MH/T00662018

MH/T00662018

机场航站楼公共无线网络安全

本标准规定了航站楼内为 网络应达到的安全技术要求 本标准适用于航站楼内为

照明标准下列术语和定义适用于本文件

4.1.1应保证航站楼内的AP安放到防盗位置，防止被盗用、替换。 4.1.2应根据航站楼的特殊结构部署AP位置，避免过度覆盖和电磁干扰。 4.1.3应保证航站楼内AP的工作信道避让民航雷达信道以及生产、办公系统无线网络信

4.2.1.1应至少区分旅客接入区、网络管理区等不同功能区域，通过VLAN等技术措施隔离，防止跨区 域非授权访问网络资源。 4.2.1.2重要节点间链路应采取链路余保护措施，以保证网络的高可用性。 4.2.1.3AC、交换机、防火墙等网络设备的处理能力应满足业务高峰期需要。 4.2.1.4AP的带宽应满足业务高峰期需要，网络出口总带宽应满足业务高峰期需要

MH/T 00662018

4.2.1.5应限制单个移动终端的带宽，避免用户恶意抢占无线带宽资源。

应保证机场公共无线网络与机场生产网络安全隔离。

4. 2. 3访问控制

4.2.4.1应具备防范常见网络层攻击的能力。 4.2.4.2应具备防范常见应用层攻击的能力。 4.2.4.3用户离线后，AC、AP应立刻回收资源，防止遭受拒绝服务攻击。 4.2.4.4应可查看无线接入设备的SSID广播、WPS等高风险功能的开启状态

电网标准规范范本4.2.5.1应采用技术手段保证无线通信过程中数据的完整性。 4.2.5.2应采用技术手段保证无线通信过程中数据的可用性。

4.2.6网络设备防护

4.2.6.1应及时获取AC、AP、交换机、防火墙等网络设备的安全漏洞，充分测试评估厂商发布的安全 补丁后，及时修补安全漏洞。 4.2.6.2应开启AC设备自动防护功能，包括端口隔离、用户隔离、非法AP检测、登录失败处理等。 4.2.6.3应保证AP设备断电不存储任何网络配置和安全配置，防止攻击者通过攻击AP获取无线网络 相关配置参数，

4. 3. 3安全审计

MH/T00662018

4.3.3.1应提供安全审计功能，审计覆盖到每个通过移动终端上网的用户，对重要的终端上网行为和 重要安全事件进行审计。 4.3.3.2审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信 息。 4.3.3.3审计记录应至少保存六个月，避免受到未受预期的删除、修改或覆盖等。 4.3.3.4应为公安部门提供安全审计接口。

4.3.4旅客信息保护

4.3.4.1应仅收集和保存业务必需的旅客个人信息。 4.3.4.2应采取技术手段对旅客的认证信息、上网记录等进行保护工程施工数据，防止信息泄露、损毁、篡改或者 丢失。

4.3.4.1应仅收集和保存业务必需的旅客个人信息。