MH_T 0066-2018 民用运输机场航站楼公共无线网络安全技术要求
|
ID: |
A9E5F6A1526F4168AFE2E938D65E9900 |
|
文件大小(MB): |
0.38 |
|
页数: |
7 |
|
文件格式: |
|
|
日期: |
2024-8-14 |
|
购买: |
文本摘录(文本识别可能有误,但文件阅览显示及打印正常,pdf文件可进行文字搜索定位):
ICS 35. 020,V 07 MH,中华人民共和国民用航空行业标准,MH/T 0066—2018,民用运输机场航站楼公共无线网络安全技,术要求,Technical requirements for public wireless network security at civil transportation,airport terminal building,2018 -12-14 发布2019-04-01 实施,中国民用航空局 发布,MH/T 0066—2018,刖 百,本标准按照GB/T 1.『2009给岀的规则起草,本标准由中国民用航空局人事科教司提出,本标准由中国民航科学技术研究院归口,本标准起草单位:中国民航大学、广东机场白云信息科技有限公司,本标准主要起草人:张礼哲、关华、刘超、吉家冠、刘春波、王双、戴勇、周景贤、顾兆军、马勇、,吕宗平,I,MH/T 0066—2018,民用运输机场航站楼公共无线网络安全技术要求,1范围,本标准规定了航站楼内为旅客提供无线上网服务的公共无线网络应达到的安全技术要求,本标准适用于航站楼内为旅客提供无线上网服务的公共无线网络的安全建设工作,2术语与定义,下列术语和定义适用于本文件,2. 1,移动终端Mobile Device,在移动业务中使用的终端设备,包括智能手机、平板电脑、个人电脑等通用终端和专用终端设备,3缩略语,下列缩略语适用于本文件,AP!无线访问接入点(Wireless Access Point),AC:无线接入控制器(Wireless Access Point Control 1 er),SSID:服务集标识(Service Set Identifier),WPS WiFi:保护设置(Wi-Fi Protected Setup),VLAN:虚拟局域网(Virtual Local Area Network),4安全技术要求,4.1 物理和环境安全,4.1.1 应保证航站楼内的AP安放到防盗位置,防止被盗用、替换,4.1.2 应根据航站楼的特殊结构部署AP位置,避免过度覆盖和电磁干扰,4.1.3 应保证航站楼内AP的工作信道避让民航雷达信道以及生产、办公系统无线网络信道,4. 2网络和通信安全,4. 2.1网络架构,4. 2. 1.1应至少区分旅客接入区、网络管理区等不同功能区域,通过VLAN等技术措施隔离,防止跨区,域非授权访问网络资源,4. 2. 1.2重要节点间链路应采取链路冗余保护措施,以保证网络的高可用性,4. 2. 1.3 AC、交换机、防火墙等网络设备的处理能力应满足业务高峰期需要,4. 2. 1.4 AP的带宽应满足业务高峰期需要,网络出口总带宽应满足业务高峰期需要,1,MH/T 0066—2018,4. 2.1.5应限制单个移动终端的带宽,避免用户恶意抢占无线带宽资源,4. 2. 2边界防护,应保证机场公共无线网络与机场生产网络安全隔离,4. 2.3访问控制,应保证无线网络边界处部署访问控制设备并设置访问控制策略,对来自移动终端的数据流量、数据,包和协议进行检查,以允许或拒绝数据包通过,4. 2. 4入侵防范,4. 2. 4.1应具备防范常见网络层攻击的能力,4. 2. 4. 2应具备防范常见应用层攻击的能力,4. 2. 4. 3用户离线后,AC、AP应立刻回收资源,防止遭受拒绝服务攻击,4. 2. 4. 4应可查看无线接入设备的SSTD广播、WPS等高风险功能的开启状态,4. 2.5通信传输,4. 2. 5.1应采用技术手段保证无线通信过程中数据的完整性,4. 2. 5. 2应采用技术手段保证无线通信过程中数据的可用性,4. 2. 6网络设备防护,4. 2. 6. 1应及时获取AC、AI\交换机、防火墙等网络设备的安全漏洞,充分测试评估厂商发布的安全,补丁后,及时修补安全漏洞,4. 2. 6. 2应开启AC设备自动防护功能,包括端口隔离、用户隔离、非法AP检测、登录失败处理等,4. 2. 6. 3应保证AP设备断电不存储任何网络配置和安全配置,防止攻击者通过攻击AP获取无线网络,相关配置参数,4.3应用和数据安全,4. 3.1安全认证,4.3. 1.1应对使用互联网服务的旅客进行身份认证,认证信息应加密传输、存储,4. 3.1.2应采取技术手段防止旅客认证信息遭受暴力破解,4.3. 1.3应对移动终端开启登录失败处理功能,4. 3.2安全防范,4. 3. 2. 1应采取技术手段检测和处理含有恶意代码的链接,防止用户登录页面被非法利用窃取用户信,息,4. 3. 2. 2应采取技术手段防护注入攻击,保护认证页面和Web管理界面,防止数据库中的敏感数据被,非授权读取、篡改,4. 3. 2. 3应采取技术手段控制URL访问,避免恶意用户利用系统相关Web页面业务逻辑漏洞实施攻击,或绕过认证计费系统非授权访问互联网,4.3.3安全审计,2,MH/T 0066—2018,4. 3, 3. 1应提供安全审计功能,审计覆盖到每个通过移动终端上网的用户,对重要的终端上网行为和,重要安全事件进行审计,4. 3, 3. 2审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信,息,4. 3, 3. 3审计记录应至少保存六个月,避免受到未受预期的删除、修改或覆盖等,4. 3. 3. 4应为公安部门提供安全审计接口,4. 3.4旅客信息保护,4. 3. 4.1应仅收集和保存业务必需的旅客个人信息,4. 3. 4. 2应采取技术手段对旅客的认证信息、上网记录等进行保护,防止信息泄露、损毁、篡改或者,……
……