大型商場無線網(wǎng)絡覆蓋安全管理方案.doc

大型商場無線網(wǎng)絡覆蓋安全管理方案大型商場無線網(wǎng)絡覆蓋安全管理方案 18 / 18目 錄1方案背景32方案介紹42.1方案考慮因素42.2方案拓撲設計52.3使用流程83方案特點103.1設定個性化推送頁面103.2使用方式簡便153.3日志追蹤溯源163.4系統(tǒng)操作日志留存163.5遠程可管可控163.6系統(tǒng)構(gòu)建安全173.7服務持續(xù)性運行181 方案背景互聯(lián)網(wǎng)技術的高速發(fā)展，極大地提高了網(wǎng)絡的普及率和普及速度，網(wǎng)絡正成為人們辦公、日常生活、娛樂、教育、旅行等所必須的配備。天津贊普電子科技一直關注于寬帶網(wǎng)絡尤其是無線寬帶的發(fā)展趨勢，如何發(fā)揮自身在寬帶計費行業(yè)的經(jīng)驗優(yōu)勢特點，推出適合各類終端用戶以及商業(yè)用戶的無線寬帶業(yè)務，成為我公司近幾年業(yè)務發(fā)展的方向。通過近一年的無線寬帶部署實際部署和使用，獲得到了用戶的良好反饋，進一步增強了我公司對無線寬帶網(wǎng)絡覆蓋的信心。針對提供免費無線WiFi接入服務的大型商場、超市、賣場等，一般稱為非經(jīng)營性（或非盈利性）的無線網(wǎng)絡覆蓋場所，我公司推出了專門針對大型商場的無線覆蓋方案，為商場的無線覆蓋、安全管理、廣告營銷等提供了一站式服務。方案實現(xiàn)中，商場區(qū)域內(nèi)以硬件部署為主，使用一定量的無線終端設備（無線WiFi路由器、匯聚交換機、無線控制器AC等）達到全區(qū)域的無線覆蓋，另外根據(jù)用戶的需要，提供兩種后臺部署方式供用戶選擇，即后臺放置在商場內(nèi)的機房或云平臺。此外，還提供了完整和完善的后臺網(wǎng)絡安全管理機制，完善了無線網(wǎng)絡覆蓋的安全管理問題。2 方案介紹根據(jù)當前寬帶網(wǎng)絡管理的行業(yè)現(xiàn)狀，以及這類網(wǎng)絡接入場所網(wǎng)絡覆蓋的特點和存在的問題，我公司憑借近年來在寬帶數(shù)據(jù)業(yè)務方面積累的經(jīng)驗，以及相對于運營商更為靈活的業(yè)務模式，推出適合這些大型商場的寬帶網(wǎng)絡接入管理方案。方案部署力求簡單、簡易、有效，商場區(qū)域以線路鋪設以及無線設備覆蓋為主，其他所有認證授權(quán)、管理控制、廣告業(yè)務系統(tǒng)全部存放于“云端”（部署在專業(yè)IDC機房），或者整個后臺部署在商場的核心機房內(nèi)，后期的軟件、硬件維護等全部由我公司專業(yè)的售后服務團隊支撐；商場經(jīng)營者可登錄管理平臺對自己商場內(nèi)的無線路由器進行用戶信息查看、無線路由器狀態(tài)檢測、用戶登錄記錄查詢、認證推送頁面定制、廣告業(yè)務擴展等操作。系統(tǒng)平臺還整合了日志追蹤管理系統(tǒng)，在特殊需要情況下，可配合公安網(wǎng)監(jiān)部門，通過日志系統(tǒng)的關鍵信息記錄追蹤溯源，為商場管理者、公安網(wǎng)監(jiān)部門免除管理的煩惱。2.1 方案考慮因素l 軟件系統(tǒng)集中部署統(tǒng)一管理，商場內(nèi)多個接入設備、不同用戶接入，統(tǒng)一匯集到核心管理系統(tǒng)進行統(tǒng)一管控，便于對軟件管理系統(tǒng)的管理和維護。l 末端部署簡易化，使用簡單的配置和插入即可完成全區(qū)域的無線網(wǎng)絡覆蓋。l 盡可能利用這些場所現(xiàn)有寬帶IP網(wǎng)絡基礎構(gòu)建，減少現(xiàn)有網(wǎng)絡拓撲結(jié)構(gòu)的改動。l 充分利用現(xiàn)有網(wǎng)絡線路資源和網(wǎng)絡硬件設備資源，盡量減少資金投入，避免重復投資。l 高可靠性的管理系統(tǒng)能夠保證認證授權(quán)和管理服務的持續(xù)運行。l 采用穩(wěn)定、高效的數(shù)據(jù)庫，保證數(shù)據(jù)采集的準確、安全和及時反饋。l 安全的系統(tǒng)基礎構(gòu)建和傳輸機制，確保用戶信息不會泄露。l 充分發(fā)揮我公司在寬帶網(wǎng)絡的管理、多業(yè)務、靈活性方面的優(yōu)勢完全控制整個網(wǎng)絡的用戶，進行安全有效的用戶管理。l 提供簡捷實用的用戶Portal界面供管理員、商場經(jīng)營者對業(yè)務進行操作和管理，用戶接入時的認證過程要簡單、快速，并且能夠記錄關鍵信息定位到人。l 系統(tǒng)配置不僅滿足現(xiàn)在網(wǎng)絡狀況的需求，還要有能力承擔商場未來3-5年網(wǎng)絡規(guī)模發(fā)展的需要。對于后期擴充能夠以平滑方式升級，以及對其他可能的對接的系統(tǒng)做好充分的前期準備，預留開放性接口。2.2 方案拓撲設計在方案部署時，避免對網(wǎng)絡結(jié)構(gòu)和現(xiàn)有裝修、線路走向做較大改動，后臺軟件系統(tǒng)服務器集中部署，對通過各接入點AP以及網(wǎng)絡路由導向過來的網(wǎng)內(nèi)所有用戶網(wǎng)絡訪問認證請求做出授權(quán)，同時可選對接公安部門的網(wǎng)絡安全審查日志系統(tǒng)，以達到詳細記錄用戶網(wǎng)絡訪問行為的目的；廣電寬帶網(wǎng)絡的專線服務則保障了整個方案的網(wǎng)絡訪問質(zhì)量和可靠性。根據(jù)商場的規(guī)模以及使用要求，本方案提供兩種部署模式供用戶選擇：后臺部署在云平臺，如下圖所示：根據(jù)A方案的設計，將采用以下主要的軟件系統(tǒng)和硬件設備：類別名稱數(shù)量說明租/買硬件設備無線控制器AC1硬件設備，串接在核心路由之下，服務要求較高的商場可采用雙機冗余部署購買SOSO WiFi盒子N根據(jù)商場的規(guī)模確定點位及設備數(shù)量購買內(nèi)網(wǎng)交換機N根據(jù)商場規(guī)模及接口數(shù)量采購市場主流的交換機設備購買核心路由出口1核心網(wǎng)絡路由出口，建議商家采購市場主流的路由設備購買軟件系統(tǒng)MydRadius認證計費系統(tǒng)2計費軟件，安裝在硬件服務器上，雙機冗余部署。商家以租用方式將服務托管于我公司IDC中心。租用MydPortal WEB認證門戶系統(tǒng)2為個性化廣告推送、用戶接入認證等提供支持，采用雙機冗余部署。商家以租用方式將服務托管于我公司IDC中心。租用短信網(wǎng)關1與國內(nèi)三家運營商對接的通道租用MydASD網(wǎng)監(jiān)日志系統(tǒng)1提供用戶上網(wǎng)期間的網(wǎng)絡訪問日志采集和整理租用后臺部署在商場的核心機房，如下圖所示：根據(jù)B方案的設計，將采用以下主要的軟件系統(tǒng)和硬件設備：類別名稱數(shù)量說明租/買硬件設備無線控制器AC1硬件設備，串接在核心路由之下，服務要求較高的商場可采用雙機冗余部署購買SOSO WiFi盒子N根據(jù)商場的規(guī)模確定點位及設備數(shù)量購買內(nèi)網(wǎng)交換機N根據(jù)商場規(guī)模及接口數(shù)量采購市場主流的交換機設備購買核心路由出口1核心網(wǎng)絡路由出口，建議商家采購市場主流的路由設備購買軟件系統(tǒng)MydRadius認證計費系統(tǒng)2計費軟件，安裝在硬件服務器上，雙機冗余部署。商家以租用方式將服務托管于我公司IDC中心。購買MydPortal WEB認證門戶系統(tǒng)2為個性化廣告推送、用戶接入認證等提供支持，采用雙機冗余部署。商家以租用方式將服務托管于我公司IDC中心。購買短信網(wǎng)關1與國內(nèi)三家運營商對接的通道購買MydASD網(wǎng)監(jiān)日志系統(tǒng)1提供用戶上網(wǎng)期間的網(wǎng)絡訪問日志采集和整理購買2.3 使用流程本方案提供的功能綜合了行業(yè)內(nèi)高效的寬帶認證授權(quán)計費系統(tǒng)（由于為非經(jīng)營性寬帶網(wǎng)絡，故本案中僅認證授權(quán)不計費），與國內(nèi)電信行業(yè)運營商（中國移動、中國聯(lián)通、中國電信）對接的短信網(wǎng)關對接系統(tǒng)用于向接入用戶發(fā)放WiFi臨時賬戶和密碼，同時對上網(wǎng)用戶的身份（手機號）以及上網(wǎng)過程中產(chǎn)品的行為進行記錄，并提供了統(tǒng)一的管理平臺分配給各級不同權(quán)限級別的管理員。由于手機號在國內(nèi)已基本實現(xiàn)實名制，故定位到手機號則基本可以鎖定到申請手機號人的詳細信息（如姓名、身份證號等唯一標識）。日志系統(tǒng)將對采集到的訪問記錄做解析和整理，記錄關鍵信息，若突發(fā)情況公安網(wǎng)絡安全管理部門可以查詢到以手機號為臨時賬戶的用戶，訪問了哪些網(wǎng)站或參與了哪些網(wǎng)絡活動，進而通過在各運營商處手機號登記的用戶名和身份證號碼找到具體的當事人，實現(xiàn)了對流動性臨時賬戶使用者的網(wǎng)絡安全管理。以下是本方案提供的使用流程：1. 用戶通過無線標識SSID連接到場所內(nèi)覆蓋的WiFi設備，系統(tǒng)將定制的個性化認證登陸界面推送給用戶的登陸設備（如筆記本，平板電腦，智能手機等）瀏覽器頁面上，用戶輸入自己的手機號碼并點擊獲取臨時密碼；在登錄窗口將展示商家的優(yōu)惠活動、促銷信息等推送內(nèi)容；2. 無線路由設備將會把用戶的請求通過我公司提供的專線寬帶，轉(zhuǎn)向部署在IDC（或商場核心機房）的管理平臺，系統(tǒng)將生成與此手機號碼匹配的臨時使用密碼并將通過內(nèi)置的短信通道將生成的密碼推送至各運營商的短信網(wǎng)關，以手機短信方式發(fā)送到用戶登記的手機號上；3. 用戶手機接受到來自短信平臺的密碼短信，在認證窗口輸入使用的手機號以及獲取的密碼，點擊登錄；4. 系統(tǒng)會自動與之前生成的手機號與密碼做匹配校驗，核對失敗返回錯誤提示并繼續(xù)提示獲取密碼窗口；核對成功后返回認證成功的消息，用戶正常訪問Internet；5. 用戶訪問Internet期間，系統(tǒng)將記錄關鍵的用戶信息，在突發(fā)情況下可協(xié)助公安網(wǎng)絡安全部門對記錄進行溯源（僅在云平臺部署模式）；3 方案特點3.1 自主設定個性化廣告商場的經(jīng)營者可登錄處于云端的管理平臺，根據(jù)商場的業(yè)務需要，自主的對自己管轄的區(qū)域的無線設備進行管理，如設定帶寬、免費使用時長等，同時還可以選擇認證時推送給用戶的模板類型、設定推送的廣告展示、優(yōu)惠活動、打折促銷、微博平臺展示等，最大化的利用無線平臺實現(xiàn)廣告推送。商場與各店鋪經(jīng)營者之間可協(xié)商使用寬帶業(yè)務與廣告業(yè)務的合作模式，在為顧客提供免費WiFi服務的同時還能打造綠色的可持續(xù)有收益的WiFi生態(tài)業(yè)務模式。3.1.1 多樣的模板類型 模板一:分類導航型此類模板對商家產(chǎn)品或營業(yè)種類進行了分類，客戶可以首先點開自己想要瀏覽的商品頁面。同時免費上網(wǎng)置于最低端，用戶必須瀏覽完廣告才可以登陸上網(wǎng)。 模板二:突出產(chǎn)品型此模板突出單個產(chǎn)品的信息，如本店特價產(chǎn)品，圖片簡捷醒目，容易給人留下深刻的印象，增強廣告效應。 模板三:綜合信息型此模板顯示整個商場的綜合信息，客戶可一覽商場全景。3.1.2 商家店內(nèi)展示展示一展示二3.1.3 定時下線，重推廣告商戶可以通過商家管理后臺來設置用戶上網(wǎng)時長，超時則自動下線，當再次打開瀏覽器時，就會再次推出商家廣告。增強了廣告效應，有助于商家進行廣告營銷。架設WIFI的背后，是我公司嘗試利用大數(shù)據(jù)來重新打造賣場與客戶之間的關系。大數(shù)據(jù)正逐漸成為左右賣場生存發(fā)展的無形大手，問題在于大數(shù)據(jù)對于商家到底是什么，我公司的答案是，“最重要的是做客人、商品、活動的結(jié)合。”我公司希望能充分挖掘會員信息，使會員不僅僅是促銷積分的功用，也能為商家提供數(shù)據(jù)，在線下活動中可以貼上二維碼。將活動信息就跟消費者個體的信息聯(lián)系起來。以此為拓展，根據(jù)社交活動的信息及消費傾向，進行更為精準的營銷。另外一個嘗試是，我公司希望加強客戶之間的社交屬性，改變電子商務中缺乏娛樂和社交屬性的問題，推出“微信朋友圈”，依托原有數(shù)據(jù)，面向更多朋友客戶，線上推送商家自己的定義、范圍以及一些有趣的時尚信息。3.2 使用方式簡便為了讓用戶能盡快接入網(wǎng)絡并享受到Internet的便捷，在手機大量普及的背景下，以手機短信作為臨時無線寬帶網(wǎng)絡訪問所使用密碼的方式，無論是從便捷性還是安全性方面，都是方案首選。流動場所的用戶，大多為較前沿的電子產(chǎn)品使用者如各類平板電腦，智能手機近幾年的大量普及也幾乎成為人手一部，同時還有越來越便于攜帶的筆記本（或超級本）。方案提供以瀏覽器認證窗口彈出的方式為各類終端設備（如筆記本電腦、Pad、智能手機等）提供統(tǒng)一的頁面認證方式，并且在識別用戶的終端類型后自動推送適合瀏覽器顯示的認證頁面。3.3 日志追蹤溯源集成部署的無線系統(tǒng)平臺對各部署點采集到的數(shù)據(jù)做解析、分析和歸類存儲，存取關鍵信息，在突發(fā)情況下，可協(xié)助公安網(wǎng)絡安全監(jiān)察部門對事件進行溯源，滿足國家公安部門對上網(wǎng)場所的安全要求。3.4 系統(tǒng)操作日志留存系統(tǒng)會自動記錄所有級別的管理員登陸歷史記錄以及用戶的詳細操作記錄，如修改、新增、刪除了某條信息或設置項，低級別的賬戶只能看到自己的組內(nèi)的操作記錄，更高級別的賬戶則可以看到低級別的所有用戶操作記錄。在特殊情況下可跟蹤到某個管理員對系統(tǒng)的操作行為，從而對系統(tǒng)做恢復處理，保證系統(tǒng)的整體安全性。系統(tǒng)可設定記錄的日志存放時間周期，超過存放周期的系統(tǒng)將自動清除以保持服務器的存儲空間，系統(tǒng)默認提供最少60-180天的記錄（注：由于較長的存儲留存周期將消耗更大的存儲空間，若有較長的存儲留存周期要求需特殊告知，以保證系統(tǒng)預留足夠的存儲空間）。3.5 遠程可管可控由于區(qū)域內(nèi)用戶構(gòu)成較為復雜且有一定的流動性，所以對單個用戶的帶寬需要控制，如商家客戶在自己的管理平臺上遠程設定每個訪問用戶的帶寬為最高512Kbp或1Mbps，避免因為某個用戶使用P2P或其他占用帶寬的應用擠占了帶寬出口，造成區(qū)域內(nèi)其他用戶訪問網(wǎng)絡很慢的情況，讓有限的帶寬資源得到合理利用。還可以查看當前在線的無線路由設備、查看當前在線的用戶信息以及對無線路由設備進行遠程批量升級等管理。3.6 系統(tǒng)構(gòu)建安全所有的用戶數(shù)據(jù)均放置于云端（我公司具有專業(yè)的IDC機房），在傳輸過程中采用特殊的機制保證用戶的信息不受破解；在存儲的服務器均采用多點冗余備份，在某個物理硬盤損壞時能夠通過其他的冗余數(shù)據(jù)完整的還原損壞前的所有數(shù)據(jù)，對數(shù)據(jù)存儲的安全性做到萬無一失。由于管理系統(tǒng)集中部署，故要求部署的地點足夠安全，能夠避免自然破壞或人為的惡意網(wǎng)絡攻擊，服務能夠保證長時間不間斷運行，同時數(shù)據(jù)存放要足夠安全，除了運營的商家客戶已經(jīng)上級公安監(jiān)察等部門外，一律不能開放，對于可能預料的物理磁盤損耗有足夠的冗余備份確保用戶數(shù)據(jù)的完整性和安全性。3.7 服務持續(xù)性運行集成的無線運營平臺所有的軟件