淺談公共Wi-Fi 的安全審計解決方案

魯曉霞，彭紀源，楊曉鳴

（湖南省郵電規劃設計院有限公司，長沙 410026）

1 研究背景

中國的互聯網和信息網絡在最近的十余年獲得了飛速的發展，無線網絡也隨著“無線城市”的到來，而普及到國內各個家庭和公共場所，人們已經開始享受無線（Wi-Fi）網絡給工作及生活帶來的便捷。但這種便捷同樣也給不法份子帶來可乘之機，越來越多的網絡違法活動開始通過公眾場所的無線網絡來進行。尤其是像酒店、咖啡廳、餐館、商場等提供無線網絡服務的公眾場所，更是違法犯罪活動的高發地，需要對網絡行為進行有效的監控，從而有效的打擊網絡違法活動。

根據《中華人民共和國計算機信息網絡國際聯網管理暫行規定》、《計算機信息網絡國際聯網安全保護管理辦法》（公安部令第33號）、《互聯網安全保護技術措施規定》（公安部令第82號）、《中華人民共和國刑法修正案（九）》、《中華人民共和國反恐怖主義法》、《中華人民共和國網絡安全法》等相關法律規定，無線Wi-Fi 上網服務場所需落實互聯網安全保護技術防范措施。

因此，本文就如何實現對公共Wi-Fi 的安全審計展開討論。

2 公共Wi-Fi 的主要問題

遍布公共場所的無線“熱點”，將人們的生活和工作帶入一個全新的時代。但無線網絡的開放性也給管理帶來極大的困難，對公共Wi-Fi 提出了新的機遇和挑戰。具體表現在：

（1）安全問題。賓館酒店等公共娛樂場所的網絡，方便的不僅僅是正常信息的獲取和交流。惡意代碼，比如病毒、蠕蟲、間諜軟件等等，也在搭乘著便車，籍由網頁、Email、聊天工具、下載工具等方式，侵入到網絡的各個角落，而現有的安全手段面對新形勢下出現的安全問題捉襟見肘、收效甚微。

（2）資源問題。據中國社會科學研究院最新的統計調查表明，70%的互聯網帶寬資源被音樂、電影下載占用著，賓館酒店等公共娛樂場所也是如此。若對此不加管理，將嚴重消耗帶寬資源，導致正常業務得不到應有的資源保障。因此，需要一種有效的資源管理控制手段，確保重要業務的正常運行，避免帶寬等重要資源的浪費。

（3）內容問題。用戶在獲取有用信息的同時，也被各種不良內容侵蝕著。同時，網絡可能會把用戶一些保密信息泄漏出去。任何用戶都擔心自己的機密信息泄露出去，而公共Wi-Fi 提供了方便的信息交流和傳遞環境。如何確保用戶利用網絡獲取有用信息的同時，免受不良內容的干擾，同時安全保密信息，是公共Wi-Fi 面臨的一個難題。

3 解決方案

要解決公共場的Wi-Fi 問題，可以通過建設安全審計平臺實現對用戶上網行為實施記錄和審計，從而獲取用戶身份和網上活動信息，進行帶寬管理、訪問控制、流量統計、內容審計等，為公共場所提供一定的上網管理手段，方便分配和管理網絡資源，滿足相關主管部門對安全管控的要求。

3.1 總體思路

安全審計平臺的總體思路是通過Wi-Fi 認證平臺獲取時間、賬號、用戶MAC、用戶IP、所在商家、所在熱點、終端類型等內容，通過安全審計平臺獲取用戶MAC、用戶IP 及上網行為，然后將以上兩個信息以MAC、IP 等信息為關聯，實現上網行為的可追溯。用戶終端設備溯源流程示意圖1所示：

圖1 用戶終端設備溯源流程

通聯日志是數據采集點上報至審計平臺的數據，內容如下：

手機端IP/MAC/端口服務端：IP/端口

樣例如圖2所示：

圖2 通聯日志樣例

從上述流程及樣例可以得知IP 溯源可以通過服務IP 和端口及時間情況來回溯出具體的終端用戶情況。

3.2 安全審計平臺組網架構

安全審計平臺網絡架構如圖3所示：

安全審計中心對場所、設備等基礎信息的管理和新場所、設備的接入進行審核，提供對于管理對象的運營情況、服務狀態的監控和遠程維護功能，接收場所和設備上報的數據，并將接收到的數據進行解析和處理，按照公安業務系統的要求，對數據進行轉化，實現對接。從數據處理流程由下而上分為：前端設備數據接收、數據處理和數據對接、管理界面。

圖3 安全審計平臺網絡架構

（1）前端設備數據接入。前端設備數據的接入分為設備基礎信息和公共上網服務場所審計數據，將數據加密后，上報到安全審計中心。通過互聯網與安全審計中心進行交互和業務數據接收，支持分布式，可以通過增加服務器來對處理性能進行擴展。

（2）數據處理和數據對接。數據處理和數據對接實現與前端設備的交互，并生成公安要求的數據，主要由前端管理服務器、數據解析存儲服務器、數據對接服務器組成。前端管理服務器負責監控服務場所和前端服務狀態，實現設備的遠程維護和新設備的接入；數據解析存儲服務器負責接收服務場所和前端設備采集到的數據，對數據做梳理和統計，監控場所和設備的數據上報情況，對上報的鏡像數據進行協議還原、解析，并將數據輸出到指定位置；數據對接服務器負責按照公安業務要求將所需數據報送給公安部門。

（3）管理界面。管理界面的功能，主要包括：基礎信息管理、系統管理、前端設備管理和數據統計等功能。

3.3 方案介紹

目前公共場所提供的Wi-Fi 大致分為兩種情形組網，一種是通過AC+瘦AP 的方式，一種是通過PON 上行或LAN 上行的三合一終端（寬帶、IPTV、Wi-Fi 三者合一）方式。根據Wi-Fi組網情況不同安全審計方案可分為分布式審計和集中式審計兩種方案，無論哪種方案都需要建設安全審計平臺，不同點在于安全審計網關的放置的位置。

3.3.1 集中式審計方案

此種方案安全審計網關放置在局端機房，對BRAS、AC、CR 上聯口光口鏡像，一般安全審計網關的帶寬至少在1Gb/s，也有2Gb/s、4Gb/s、8Gb/s、20Gb/s 等各種型號，價位相對較高。采用此種方案需要滿足如下要求：

（1）流量必須匯聚：要進行安全審計的公共場所的所有Wi-Fi 的上網流量必須匯聚，如AC+瘦AP 組網時，采用“集中轉發”而非“本地轉發”，用戶上網數據流經過AC。

（2）安全審計網關旁掛在流量匯聚點：如旁掛在AC 上聯口，做光口鏡像。

（3）IP 地址可區分：應保證安全審計網關采集到的IP 地址是惟一、可識別的，如采用AC+瘦AP 組網的形式，用戶的IP地址應由AC 統一分配，以滿足要求。

（4）業務可區分：流量匯聚點側有各種業務，為減少安全審計網關的負荷，最好能夠直接把Wi-Fi 業務區分出來；如在AC側流量全部為Wi-Fi 業務，不需再區分。

3.3.2 分布式審計方案

分布式安全審計：安全審計網關放置在熱點，熱點出口路由器/交換機光口鏡像；或采用軟件探針方式裝在酒店Wi-Fi 的三合一終端里。這種分布式的安全審計網關設備價格相對較低。建議單AP 的小微場景可以采用最便宜的安全審計網關，其他的場景視AP 數、帶寬流量要求而定。采用此種方式安全審計網關一般是軟件形式，采用嵌入式插件嵌入熱點設備，因此，對熱點設備有一定的要求。

3.4 方案比選

下面將從實現復雜度、設備類型、經濟性、適用場景等幾個方面對集中式審計方案和分布式審計方案進行比較，如表1所示：

表1 兩種審計方案的比較

綜上所述，以上兩種方案各有優勢，在實際應用中應根據現網情況及建設方要求進行詳細分析比較，獲取優勢方案。

4 結束語

遍布公共場所的無線“熱點”，將人們的生活和工作帶入一個全新的時代。但無線網絡的開放性也給管理帶來極大的困難。本文論述了安全審計平臺實現方案，并對集中式方案和分布式方案進行對比分析。后續經營場所還可以通過該平臺開展大數據營銷和分析，發現經營問題，提高收益。