ICS35.020 V07 MH 中华人民共和国民用航空行业标准 MH/T0066—2018 民用运输机场航站楼公共无线网络安全技 术要求 Technical requirements for public wireless network security at civil transportation airport terminal building 2018-12-14发布 2019-04-01实施 中国民用航空局发布 MH/T0066—2018 民用运输机场航站楼公共无线网络安全技术要求 1范围 本标准规定了航站楼内为旅客提供无线上网服务的公共无线网络应达到的安全技术要求. 本标准适用于航站楼内为旅客提供无线上网服务的公共无线网络的安全建设工作. 2术语与定义 下列术语和定义适用于本文件. 2.1 移动终端Mobile Device 在移动业务中使用的终端设备,包括智能手机、平板电脑、个人电脑等通用终端和专用终端设备. 3缩略语 下列缩略语适用于本文件. AP:无线访问接入点(Wireless Access Point) AC:无线接入控制器(Wireless Access Point Controller) SSID:服务集标识(Service Set Identifier) WPS WiFi:保护设置(Wi-Fi Protected Setup) VLAN:虚拟局域网(Virtual Local Area Network) 4安全技术要求 4.1物理和环境安全 4.1.1应保证航站楼内的AP安放到防盗位置,防止被盗用、替换. 4.1.2应根据航站楼的特殊结构部署AP位置,避免过度覆盖和电磁干扰. 4.1.3应保证航站楼内AP的工作信道避让民航雷达信道以及生产、办公系统无线网络信道. 4.2网络和通信安全 4.2.1网络架构 4.2.1.1应至少区分旅客接入区、网络管理区等不同功能区域,通过VLAN等技术措施隔离,防止跨区 域非授权访问网络资源. 4.2.1.2重要节点间链路应采取链路冗余保护措施,以保证网络的高可用性. 4.2.1.3AC、交换机、防火墙等网络设备的处理能力应满足业务高峰期需要. 4.2.1.4AP的带宽应满足业务高峰期需要,网络出口总带宽应满足业务高峰期需要. 1 MH/T0066—2018 4.2.1.5应限制单个移动终端的带宽,避免用户恶意抢占无线带宽资源. 4.2.2边界防护 应保证机场公共无线网络与机场生产网络安全隔离. 4.2.3访问控制 应保证无线网络边界处部署访问控制设备并设置访问控制策略,对来自移动终端的数据流量、数据 包和协议进行检查,以允许或拒绝数据包通过. 4.2.4入侵防范 4.2.4.1应具备防范常见网络层攻击的能力. 4.2.4.2应具备防范常见应用层攻击的能力. 4.2.4.3用户离线后,AC、AP应立刻回收资源,防止遭受拒绝服务攻击. 4.2.4.4应可查看无线接入设备的SSID广播、WPS等高风险功能的开启状态. 4.2.5通信传输 4.2.5.1应采用技术手段保证无线通信过程中数据的完整性. 4.2.5.2应采用技术手段保证无线通信过程中数据的可用性. 4.2.6网络设备防护 4.2.6.1应及时获取AC、AP、交换机、防火墙等网络设备的安全漏洞,充分测试评估厂商发布的安全 补丁后,及时修补安全漏洞. 4.2.6.2应开启AC设备自动防护功能,包括端口隔离、用户隔离、非法AP检测、登录失败处理等. 4.2.6.3应保证AP设备断电不存储任何网络配置和安全配置,防止攻击者通过攻击A...
MH/T 0066-2018 民用运输机场航站楼公共无线网络安全技术要求.pdf
