安全无线城市解决方案
一. 需求分析
1. 建设需求与目标
需求 目标
2. 安全需求与目标
在无线城市的不同场景:政务服务、校园、医院、商区、街道、景区、车站等,存在不同的安全风险:中间人攻击、wifi钓鱼、非法连接、拒绝服务、暴力破解等,需要据此制定切实可行的安全策略,全面保护智慧城市WLAN网络基础稳定、持续、可靠的运行。
二. 解决方案
1. 合规性依据
A. 《等保2.0第三部分 移动互联扩展要求》
a、网络架构:
«无线接入设备应开启接入认证功能
b、入侵防范:
«应能够检测、记录非授权无线接入设备;
«应能够对非授权移动终端接入的行为进行检测、记录;
«应具备对针对无线接入设备的网络扫描、DoS攻击、密钥破解、中间人攻击和欺骗攻击等行为进行检测、记录;
«应能够检测到无线接入设备的SSID广播、WPS等高风险功能的开启状态
B. 公安部82号令
C. 工信部法规
«《公众无线局域网网络安全防护要求》YD/T 2696-2014
«《公众无线局域网网络安全防护检测要求》YD/T 2697-2014
D. 铁路总公司安全要求
«《铁路站(场)局域网无线安全接入暂行技术要求》TJ/XX001-2014
2. 安全无线体系构建
A. 基于行业、场景、功能的丰富解决方案
B. 系统部署
安全无线城市组网拓扑
C. 核心安全功能
a) 监测城市无线热点运行状态,无线设备连接状态;
b) 检测各类无线攻击行为;
c) 依据无线城市对风险区域的不同防御要求,制定精确防御策略;
d) 一旦攻击发生防御自动启动,可通过可视地图、短信、微信、邮件发出及时告警;
e) 安全管理者能够通过全方面风险统计、分析、多维度数据可视化展示,来判断出移动医护环境所面临的主要安全风险;
f) 通过定期或随机、固定或移动的安全检查,输出的无线安全报告,帮助安全管理者优化无线环境,并有效提升无线城市安全运行能力。
D. 无线城市WLAN安全功能
a) 在AP中对无线终端进行有效二层隔离;
b) 在AP中开启抗拒绝服务能力;
c) 开启适合场景的加密认证和用户身份认证功能,提升无线城市的接入安全性;
E. 一体化安全功能
a) 结合防火墙、IDS、IPS、WAF等安全设备,与无线入侵防御系统构成一体化安全防线;
b) 结合上网行为审计/管理安全设备,对用户上网行为进行审计。
F. 无线接入、认证功能
a) 提供全面的千兆无线高速接入能力,满足智慧城市的各个无线场景对数据高速、实时传输的要求;
b) 依据不同无线场景,提供丰富、便捷用户身份认证方案;
c) 通过在用户登录无线时,推送综合资讯,满足城市的不同场景对信息快速传递的丰富要求。
G. 方案优势
a) 安全、接入一体化融合;
b) 支持大规模的无线热点与探针的分布式部署;集中管理和维护;有效提升管理效率;
c) 对第三方WLAN提供7*24小时持续、稳定、可靠的分布式防护能力;
d) 有效检测、防御对城市无线热点发起的各类无线攻击行为;并通过隐身模式有效杜绝针对无线防御系统自身的攻击行为发生;
e) 丰富、便捷的无线用户身份认证能力,有效降低未授权访问导致的安全事件发生;并支持向无线用户推送城市信息,有效提升无线城市运行效率。
三. 系统建设
1. 产品推荐
| 产品 | 数量 | 应用场景 |
| 无线探针(室内型) | 1:2或1:3(探针:AP比例) | 全场景 |
| 无线探针(室外型) | 1:2或1:3(探针:AP比例) | 全场景 |
| 无线AP(室内型) | 注 | 全场景 |
| 无线AP(室外型) | 注 | 全场景 |
| 安全无线控制器 | 1注 | 全场景 |
| 安全无线防御平台 | 1注 | 要求云端部署 |
| 用户身份认证系统 | 1注 | 全场景 |
| 无线安全合规扫描器 | 1注 | 全场景 |
注:数量、型号由项目规模确定
2. 部署方案
| 场景 | 防御范围(半径)(与环境有关) | 安全无线控制器 |
| 室内 | 20~30米/台(室内) | 旁挂核心交换机 |
| 室外 | 80~100米/台(室外) | 或使用安全无线防御平台 |
