企业部署企业无线上网认证，有时候不是因为有强烈的安全需求，而是被合规压着不得不做。公安网络安全检查、等保评测、客户安全审查——只要其中一个来临，网络接入的身份记录和日志留存就会被翻出来问。

这篇文章说清楚企业无线上网认证在合规层面要满足什么标准，日志要记到什么程度，以及常见的合规漏洞在哪里。

公安合规要求的核心是什么？

《网络安全法》和公安部门的相关规定里，对提供互联网接入服务的场所有明确的技术要求，核心是两点：实名认证和日志留存。

实名认证，是指能够通过用户的上网行为追溯到真实身份。企业内部员工走AD域账号认证，本身就满足实名要求，因为域账号跟员工信息绑定。访客如果走手机短信认证，输入手机号发验证码，手机号跟身份证绑定关系由运营商维护，同样满足实名溯源要求。

日志留存，是指记录每个用户的上网行为——接入时间、下线时间、使用的设备（MAC地址）、分配的IP地址，以及访问的流量记录。公安的要求是日志保存不低于180天，这是硬性标准，不是建议值。如果公安来检查，上来就会问这个日志能查多久，180天以下会被记为整改项。

蓝海卓越的认证系统默认记录用户上网日志，包括接入账号、设备MAC、接入IP、接入时间、断线时间、上下行流量。日志在系统本地存储，可以按时间、用户、设备等条件查询，支持导出给公安部门提供证明。

实名认证做了，日志留存没做，也不行

很多企业只做了认证，没有认真对待日志留存，检查时麻烦照样来。常见的问题有两种：

第一种是日志存储空间不够，系统自动覆盖旧数据。认证系统每天产生大量日志，如果磁盘空间只分了50GB，跑三个月就满了，旧日志开始被自动清除，180天的要求就无法满足。这个问题在系统上线前就应该按日志产生量估算存储需求，提前分配好。

第二种是日志内容不完整。有些简单的认证方案只记录"谁认证了"，不记录具体的上网行为，或者只有认证日志、没有流量日志，公安要求的字段对不上。不同地方公安检查的要求细节不完全一样，但基本要素是相通的：谁（身份）、什么设备（MAC）、什么时候（时间戳）、上了多长时间（时长），这几个字段缺一不可。

等保评测对网络认证的要求

做过等保二级或三级评测的企业都知道，网络访问控制是必检项目之一。评测机构会查：

是否对网络边界进行访问控制，是否有针对用户身份的认证机制，是否记录访问行为，是否能对异常访问进行追溯。

这些要求跟公安合规的方向高度重叠，但等保对技术实现的要求更细。比如等保二级要求"应采用校验技术或密码技术保证网络数据传输的完整性"，这涉及到认证过程是否用了HTTPS、是否防止账号密码在无线传输中被截获。

蓝海卓越的Portal认证页面支持HTTPS，账号密码传输过程加密。802.1X认证走的是EAP协议，本身就是端对端加密的认证机制，在等保层面符合要求。如果企业有明确的等保评测计划，选方案时要把这个作为确认点，而不是等评测机构查出来了再补。

多SSID场景下，访客的日志该怎么记？

员工和访客走不同SSID的情况下，两类用户的日志是分开记录的，但都要满足留存要求。

访客日志里，认证账号就是手机号（短信实名认证的情况），关联的设备是MAC地址。如果同一个手机号在不同时间段用了不同的设备连网，日志里会有多条记录，都保留着。

有些企业做访客认证用的是"临时密码"方式——前台给访客一张卡，上面有WiFi密码，访客自己连——这种方式不满足实名要求，因为密码是共享的，无法从密码追溯到真实身份。如果有合规要求，访客认证必须要么走短信验证，要么走扫码授权，不能用共享密码应付。

日志审计系统对接问题

规模较大的企业通常有独立的日志审计平台，比如奇安信、深信服的日志审计系统。这类系统会从各个设备和应用收集日志，统一存储、统一分析、统一出报告。

认证系统的日志能不能对接进去，取决于两端的格式是否匹配。通常的对接方式是syslog推送，认证系统把每条上网记录实时推送到日志审计系统的指定端口，日志审计系统接收并存储。

这里有一个实际操作中容易出现的问题：认证系统推送的日志字段名称和日志审计系统期望的字段名称对不上，需要做字段映射配置。如果认证系统厂商和日志审计系统厂商各自按自己的规范定义字段，对接时就需要中间做适配。这不是大问题，但要提前把两边的字段定义文档拿出来对一遍，不要等系统都上线了才发现日志进不去。

结合企业实际，几个最容易被忽视的企业无线上网认证合规漏洞：

一是访客用共享密码上网，不做实名。这在小型企业里很常见，改起来成本低，但一直没人推动。

二是日志存储到期覆盖，没有人定期检查存储余量。日志满了之后系统不一定会报警，运维人员发现时可能已经丢了几个月的数据。

三是员工离职后账号没有及时注销，还能连接公司WiFi。这既是安全问题，也是合规问题，出了事责任很难界定。

四是认证系统和业务网络之间没有做隔离，访客通过认证后能访问到内网资源。这个在等保检查里是明确的整改项。

这几个问题不需要换系统才能解决，通常是在现有系统上做配置调整就能覆盖。蓝海卓越在做企业项目时会提供合规对照表，帮助客户逐项确认，而不是只交付一套系统就算完。