公共場(chǎng)所無線上網(wǎng)安全管控實(shí)施方案

1、公共場(chǎng)所無線上網(wǎng)安全管控方案一、方案背景中國的互聯(lián)網(wǎng)和信息網(wǎng)絡(luò)在近來的十余年獲取了飛快的發(fā)展，無線網(wǎng)絡(luò)也跟著“無線城市”的到來，而普及到國內(nèi)各個(gè)家庭和公共場(chǎng)所，人們儼然已經(jīng)開始享受無線(WIFI)網(wǎng)絡(luò)給工作及生活帶來的便利。但這類便利相同也給犯法份子帶來可乘之機(jī)，愈來愈多的網(wǎng)絡(luò)違紀(jì)活動(dòng)開始經(jīng)過民眾場(chǎng)所的無線網(wǎng)絡(luò)來進(jìn)行。特別是像咖啡廳、餐館、商場(chǎng)等供給無線網(wǎng)絡(luò)服務(wù)的民眾場(chǎng)所，更是違紀(jì)犯法活動(dòng)的高發(fā)地，需要對(duì)網(wǎng)絡(luò)行為進(jìn)行有效的實(shí)名監(jiān)控，進(jìn)而有效的打擊網(wǎng)絡(luò)違紀(jì)活動(dòng)。為了知足各地市公安網(wǎng)監(jiān)部門對(duì)公共無線上網(wǎng)場(chǎng)所的網(wǎng)絡(luò)信息安全看管要求，北京光音盛世信息技術(shù)有限企業(yè)深入剖析現(xiàn)有無線網(wǎng)絡(luò)特色、安全需求、管理

2、要求，聯(lián)合多年在網(wǎng)絡(luò)安全、無線安全、安全審計(jì)方面的技術(shù)經(jīng)驗(yàn)，研發(fā)出針對(duì)無線網(wǎng)絡(luò)的信息安全審計(jì)產(chǎn)品。小云無線網(wǎng)絡(luò)安全管理系統(tǒng)主要解決了對(duì)無線網(wǎng)絡(luò)的集中安全管理問題，經(jīng)過無線WIFI設(shè)施抓取網(wǎng)絡(luò)數(shù)據(jù)包（包含網(wǎng)頁、郵件、即時(shí)通信、上傳下載、在線游戲等等），把審計(jì)信息經(jīng)過加密方式一致上傳到后端安全管理系統(tǒng)，安全管理系統(tǒng)對(duì)數(shù)據(jù)集中剖析，進(jìn)而實(shí)現(xiàn)行為審計(jì)、身份管理、場(chǎng)所管理、軌跡查問、報(bào)警等功能。二、方案需求2.1無線上網(wǎng)為了能夠?qū)挿旱膽?yīng)用在商場(chǎng)、旅館酒店、KTV、廣場(chǎng)、大學(xué)、機(jī)場(chǎng)等各種公共地區(qū)，無線接入設(shè)施一定支持g/n/ac標(biāo)準(zhǔn)無線客戶端接入,且能同時(shí)支持50個(gè)終端無線連結(jié)。接入設(shè)施一定支持流量控制功

3、能，保證每個(gè)上網(wǎng)用戶的上網(wǎng)體驗(yàn)。設(shè)施部署操作方式簡(jiǎn)單，合用性強(qiáng)。2.2一致認(rèn)證全部上網(wǎng)用戶一定經(jīng)過手機(jī)短信考證后方可接見互聯(lián)網(wǎng)，手機(jī)號(hào)碼與手機(jī)MAC地址互相綁定，手機(jī)號(hào)認(rèn)證信息需安全保留，可上傳至公安網(wǎng)監(jiān)，知足公安實(shí)名上網(wǎng)的要求。2.3網(wǎng)絡(luò)安全無線前端設(shè)施具備鏈路安全檢測(cè)模塊、DNS安全檢測(cè)模塊、防攻擊防火墻等基本安全功能，保證網(wǎng)絡(luò)通信安全。2.4場(chǎng)所管理支持對(duì)全部場(chǎng)所的分地區(qū)管理，能夠經(jīng)過場(chǎng)所編號(hào)、場(chǎng)所名稱、場(chǎng)所所屬地區(qū)、場(chǎng)所信息重點(diǎn)字等及時(shí)查問場(chǎng)所基礎(chǔ)信息和狀態(tài)。可及時(shí)監(jiān)控場(chǎng)所在線狀態(tài)，并支持按日期查問場(chǎng)所在線率。2.5行為管理支持對(duì)用戶上下線信息、上網(wǎng)日記信息的采集、統(tǒng)計(jì)、剖析。可經(jīng)過多

4、種條件的組合查問和模糊查問調(diào)取網(wǎng)絡(luò)行為記錄。2.6身份管理支持經(jīng)過手機(jī)號(hào)、MAC等信息查問行為人的全部虛構(gòu)身份信息，比如：可查問到行為人的即時(shí)通信賬號(hào)、電子郵件地址、網(wǎng)絡(luò)游戲賬號(hào)、論壇登錄賬號(hào)等。2.7報(bào)警管理支持?jǐn)呈謾C(jī)號(hào)、MAC地址、虛構(gòu)帳號(hào)等信息設(shè)置報(bào)警策略，一旦身份信息在無線網(wǎng)絡(luò)覆蓋范圍內(nèi)出現(xiàn)，則立刻通太短信、郵件等方式通知看管人。三、方案概括方案主要包含三方面:公共場(chǎng)所上網(wǎng)信息采集、上網(wǎng)用戶實(shí)名認(rèn)證、數(shù)據(jù)采集和剖析。圖無線上網(wǎng)安全管控方案架構(gòu)3.1信息采集小云WIFI設(shè)施給用戶供給安全的無線網(wǎng)絡(luò)接入，同時(shí)把用戶的上下線數(shù)據(jù)、用戶行為數(shù)據(jù)（包含網(wǎng)頁、郵件、即時(shí)通信、下載上傳、在線游戲、網(wǎng)

5、絡(luò)流量審計(jì)等等）經(jīng)過加密方式傳遞到審計(jì)服務(wù)器，審計(jì)服務(wù)器收到加密數(shù)據(jù)后一致進(jìn)行剖析辦理。全部部署小云WIFI設(shè)施的場(chǎng)所，都經(jīng)過實(shí)名信息登記，全部場(chǎng)所的信息（場(chǎng)所名稱、地址、聯(lián)系人、聯(lián)系方式、IP地址等）都會(huì)同步到安全管理審計(jì)中心，方便公安網(wǎng)監(jiān)對(duì)全部場(chǎng)所的管理。3.2用戶認(rèn)證經(jīng)過手機(jī)短信認(rèn)證的方式，云端認(rèn)證服務(wù)器一致對(duì)全部場(chǎng)所WIFI上網(wǎng)用戶的手機(jī)號(hào)進(jìn)行認(rèn)證，只有經(jīng)過手機(jī)號(hào)認(rèn)證的用戶才能使用WIFI設(shè)施上網(wǎng)。圖設(shè)置上網(wǎng)認(rèn)證方式認(rèn)證服務(wù)器上全部手機(jī)號(hào)碼信息都會(huì)同步到審計(jì)服務(wù)器上，審計(jì)服務(wù)器能夠般配用戶身份數(shù)據(jù)，進(jìn)而實(shí)現(xiàn)真切身份般配。圖手機(jī)號(hào)碼與行為數(shù)據(jù)般配3.3數(shù)據(jù)采集與剖析審計(jì)服務(wù)器采集各場(chǎng)所W

6、IFI上傳的審計(jì)信息，對(duì)數(shù)據(jù)集中剖析，進(jìn)而實(shí)現(xiàn)行為管理、身份管理、場(chǎng)所管理、報(bào)警管理等功能。行為管理支持對(duì)用戶上下線信息的采集，包含上下線時(shí)間、IP地址、MAC地址、源外網(wǎng)IP地址、場(chǎng)強(qiáng)等信息。支持對(duì)上下線信息的數(shù)據(jù)上報(bào)功能。支持對(duì)即時(shí)通信、網(wǎng)頁接見、文件傳輸、收發(fā)郵件、網(wǎng)絡(luò)游戲、論壇發(fā)帖、遠(yuǎn)程管理等網(wǎng)絡(luò)行為的審計(jì)，審計(jì)的內(nèi)容包含:時(shí)間、地址、IP地址、網(wǎng)絡(luò)協(xié)議、使用的賬號(hào)等信息。支持對(duì)上網(wǎng)行為日記的數(shù)據(jù)上報(bào)功能。可用多條件的組合查問和模糊查問，精準(zhǔn)查問網(wǎng)絡(luò)行為信息。支持場(chǎng)所、時(shí)間、應(yīng)用協(xié)議、重點(diǎn)字條件的組合查問和模糊查問。圖行為綜合查問-結(jié)果身份管理支持經(jīng)過手機(jī)號(hào)、網(wǎng)卡MAC地址、姓名、身份

7、證號(hào)等信息查問行為人的全部虛構(gòu)身份信息，比如：可查問到行為人的即時(shí)通信賬號(hào)、電子郵件地址、網(wǎng)絡(luò)游戲賬號(hào)、論壇登錄賬號(hào)等。能夠經(jīng)過某個(gè)虛構(gòu)身份查問用戶真切身份信息，可查問到行為人的手機(jī)號(hào)、姓名、身份證號(hào)、網(wǎng)卡MAC地址等。支持多重身份查問，可查問到某個(gè)網(wǎng)絡(luò)帳號(hào)被多個(gè)真切身份的行為人使用。系統(tǒng)自動(dòng)對(duì)所實(shí)用戶的網(wǎng)絡(luò)行為進(jìn)行統(tǒng)計(jì)和剖析?？善饰龀瞿硞€(gè)網(wǎng)絡(luò)帳號(hào)的被使用次數(shù)，被常常使用的行為人，常常出現(xiàn)的場(chǎng)所及出現(xiàn)的次數(shù)，最后一次出現(xiàn)的場(chǎng)所和時(shí)間等信息。圖虛構(gòu)身份查問場(chǎng)所管理能夠經(jīng)過場(chǎng)所編號(hào)、場(chǎng)所名稱、場(chǎng)所所屬地區(qū)、場(chǎng)所信息重點(diǎn)字，查問到每個(gè)使用WIFI的公共上網(wǎng)場(chǎng)所的信息。場(chǎng)所信息包含：場(chǎng)所名稱，場(chǎng)所地址

8、，場(chǎng)所安全聯(lián)系人、電話，場(chǎng)所所屬地區(qū)、所屬行業(yè)，IP地址、最后在線時(shí)間等信息。支持對(duì)場(chǎng)所的分地區(qū)管理，可手動(dòng)區(qū)分場(chǎng)所所屬地區(qū)。支持自定義地區(qū)設(shè)置，靈巧分派場(chǎng)所所屬地區(qū)，方便管理。圖查問場(chǎng)所-查問結(jié)果顯示報(bào)警管理依據(jù)報(bào)警策略，對(duì)全部WIFI上網(wǎng)場(chǎng)所進(jìn)行及時(shí)監(jiān)控，及時(shí)發(fā)現(xiàn)違紀(jì)行為和嫌疑人，并及時(shí)發(fā)送報(bào)警信息。支持屏幕報(bào)警、郵件報(bào)警、手機(jī)短信報(bào)警，同時(shí)支持一種或多種方式報(bào)警。支持對(duì)真切身份信息報(bào)警策略設(shè)置，包含姓名、身份證號(hào)、手機(jī)號(hào)、手機(jī)MAC地址等。支持對(duì)虛構(gòu)身份信息的報(bào)警策略設(shè)置，包含即時(shí)通信帳號(hào)、郵件地址、論壇帳號(hào)、游戲賬號(hào)等。支持對(duì)報(bào)警策略的新增、查問、停止等操作。能夠?qū)θ繄?bào)警日記信息記錄

9、進(jìn)行查問。支持對(duì)報(bào)警日記信息的組合查問和模糊查問，包含時(shí)間、重點(diǎn)字、行為人等。能夠?qū)?bào)警信息進(jìn)行分類顯示，包含已讀報(bào)警信息和未讀報(bào)警信息。圖報(bào)警功能四、方案部署4.1場(chǎng)所端部署前端采集設(shè)施部署在各樣公共上網(wǎng)場(chǎng)所，可經(jīng)過電信、聯(lián)通等各樣互聯(lián)網(wǎng)接入服務(wù)供給商的基礎(chǔ)網(wǎng)絡(luò)接入互聯(lián)網(wǎng)。設(shè)施能夠單臺(tái)部署，也可多臺(tái)部署。部署方式：網(wǎng)關(guān)路由模式；建議出口帶寬：4Mbps；上網(wǎng)方式：手機(jī)短信考證上網(wǎng)。圖場(chǎng)所端部署圖4.2服務(wù)器端部署審計(jì)服務(wù)器部署于公安網(wǎng)監(jiān)機(jī)房，依據(jù)場(chǎng)所端數(shù)目可適合增添服務(wù)器。服務(wù)器外網(wǎng)出口需部署一臺(tái)防火墻來保護(hù)服務(wù)器的安全。內(nèi)網(wǎng)PC終端可直接接見審計(jì)服務(wù)器查察服務(wù)器信息。建議出口帶寬：400M

10、bps；防火墻開放策略：同意全部IP地址對(duì)服務(wù)器的22、8987、11518、11521端口的接見。圖公安網(wǎng)監(jiān)端部署圖服務(wù)器服務(wù)器硬件規(guī)格參照:最低要求介紹配置CPU至強(qiáng)E3*1至強(qiáng)E5*2內(nèi)存16G32G硬盤SATA500GRaid5500G用品牌、專業(yè)服務(wù)器用品牌、專業(yè)服務(wù)器主板主板主板網(wǎng)卡2張千兆網(wǎng)卡2張千兆網(wǎng)卡電源單電源雙電源支持場(chǎng)前端采集設(shè)8002000備數(shù)目4.3支持第三方前端小云無線網(wǎng)絡(luò)安全管理系統(tǒng)支持對(duì)接第三方WIFI設(shè)施可依照公共場(chǎng)所無線上網(wǎng)安全管理系統(tǒng)WIFI設(shè)施，第三方數(shù)據(jù)傳輸互換規(guī)范把有關(guān)數(shù)據(jù)上傳到小云無線網(wǎng)絡(luò)安全管理系統(tǒng)。小云無線網(wǎng)絡(luò)安全管理系統(tǒng)同時(shí)供給第三方WIFI

11、設(shè)施的管理接口，可對(duì)第三方WIFI設(shè)施的正常運(yùn)轉(zhuǎn)狀況進(jìn)行監(jiān)控，可增添、改正、刪除場(chǎng)所基礎(chǔ)信息。文件傳輸接口規(guī)范文件傳輸接口方式合用于數(shù)據(jù)量較大的狀況。用標(biāo)準(zhǔn)非壓縮模式的ZIP文件作為數(shù)據(jù)傳輸?shù)闹饕d體，ZIP文件中的數(shù)據(jù)描繪文件可采納BCP文件格式。數(shù)據(jù)傳輸過程中的ZIP、BCP、XML等格式文件要依照數(shù)據(jù)傳輸文件規(guī)范。數(shù)據(jù)傳輸時(shí)依照傳輸兩方磋商商定，將ZIP文件放入指定的目錄構(gòu)造中，數(shù)據(jù)使用方(預(yù)辦理)從目錄中獲取數(shù)據(jù)，進(jìn)行下一步的信息提取、剖析。傳輸過程要支持傳輸日記信息的記錄，供后續(xù)審計(jì)使用。FTP傳輸方式用戶生成的文件直接上傳到指定的FTP服務(wù)器上，要求傳輸過程中文件名為“原文件名.t

12、mp”，傳輸達(dá)成后文件更名為本來的文件名。主假如表記文件傳輸能否結(jié)束，以方便后臺(tái)能夠及時(shí)辦理文件。4.4支持第三方后端小云無線網(wǎng)絡(luò)安全管理系統(tǒng)的前端（WIFI）設(shè)施，支持對(duì)接切合公安標(biāo)準(zhǔn)要求的第三方WIFI管理系統(tǒng)。小云無線網(wǎng)絡(luò)安全管理系統(tǒng)能夠依照公共場(chǎng)所無線上網(wǎng)安全管理系統(tǒng)數(shù)據(jù)傳輸互換規(guī)范把有關(guān)數(shù)據(jù)上傳到第三方WIFI管理系統(tǒng)，同時(shí)能夠依照對(duì)方接口要求，發(fā)送設(shè)施心跳、設(shè)施參數(shù)等信息，實(shí)現(xiàn)第三方管理系統(tǒng)對(duì)小云無線前端設(shè)施的看管。數(shù)據(jù)上傳方式小云后端審計(jì)服務(wù)器，采集全部小云設(shè)施的場(chǎng)所和用戶信息。小云無線網(wǎng)絡(luò)安全管理系統(tǒng)負(fù)責(zé)把全部小云設(shè)施信息進(jìn)行匯總打包成zip文件。小云后端服務(wù)器把每日的數(shù)據(jù)，自

13、動(dòng)經(jīng)過FTP方式上傳到第三方后端。五、方案優(yōu)勢(shì)國內(nèi)當(dāng)先的無線網(wǎng)絡(luò)審計(jì)管理系統(tǒng)無線網(wǎng)絡(luò)的覆蓋范圍在國內(nèi)愈來愈寬泛，高級(jí)旅館、豪華住所區(qū)、飛機(jī)場(chǎng)以及咖啡廳之類的地區(qū)都有無線網(wǎng)絡(luò)。遍及公共場(chǎng)所的無線“熱門”，將人們的生活和工作帶入一個(gè)嶄新的時(shí)代。但無線網(wǎng)絡(luò)的開放性也給管理帶來極大的困難。小云網(wǎng)絡(luò)安全管理系統(tǒng)正是經(jīng)過WIFI源泉監(jiān)控、到云端認(rèn)證服務(wù)、最后實(shí)現(xiàn)實(shí)名審計(jì)、一致監(jiān)控管理，完美的解決了無線上網(wǎng)場(chǎng)所的網(wǎng)絡(luò)信息安全和監(jiān)控管理問題。全面內(nèi)容安全審計(jì)，知足全部合規(guī)性要求系統(tǒng)支持從即時(shí)通信、網(wǎng)頁接見、電子郵件、論壇發(fā)帖到文件下載等數(shù)十種主要網(wǎng)絡(luò)應(yīng)用協(xié)議的辨別復(fù)原，最大限度地發(fā)現(xiàn)有潛伏安全風(fēng)險(xiǎn)的網(wǎng)絡(luò)行為。進(jìn)而完美了對(duì)各公共上網(wǎng)場(chǎng)所的審計(jì)監(jiān)控系統(tǒng)，而且知足各樣合規(guī)性要求。智能虛構(gòu)身份剖析，提升賬號(hào)辨別正確度系統(tǒng)內(nèi)置虛構(gòu)人口庫，支持智能虛構(gòu)身份剖析功能，能夠?qū)⒕W(wǎng)絡(luò)中的虛構(gòu)身份（網(wǎng)絡(luò)帳號(hào)）與現(xiàn)實(shí)中的真切身份智能關(guān)系，有效地解決了網(wǎng)絡(luò)行為角色的虛構(gòu)性所帶來的各種問題。利用虛構(gòu)身份多重辨別技術(shù)，能夠最大限度地提升虛構(gòu)身份識(shí)其他正確度，為網(wǎng)監(jiān)部門利用網(wǎng)絡(luò)行為線