鐘釩, 周激流, 郎方年, 黃梅

(1 中國移動通信集團四川有限公司，成都 610041；2 成都信息工程學院，成都 610106；3 成都大學，成都 610106；4 成都市四五六信箱，成都 610092)

金融集團WLAN安全平臺設(shè)計與實現(xiàn)

鐘釩1, 周激流2, 郎方年3, 黃梅4

(1 中國移動通信集團四川有限公司，成都 610041；2 成都信息工程學院，成都 610106；3 成都大學，成都 610106；4 成都市四五六信箱，成都 610092)

金融集團客戶需根據(jù)公安部的要求，為現(xiàn)有網(wǎng)點WLAN設(shè)計并實施信息安全審計平臺。本文基于某省移動代建集團WLAN系統(tǒng)，通過嚴格管理用戶信息和設(shè)備安全、合理選擇部署模式，科學定義數(shù)據(jù)傳輸規(guī)范，設(shè)計并搭建金融行業(yè)集團WLAN安全平臺。測試結(jié)果顯示，該平臺不但滿足了公安部審計的管控需求，且運行效率和穩(wěn)定性過硬。

集團WLAN；認證；審計；溯源

1 引言

集團WLAN是運營商為集團客戶提供的專屬高速無線寬帶接入服務，通常由集團客戶發(fā)起定制化需求，向其用戶或員工提供免費的互聯(lián)網(wǎng)接入環(huán)境。隨著集團WLAN的快速普及，金融行業(yè)集團客戶為了方便客戶辦理金融業(yè)務、開展互聯(lián)網(wǎng)金融業(yè)務，以自建或運營商代建方式，在大量網(wǎng)點開通了對儲戶免費開放的集團WLAN，極大提高了用戶的體驗和業(yè)務辦理效率。然而，金融行業(yè)集團客戶的自建無線網(wǎng)絡大部分沒有落實公共上網(wǎng)場所互聯(lián)網(wǎng)安全保護技術(shù)措施[1]，由運營商代建的無線網(wǎng)絡雖然加入了登錄認證等環(huán)節(jié)，但搜集的用戶信息也非常有限[2]。網(wǎng)點一旦發(fā)生網(wǎng)絡違法犯罪，可能面臨記錄缺失、溯源不足、責任不明等問題。為確保網(wǎng)點無線網(wǎng)絡的安全穩(wěn)定，基于33號令和82號令，公安部于2015年協(xié)同銀監(jiān)局提出了銀行業(yè)加強對公共WLAN的認證、審計、安全的指導意見，明確要求由運營商代建WLAN的網(wǎng)點必須完成審計能力的改造，并在以后的所有WLAN代建項目中，提前規(guī)劃和設(shè)計審計能力。

2 金融行業(yè)集團WLAN安全平臺方案

根據(jù)公安部要求，金融機構(gòu)必須在網(wǎng)點部署公共無線網(wǎng)絡安全審計系統(tǒng)，并實時將審計數(shù)據(jù)同步至當?shù)鼐W(wǎng)監(jiān)平臺以供溯源。為確保平臺的高效建設(shè)、穩(wěn)定運行、簡易維護，如何科學規(guī)劃平臺架構(gòu)，如何合理選擇數(shù)據(jù)同步方式，如何嚴謹定義數(shù)據(jù)傳輸規(guī)范，顯得至關(guān)重要。本文基于某省移動代建某銀行網(wǎng)點集團WLAN項目，根據(jù)公安部、銀監(jiān)會對銀行網(wǎng)點WLAN審計的要求，設(shè)計并搭建金融行業(yè)集團WLAN安全平臺，一方面確保業(yè)務運行效率良好，另一方面實時將審計數(shù)據(jù)同步至當?shù)毓簿W(wǎng)監(jiān)平臺實現(xiàn)監(jiān)管機構(gòu)對用戶行為的溯源。

圖1 銀行網(wǎng)點集團WLAN系統(tǒng)業(yè)務邏輯組網(wǎng)

2.1 安全審計平臺架構(gòu)

某省移動代建的某銀行網(wǎng)點集團WLAN系統(tǒng)業(yè)務邏輯組網(wǎng)如圖1所示。

通過對用戶信息安全和設(shè)備管理安全進行保障，從而確保平臺整體安全型，其中用戶信息安全分為認證信息的安全（保證了非法用戶不能使用合法用戶的權(quán)利）和用戶數(shù)據(jù)信息的安全（保證了用戶敏感業(yè)務數(shù)據(jù)信息的安全），而設(shè)備管理安全則是通過提供立體式的整體安全設(shè)計，以WLAN系統(tǒng)的安全特性實現(xiàn)無線接入側(cè)和AP/AC設(shè)備的安全，以出口防火墻實現(xiàn)網(wǎng)絡層的安全防御，以IPS入侵防御系統(tǒng)實現(xiàn)應用層的安全等。具體措施如表1所示。

2.2 審計數(shù)據(jù)同步

審計數(shù)據(jù)的采集需要在數(shù)據(jù)流的匯聚點進行，可以在總出口進行，也可以在每個網(wǎng)點分別進行。終端用戶通過無線的集中轉(zhuǎn)發(fā)模式到達省移動3A服務器完成認證，認證過程來回數(shù)據(jù)路徑一致，相關(guān)的認證數(shù)據(jù)通過分光器完整發(fā)送到審計設(shè)備。

2.2.1 地市出口同步模式

針對地市各銀行集團WLAN數(shù)據(jù)通過無線集中轉(zhuǎn)發(fā)模式到達AC再由AC轉(zhuǎn)發(fā)至公網(wǎng)的場景，可在各地市的運營商中心機房部署一臺或多臺審計設(shè)備，通過在AC分光（具備條件的，采用端口鏡像），采集該地市各銀行的數(shù)據(jù)，進而統(tǒng)一將該地市各銀行的審計數(shù)據(jù)上傳給當?shù)氐木W(wǎng)監(jiān)平臺；沒有AC的，可在匯聚后的PTN和核心交換機之間進行分光，其次是在BAS和核心交換機之間分光。具體同步方案如圖2所示。

地市出口同步模式，數(shù)據(jù)可統(tǒng)一上傳到歸宿地網(wǎng)監(jiān)平臺；對現(xiàn)有網(wǎng)絡需做一定改造，但改動工作不大；可滿足銀行業(yè)務應用需求；項目實施周期短，實施費用較低。

2.2.2 網(wǎng)點同步模式

針對地市各銀行的網(wǎng)點不經(jīng)過數(shù)據(jù)匯聚點，而是直接將集團WLAN數(shù)據(jù)經(jīng)過PON網(wǎng)絡到達公網(wǎng)的場景，可在各網(wǎng)點部署一臺審計設(shè)備，分別將審計數(shù)據(jù)上傳給各地市的網(wǎng)監(jiān)平臺。具體同步方案如圖3所示。

網(wǎng)點同步模式，數(shù)據(jù)可分別上傳到歸宿地網(wǎng)監(jiān)平臺；對已有的組網(wǎng)條件要求低，適應性好；項目施工周期靈活，可根據(jù)網(wǎng)點Wi-Fi建設(shè)情況靈活建設(shè)；但施工網(wǎng)點多，實施成本高，實施工期長，項目維護工作量大。

表1 具體措施

因單獨為每家銀行集團客戶單獨搭建安全審計平臺投入過大，而共享安全審計平臺又涉及到各銀行實際網(wǎng)絡環(huán)境的不同、未來項目建設(shè)和網(wǎng)絡規(guī)劃的變遷等問題，上述單一同步方案無法完全滿足不同銀行的業(yè)務整改要求。為解決投入和需求的矛盾，本次改造將兩種方案結(jié)合，原則上以“地市出口同步模式”為主，若個別網(wǎng)點如果因網(wǎng)絡結(jié)構(gòu)等原因不宜該方案，則針對這些網(wǎng)點再單獨采用“網(wǎng)點同步模式”作為補充。

2.3 審計數(shù)據(jù)傳輸

因為規(guī)模龐大的審計數(shù)據(jù)需要實時向當?shù)鼐W(wǎng)監(jiān)平臺同步，審計數(shù)據(jù)存儲格式和傳輸方式的定義是否嚴謹將對信息同步的效率和可靠性產(chǎn)生重要影響。安全審計平臺采集的數(shù)據(jù)項必須嚴格按照系統(tǒng)統(tǒng)一規(guī)范執(zhí)行，且系統(tǒng)數(shù)據(jù)項由于應用要求需要調(diào)整，則各數(shù)據(jù)提供方必須配合調(diào)整。

2.3.1 數(shù)據(jù)標準

為提升傳輸效率，所有數(shù)據(jù)采用json格式存儲，采用FTP服務進行數(shù)據(jù)上傳，數(shù)據(jù)文件統(tǒng)一采用UTF-8編碼，數(shù)據(jù)文件記錄條數(shù)最大不超過10 000條記錄。對于數(shù)據(jù)項不允許為空的要求填默認值，允許為空的值空串，數(shù)據(jù)的屬性名統(tǒng)一采用大寫的形式。對于數(shù)據(jù)量較大、附件傳輸?shù)惹闆r，使用將數(shù)據(jù)分組壓縮為zip文件方式傳輸，傳輸方式參考服務中間件相關(guān)標準。

2.3.2 傳輸要求

根據(jù)公安部接口文檔要求，對數(shù)據(jù)類型名稱、數(shù)據(jù)采集系統(tǒng)類型、數(shù)據(jù)產(chǎn)生源標識、廠商組織機構(gòu)代碼、數(shù)據(jù)類型編碼進行統(tǒng)一定義。

圖2 地市出口同步方案

圖3 網(wǎng)點同步方案

數(shù)據(jù)上傳存儲目錄為：數(shù)據(jù)類型名稱/年月日/時/分。其中，為便于維護，分鐘目錄為5 min生成一個目錄。

數(shù)據(jù)文件名命名規(guī)范：時間和3位隨機數(shù)+數(shù)據(jù)采集系統(tǒng)類型+數(shù)據(jù)產(chǎn)生源標識+廠商組織機構(gòu)代碼+數(shù)據(jù)類型編碼.log；若需對大數(shù)據(jù)量文件進行壓縮傳輸，壓縮文件名命名規(guī)范：時間和3位隨機數(shù)+數(shù)據(jù)采集系統(tǒng)類型+數(shù)據(jù)產(chǎn)生源標識+廠商組織機構(gòu)代碼+數(shù)據(jù)類型編碼.zip，單個數(shù)據(jù)文件壓縮為一個zip文件；若需添加普通內(nèi)容附件，附件文件命名規(guī)范：場所編碼+文件生成時間戳+base64加密處理后附件名；數(shù)據(jù)文件傳輸完成文件命名規(guī)范：完成傳輸文件的文件名.ok。

多并發(fā)上傳數(shù)據(jù)時，每個城市FTP連接不得大于3個。一次FTP登錄過程可以上傳多個文件，如FTP客戶端空閑1min未有文件上傳，必須主動斷開連接。

圖4 平臺測試組網(wǎng)拓撲

3 測試結(jié)果

基于上述“地市出口同步模式”方案搭建金融行業(yè)集團WLAN安全平臺，并按圖4部署行為審計服務器。

通過查詢上下線及定位記錄，可查看到上網(wǎng)用戶的手機號、場所信息、認證狀態(tài)、IP、MAC、終端類型等。

通過查詢網(wǎng)頁訪問記錄，可查看到用戶上網(wǎng)的時間、手機號、IP、所在場所、網(wǎng)站分類、訪問的具體網(wǎng)址等，且利用網(wǎng)頁搜索關(guān)鍵字審計，可查詢到用戶搜索的具體內(nèi)容、搜索時間、搜索引擎網(wǎng)址、手機號、IP、場所等信息。

通過論壇發(fā)帖審計，可查詢到用戶發(fā)帖的時間、場所、手機號、發(fā)帖內(nèi)容、發(fā)帖網(wǎng)址等信息。

通過郵件收發(fā)審計報表，可查詢到用戶收發(fā)郵件的手機號、IP、場所、郵箱地址、主題、內(nèi)容等信息。

通過即時聊天上下線查詢，可查詢到用戶登錄、退出IM的記錄，也可查詢到手機號、QQ號、IP等的關(guān)聯(lián)信息。

4 總結(jié)與展望

本文基于公安部對銀行網(wǎng)點WLAN審計的要求，設(shè)計并搭建金融行業(yè)集團WLAN安全平臺，通過對用戶信息安全和設(shè)備管理安全進行保護確保平臺架構(gòu)安全性能；通過以“地市出口同步模式”為主，“網(wǎng)點同步模式”為輔，巧妙解決了審計數(shù)據(jù)同步方式與需求多樣性、投入產(chǎn)出比方面的矛盾；通過嚴謹定義安全審計平臺與網(wǎng)監(jiān)平臺之間的數(shù)據(jù)傳輸規(guī)范，保障數(shù)據(jù)傳輸?shù)臏蚀_性與實時性。

測試結(jié)果表明，該平臺不但可以滿足公安部對銀行網(wǎng)點上網(wǎng)行為審計的管控需求，解決記錄缺失、溯源不足、責任不明等歷史問題，且運行性能穩(wěn)定、實施模式合理，可在金融行業(yè)廣泛推廣。但隨著安全審計工作的開展，如何優(yōu)化業(yè)務數(shù)據(jù)與安全數(shù)據(jù)之間的平衡，讓系統(tǒng)在保障安全的前提下更好地發(fā)揮業(yè)務性能，仍有大量課題有待研究。

[1] 王亮. 無線城市建設(shè)中的WLAN規(guī)劃方法研究[J]. 移動通信, 2013,(02):10-13.

[2] 李紅雙. 集團客戶WLAN建設(shè)方案研究[J]. 電信技術(shù)，2015 (03):54-59.

[3] METZ C.AAA protocols:authentication authorization and accounting for the Internet[J]. Internet Computing of IEEE, 2003,(3):75-79.

[4] 于璐. Wi-Fi無線登錄安全性研究[J]. 軟件，2013(12):235-238.

[5] 殷宇晶，張璐，楊清. 政企客戶Wi-Fi網(wǎng)絡差異化部署方案[J].江西通信科技，2014(2):22-26.

[6] TJ Killian. Authorization, authentication and accounting protocols in multicast content distribution networks[P]. United States：8762707，06-24-2014.

[7] 胡華磊，劉云峰. 基于運營商專屬平臺的銀行營業(yè)網(wǎng)點Wi-Fi覆蓋實現(xiàn)方案[J]. 無線天地，2014(10):76.

[8] 熊清飛，李慧靈.金融行業(yè)無線局域網(wǎng)的安全與管理[J]. 中國金融電腦，2014(3):53-57.

[9] 常兆春. 移動金融發(fā)展趨勢及其思考[J]. 前沿，2015(12):83-87. [10] 吳仲. 企業(yè)Wi-Fi安全問題及相關(guān)建議[J]. 信息與電腦，2015 (13):157-158.

News

中國移動通信集團設(shè)計院有限公司浙江分公司全面落實蜂窩物聯(lián)網(wǎng)項目工作

中國移動浙江有限公司于2017年5月啟動了蜂窩物聯(lián)網(wǎng)工程，該項目是全國范圍內(nèi)第一個啟動的蜂窩物聯(lián)網(wǎng)建設(shè)項目，同時為后續(xù)FDD快速部署打下了堅實的基礎(chǔ)。項目采取了全網(wǎng)主設(shè)備替換的方案，建設(shè)規(guī)模巨大，工期緊，站點總數(shù)達到近8萬個，但整體投資只為正常項目的1/8。

中國移動通信集團設(shè)計院有限公司浙江分公司自2016年底，即從咨詢支撐服務和標準化設(shè)計兩個方面著手全程參與中國移動浙江有限公司蜂窩物聯(lián)網(wǎng)項目。

隨著全國蜂窩物聯(lián)網(wǎng)建設(shè)的全面啟動，中國移動通信集團設(shè)計院有限公司浙江分公司也結(jié)合浙江先期摸索的項目經(jīng)驗，提出了幾點建議供全國各個NB-IOT項目組參考，全面落實了蜂窩物聯(lián)網(wǎng)項目的工作。

(本刊訊)

Desing and implementation of group customer WLAN in financial industry

ZHONG Fan1, ZHOU Ji-liu2, LANG Fang-nian3, HUANG Mei4
(1 Group Customer Department, China Mobile, Chengdu 610041, China; 2 Chengdu University of Information Technology, Chengdu 610106, China; 3 Chengdu University, Chengdu 610106, China; 4 Chengdu No.456 Mailbox, Chengdu 610092, China)

According to Ministry of Public Security’s demand, information security audit system has to be implemented to WLAN in bank business halls. Based on a bank WLAN project, by protecting user information and equipment system, choosing the right implementation mode, and defining data transfer interface, a security platform of financial group WLAN has been proposed and implemented. With such platform, internet behavior tracking demand of Ministry of Public Security can be achieved. And its operation performance is efficient and stable.

group customer WLAN; authentication; audit; behavior tracking

TN929.5

A

1008-5599（2017）07-0049-05

2016-11-24