蔡雄飛， 肖 虎， 趙 亮

(1. 中信建筑設(shè)計研究總院有限公司，武漢 430014； 2. 中技國際工程有限公司，武漢 430014； 3. 中建八局第二建設(shè)有限公司，濟南 250014)

0 引言

隨著Wi-Fi 技術(shù)的廣泛應(yīng)用，越來越多的公共場所都實現(xiàn)了無線網(wǎng)絡(luò)覆蓋。 無線網(wǎng)絡(luò)為智能化建筑提供了有效的終端連接方式，同時也對其信息安全提出來更高要求。 而近年來，國家不斷加大對文化體育類場館設(shè)施的投入，高標準規(guī)劃、高質(zhì)量建設(shè)、高品質(zhì)配套、高效率運營的精品體育場館成為了各地建設(shè)體育場館的核心要求。 本文將以某大型體育中心為例，針對體育場館不同場所的信息安全需求，歸納無線Wi-Fi 覆蓋系統(tǒng)的設(shè)計原則并介紹相關(guān)技術(shù)的應(yīng)用。

1 項目概況

本項目建設(shè)背景為2021 年9 月15 日開幕的第十四屆全國運動會主比賽場館，也是開、閉幕式所在地。 主要建設(shè)內(nèi)容包括:6 萬座體育場、18 000 座體育館、4 000 座游泳館、室外熱身場地、檢錄處、室外廣場、綠化、道路及地下停車庫。 其中體育場坐席數(shù)6 萬座，為大型甲級體育場，是全運會開幕式主會場及田徑項目主賽場，同時滿足承辦亞運會賽事及田徑世錦賽等單項國際賽事需求，滿足賽后文藝演出、集會、全民健身的綜合利用要求，是集休閑公共空間和運動功能為一體的綜合型建筑。

項目總建筑面積約為108 283m2，地上5 層，屋面最高點42.36m，看臺觀眾席最高處直徑130m，主體結(jié)構(gòu)形式為鋼筋混凝土框架結(jié)構(gòu)，基礎(chǔ)形式為鉆孔灌注樁和獨立基礎(chǔ)。 體育場西看臺剖面如圖1所示。

圖1 體育場西看臺剖面圖

2 無線網(wǎng)絡(luò)安全要點

Wi-Fi 技術(shù)具有安裝便捷、使用靈活、經(jīng)濟節(jié)約、易于擴展等優(yōu)點。 但其特點是以無線射頻信號作為傳輸介質(zhì)來傳遞業(yè)務(wù)數(shù)據(jù)，這種開放的信道使得攻擊者非常容易對在信道中所傳輸?shù)臉I(yè)務(wù)數(shù)據(jù)進行竊聽、篡改。 因此，網(wǎng)絡(luò)安全性成為阻礙Wi-Fi技術(shù)發(fā)展的重要因素。

無線安全主要包括用戶接入安全和業(yè)務(wù)安全兩方面。 前者指用戶接入無線網(wǎng)絡(luò)的合法性和安全性，包括鏈路認證、用戶接入認證和數(shù)據(jù)加密；后者指保證用戶的業(yè)務(wù)數(shù)據(jù)在傳輸過程中的安全性，避免合法用戶的業(yè)務(wù)數(shù)據(jù)在傳輸過程中被非法捕獲。

本體育中心網(wǎng)絡(luò)需要對所有Wi-Fi 用戶終端進行接入管控，以保證整張網(wǎng)絡(luò)的安全，可隔離及修復(fù)不安全的終端。認證管理安全方案應(yīng)能滿足身份鑒別、用戶授權(quán)等需求。 普通的終端用戶的身份鑒別應(yīng)滿足如下需求:(1)符合安全要求的終端提供正確的用戶名和密碼后，可以正常接入網(wǎng)絡(luò)；(2)不符合安全的終端，只能接入到網(wǎng)絡(luò)隔離區(qū)，待終端安全修復(fù)后才能接入網(wǎng)絡(luò)；(3)不合法的用戶不允許接入網(wǎng)絡(luò)。

3 無線用戶接入認證比較

用戶認證通過后，需要根據(jù)終端用戶的身份認證，基于用戶角色來對網(wǎng)絡(luò)訪問權(quán)限進行管理，不但可以加強內(nèi)網(wǎng)的網(wǎng)絡(luò)訪問控制，也可以防止非法接入和非授權(quán)訪問，保證整張網(wǎng)絡(luò)的安全。 設(shè)計中應(yīng)針對不同用戶(運動員、裁判員、組委會官員、轉(zhuǎn)播機構(gòu)成員、場館運維人員、文藝演出人員和觀眾等)選擇不同類型的認證方式。

常用的接入認證方式有MAC 認證、802.1X 認證、Portal 認證(Web 認證)、微信認證等。 其中，MAC 認證、802.1X 認證、Portal 認證對比如表1所示。

認證方法對比表 表1

綜合本體育場館的實際應(yīng)用場景，無線網(wǎng)絡(luò)統(tǒng)一般采用MAC 優(yōu)先Portal 和微信的組合認證方式進行用戶終端的準入控制。

系統(tǒng)應(yīng)監(jiān)控網(wǎng)絡(luò)中存在的非法設(shè)備、非法客戶端、干擾源、攻擊信息，支持用戶通過定義規(guī)則分類識別、遠程告警通知并提供對入侵的保護措施。 安全體系支持非法設(shè)備的統(tǒng)計、展示和反制；支持非法客戶端的展示、反制和抑制接入保護；支持非Wi-Fi 干擾源的統(tǒng)計和展示；支持攻擊信息的統(tǒng)計、展示和保護:支持用戶通過定義規(guī)則對非法AP 進行分類(類別分為非法、疑似非法、鄰居、疑似鄰居、干擾；支持的規(guī)則匹配指標為:鄰頻同頻干擾、信號強度、 SSID(模糊匹配/正則表達式匹配)、探測AP 數(shù)量、是否被攻擊等)。

4 無線網(wǎng)絡(luò)業(yè)務(wù)安全策略

根據(jù)《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》和公安部、國家保密局、國家密碼管理局、國務(wù)院信息化工作辦公室工作指示，要求應(yīng)能夠防護系統(tǒng)免受來自外部小型組織的、擁有少量資源的威脅源發(fā)起的惡意攻擊、一般的自然災(zāi)難、以及其他相當危害程度的威脅所造成的重要資源損害，能夠發(fā)現(xiàn)重要的安全漏洞和安全事件，在系統(tǒng)遭到損害后，能夠在一段時間內(nèi)恢復(fù)部分功能。

本項目的安全需求主要從以下幾個方面來考慮:(1)AP 分布在室外不同區(qū)域，應(yīng)考慮防風(fēng)、防雨、防盜竊、防破壞、防雷擊、以及電力供應(yīng)；(2)AP應(yīng)當具備高密覆蓋能力，要求支持小角度內(nèi)置天線，避免同頻干擾；(3)網(wǎng)絡(luò)交換設(shè)備和系統(tǒng)服務(wù)器存儲設(shè)備應(yīng)該部署在專業(yè)機房或管井內(nèi)，應(yīng)考慮防震、防風(fēng)、防雨、防靜電等措施；(4)網(wǎng)絡(luò)需保證接入網(wǎng)絡(luò)、匯聚網(wǎng)絡(luò)、核心網(wǎng)絡(luò)的網(wǎng)絡(luò)帶寬能夠滿足本系統(tǒng)大數(shù)據(jù)的并發(fā)需要；(5)網(wǎng)絡(luò)拓撲結(jié)構(gòu)需滿足當前網(wǎng)絡(luò)環(huán)境，并能夠滿足萬兆網(wǎng)絡(luò)的數(shù)據(jù)交換能力；(6)網(wǎng)絡(luò)的邊界應(yīng)該部署訪問控制設(shè)備，有明確的訪問控制規(guī)則；(7)網(wǎng)絡(luò)系統(tǒng)應(yīng)該具備安全審計，對網(wǎng)絡(luò)運行狀況、流量、用戶日志進行記錄；(8)網(wǎng)絡(luò)應(yīng)具備防病毒系統(tǒng)，防止網(wǎng)絡(luò)病毒傳播。

按照GB/T 22240－2020 的要求，本項目信息系統(tǒng)安全保護等級按照第三級進行安全防護方案設(shè)計。 根據(jù)GB/T 22239－2019 及GB/T 25070－2019第8 章，對第三級防護的要求，將保護對象進行區(qū)域劃分，對不同的保護對象保護環(huán)境按照安全計算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)和安全管理中心進行設(shè)計。 圍繞“一個中心”管理下的“三重防護”體系設(shè)計思想，無線Wi-Fi 系統(tǒng)各部分設(shè)計列表如表2 所示。

系統(tǒng)應(yīng)該對登陸操作系統(tǒng)和數(shù)據(jù)庫用戶的身份進行鑒別和區(qū)分，應(yīng)啟用訪問控制功能，依據(jù)安全策略控制用戶對資源的訪問；對服務(wù)器上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶進行審計，操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通過設(shè)置升級服務(wù)器等方式保持系統(tǒng)補丁及時得到更新。

應(yīng)提供專用的登陸控制模塊對用戶身份鑒別，提供唯一的用戶身份，應(yīng)提供訪問控制功能，依據(jù)安全策略控制用戶對文件、數(shù)據(jù)庫表等客體的訪問，對覆蓋的每個用戶進行審計，審計記錄應(yīng)包括日期、時間、發(fā)起者信息、類型、描述和結(jié)果數(shù)據(jù)在記錄和網(wǎng)絡(luò)傳輸過程應(yīng)該完整，數(shù)據(jù)應(yīng)加密，存儲系統(tǒng)應(yīng)有數(shù)據(jù)安全機制如、熱備盤、設(shè)備N＋1 熱備。

網(wǎng)絡(luò)安全防護設(shè)計 表2

4.1 系統(tǒng)功能

Wi-Fi 系統(tǒng)承載場館的無線Wi-Fi 網(wǎng)絡(luò)，擔(dān)負著提供體育中心園區(qū)內(nèi)所有人員的無縫網(wǎng)絡(luò)接入，網(wǎng)絡(luò)要求帶寬高、低延時、無瓶頸。 Wi-Fi 網(wǎng)接入互聯(lián)網(wǎng)，認證、防火墻、網(wǎng)關(guān)等安全系統(tǒng)要求高效可靠。

4.2 網(wǎng)絡(luò)架構(gòu)

Wi-Fi 采用成熟可靠的三層網(wǎng)絡(luò)架構(gòu)，采用層次化模型設(shè)計，分別為核心層(網(wǎng)絡(luò)的高速交換主干)、匯聚層(提供基于策略的連接)、接入層(將無線AP 設(shè)備接入網(wǎng)絡(luò))，核心層同時上行接入出口網(wǎng)絡(luò)安全設(shè)備。 圖2 所示為網(wǎng)絡(luò)架構(gòu)圖。

圖2 Wi-Fi 網(wǎng)絡(luò)架構(gòu)圖

Wi-Fi 網(wǎng)采用有線“萬兆到桌面，40G 到核心”的帶寬設(shè)計；無線網(wǎng)絡(luò)部署最新一代的802.11ax 協(xié)議標準的無線接入點AP，AP 上行帶寬支持高帶寬，以充分滿足無線Wi-Fi 網(wǎng)絡(luò)的接入帶寬需求。 出口網(wǎng)絡(luò)部署防火墻、上網(wǎng)行為管理等安全設(shè)備，由于防火墻采用高端防火墻(遠高于技術(shù)規(guī)格要求)，能夠提供豐富的路由功能，因此取消原有路由器，在減少網(wǎng)絡(luò)管理節(jié)點的同時提高了轉(zhuǎn)發(fā)效率。 運維、控制管理系統(tǒng)旁掛在核心交換機上，對Wi-Fi 網(wǎng)進行安全管理、網(wǎng)絡(luò)運維、策略管控等。

考慮當前無線技術(shù)發(fā)展，獨立無線控制器AC或插卡式AC 的轉(zhuǎn)發(fā)性能僅局限在40G，不能滿足本次實際項目高并發(fā)的無線網(wǎng)絡(luò)流量沖擊，因此本次網(wǎng)絡(luò)設(shè)計中把AC 集成到核心交換機的業(yè)務(wù)板卡上，提供單槽位4Tbps 的高速無線轉(zhuǎn)發(fā)性能。 在網(wǎng)絡(luò)架構(gòu)上實現(xiàn)了有線無線的融合管理、融合轉(zhuǎn)發(fā)，減少了網(wǎng)絡(luò)節(jié)點，同時核心交換機的相關(guān)業(yè)務(wù)板卡均支持AC 功能，實現(xiàn)了AC 的1＋N 熱備，保障無線管理的高可靠性。 AC 統(tǒng)一管理公共網(wǎng)的所有AP，并對無線用戶進行統(tǒng)一認證管理。

此外，考慮到當前體育中心總體預(yù)計人流量約8 萬人次(不含工作人員)，而傳統(tǒng)AC 的認證模式下的最大可接入用戶數(shù)在6 萬人左右，遠遠不滿足當前實際預(yù)估峰值用戶沖擊，屆時可能直接導(dǎo)致無線無法連接或者用戶體驗較差。因此，在本次設(shè)計中采用了目前業(yè)內(nèi)較先進的有線無線一體化設(shè)計方案，以期實現(xiàn)認證模式下最大可接入用戶數(shù)在10萬人左右，充分保障整個體育中心的峰值用戶接入能力。

核心交換機、匯聚交換機采用業(yè)界領(lǐng)先的CLOS 架構(gòu)的框式交換機，部署雙機物理集群，主備備份，保障網(wǎng)絡(luò)核心的高可靠。 匯聚到核心采用上行雙鏈路捆綁設(shè)計。 其中匯聚層交換機分別采用雙40G 鏈路上行到核心層交換機，當主用鏈路中斷后，迅速切換到備用鏈路的核心交換機，并上行出口到Internet。

匯聚層交換機作為業(yè)務(wù)網(wǎng)的三層網(wǎng)關(guān)和認證網(wǎng)關(guān)，在各業(yè)務(wù)系統(tǒng)中均屬于關(guān)鍵節(jié)點，因此對其性能及可靠性均有更高要求，本次設(shè)計中，匯聚層設(shè)備采用框式設(shè)備、CSS 物理集群技術(shù)，提供獨立雙主控、業(yè)務(wù)插槽以及冗余電源，不僅增強性能轉(zhuǎn)發(fā)能力，也提升了匯聚層的設(shè)備可靠性，并針對用戶終端支持多種接入認證(包括PPPoe、802.1X 等方式)，下發(fā)控制策略，增強業(yè)務(wù)系統(tǒng)的準入管控力度，提升整體網(wǎng)絡(luò)安全接入相關(guān)要求。

匯聚層向上到核心層，通過路由進行數(shù)據(jù)的交換轉(zhuǎn)發(fā)。 網(wǎng)絡(luò)的“匯聚－接入－AP”部署縱向虛擬化技術(shù)，把多臺匯聚、接入層交換機和AP 虛擬成一臺邏輯設(shè)備進行管理，統(tǒng)一運維。 表3 為Wi-Fi 網(wǎng)系統(tǒng)設(shè)備分布情況。

Wi-Fi 網(wǎng)系統(tǒng)設(shè)備分布表 表3

4.3 無線AP 接入

隨著IEEE 802.11ax 標準的正式推出，支持802.11ax 協(xié)議標準的無線AP 帶寬超過10G，而當前1Gbps 千兆接入以太網(wǎng)交換機已無法滿足無線AP 的高帶寬要求，亟需提升無線網(wǎng)絡(luò)的接入端口速率。 表4 為Wi-Fi 通訊協(xié)議對比情況。

Wi-Fi 通訊協(xié)議對比表 表4

由于本次Wi-Fi 網(wǎng)的無線AP 采用最新的802.11ax 標準，故無線網(wǎng)絡(luò)的接入層交換機應(yīng)當具備多速率的帶寬接入能力，即接入交換機能夠支持1G/2.5G/5G/10G 的多速率端口擴展，才能充分滿足無線AP 的上行帶寬出口要求。

由于接入電口的帶寬和速率的提升，對傳輸介質(zhì)網(wǎng)線也提出了更高的要求。 表5 為傳輸線纜選型情況。

傳輸線纜選型表 表5

由表5 可知，目前業(yè)界主流的多速率電口接入交換機支持的線纜，要求2.5G 電口至少是Cat5E STP 線纜，5G 電口至少是Cat6 STP 線纜。 本次無線Wi-Fi 網(wǎng)絡(luò)統(tǒng)一部署Cat6 STP 線纜， 滿足802.11ax 標準AP 的要求。

4.4 大數(shù)據(jù)安全整體方案

Wi-Fi 系統(tǒng)作為體育中心承載賽事活動時，工作人員的高頻度接入、使用的無線Wi-Fi 網(wǎng)絡(luò)，同時接入Internet，為了能快速識別網(wǎng)絡(luò)中潛在的安全威脅，并通過拓撲和列表等多種方式，將安全態(tài)勢直觀的展現(xiàn)給網(wǎng)絡(luò)管理員，并輕松方便的掌握所有資產(chǎn)的安全情況，應(yīng)當具備基于傳統(tǒng)網(wǎng)絡(luò)安全特性的增強安全方案。

通過大數(shù)據(jù)采集技術(shù)，采集并處理網(wǎng)絡(luò)報文的流數(shù)據(jù)，以及網(wǎng)絡(luò)設(shè)備、安全設(shè)備的傳統(tǒng)網(wǎng)絡(luò)安全特性運行記錄的日志信息，通過關(guān)聯(lián)數(shù)據(jù)分析技術(shù)提取出安全威脅事件信息，最終在網(wǎng)絡(luò)系統(tǒng)統(tǒng)一展現(xiàn)全網(wǎng)的安全態(tài)勢，并自動或手動對安全威脅事件做安全響應(yīng)。 方案架構(gòu)如圖3 所示。

圖3 大數(shù)據(jù)安全整體方案架構(gòu)圖

大數(shù)據(jù)安全整體方案的優(yōu)勢在于:(1)感知全網(wǎng)安全態(tài)勢，有助于客戶直觀理解全網(wǎng)安全態(tài)勢，并可以根據(jù)區(qū)域、關(guān)鍵資產(chǎn)去查看對應(yīng)的風(fēng)險，并給出處理建議；同時，運維人員可以快速找到自己負責(zé)的區(qū)域和資產(chǎn)，并根據(jù)安全狀態(tài)和處理建議對這些設(shè)備進行系統(tǒng)升級、安裝補丁等安全加固的工作。 (2)快速發(fā)現(xiàn)安全事件，基于強大的日志采集和關(guān)聯(lián)分析技術(shù)，以及可覆蓋網(wǎng)絡(luò)常見安全威脅，幫助客戶實時快速發(fā)現(xiàn)網(wǎng)絡(luò)中的安全威脅事件。(3)快速進行安全響應(yīng)，通過告警手段第一時間通知運維人員安全威脅事件，并可以進行自動的安全策略聯(lián)動，對安全威脅進行控制，防止和降低其對網(wǎng)絡(luò)和業(yè)務(wù)的影響。

5 結(jié)束語

在設(shè)計Wi-Fi 無線覆蓋系統(tǒng)的過程中，需要綜合考慮認證方式、網(wǎng)絡(luò)架構(gòu)等多個因素進行綜合計算，根據(jù)不同場景和使用需求確定安全策略，最終得出最佳的部署方案。 期望本網(wǎng)絡(luò)安全系統(tǒng)的成功部署，能為后續(xù)其他場館的無線覆蓋設(shè)計提供良好范例。