这个问题在酒店做WiFi认证选型时经常出现。认证系统本身会记录认证日志,那还有没有必要再单独部署一台日志服务器?两件事的分工是什么?
先说结论:认证日志和上网行为日志是两种不同的数据,对于有合规要求的酒店,两个都需要,认证系统里的日志满足不了全部的合规要求。
认证系统的日志主要记录认证事件:这个手机号在什么时间通过了认证,是哪个IP,连的是哪个SSID,认证成功还是失败,账号什么时候到期。
这些数据是认证层面的记录,能回答的问题是"谁上了网"、"什么时候上的"、"用了什么身份"。
日志服务器采集的是上网行为日志,记录的是通过认证之后,这台设备访问了哪些地址、产生了多大流量、访问时间段是什么。具体字段包括:终端MAC地址、IP地址、访问的域名或目标IP、上网起止时间、流量大小等。
公安合规对日志的要求,说的就是这类数据,不只是认证记录。《互联网安全保护技术措施规定》要求留存的日志,涵盖用户上网行为的完整记录,而不仅是"谁认证了"这一条。
简单说:认证系统负责"谁能上网";日志服务器负责"上了网之后干了什么"。
只有认证系统,你能知道某个手机号在某个时间段连了网,但无法回答"这台设备访问过哪些网站"。只有这后一半数据,才能在出现安全事件时做到行为溯源。
从合规角度,网监检查时需要的是完整的上网行为记录,如果只有认证日志而没有行为日志,在检查中属于不达标情况。
对于规模小的酒店(50间房以内),通常不会单独部署一台日志服务器,而是用一台轻量化的审计网关代替,把认证和日志两个功能集中在一台设备上。
审计网关的工作方式是接在主交换机的镜像端口上,把经过的流量抓下来分析,生成日志并上报到网监系统。这种方式不需要改动现有网络的流量走向,对已有网络的影响小,但采集深度和数据完整性不如专门的日志服务器。
对于房间数超过100间的中大型酒店,建议认证系统和日志服务器分开部署,原因是认证系统出故障时,日志不能跟着一起停。如果两个功能集中在一台设备上,设备故障就会同时影响认证和日志,认证层面的问题让客人上不了网,日志层面的问题让合规出漏洞,两个风险叠在一起。分开部署之后,认证系统出问题,日志服务器还在采集;日志服务器出问题,认证流程不受影响。
法规要求不低于6个月。实际操作中,本地存储和云端存储各有利弊。
本地存储的好处是响应速度快,数据不离开酒店内网,对隐私管理更可控。坏处是需要购置和维护存储硬件,容量规划要提前算好,容量不够会出现日志覆盖的问题。
云端存储不需要本地硬件,容量弹性,成本按量计费。坏处是日志传输依赖网络,如果酒店出口网络断了,在断网期间产生的日志可能无法及时上传,需要有本地缓冲机制作为兜底。
连锁酒店通常选云端集中存储,所有门店的日志统一归集到云端,总部可以统一查询,不需要每家门店维护本地硬件,运维成本明显低于本地分散存储。
有一种情况不少见:认证系统在跑,日志服务器也在跑,但日志服务器的磁盘悄悄写满了,新日志进不去,而没有人知道。这种情况下,酒店以为日志一直在记,但其实已经断了一段时间,等到真正需要调日志的时候才发现有空档。
日志服务器需要配置存储告警:容量超过阈值(比如80%)时发告警给管理员,留出时间在日志覆盖之前扩容或者清理旧数据。这个告警机制不是选配,是必须有的。
除了容量,日志的写入状态也需要定期确认。建议每个月抽查一次:随机取某一天某个时段的日志,确认记录连续、字段完整。如果发现某段时间日志空白,要排查是设备故障、网络中断还是配置问题,尽快补救或备案说明。
网监上报是独立于日志存储的另一件事。日志存在本地或云端是酒店自己备份用的,网监上报是按规定向公安系统提交数据。两件事不能混为一谈。
网监上报的接口规范各地略有不同,但基本都有标准接口。认证系统或日志服务器需要支持对接当地网监系统,定期或实时推送数据。选型时要明确确认这一点,而不是上线后才发现对接格式不对。
有些地区的网监系统要求供应商预先完成入网认证,只有通过认证的产品才能接入。这个资质问题在选型时就要确认,不要等到方案定了才发现产品不在当地的认可名单里,影响项目进度。
English