公共场所无线上网安全管控系统方案一(无线管控)

备注：此方案已经删除具体的公司信息、项目信息等一切有具体指向的信息。使用者无需修改直接拿去使用

1、概述

 1.1项目背景

随着移动通讯技术的发展，无线局域网（WIFI）遍布大街小巷，但是安全问题也变成前所未有的突出问题；人员通过商家提供的免费WIFI访问互联网，如果向互联网发布一些过激言论、反动信息等，不仅会对商家形象产生负面影响 ，甚至如果触犯了国家的法律招致有关部门调查，还会牵连面临法律风险，因此必须对用的的上网行为进行管理并审计风险行为，以便有据可查。

近年来随着智能终端设备的普及，使得具有唯一性的ＭＡＣ地址作为路人的身份识别码成为可能。通过构建信息采集热点，形成一个基于ＭＡＣ信息的人员定位网络，可广泛用于刑侦、网格化管理、集体事件人员批量锁定等领域。从而打牢互联息安全管控工作基础，防范和减少各类有害信息传播，遏制网络违法犯罪案件发生，构建和谐的互联网环境。

1.2 WIFI探针原理

WIFI 是基于IEEE802.11a/b/g/n 协议，在标准协议中，定义了AP（无线接入点）和STA（站或客户端）的两种工作模式；协议中规定了BEACON、ACK、DATA、PROBE 等多种无线数据帧类型，在站连接到无线接入点时进行交互的就是数据桢和应答帧、同时AP 周期性发送BEACON。在站点没有连接到无线接入点上，手机客户端等站点也会发送PROBE 帧进行探测询问哪个AP 是可以接入的。WIFI 探针就是基于各种无线数据帧来抓获手机等WIFI 客户端的MAC 地址信息。

1.3 系统设计目标

随着移动互联网的发展，人们已经形成了随时随地上网的习惯，或接入运营商建设的无线热点，或接入某些场所自建的无线热点却无法形成长期有效监管。

为了解决监管部门的当前实际问题， 结合无线WIFI自身技术的优势和特点，提出了建设适合特征数据采集、特定身份预警监测的综合应用业务需求。

建设目标主要有：

●场所管理。系统可以对接入上来的场所端设备进行集中管理，了解场所端设备的工作状况，场所无线设备使用状态。

●权限管理。系统可以按区域和功能进行权限划分，让负责区域的警官可以自己管理所辖区域的场所，进行数据查询、布控和策略下发。

●数据采集。通过利用前端移动数据采集技术手段，抓取已经连接热点的移动终端的更多设备特征信息，如：IMEI、IMSI、操作系统版本、设备型号等。在无感知的情况下，获取当前连接热点的设备使用的虚拟身份信息, 如：QQ号码，微信ID，微博帐号，手机号码等。

●加强数据格式标准化、接口标准化。上网管控平台提供的标准接口可以让各个不同厂商方便接入，通过接口精细化真实身份相关的数据，并且接口方便扩充，使得未来数据整合和扩展容易实现。

●加强数据的安全性。上网采集管控平台要实现各种涉密数据在传输、存储、展现和查询各个环节的安全性，以保证涉密数据不被泄露。

●数据分析处理。建立数据模型如场所定位、区域分类、热点管理、人口管理、轨迹回放管理等，有助于根据实际应用的需要进行查询，提高监测、预警、关联、分析办案效率。

●集中布控告警。可以在中心端进行身份、特征、行为、关键词布控，实时对汇总数据进行比对，发现满足条件的数据进行即时报警通知有关人员。

1.4 项目实施优势

(1)项目实施经验

我期致力于专息化建设，熟悉网络架构，同时在终端特征采集建设领域，拥有丰富的系统研发、实施经验。

(2)本土化支持

依托于我司在全国各地的分支机构，可快速响应各种需求，提供本土化技术支撑。同时软件工程师可驻点开发和调试部署。

（3）技术优势

我司在无线传输领域，团队建制完整，所有产品自主研制，出货量大，具有极高的性价比，整体技术处于国内领先水平。

(4)优异的MAC抓取能力

产品通过了检测认证，MAC抓取整体性能≥95%。

(5)虚拟信息的完善

平台根据客户需求，在迭代开发中不断完善优化。除了采集到常见的虚拟信息外，系统支持获取MAC移动终端的经纬度信息，并可计算出该MAC设备与机具之间的实际距离，从而达到快速定位可疑人员的目的。

2、系统总体设计

2.1平台设计原则

2.1.1 技术和管理相结合的原则 

坚持技术和管理相结合，不仅设计完善的安全技术措施，同时也应配套相应的管理制度，并且安全技术措施要方便实施，使WIFI平台置于统一的管理和控制之下。 

2.1.2 标准化、组件化和成熟性原则

采用成熟、通用的标准规范和协议进行系统规划建设。

软件、硬件系统功能模块化，便于系统灵活配置与部署，方便维护和后续扩展。

系统应用软件采用已有的成熟技术成果进行开发构建，加快实施进度；通过相应协议和规范接口访问其他原有系统获取业务实现所需的基础数据，降低数据风险。

硬件组件采用标准组件、标准接口，方便备品备件更换维护。

2.1.3 易用性与开放性原则

采用傻瓜型操作界面，提供明确而友好的错误提示；采用良好的人性化设计，容易输入出错的地方尽可能采用选择菜单和提示；采用规范的行业术语。

在不同层面实现对外应用接口，提供第三方业务应用系统的调用。

2.1.4 可靠性原则 

WIFI平台设计应考虑一定的可靠性设计，稳定可靠是应用系统正常运行的关键保证，在网络设计中选用高可靠性网络产品，合理设计网络架构，制订可靠的网络备份策略，保证网络具有故障自愈的能力，最大限度地支持各业务系统的正常运行。尽量满足7×24×365小时连续运行的要求。在故障发生时，网络设备可以快速自动地切换到备份设备上。

整个系统平台在设计之初就充分考虑高并发和高吞吐量的处理性能要求，采用先进的技术和设计理念指导整个开发过程，确保系统后期正确稳定的运行。

2.1.5 安全性原则

具有有效可信的安全保密处理机制，防止非法入侵和数据截取，并确保数据在访问和交换中的安全和保密性。

2.2 平台设计目标

根据业务系统应用需求，利用MAC信息采集设备，构建MAC信息采集网络和后端数据处理平台。

2.2.1设备接入实现自主动态调节

实现通信服务器分布式部署，各通信服务器之间，根据自身的运行压力，进行设备接入数量的自动调节。实现大数量的设备接入的管理。随着设备接入量增加，当服务器处理能力无法满足时，可以简单的通过新增通信服务器即可解决。

2.2.2各业务单元采用模组化设计开发

对相对的业务处理单元，设计开发成一个单独功能模块组件，实现各业务单元的松耦合，方便后期扩展和维护。

2.2.3实现多级平台架构

采用多级平台级联的架构进行设计，各个子平台具有独自完备的运行处理单元，通过级联的方式实现数据共享。

2.3 系统架构示意

对于子平台采取四层架构设计，分别为：前端数据采集设备层、设备接入和数据存储处理层、业务功能单元处理层和应用业务层。

1）前端数据采集设备层

由Mac信息采集设备组成，主要负责前端数据的采集和上报。 

2）设备接入和数据存储处理层

负责采集设备的接入和数据的前期处理，同时负责对设备控制指令的发送和回馈处理。所有被采集的数据会第一时间上报到接入服务器，然后由接入服务器记录到数据库中。

3）业务功能单元处理层

根据各个业务功能的需求，组建对应的功能处理单元，实现后台数据整理、过滤、分析过程，然后再将处理结果反馈到应用业务层。这样可以将复杂耗时的分析进行离线预处理，提供应用业务层的响应速度和性能。对相对的业务功能单元进行单独设计和开发，便于后期的维护和扩展。

4）应用业务层

提供最终业务功能的访问界面，用户通过该层对系统实现操作。

2.4 系统整体部署示意

无线上网审计设备的数据通过互联网传送到网安的认证通信服务器，再通过光闸进到网安专网的数据中心服务器。

终端特征采集设备采集到的数据一方面可以通过视频网传送到认证通信服务器，另一方面可以通过3G/4G通道经互联网传送到认证通信服务器，再经光闸进到网安专网的数据中心服务器。

负责认证、通信功能的服务器放在网安，负责数据存储、查询功能的服务器放在网安内网，和内网之间通过光闸隔离，保证内网数据安全。

3、平台功能

3.1 系统功能

3.1.1 系统管理

管理人员或授权访问人员，对系统基础资料数据进行维护管理。

对系统操作行为进行记录，形成日志信息。

配置地图等基础信息。

3.1.2 场所管理

建立场所电子档案，形成场所基础数据库，电子档案包括场所位置、场所联系人、联系方式、地址、经纬度、场所经营性质等。

3.1.3 采集设备管理

提供对系统设备的状态、安装位置等信息进行管理，包括设备编号、MAC、IP地址、设备状态、城市、所属地区、场所、创建日期、最近联系时间、安装位置等基础信息管理。 

中心可对前端设备进行统一管理，管理内容包括设备版本升级、设备状态管理，设备版本升级主要以远程升级的方式进行，减少前端维护工作，设备状态管理主要包括实时显示当前设备状态等。

3.1.4 安全性管理

1.USBKey登录方式

考虑系统平台使用的特殊性，整个平台提供了严密的安全管理机制，确保信息安全、系统安全、数据库安全和设备安全。系统除支持常规的密码认证登陆方式外，还支持安全级别更高的USBKey登录方式。支持SSL安全访问方式，所有访问信息都进行动态加密，确保信息不被窃取泄露。

2.系统本身的安全

所有应用均运行在Linux操作系统上，我们通过对Linux内核的裁剪、关闭不用的端口、停止不用的服务、对系统进行安全加固等手段确保操作系统本身是安全的。

系统内置有防火墙，可阻挡对本系统的非许可访问和攻击。

3. 数据存储的安全

首先操作系统本身就有密码保护，所以一般只能通过系统提供的界面查看里面的信息，而不能直接查看后台的数据。

通常系统数据有两种存储方式，一为通过数据库保存，使用者只有知道数据库用户密码才能访问数据库。另一种为通过文件保存。不管何种方式，对敏感信息我们均先加密再保存，以确保系统数据的安全。

由于系统是架构在本公司的中间件PAS平台上，所有对主机上的数据库或文件的访问均通过PAS，从而避免了外部应用直接访问内部数据，这从另一方面保障了内部数据的安全。

4. 信息传送的安全

系统在网络上传送的所有信息，都使用先进、高效的加密算法进行加密。密钥为动态生成，并自动更换，所以即便信息被第三方截获，也不能了解信息的具体内容。

3.2 业务功能

3.2.1 数据统计分析

根据前端系统实施采集的上传数据，将终端根据采集数据的实时性分为在线、离线状态，从而有效支持实施人流分析、人力热图，区域人流监控等实时监控需求。

采用最新的报表分析引擎，提供对海量采集信息的分析处理，并提供多样化的统计分析报表展现，实时查看系统运行状态，有价值的数据分析结果。

3.2.2 海量数据度查询

查询入库的终端采集信息，包括终端MAC、采集时间、场强、场所名称、场所编号、采集设备编号、采集经纬度、接入热点SSID、接入热点MAC、关联身份信息基础信息。

可通过时间、空间、终端类型等多纬度查询采集到的信息，同时可以表格、地图等多种方式展示。

3.2.3 数据碰撞

采集设备本身可以通过空口抓包的方式采集到一些终端的上网的虚拟身份信息，通过查询手机号码/MAC地址，可以将指定用户的轨迹及虚拟身份信息展现出来；同时平台可以与审计系统/认证系统结合，经数据碰撞后，将审计系统/认证系统中的如上网记录等信息展现出来。

3.2.4 摄像头联动

当平台建设在视频专网上，平台可以和部分品牌的摄像头进行联动，可以即时调取摄像头的影像信息，同时可以进行截图、录像等操作。

3.2.5 热点备案

可以通过特征采集设备对范围内的热点热备进行采集，在后台显示热点的SSID、MAC、场所编码、采集设备编码、采集时间和热点场所等，入库相关的热点信息，并提供多种方式进行查询。

3.2.6 自动创建网络围栏

前端的采集设备支持无线扫描功能，包括对Wi-Fi热点、无线AP、无线MAC等无线设备的扫描。具体功能如下：

1)支持扫描到开启Wi-Fi功能的终端设备，能够区分该设备是否已连接无线路由的终端MAC；

2)支持扫描并获取无线终端的MAC地址，并可自动收集非接入采集设备的无线设备MAC地址信息；

3)支持区分无线终端MAC和无线AP的MAC，并能将所扫描的无线终端MAC与其对应的无线AP进行关联；

4)支持扫描在探针无线覆盖范围内首次出现的无线终端的时间，并定时探测其是否还在此范围内，并在无线终端离开此范围内时，主动记录“下线”时间。此方式有利于在获取无线终端与虚拟人口库相关信息关联后了解相关人员的移动轨迹。

3.2.7 人流分析及预警

根据实时数据，分析场所的当前的人流量以及场所之间的人流趋势。

在地图上显示所有场所的基础采集信息，另一方面，分析相邻场所之间的数据变化规律，从而分析人流流向。

通过添加任务报警的方式设置场所范围、时间范围、人员数量一旦超过了设置的人员数量之后，系统便每隔一段时间（可手动设置）通过系统页面或者手机短信提醒系统管理人员。

3.2.8 GIS地图展示与轨迹分析

对平台当前接入的各类前端设备、场所的GPS坐标，通过地图系统直观进行上述各类前端设备和场所位置的描述和刻画，方便管理者直观了解当前接入平台的场所、设备的在线情况和分布位置。

根据指定MAC、指定移动采集设备进行轨迹分析，精准掌握终端的移动范围，活动密集场所，经常出现时段，并且配合地图方式直观，清晰，方便查看活动轨迹。虚拟身份轨迹记录了场所编码、设备编码、虚拟身份类型、身份特征码、终端MAC信息；终端特征轨迹记录采集到的MAC地址、手机号码、终端品牌、采集时间、场所编码、设备编码、经纬度等必要信息。虚拟身份信息与终端特征轨迹等可以通过GIS功能显示在地图上。

3.2.9 活动规律分析

针对指定场所频繁出现的终端、指定场所的人流密集时段、指定终端的频繁出现的场所、时段以及场所类型等高频次的行为进行分析，并生成图表。从而确定上网人员的一个大致的活动范围、活动习惯以及预测下一次的活动地点。

频繁出现终端/频繁出现时段/频繁出现场所/人流密集时段/场所经营性质。

3.2.10 伴随分析

根据活动范围（地域）、时间范围、可疑人员（可选填）、判断阀值等基本预设条件，在海量数据找出符合预设规则的人群，从而缩小排查人群范围。

建好任务后，就可以查看伴随该MAC的其他终端MAC信息，并可根据伴随次数以高到低的排序。

点击某个伴随MAC，出现该伴随MAC与主MAC的伴随场所分布。

点击某个场所的，可以查看具体的伴随时间。

3.2.11抽样分析

根据预设的MAC组（一些终端信息的集合），在不预设分析条件的情况下，分析MAC终端之间的内在关联以及异常行为，如轨迹碰撞、特定时间的轨迹重合、特殊的轨迹行为（如昼伏夜出、特殊场所频繁出现等），并提交分析报告。

3.2.12 布控告警

实现MAC，真实身份，虚拟身份信息的精准打击，对可疑人员可以进行布控操作，当系统监测到被布控的人员时，进行主动告警提示。也可以对其活动范围建立电子围栏，或建立警戒区，当被布控人员活动超出电子围栏或进入警戒区时，进行自动告警提示。即可实时报警，并支持短信，邮件，微信等多方面的接警方式设置。

3.2.13 认证平台

支持与第三方审计系统做对接，提供实名认证的功能，认证成功以后将上网用户认证数据实时上传到平台，数据包括场所代码、上网终端MAC地址、认证类型对应的身份数据和用户位置信息等。比如身份数据是短信认证对应的手机号，QQ认证对应的QQ Open ID， 微信认证对应的微信Open ID等。位置信息是可以是终端用户所连接AP的MAC地址或坐标信息。

认证平台的主要功能特点如下：

1)支持对接各主流厂家的无线控制器。

2)高性能，高可靠，高冗余度、高安全性。

3)兼容支持主流厂家的Radius认证参数配置，方便选择。

4)支持多种认证方式：短信认证、微信认证等。

5)支持再次登录免验证或无感知验证登录。

6)支持强制下线，通过下发脚本，适应各种设备的下线功能。

7)提供系统日志、错误日志、强大报表统计功能，维持在线表，并提供查询接口。

8)白名单、黑名单管理，可以设置有效期限。

9)可绑定，对帐号和终端进行一对多绑定。

3.2.14统计分析

通过采集的各类数据来分析用户的行为和无线使用情况，以帮助管理部门更好的掌握用户的习惯和探测管理盲点。可以形成周报、月报等相关数据的报表更好的呈现。

4．硬件部署

 4.1 设备选型

室外设备建设WIFI围栏系统，设备采用先进而成熟的数据采集分析技术。其室外设备可以工作在LOS（视距）环境下提供更大的覆盖范围。

室内设备在正常数据采集情况下还能够提供高质量的WiFi服务，这不仅能够节省设备的投资费用，其所带来的管理上的便利性是具有深远意义的。

 4.2 布控区域

系统前期重点部署在主干道、汽车站、火车站、码头、高速路卡口、百货商场、公交车站、汽车站等人流密集的场所提供海量数据采集来源，并形成强大的WIFI围栏网络。

重点管控部位是指门针对重点区域实行重点严管的区域，按照管控场所的性质可分为室内和室外。

◆室内主要以网吧、宾馆旅业、大型商超等为代表的人流密集的场所；

◆室外主要以主次干道、十字路口、步行街、巷口、商业广场等为代表的人流密集场所。

4.3 设备安装

采集器读取MAC信息的位置，是本系统的信息基础。所以采集器的位置安装，对后期的数据分析非常重要。

目前各个地区的视频监控网络已经十分健全，为了可以获取更有效的证据，我们建议将采集器安装在视频监控的附近，不仅可以借助视频监控探头的供电、网络等完成点位安装，并且还能够在系统分析软件中方便快捷的查看相关视频，根据采集器产生的MAC信息快速定位历史录像。

4.4 道路

主干道

选用定向天线，采集器尽量选择安装在道路的中间地段，提高抓取率，从而使后期的轨迹计算更加清晰，提高轨迹识别的准确率，采集器安装的位置不要有遮挡物。

次干道或辅道

次干道或辅道车道较窄，可在车道一边进行部署，采用定向天线，进行人、车全面布控。

图 现场安装部署

4.5 广场等开阔室外地带

广场、商业中心、十字路口、公交车站点、火车站、步行街等地带，根据实际要求覆盖范围选用相应的全向天线设备。

4.6 室内公共场所

针对宾馆、网吧等固定场所，部署的设备位置建议思路为：

1、在人员集中区域或者必经区域（如宾馆前台）；

2、在主要出入位置和必经区域（如商场前后门）。