浅谈公共Wi-Fi 的安全审计解决方案

鲁晓霞，彭纪源，杨晓鸣

（湖南省邮电规划设计院有限公司，长沙 410026）

1 研究背景

中国的互联网和信息网络在最近的十余年获得了飞速的发展，无线网络也随着“无线城市”的到来，而普及到国内各个家庭和公共场所，人们已经开始享受无线（Wi-Fi）网络给工作及生活带来的便捷。但这种便捷同样也给不法份子带来可乘之机，越来越多的网络违法活动开始通过公众场所的无线网络来进行。尤其是像酒店、咖啡厅、餐馆、商场等提供无线网络服务的公众场所，更是违法犯罪活动的高发地，需要对网络行为进行有效的监控，从而有效的打击网络违法活动。

根据《中华人民共和国计算机信息网络国际联网管理暂行规定》、《计算机信息网络国际联网安全保护管理办法》（公安部令第33号）、《互联网安全保护技术措施规定》（公安部令第82号）、《中华人民共和国刑法修正案（九）》、《中华人民共和国反恐怖主义法》、《中华人民共和国网络安全法》等相关法律规定，无线Wi-Fi 上网服务场所需落实互联网安全保护技术防范措施。

因此，本文就如何实现对公共Wi-Fi 的安全审计展开讨论。

2 公共Wi-Fi 的主要问题

遍布公共场所的无线“热点”，将人们的生活和工作带入一个全新的时代。但无线网络的开放性也给管理带来极大的困难，对公共Wi-Fi 提出了新的机遇和挑战。具体表现在：

（1）安全问题。宾馆酒店等公共娱乐场所的网络，方便的不仅仅是正常信息的获取和交流。恶意代码，比如病毒、蠕虫、间谍软件等等，也在搭乘着便车，籍由网页、Email、聊天工具、下载工具等方式，侵入到网络的各个角落，而现有的安全手段面对新形势下出现的安全问题捉襟见肘、收效甚微。

（2）资源问题。据中国社会科学研究院最新的统计调查表明，70%的互联网带宽资源被音乐、电影下载占用着，宾馆酒店等公共娱乐场所也是如此。若对此不加管理，将严重消耗带宽资源，导致正常业务得不到应有的资源保障。因此，需要一种有效的资源管理控制手段，确保重要业务的正常运行，避免带宽等重要资源的浪费。

（3）内容问题。用户在获取有用信息的同时，也被各种不良内容侵蚀着。同时，网络可能会把用户一些保密信息泄漏出去。任何用户都担心自己的机密信息泄露出去，而公共Wi-Fi 提供了方便的信息交流和传递环境。如何确保用户利用网络获取有用信息的同时，免受不良内容的干扰，同时安全保密信息，是公共Wi-Fi 面临的一个难题。

3 解决方案

要解决公共场的Wi-Fi 问题，可以通过建设安全审计平台实现对用户上网行为实施记录和审计，从而获取用户身份和网上活动信息，进行带宽管理、访问控制、流量统计、内容审计等，为公共场所提供一定的上网管理手段，方便分配和管理网络资源，满足相关主管部门对安全管控的要求。

3.1 总体思路

安全审计平台的总体思路是通过Wi-Fi 认证平台获取时间、账号、用户MAC、用户IP、所在商家、所在热点、终端类型等内容，通过安全审计平台获取用户MAC、用户IP 及上网行为，然后将以上两个信息以MAC、IP 等信息为关联，实现上网行为的可追溯。用户终端设备溯源流程示意图1所示：

图1 用户终端设备溯源流程

通联日志是数据采集点上报至审计平台的数据，内容如下：

手机端IP/MAC/端口服务端：IP/端口

样例如图2所示：

图2 通联日志样例

从上述流程及样例可以得知IP 溯源可以通过服务IP 和端口及时间情况来回溯出具体的终端用户情况。

3.2 安全审计平台组网架构

安全审计平台网络架构如图3所示：

安全审计中心对场所、设备等基础信息的管理和新场所、设备的接入进行审核，提供对于管理对象的运营情况、服务状态的监控和远程维护功能，接收场所和设备上报的数据，并将接收到的数据进行解析和处理，按照公安业务系统的要求，对数据进行转化，实现对接。从数据处理流程由下而上分为：前端设备数据接收、数据处理和数据对接、管理界面。

图3 安全审计平台网络架构

（1）前端设备数据接入。前端设备数据的接入分为设备基础信息和公共上网服务场所审计数据，将数据加密后，上报到安全审计中心。通过互联网与安全审计中心进行交互和业务数据接收，支持分布式，可以通过增加服务器来对处理性能进行扩展。

（2）数据处理和数据对接。数据处理和数据对接实现与前端设备的交互，并生成公安要求的数据，主要由前端管理服务器、数据解析存储服务器、数据对接服务器组成。前端管理服务器负责监控服务场所和前端服务状态，实现设备的远程维护和新设备的接入；数据解析存储服务器负责接收服务场所和前端设备采集到的数据，对数据做梳理和统计，监控场所和设备的数据上报情况，对上报的镜像数据进行协议还原、解析，并将数据输出到指定位置；数据对接服务器负责按照公安业务要求将所需数据报送给公安部门。

（3）管理界面。管理界面的功能，主要包括：基础信息管理、系统管理、前端设备管理和数据统计等功能。

3.3 方案介绍

目前公共场所提供的Wi-Fi 大致分为两种情形组网，一种是通过AC+瘦AP 的方式，一种是通过PON 上行或LAN 上行的三合一终端（宽带、IPTV、Wi-Fi 三者合一）方式。根据Wi-Fi组网情况不同安全审计方案可分为分布式审计和集中式审计两种方案，无论哪种方案都需要建设安全审计平台，不同点在于安全审计网关的放置的位置。

3.3.1 集中式审计方案

此种方案安全审计网关放置在局端机房，对BRAS、AC、CR 上联口光口镜像，一般安全审计网关的带宽至少在1Gb/s，也有2Gb/s、4Gb/s、8Gb/s、20Gb/s 等各种型号，价位相对较高。采用此种方案需要满足如下要求：

（1）流量必须汇聚：要进行安全审计的公共场所的所有Wi-Fi 的上网流量必须汇聚，如AC+瘦AP 组网时，采用“集中转发”而非“本地转发”，用户上网数据流经过AC。

（2）安全审计网关旁挂在流量汇聚点：如旁挂在AC 上联口，做光口镜像。

（3）IP 地址可区分：应保证安全审计网关采集到的IP 地址是惟一、可识别的，如采用AC+瘦AP 组网的形式，用户的IP地址应由AC 统一分配，以满足要求。

（4）业务可区分：流量汇聚点侧有各种业务，为减少安全审计网关的负荷，最好能够直接把Wi-Fi 业务区分出来；如在AC侧流量全部为Wi-Fi 业务，不需再区分。

3.3.2 分布式审计方案

分布式安全审计：安全审计网关放置在热点，热点出口路由器/交换机光口镜像；或采用软件探针方式装在酒店Wi-Fi 的三合一终端里。这种分布式的安全审计网关设备价格相对较低。建议单AP 的小微场景可以采用最便宜的安全审计网关，其他的场景视AP 数、带宽流量要求而定。采用此种方式安全审计网关一般是软件形式，采用嵌入式插件嵌入热点设备，因此，对热点设备有一定的要求。

3.4 方案比选

下面将从实现复杂度、设备类型、经济性、适用场景等几个方面对集中式审计方案和分布式审计方案进行比较，如表1所示：

表1 两种审计方案的比较

综上所述，以上两种方案各有优势，在实际应用中应根据现网情况及建设方要求进行详细分析比较，获取优势方案。

4 结束语

遍布公共场所的无线“热点”，将人们的生活和工作带入一个全新的时代。但无线网络的开放性也给管理带来极大的困难。本文论述了安全审计平台实现方案，并对集中式方案和分布式方案进行对比分析。后续经营场所还可以通过该平台开展大数据营销和分析，发现经营问题，提高收益。