钟钒, 周激流, 郎方年, 黄梅

(1 中国移动通信集团四川有限公司，成都 610041；2 成都信息工程学院，成都 610106；3 成都大学，成都 610106；4 成都市四五六信箱，成都 610092)

金融集团WLAN安全平台设计与实现

钟钒1, 周激流2, 郎方年3, 黄梅4

(1 中国移动通信集团四川有限公司，成都 610041；2 成都信息工程学院，成都 610106；3 成都大学，成都 610106；4 成都市四五六信箱，成都 610092)

金融集团客户需根据公安部的要求，为现有网点WLAN设计并实施信息安全审计平台。本文基于某省移动代建集团WLAN系统，通过严格管理用户信息和设备安全、合理选择部署模式，科学定义数据传输规范，设计并搭建金融行业集团WLAN安全平台。测试结果显示，该平台不但满足了公安部审计的管控需求，且运行效率和稳定性过硬。

集团WLAN；认证；审计；溯源

1 引言

集团WLAN是运营商为集团客户提供的专属高速无线宽带接入服务，通常由集团客户发起定制化需求，向其用户或员工提供免费的互联网接入环境。随着集团WLAN的快速普及，金融行业集团客户为了方便客户办理金融业务、开展互联网金融业务，以自建或运营商代建方式，在大量网点开通了对储户免费开放的集团WLAN，极大提高了用户的体验和业务办理效率。然而，金融行业集团客户的自建无线网络大部分没有落实公共上网场所互联网安全保护技术措施[1]，由运营商代建的无线网络虽然加入了登录认证等环节，但搜集的用户信息也非常有限[2]。网点一旦发生网络违法犯罪，可能面临记录缺失、溯源不足、责任不明等问题。为确保网点无线网络的安全稳定，基于33号令和82号令，公安部于2015年协同银监局提出了银行业加强对公共WLAN的认证、审计、安全的指导意见，明确要求由运营商代建WLAN的网点必须完成审计能力的改造，并在以后的所有WLAN代建项目中，提前规划和设计审计能力。

2 金融行业集团WLAN安全平台方案

根据公安部要求，金融机构必须在网点部署公共无线网络安全审计系统，并实时将审计数据同步至当地网监平台以供溯源。为确保平台的高效建设、稳定运行、简易维护，如何科学规划平台架构，如何合理选择数据同步方式，如何严谨定义数据传输规范，显得至关重要。本文基于某省移动代建某银行网点集团WLAN项目，根据公安部、银监会对银行网点WLAN审计的要求，设计并搭建金融行业集团WLAN安全平台，一方面确保业务运行效率良好，另一方面实时将审计数据同步至当地公安网监平台实现监管机构对用户行为的溯源。

图1 银行网点集团WLAN系统业务逻辑组网

2.1 安全审计平台架构

某省移动代建的某银行网点集团WLAN系统业务逻辑组网如图1所示。

通过对用户信息安全和设备管理安全进行保障，从而确保平台整体安全型，其中用户信息安全分为认证信息的安全（保证了非法用户不能使用合法用户的权利）和用户数据信息的安全（保证了用户敏感业务数据信息的安全），而设备管理安全则是通过提供立体式的整体安全设计，以WLAN系统的安全特性实现无线接入侧和AP/AC设备的安全，以出口防火墙实现网络层的安全防御，以IPS入侵防御系统实现应用层的安全等。具体措施如表1所示。

2.2 审计数据同步

审计数据的采集需要在数据流的汇聚点进行，可以在总出口进行，也可以在每个网点分别进行。终端用户通过无线的集中转发模式到达省移动3A服务器完成认证，认证过程来回数据路径一致，相关的认证数据通过分光器完整发送到审计设备。

2.2.1 地市出口同步模式

针对地市各银行集团WLAN数据通过无线集中转发模式到达AC再由AC转发至公网的场景，可在各地市的运营商中心机房部署一台或多台审计设备，通过在AC分光（具备条件的，采用端口镜像），采集该地市各银行的数据，进而统一将该地市各银行的审计数据上传给当地的网监平台；没有AC的，可在汇聚后的PTN和核心交换机之间进行分光，其次是在BAS和核心交换机之间分光。具体同步方案如图2所示。

地市出口同步模式，数据可统一上传到归宿地网监平台；对现有网络需做一定改造，但改动工作不大；可满足银行业务应用需求；项目实施周期短，实施费用较低。

2.2.2 网点同步模式

针对地市各银行的网点不经过数据汇聚点，而是直接将集团WLAN数据经过PON网络到达公网的场景，可在各网点部署一台审计设备，分别将审计数据上传给各地市的网监平台。具体同步方案如图3所示。

网点同步模式，数据可分别上传到归宿地网监平台；对已有的组网条件要求低，适应性好；项目施工周期灵活，可根据网点Wi-Fi建设情况灵活建设；但施工网点多，实施成本高，实施工期长，项目维护工作量大。

表1 具体措施

因单独为每家银行集团客户单独搭建安全审计平台投入过大，而共享安全审计平台又涉及到各银行实际网络环境的不同、未来项目建设和网络规划的变迁等问题，上述单一同步方案无法完全满足不同银行的业务整改要求。为解决投入和需求的矛盾，本次改造将两种方案结合，原则上以“地市出口同步模式”为主，若个别网点如果因网络结构等原因不宜该方案，则针对这些网点再单独采用“网点同步模式”作为补充。

2.3 审计数据传输

因为规模庞大的审计数据需要实时向当地网监平台同步，审计数据存储格式和传输方式的定义是否严谨将对信息同步的效率和可靠性产生重要影响。安全审计平台采集的数据项必须严格按照系统统一规范执行，且系统数据项由于应用要求需要调整，则各数据提供方必须配合调整。

2.3.1 数据标准

为提升传输效率，所有数据采用json格式存储，采用FTP服务进行数据上传，数据文件统一采用UTF-8编码，数据文件记录条数最大不超过10 000条记录。对于数据项不允许为空的要求填默认值，允许为空的值空串，数据的属性名统一采用大写的形式。对于数据量较大、附件传输等情况，使用将数据分组压缩为zip文件方式传输，传输方式参考服务中间件相关标准。

2.3.2 传输要求

根据公安部接口文档要求，对数据类型名称、数据采集系统类型、数据产生源标识、厂商组织机构代码、数据类型编码进行统一定义。

图2 地市出口同步方案

图3 网点同步方案

数据上传存储目录为：数据类型名称/年月日/时/分。其中，为便于维护，分钟目录为5 min生成一个目录。

数据文件名命名规范：时间和3位随机数+数据采集系统类型+数据产生源标识+厂商组织机构代码+数据类型编码.log；若需对大数据量文件进行压缩传输，压缩文件名命名规范：时间和3位随机数+数据采集系统类型+数据产生源标识+厂商组织机构代码+数据类型编码.zip，单个数据文件压缩为一个zip文件；若需添加普通内容附件，附件文件命名规范：场所编码+文件生成时间戳+base64加密处理后附件名；数据文件传输完成文件命名规范：完成传输文件的文件名.ok。

多并发上传数据时，每个城市FTP连接不得大于3个。一次FTP登录过程可以上传多个文件，如FTP客户端空闲1min未有文件上传，必须主动断开连接。

图4 平台测试组网拓扑

3 测试结果

基于上述“地市出口同步模式”方案搭建金融行业集团WLAN安全平台，并按图4部署行为审计服务器。

通过查询上下线及定位记录，可查看到上网用户的手机号、场所信息、认证状态、IP、MAC、终端类型等。

通过查询网页访问记录，可查看到用户上网的时间、手机号、IP、所在场所、网站分类、访问的具体网址等，且利用网页搜索关键字审计，可查询到用户搜索的具体内容、搜索时间、搜索引擎网址、手机号、IP、场所等信息。

通过论坛发帖审计，可查询到用户发帖的时间、场所、手机号、发帖内容、发帖网址等信息。

通过邮件收发审计报表，可查询到用户收发邮件的手机号、IP、场所、邮箱地址、主题、内容等信息。

通过即时聊天上下线查询，可查询到用户登录、退出IM的记录，也可查询到手机号、QQ号、IP等的关联信息。

4 总结与展望

本文基于公安部对银行网点WLAN审计的要求，设计并搭建金融行业集团WLAN安全平台，通过对用户信息安全和设备管理安全进行保护确保平台架构安全性能；通过以“地市出口同步模式”为主，“网点同步模式”为辅，巧妙解决了审计数据同步方式与需求多样性、投入产出比方面的矛盾；通过严谨定义安全审计平台与网监平台之间的数据传输规范，保障数据传输的准确性与实时性。

测试结果表明，该平台不但可以满足公安部对银行网点上网行为审计的管控需求，解决记录缺失、溯源不足、责任不明等历史问题，且运行性能稳定、实施模式合理，可在金融行业广泛推广。但随着安全审计工作的开展，如何优化业务数据与安全数据之间的平衡，让系统在保障安全的前提下更好地发挥业务性能，仍有大量课题有待研究。

[1] 王亮. 无线城市建设中的WLAN规划方法研究[J]. 移动通信, 2013,(02):10-13.

[2] 李红双. 集团客户WLAN建设方案研究[J]. 电信技术，2015 (03):54-59.

[3] METZ C.AAA protocols:authentication authorization and accounting for the Internet[J]. Internet Computing of IEEE, 2003,(3):75-79.

[4] 于璐. Wi-Fi无线登录安全性研究[J]. 软件，2013(12):235-238.

[5] 殷宇晶，张璐，杨清. 政企客户Wi-Fi网络差异化部署方案[J].江西通信科技，2014(2):22-26.

[6] TJ Killian. Authorization, authentication and accounting protocols in multicast content distribution networks[P]. United States：8762707，06-24-2014.

[7] 胡华磊，刘云峰. 基于运营商专属平台的银行营业网点Wi-Fi覆盖实现方案[J]. 无线天地，2014(10):76.

[8] 熊清飞，李慧灵.金融行业无线局域网的安全与管理[J]. 中国金融电脑，2014(3):53-57.

[9] 常兆春. 移动金融发展趋势及其思考[J]. 前沿，2015(12):83-87. [10] 吴仲. 企业Wi-Fi安全问题及相关建议[J]. 信息与电脑，2015 (13):157-158.

News

中国移动通信集团设计院有限公司浙江分公司全面落实蜂窝物联网项目工作

中国移动浙江有限公司于2017年5月启动了蜂窝物联网工程，该项目是全国范围内第一个启动的蜂窝物联网建设项目，同时为后续FDD快速部署打下了坚实的基础。项目采取了全网主设备替换的方案，建设规模巨大，工期紧，站点总数达到近8万个，但整体投资只为正常项目的1/8。

中国移动通信集团设计院有限公司浙江分公司自2016年底，即从咨询支撑服务和标准化设计两个方面着手全程参与中国移动浙江有限公司蜂窝物联网项目。

随着全国蜂窝物联网建设的全面启动，中国移动通信集团设计院有限公司浙江分公司也结合浙江先期摸索的项目经验，提出了几点建议供全国各个NB-IOT项目组参考，全面落实了蜂窝物联网项目的工作。

(本刊讯)

Desing and implementation of group customer WLAN in financial industry

ZHONG Fan1, ZHOU Ji-liu2, LANG Fang-nian3, HUANG Mei4
(1 Group Customer Department, China Mobile, Chengdu 610041, China; 2 Chengdu University of Information Technology, Chengdu 610106, China; 3 Chengdu University, Chengdu 610106, China; 4 Chengdu No.456 Mailbox, Chengdu 610092, China)

According to Ministry of Public Security’s demand, information security audit system has to be implemented to WLAN in bank business halls. Based on a bank WLAN project, by protecting user information and equipment system, choosing the right implementation mode, and defining data transfer interface, a security platform of financial group WLAN has been proposed and implemented. With such platform, internet behavior tracking demand of Ministry of Public Security can be achieved. And its operation performance is efficient and stable.

group customer WLAN; authentication; audit; behavior tracking

TN929.5

A

1008-5599（2017）07-0049-05

2016-11-24