022 认证帐号 AUTH_ACCOUNT 字符型 64 是 手机号、身份证件信息、免认证 方式的 UID， UID 命名见附录 B 3 G020004 上网服务场 所编码 NETBAR_WACODE 字符型 14 是 见附录 B 4 G020020 场所类型 NetSite_Type 数值型 1 是 见附录 A 5 B030004 身份证件类 型 CERTIFICA

21、TE_TYPE 字符型 3 是 见 GA/T 2000.156-2016 常用证件代码 6 B030005 身份证件号 码 CERTIFICATE_CODE 字符型 128 是 填写证件详细信息，如手机填写 手机号码 7 G030001 APP 厂商名称 APP_COMPANY_NAME 字符型 128 否 如果采用 APP 认证，必填 8 G030002 APP 应用软件名称 APP_SOFTWARE_NAME 字符型 128 否 如果采用 APP 认证，必填 9 G030003 APP 版本号 APP_VERSION 字符型 16 否 如果采用 APP 认证，必填，填写APP 应用版本号，

22、如 1.2.4 等 10 G030004 APP 终端认证 码 APPID 字符型 128 否 采用 APP 认 证时，部分 APP 提供APPID，非必填 11 H010015 上线时间 START_TIME 数值型 20 是 从北京时间 1970年 1月 1 日 08:00:00 开始到结束时间的绝 对秒数 12 H010016 下线时间 END_TIME 数值型 20 是 从北京时间 1970年 1月 1 日 08:00:00 开始到结束时间的绝 对秒数 13 F020001 场所内网 IP地址 IP_ADDRESS 数值型 10 是 采用无符号整型主机序表示，如： 2880036141

23、 GA XXXX-XXXX 8 表 4（ 续 ） 14 F020004 源外网 IPv4地址 SRC_IP 数值型 10 是 IPv4、 IPv6 必填其一 ,IPv4 地址 采用无符号整型主机序表示， 如： 2880036141； IPv6 地址字段格式采用冒号分 十六进制表示法，格式为 XXXX:XXXX:XXXX:XXXX:XXXX:XX XX:XXXX:XXXX，如 CDCD:910A:2222:5498:1111:39 00:2020 15 F020010 源外网 IPv6地址 SRC_IPV6 字符型 64 是 16 F020019 源外网 IPv4起始端口号 SRC_PORT_S

24、TART 数值型 5 是 TCP/IP 协议端口，数据类型为 065535； IPv4， IPv6 必填其一， 若仅有唯一端口，起始端口号和 结束端口号即填写相同值 17 F020020 源外网 IPv4结束端口号 SRC_PORT_END 数值型 5 18 F020021 源外网 IPv6起始端口号 SRC_PORT_START_V6 数值型 5 19 F020022 源外网 IPv6结束端口号 SRC_PORT_END_V6 数值型 5 20 C040002 终端 MAC地址 MAC 字符型 17 是 由 17 位字符组成，所有 的字符 大写，每两个字符用半角“ -”， 类似 00-E0-

25、4C-3B-7D-2F 21 I070011 AP 设备编号 COLLECTION_EQUIPMENT_ID. 字符型 21 是 见附录 A 22 F030011 AP设备 MAC地址 AP_MAC 字符型 17 是 由 17 位字符组成，所有的字符 大写，每两个字符用半角“ -”， 类似 00-E0-4C-3B-7D-2F 23 F010001 移动 AP 经度 LONGITUDE 字符型 10 是 采用“正负 +十进制度数”的格 式表示，度数采用 3 位整数 6位 小数形式 ,小数 位数不足补零， 方位采用正负符号形式，使用正 符号表示东经（正符号省略）， 负符号表示西经。例如 123.2

26、30000 表示东经 123.230000 ； -133.000000 表 示西经 133.000000 GA XXXX-XXXX 9 表 4（ 续 ） 24 F010002 移动 AP 纬度 LATITUDE 字符型 10 是 采用“正负 +十进制度数”的格 式表示。度数采用 3 位整数 6位 小数形式 ,小数位数不足补零， 方位采用正负符号形式，使用正 符号表示北纬（正符号省略）， 负符号表示南纬。例如 123.230000 表示北纬 123.230000 ； -133.000000 表 示南纬 133.000000 25 H010013 会话 ID SESSIONID 字符型 64 是

27、采用“场所编码 +MAC+上机时间” 方式表示，其中 MAC 地址为归一 化后的 MAC 地址，示例： aabbcc112233；上机时间为整 型，即从 1970年 1月 1 日 00:00:00 开始到结束时间的绝 对秒数 26 I070003 场强 TERMINAL_FIELD STRENGTH 字符型 8 是 移动设备与无线 AP 的信号强度参数 27 I070001 X 坐标 X_COORDINATE 字符型 8 是 移动终端相对 AP的 X 坐标（正东方向），单位：米（ m） 28 I070002 Y 坐标 Y_COORDINATE 字符型 8 是 移动终端相对 AP的 Y 坐标（正

28、北方向），单位：米（ m） 29 B010001 上网人员姓名 Name 字符型 64 否 自助身份认证为必填 30 B020007 终端 IMSI 码 IMSI 字符型 64 否 APP 认证适用。分类与编码方法： IMSI=MCC+MNC+IMSIN 31 C050001 终端 IMEI 码 IMEI_ESN_MEID 字符型 64 否 APP 认证 适用。国际移动设备身 份码，由 15 位数字组成，主要 用于表示 GSM 制式的手机 32 C020004 终端系统 OS_NAME 字符型 64 否 APP 认证适用。填写终端系统 33 C010002 终端品牌 BRAND 字符型 128

29、 否 APP 认证适用。填写终端品牌 34 C010003 终端型号 MODEL 字符型 64 否 APP 认证适用。填写终端型号 35 F040013 地铁站点信息 SUBWAY_STATION 字符型 128 否 轨道交通、地铁必填 7.1.2 上网日志信息（ WA_SOURCE_FJ_ 0002） 记录终端上网日志信息，具体格式见表 5。 GA XXXX-XXXX 10 表 5 上网日志信息 序号 元素编 码 数据项中文 名称 数据项英文名 称 类型 字符最大长度 是否必填 说明 1 H010013 会话 ID SESSIONID 字符型 64 是 采用“场所编码 +MAC+上机时间”

30、方式表示，其中 MAC 地址为归一 化后的 MAC 地址，示例： aabbcc112233；上机时间为整型， 即从 1970 年 1月 1日 00:00:00 开始到结束时间的绝对秒数 2 G020004 上网服务场 所编码 NETSERVERPORT_WACODE 字符 型 14 是 见附录 B 3 H010041 应用层协议 APPLICATION_LAYER_PROTOCOL 字符型 2 是 见附录 A 4 H010001 网络应用服 务代码 NETWORK_APP 数值型 7 否 见附录 A 5 B040002 帐号 ACCOUNT 字符型 64 否 不同网络应用服务所对应的帐号 6

31、F020001 场所内网 IP 地址 IP_ADDRESS 数值型 10 是 采用无符号整型主机序表示，如： 2880036141 7 F020003 场所内网端 口号 PORT 数值型 5 是 TCP/IP 协议端口 8 F020004 源外网IPv4 地址 SRC_IP 数值型 10 是 IPv4、 IPv6 必填其一 ,IPv4 地址采用无符号整型主机序表示，如： 2880036141； IPv6地址字段格式采用冒号分十 六进制表示法，格式为 XXXX:XXXX:XXXX:XXXX:XXXX:XXX X:XXXX:XXXX，如 CDCD:910A:2222:5498:1111:390 0

32、:2020 9 F020010 源外网IPv6 地址 SRC_IPV6 字符型 64 是 10 F020019 源外网 IPv4 起始 端口号 SRC_PORT_STAR T 数值型 5 是 TCP/IP 协议端口，数据类型为 065535； IPv4,IPv6 必填其一， 若仅有唯一端口，起始端口号和 结束端口号即填写相同值 11 F020020 源外网 IPv4 结束 端口号 SRC_PORT_END 数值型 5 12 F020021 源外网 IPv6 起始 端口号 SRC_PORT_STAR T_V6 数值型 5 13 F020022 源外网 IPv6 结束 端口号 SRC_PORT_E

33、ND_ V6 数值型 5 GA XXXX-XXXX 11 表 5（ 续 ） 14 F020005 目的公网 IPv4地址 DST_IP 数值型 10 是 IPv4、 IPv6 必填其一 ,IPv4 地址采用无符号整型主机序表示，如： 2880036141； IPv6 地址字段格式采用冒号分 十六进制表示法，格式为 XXXX:XXXX:XXXX:XXXX:XXXX:XXX X:XXXX:XXXX，如 CDCD:910A:2222:5498:1111:390 0:2020 15 F020011 目的公网 IPv6地址 DST_IPV6 字符型 64 是 16 F020007 目的公网 IPv4端口

34、号 DST_PORT 数值型 5 是 TCP/IP 协议端口必填其一，数据 类型为 0 65535 17 F020013 目的公网 IPv6端口号 DST_PORT_V6 数值型 5 18 C040002 终端 MAC 地址 MAC 字符型 17 是 由 17 位字符组成，所有的字符大 写，每两个字符用半角“ -”，类 似 00-E0-4C-3B-7D-2F 19 I070011 AP 设备编号 COLLECTION_EQUIPMENT_ID. 字符型 21 是 见附录 A 20 F030011 AP 设备 MAC 地址 AP_MAC 字符型 17 是 由 17 位字符组成，所有的字符大 写，

35、每两个字符用半角“ -”，类 似 00-E0-4C-3B-7D-2F 21 F010001 移动 AP 经度 LONGITUDE 字符型 10 是 采用“正负 +十进制度数”的格式 表示。度数采用 3 位整数 6 位小 数形式 ,小数位数不足补零，方位 采用正负符号形式，使用正符号 表示东经（正符号省略），负符号 表示西经。例如 123.230000 表 示东经 123.230000 ； -133.000000 表示西经 133.000000 22 F010002 移动 AP 纬度 LATITUDE 字符型 10 是 采用“正负 +十进制度数”的格式 表示。度数采用 3 位整数 6 位小 数形式 ,小数位数不足补零，方位 采用正负符号形式，使用正符号 表示北纬（正符号省略），负符号 表示南纬。例如 123.230000 表 示北纬 123.230000 ； -133.000000 表示南纬 133.000000 23 H010014 日志记录时间 CAPTURE_TIME 数值型 20 是 北京时间 1970年 1月 1日 08:0:0开始