公共场所无线上网安全管控方案

1、公共场所无线上网安全管控方案 方案背景 中国的互联网和信息网络在最近的十余年获得了飞速的发展， 无线网络也随着 “无线城 市”的到来， 而普及到国内各个家庭和公共场所， 人们俨然已经开始享受无线 (WIFI) 网络给 工作及生活带来的便捷。 但这种便捷同样也给犯罪份子带来可乘之机， 越来越多的网络违法 活动开始通过公众场所的无线网络来进行。 尤其是像咖啡厅、 餐馆、 商场等提供无线网络服 务的公众场所， 更是违法犯罪活动的高发地， 需要对网络行为进行有效的实名监控， 从而有 效的打击网络违法活动。 为了满足各地市公安网监部门对公共无线上网场所的网络信息安全监管要求， 北京光音 盛世信息技术有限

2、公司深入分析现有无线网络特点、 安全需求、 管理要求， 结合多年在网络 安全、 无线安全、安全审计方面的技术经验， 研发出针对无线网络的信息安全审计产品。小 云无线网络安全管理系统主要解决了对无线网络的集中安全管理问题，通过无线 WIFI 设备 ，把审计信息通 抓取网络数据包(包括网页、邮件、即时通讯、上传下载、在线游戏等等) 过加密方式统一上传到后端安全管理系统， 安全管理系统对数据集中分析， 从而实现行为审 计、身份管理、场所管理、轨迹查询、报警等功能。 方案需求 2.1无线上网 为了能够广泛的应用在商场、宾馆酒店、KTV广场、大学、机场等各类公共区域，无 线接入设备必须支持 g/n/ac

3、标准无线客户端接入,且能同时支持50个终端无线连接。接入 设备必须支持流量控制功能，保证每个上网用户的上网体验。设备部署操作方式简单，适用 性强。 2.2统一认证 所有上网用户必须经过手机短信验证后方可访问互联网，手机号码与手机MAC地址相互 绑定，手机号认证信息需安全保存，可上传至公安网监，满足公安实名上网的要求。 2.3网络安全 无线前端设备具备链路安全检测模块、DNS安全检测模块、防攻击防火墙等基本安全功 能，保证网络通信安全。 2.4场所管理 支持对所有场所的分区域管理，可以通过场所编号、场所名称、场所所属区域、场所信 息关键字等实时查询场所基础信息和状态。可实时监控场所在线状态，并支

4、持按日期查询场 所在线率。 2.5行为管理 支持对用户上下线信息、上网日志信息的收集、统计、分析。可通过多种条件的组合 查询和模糊查询调取网络行为记录。 2.6身份管理 支持通过手机号、MAG等信息查询行为人的所有虚拟身份信息，例如：可查询到行为人 的即时通信账号、电子邮件地址、网络游戏账号、论坛登录账号等。 2.7报警管理 支持对手机号、MAC地址、虚拟帐号等信息设置报警策略，一旦身份信息在无线网络覆 盖范围内出现，则立即通过短信、邮件等方式通知监管人。 三、方案概述 方案主要包括三方面：公共场所上网信息采集、上网用户实名认证、数据收集和分析。 审计服务器 认证服勢器 互联网 场所：餐饮场所

5、：娱乐 行认证，只有通过手机号认证的用户才能使用WIFI设备上网。 图无线上网安全管控方案架构 3.1信息采集 小云WIFI设备给用户提供安全的无线网络接入，同时把用户的上下线数据、用户行为 数据（包括网页、邮件、即时通讯、下载上传、在线游戏、网络流量审计等等）通过加密方 式传送到审计服务器，审计服务器收到加密数据后统一进行分析处理。 所有部署小云 WIFI设备的场所，都经过实名信息登记，所有场所的信息（场所名称、 地址、联系人、联系方式、IP地址等）都会同步到安全管理审计中心，方便公安网监对所 有场所的管理。 3.2用户认证 WIFI上网用户的手机号进 通过手机短信认证的方式，云端认证服务器

6、统一对所有场所 店铺管理-店铺设置 上网设置店铺版本I通知中心 上网方式 验证?吐网T 您选择了脸证码上翩方式，用户需裳输入通过手机获取到殓证码短信才能上网 图设置上网认证方式 认证服务器上所有手机号码信息都会同步到审计服务器上，审计服务器可以匹配用户身 份数据，从而实现真实身份匹配。 9VS示稱 厅(M： 裁J1冒畔 MH 栉弓 方再誉51 wms- XU-OHB 15t i hnp 丸|ilWhiml 僧 転殆粗M后 2015-D3-19 10.15:31 15-r 10.9 远住-Q| hhp juq 上6卫 iVwdCTfcyii?Lb=J f httip M M7.1M15WWM/7

7、即 JC1S-01-1? 1CUS122 1 J丄址！ 13 blip rr gelqciLini/g.j,:_i5 2O1S-0M9 10:15J2 .汗： hfttr y qdf qq fgrjrMTt. trqJ 图手机号码与行为数据匹配 3.3数据收集与分析 审计服务器收集各场所 WIFI上传的审计信息，对数据集中分析，从而实现行为管理、 身份管理、场所管理、报警管理等功能。 行为管理 支持对用户上下线信息的收集，包括上下线时间、IP地址、MAC地址、源外网IP地址、 场强等信息。支持对上下线信息的数据上报功能。 支持对即时通信、网页访问、文件传输、收发邮件、网络游戏、论坛发帖、远程管

8、理等 网络行为的审计，审计的内容包括：时间、地点、IP地址、网络协议、使用的账号等信息。 支持对上网行为日志的数据上报功能。 可用多条件的组合查询和模糊查询，精确查询网络行为信息。 支持场所、时间、应用协议、关键字条件的组合查询和模糊查询。 URR acd3b ”i -B hrcp a cn/?h_%c 护t m沟匚零 ms 2015 Oi ie JOiOOcOO j.：Ul .； ij.il hltM it jit-, de.1 .r J- j|. j. J. _K gLM 时好 毋15-0418恂讯46 3C：r hltp bl 汕HCiWTO代相D ?/V10hi.JV4t) aiMMB

9、 * 1 Q http T魚SSft 2015-05-10 * 1 口 http ugr.qpiMo/woni.pic/iaflPMJJ 1341 眇 2015-0310 - 1fl h|tp lo4TiprEtai|du Em/Sk.php 按！ 图 行为综合查询-结果 身份管理 支持通过手机号、网卡MAC地址、姓名、身份证号等信息查询行为人的所有虚拟身份信 息，例如：可查询到行为人的即时通信账号、电子邮件地址、网络游戏账号、论坛登录账号 等。 可以通过某个虚拟身份查询用户真实身份信息，可查询到行为人的手机号、姓名、身份 证号、网卡MAC地址等。 支持多重身份查询，可查询到某个网络帐号被多个

10、真实身份的行为人使用。 系统自动对所有用户的网络行为进行统计和分析。 可分析出某个网络帐号的被使用次数，被经常使用的行为人， 经常出现的场所及出现的 次数，最后一次出现的场所和时间等信息。 导出 BMW澹户遣 r i=-药* E 过 am MACB&t JM5-094 2Q：4B2d bn：即n，lo w 1 s IT1* 两吉 20t54)3-ia 30.4L22 9 瞰.n jii 狞 a ute 201543*3 18 3 2O15-OJ-2* 1&2S4B I&Wt(2 1 窖刊即舌泪耳=5罚 2015-05-21 IMSlJJ 仲航（2 qilJiniM C L 2O15-D1-M

11、lftrfllM M2 kF qqeffJWTJW 2015-03-J4 15DEl26 吃 片刃 uieHihC 20LS-01-24 MSTi 檢 :号雋制屈ue.l 1*344 1孔 2015-03-23 131.47 PW 图报警功能 四、方案部署 4.1场所端部署 前端采集设备部署在各种公共上网场所，可通过电信、联通等各种互联网接入服务提供 商的基础网络接入互联网。设备可以单台部署，也可多台部署。 部署方式：网关路由模式； 建议出口带宽：4Mbps 上网方式：手机短信验证上网。 图场所端部署图 4.2服务器端部署 审计服务器部署于公安网监机房，根据场所端数量可适当增加服务器。 服务器

12、外网出口需部署一台防火墙来保护服务器的安全。 内网pc终端可直接访问审计服务器查看服务器信息。 建议出口带宽：400Mbps 防火墙开放策略：允许所有IP地址对服务器的22、8987、11518、11521端口的访问。 审计服务器 图公安网监端部署图 服务器 服务器硬件规格参考 最低要求 推荐配置 CPU 至强E3*1 至强E5*2 内存 16G 32G 硬盘 SATA 500G Raid 5 500G 主板 r用品牌、专业服务器主板 用品牌、专业服务器主板 网卡 2张千兆网卡 2张千兆网卡 电源 单电源 双电源 支持场前端采 集设备数量 800 2000 4.3支持第三方前端 小云无线网络安

13、全管理系统支持对接第三方WIFI设备，第三方WIFI设备可按照公共 场所无线上网安全管理系统数据传输交换规范把相关数据上传到小云无线网络安全管理 系统。小云无线网络安全管理系统同时提供第三方WIFI设备的管理接口，可对第三方WIFI 设备的正常运行情况进行监控，可增加、修改、删除场所基础信息。 文件传输接口规范 文件传输接口方式适用于数据量较大的情况。 用标准非压缩模式的 ZIP文件作为数据传输的主要载体，ZIP文件中的数据描述文件可 采用BCP文件格式。 数据传输过程中的 ZIP、BCR XML等格式文件要遵照数据传输文件规范。 数据传输时按照传输双方协商约定，将ZIP文件放入指定的目录结构

14、中，数据使用方 （预处理）从目录中获取数据，进行下一步的信息提取、分析。 传输过程要支持传输日志信息的记录，供后续审计使用。 FTP传输方式 用户生成的文件直接上传到指定的FTP服务器上，要求传输过程中文件名为“原文件 名.tmp ”，传输完成后文件改名为原来的文件名。 主要是标识文件传输是否结束，以方便后台可以及时处理文件。 4.4支持第三方后端 小云无线网络安全管理系统的前端（WIFI）设备，支持对接符合公安标准要求的第三方 WIFI管理系统。小云无线网络安全管理系统可以按照公共场所无线上网安全管理系统 据传输交换规范把相关数据上传到第三方WIFI管理系统，同时可以按照对方接口要求， 发送

15、设备心跳、设备参数等信息，实现第三方管理系统对小云无线前端设备的监管。 小云心務 数据上传方式 小云后端审计服务器，收集所有小云设备的场所和用户信息。 小云无线网络安全管理系统负责把所有小云设备信息进行汇总打包成zip文件。 小云后端服务器把每天的数据，自动通过FTP方式上传到第三方后端。 五、方案优势 国内领先的无线网络审计管理系统 无线网络的覆盖范围在国内越来越广泛， 高级宾馆、豪华住宅区、飞机场以 及咖啡厅之类的区域都有无线网络。遍布公共场所的无线“热点”，将人们的 生活和工作带入一个全新的时代。但无线网络的开放性也给管理带来极大的困难。 小云网络安全管理系统正是通过 WIFI源头监控、到云端认证服务、最后实现实名 审计、统一监控管理，完善的解决了无线上网场所的网络信息安全和监控管理问 题。 全面内容安全审计，满足所有合规性要求 系统支持从即时通信、网页访问、电子邮件、论坛发帖到文件下载等数十种 主要网络应用协议的识别还原，最大限度地发现有潜在安全风险的网络行为。从 而完善了对各公共上网场所的审计监控体系，并且满足各种合规性要求。 智能虚拟身份分析，提高账号识别准确度 系统内置虚拟人口库，支持智能虚拟身份分析功能，能够将网络中的虚拟身 份（网络帐号）与现实中的真实身份智能关联，有效地解决了网络行为角色的虚 拟性所带来的种种问题。利用虚拟身份多重识别技术，能够最大限度