公共場(chǎng)所無(wú)線上網(wǎng)安全管控方案

1、公共場(chǎng)所無(wú)線上網(wǎng)安全管控方案一、 方案背景中國(guó)的互聯(lián)網(wǎng)和信息網(wǎng)絡(luò)在最近的十余年獲得了飛速的發(fā)展，無(wú)線網(wǎng)絡(luò)也隨著“無(wú)線城市”的到來(lái)，而普及到國(guó)內(nèi)各個(gè)家庭和公共場(chǎng)所，人們儼然已經(jīng)開(kāi)始享受無(wú)線(WIFI)網(wǎng)絡(luò)給工作及生活帶來(lái)的便捷。但這種便捷同樣也給犯罪份子帶來(lái)可乘之機(jī)，越來(lái)越多的網(wǎng)絡(luò)違法活動(dòng)開(kāi)始通過(guò)公眾場(chǎng)所的無(wú)線網(wǎng)絡(luò)來(lái)進(jìn)行。尤其是像咖啡廳、餐館、商場(chǎng)等提供無(wú)線網(wǎng)絡(luò)服務(wù)的公眾場(chǎng)所，更是違法犯罪活動(dòng)的高發(fā)地，需要對(duì)網(wǎng)絡(luò)行為進(jìn)行有效的實(shí)名監(jiān)控，從而有效的打擊網(wǎng)絡(luò)違法活動(dòng)。為了滿足各地市公安網(wǎng)監(jiān)部門(mén)對(duì)公共無(wú)線上網(wǎng)場(chǎng)所的網(wǎng)絡(luò)信息安全監(jiān)管要求，北京光音盛世信息技術(shù)有限公司深入分析現(xiàn)有無(wú)線網(wǎng)絡(luò)特點(diǎn)、安全需求、管

2、理要求，結(jié)合多年在網(wǎng)絡(luò)安全、無(wú)線安全、安全審計(jì)方面的技術(shù)經(jīng)驗(yàn)，研發(fā)出針對(duì)無(wú)線網(wǎng)絡(luò)的信息安全審計(jì)產(chǎn)品。小云無(wú)線網(wǎng)絡(luò)安全管理系統(tǒng)主要解決了對(duì)無(wú)線網(wǎng)絡(luò)的集中安全管理問(wèn)題，通過(guò)無(wú)線WIFI設(shè)備抓取網(wǎng)絡(luò)數(shù)據(jù)包（包括網(wǎng)頁(yè)、郵件、即時(shí)通訊、上傳下載、在線游戲等等），把審計(jì)信息通過(guò)加密方式統(tǒng)一上傳到后端安全管理系統(tǒng)，安全管理系統(tǒng)對(duì)數(shù)據(jù)集中分析，從而實(shí)現(xiàn)行為審計(jì)、身份管理、場(chǎng)所管理、軌跡查詢、報(bào)警等功能。二、 方案需求2.1 無(wú)線上網(wǎng)為了能夠廣泛的應(yīng)用在商場(chǎng)、賓館酒店、KTV、廣場(chǎng)、大學(xué)、機(jī)場(chǎng)等各類公共區(qū)域，無(wú)線接入設(shè)備必須支持802.11b/g/n/ac標(biāo)準(zhǔn)無(wú)線客戶端接入,且能同時(shí)支持50個(gè)終端無(wú)線連接。接入

3、設(shè)備必須支持流量控制功能，保證每個(gè)上網(wǎng)用戶的上網(wǎng)體驗(yàn)。設(shè)備部署操作方式簡(jiǎn)單，適用性強(qiáng)。2.2 統(tǒng)一認(rèn)證所有上網(wǎng)用戶必須經(jīng)過(guò)手機(jī)短信驗(yàn)證后方可訪問(wèn)互聯(lián)網(wǎng)，手機(jī)號(hào)碼與手機(jī)MAC地址相互綁定，手機(jī)號(hào)認(rèn)證信息需安全保存，可上傳至公安網(wǎng)監(jiān)，滿足公安實(shí)名上網(wǎng)的要求。2.3 網(wǎng)絡(luò)安全無(wú)線前端設(shè)備具備鏈路安全檢測(cè)模塊、DNS安全檢測(cè)模塊、防攻擊防火墻等基本安全功能，保證網(wǎng)絡(luò)通信安全。2.4 場(chǎng)所管理支持對(duì)所有場(chǎng)所的分區(qū)域管理，可以通過(guò)場(chǎng)所編號(hào)、場(chǎng)所名稱、場(chǎng)所所屬區(qū)域、場(chǎng)所信息關(guān)鍵字等實(shí)時(shí)查詢場(chǎng)所基礎(chǔ)信息和狀態(tài)。可實(shí)時(shí)監(jiān)控場(chǎng)所在線狀態(tài)，并支持按日期查詢場(chǎng)所在線率。2.5 行為管理支持對(duì)用戶上下線信息、上網(wǎng)日志信

4、息的收集、統(tǒng)計(jì)、分析。 可通過(guò)多種條件的組合查詢和模糊查詢調(diào)取網(wǎng)絡(luò)行為記錄。2.6 身份管理支持通過(guò)手機(jī)號(hào)、MAC等信息查詢行為人的所有虛擬身份信息，例如：可查詢到行為人的即時(shí)通信賬號(hào)、電子郵件地址、網(wǎng)絡(luò)游戲賬號(hào)、論壇登錄賬號(hào)等。2.7 報(bào)警管理支持對(duì)手機(jī)號(hào)、MAC地址、虛擬帳號(hào)等信息設(shè)置報(bào)警策略，一旦身份信息在無(wú)線網(wǎng)絡(luò)覆蓋范圍內(nèi)出現(xiàn)，則立即通過(guò)短信、郵件等方式通知監(jiān)管人。三、 方案概述方案主要包括三方面: 公共場(chǎng)所上網(wǎng)信息采集、上網(wǎng)用戶實(shí)名認(rèn)證、數(shù)據(jù)收集和分析。圖 無(wú)線上網(wǎng)安全管控方案架構(gòu)3.1 信息采集小云WIFI設(shè)備給用戶提供安全的無(wú)線網(wǎng)絡(luò)接入，同時(shí)把用戶的上下線數(shù)據(jù)、用戶行為數(shù)據(jù)（包括

5、網(wǎng)頁(yè)、郵件、即時(shí)通訊、下載上傳、在線游戲、網(wǎng)絡(luò)流量審計(jì)等等）通過(guò)加密方式傳送到審計(jì)服務(wù)器，審計(jì)服務(wù)器收到加密數(shù)據(jù)后統(tǒng)一進(jìn)行分析處理。所有部署小云WIFI設(shè)備的場(chǎng)所，都經(jīng)過(guò)實(shí)名信息登記，所有場(chǎng)所的信息（場(chǎng)所名稱、地址、聯(lián)系人、聯(lián)系方式、IP地址等）都會(huì)同步到安全管理審計(jì)中心，方便公安網(wǎng)監(jiān)對(duì)所有場(chǎng)所的管理。3.2 用戶認(rèn)證通過(guò)手機(jī)短信認(rèn)證的方式，云端認(rèn)證服務(wù)器統(tǒng)一對(duì)所有場(chǎng)所WIFI上網(wǎng)用戶的手機(jī)號(hào)進(jìn)行認(rèn)證，只有通過(guò)手機(jī)號(hào)認(rèn)證的用戶才能使用WIFI設(shè)備上網(wǎng)。圖 設(shè)置上網(wǎng)認(rèn)證方式認(rèn)證服務(wù)器上所有手機(jī)號(hào)碼信息都會(huì)同步到審計(jì)服務(wù)器上，審計(jì)服務(wù)器可以匹配用戶身份數(shù)據(jù)，從而實(shí)現(xiàn)真實(shí)身份匹配。圖 手機(jī)號(hào)碼與行為

6、數(shù)據(jù)匹配3.3 數(shù)據(jù)收集與分析審計(jì)服務(wù)器收集各場(chǎng)所WIFI上傳的審計(jì)信息，對(duì)數(shù)據(jù)集中分析，從而實(shí)現(xiàn)行為管理、身份管理、場(chǎng)所管理、報(bào)警管理等功能。行為管理支持對(duì)用戶上下線信息的收集，包括上下線時(shí)間、IP地址、MAC地址、源外網(wǎng)IP地址、場(chǎng)強(qiáng)等信息。支持對(duì)上下線信息的數(shù)據(jù)上報(bào)功能。支持對(duì)即時(shí)通信、網(wǎng)頁(yè)訪問(wèn)、文件傳輸、收發(fā)郵件、網(wǎng)絡(luò)游戲、論壇發(fā)帖、遠(yuǎn)程管理等網(wǎng)絡(luò)行為的審計(jì)，審計(jì)的內(nèi)容包括:時(shí)間、地點(diǎn)、IP地址、網(wǎng)絡(luò)協(xié)議、使用的賬號(hào)等信息。支持對(duì)上網(wǎng)行為日志的數(shù)據(jù)上報(bào)功能?？捎枚鄺l件的組合查詢和模糊查詢，精確查詢網(wǎng)絡(luò)行為信息。支持場(chǎng)所、時(shí)間、應(yīng)用協(xié)議、關(guān)鍵字條件的組合查詢和模糊查詢。圖 行為綜合查詢-

7、結(jié)果身份管理支持通過(guò)手機(jī)號(hào)、網(wǎng)卡MAC地址、姓名、身份證號(hào)等信息查詢行為人的所有虛擬身份信息，例如：可查詢到行為人的即時(shí)通信賬號(hào)、電子郵件地址、網(wǎng)絡(luò)游戲賬號(hào)、論壇登錄賬號(hào)等?？梢酝ㄟ^(guò)某個(gè)虛擬身份查詢用戶真實(shí)身份信息，可查詢到行為人的手機(jī)號(hào)、姓名、身份證號(hào)、網(wǎng)卡MAC地址等。支持多重身份查詢，可查詢到某個(gè)網(wǎng)絡(luò)帳號(hào)被多個(gè)真實(shí)身份的行為人使用。系統(tǒng)自動(dòng)對(duì)所有用戶的網(wǎng)絡(luò)行為進(jìn)行統(tǒng)計(jì)和分析?？煞治龀瞿硞€(gè)網(wǎng)絡(luò)帳號(hào)的被使用次數(shù)，被經(jīng)常使用的行為人，經(jīng)常出現(xiàn)的場(chǎng)所及出現(xiàn)的次數(shù)，最后一次出現(xiàn)的場(chǎng)所和時(shí)間等信息。圖 虛擬身份查詢場(chǎng)所管理可以通過(guò)場(chǎng)所編號(hào)、場(chǎng)所名稱、場(chǎng)所所屬區(qū)域、場(chǎng)所信息關(guān)鍵字，查詢到每個(gè)使用WIF

8、I的公共上網(wǎng)場(chǎng)所的信息。場(chǎng)所信息包括：場(chǎng)所名稱，場(chǎng)所地址，場(chǎng)所安全聯(lián)系人、電話，場(chǎng)所所屬區(qū)域、所屬行業(yè)，IP地址、最后在線時(shí)間等信息。支持對(duì)場(chǎng)所的分區(qū)域管理，可手動(dòng)劃分場(chǎng)所所屬區(qū)域。支持自定義區(qū)域設(shè)置，靈活分配場(chǎng)所所屬區(qū)域，方便管理。圖 查詢場(chǎng)所-查詢結(jié)果顯示報(bào)警管理根據(jù)報(bào)警策略，對(duì)所有WIFI上網(wǎng)場(chǎng)所進(jìn)行實(shí)時(shí)監(jiān)控，及時(shí)發(fā)現(xiàn)違法行為和嫌疑人，并實(shí)時(shí)發(fā)送報(bào)警信息。支持屏幕報(bào)警、郵件報(bào)警、手機(jī)短信報(bào)警，同時(shí)支持一種或多種方式報(bào)警。支持對(duì)真實(shí)身份信息報(bào)警策略設(shè)置，包括姓名、身份證號(hào)、手機(jī)號(hào)、手機(jī)MAC地址等。支持對(duì)虛擬身份信息的報(bào)警策略設(shè)置，包括即時(shí)通信帳號(hào)、郵件地址、論壇帳號(hào)、游戲賬號(hào)等。支持對(duì)報(bào)

9、警策略的新增、查詢、終止等操作。可以對(duì)所有報(bào)警日志信息記錄進(jìn)行查詢。支持對(duì)報(bào)警日志信息的組合查詢和模糊查詢，包括時(shí)間、關(guān)鍵字、行為人等。可以對(duì)報(bào)警信息進(jìn)行分類顯示，包括已讀報(bào)警信息和未讀報(bào)警信息。圖 報(bào)警功能四、 方案部署4.1 場(chǎng)所端部署前端采集設(shè)備部署在各種公共上網(wǎng)場(chǎng)所，可通過(guò)電信、聯(lián)通等各種互聯(lián)網(wǎng)接入服務(wù)提供商的基礎(chǔ)網(wǎng)絡(luò)接入互聯(lián)網(wǎng)。設(shè)備可以單臺(tái)部署，也可多臺(tái)部署。部署方式：網(wǎng)關(guān)路由模式；建議出口帶寬：4Mbps；上網(wǎng)方式：手機(jī)短信驗(yàn)證上網(wǎng)。圖 場(chǎng)所端部署圖4.2 服務(wù)器端部署審計(jì)服務(wù)器部署于公安網(wǎng)監(jiān)機(jī)房，根據(jù)場(chǎng)所端數(shù)量可適當(dāng)增加服務(wù)器。服務(wù)器外網(wǎng)出口需部署一臺(tái)防火墻來(lái)保護(hù)服務(wù)器的安全。內(nèi)

10、網(wǎng)PC終端可直接訪問(wèn)審計(jì)服務(wù)器查看服務(wù)器信息。建議出口帶寬：400Mbps；防火墻開(kāi)放策略：允許所有IP地址對(duì)服務(wù)器的22、8987、11518、11521端口的訪問(wèn)。圖 公安網(wǎng)監(jiān)端部署圖服務(wù)器服務(wù)器硬件規(guī)格參考:最低要求推薦配置CPU至強(qiáng)E3*1至強(qiáng)E5*2內(nèi)存16G32G硬盤(pán)SATA 500GRaid 5 500G主板用品牌、專業(yè)服務(wù)器主板用品牌、專業(yè)服務(wù)器主板網(wǎng)卡2張千兆網(wǎng)卡2張千兆網(wǎng)卡電源單電源雙電源支持場(chǎng)前端采集設(shè)備數(shù)量80020004.3 支持第三方前端小云無(wú)線網(wǎng)絡(luò)安全管理系統(tǒng)支持對(duì)接第三方WIFI設(shè)備，第三方WIFI設(shè)備可按照公共場(chǎng)所無(wú)線上網(wǎng)安全管理系統(tǒng) 數(shù)據(jù)傳輸交換規(guī)范把相關(guān)數(shù)

11、據(jù)上傳到小云無(wú)線網(wǎng)絡(luò)安全管理系統(tǒng)。小云無(wú)線網(wǎng)絡(luò)安全管理系統(tǒng)同時(shí)提供第三方WIFI設(shè)備的管理接口，可對(duì)第三方WIFI設(shè)備的正常運(yùn)行情況進(jìn)行監(jiān)控，可增加、修改、刪除場(chǎng)所基礎(chǔ)信息。文件傳輸接口規(guī)范文件傳輸接口方式適用于數(shù)據(jù)量較大的情況。用標(biāo)準(zhǔn)非壓縮模式的ZIP文件作為數(shù)據(jù)傳輸?shù)闹饕d體，ZIP文件中的數(shù)據(jù)描述文件可采用BCP文件格式。數(shù)據(jù)傳輸過(guò)程中的 ZIP、BCP、XML等格式文件要遵照數(shù)據(jù)傳輸文件規(guī)范。數(shù)據(jù)傳輸時(shí)按照傳輸雙方協(xié)商約定，將 ZIP文件放入指定的目錄結(jié)構(gòu)中，數(shù)據(jù)使用方(預(yù)處理)從目錄中獲取數(shù)據(jù)，進(jìn)行下一步的信息提取、分析。傳輸過(guò)程要支持傳輸日志信息的記錄，供后續(xù)審計(jì)使用。FTP傳輸方

12、式用戶生成的文件直接上傳到指定的FTP服務(wù)器上，要求傳輸過(guò)程中文件名為“原文件名.tmp”，傳輸完成后文件改名為原來(lái)的文件名。主要是標(biāo)識(shí)文件傳輸是否結(jié)束，以方便后臺(tái)可以及時(shí)處理文件。4.4 支持第三方后端小云無(wú)線網(wǎng)絡(luò)安全管理系統(tǒng)的前端（WIFI）設(shè)備，支持對(duì)接符合公安標(biāo)準(zhǔn)要求的第三方WIFI管理系統(tǒng)。小云無(wú)線網(wǎng)絡(luò)安全管理系統(tǒng)可以按照公共場(chǎng)所無(wú)線上網(wǎng)安全管理系統(tǒng) 數(shù)據(jù)傳輸交換規(guī)范把相關(guān)數(shù)據(jù)上傳到第三方WIFI管理系統(tǒng)，同時(shí)可以按照對(duì)方接口要求，發(fā)送設(shè)備心跳、設(shè)備參數(shù)等信息，實(shí)現(xiàn)第三方管理系統(tǒng)對(duì)小云無(wú)線前端設(shè)備的監(jiān)管。數(shù)據(jù)上傳方式小云后端審計(jì)服務(wù)器，收集所有小云設(shè)備的場(chǎng)所和用戶信息。小云無(wú)線網(wǎng)絡(luò)安

13、全管理系統(tǒng)負(fù)責(zé)把所有小云設(shè)備信息進(jìn)行匯總打包成zip文件。小云后端服務(wù)器把每天的數(shù)據(jù)，自動(dòng)通過(guò)FTP方式上傳到第三方后端。五、 方案優(yōu)勢(shì)² 國(guó)內(nèi)領(lǐng)先的無(wú)線網(wǎng)絡(luò)審計(jì)管理系統(tǒng)無(wú)線網(wǎng)絡(luò)的覆蓋范圍在國(guó)內(nèi)越來(lái)越廣泛，高級(jí)賓館、豪華住宅區(qū)、飛機(jī)場(chǎng)以及咖啡廳之類的區(qū)域都有無(wú)線網(wǎng)絡(luò)。遍布公共場(chǎng)所的無(wú)線 “熱點(diǎn)”，將人們的生活和工作帶入一個(gè)全新的時(shí)代。但無(wú)線網(wǎng)絡(luò)的開(kāi)放性也給管理帶來(lái)極大的困難。小云網(wǎng)絡(luò)安全管理系統(tǒng)正是通過(guò)WIFI源頭監(jiān)控、到云端認(rèn)證服務(wù)、最后實(shí)現(xiàn)實(shí)名審計(jì)、統(tǒng)一監(jiān)控管理，完善的解決了無(wú)線上網(wǎng)場(chǎng)所的網(wǎng)絡(luò)信息安全和監(jiān)控管理問(wèn)題。² 全面內(nèi)容安全審計(jì)，滿足所有合規(guī)性要求系統(tǒng)支持從即時(shí)通信、網(wǎng)頁(yè)訪問(wèn)、電子郵件、論壇發(fā)帖到文件下載等數(shù)十種主要網(wǎng)絡(luò)應(yīng)用協(xié)議的識(shí)別還原，最大限度地發(fā)現(xiàn)有潛在安全風(fēng)險(xiǎn)的網(wǎng)絡(luò)行為。從而完善了對(duì)各公共上網(wǎng)場(chǎng)所的審計(jì)監(jiān)控體系，并且滿足各種合規(guī)性要求。² 智能虛擬身份分析，提高賬號(hào)識(shí)別準(zhǔn)確度系統(tǒng)內(nèi)置虛擬人口庫(kù)，支持智能虛擬身份分析功能，能夠?qū)⒕W(wǎng)絡(luò)中的虛擬身份（網(wǎng)絡(luò)帳號(hào)）與現(xiàn)實(shí)中的真實(shí)身份智能關(guān)聯(lián)，有效地解決了網(wǎng)絡(luò)行為角色的虛擬性所帶來(lái)的種種問(wèn)題。利用虛擬身份多重識(shí)別技術(shù)，能夠最大限度地提高虛擬身份識(shí)別的準(zhǔn)確度，為網(wǎng)監(jiān)部門(mén)利用網(wǎng)絡(luò)行為線索信息