方案备注：此方案已经删除具体的公司信息、项目信息等一切有具体指向的信息。

使用者无需修改直接拿去使用1、概述1.1项目背景随着移动通讯技术的发展，无线局域网（WIFI）遍布大街小巷，但是安全问题也变成前所未有的突出问题；人员通过商家提供的免费WIFI访问互联网，如果向互联网发布一些过激言论、反动信息等，不仅会对商家形象产生负面影响，甚至如果触犯了国家的法律招致有关部门调查，还会牵连面临法律风险，因此必须对用的的上网行为进行管理并审计风险行为，以便有据可查。

近年来随着智能终端设备的普及，使得具有唯一性的ＭＡＣ地址作为路人的身份识别码成为可能。

通过构建信息采集热点，形成一个基于ＭＡＣ信息的人员定位网络，可广泛用于公安刑侦、网格化管理、集体事件人员批量锁定等领域。

从而打牢互联网信息安全管控工作基础，防范和减少各类有害信息传播，遏制网络违法犯罪案件发生，构建和谐的互联网环境。

1.2 WIFI探针原理WIFI 是基于IEEE802.11a/b/g/n 协议，在标准协议中，定义了AP（无线接入点）和STA（站或客户端）的两种工作模式；协议中规定了BEACON、ACK、DATA、PROBE 等多种无线数据帧类型，在站连接到无线接入点时进行交互的就是数据桢和应答帧、同时AP 周期性发送BEACON。

在站点没有连接到无线接入点上，手机客户端等站点也会发送PROBE 帧进行探测询问哪个AP 是可以接入的。

WIFI 探针就是基于各种无线数据帧来抓获手机等WIFI 客户端的MAC 地址信息。

1.3 系统设计目标随着移动互联网的发展，人们已经形成了随时随地上网的习惯，或接入运营商建设的无线热点，或接入某些场所自建的无线热点却无法形成长期有效监管。

为了解决监管部门的当前实际问题，结合无线WIFI自身技术的优势和特点，提出了建设适合特征数据采集、特定身份预警监测的综合应用业务需求。

建设目标主要有：●场所管理。

系统可以对接入上来的场所端设备进行集中管理，了解场所端设备的工作状况，场所无线设备使用状态。

●权限管理。

系统可以按区域和功能进行权限划分，让负责区域的警官可以自己管理所辖区域的场所，进行数据查询、布控和策略下发。

●数据采集。

通过利用前端移动数据采集技术手段，抓取已经连接热点的移动终端的更多设备特征信息，如：IMEI、IMSI、操作系统版本、设备型号等。

在无感知的情况下，获取当前连接热点的设备使用的虚拟身份信息, 如：QQ 号码，微信ID，微博帐号，手机号码等。

●加强数据格式标准化、接口标准化。

上网管控平台提供的标准接口可以让各个不同厂商方便接入，通过接口精细化真实身份相关的数据，并且接口方便扩充，使得未来数据整合和扩展容易实现。

●加强数据的安全性。

上网采集管控平台要实现各种涉密数据在传输、存储、展现和查询各个环节的安全性，以保证涉密数据不被泄露。

●数据分析处理。

建立数据模型如场所定位、区域分类、热点管理、人口管理、轨迹回放管理等，有助于根据实际应用的需要进行查询，提高监测、预警、关联、分析办案效率。

●集中布控告警。

可以在中心端进行身份、特征、行为、关键词布控，实时对汇总数据进行比对，发现满足条件的数据进行即时报警通知有关人员。

1.4 项目实施优势(1)项目实施经验我司长期致力于公安专网信息化建设，熟悉公安网络架构，同时在终端特征采集建设领域，拥有丰富的系统研发、实施经验。

(2)本土化支持依托于我司在全国各地的分支机构，可快速响应各种需求，提供本土化技术支撑。

同时软件工程师可驻点开发和调试部署。

（3）技术优势我司在无线传输领域，团队建制完整，所有产品自主研制，出货量大，具有极高的性价比，整体技术处于国内领先水平。

(4)优异的MAC抓取能力产品通过了公安部检测认证，MAC抓取整体性能≥95%。

(5)虚拟信息的完善平台根据客户需求，在迭代开发中不断完善优化。

除了采集到常见的虚拟信息外，系统支持获取MAC移动终端的经纬度信息，并可计算出该MAC设备与机具之间的实际距离，从而达到快速定位可疑人员的目的。

2、系统总体设计2.1平台设计原则2.1.1 技术和管理相结合的原则坚持技术和管理相结合，不仅设计完善的安全技术措施，同时也应配套相应的管理制度，并且安全技术措施要方便实施，使WIFI平台置于统一的管理和控制之下。

2.1.2 标准化、组件化和成熟性原则采用成熟、通用的标准规范和协议进行系统规划建设。

软件、硬件系统功能模块化，便于系统灵活配置与部署，方便维护和后续扩展。

系统应用软件采用已有的成熟技术成果进行开发构建，加快实施进度；通过相应协议和规范接口访问其他原有系统获取业务实现所需的基础数据，降低数据风险。

硬件组件采用标准组件、标准接口，方便备品备件更换维护。

2.1.3 易用性与开放性原则采用傻瓜型操作界面，提供明确而友好的错误提示；采用良好的人性化设计，容易输入出错的地方尽可能采用选择菜单和提示；采用规范的行业术语。

在不同层面实现对外应用接口，提供第三方业务应用系统的调用。

2.1.4 可靠性原则WIFI平台设计应考虑一定的可靠性设计，稳定可靠是应用系统正常运行的关键保证，在网络设计中选用高可靠性网络产品，合理设计网络架构，制订可靠的网络备份策略，保证网络具有故障自愈的能力，最大限度地支持各业务系统的正常运行。

尽量满足7×24×365小时连续运行的要求。

在故障发生时，网络设备可以快速自动地切换到备份设备上。

整个系统平台在设计之初就充分考虑高并发和高吞吐量的处理性能要求，采用先进的技术和设计理念指导整个开发过程，确保系统后期正确稳定的运行。

2.1.5 安全性原则具有有效可信的安全保密处理机制，防止非法入侵和数据截取，并确保数据在访问和交换中的安全和保密性。

2.2 平台设计目标根据业务系统应用需求，利用MAC信息采集设备，构建MAC信息采集网络和后端数据处理平台。

2.2.1设备接入实现自主动态调节实现通信服务器分布式部署，各通信服务器之间，根据自身的运行压力，进行设备接入数量的自动调节。

实现大数量的设备接入的管理。

随着设备接入量增加，当服务器处理能力无法满足时，可以简单的通过新增通信服务器即可解决。

2.2.2各业务单元采用模组化设计开发对相对独立的业务处理单元，设计开发成一个单独功能模块组件，实现各业务单元的松耦合，方便后期扩展和维护。

2.2.3实现多级平台架构采用多级平台级联的架构进行设计，各个子平台具有独自完备的运行处理单元，通过级联的方式实现数据共享。

2.3 系统架构示意对于子平台采取四层架构设计，分别为：前端数据采集设备层、设备接入和数据存储处理层、业务功能单元处理层和应用业务层。

1）前端数据采集设备层由Mac信息采集设备组成，主要负责前端数据的采集和上报。

2）设备接入和数据存储处理层负责采集设备的接入和数据的前期处理，同时负责对设备控制指令的发送和回馈处理。

所有被采集的数据会第一时间上报到接入服务器，然后由接入服务器记录到数据库中。

3）业务功能单元处理层根据各个业务功能的需求，组建对应的功能处理单元，实现后台数据整理、过滤、分析过程，然后再将处理结果反馈到应用业务层。

这样可以将复杂耗时的分析进行离线预处理，提供应用业务层的响应速度和性能。

对相对独立的业务功能单元进行单独设计和开发，便于后期的维护和扩展。

4）应用业务层提供最终业务功能的访问界面，用户通过该层对系统实现操作。

2.4 系统整体部署示意无线上网审计设备的数据通过互联网传送到网安外网的认证通信服务器，再通过光闸进到网安专网的数据中心服务器。

终端特征采集设备采集到的数据一方面可以通过视频网传送到认证通信服务器，另一方面可以通过3G/4G通道经互联网传送到认证通信服务器，再经光闸进到网安专网的数据中心服务器。

负责认证、通信功能的服务器放在网安外网，负责数据存储、查询功能的服务器放在网安内网，外网和内网之间通过光闸隔离，保证内网数据安全。

3、平台功能3.1 系统功能3.1.1 系统管理➢管理人员或授权访问人员，对系统基础资料数据进行维护管理。

➢对系统操作行为进行记录，形成日志信息。

➢配置地图等基础信息。

3.1.2 场所管理建立场所电子档案，形成场所基础数据库，电子档案包括场所位置、场所联系人、联系方式、地址、经纬度、场所经营性质等。

3.1.3 采集设备管理提供对系统设备的状态、安装位置等信息进行管理，包括设备编号、MAC、IP地址、设备状态、城市、所属地区、场所、创建日期、最近联系时间、安装位置等基础信息管理。

中心可对前端设备进行统一管理，管理内容包括设备版本升级、设备状态管理，设备版本升级主要以远程升级的方式进行，减少前端维护工作，设备状态管理主要包括实时显示当前设备状态等。

3.1.4 安全性管理BKey登录方式考虑系统平台使用的特殊性，整个平台提供了严密的安全管理机制，确保信息安全、系统安全、数据库安全和设备安全。

系统除支持常规的密码认证登陆方式外，还支持安全级别更高的USBKey登录方式。

支持SSL安全访问方式，所有访问信息都进行动态加密，确保信息不被窃取泄露。

2.系统本身的安全所有应用均运行在Linux操作系统上，我们通过对Linux内核的裁剪、关闭不用的端口、停止不用的服务、对系统进行安全加固等手段确保操作系统本身是安全的。

系统内置有防火墙，可阻挡对本系统的非许可访问和攻击。

3. 数据存储的安全首先操作系统本身就有密码保护，所以一般只能通过系统提供的界面查看里面的信息，而不能直接查看后台的数据。

通常系统数据有两种存储方式，一为通过数据库保存，使用者只有知道数据库用户密码才能访问数据库。

另一种为通过文件保存。

不管何种方式，对敏感信息我们均先加密再保存，以确保系统数据的安全。

由于系统是架构在本公司的中间件PAS平台上，所有对主机上的数据库或文件的访问均通过PAS，从而避免了外部应用直接访问内部数据，这从另一方面保障了内部数据的安全。

4. 信息传送的安全系统在网络上传送的所有信息，都使用先进、高效的加密算法进行加密。

密钥为动态生成，并自动更换，所以即便信息被第三方截获，也不能了解信息的具体内容。

3.2 业务功能3.2.1 数据统计分析根据前端系统实施采集的上传数据，将终端根据采集数据的实时性分为在线、离线状态，从而有效支持实施人流分析、人力热图，区域人流监控等实时监控需求。

采用最新的报表分析引擎，提供对海量采集信息的分析处理，并提供多样化的统计分析报表展现，实时查看系统运行状态，有价值的数据分析结果。

3.2.2 海量数据多维度查询查询入库的终端采集信息，包括终端MAC、采集时间、场强、场所名称、场所编号、采集设备编号、采集经纬度、接入热点SSID、接入热点MAC、关联身份信息基础信息。

可通过时间、空间、终端类型等多纬度查询采集到的信息，同时可以表格、地图等多种方式展示。