大型體育中心Wi-Fi 系統安全設計探討

蔡雄飛， 肖 虎， 趙 亮

(1. 中信建筑設計研究總院有限公司，武漢 430014； 2. 中技國際工程有限公司，武漢 430014； 3. 中建八局第二建設有限公司，濟南 250014)

0 引言

隨著Wi-Fi 技術的廣泛應用，越來越多的公共場所都實現了無線網絡覆蓋。 無線網絡為智能化建筑提供了有效的終端連接方式，同時也對其信息安全提出來更高要求。 而近年來，國家不斷加大對文化體育類場館設施的投入，高標準規劃、高質量建設、高品質配套、高效率運營的精品體育場館成為了各地建設體育場館的核心要求。 本文將以某大型體育中心為例，針對體育場館不同場所的信息安全需求，歸納無線Wi-Fi 覆蓋系統的設計原則并介紹相關技術的應用。

1 項目概況

本項目建設背景為2021 年9 月15 日開幕的第十四屆全國運動會主比賽場館，也是開、閉幕式所在地。 主要建設內容包括:6 萬座體育場、18 000 座體育館、4 000 座游泳館、室外熱身場地、檢錄處、室外廣場、綠化、道路及地下停車庫。 其中體育場坐席數6 萬座，為大型甲級體育場，是全運會開幕式主會場及田徑項目主賽場，同時滿足承辦亞運會賽事及田徑世錦賽等單項國際賽事需求，滿足賽后文藝演出、集會、全民健身的綜合利用要求，是集休閑公共空間和運動功能為一體的綜合型建筑。

項目總建筑面積約為108 283m2，地上5 層，屋面最高點42.36m，看臺觀眾席最高處直徑130m，主體結構形式為鋼筋混凝土框架結構，基礎形式為鉆孔灌注樁和獨立基礎。 體育場西看臺剖面如圖1所示。

圖1 體育場西看臺剖面圖

2 無線網絡安全要點

Wi-Fi 技術具有安裝便捷、使用靈活、經濟節約、易于擴展等優點。 但其特點是以無線射頻信號作為傳輸介質來傳遞業務數據，這種開放的信道使得攻擊者非常容易對在信道中所傳輸的業務數據進行竊聽、篡改。 因此，網絡安全性成為阻礙Wi-Fi技術發展的重要因素。

無線安全主要包括用戶接入安全和業務安全兩方面。 前者指用戶接入無線網絡的合法性和安全性，包括鏈路認證、用戶接入認證和數據加密；后者指保證用戶的業務數據在傳輸過程中的安全性，避免合法用戶的業務數據在傳輸過程中被非法捕獲。

本體育中心網絡需要對所有Wi-Fi 用戶終端進行接入管控，以保證整張網絡的安全，可隔離及修復不安全的終端。認證管理安全方案應能滿足身份鑒別、用戶授權等需求。 普通的終端用戶的身份鑒別應滿足如下需求:(1)符合安全要求的終端提供正確的用戶名和密碼后，可以正常接入網絡；(2)不符合安全的終端，只能接入到網絡隔離區，待終端安全修復后才能接入網絡；(3)不合法的用戶不允許接入網絡。

3 無線用戶接入認證比較

用戶認證通過后，需要根據終端用戶的身份認證，基于用戶角色來對網絡訪問權限進行管理，不但可以加強內網的網絡訪問控制，也可以防止非法接入和非授權訪問，保證整張網絡的安全。 設計中應針對不同用戶(運動員、裁判員、組委會官員、轉播機構成員、場館運維人員、文藝演出人員和觀眾等)選擇不同類型的認證方式。

常用的接入認證方式有MAC 認證、802.1X 認證、Portal 認證(Web 認證)、微信認證等。 其中，MAC 認證、802.1X 認證、Portal 認證對比如表1所示。

認證方法對比表 表1

綜合本體育場館的實際應用場景，無線網絡統一般采用MAC 優先Portal 和微信的組合認證方式進行用戶終端的準入控制。

系統應監控網絡中存在的非法設備、非法客戶端、干擾源、攻擊信息，支持用戶通過定義規則分類識別、遠程告警通知并提供對入侵的保護措施。 安全體系支持非法設備的統計、展示和反制；支持非法客戶端的展示、反制和抑制接入保護；支持非Wi-Fi 干擾源的統計和展示；支持攻擊信息的統計、展示和保護:支持用戶通過定義規則對非法AP 進行分類(類別分為非法、疑似非法、鄰居、疑似鄰居、干擾；支持的規則匹配指標為:鄰頻同頻干擾、信號強度、 SSID(模糊匹配/正則表達式匹配)、探測AP 數量、是否被攻擊等)。

4 無線網絡業務安全策略

根據《國家信息化領導小組關于加強信息安全保障工作的意見》和公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室工作指示，要求應能夠防護系統免受來自外部小型組織的、擁有少量資源的威脅源發起的惡意攻擊、一般的自然災難、以及其他相當危害程度的威脅所造成的重要資源損害，能夠發現重要的安全漏洞和安全事件，在系統遭到損害后，能夠在一段時間內恢復部分功能。

本項目的安全需求主要從以下幾個方面來考慮:(1)AP 分布在室外不同區域，應考慮防風、防雨、防盜竊、防破壞、防雷擊、以及電力供應；(2)AP應當具備高密覆蓋能力，要求支持小角度內置天線，避免同頻干擾；(3)網絡交換設備和系統服務器存儲設備應該部署在專業機房或管井內，應考慮防震、防風、防雨、防靜電等措施；(4)網絡需保證接入網絡、匯聚網絡、核心網絡的網絡帶寬能夠滿足本系統大數據的并發需要；(5)網絡拓撲結構需滿足當前網絡環境，并能夠滿足萬兆網絡的數據交換能力；(6)網絡的邊界應該部署訪問控制設備，有明確的訪問控制規則；(7)網絡系統應該具備安全審計，對網絡運行狀況、流量、用戶日志進行記錄；(8)網絡應具備防病毒系統，防止網絡病毒傳播。

按照GB/T 22240－2020 的要求，本項目信息系統安全保護等級按照第三級進行安全防護方案設計。 根據GB/T 22239－2019 及GB/T 25070－2019第8 章，對第三級防護的要求，將保護對象進行區域劃分，對不同的保護對象保護環境按照安全計算環境、安全區域邊界、安全通信網絡和安全管理中心進行設計。 圍繞“一個中心”管理下的“三重防護”體系設計思想，無線Wi-Fi 系統各部分設計列表如表2 所示。

系統應該對登陸操作系統和數據庫用戶的身份進行鑒別和區分，應啟用訪問控制功能，依據安全策略控制用戶對資源的訪問；對服務器上的每個操作系統用戶和數據庫用戶進行審計，操作系統應遵循最小安裝的原則，僅安裝需要的組件和應用程序，并通過設置升級服務器等方式保持系統補丁及時得到更新。

應提供專用的登陸控制模塊對用戶身份鑒別，提供唯一的用戶身份，應提供訪問控制功能，依據安全策略控制用戶對文件、數據庫表等客體的訪問，對覆蓋的每個用戶進行審計，審計記錄應包括日期、時間、發起者信息、類型、描述和結果數據在記錄和網絡傳輸過程應該完整，數據應加密，存儲系統應有數據安全機制如、熱備盤、設備N＋1 熱備。

網絡安全防護設計 表2

4.1 系統功能

Wi-Fi 系統承載場館的無線Wi-Fi 網絡，擔負著提供體育中心園區內所有人員的無縫網絡接入，網絡要求帶寬高、低延時、無瓶頸。 Wi-Fi 網接入互聯網，認證、防火墻、網關等安全系統要求高效可靠。

4.2 網絡架構

Wi-Fi 采用成熟可靠的三層網絡架構，采用層次化模型設計，分別為核心層(網絡的高速交換主干)、匯聚層(提供基于策略的連接)、接入層(將無線AP 設備接入網絡)，核心層同時上行接入出口網絡安全設備。 圖2 所示為網絡架構圖。

圖2 Wi-Fi 網絡架構圖

Wi-Fi 網采用有線“萬兆到桌面，40G 到核心”的帶寬設計；無線網絡部署最新一代的802.11ax 協議標準的無線接入點AP，AP 上行帶寬支持高帶寬，以充分滿足無線Wi-Fi 網絡的接入帶寬需求。 出口網絡部署防火墻、上網行為管理等安全設備，由于防火墻采用高端防火墻(遠高于技術規格要求)，能夠提供豐富的路由功能，因此取消原有路由器，在減少網絡管理節點的同時提高了轉發效率。 運維、控制管理系統旁掛在核心交換機上，對Wi-Fi 網進行安全管理、網絡運維、策略管控等。

考慮當前無線技術發展，獨立無線控制器AC或插卡式AC 的轉發性能僅局限在40G，不能滿足本次實際項目高并發的無線網絡流量沖擊，因此本次網絡設計中把AC 集成到核心交換機的業務板卡上，提供單槽位4Tbps 的高速無線轉發性能。 在網絡架構上實現了有線無線的融合管理、融合轉發，減少了網絡節點，同時核心交換機的相關業務板卡均支持AC 功能，實現了AC 的1＋N 熱備，保障無線管理的高可靠性。 AC 統一管理公共網的所有AP，并對無線用戶進行統一認證管理。

此外，考慮到當前體育中心總體預計人流量約8 萬人次(不含工作人員)，而傳統AC 的認證模式下的最大可接入用戶數在6 萬人左右，遠遠不滿足當前實際預估峰值用戶沖擊，屆時可能直接導致無線無法連接或者用戶體驗較差。因此，在本次設計中采用了目前業內較先進的有線無線一體化設計方案，以期實現認證模式下最大可接入用戶數在10萬人左右，充分保障整個體育中心的峰值用戶接入能力。

核心交換機、匯聚交換機采用業界領先的CLOS 架構的框式交換機，部署雙機物理集群，主備備份，保障網絡核心的高可靠。 匯聚到核心采用上行雙鏈路捆綁設計。 其中匯聚層交換機分別采用雙40G 鏈路上行到核心層交換機，當主用鏈路中斷后，迅速切換到備用鏈路的核心交換機，并上行出口到Internet。

匯聚層交換機作為業務網的三層網關和認證網關，在各業務系統中均屬于關鍵節點，因此對其性能及可靠性均有更高要求，本次設計中，匯聚層設備采用框式設備、CSS 物理集群技術，提供獨立雙主控、業務插槽以及冗余電源，不僅增強性能轉發能力，也提升了匯聚層的設備可靠性，并針對用戶終端支持多種接入認證(包括PPPoe、802.1X 等方式)，下發控制策略，增強業務系統的準入管控力度，提升整體網絡安全接入相關要求。

匯聚層向上到核心層，通過路由進行數據的交換轉發。 網絡的“匯聚－接入－AP”部署縱向虛擬化技術，把多臺匯聚、接入層交換機和AP 虛擬成一臺邏輯設備進行管理，統一運維。 表3 為Wi-Fi 網系統設備分布情況。

Wi-Fi 網系統設備分布表 表3

4.3 無線AP 接入

隨著IEEE 802.11ax 標準的正式推出，支持802.11ax 協議標準的無線AP 帶寬超過10G，而當前1Gbps 千兆接入以太網交換機已無法滿足無線AP 的高帶寬要求，亟需提升無線網絡的接入端口速率。 表4 為Wi-Fi 通訊協議對比情況。

Wi-Fi 通訊協議對比表 表4

由于本次Wi-Fi 網的無線AP 采用最新的802.11ax 標準，故無線網絡的接入層交換機應當具備多速率的帶寬接入能力，即接入交換機能夠支持1G/2.5G/5G/10G 的多速率端口擴展，才能充分滿足無線AP 的上行帶寬出口要求。

由于接入電口的帶寬和速率的提升，對傳輸介質網線也提出了更高的要求。 表5 為傳輸線纜選型情況。

傳輸線纜選型表 表5

由表5 可知，目前業界主流的多速率電口接入交換機支持的線纜，要求2.5G 電口至少是Cat5E STP 線纜，5G 電口至少是Cat6 STP 線纜。 本次無線Wi-Fi 網絡統一部署Cat6 STP 線纜， 滿足802.11ax 標準AP 的要求。

4.4 大數據安全整體方案

Wi-Fi 系統作為體育中心承載賽事活動時，工作人員的高頻度接入、使用的無線Wi-Fi 網絡，同時接入Internet，為了能快速識別網絡中潛在的安全威脅，并通過拓撲和列表等多種方式，將安全態勢直觀的展現給網絡管理員，并輕松方便的掌握所有資產的安全情況，應當具備基于傳統網絡安全特性的增強安全方案。

通過大數據采集技術，采集并處理網絡報文的流數據，以及網絡設備、安全設備的傳統網絡安全特性運行記錄的日志信息，通過關聯數據分析技術提取出安全威脅事件信息，最終在網絡系統統一展現全網的安全態勢，并自動或手動對安全威脅事件做安全響應。 方案架構如圖3 所示。

圖3 大數據安全整體方案架構圖

大數據安全整體方案的優勢在于:(1)感知全網安全態勢，有助于客戶直觀理解全網安全態勢，并可以根據區域、關鍵資產去查看對應的風險，并給出處理建議；同時，運維人員可以快速找到自己負責的區域和資產，并根據安全狀態和處理建議對這些設備進行系統升級、安裝補丁等安全加固的工作。 (2)快速發現安全事件，基于強大的日志采集和關聯分析技術，以及可覆蓋網絡常見安全威脅，幫助客戶實時快速發現網絡中的安全威脅事件。(3)快速進行安全響應，通過告警手段第一時間通知運維人員安全威脅事件，并可以進行自動的安全策略聯動，對安全威脅進行控制，防止和降低其對網絡和業務的影響。

5 結束語

在設計Wi-Fi 無線覆蓋系統的過程中，需要綜合考慮認證方式、網絡架構等多個因素進行綜合計算，根據不同場景和使用需求確定安全策略，最終得出最佳的部署方案。 期望本網絡安全系統的成功部署，能為后續其他場館的無線覆蓋設計提供良好范例。