公共场所无线上网安全管控方案

公共场所无线上网安全管控方案

一、方案背景

中国的互联网和信息网络在最近的十余年获得了飞速的发展，无线网络也随着“无线城市”的到来，而普及到国内各个家庭和公共场所，人们俨然已经开始享受无线(WIFI)网络给工作及生活带来的便捷。但这种便捷同样也给犯罪份子带来可乘之机，越来越多的网络违法活动开始通过公众场所的无线网络来进行。尤其是像咖啡厅、餐馆、商场等提供无线网络服务的公众场所，更是违法犯罪活动的高发地，需要对网络行为进行有效的实名监控，从而有效的打击网络违法活动。

为了满足各地市公安网监部门对公共无线上网场所的网络信息安全监管要求，北京光音盛世信息技术有限公司深入分析现有无线网络特点、安全需求、管理要求，结合多年在网络安全、无线安全、安全审计方面的技术经验，研发出针对无线网络的信息安全审计产品。小云无线网络安全管理系统主要解决了对无线网络的集中安全管理问题，通过无线WIFI设备抓取网络数据包（包括网页、邮件、即时通讯、上传下载、在线游戏等等），把审计信息通过加密方式统一上传到后端安全管理系统，安全管理系统对数据集中分析，从而实现行为审计、身份管理、场所管理、轨迹查询、报警等功能。

二、方案需求

2.1无线上网

为了能够广泛的应用在商场、宾馆酒店、KTV、广场、大学、机场等各类公共区域，无线接入设备必须支持g/n/ac标准无线客户端接入,且能同时支持50个终端无线连接。接入设备必须支持流量控制功能，保证每个上网用户的上网体验。设备部署操作方式简单，适用性强。

2.2统一认证

所有上网用户必须经过手机短信验证后方可访问互联网，手机号码与手机MAC地址相互绑定，手机号认证信息需安全保存，可上传至公安网监，满足公安实名上网的要求。2.3网络安全

无线前端设备具备链路安全检测模块、DNS安全检测模块、防攻击防火墙等基本安全功能，保证网络通信安全。

2.4场所管理

支持对所有场所的分区域管理，可以通过场所编号、场所名称、场所所属区域、场所信息关键字等实时查询场所基础信息和状态。可实时监控场所在线状态，并支持按日期查询场所在线率。

2.5行为管理

支持对用户上下线信息、上网日志信息的收集、统计、分析。可通过多种条件的组合查询和模糊查询调取网络行为记录。

2.6身份管理

支持通过手机号、MAC等信息查询行为人的所有虚拟身份信息，例如：可查询到行为人的即时通信账号、电子邮件地址、网络游戏账号、论坛登录账号等。

2.7报警管理

支持对手机号、MAC地址、虚拟帐号等信息设置报警策略，一旦身份信息在无线网络覆盖范围内出现，则立即通过短信、邮件等方式通知监管人。

三、方案概述

方案主要包括三方面: 公共场所上网信息采集、上网用户实名认证、数据收集和分析。

图无线上网安全管控方案架构

3.1信息采集

小云WIFI设备给用户提供安全的无线网络接入，同时把用户的上下线数据、用户行为数据（包括网页、邮件、即时通讯、下载上传、在线游戏、网络流量审计等等）通过加密方式传送到审计服务器，审计服务器收到加密数据后统一进行分析处理。

所有部署小云WIFI设备的场所，都经过实名信息登记，所有场所的信息（场所名称、地址、联系人、联系方式、IP地址等）都会同步到安全管理审计中心，方便公安网监对所有场所的管理。

3.2用户认证

通过手机短信认证的方式，云端认证服务器统一对所有场所WIFI上网用户的手机号进行认证，只有通过手机号认证的用户才能使用WIFI设备上网。

图设置上网认证方式

认证服务器上所有手机号码信息都会同步到审计服务器上，审计服务器可以匹配用户身份数据，从而实现真实身份匹配。

图手机号码与行为数据匹配

3.3数据收集与分析

审计服务器收集各场所WIFI上传的审计信息，对数据集中分析，从而实现行为管理、身份管理、场所管理、报警管理等功能。

行为管理

支持对用户上下线信息的收集，包括上下线时间、IP地址、MAC地址、源外网IP地址、场强等信息。支持对上下线信息的数据上报功能。

支持对即时通信、网页访问、文件传输、收发邮件、网络游戏、论坛发帖、远程管理等网络行为的审计，审计的内容包括:时间、地点、IP地址、网络协议、使用的账号等信息。支持对上网行为日志的数据上报功能。

可用多条件的组合查询和模糊查询，精确查询网络行为信息。

支持场所、时间、应用协议、关键字条件的组合查询和模糊查询。

图行为综合查询-结果

身份管理

支持通过手机号、网卡MAC地址、姓名、身份证号等信息查询行为人的所有虚拟身份信息，例如：可查询到行为人的即时通信账号、电子邮件地址、网络游戏账号、论坛登录账号等。

可以通过某个虚拟身份查询用户真实身份信息，可查询到行为人的手机号、姓名、身份证号、网卡MAC地址等。

支持多重身份查询，可查询到某个网络帐号被多个真实身份的行为人使用。

系统自动对所有用户的网络行为进行统计和分析。

可分析出某个网络帐号的被使用次数，被经常使用的行为人，经常出现的场所及出现的次数，最后一次出现的场所和时间等信息。

图虚拟身份查询

场所管理

可以通过场所编号、场所名称、场所所属区域、场所信息关键字，查询到每个使用WIFI 的公共上网场所的信息。

场所信息包括：场所名称，场所地址，场所安全联系人、电话，场所所属区域、所属行业，IP地址、最后在线时间等信息。

支持对场所的分区域管理，可手动划分场所所属区域。

支持自定义区域设置，灵活分配场所所属区域，方便管理。

图查询场所-查询结果显示

报警管理

根据报警策略，对所有WIFI上网场所进行实时监控，及时发现违法行为和嫌疑人，并实时发送报警信息。

支持屏幕报警、邮件报警、手机短信报警，

同时支持一种或多种方式报警。

支持对真实身份信息报警策略设置，包括姓名、身份证号、手机号、手机MAC地址等。

支持对虚拟身份信息的报警策略设置，包括即时通信帐号、邮件地址、论坛帐号、游戏账号等。

支持对报警策略的新增、查询、终止等操作。

可以对所有报警日志信息记录进行查询。

支持对报警日志信息的组合查询和模糊查询，包括时间、关键字、行为人等。

可以对报警信息进行分类显示，包括已读报警信息和未读报警信息。

图报警功能