公共場所無線上網(wǎng)安全管控方案

1、精選優(yōu)質(zhì)文檔-傾情為你奉上公共場所無線上網(wǎng)安全管控方案一、 方案背景中國的互聯(lián)網(wǎng)和信息網(wǎng)絡(luò)在最近的十余年獲得了飛速的發(fā)展，無線網(wǎng)絡(luò)也隨著“無線城市”的到來，而普及到國內(nèi)各個家庭和公共場所，人們儼然已經(jīng)開始享受無線(WIFI)網(wǎng)絡(luò)給工作及生活帶來的便捷。但這種便捷同樣也給犯罪份子帶來可乘之機(jī)，越來越多的網(wǎng)絡(luò)違法活動開始通過公眾場所的無線網(wǎng)絡(luò)來進(jìn)行。尤其是像咖啡廳、餐館、商場等提供無線網(wǎng)絡(luò)服務(wù)的公眾場所，更是違法犯罪活動的高發(fā)地，需要對網(wǎng)絡(luò)行為進(jìn)行有效的實(shí)名監(jiān)控，從而有效的打擊網(wǎng)絡(luò)違法活動。為了滿足各地市公安網(wǎng)監(jiān)部門對公共無線上網(wǎng)場所的網(wǎng)絡(luò)信息安全監(jiān)管要求，北京光音盛世信息技術(shù)有限公司深入分析現(xiàn)有

2、無線網(wǎng)絡(luò)特點(diǎn)、安全需求、管理要求，結(jié)合多年在網(wǎng)絡(luò)安全、無線安全、安全審計(jì)方面的技術(shù)經(jīng)驗(yàn)，研發(fā)出針對無線網(wǎng)絡(luò)的信息安全審計(jì)產(chǎn)品。小云無線網(wǎng)絡(luò)安全管理系統(tǒng)主要解決了對無線網(wǎng)絡(luò)的集中安全管理問題，通過無線WIFI設(shè)備抓取網(wǎng)絡(luò)數(shù)據(jù)包（包括網(wǎng)頁、郵件、即時通訊、上傳下載、在線游戲等等），把審計(jì)信息通過加密方式統(tǒng)一上傳到后端安全管理系統(tǒng)，安全管理系統(tǒng)對數(shù)據(jù)集中分析，從而實(shí)現(xiàn)行為審計(jì)、身份管理、場所管理、軌跡查詢、報(bào)警等功能。二、 方案需求2.1 無線上網(wǎng)為了能夠廣泛的應(yīng)用在商場、賓館酒店、KTV、廣場、大學(xué)、機(jī)場等各類公共區(qū)域，無線接入設(shè)備必須支持g/n/ac標(biāo)準(zhǔn)無線客戶端接入,且能同時支持50個終端無線

3、連接。接入設(shè)備必須支持流量控制功能，保證每個上網(wǎng)用戶的上網(wǎng)體驗(yàn)。設(shè)備部署操作方式簡單，適用性強(qiáng)。2.2 統(tǒng)一認(rèn)證所有上網(wǎng)用戶必須經(jīng)過手機(jī)短信驗(yàn)證后方可訪問互聯(lián)網(wǎng)，手機(jī)號碼與手機(jī)MAC地址相互綁定，手機(jī)號認(rèn)證信息需安全保存，可上傳至公安網(wǎng)監(jiān)，滿足公安實(shí)名上網(wǎng)的要求。2.3 網(wǎng)絡(luò)安全無線前端設(shè)備具備鏈路安全檢測模塊、DNS安全檢測模塊、防攻擊防火墻等基本安全功能，保證網(wǎng)絡(luò)通信安全。2.4 場所管理支持對所有場所的分區(qū)域管理，可以通過場所編號、場所名稱、場所所屬區(qū)域、場所信息關(guān)鍵字等實(shí)時查詢場所基礎(chǔ)信息和狀態(tài)?？蓪?shí)時監(jiān)控場所在線狀態(tài)，并支持按日期查詢場所在線率。2.5 行為管理支持對用戶上下線信息、

4、上網(wǎng)日志信息的收集、統(tǒng)計(jì)、分析。 可通過多種條件的組合查詢和模糊查詢調(diào)取網(wǎng)絡(luò)行為記錄。2.6 身份管理支持通過手機(jī)號、MAC等信息查詢行為人的所有虛擬身份信息，例如：可查詢到行為人的即時通信賬號、電子郵件地址、網(wǎng)絡(luò)游戲賬號、論壇登錄賬號等。2.7 報(bào)警管理支持對手機(jī)號、MAC地址、虛擬帳號等信息設(shè)置報(bào)警策略，一旦身份信息在無線網(wǎng)絡(luò)覆蓋范圍內(nèi)出現(xiàn)，則立即通過短信、郵件等方式通知監(jiān)管人。三、 方案概述方案主要包括三方面: 公共場所上網(wǎng)信息采集、上網(wǎng)用戶實(shí)名認(rèn)證、數(shù)據(jù)收集和分析。圖 無線上網(wǎng)安全管控方案架構(gòu)3.1 信息采集小云WIFI設(shè)備給用戶提供安全的無線網(wǎng)絡(luò)接入，同時把用戶的上下線數(shù)據(jù)、用戶行為

5、數(shù)據(jù)（包括網(wǎng)頁、郵件、即時通訊、下載上傳、在線游戲、網(wǎng)絡(luò)流量審計(jì)等等）通過加密方式傳送到審計(jì)服務(wù)器，審計(jì)服務(wù)器收到加密數(shù)據(jù)后統(tǒng)一進(jìn)行分析處理。所有部署小云WIFI設(shè)備的場所，都經(jīng)過實(shí)名信息登記，所有場所的信息（場所名稱、地址、聯(lián)系人、聯(lián)系方式、IP地址等）都會同步到安全管理審計(jì)中心，方便公安網(wǎng)監(jiān)對所有場所的管理。3.2 用戶認(rèn)證通過手機(jī)短信認(rèn)證的方式，云端認(rèn)證服務(wù)器統(tǒng)一對所有場所WIFI上網(wǎng)用戶的手機(jī)號進(jìn)行認(rèn)證，只有通過手機(jī)號認(rèn)證的用戶才能使用WIFI設(shè)備上網(wǎng)。圖 設(shè)置上網(wǎng)認(rèn)證方式認(rèn)證服務(wù)器上所有手機(jī)號碼信息都會同步到審計(jì)服務(wù)器上，審計(jì)服務(wù)器可以匹配用戶身份數(shù)據(jù)，從而實(shí)現(xiàn)真實(shí)身份匹配。圖 手機(jī)

6、號碼與行為數(shù)據(jù)匹配3.3 數(shù)據(jù)收集與分析審計(jì)服務(wù)器收集各場所WIFI上傳的審計(jì)信息，對數(shù)據(jù)集中分析，從而實(shí)現(xiàn)行為管理、身份管理、場所管理、報(bào)警管理等功能。行為管理支持對用戶上下線信息的收集，包括上下線時間、IP地址、MAC地址、源外網(wǎng)IP地址、場強(qiáng)等信息。支持對上下線信息的數(shù)據(jù)上報(bào)功能。支持對即時通信、網(wǎng)頁訪問、文件傳輸、收發(fā)郵件、網(wǎng)絡(luò)游戲、論壇發(fā)帖、遠(yuǎn)程管理等網(wǎng)絡(luò)行為的審計(jì)，審計(jì)的內(nèi)容包括:時間、地點(diǎn)、IP地址、網(wǎng)絡(luò)協(xié)議、使用的賬號等信息。支持對上網(wǎng)行為日志的數(shù)據(jù)上報(bào)功能?？捎枚鄺l件的組合查詢和模糊查詢，精確查詢網(wǎng)絡(luò)行為信息。支持場所、時間、應(yīng)用協(xié)議、關(guān)鍵字條件的組合查詢和模糊查詢。圖 行為

7、綜合查詢-結(jié)果身份管理支持通過手機(jī)號、網(wǎng)卡MAC地址、姓名、身份證號等信息查詢行為人的所有虛擬身份信息，例如：可查詢到行為人的即時通信賬號、電子郵件地址、網(wǎng)絡(luò)游戲賬號、論壇登錄賬號等?？梢酝ㄟ^某個虛擬身份查詢用戶真實(shí)身份信息，可查詢到行為人的手機(jī)號、姓名、身份證號、網(wǎng)卡MAC地址等。支持多重身份查詢，可查詢到某個網(wǎng)絡(luò)帳號被多個真實(shí)身份的行為人使用。系統(tǒng)自動對所有用戶的網(wǎng)絡(luò)行為進(jìn)行統(tǒng)計(jì)和分析。可分析出某個網(wǎng)絡(luò)帳號的被使用次數(shù)，被經(jīng)常使用的行為人，經(jīng)常出現(xiàn)的場所及出現(xiàn)的次數(shù)，最后一次出現(xiàn)的場所和時間等信息。圖 虛擬身份查詢場所管理可以通過場所編號、場所名稱、場所所屬區(qū)域、場所信息關(guān)鍵字，查詢到每個

8、使用WIFI的公共上網(wǎng)場所的信息。場所信息包括：場所名稱，場所地址，場所安全聯(lián)系人、電話，場所所屬區(qū)域、所屬行業(yè)，IP地址、最后在線時間等信息。支持對場所的分區(qū)域管理，可手動劃分場所所屬區(qū)域。支持自定義區(qū)域設(shè)置，靈活分配場所所屬區(qū)域，方便管理。圖 查詢場所-查詢結(jié)果顯示報(bào)警管理根據(jù)報(bào)警策略，對所有WIFI上網(wǎng)場所進(jìn)行實(shí)時監(jiān)控，及時發(fā)現(xiàn)違法行為和嫌疑人，并實(shí)時發(fā)送報(bào)警信息。支持屏幕報(bào)警、郵件報(bào)警、手機(jī)短信報(bào)警，同時支持一種或多種方式報(bào)警。支持對真實(shí)身份信息報(bào)警策略設(shè)置，包括姓名、身份證號、手機(jī)號、手機(jī)MAC地址等。支持對虛擬身份信息的報(bào)警策略設(shè)置，包括即時通信帳號、郵件地址、論壇帳號、游戲賬號等

9、。支持對報(bào)警策略的新增、查詢、終止等操作。可以對所有報(bào)警日志信息記錄進(jìn)行查詢。支持對報(bào)警日志信息的組合查詢和模糊查詢，包括時間、關(guān)鍵字、行為人等。可以對報(bào)警信息進(jìn)行分類顯示，包括已讀報(bào)警信息和未讀報(bào)警信息。圖 報(bào)警功能四、 方案部署4.1 場所端部署前端采集設(shè)備部署在各種公共上網(wǎng)場所，可通過電信、聯(lián)通等各種互聯(lián)網(wǎng)接入服務(wù)提供商的基礎(chǔ)網(wǎng)絡(luò)接入互聯(lián)網(wǎng)。設(shè)備可以單臺部署，也可多臺部署。部署方式：網(wǎng)關(guān)路由模式；建議出口帶寬：4Mbps；上網(wǎng)方式：手機(jī)短信驗(yàn)證上網(wǎng)。圖 場所端部署圖4.2 服務(wù)器端部署審計(jì)服務(wù)器部署于公安網(wǎng)監(jiān)機(jī)房，根據(jù)場所端數(shù)量可適當(dāng)增加服務(wù)器。服務(wù)器外網(wǎng)出口需部署一臺防火墻來保護(hù)服務(wù)器

10、的安全。內(nèi)網(wǎng)PC終端可直接訪問審計(jì)服務(wù)器查看服務(wù)器信息。建議出口帶寬：400Mbps；防火墻開放策略：允許所有IP地址對服務(wù)器的22、8987、11518、11521端口的訪問。圖 公安網(wǎng)監(jiān)端部署圖服務(wù)器服務(wù)器硬件規(guī)格參考:最低要求推薦配置CPU至強(qiáng)E3*1至強(qiáng)E5*2內(nèi)存16G32G硬盤SATA 500GRaid 5 500G主板用品牌、專業(yè)服務(wù)器主板用品牌、專業(yè)服務(wù)器主板網(wǎng)卡2張千兆網(wǎng)卡2張千兆網(wǎng)卡電源單電源雙電源支持場前端采集設(shè)備數(shù)量80020004.3 支持第三方前端小云無線網(wǎng)絡(luò)安全管理系統(tǒng)支持對接第三方WIFI設(shè)備，第三方WIFI設(shè)備可按照公共場所無線上網(wǎng)安全管理系統(tǒng) 數(shù)據(jù)傳輸交換規(guī)

11、范把相關(guān)數(shù)據(jù)上傳到小云無線網(wǎng)絡(luò)安全管理系統(tǒng)。小云無線網(wǎng)絡(luò)安全管理系統(tǒng)同時提供第三方WIFI設(shè)備的管理接口，可對第三方WIFI設(shè)備的正常運(yùn)行情況進(jìn)行監(jiān)控，可增加、修改、刪除場所基礎(chǔ)信息。文件傳輸接口規(guī)范文件傳輸接口方式適用于數(shù)據(jù)量較大的情況。用標(biāo)準(zhǔn)非壓縮模式的ZIP文件作為數(shù)據(jù)傳輸?shù)闹饕d體，ZIP文件中的數(shù)據(jù)描述文件可采用BCP文件格式。數(shù)據(jù)傳輸過程中的 ZIP、BCP、XML等格式文件要遵照數(shù)據(jù)傳輸文件規(guī)范。數(shù)據(jù)傳輸時按照傳輸雙方協(xié)商約定，將 ZIP文件放入指定的目錄結(jié)構(gòu)中，數(shù)據(jù)使用方(預(yù)處理)從目錄中獲取數(shù)據(jù)，進(jìn)行下一步的信息提取、分析。傳輸過程要支持傳輸日志信息的記錄，供后續(xù)審計(jì)使用。F

12、TP傳輸方式用戶生成的文件直接上傳到指定的FTP服務(wù)器上，要求傳輸過程中文件名為“原文件名.tmp”，傳輸完成后文件改名為原來的文件名。主要是標(biāo)識文件傳輸是否結(jié)束，以方便后臺可以及時處理文件。4.4 支持第三方后端小云無線網(wǎng)絡(luò)安全管理系統(tǒng)的前端（WIFI）設(shè)備，支持對接符合公安標(biāo)準(zhǔn)要求的第三方WIFI管理系統(tǒng)。小云無線網(wǎng)絡(luò)安全管理系統(tǒng)可以按照公共場所無線上網(wǎng)安全管理系統(tǒng) 數(shù)據(jù)傳輸交換規(guī)范把相關(guān)數(shù)據(jù)上傳到第三方WIFI管理系統(tǒng)，同時可以按照對方接口要求，發(fā)送設(shè)備心跳、設(shè)備參數(shù)等信息，實(shí)現(xiàn)第三方管理系統(tǒng)對小云無線前端設(shè)備的監(jiān)管。數(shù)據(jù)上傳方式小云后端審計(jì)服務(wù)器，收集所有小云設(shè)備的場所和用戶信息。小云

13、無線網(wǎng)絡(luò)安全管理系統(tǒng)負(fù)責(zé)把所有小云設(shè)備信息進(jìn)行匯總打包成zip文件。小云后端服務(wù)器把每天的數(shù)據(jù)，自動通過FTP方式上傳到第三方后端。五、 方案優(yōu)勢² 國內(nèi)領(lǐng)先的無線網(wǎng)絡(luò)審計(jì)管理系統(tǒng)無線網(wǎng)絡(luò)的覆蓋范圍在國內(nèi)越來越廣泛，高級賓館、豪華住宅區(qū)、飛機(jī)場以及咖啡廳之類的區(qū)域都有無線網(wǎng)絡(luò)。遍布公共場所的無線 “熱點(diǎn)”，將人們的生活和工作帶入一個全新的時代。但無線網(wǎng)絡(luò)的開放性也給管理帶來極大的困難。小云網(wǎng)絡(luò)安全管理系統(tǒng)正是通過WIFI源頭監(jiān)控、到云端認(rèn)證服務(wù)、最后實(shí)現(xiàn)實(shí)名審計(jì)、統(tǒng)一監(jiān)控管理，完善的解決了無線上網(wǎng)場所的網(wǎng)絡(luò)信息安全和監(jiān)控管理問題。² 全面內(nèi)容安全審計(jì)，滿足所有合規(guī)性要求系統(tǒng)支持從即時通信、網(wǎng)頁訪問、電子郵件、論壇發(fā)帖到文件下載等數(shù)十種主要網(wǎng)絡(luò)應(yīng)用協(xié)議的識別還原，最大限度地發(fā)現(xiàn)有潛在安全風(fēng)險(xiǎn)的網(wǎng)絡(luò)行為。從而完善了對各公共上網(wǎng)場所的審計(jì)監(jiān)控體系，并且滿足各種合規(guī)性要求。² 智能虛擬身份分析，提高賬號識別準(zhǔn)確度系統(tǒng)內(nèi)置虛擬人口庫，支持智能虛擬身份分析功能，能夠?qū)⒕W(wǎng)絡(luò)中的虛擬身份（網(wǎng)絡(luò)帳號）與現(xiàn)實(shí)中的真實(shí)身份智能關(guān)聯(lián)，有效地解決了網(wǎng)絡(luò)行為角色的虛擬性所帶來的種種問題。利用虛擬身份多重識別技術(shù)，能夠最大限度地提高虛擬身份識別的準(zhǔn)確度，為網(wǎng)監(jiān)部門利用網(wǎng)絡(luò)行為線索信息辦案，提供了全新