中國建設(shè)銀行網(wǎng)點互聯(lián)網(wǎng)WiFi實施方案(共20頁)

1、中國建設(shè)銀行網(wǎng)點(wn din)互聯(lián)網(wǎng)WiFi實施(shsh)方案(fng n)項目(xingm)概述1.1項目(xingm)背景為更好的向銀行客戶提供高質(zhì)量的服務(wù)，吸引更多市民到建行辦理業(yè)務(wù)，通過更加豐富的渠道(qdo)向客戶介紹建行金融產(chǎn)品，全方位提升建行在客戶心中地位，提高同業(yè)競爭能力、提升客戶感知度，推動電子銀行業(yè)務(wù)發(fā)展，展示現(xiàn)代化銀行風(fēng)采，在轄內(nèi)網(wǎng)點部署互聯(lián)網(wǎng)WiFi無線網(wǎng)絡(luò)，為客戶提供免費無線互聯(lián)網(wǎng)服務(wù)。無線信號范圍覆蓋營業(yè)大廳、客戶等候區(qū)、VIP客戶接待區(qū)、私人銀行、財富中心等客戶活動區(qū)域。客戶可以使用電子銀行服務(wù)區(qū)終端訪問我行網(wǎng)站以及指定的同業(yè)、合作商戶等網(wǎng)站，辦理電子銀行業(yè)務(wù)

2、，也可以通過自帶的筆記本電腦、智能終端（IPAD、智能手機）等接入互聯(lián)網(wǎng)WiFi，連接到Internet，享受免費互聯(lián)網(wǎng)服務(wù)。1.2建設(shè)原則業(yè)務(wù)保障性原則WiFi技術(shù)方便接入、便于移動、擴展，但作為一種無線電通信技術(shù)，受環(huán)境因素影響較大。同時，不同的空口標準實現(xiàn)的帶寬也不同，所以，采用此技術(shù)組網(wǎng)，要考慮使用的技術(shù)標準、可用帶寬、可靠性、安全、可管理性等因素，以能夠保障相關(guān)業(yè)務(wù)的穩(wěn)定性為出發(fā)點。安全性原則WiFi向客戶無償提供具有公開性、共享性信息的服務(wù)活動。須根據(jù)國家及地方相關(guān)法律法規(guī)落實互聯(lián)網(wǎng)安全技術(shù)保護措施?；ヂ?lián)網(wǎng)WiFi必須由運營商負責(zé)網(wǎng)絡(luò)信息安全服務(wù)，采用經(jīng)公安部檢測通過的安全專用產(chǎn)品

3、，由運營商負責(zé)接入本地公安管理中心，且運營商必須對我行及我行客戶信息予以保密。所有由運營商創(chuàng)意、設(shè)計、制作的商品中所涉及的資料、素材及成品，包括但不限于文字、照片、拍攝底片、圖片等，運營商應(yīng)承諾均不涉及任何知識產(chǎn)權(quán)糾紛，否則，運營商承擔(dān)一切責(zé)任。1.3責(zé)任(zrn)分工(fn gng)運營商負責(zé)(fz)互聯(lián)網(wǎng)WiFi的建設(shè)、管理、審計及運維工作。1.4運營商資質(zhì)運營商有相關(guān)經(jīng)營互聯(lián)網(wǎng)業(yè)務(wù)資質(zhì)，采用公安部認可的網(wǎng)絡(luò)產(chǎn)品，符合國家及當?shù)毓膊块T互聯(lián)網(wǎng)監(jiān)管標準。應(yīng)用(yngyng)場景2.1客戶(k h)自帶設(shè)備(shbi)接入WLAN無線信號范圍覆蓋營業(yè)大廳、客戶等候區(qū)、VIP客戶接待區(qū)、私人銀行

4、、財富中心等客戶活動區(qū)域?？蛻艨梢酝ㄟ^自帶的筆記本電腦、智能終端（IPAD、智能手機）等接入WLAN，連接到Internet網(wǎng)絡(luò)，享受免費互聯(lián)網(wǎng)服務(wù)。可利用全行統(tǒng)一的客戶上網(wǎng)登陸頁面向客戶投放最新營銷活動等各類廣告信息，廣告形式可為文字、圖片、視頻、flash等。2.2電子銀行服務(wù)區(qū)終端接入客戶可以使用電子銀行服務(wù)區(qū)終端訪問我行網(wǎng)站及指定的同業(yè)、合作商戶等網(wǎng)站，辦理電子銀行業(yè)務(wù)。部署(b sh)規(guī)劃3.1架構(gòu)(ji u)描述根據(jù)業(yè)務(wù)需求，由運營商在各營業(yè)網(wǎng)點部署獨立的線路以及無線接入設(shè)備，通過運營商局端企業(yè)網(wǎng)關(guān)設(shè)備配合Portal服務(wù)器及相關(guān)認證(rnzhng)平臺，為我行營業(yè)網(wǎng)點提供互聯(lián)網(wǎng)W

5、iFi接入服務(wù)。無線信號覆蓋區(qū)域可提供建設(shè)銀行企業(yè)個性化網(wǎng)絡(luò)標識。運營商AP均以“瘦AP”模式工作，并由部署在其內(nèi)網(wǎng)的AC實現(xiàn)集中監(jiān)控和管理，所有無線流量必須由AC進行處理和轉(zhuǎn)發(fā)，AC的部署應(yīng)考慮高可用性，確保我行網(wǎng)點無線網(wǎng)絡(luò)穩(wěn)定運行。運營商AP與其提供的接入設(shè)備互聯(lián)，要求AP采用POE供電方式。運營商AP的安裝位置需考慮我行網(wǎng)點的外觀及安全要求，不能影響我行營業(yè)網(wǎng)點的整體環(huán)境風(fēng)格。為了確保無線AP設(shè)備的長期、穩(wěn)定使用，以及信號覆蓋范圍的有效性，原則上，優(yōu)先考慮將AP設(shè)備進行吊頂安裝，吊頂具體位置根據(jù)現(xiàn)場勘查，并通過無線信號測試有效覆蓋范圍情況而定。如果AP設(shè)備吊頂無法實現(xiàn)，可以考慮采用壁掛方

6、式。運營商需要為AP設(shè)備安放點到接入交換機之間進行網(wǎng)絡(luò)綜合布線，要求暗線部署，禁止采用明線方式布線，如果AP設(shè)備需要掛壁，則要對裸線部分進行扣槽處理，槽的顏色要與周邊區(qū)域顏色相同，做好美觀、牢固。運營商設(shè)備應(yīng)放置在我行網(wǎng)點指定的位置，通常情況下每網(wǎng)點每樓層安裝1-2個AP，以最終實際驗收結(jié)果為準。圖表(tbio) SEQ 圖表(tbio) * ARABIC 11、AC部署(b sh)位置：運營商機房高可用性：集群或熱備模式產(chǎn)品型號：BS-WAC-WS-1/2；BS-WAC-WS-1功能：實現(xiàn)對我行網(wǎng)點AP的集中監(jiān)控和管理，當?shù)剡\營商只需將AP接入已配置完畢的網(wǎng)絡(luò)，即可完成自動配置工作，實現(xiàn)網(wǎng)點

7、AP的快速部署。2、AP部署位置：我行各網(wǎng)點 連接設(shè)備：運營商接入設(shè)備高可用性：無AP模式：瘦AP產(chǎn)品型號：BS-WAP-I100/N3、Portal服務(wù)器部署位置：運營商機房高可用性：集群?；驘醾淠Ｊ疆a(chǎn)品型號：由運營商自行選擇功能：將承擔(dān)登陸(dng l)頁面的推送及認證。運營商需要部署具有多終端適配功能的Portal頁面，使通過不同(b tn)終端接入互聯(lián)網(wǎng)WiFi的用戶(yngh)，均能體驗相同風(fēng)格的認證功能。4、安全審計服務(wù)器部署位置：運營商機房高可用性：集群或熱備份模式產(chǎn)品型號：由運營商自行選擇功能：收集用戶的訪問日志并進行審計。5、網(wǎng)點網(wǎng)關(guān)（部分運營商部署）部署位置：我行各網(wǎng)點高可

8、用性：無產(chǎn)品型號：由運營商自行選擇功能：無線客戶端控制、收集用戶訪問日志。3.2 SSID規(guī)劃為了便于安全與管理策略的實現(xiàn)，客戶自帶設(shè)備接入與電子銀行服務(wù)區(qū)終端接入兩個場景，使用不同的SSID，請見下表：場景SSID名稱是否廣播是否加密終端客戶自帶設(shè)備接入是否客戶自帶終端（筆記本電腦、平板、手機等）電子銀行服務(wù)區(qū)終端接入否否電子銀行服務(wù)區(qū)終端（PC、筆記本電腦、平板）圖表 SEQ 圖表 * ARABIC 23.3信道規(guī)劃為保證WLAN部署時避免與現(xiàn)場環(huán)境已有WIFI信道沖突，并能保證信道自動切換，WLAN信道使用自動模式。3.4功率及覆蓋范圍規(guī)劃為防范蹭網(wǎng)，宜控制WiFi信號范圍。一般要控制到

9、網(wǎng)點范圍內(nèi)，盡量做到只覆蓋營業(yè)大廳、客戶等候區(qū)、VIP客戶接待區(qū)、私人銀行、財富中心等客戶活動區(qū)域。使信號覆蓋范圍及網(wǎng)絡(luò)訪問速度滿足客戶使用需求，并將此作為最終實際驗收結(jié)果。安全(nqun)規(guī)劃4.1基礎(chǔ)設(shè)施(j ch sh sh)安全(nqun)規(guī)劃物理隔離由運營商在每個網(wǎng)點部署單獨的、直連互聯(lián)網(wǎng)的線路，與網(wǎng)點現(xiàn)有數(shù)據(jù)專線嚴格物理隔離。由運營商在每個網(wǎng)點部署AP，與我行自有AP設(shè)備嚴格分離，且與我行自建的WLAN網(wǎng)絡(luò)信道相隔離，并能根據(jù)我行要求調(diào)整信道。安全審計由運營商提供并維護網(wǎng)絡(luò)安全審計設(shè)備，對登錄人信息及上網(wǎng)行為做管理，包括但不限于如下內(nèi)容：1、根據(jù)屬地公安部門要求，辦理備案手續(xù)。2、

10、全面落實各項技術(shù)保護措施，必須安裝符合國家標準及行業(yè)標準的網(wǎng)絡(luò)安全管理設(shè)備，以及由屬地公安部門指定的安全管理設(shè)備。上述產(chǎn)品和安全管理系統(tǒng)，必須由具有國家認定資質(zhì)的制定廠商提供，并由運營商確保各項技術(shù)保護措施落實到位，確保安全保護技術(shù)措施應(yīng)當具有符合公共安全行業(yè)技術(shù)標準的聯(lián)網(wǎng)接口。 3、運營商負責(zé)落實的記錄留存技術(shù)措施，并應(yīng)當具有至少保存九十天記錄備份的功能，以及滿足審計需求。并可以在監(jiān)管審計要求、發(fā)生安全事件或其它特定事件的情況下向建行提供。釣魚AP的檢測運營商需在我行網(wǎng)點互聯(lián)網(wǎng)WiFi針對釣魚AP等非法AP啟用檢測功能。在發(fā)現(xiàn)非法AP或冒用建行SSID等情況下，要向建行通報。釣魚AP的抑制運

11、營商一旦發(fā)現(xiàn)有釣魚AP等非法AP，其可以通過發(fā)送偽造的解除認證數(shù)據(jù)包到非法AP以及連接在非法AP的客戶端使其掉線，并能抑制非法AP對客戶端的接入功能。用戶(yngh)私設(shè)IP地址控制用戶的私設(shè)IP，會造成IP地址使用的不可控以及IP地址的沖突。本次WLAN部署禁止IP地址的私設(shè)行為(xngwi)，只允許通過DHCP獲得IP地址的客戶端訪問。防ARP欺騙(qpin)功能ARP欺騙是常見的網(wǎng)絡(luò)攻擊，能造成很嚴重的網(wǎng)絡(luò)故障，甚至大面積的網(wǎng)絡(luò)癱瘓。客戶端發(fā)起ARP欺騙的原因有可能為客戶端感染ARP病毒或者客戶端安裝網(wǎng)關(guān)軟件所致。本次網(wǎng)點互聯(lián)網(wǎng)WiFi需開啟防ARP欺騙功能，以防止客戶端發(fā)起的ARP欺騙

12、攻擊。入侵檢測功能WLAN所接的客戶端類型多種多樣，客戶端的多樣化提高了設(shè)備安全管理的難度和復(fù)雜度，同時提高了WLAN的安全風(fēng)險。本次網(wǎng)點互聯(lián)網(wǎng)WiFi需開啟入侵檢測功能，包括但不限于如下基本攻擊入侵檢測：蠕蟲，間諜軟件，廣告軟件，網(wǎng)絡(luò)病毒，網(wǎng)絡(luò)攻擊。禁止用戶互訪連接在WLAN上的用戶互訪，會對用戶終端安全造成威脅，造成數(shù)據(jù)流量的不可控并占用大量帶寬，故本次網(wǎng)點互聯(lián)網(wǎng)WiFi需禁止用戶間的互訪功能。4.2接入安全規(guī)劃客戶自帶設(shè)備與電子銀行服務(wù)區(qū)使用的SSID采用不同的認證策略、使用時長限制和訪問控制策略，在網(wǎng)絡(luò)層不要求對數(shù)據(jù)進行加密。4.2.1客戶自帶設(shè)備SSID接入安全規(guī)劃4.2.1.1 安

13、全認證客戶通過自己攜帶的移動設(shè)備接入網(wǎng)點互聯(lián)網(wǎng)WiFi時，在登陸界面，以自己的手機號碼為用戶名申請臨時賬號。運營商將密碼（短信驗證碼）通過短信方式發(fā)送到此手機號碼（聯(lián)通、移動、電信手機號碼均可以申請臨時賬號，不收取費用）上，客戶輸入密碼（短信驗證碼）便可以接入我行網(wǎng)點互聯(lián)網(wǎng)WiFi網(wǎng)絡(luò)。4.2.1.2 訪問控制為了保護用戶(yngh)終端免受惡意網(wǎng)站攻擊，根據(jù)(gnj)規(guī)定的網(wǎng)站(wn zhn)URL“黑名單”，拒絕用戶終端訪問URL“黑名單”內(nèi)的網(wǎng)站。4.2.2電子銀行服務(wù)區(qū)SSID接入安全規(guī)劃4.2.2.1 安全認證電子銀行服務(wù)區(qū)終端使用特定賬號和密碼。特定賬號可以是固定賬號或手機號。密碼

14、是運營商分配密碼或登陸過程中運營商所發(fā)送的驗證碼。電子銀行服務(wù)區(qū)終端通過特定賬號登陸，以方便客戶使用。4.2.2.2 訪問控制根據(jù)提供的網(wǎng)點網(wǎng)銀自助終端MAC地址建立“白名單”，通過MAC地址“白名單”僅允許我行營業(yè)網(wǎng)點電子銀行服務(wù)區(qū)終端接入。帶寬(di kun)規(guī)劃5.1線路(xinl)帶寬定期提交網(wǎng)點帶寬(di kun)使用報告，作為分行升級帶寬的依據(jù)。5.2帶寬保護策略網(wǎng)點互聯(lián)網(wǎng)WiFi的帶寬由兩個SSID下所有客戶端共享，并實施動態(tài)帶寬分配策略。帶寬分配上優(yōu)先保證網(wǎng)點電子銀行服務(wù)區(qū)終端接入帶寬，保證每個終端至少享有256kbps帶寬，客戶自帶設(shè)備共享剩余帶寬。在營業(yè)結(jié)束后，網(wǎng)銀自助終端

15、后臺管理系統(tǒng)利用此閑暇時間向各網(wǎng)點終端推送網(wǎng)銀終端廣告，以避免帶寬擁塞，影響客戶體驗。設(shè)備(shbi)選型6.1AC選型商用級設(shè)備(shbi)吞吐(tnt)性能20Gbps，管理500個以上AP能力支持集群或熱模式支持WPA2安全標準支持二三層漫游6.2AP選型商用級設(shè)備每AP至少支持30個以上用戶支持WPA2安全標準支持二三層漫游業(yè)務(wù)(yw)要素(yo s)設(shè)計7.1客戶(k h)自帶設(shè)備SSID業(yè)務(wù)要素設(shè)計接入流程 圖表 SEQ 圖表 * ARABIC 41、客戶使用筆記本、手機等智能終端搜索到無線網(wǎng)絡(luò)，選擇SSID為CCB的WLAN；2、運營商設(shè)備（企業(yè)網(wǎng)關(guān)）檢測到我行客戶接入無線網(wǎng)絡(luò)發(fā)

16、起的請求，自動給該客戶終端分配IP地址；3、客戶設(shè)備獲取到IP地址，輸入任意URL地址上網(wǎng)；4、運營商設(shè)備（企業(yè)網(wǎng)關(guān)）將客戶請求的URL重定向至登陸頁面（接入認證Portal頁面）；5、客戶在登陸頁面（接入認證Portal頁面）輸入其手機號碼；6、登陸頁面（接入認證Portal頁面）將客戶手機號碼及驗證碼發(fā)送給運營商的短信平臺；7、運營商短信平臺將驗證碼發(fā)送給客戶手機；8、客戶接收(jishu)短信后，在登陸頁面（接入認證Portal頁面）輸入驗證碼；9、運營商播放(b fn)指定廣告給客戶，即引導(dǎo)客戶進入廣告頁面。廣告播放完畢(wnb)后（即客戶必須觀看完廣告后），通知運營商網(wǎng)關(guān)允許用戶上網(wǎng)

17、。10、運營商網(wǎng)關(guān)檢測到客戶訪問互聯(lián)網(wǎng)需求，強推URL，引導(dǎo)客戶前往建行定制的歡迎頁面。11、客戶閱讀信息或關(guān)閉后才能正常訪問互聯(lián)網(wǎng)。登陸（接入認證）Portal頁面設(shè)計登陸頁面即接入認證的Portal頁面，包括如下要素：手機號碼、短信驗證碼、免責(zé)申明、廣告。在用戶閱讀免責(zé)條款、瀏覽指定廣告后強制訪問建行主頁或各分行自定的歡迎頁面。7.1.2.1 版面布局由運營商為PC、智能終端（操作系統(tǒng)需支持ios、Android、Windows等）提供各種顯示尺寸的、多終端適配功能且相同風(fēng)格的登陸頁面， 便于客戶輸入。不能出現(xiàn)客戶頻繁滑動頁面和放大縮小輸入，要有較好的客戶體驗感受。其中，PC、智能終端橫屏

18、登陸頁面的版面布局如下：圖表 SEQ 圖表 * ARABIC 5智能終端豎屏的版面布局如下：圖表(tbio) SEQ 圖表(tbio) * ARABIC 67.1.2.2 免責(zé)(min z)條款在登陸頁面明顯位置刊登如下免責(zé)條款：尊敬的客戶，您在使用XXX運營商為建設(shè)銀行客戶提供的免費無線上網(wǎng)服務(wù)時，請保護好您的個人信息與資料，以免被他人非法獲得或使用。請遵守國家相關(guān)法律法規(guī)規(guī)定，不訪問非法、不良網(wǎng)站及發(fā)表、傳輸任何違法信息。您在網(wǎng)絡(luò)上泄露個人信息資料，或者訪問非法、不良網(wǎng)站及發(fā)表、傳輸任何違法信息而導(dǎo)致的相關(guān)損失與責(zé)任，均由您自行承擔(dān)，建設(shè)銀行對此不承擔(dān)任何責(zé)任。免責(zé)條款以總行電子銀行部下發(fā)

19、通知為準。同時，在登陸頁面提供“我已閱讀并接受免責(zé)申明”的勾選框，默認不勾選。如果客戶不勾選該框，即使短信驗證碼正確并點擊“登陸”按鈕，會彈出告示框“請閱讀免責(zé)申明，接受免責(zé)申明后才能登陸”。廣告(gunggo)頁面(y min)設(shè)計廣告(gunggo)頁面即客戶驗證通過后向客戶投放廣告的頁面，由建行制定廣告版本布局、顯示內(nèi)容和需求，運營商為市面主流PC、智能終端（操作系統(tǒng)需支持ios、Android、Windows等）提供各種顯示尺寸的、多終端適配功能且相同風(fēng)格的廣告頁面。歡迎主頁頁面設(shè)計信息推送頁面即客戶驗證通過后向客戶投放“強制主頁”頁面，由建行制定信息推送頁面布局、顯示內(nèi)容和需求，運營

20、商為PC、智能終端（操作系統(tǒng)需支持ios、Android、Windows等）提供各種顯示尺寸的、多終端適配功能且相同風(fēng)格的信息推送頁面。頁面布局更新指導(dǎo)頁面布局版面設(shè)計及更新由總行電子銀行部統(tǒng)一歸口管理維護。運營商提供我行WEB界面，便于我行對頁面布局的內(nèi)容進行更新。運營商所提供的WEB界面要求輸入用戶名或手機號、密碼、短信驗證碼。用戶名單、用戶手機由我行指定。運營商按照我行要求進行登陸頁面布局更新，常規(guī)變更在5工作日內(nèi)完成。運營商負責(zé)對頁面進行惡意篡改保護。廣告更新指導(dǎo)廣告內(nèi)容由總行電子銀行部統(tǒng)一歸口管理維護。運營商提供我行WEB界面，便于我行對廣告內(nèi)容進行更新。運營商所提供的WEB界面要求

21、輸入用戶名或手機號、密碼、短信驗證碼。用戶名單、用戶手機由我行指定。運營商提供靈活的選擇界面和效果預(yù)覽界面，且更新在30分鐘內(nèi)生效。運營商負責(zé)對頁面進行惡意篡改保護。頁面(y min)管理模式運營商應(yīng)為省分行提供統(tǒng)一的全省集中的系統(tǒng)管理界面(jimin)，便于我行對相關(guān)界面內(nèi)容(nirng)進行更新及管理。7.2電子銀行服務(wù)區(qū)SSID業(yè)務(wù)要素設(shè)計7.2.1接入流程圖表 SEQ 圖表 * ARABIC 71、電子銀行服務(wù)區(qū)終端選擇專用SSID；2、運營商設(shè)備（企業(yè)網(wǎng)關(guān)）檢測到我行電子銀行服務(wù)區(qū)終端接入無線網(wǎng)絡(luò)發(fā)起的請求，自動給該終端分配IP地址；3、網(wǎng)銀自助終端獲取IP地址，輸入任意URL地址上網(wǎng)；4、運營商設(shè)備（企業(yè)網(wǎng)關(guān)）將網(wǎng)銀自助終端請求的URL重定向至登陸頁面（接入認證Portal頁面）；5、登陸頁面提示輸入用戶名及密碼。網(wǎng)點大堂經(jīng)理輸入特定賬號及賬戶密碼（固定密碼或短信驗證碼）；6、登陸(dng l)頁面（接入認證Portal頁面）將手機號碼及驗證碼發(fā)送給運營商的短信平臺（固定(gdng)密碼