《公共场所无线上网安全管控方案.docx》由会员分享,可在线阅读,更多相关《公共场所无线上网安全管控方案.docx(20页珍藏版)》请在三一办公上搜索。
1、公共场所无线上网安全管控方 案公共场所无线上网安全管控方案一、方案背景中国的互联网和信息网络在最近的十余年 获得了飞速的发展,无线网络也随着“无线城市” 的到来,而普及到国内各个家庭和公共场所,人 们俨然已经开始享受无线(WIFI)网络给工作及 生活带来的便捷。但这种便捷同样也给犯罪份子 带来可乘之机,越来越多的网络违法活动开始通 过公众场所的无线网络来进行。尤其是像咖啡 厅、餐馆、商场等提供无线网络服务的公众场所, 更是违法犯罪活动的高发地,需要对网络行为进 行有效的实名监控,从而有效的打击网络违法活 动。liiJ为了满足各地市公安网监部门对公共无线 上网场所的网络信息安全监管要求,北京光音
2、盛 世信息技术有限公司深入分析现有无线网络特 点、安全需求、管理要求,结合多年在网络安全、 无线安全、安全审计方面的技术经验,研发出针 对无线网络的信息安全审计产品。小云无线网络 安全管理系统主要解决了对无线网络的集中安 全管理问题,通过无线WIFI设备抓取网络数据liiJ包(包括网页、邮件、即时通讯、上传下载、在 线游戏等等),把审计信息通过加密方式统一上 传到后端安全管理系统,安全管理系统对数据集 中分析,从而实现行为审计、身份管理、场所管 理、轨迹查询、报警等功能。二、方案需求2.1 无线上网l=J为了能够广泛的应用在商场、宾馆酒店、 KTV、广场、大学、机场等各类公共区域,无线 接入设
3、备必须支持802.11b/g/n/ac标准无线客 户端接入,且能同时支持50个终端无线连接。接 入设备必须支持流量控制功能,保证每个上网用 户的上网体验。设备部署操作方式简单,适用性 强。2.2 统一认证所有上网用户必须经过手机短信验证后方 可访问互联网,手机号码与手机MAC地址相互绑 定,手机号认证信息需安全保存,可上传至公安 网监,满足公安实名上网的要求。2.3 网络安全无线前端设备具备链路安全检测模块、DNS 安全检测模块、防攻击防火墙等基本安全功能, 保证网络通信安全。2.4 场所管理支持对所有场所的分区域管理,可以通过场 所编号、场所名称、场所所属区域、场所信息关 键字等实时查询场所
4、基础信息和状态。可实时监控场所在线状态,并支持按日期查询场所在线 率。2.5 行为管理liiJ支持对用户上下线信息、上网日志信息的收 集、统计、分析。可通过多种条件的组合查询 和模糊查询调取网络行为记录。2.6 身份管理liiJ支持通过手机号、MAC等信息查询行为人的 所有虚拟身份信息,例如:可查询到行为人的即 时通信账号、电子邮件地址、网络游戏账号、论 坛登录账号等。2.7 报警管理支持对手机号、MAC地址、虚拟帐号等信息 设置报警策略,一旦身份信息在无线网络覆盖范 围内出现,则立即通过短信、邮件等方式通知监 管人。三、方案概述方案主要包括三方面:公共场所上网信息采 集、上网用户实名认证、数
5、据收集和分析。认证服务器互联网图无线上网安全管控方案架构3.1 信息采集小云WIFI设备给用户提供安全的无线网络 接入,同时把用户的上下线数据、用户行为数据(包括网页、邮件、即时通讯、下载上传、在线liiJ游戏、网络流量审计等等)通过加密方式传送到 审计服务器,审计服务器收到加密数据后统一进 行分析处理。所有部署小云WIFI设备的场所,都经过实 名信息登记,所有场所的信息(场所名称、地址、 联系人、联系方式、IP地址等)都会同步到安 全管理审计中心,方便公安网监对所有场所的管 理。3.2 用户认证通过手机短信认证的方式,云端认证服务器 统一对所有场所WIFI上网用户的手机号进行认 证,只有通过
6、手机号认证的用户才能使用WIFI 设备上网。店铺管理-店铺设置上网设置店铺版本通知中心上网方式验证用马上网T您选择了验证码上网方式!用户需要输入通过手机获取到验证码短信才能上网图设置上网认证方式认证服务器上所有手机号码信息都会同步 到审计服务器上,审计服务器可以匹配用户身份 数据,从而实现真实身份匹配。时间网15年,月U日网U牛3月19日。安也琵刽手讥号2511呵馅野列3MACHtJii行灼费51gM5-0B-19110:1534掀9bH9& =httpSgirng qq conVpino mmWtff即苓利H篇2015-03-19 1015.31g-iL htip5.QlLf6.rVMq/a
7、cTion?db=JW2015-OM Md畋158$ihttp61147 114157/505/1/742015-03-1? 1Q15J2150QSmm 近口htrpmijdtqq.CDHgdi.Lfhvl.l却时目后2015-0-191015122httpv gdr qq 0 财胛 t*taE *cgwm阿示行i*图手机号码与行为数据匹配3.3 数据收集与分析审计服务器收集各场所WIFI上传的审计信 息,对数据集中分析,从而实现行为管理、身份 管理、场所管理、报警管理等功能。行为管理支持对用户上下线信息的收集,包括上下线 时间、IP地址、MAC地址、源外网IP地址、场 强等信息。支持对上下线
8、信息的数据上报功能。支持对即时通信、网页访问、文件传输、收 发邮件、网络游戏、论坛发帖、远程管理等网络 行为的审计,审计的内容包括:时间、地点、IP 地址、网络协议、使用的账号等信息。支持对上 网行为日志的数据上报功能。可用多条件的组合查询和模糊查询,精确查 询网络行为信息。支持场所、时间、应用协议、关键字条件的组合查询和模糊查询。gMACW行为受剧2015-01-IS 20:00:00I-Dhtcpjpi.MjfribQ.cn/J/puih/scg&tmtgs;感2015-03-18 200:00;女焕*,口httplDqinKjan.cDm/1/pmac =002126001应尖菱发2U1
9、5-0MS 询跌461553 知灯:41;立扶!httpui-仰icigsi:。律御hw阪*/vicihi 我附&洋fit2015-03-18 19:5441混,11的:廿41:卯土 httpwsp&edoq.-conVw-cgi 詹三得匝尖液J315-0M8 19;5知18DKt41;9-: httpugccipixn 徊cceilpBD/IDEKU 18d 8带悟2015-03-10 19:5531553 |_|如虹41:9 丁州httpiDc.map.haldMLCom/iEd k.piip 洋塔图行为综合查询-结果身份管理liiJ支持通过手机号、网卡MAC地址、姓名、身 份证号等信息查
10、询行为人的所有虚拟身份信息, 例如:可查询到行为人的即时通信账号、电子邮 件地址、网络游戏账号、论坛登录账号等。可以通过某个虚拟身份查询用户真实身份 信息,可查询到行为人的手机号、姓名、身份证 号、网卡MAC地址等。支持多重身份查询,可查询到某个网络帐号 被多个真实身份的行为人使用。系统自动对所有用户的网络行为进行统计 和分析。可分析出某个网络帐号的被使用次数,被经 常使用的行为人,经常出现的场所及出现的次 数,最后一次出现的场所和时间等信息。招页显示2E T|fir导出赖可手虬号行为邱12015-03 4S 20:46 24tA5tba;疏;,qqWBG7O洋情小南京质港2。姑20:48i2
11、215&24ga&4洒函典qq&L1 孺1 丸帽台诔网吧2015-03-IS ?0;4&201573 3qq&730 . nSDSSfJi 网吧四姑耳LLB加;4B:如L 沁 TL-D23工翼:况心:口qqm址q2015-03-15 20!4&:2015737125科日上配:招1 Qqq6730232015-03-1*2019LSS2if:aG4-帅”万#。gS115C点网案2015-03-14 20:4&19L 典敬:nqqmg*图虚拟身份查询场所管理可以通过场所编号、场所名称、场所所属区 域、场所信息关键字,查询到每个使用WIFI的 公共上网场所的信息。场所信息包括:场所名称,场所地址,场
12、所 安全联系人、电话,场所所属区域、所属行业, IP地址、最后在线时间等信息。支持对场所的分区域管理,可手动划分场所 所属区域。支持自定义区域设置,灵活分配场所所属区 域,方便管理。冲,SN=查询与页MM 35行安全国姓名电诺5N所届区成形瓯FF灶I?胃Sy1rwIN a里(P ALJ5r、jTiLFiCTbl肖 -理|mI聆可 551-WI即割光!回暖-Ix:l妒街旧IB四、方案部署4.1 场所端部署前端采集设备部署在各种公共上网场所,可 通过电信、联通等各种互联网接入服务提供商的 基础网络接入互联网。设备可以单台部署,也可 多台部署。部署方式:网关路由模式;建议出口带宽:N4Mbps;上网
13、方式:手机短信验证上网。场所 (多台设备)图场所端部署图4.2 服务器端部署审计服务器部署于公安网监机房,根据场所l=j端数量可适当增加服务器。服务器外网出口需部署一台防火墙来保护 服务器的安全。内网PC终端可直接访问审计服务器查看服 务器信息。建议出口带宽:N400Mbps;防火墙开放策略:允许所有IP地址对服务 器的 22、8987、11518、11521 端口的访问。审计服务器防火喑互联网公安网监一图公安网监端部署图服务器服务器硬件规格参考:CPU内存硬盘主板,低要求至强E3*116GSATA 500G用品牌、专业服务器主板1=/推荐配置至强E5*232GRaid 5 500G用品牌、专
14、业服务器主板网卡2张千兆网卡2张千兆网卡电源单电源双电源支持场 前端采 集设备 数量80020004.3 支持第三方前端III小云无线网络安全管理系统支持对接第三 方WIFI设备,第三方WIFI设备可按照公共场 所无线上网安全管理系统数据传输交换规范 把相关数据上传到小云无线网络安全管理系统。 小云无线网络安全管理系统同时提供第三方 WIFI设备的管理接口,可对第三方WIFI设备的 正常运行情况进行监控,可增加、修改、删除场 所基础信息。文件传输接口规范l=jw文件传输接口方式适用于数据量较大的情 况。用标准非压缩模式的ZIP文件作为数据传 输的主要载体,ZIP文件中的数据描述文件可采 用BC
15、P文件格式。数据传输过程中的ZIP、BCP、XML等格式 文件要遵照数据传输文件规范。数据传输时按照传输双方协商约定,将ZIP文件放入指定的目录结构中,数据使用方(预 处理)从目录中获取数据,进行下一步的信息提 取、分析。传输过程要支持传输日志信息的记录,供后 续审计使用。FTP传输方式用户生成的文件直接上传到指定的FTP服 务器上,要求传输过程中文件名为“原文件 名.tmp”,传输完成后文件改名为原来的文件 名。主要是标识文件传输是否结束,以方便后台 可以及时处理文件。4.4 支持第三方后端小云无线网络安全管理系统的前端(WIFI) 设备,支持对接符合公安标准要求的第三方WIFI 管理系统。
16、小云无线网络安全管理系统可以按照 公共场所无线上网安全管理系统数据传输交 换规范把相关数据上传到第三方WIFI管理系统,同时可以按照对方接口要求,发送设备心跳、 设备参数等信息,实现第三方管理系统对小云无 线前端设备的监管。场所端 公安端数据上传方式小云后端审计服务器,收集所有小云设备的 场所和用户信息。小云无线网络安全管理系统负责把所有小 云设备信息进行汇总打包成zip文件。小云后端服务器把每天的数据,自动通过 FTP方式上传到第三方后端。五、方案优势国内领先的无线网络审计管理系统无线网络的覆盖范围在国内越来越广泛,高级宾馆、豪华住宅区、飞机场以 及咖啡厅之类的区域都有无线网络。遍布公共场所
17、的无线“热点”,将人们的 生活和工作带入一个全新的时代。但无线网络的开放性也给管理带来极大的困 难。小云网络安全管理系统正是通过WIFI源头监控、到云端认证服务、最后实 现实名审计、统一监控管理,完善的解决了无线上网场所的网络信息安全和监 控管理问题。全面内容安全审计,满足所有合规性要求系统支持从即时通信、网页访问、电子邮件、论坛发帖到文件下载等数十种 主要网络应用协议的识别还原,最大限度地发现有潜在安全风险的网络行为。 从而完善了对各公共上网场所的审计监控体系,并且满足各种合规性要求。智能虚拟身份分析,提高账号识别准确度系统内置虚拟人口库,支持智能虚拟身份分析功能,能够将网络中的虚拟身 份(
18、网络帐号)与现实中的真实身份智能关联,有效地解决了网络行为角色的 虚拟性所带来的种种问题。利用虚拟身份多重识别技术,能够最大限度地提高 虚拟身份识别的准确度,为网监部门利用网络行为线索信息办案,提供了全新 的技术手段。贴近网监业务模式,提高网络破案成功率系统功能依照公安网监的业务流程设置:从日常例行的网络行为巡察、到有 目的地行为线索搜索;从发现嫌疑人虚拟身份线索后进行的虚拟身份分析,到 依据发现的行为或身份线索进行监视布控;从系统实时监控网络行为并在策略 条件满足时触发报警,到以报警策略为单位查看报警结果等。上述功能体现了 网监的真实业务内涵,并且操作非常便利,能够帮助警员最大限度地利用网络 线索来侦破疑难案件。
