网店经营者信息公示

广州云羲网络科技有限公司 网店商家

信誉等级:
主营业务:
服务器,交换机,无线接入器,防火墙
资质认证:
该商家通过身份认证 该商家通过资质认证
开店时间:
2017-12-08
联系人:
刘先生
联系电话:
13719277025
店铺地址:
广州市天河区长福路207号长兴智汇商务中心D座205B
进入店铺
关注微信

扫一扫,关注微信


XXX银行全国营业网点

WI-FI解决方案

 

 

一、 概述

一.1 项目简介

随着手持智能终端在大众中的普及,移动互联网促使新金融时代到来。新金融时代激化了原有的网络架构繁琐,操作复杂的矛盾。新的时代下,移动支付社交媒体、互联网金融等对原有的金融游戏规则造成了较大的冲击。各大金融机构纷纷发布了各自的新业务,这对网络架构提出了新的要求

银行在营业厅内提供免费WiFi服务,给银行带来了极高的人气。有数据初步分析,营业厅内部署WiFi系统,可分流20%以上前来办理业务的人员,通过手机网上银行办理业务,平均节省30%的排队等候时间。当客户在等候时,可使用WiFi免费上网,分散等待注意力,从而减少客户排队等待时间过长的抱怨,提升客户满意度。

目前国内多家银行开始在营业厅部署WiFi,以提高客户的服务水平,其中光大银行提出打造客户体验最好的电子银行,在全国各分行陆续推出了无线营业厅的概念,受到了广泛认可。

一.2 面临挑战

银行营业厅的WiFi通过两种方式提供,第一种是银行单独租赁运营商线路专门供营业厅WiFi使用,第二种是使用营业厅内办公网的网络,利用无线AP提供WiFi服务。无论使用哪种方式,银行营业厅在提供WiFi服务时,都需要考虑以下问题:

上网用户身份确定:用户在使用WiFi网络前需要一套身份认证的方式,以便确定哪些用户在使用;

发表免责声明:银行营业厅是一个公共上网场所,客户在营业厅的上网行为不应该由银行来承担,因此银行需要说明上网政策,发表免责声明。

保障上网体验WiFi网络带宽有限,若有客户使用在线流媒体或下载大流量的电影类文件,将影响其他使用WiFi网络客户的上网体验,因此需要针对使用网络的用户做一定的流量限制。

提供健康上网环境:客户在营业厅上网浏览不健康的网页,发表不负责任的言论,将给银行带来一定的影响,在必要的情况下,银行需要限制部分应用,提供上网用户的行为记录给相关部门,以供追查。

一.3 建设目标

银行网点为提升自身的服务水平和办公效率, Wi-Fi覆盖已经成为必须的配备。总体来说金融网点WLAN建设最大的需求在于更好的业务运营和提高客户体验。

(1) 网点客户、员工高速上网

部署WIFI的银行网点往往能够吸引更多的客户来光顾,提升客户的体验和满意度。而在大部分银行网点都部署WIFI的情况下,用户体验则成为客户对比的重要考虑。高速、稳定的上网既能提高客户的满意度,同时能提升银行网点的档次、形象。高速的WIFI体验,让客户的业务体验倍增,提升了客户满意度,增强了客户忠诚度。

同时,高速的无线网络也大大提高了内部员工的办公效率,提升了内部体验。例如,员工利用无线网络帮助客户下载网银、办理业务等,高速的无线网络是良好服务的前提。

(2) 网络安全风险的规避

进入营业网点的客户能访问互联网网页,发帖、发微博等等,营业网点本身无法对这些行为做出限制。当客户中有人发布不良信息导致一些严重的安全事件或者政府事件时,公安机关和营业网点希望能追查信息发布来源,从而进行网络安全风险的规避。

(3) 金融网点广告推广、营销

银行每年会在广告营销方面投入大量的费用,相对与传统平面广告平台,WIFI平台指向性更好、针对性更强、客户粘度更高,如果能结合WIFI平台进行广告推广、营销,则可大大提高WIFI建设的回报收益。利用WIFI平台的广告效应,可显著提高银行网点的营销能力,同时降低营销成本。

(4) 整体无线网络安全建设

不同于有线网络基于物理端口进行安全防御,无线信号因其自身特点,覆盖区域内的任何人员都能看到无线信号,对银行网点而言,IT资源就是资产,难免会存在一定盗用账号、非法接入的安全威胁。移动应用层出不穷,如果客户通过移动终端连接上WiFi,再通过WiFi进行非法操作,比如:网络散播非法言论、浏览非法网站等,这将给无线网络带来极大的法律风险。

一.4 建设原则

信息化建设是一个系统工程,银行WIFI系统建设应按照统一规划、统筹安排,统一标准、相互配套的原则进行,依托银行信息化建设进程,服务集团总体的建设蓝图规划。采用先进的平台化建设思想,避免重复投入、重复建设,充分考虑整体和局部的利益,坚持近期目标与远期目标相结合。

在进行信息化系统方案设计、规划时,应遵循以下原则:

整体安全原则

一个由许多块木板组成的木桶,如果组成木桶的这些木板长短不一,那么这个木桶的最大容量不取决于长的木板,而取决于最短的那块木板。同样,一个由许多信息安全设备组成的信息安全防御系统,其信息安全防御水平取决于针对某种信息安全风险性能最低的信息安全设备。

积极防御原则

随着黑客技术的提高,对信息安全也提出更高的要求。防御黑客除了传统的边界防御设备外,还需具备智能化、高度自动化、响应速度快的信息安全产品,配备技术力量雄厚、响应及时的本地化服务队伍,才能做好各种预防检测工作,达到防患于未然。

多重保护原则

任何安全防御措施都不是绝对安全的,都可能被攻破。但是建立一个多重安全保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全,才能够有效抵御各种安全风险。

一致性原则

一致性原则主要是指信息安全问题应与整个网络的工作周期(或生命周期)同时存在,制定的安全体系结构必须与网络的安全需求相一致。安全的网络系统设计(包括初步或详细设计)及实施计划、网络验证、验收、运行等,都要有安全的内容及措施,实际上,在网络建设的开始就考虑信息安全对策,比在网络建设好后再考虑安全措施,不但容易,且花费也小得多。

易操作性原则

安全措施需要人去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。其次,措施的采用不能影响系统的正常运行。不能够违背信息化建设必须以应用系统为基础,满足业务高效、易操作的原则。

可扩展性原则

由于网络系统及其应用扩展范围广阔,随着网络规模的扩大及应用的增加,网络脆弱性也会不断增加。一劳永逸地解决信息安全问题是不现实的。同时由于实施信息安全措施需相当的费用支出。因此充分考虑系统的可扩展性,根据资金情况分步实施,既可满足网络系统及信息安全的基本需求,亦可节省费用开支。

标准化原则

在软件、硬件、网络、安全和制度建设等方面都必须遵守国家和行业的相关法规、标准和规范。充分考虑工作特点,补充和完善符合实际的组织业务信息标准。


二、 信锐解决方案

二.1 整体建设框架

根据用户无线网络需求情况,结合信锐产品自身技术特点,为了满足XXX银行本次无线升级改造需求,构建一个高速、稳定、安全、可靠、易于管理的无线接入网络的需求,设计如下图所示的网络架构。

 

简要说明

(1) 采用分布式两中心,AP+AC的企业级组网方式。中心AC采用旁路部署模式,不影响原有网络拓扑结构,也不影响原有的无线网络;

(2) 两中心无线控制器分别管理南北方营业网店的AP两中心分别采用主备控制器冗余,两中心之间控制器相互冗余。

(3) 信锐无线控制器内置网管平台、无线上网行为管理、无线安全准入平台,可实现对新建区域无线的高级别安全防护,做到基于无线用户的深度上网行为管理以及流量控制,同时无需额外增加建设成本;

(4) 信锐无线控制器内置 portal认证平台,实现对外部访客的微信认证、临时访客认证等基于portal的认证方式(如果需要变更目前外部访客的PSK认证方式)。

 

二.2 覆盖方案

二.2.1 AP选型及点位设计

根据现场初步勘测,本次建设主要有以下几个典型场景:

营业网点大厅

在营业网点大厅区域采用吸顶或者壁挂方式进行无线信号的覆盖。采用双频无线AP覆盖,保证营业网点大厅区域的网络体验。

 

二.2.2 AP点位部署分布设计

根据工勘情况而定。

二.3 上网认证设计方案

二.3.1 办公区员工认证

二.3.1.1 802.1X认证

员工无线上网方式要求安全和可管理。无线控制器与银行AD域系统对接,提供每个人独一的账号和密码。在部署基于证书认证( EAP-TLS)或用户名、密码认证( PEAP-MSCHAPv2)的企业无线网络时,由于接入无线网络的终端类型众多,不同平台的无线网络配置方法各不一致。这高了用户接入无线网络的难度,降低了用户体验。因此在大规模部署无线网络时,如何让所有无线终端都能快速,安全的接入无线网络将成为一个挑战,对于大部分行业客户的 IT 管理员来说更是难以接受的挑战。

信锐供的 802.1x 认证一键配置,让安全和方便同时兼得

二.3.2 网点访客认证

二.3.2.1 微信认证

通过信锐无线提供的微信认证功能,访客进入营业厅大厅,接入无线网络,将被定向到指定提示页面,提示访客关注微信号然后即可获取上网权限,访客关注微信号即可上网,通过微信吸粉帮助银行获得大量的线上用户,也便于企业广告、业务推送和宣传。

 

二.3.2.2 银行APP认证

移动互联网时代,APP逐步成为主流,通过WIFI营销,可以快速分发银行APP应用。顾客在访问互联网的时候,只需要安装或者运行银行APP,即可快速获取访问互联网的权限,推广招商银行的业务APP,提升银行APP的装机量。

 

二.4 无线安全设计方案

二.4.1 无线网络物理隔离

根据XXX银行全国营业网点需求,营业厅无线网络采用物理隔离,单独的上网出口。避免与内部网络发生数据交互,从而引发安全事故,泄露银行客户的信息。

二.4.2 动态黑名单,自动封堵攻击源

无线控制器NAC联动上网行为管理会实时监控XXX银行网点无线网络安全情况,如果网络中出现攻击终端,无线控制器会将其自动列入动态黑名单,在一段时间内禁止其接入。一段时间后检测如果该终端还存在攻击,则继续列入黑名单。如果恢复正常则允许其接入。

二.4.3 全面的应用、URL识别,禁止访问非法网络

XXX银行网点用户可能出现的访问非法应用、URL的情况,信锐无线系统具备全面的应用、URL识别,涵盖目前主流网络应用和URL,识别率高,可精确控制用户上网行为,防止访问非法网络,提高网络安全性,规避法律风险。

 

二.4.4 防钓鱼Wi-Fi

钓鱼WiFi是黑客或不良分子在公共场所搭建“免费”WiFi,或者搭建与银行无线网络相似或相同的无线网络(SSID),诱使用户访问虚假的无线接入点,从而达到截获其账号、密码等信息的目的。通过非法接入点反制(防钓鱼),AP会实时对周边的无线信号进行检测,对存在的钓鱼接入点、异常WiFi信号进行反制,防止用户误连入与银行一样或类似的Wi-Fi网络,避免上网用户的银行钱财、隐私信息被盗。

二.5 Wi-Fi增值设计方案

二.5.1 Wi-Fi大数据-业务增值点

二.5.1.1 身份数据收集客流分析

收集营业厅客户的终端MAC地址、出现时间、驻留时长、出现次数(要求顾客的手机打开WiFi功能),通过微信认证可以获取到顾客的微信昵称、性别等信息,通过短信认证可获取到顾客的手机号码。

利用无线网络即可智能统计并分析客流情况,任何在信号覆盖范围内的开启WiFi的智能手机等移动设备,都可以被营业厅WiFi监测到并记录下来,包括手机MAC、出现时间、出现次数、驻留时长等,无需额外部署特殊设备。

 

二.5.1.2 大数据展现用户线上金融行为

记录顾客使用的应用程序和访问的网站等上网行为,提供应用类型、URL、热门论坛、论坛热帖排行,可分析顾客最爱使用的应用类型TOP;可以查看某类具体的应用类型的应用TOP,如查看用户最爱使用的社交网络TOP;可以查看到具体哪些用户喜欢使用这种应用类型。

 

URL应用TOP10展示

二.5.2 线上顾客用户画像

二.5.2.1 整体用户画像

用户画像功能是利用无线网络收集到用户数据(包括用户网络身份信息、网络访问行为、上网行为等信息),对所有用户的数据进行大数据分析的实际落地。利用一种非常形象、直观的画像方式呈现给商家,让商家了解自己顾客的客户群体、兴趣爱好、消费习惯等数据。

用户画像可以汇总用户的用户标签、轨迹分析、来访偏好、上网高峰时段、Wi-Fi使用时长分布、顾客归属地域分布、性别比例、终端类型分布、来访频次分布、驻留时间分布等数据分析。

 

二.5.2.2 单个用户画像

单个访客画像能够直观的表达出单个用户的画像情况,包含:归属地、应用标签、驻留时间、wifi使用时长、出现日期、出现时段、来访频次、活动时光轴、终端类型等。

 

 

二.6 无线网络稳定性设计方案

二.6.1 无线冗余方案

二.6.1.1 AC 1+1冗余

全国营业网点的的数量众多,采用分布式两中心方式在每个中心部署2台控制器,实现企业无线网络的冗余灾备,增加网络可靠性,避免单点故障。

台控制器实现冗余热备方案,一台为主机,一台为备机当主机运行正常时,备机处于待命状态主机上的必要配置(例如WLAN配置,用户信息等)同步到备机上面,一旦主机出现运行故障,则AP自动切换到备机上运行,保证用户业务不中断;当主机恢复后,AP切换回主机。

二.6.1.2 AC N+1冗余

总部的管理员,可以通过总部的控制器去管理分支机构的控制器,从而实现了权限管理的分权分级。在权限管理分权分级的同时实现了N+1冗余备份,比如某分支机构的控制器由于某原因导致断线,那么总部的控制器可以接管分支机构的AP,从而保证了无线网络永不断线,形成N+1的备份机制。

二.6.1.3 AP灾备冗余

传统的AC+ FIT AP网络架构,AC作为无线网络中最核心的设备,当AC宕机之后,无线网络将变得不可用,通过AP灾备冗余方案,当AP与无线控制器因外界因素(如AC宕机、控制器与核心交换机网线断开)造成的通信连接断开后,自动启用应急策略或应急SSID,新接入的用户会划分到指定的应急VLAN以及分配相应的应急角色,仍然能保证用户正常上网以及新用户的认证接入,当网络恢复正常时,这些用户会从灾备角色中剔除,提高网络的稳定性和可靠性。

二.7 无线管理运维设计方案

二.7.1 移动运维-信锐云助手APP

 随着移动互联网的发展,传统的无线从机房逐渐向移动端转移。无线管理不但能够用电脑通过传统的web页面进行管理,也可以通过手机APP(信锐云助手)去管理(安卓市场或者APP store下载),所以在管理无线网络方面,信锐也走进了移动互联网化。信锐云助手主要是为了帮助用户通过手机远程去管理无线控制器。

 

信锐云助手管理界面

二.7.2 控制器集中管理

信锐无线控制器集中管理功能,也就是控制器N+1功能,即在N个地方分别部署一台无线控制器,然后通过一台无线控制器对所有的无线控制器进行统一集中管理,配置包括:建立无线SSID、配置访问权限、流控策略等。除了涉及到网点控制器物理端口和下面所管理的AP的物理端口相关配置,比如网点控制器的接口IP、接口VLAN以及一些不常用的配置,无法做到统一管理之外,其他的都可以。

二.7.3 分权分级管理

信锐无线控制器拥有丰富的管理员控制权限,通过管理员分权分级,可以灵活的、精细的控制每个管理员的管理权限,方便网络的维护管理。

管理员类型分为超级管理员、普通管理员、营销管理员。超级管理员可以配置、修改无线控制器上所有的配置,普通管理员是由超级管理员分配的,不同的普通管理员可以是不同的管理权限,营销功能和控制器网络功能属于截然不同的功能范畴,因此信锐无线将营销管理员从管理员中独立开来,保证营销人员发挥他们的营销专长,使其专注于营销策略的配置,并且不用担心错误的操作影响控制器的网络功能。

二.7.4 AP零配置

所有无线热点的配置统一在无线控制器上配置,部署简单,配置简易,实现用户零学习成本。配置支持自动以及手工备份和还原,双重保证无线热点的24小时不间断运行。

二.7.5 云升级

所有无线热点支持从云端自动升级到最新的版本,不同硬件型号AP能自动判断并完成升级,无线客户手工干预,降低了后续升级维护成本。客户可选择夜里自动升级,减少白天升级导致的业务中断问题。

二.7.6 可视化的热点地图

新金融趋势下业务的快速发展,无线热点部署剧增,无线管理面临着复杂的设备管理问题。可视化的热点地图,通过地图展示可有效地帮助网络管理人员快速地分析和掌握设备的实时运行状态和负载情况。该特性以地图式的展现方式,分层管理设备,以掌握设备的实时运行状态。

 

AP可视化展现

二.7.7 远程AP智能连接

部分企业分支部署远程AP,需要接入到总部的无线控制器,以便通过无线网络访问总部的资源,而企业总部的出口IP经常变换,给远程AP连接总部带来极大的困扰。

信锐技术提供智能连接技术,总部IP变换对于远程AP而言是透明的,不需要任何手工操作便可快速地恢复网络,保证业务不中断。


三、 案例介绍

三.1 招商银行全国营业厅

 

项目背景

招商银行,是中国第一家完全由企业法人持股的股份制商业银行,简称招行,成于198748日,由香港招商局集团有限公司创办,是中国内地规模第六大的银行、香港中资金融股的八行五保之一。

由于之前招行网点采用他人代建部署的无线,出现网络不稳定、用户信息不可控、无法获取用户上网行为等劣势,本次项目决定对招商银行全行网点WIFI进行改造,完全由招行自建。

建设需求

(1) 全国1800多个营业网点无线覆盖;

(2) 为顾客提供一次登录、多次有效;一地登录、多地有效的上网方案

(3) 收集客户登陆网络信息,收集用户的网络身份及上网行为

(4) 向招行顾客提供精准营销信息推送服务。

解决方案及方案价值

采用AP+两台万兆控制器方式部署无线网络,控制器旁挂于核心交换机,做本地转发,无线控制器部署在深圳中心机房;

全行网点客户端统一认证、上网流本地转发;

通过后台统一认证管理平台集中管理全行无线客户端认证;

采用短信认证、APP认证为用户提供便捷的无线接入,并提供APP缓存加速下载方案;

网点网监设备监测用户上网行为,实时或定期报备审计数据至当地公安部门;

通过VPN保证网点与总部的传输数据安全,网络设备与数据中心之间传输数据安全;

 

<
随时随地逛店铺 手机逛更方便