公共场所无线上网安全管控方案.pdf

资源描述

《公共场所无线上网安全管控方案.pdf》由会员分享，可在线阅读，更多相关《公共场所无线上网安全管控方案.pdf（14页珍藏版）》请在三一文库上搜索。

1、. word 专业资料公共场所无线上网安全管控方案一、方案背景中国的互联网和信息网络在最近的十余年获得了飞速的发展，无线网络也随着 “无线城市”的到来，而普及到国内各个家庭和公共场所，人们俨然已经开始享受无线(WIFI) 网络给工作及生活带来的便捷。但这种便捷同样也给犯罪份子带来可乘之机，越来越多的网络违法活动开始通过公众场所的无线网络来进行。尤其是像咖啡厅、餐馆、商场等提供无线网络服务的公众场所，更是违法犯罪活动的高发地，需要对网络行为进行有效的实名监控，从而有效的打击网络违法活动。为了满足各地市公安网监部门对公共无线上网场所的网络信息安全监管要求，北京光音盛世信息技

2、术有限公司深入分析现有无线网络特点、安全需求、管理要求，结合多年在网络安全、无线安全、安全审计方面的技术经验，研发出针对无线网络的信息安全审计产品。小云无线网络安全管理系统主要解决了对无线网络的集中安全管理问题，通过无线WIFI 设备抓取网络数据包（包括网页、邮件、即时通讯、上传下载、在线游戏等等），把审计信息通过加密方式统一上传到后端安全管理系统，安全管理系统对数据集中分析，从而实现行为审计、身份管理、场所管理、轨迹查询、报警等功能。 . word 专业资料二、方案需求 2.1无线上网为了能够广泛的应用在商场、宾馆酒店、KTV、广场、大学、机场等各类公共区域，无线接入设

3、备必须支持802.11b/g/n/ac标准无线客户端接入,且能同时支持50 个终端无线连接。接入设备必须支持流量控制功能，保证每个上网用户的上网体验。设备部署操作方式简单，适用性强。 2.2统一认证所有上网用户必须经过手机短信验证后方可访问互联网，手机号码与手机MAC 地址相互绑定，手机号认证信息需安全保存，可上传至公安网监，满足公安实名上网的要求。 2.3网络安全无线前端设备具备链路安全检测模块、DNS 安全检测模块、防攻击防火墙等基本安全功能，保证网络通信安全。 2.4场所管理支持对所有场所的分区域管理，可以通过场所编号、场所名称、场所所属区域、场所信息关键字等实时查询场所

4、基础信息和状态。可实时监控场所在线状态，并支持按日期查询场所在线率。 2.5行为管理支持对用户上下线信息、上网日志信息的收集、统计、分析。可通过多种条件的组合查询和模糊查询调取网络行为记录。 2.6身份管理支持通过手机号、MAC 等信息查询行为人的所有虚拟身份信息，例如：可查询到行为人的即时通信账号、电子邮件地址、网络游戏账号、论坛登录账号等。 . word 专业资料 2.7报警管理支持对手机号、MAC 地址、虚拟帐号等信息设置报警策略，一旦身份信息在无线网络覆盖范围内出现，则立即通过短信、邮件等方式通知监管人。 . word 专业资料三、方案概述方案主要包括三方面: 公共场

5、所上网信息采集、上网用户实名认证、数据收集和分析。图无线上网安全管控方案架构 3.1信息采集小云 WIFI 设备给用户提供安全的无线网络接入，同时把用户的上下线数据、用户行为数据（包括网页、邮件、即时通讯、下载上传、在线游戏、网络流量审计等等）通过加密方式传送到审计服务器，审计服务器收到加密数据后统一进行分析处理。所有部署小云WIFI 设备的场所，都经过实名信息登记，所有场所的信息（场所名称、地址、联系人、联系方式、IP 地址等）都会同步到安全管理审计中心，方便公安网监对所有场所的管理。 . word 专业资料 3.2用户认证通过手机短信认证的方式，云端认证服务器统一对所有场

6、所WIFI 上网用户的手机号进行认证，只有通过手机号认证的用户才能使用WIFI 设备上网。图设置上网认证方式认证服务器上所有手机号码信息都会同步到审计服务器上，审计服务器可以匹配用户身份数据，从而实现真实身份匹配。图手机号码与行为数据匹配 3.3数据收集与分析审计服务器收集各场所WIFI 上传的审计信息，对数据集中分析，从而实现行为管理、身份管理、场所管理、报警管理等功能。行为管理 . word 专业资料支持对用户上下线信息的收集，包括上下线时间、IP 地址、 MAC 地址、源外网IP 地址、场强等信息。支持对上下线信息的数据上报功能。支持对即时通信、网页访问、文件传

7、输、收发邮件、网络游戏、论坛发帖、远程管理等网络行为的审计，审计的内容包括:时间、地点、 IP 地址、网络协议、使用的账号等信息。支持对上网行为日志的数据上报功能。可用多条件的组合查询和模糊查询，精确查询网络行为信息。支持场所、时间、应用协议、关键字条件的组合查询和模糊查询。图行为综合查询 -结果身份管理支持通过手机号、网卡MAC 地址、姓名、身份证号等信息查询行为人的所有虚拟身份信息，例如：可查询到行为人的即时通信账号、电子邮件地址、网络游戏账号、论坛登录账号等。可以通过某个虚拟身份查询用户真实身份信息，可查询到行为人的手机号、姓名、身份证号、网卡MAC 地址等。

8、支持多重身份查询，可查询到某个网络帐号被多个真实身份的行为人使用。系统自动对所有用户的网络行为进行统计和分析。可分析出某个网络帐号的被使用次数，被经常使用的行为人，经常出现的场所及出现的次数，最后一次出现的场所和时间等信息。 . word 专业资料图虚拟身份查询场所管理可以通过场所编号、场所名称、场所所属区域、场所信息关键字，查询到每个使用WIFI 的公共上网场所的信息。场所信息包括：场所名称，场所地址，场所安全联系人、电话，场所所属区域、所属行业， IP 地址、最后在线时间等信息。支持对场所的分区域管理，可手动划分场所所属区域。支持自定义区域设置，灵活分配场所所属区

9、域，方便管理。图查询场所 -查询结果显示报警管理根据报警策略，对所有WIFI 上网场所进行实时监控，及时发现违法行为和嫌疑人，并实时发送报警信息。 . word 专业资料支持屏幕报警、邮件报警、手机短信报警，同时支持一种或多种方式报警。支持对真实身份信息报警策略设置，包括姓名、身份证号、手机号、手机 MAC 地址等。支持对虚拟身份信息的报警策略设置，包括即时通信帐号、邮件地址、论坛帐号、游戏账号等。支持对报警策略的新增、查询、终止等操作。可以对所有报警日志信息记录进行查询。支持对报警日志信息的组合查询和模糊查询，包括时间、关键字、行为人等。可以对报警信息进行

10、分类显示，包括已读报警信息和未读报警信息。图报警功能 . word 专业资料四、方案部署 4.1场所端部署前端采集设备部署在各种公共上网场所，可通过电信、联通等各种互联网接入服务提供商的基础网络接入互联网。设备可以单台部署，也可多台部署。部署方式：网关路由模式；建议出口带宽： 4Mbps ；上网方式：手机短信验证上网。图场所端部署图 4.2服务器端部署审计服务器部署于公安网监机房，根据场所端数量可适当增加服务器。服务器外网出口需部署一台防火墙来保护服务器的安全。内网 PC 终端可直接访问审计服务器查看服务器信息。 . word 专业资料建议出口带宽： 400Mbp

11、s ；防火墙开放策略：允许所有IP 地址对服务器的22 、8987 、 11518 、11521端口的访问。图公安网监端部署图服务器服务器硬件规格参考 : 最低要求推荐配置 CPU 至强 E3*1 至强 E5*2 内存16G 32G 硬盘SATA 500G Raid 5 500G 主板用品牌、专业服务器主板用品牌、专业服务器主板网卡2 张千兆网卡2 张千兆网卡电源单电源双电源支持场前端采集设备数量 800 2000 . word 专业资料 4.3支持第三方前端小云无线网络安全管理系统支持对接第三方WIFI 设备，第三方WIFI 设备可按照公共场所无线上网安全管理系统数据

12、传输交换规范把相关数据上传到小云无线网络安全管理系统。小云无线网络安全管理系统同时提供第三方WIFI 设备的管理接口，可对第三方 WIFI 设备的正常运行情况进行监控，可增加、修改、删除场所基础信息。文件传输接口规范文件传输接口方式适用于数据量较大的情况。用标准非压缩模式的ZIP 文件作为数据传输的主要载体，ZIP 文件中的数据描述文件可采用 BCP 文件格式。数据传输过程中的ZIP、BCP、 XML 等格式文件要遵照数据传输文件规范。数据传输时按照传输双方协商约定，将ZIP 文件放入指定的目录结构中，数据使用方 (预处理 )从目录中获取数据，进行下一步的信息提取、分析。传输过

13、程要支持传输日志信息的记录，供后续审计使用。 FTP 传输方式用户生成的文件直接上传到指定的FTP 服务器上，要求传输过程中文件名为“ 原文件名.tmp”，传输完成后文件改名为原来的文件名。主要是标识文件传输是否结束，以方便后台可以及时处理文件。 4.4支持第三方后端小云无线网络安全管理系统的前端（WIFI ）设备，支持对接符合公安标准要求的第三方 WIFI 管理系统。小云无线网络安全管理系统可以按照公共场所无线上网安全管理系统数据传输交换规范把相关数据上传到第三方WIFI 管理系统，同时可以按照对方接口要求， . word 专业资料发送设备心跳、设备参数等信息，实现第三方管理

14、系统对小云无线前端设备的监管。数据上传方式小云后端审计服务器，收集所有小云设备的场所和用户信息。小云无线网络安全管理系统负责把所有小云设备信息进行汇总打包成zip 文件。小云后端服务器把每天的数据，自动通过FTP 方式上传到第三方后端。 . word 专业资料五、方案优势国内领先的无线网络审计管理系统无线网络的覆盖范围在国内越来越广泛，高级宾馆、豪华住宅区、飞机场以及咖啡厅之类的区域都有无线网络。遍布公共场所的无线“热点”，将人们的生活和工作带入一个全新的时代。但无线网络的开放性也给管理带来极大的困难。小云网络安全管理系统正是通过WIFI源头监控、到云端认证服务、最后实

15、现实名审计、统一监控管理，完善的解决了无线上网场所的网络信息安全和监控管理问题。全面内容安全审计，满足所有合规性要求系统支持从即时通信、网页访问、电子邮件、论坛发帖到文件下载等数十种主要网络应用协议的识别还原，最大限度地发现有潜在安全风险的网络行为。从而完善了对各公共上网场所的审计监控体系，并且满足各种合规性要求。智能虚拟身份分析，提高账号识别准确度系统内置虚拟人口库，支持智能虚拟身份分析功能，能够将网络中的虚拟身份（网络帐号）与现实中的真实身份智能关联，有效地解决了网络行为角色的虚拟性所带来的种种问题。利用虚拟身份多重识别技术，能够最大限度地提高虚拟身份

16、识别的准确度，为网监部门利用网络行为线索信息办案，提供了全新的技术手段。贴近网监业务模式，提高网络破案成功率系统功能依照公安网监的业务流程设置：从日常例行的网络行为巡察、到有目的地行为线索搜索；从发现嫌疑人虚拟身份线索后进行的虚拟身份分析，到依据发现的行为或身份线索进行监视布控；从系统实时监控网络行为并在策略条件满足时触发报警，到以报警策略为单位查看报警结果等。上述功能体现了网监的真实业务内涵，并且操作非常便利，能够帮助警员最大限度地利用网络线索来侦破疑难案件。 . word 专业资料单纯的课本内容，并不能满足学生的需要，通过补充，达到内容的完善教育之通病是教用脑的人不用手，不教用手的人用脑，所以一无所能。教育革命的对策是手脑联盟，结果是手与脑的力量都可以大到不可思议。

展开阅读全文