1、公共場所無線上網(wǎng)安全管控方案一、方案背景中國的互聯(lián)網(wǎng)和信息網(wǎng)絡(luò)在近來的十余年獲取了飛快的發(fā)展，無線網(wǎng)絡(luò)也跟著“無線城市”的到來，而普及到國內(nèi)各個家庭和公共場所，人們儼然已經(jīng)開始享受無線(WIFI)網(wǎng)絡(luò)給工作及生活帶來的便利。但這類便利相同也給犯法份子帶來可乘之機(jī)，愈來愈多的網(wǎng)絡(luò)違紀(jì)活動開始經(jīng)過民眾場所的無線網(wǎng)絡(luò)來進(jìn)行。特別是像咖啡廳、餐館、商場等供給無線網(wǎng)絡(luò)服務(wù)的民眾場所，更是違紀(jì)犯法活動的高發(fā)地，需要對網(wǎng)絡(luò)行為進(jìn)行有效的實(shí)名監(jiān)控，進(jìn)而有效的打擊網(wǎng)絡(luò)違紀(jì)活動。為了知足各地市公安網(wǎng)監(jiān)部門對公共無線上網(wǎng)場所的網(wǎng)絡(luò)信息安全看管要求，北京光音盛世信息技術(shù)有限企業(yè)深入剖析現(xiàn)有無線網(wǎng)絡(luò)特色、安全需求、管理

2、要求，聯(lián)合多年在網(wǎng)絡(luò)安全、無線安全、安全審計方面的技術(shù)經(jīng)驗(yàn)，研發(fā)出針對無線網(wǎng)絡(luò)的信息安全審計產(chǎn)品。小云無線網(wǎng)絡(luò)安全管理系統(tǒng)主要解決了對無線網(wǎng)絡(luò)的集中安全管理問題，經(jīng)過無線WIFI設(shè)施抓取網(wǎng)絡(luò)數(shù)據(jù)包（包含網(wǎng)頁、郵件、即時通信、上傳下載、在線游戲等等），把審計信息經(jīng)過加密方式一致上傳到后端安全管理系統(tǒng)，安全管理系統(tǒng)對數(shù)據(jù)集中剖析，進(jìn)而實(shí)現(xiàn)行為審計、身份管理、場所管理、軌跡查問、報警等功能。二、方案需求2.1無線上網(wǎng)為了能夠?qū)挿旱膽?yīng)用在商場、旅館酒店、KTV、廣場、大學(xué)、機(jī)場等各種公共地區(qū)，無線接入設(shè)施一定支持g/n/ac標(biāo)準(zhǔn)無線客戶端接入,且能同時支持50個終端無線連結(jié)。接入設(shè)施一定支持流量控制功

3、能，保證每個上網(wǎng)用戶的上網(wǎng)體驗(yàn)。設(shè)施部署操作方式簡單，合用性強(qiáng)。2.2一致認(rèn)證全部上網(wǎng)用戶一定經(jīng)過手機(jī)短信考證后方可接見互聯(lián)網(wǎng)，手機(jī)號碼與手機(jī)MAC地址互相綁定，手機(jī)號認(rèn)證信息需安全保留，可上傳至公安網(wǎng)監(jiān)，知足公安實(shí)名上網(wǎng)的要求。2.3網(wǎng)絡(luò)安全無線前端設(shè)施具備鏈路安全檢測模塊、DNS安全檢測模塊、防攻擊防火墻等基本安全功能，保證網(wǎng)絡(luò)通信安全。2.4場所管理支持對全部場所的分地區(qū)管理，能夠經(jīng)過場所編號、場所名稱、場所所屬地區(qū)、場所信息重點(diǎn)字等及時查問場所基礎(chǔ)信息和狀態(tài)。可及時監(jiān)控場所在線狀態(tài)，并支持按日期查問場所在線率。2.5行為管理支持對用戶上下線信息、上網(wǎng)日記信息的采集、統(tǒng)計、剖析。可經(jīng)過多

4、種條件的組合查問和模糊查問調(diào)取網(wǎng)絡(luò)行為記錄。2.6身份管理支持經(jīng)過手機(jī)號、MAC等信息查問行為人的全部虛構(gòu)身份信息，比如：可查問到行為人的即時通信賬號、電子郵件地址、網(wǎng)絡(luò)游戲賬號、論壇登錄賬號等。2.7報警管理支持?jǐn)呈謾C(jī)號、MAC地址、虛構(gòu)帳號等信息設(shè)置報警策略，一旦身份信息在無線網(wǎng)絡(luò)覆蓋范圍內(nèi)出現(xiàn)，則立刻通太短信、郵件等方式通知看管人。三、方案概括方案主要包含三方面:公共場所上網(wǎng)信息采集、上網(wǎng)用戶實(shí)名認(rèn)證、數(shù)據(jù)采集和剖析。圖無線上網(wǎng)安全管控方案架構(gòu)3.1信息采集小云WIFI設(shè)施給用戶供給安全的無線網(wǎng)絡(luò)接入，同時把用戶的上下線數(shù)據(jù)、用戶行為數(shù)據(jù)（包含網(wǎng)頁、郵件、即時通信、下載上傳、在線游戲、網(wǎng)

5、絡(luò)流量審計等等）經(jīng)過加密方式傳遞到審計服務(wù)器，審計服務(wù)器收到加密數(shù)據(jù)后一致進(jìn)行剖析辦理。全部部署小云WIFI設(shè)施的場所，都經(jīng)過實(shí)名信息登記，全部場所的信息（場所名稱、地址、聯(lián)系人、聯(lián)系方式、IP地址等）都會同步到安全管理審計中心，方便公安網(wǎng)監(jiān)對全部場所的管理。3.2用戶認(rèn)證經(jīng)過手機(jī)短信認(rèn)證的方式，云端認(rèn)證服務(wù)器一致對全部場所WIFI上網(wǎng)用戶的手機(jī)號進(jìn)行認(rèn)證，只有經(jīng)過手機(jī)號認(rèn)證的用戶才能使用WIFI設(shè)施上網(wǎng)。圖設(shè)置上網(wǎng)認(rèn)證方式認(rèn)證服務(wù)器上全部手機(jī)號碼信息都會同步到審計服務(wù)器上，審計服務(wù)器能夠般配用戶身份數(shù)據(jù)，進(jìn)而實(shí)現(xiàn)真切身份般配。圖手機(jī)號碼與行為數(shù)據(jù)般配3.3數(shù)據(jù)采集與剖析審計服務(wù)器采集各場所W

6、IFI上傳的審計信息，對數(shù)據(jù)集中剖析，進(jìn)而實(shí)現(xiàn)行為管理、身份管理、場所管理、報警管理等功能。行為管理支持對用戶上下線信息的采集，包含上下線時間、IP地址、MAC地址、源外網(wǎng)IP地址、場強(qiáng)等信息。支持對上下線信息的數(shù)據(jù)上報功能。支持對即時通信、網(wǎng)頁接見、文件傳輸、收發(fā)郵件、網(wǎng)絡(luò)游戲、論壇發(fā)帖、遠(yuǎn)程管理等網(wǎng)絡(luò)行為的審計，審計的內(nèi)容包含:時間、地址、IP地址、網(wǎng)絡(luò)協(xié)議、使用的賬號等信息。支持對上網(wǎng)行為日記的數(shù)據(jù)上報功能?？捎枚鄺l件的組合查問和模糊查問，精準(zhǔn)查問網(wǎng)絡(luò)行為信息。支持場所、時間、應(yīng)用協(xié)議、重點(diǎn)字條件的組合查問和模糊查問。圖行為綜合查問-結(jié)果身份管理支持經(jīng)過手機(jī)號、網(wǎng)卡MAC地址、姓名、身份

7、證號等信息查問行為人的全部虛構(gòu)身份信息，比如：可查問到行為人的即時通信賬號、電子郵件地址、網(wǎng)絡(luò)游戲賬號、論壇登錄賬號等。能夠經(jīng)過某個虛構(gòu)身份查問用戶真切身份信息，可查問到行為人的手機(jī)號、姓名、身份證號、網(wǎng)卡MAC地址等。支持多重身份查問，可查問到某個網(wǎng)絡(luò)帳號被多個真切身份的行為人使用。系統(tǒng)自動對所實(shí)用戶的網(wǎng)絡(luò)行為進(jìn)行統(tǒng)計和剖析。可剖析出某個網(wǎng)絡(luò)帳號的被使用次數(shù)，被常常使用的行為人，常常出現(xiàn)的場所及出現(xiàn)的次數(shù)，最后一次出現(xiàn)的場所和時間等信息。圖虛構(gòu)身份查問場所管理能夠經(jīng)過場所編號、場所名稱、場所所屬地區(qū)、場所信息重點(diǎn)字，查問到每個使用WIFI的公共上網(wǎng)場所的信息。場所信息包含：場所名稱，場所地址

8、，場所安全聯(lián)系人、電話，場所所屬地區(qū)、所屬行業(yè)，IP地址、最后在線時間等信息。支持對場所的分地區(qū)管理，可手動區(qū)分場所所屬地區(qū)。支持自定義地區(qū)設(shè)置，靈巧分派場所所屬地區(qū)，方便管理。圖查問場所-查問結(jié)果顯示報警管理依據(jù)報警策略，對全部WIFI上網(wǎng)場所進(jìn)行及時監(jiān)控，及時發(fā)現(xiàn)違紀(jì)行為和嫌疑人，并及時發(fā)送報警信息。支持屏幕報警、郵件報警、手機(jī)短信報警，同時支持一種或多種方式報警。支持對真切身份信息報警策略設(shè)置，包含姓名、身份證號、手機(jī)號、手機(jī)MAC地址等。支持對虛構(gòu)身份信息的報警策略設(shè)置，包含即時通信帳號、郵件地址、論壇帳號、游戲賬號等。支持對報警策略的新增、查問、停止等操作。能夠?qū)θ繄缶沼浶畔⒂涗?/p>

9、進(jìn)行查問。支持對報警日記信息的組合查問和模糊查問，包含時間、重點(diǎn)字、行為人等。能夠?qū)缶畔⑦M(jìn)行分類顯示，包含已讀報警信息和未讀報警信息。圖報警功能四、方案部署4.1場所端部署前端采集設(shè)施部署在各樣公共上網(wǎng)場所，可經(jīng)過電信、聯(lián)通等各樣互聯(lián)網(wǎng)接入服務(wù)供給商的基礎(chǔ)網(wǎng)絡(luò)接入互聯(lián)網(wǎng)。設(shè)施能夠單臺部署，也可多臺部署。部署方式：網(wǎng)關(guān)路由模式；建議出口帶寬：4Mbps；上網(wǎng)方式：手機(jī)短信考證上網(wǎng)。圖場所端部署圖4.2服務(wù)器端部署審計服務(wù)器部署于公安網(wǎng)監(jiān)機(jī)房，依據(jù)場所端數(shù)目可適合增添服務(wù)器。服務(wù)器外網(wǎng)出口需部署一臺防火墻來保護(hù)服務(wù)器的安全。內(nèi)網(wǎng)PC終端可直接接見審計服務(wù)器查察服務(wù)器信息。建議出口帶寬：400M

10、bps；防火墻開放策略：同意全部IP地址對服務(wù)器的22、8987、11518、11521端口的接見。圖公安網(wǎng)監(jiān)端部署圖服務(wù)器服務(wù)器硬件規(guī)格參照:最低要求介紹配置CPU至強(qiáng)E3*1至強(qiáng)E5*2內(nèi)存16G32G硬盤SATA500GRaid5500G用品牌、專業(yè)服務(wù)器用品牌、專業(yè)服務(wù)器主板主板主板網(wǎng)卡2張千兆網(wǎng)卡2張千兆網(wǎng)卡電源單電源雙電源支持場前端采集設(shè)8002000備數(shù)目4.3支持第三方前端小云無線網(wǎng)絡(luò)安全管理系統(tǒng)支持對接第三方WIFI設(shè)施可依照公共場所無線上網(wǎng)安全管理系統(tǒng)WIFI設(shè)施，第三方數(shù)據(jù)傳輸互換規(guī)范把有關(guān)數(shù)據(jù)上傳到小云無線網(wǎng)絡(luò)安全管理系統(tǒng)。小云無線網(wǎng)絡(luò)安全管理系統(tǒng)同時供給第三方WIFI

11、設(shè)施的管理接口，可對第三方WIFI設(shè)施的正常運(yùn)轉(zhuǎn)狀況進(jìn)行監(jiān)控，可增添、改正、刪除場所基礎(chǔ)信息。文件傳輸接口規(guī)范文件傳輸接口方式合用于數(shù)據(jù)量較大的狀況。用標(biāo)準(zhǔn)非壓縮模式的ZIP文件作為數(shù)據(jù)傳輸?shù)闹饕d體，ZIP文件中的數(shù)據(jù)描繪文件可采納BCP文件格式。數(shù)據(jù)傳輸過程中的ZIP、BCP、XML等格式文件要依照數(shù)據(jù)傳輸文件規(guī)范。數(shù)據(jù)傳輸時依照傳輸兩方磋商商定，將ZIP文件放入指定的目錄構(gòu)造中，數(shù)據(jù)使用方(預(yù)辦理)從目錄中獲取數(shù)據(jù)，進(jìn)行下一步的信息提取、剖析。傳輸過程要支持傳輸日記信息的記錄，供后續(xù)審計使用。FTP傳輸方式用戶生成的文件直接上傳到指定的FTP服務(wù)器上，要求傳輸過程中文件名為“原文件名.t

12、mp”，傳輸達(dá)成后文件更名為本來的文件名。主假如表記文件傳輸能否結(jié)束，以方便后臺能夠及時辦理文件。4.4支持第三方后端小云無線網(wǎng)絡(luò)安全管理系統(tǒng)的前端（WIFI）設(shè)施，支持對接切合公安標(biāo)準(zhǔn)要求的第三方WIFI管理系統(tǒng)。小云無線網(wǎng)絡(luò)安全管理系統(tǒng)能夠依照公共場所無線上網(wǎng)安全管理系統(tǒng)數(shù)據(jù)傳輸互換規(guī)范把有關(guān)數(shù)據(jù)上傳到第三方WIFI管理系統(tǒng)，同時能夠依照對方接口要求，發(fā)送設(shè)施心跳、設(shè)施參數(shù)等信息，實(shí)現(xiàn)第三方管理系統(tǒng)對小云無線前端設(shè)施的看管。數(shù)據(jù)上傳方式小云后端審計服務(wù)器，采集全部小云設(shè)施的場所和用戶信息。小云無線網(wǎng)絡(luò)安全管理系統(tǒng)負(fù)責(zé)把全部小云設(shè)施信息進(jìn)行匯總打包成zip文件。小云后端服務(wù)器把每日的數(shù)據(jù)，自

13、動經(jīng)過FTP方式上傳到第三方后端。五、方案優(yōu)勢國內(nèi)當(dāng)先的無線網(wǎng)絡(luò)審計管理系統(tǒng)無線網(wǎng)絡(luò)的覆蓋范圍在國內(nèi)愈來愈寬泛，高級旅館、豪華住所區(qū)、飛機(jī)場以及咖啡廳之類的地區(qū)都有無線網(wǎng)絡(luò)。遍及公共場所的無線“熱門”，將人們的生活和工作帶入一個嶄新的時代。但無線網(wǎng)絡(luò)的開放性也給管理帶來極大的困難。小云網(wǎng)絡(luò)安全管理系統(tǒng)正是經(jīng)過WIFI源泉監(jiān)控、到云端認(rèn)證服務(wù)、最后實(shí)現(xiàn)實(shí)名審計、一致監(jiān)控管理，完美的解決了無線上網(wǎng)場所的網(wǎng)絡(luò)信息安全和監(jiān)控管理問題。全面內(nèi)容安全審計，知足全部合規(guī)性要求系統(tǒng)支持從即時通信、網(wǎng)頁接見、電子郵件、論壇發(fā)帖到文件下載等數(shù)十種主要網(wǎng)絡(luò)應(yīng)用協(xié)議的辨別復(fù)原，最大限度地發(fā)現(xiàn)有潛伏安全風(fēng)險的網(wǎng)絡(luò)行為。進(jìn)而完美了對各公共上網(wǎng)場所的審計監(jiān)控系統(tǒng)，而且知足各樣合規(guī)性要求。智能虛構(gòu)身份剖析，提升賬號辨別正確度系統(tǒng)內(nèi)置虛構(gòu)人口庫，支持智能虛構(gòu)身份剖析功能，能夠?qū)⒕W(wǎng)絡(luò)中的虛構(gòu)身份（網(wǎng)絡(luò)帳號）與現(xiàn)實(shí)中的真切身份智能關(guān)系，有效地解決了網(wǎng)絡(luò)行為角色的虛構(gòu)性所帶來的各種問題。利用虛構(gòu)身份多重辨別技術(shù)，能夠最大限度地提升虛構(gòu)身份識其他正確度，為網(wǎng)監(jiān)部門利用網(wǎng)絡(luò)行為線