政府公众区域无线方案建议书.doc

资源描述

1、 XXX 政府无线接入方案建议书信锐技术有限公司 xxxx年 xx月目录 1、概述 . 4 1.1 公司介绍 4 1.2 政府 WLAN 现状分析 . 5 1.3 项目介绍 5 1.4 政府 WLAN 需求分析 5 1.5 政府 WLAN 当前面临的挑战 8 2、方案设计 . 13 2.1 NAP 布放设计 . 13 2.2 无线组网方式 . 14 2.3 信道规划 . 14 2.4 政府机构安全无线接入设计 15 2.5 政府机构办公安全设计 . 20 2.6 政府人员上网行为管理设计 25 2.7 政府机构快速的无线访问速度设计 29 2.8 简化部署、集中管理设计 . 34 2.

2、9 政府政策传递和便民服务无线化推广 38 2.10 设备选型 40 3、方案亮点与价值 . 42 3.1 多重安全保障方案 42 3.2 多重提速方案 . 46 3.3 政策、便民信息无线化推广 49 3.4 高扩展性、高可靠性 50 4、案例介绍 . 51 4.1 广州市委党校 WLAN 建设工程 51 4.2 东莞市特种设备检测研究院 WLAN 建设 52 4.3 沈阳日报企业级 WLAN 建设工程 54 4.4 广西自治区海事局 WLAN 建设工程 55 4.5 潜山县国土资源局 WLAN 建设工程 56 5、售后服务 . 58 5.1 信锐服务体系介绍 . 58 5.2 技术支持

3、及服务内容 . 58 5.3 信锐服务及维修流程 59 1、概述 1.1 公司介绍信锐网科技术有限公司（简称信锐技术， Sundray）注册资金 1000万元人民币，专注于企业级无线网络产品研发、生产、销售的应用层无线网络供应商，总部位于深圳。 Sundray研发团队超过百人，研发无线产品多年，在无线硬件射频、软件控制、漫游、负载均衡、无线增值等各个领域有着多年深厚的技术积累。 Sundray无线产品自登陆市场以来，在全国已拥有北京、上海、广州、深圳、浙江、江苏、四川、重庆、天津、福建、河南、河北、辽宁、安徽、山东、湖南、湖北、新疆、云南、贵州等 23个直属分支机构， 8个产品备件库，服务

4、网点覆盖全国，提供 7*24小时不间断售后服务支持，服务体系通过 ISO9001认证，提供 30分钟问题必响应、无线 AP一年内只换不修等高质量的产品服务。目前，已获得近千家用户的成功实施应用，其中多家无线接入点（ AP）数量规模超过 2000台。因为更专注，所以更专业。 Sundray投入 100%的工作精力和热情，致力于为政府、企业、医疗、酒店、教育、金融、连锁等行业用户提供量身打造的更安全、更快速、可增值的应用层企业级无线网络。 1.2 政府 WLAN 现状分析无线网络技术的发展，推动着政府单位工作效率的提升。同时，依托移动通信网络，政府单位的办公、监控、管理和服务等各项业务变得更

5、加快速便捷，工作人员对无线网络的倚赖程度，已经变得越来越高。很多政府单位在新建办公场所时，考虑到建设的成本、后期维护的成本和传统网络的繁琐，也希望可以通过 WIFI接入技术实现他们的目的。除了办公环境中的无线网络建设，越来越多的政府服务性的公共区域，如行政服务大厅、办税大厅、办证大厅等也会部署免费的 WiFi网络，供前来办理业务的群众上网，减少等待的焦虑，提高群众满意度。同时结合无线网络特点，进行业务上的创新，如开展网上政务大厅等网络业务系统。在智能终端普及的这个背景下，对于政府而言，无论是自身移动办公的需求还是群众免费 WiFi的提供，都是其建设无线的重要动力。 1.3 项目介绍（客

6、户背景介绍， IT现状，项目概述） 1.4 政府 WLAN 需求分析 1.4.1 政府机构安全无线接入政府部门对网络的接入安全防护要求很高，不仅需要保护办公人员的信息安全，禁止泄露政府、国家机密信息，也要保障公民的信息安全，防止个人信息被窃取。这样就需要提供高级别的安全接入保障机制同时还得降低安全接入机制引起的不易用问题。 1.4.2 政府机构办公安全无线网络技术的逐步成熟让很多政府扩展无线网络来实行自身的日常办公和公民的业务办理。办公、办事、会议等都需要使用无线网络。在智能终端普及的当下，无线网络同样能够让平板电脑、手机、自带笔记本电脑成为办公工具，伴随而来的安全问题不仅体现在接入

7、，接入之后如何防护政府网络的安全以及保障业务系统的正常运行，亟需要有效的无线安全解决方案来做双重保障。同时政府无线部署作为有线的扩展，安全接入的边界和方式相较于有线网络难以控制，政府人员私接 Wi-Fi 等安全问题也缺乏很好的管理手段。各种钓鱼 AP、 AD-hoc 可能隐藏在无线环境中，数据被转移、数据中病毒的风险无处不在，亟需要加以防护，确保数据和业务安全。 1.4.3 政府人员上网行为管理政府办公人员可以通过 WIFI 进行资料查找、内部办公、沟通交流、业务咨询、外发机密文件等，亟需要实现员工上网行为的管理、带宽的管控和保证员工上网安全，提高员工的办公效率避免网络资源浪费，防止政府机

8、密数据泄密和内部人员通过互联网从事非法交易活动。 1.4.4 政府机构快速的无线访问速度随着 XXX 政府的不断发展，越来越多的事情会转移到无线上，政府办公软件，网上办事平台的高效使用都需要更快速的无线网络支撑。 1.4.5 简化部署、集中管理在政府各部门进行无线部署和管理时，无线接入点数量庞大，布置地点多，距离远。众多的无线 WIFI 热点配置、升级、维护需要统一化的集中管理，降低维护成本，提高整体的稳定性，减少故障率。 1.4.6 政府政策传递和便民服务无线化推广在政府办公、办事无线化的过程中，政策下发、便民服务信息传递也可以走向无线化，需要灵活、个性化的向公务员或到访公民传递新政

9、、便民信息、办事指南等等，将新政策、新信息第一时间下发到各下级部门、公务员、办事公民。同时，需要能针对每日到访的人数进行统计，方便政府对每日接待办事公民情况一目了然，分析政府各部门的到访人员密度，方便政府及时对人员出现高峰的部门进行及时调节和指挥处理。 1.5 政府 WLAN 当前面临的挑战 1.5.1 办公场所要求覆盖广，无死角，信号强政府办公区域面积大，要求信号无死角覆盖，政府人员和办事公民接入可实现无感知漫游，不断网。满足会议室办事大厅等高密区域，用户稳定接入，办事公民随时随地可接入办理业务和咨询反馈。 1.5.2 政府部门对无线安全接入防护要求高政府机构较多，职位分工更加明确

10、，部门的职责也更加细化。部门精细化的同时权限也必须精细化控制，各个部门、职位拥有责任内的不同权限。如何保障政府机密不外泄，越权事故不发生是一件非常困难的事情。同时在对到访公民提供了无线接入以后，如何保证内部机密不被泄露也成了一个关键的事情。 1.5.3 高安全控制导致易用性变差高安全的管控之下，容易造成使用上的不易用导致人员不愿意使用，增加了无线化推广的难度，无法提供优质、便利的服务体验。 1.5.4 内部组织结构复杂，权限难于控制政府内部职位分工明确，部门的职责细化。部门精细化的同时权限也必须精细化控制，各个部门、职位需要拥有责任内的不同权限。 1.5.5 无线攻击手段多样，内网安全有

11、威胁不同于有线网络基于物理端口进行安全防御，无线信号因其自身特点，覆盖区域内的任何人员都能看到无线信号，对政府而言， IT资源就是资产，难免会存在一定盗用账号、非法接入的安全威胁。 1.5.6 办公系统带宽被大量抢占在一定的无线带宽情况下，工作人员运行大量的 P2P 下载，视频浏览等高耗带宽的应用，严重抢占正常的 OA、邮件等办公系统，造成无线带宽的不合理理由，无线办公效率低下。 1.5.7 无线环境干扰多使用速度慢无线网络大多使用的 2.4GHz频段，众所周知， 2.4GHz频段是开放频段，工作在这个频段的设备很多，比如：微波炉、蓝牙、无线座机、外来 NAP、监控摄像头等等，会对 Wi

12、Fi设备进行大量的干扰。除此以外， 2.4GHz相互不干扰的信道只有 1、 6、 11，当部署区域被运营商的 NAP给占用以后，可用信道就不多了。在这种情况下，干扰会造成丢包和延迟，实际传输速率往往得不到保证。 1.5.8 政府政策下发、便民服务无线化转型方法少政府信息推广、便民服务的无线化目前是一种趋势，但是在无线信息化推广方面却少有方案，虽有个别如短信、微信、网络广告的方式，却又做不到统一维护管理，并且缺少办事人信息就无法推广，其成本也偏高。 2、方案设计根据 xxx政府的无线网络需求和无线网络设计原则，结合 Sundray无线系统技术和产品的特点，方案设计如下： 2.1 NAP 布

13、放设计根据现场实际勘测、信号测试情况，无线网络采取蜂窝式部署方式。 NAP安装在走廊 /墙壁上。区域一放置 XX个 NAP负责覆盖 XXX 区域二放置 XX个 NAP负责覆盖 XXX 区域三放置 XX个 NAP负责覆盖 XXX 设备清单及位置统计如下：序号设备类型设备品牌设备型号放置区域设备数量合计 1 无线接入点 NAP 信锐区域 1 区域 2 区域 3 区域 4 区域 5 2 无线控制器核心机房 3 POE 交换机 1 楼弱电井 2 楼弱电井 3 楼弱电井 2.2 无线组网方式结合用户无线网络需求情况，结合信锐产品自身技术特点，为了满足用户构建一个高速、稳定、安全、

14、可靠、易于管理的无线接入网络的需求，本设计方案按照 NAP+NAC的结构化无线网络解决方案进行设计。网络拓扑如下（可编辑）： 2.3 信道规划使用 2.4GHz频点为例，为保证信道之间不相互干扰，要求两个信道之间间隔不低于25MHz。在一个覆盖区内，最多可以提供 3个不重叠的频点同时工作，通常采用 1、 6、 11无线控制器核心交换机中心机房核心交换机核心交换机 POE 交换机 POE 交换机大楼 2 大楼 1 三个频点。 WLAN频率规划需综合考虑建筑结构、穿透损耗以及布线系统等具体情况进行。信道规划如下图：图纸中橙色、蓝色、黄色信号圈分别为 1、 6、 11信道。圆心点为

15、NAP部署位置。 2.4 政府机构安全无线接入设计 2.4.1 多种安全易用的认证方式 2.4.1.1 丰富、快捷的企业级认证方式采用 802.1x认证，用户接入时即需要认证。用户可采用安全证书、用户名口令作为接入网络的凭据，认证通过的用户才允许接入网络。业内皆知 802.1x在用户终端设备上配置极其复杂，无疑给用户使用和 IT管理员增加了大量的配置工作，信锐技术提供了企业级认证的自动配置工具，终端用户无须管理员协助，通过开放性 wlan下载自动配置工具，一键安装即可轻松接入企业网络，既安全又便捷。支持自建 CA颁发证书和管理，证书分发可通过自动配置工具统一打包一键完成安装，也支持用户

16、通过 web下载、管理员通过邮件分发，简单且快捷。支持和政府内部的用户认证服务器进行身份认证，只需要在配置页面上配置对接信息即可以和 LDAP、 AD域、 Radius等企业内部的用户身份数据库进行快速的身份校验，既安全且可靠。企业级认证支持本地内部数据库服务器，本地数据库支持认证终结到控制器上，可满足没有内部身份认证服务器的政府部门。 2.4.1.2 用户账户、终端绑定杜绝越权访问首次连接无线网络认证时，用户名和终端可以实现自动绑定，帮助快速完成身份绑定，若用户拥有多个上网终端，管理员也可以灵活的手动审批后续新加入终端的绑定。因此可根据用户组织结构划分不同的访问权限，避免越权访问问

17、题的发生。 2.4.1.3 二维码认证方便易用对于流动性较强的办事公民，政府可以使用二维码授权认证的无线接入方式，政府接待人员为访客授权，既能保障网络安全，又能为访客提供优质、便利的服务体验。 2.4.1.4 portal 认证多重安全保障政府办公人员在进行了无线上的认证之后再增加一个 web型的认证过程并且整个 web访问过程是经过加密的，增加一重安全保障机制，防止无线端的账户、密码的泄露。 2.4.1.5 微信认证便民服务政府部门可以使用目前最流行的一种即时通信软件微信进行认证并和已有的微信平台进行结合，让办事人员进入政府接入无线网络，被定向到指定微信提示页面，提示访客关注政府微信

18、号然后即可获取上网权限，访客关注政府微信号即可上网。这样便大大增加了政府的关注度，也便于后期的政策宣传。 2.4.1.6 短信认证便民服务可以利用办事人员的手机短信进行认证，方便易用，同时对于信息推广也能起到额外的作用。 2.4.2 限制帐号在多个终端同时接入可限制一个帐号同时登录的终端个数，有效保护政府网络资源。针对超限的帐号可采取以下两种措施： 1）强迫最早接入的终端下线。 2）不允许新终端接入。当然对于需要放开限制的帐号如领导帐号，也可支持配置例外帐号。 2.4.3 多样化的接入控制信锐无线可以基于终端类型和特性进行接入控制。手机、 ipad、 Notebook能不能接无线，

19、您说了算。信锐无线可以免安装客户端软件实现终端类型的识别，认证接入时，可以根据情况限制只有手机终端可以接入，笔记本类型不能接入，或者只允许 IOS终端接入，不允许 Android终端接入，让您认为不安全的终端无法接入网络。信锐无线还可以基于接入位置进行接入控制。不同的无线热点可配置不同的接入访问控制策略，以便不同的无线热点承载的无线用户接入到政府内部不同的业务系统，既安全又高效，甚至可以基于不同的位置让指定的终端允许或不允许接入。 2.5 政府机构办公安全设计 2.5.1 细致的权限管控策略针对 XXX政府存在各个部门不同角色对象，对用户进行多级的角色授权，根据不同角色分配不同的访问和流

20、控策略。根据政府的不同部门（组织部门、宣传部门、领导层），不同的终端（手机或电脑）、不同的用户（内部工作人员或办事公民或领导）划分不同的角色，并配以不同的权限，这样便能充分保证各自的安全，防止越权。 2.5.2 防止内部机密信息泄密信锐无线最高支持 32个无线 WLAN，可以根据不同的位置、需求创建相互隔离的WLAN。在政府公共区域建立员工办公网络和访客无线网络；在政府办公区域按部门建立不同访问权限的无线办公网络，如财务部门专用无线网、信息查询专用无线网和普通办公无线网等，安全隔离政府员工网络与访客网络，有效保障无线网络安全。 2.5.3 内网的服务与应用控制在 XXX政府内部，工作人员

21、和访客通过无线访问网络，有可能会出现反问非法网络的情况，给政府带来安全风险。针对于此信锐无线控制器内置全国最大的应用识别库和 URL库，拥有多达 1800多种应用和 3000万条 URL，并且每周定时更新，能自动识别危险应用和 URL，我们可针对这些危险应用和 URL进行封堵和控制，从而提高政府网络的安全性。 2.5.4 防钓鱼 AP、防私设热点信锐无线拥有强大的非法钓鱼 AP监测与反制功能，防止政府办公人员以及办事公民接入到恶意部署的钓鱼 AP中，造成政府机密信息、重要系统账号密码、个人账号信息等泄露；同时信锐技术提供完善的 WIPS功能，有效杜绝政府工作人员使用随身 Wi-Fi、 AD

22、-Hoc等个人热点为自己或他人建立“专属 Wi-Fi”，防止他人泄漏或盗取政府、国家机密信息。 2.5.5 企业级防火墙与通信隧道加密无线控制器 NAC会实时监控无线网络安全情况，如果网络中出现攻击终端，无线控制器会将其自动列入动态黑名单，在一段时间内禁止其接入。一段时间后检测如果该终端还存在攻击，则继续列入黑名单。如果恢复正常则允许其接入。信锐技术无线产品还内置企业级防火墙，且无线接入点（ AP）与无线控制器（ NAC）之间全部通过加密隧道通讯，有线端数据传输安全得到有效保障；同时，为了避免重要信息被窥探、窃取，信锐技术支持WPA/WPA2协议，对无线数据加密，保障无线传输的数据安全。 2

23、.5.6 VLAN 隔离同一 vlan 内、不同 vlan 间通讯的终端采用隔离技术，有效防止终端之间传输大量文件损耗 AP 有限的带宽资源，也防止终端之间的任意互访有可能导致的数据窃取、文件中毒等恶意行为，最大限度地确保办公安全，提高办公效率。 2.5.7 同一 SSID 内的隔离信锐技术提供了员工与访客接入同一 SSID 内的隔离，防止互访可能导致的数据转移、企业信息泄密、文件中毒等危险行为，保护企业资源安全，防止机密信息泄露。 2.5.8 射频控制策略，自动关闭无线射频信号 XXX 政府可以根据办事大厅办公时间，进行设置无线网络时间计划，来定时自动关闭无线网络的射频信号，一

24、方面能节省电，另一方面又能防止非法用户利用深夜时间入侵无线网络，做一些非法或者损害商超利益的操作。另外为了更加人性化，还增加了设置基于 SSID的例外无线网络，可以选择性的关闭 SSID。 2.6 政府人员上网行为管理设计 2.6.1 上网行为审计信锐无线融合内容识别功能，以国内最大的应用识别库以及 URL识别库为基础，能够将使用有线和无线网络的政府办公人员以及访客诸如用户注册信息、发布信息的内容及时间、访问信息的内容及时间、传输文件的信息及时间等内容全部识别并记录，完全符合公安部82号令要求。并且该功能实现无需再搭配第三方专业设备，大大节省政府部门的 IT建设成本。 2.6.2

25、有线与无线一体化政府办公网内部，往往同时拥有有线用户，客户希望可以通过无线控制器进行配置，利用无线控制器的有线口来完成有线用户的认证，同时对无线用户和有线用户进行集中管理，完成流量控制、流量管理和流量审计。信锐无线集成了有线认证和管控，提供了“ porta认证”、“ IP认证”、“免认证“等安全接入认证机制，真正做到对有线用户和无线用户的一体化管控。 2.6.3 更丰富的数据中心报表功能、审计报告自动通知管理层政府部门不仅需要完成用户的接入、认证，同时希望对用户的网络行为和内容进行审计，审计的结果保存于数据中心。通过匹配关键字、行为特征、流量特征以及时间特征，生成针对特定分析的报表，如法律

26、风险报表、安全风险报表、泄密风险报表能等。2.7 政府机构快速的无线访问速度设计 2.7.1 应用层加速提高使用速度针对 XXX政府现有无线网络环境，采用信锐独有的协议栈加速技术，客户端无需安装任何插件，只需在 NAC开启加速功能，通过改善无线传输协议算法， XXX政府的无线网络的传输速度就能够提升 1.5至 4倍。有效解决无线网络由于干扰导致的无线传输速率低、丢包等网络质量问题。 2.7.2 核心无线网络的优先带宽保证信锐无线 Wi-Fi最高可以为政府同时提供 32个不同 SSID名称的无线网络，并且每一个无线网络都是独立的，可以对每一个无线网络进行单独的带宽控制，优先保障政府无线

27、办公网络的带宽。信锐无线对政府有线无线网络不同用户及应用的网络流量进行管理和划分，完成带宽保证和带宽限制功能。通过带宽保证功能可以保证重要应用的带宽，带宽限制功能可以做到限制用户组 /用户上下行总带宽、各种应用的带宽。同时，提供更灵活的管理和配置，保证重要应用带宽的同时，可以再根据用户的优先级，分配同一应用不同用户间的带宽。信锐技术提供基于应用的流量控制，针对用户的出口带宽做保证，保证关键应用的带宽占用，无关应用靠边占。 Internet STA AP 有线网络，传输速率不受干扰影响受干扰影响的无线传输 AP 作为数据传输的缓存点（传统 AP 没有协议栈缓存功能），在干扰环境丢包导致速率下降的情况下，启用应用加速，终端与AP 之间直接进行快速重传，从而提升无线网络速度。干扰信号

展开阅读全文