公共场所无线上网安全管控方案.docxVIP

公共场所无线上网安全管控方案 方案背景 中国的互联网和信息网络在最近的十余年获得了飞速的发展，无线网络也随着“无线城市”的到来，而普及到国内各个家庭和公共场所，人们俨然已经开始享受无线(WIFI)网络给工作及生活带来的便捷。但这种便捷同样也给犯罪份子带来可乘之机，越来越多的网络违法活动开始通过公众场所的无线网络来进行。尤其是像咖啡厅、餐馆、商场等提供无线网络服务的公众场所，更是违法犯罪活动的高发地，需要对网络行为进行有效的实名监控，从而有效的打击网络违法活动。 为了满足各地市公安网监部门对公共无线上网场所的网络信息安全监管要求，北京光音盛世信息技术有限公司深入分析现有无线网络特点、安全需求、管理要求，结合多年在网络安全、无线安全、安全审计方面的技术经验，研发出针对无线网络的信息安全审计产品。小云无线网络安全管理系统主要解决了对无线网络的集中安全管理问题，通过无线WIFI设备抓取网络数据包（包括网页、邮件、即时通讯、上传下载、在线游戏等等），把审计信息通过加密方式统一上传到后端安全管理系统，安全管理系统对数据集中分析，从而实现行为审计、身份管理、场所管理、轨迹查询、报警等功能。 方案需求 无线上网 为了能够广泛的应用在商场、宾馆酒店、KTV、广场、大学、机场等各类公共区域，无线接入设备必须支持802.11b/g/n/ac标准无线客户端接入,且能同时支持50个终端无线连接。接入设备必须支持流量控制功能，保证每个上网用户的上网体验。设备部署操作方式简单，适用性强。 统一认证 所有上网用户必须经过手机短信验证后方可访问互联网，手机号码与手机MAC地址相互绑定，手机号认证信息需安全保存，可上传至公安网监，满足公安实名上网的要求。 网络安全 无线前端设备具备链路安全检测模块、DNS安全检测模块、防攻击防火墙等基本安全功能，保证网络通信安全。 场所管理 支持对所有场所的分区域管理，可以通过场所编号、场所名称、场所所属区域、场所信息关键字等实时查询场所基础信息和状态。可实时监控场所在线状态，并支持按日期查询场所在线率。 行为管理 支持对用户上下线信息、上网日志信息的收集、统计、分析。 可通过多种条件的组合查询和模糊查询调取网络行为记录。 身份管理 支持通过手机号、MAC等信息查询行为人的所有虚拟身份信息，例如：可查询到行为人的即时通信账号、电子邮件地址、网络游戏账号、论坛登录账号等。 报警管理 支持对手机号、MAC地址、虚拟帐号等信息设置报警策略，一旦身份信息在无线网络覆盖范围内出现，则立即通过短信、邮件等方式通知监管人。 方案概述 方案主要包括三方面: 公共场所上网信息采集、上网用户实名认证、数据收集和分析。 图 无线上网安全管控方案架构 信息采集 小云WIFI设备给用户提供安全的无线网络接入，同时把用户的上下线数据、用户行为数据（包括网页、邮件、即时通讯、下载上传、在线游戏、网络流量审计等等）通过加密方式传送到审计服务器，审计服务器收到加密数据后统一进行分析处理。 所有部署小云WIFI设备的场所，都经过实名信息登记，所有场所的信息（场所名称、地址、联系人、联系方式、IP地址等）都会同步到安全管理审计中心，方便公安网监对所有场所的管理。 用户认证 通过手机短信认证的方式，云端认证服务器统一对所有场所WIFI上网用户的手机号进行认证，只有通过手机号认证的用户才能使用WIFI设备上网。 图 设置上网认证方式 认证服务器上所有手机号码信息都会同步到审计服务器上，审计服务器可以匹配用户身份数据，从而实现真实身份匹配。 图 手机号码与行为数据匹配 数据收集与分析 审计服务器收集各场所WIFI上传的审计信息，对数据集中分析，从而实现行为管理、身份管理、场所管理、报警管理等功能。 行为管理 支持对用户上下线信息的收集，包括上下线时间、IP地址、MAC地址、源外网IP地址、场强等信息。支持对上下线信息的数据上报功能。 支持对即时通信、网页访问、文件传输、收发邮件、网络游戏、论坛发帖、远程管理等网络行为的审计，审计的内容包括:时间、地点、IP地址、网络协议、使用的账号等信息。支持对上网行为日志的数据上报功能。 可用多条件的组合查询和模糊查询，精确查询网络行为信息。 支持场所、时间、应用协议、关键字条件的组合查询和模糊查询。 图 行为综合查询-结果 身份管理 支持通过手机号、网卡MAC地址、姓名、身份证号等信息查询行为人的所有虚拟身份信息，例如：可查询到行为人的即时通信账号、电子邮件地址、网络游戏账号、论坛登录账号等。 可以通过某个虚拟身份查询用户真实身份信息，可查询到行为人的手机号、姓名、身份证号、网卡MAC地址等。 支持多重身份查询，可查询到某个网络帐号被多个真实身份的行为人使用。 系统自动对所有用户的网络行为进行统计和分析。 可分析出某个网络帐号的被使用