这两年碰到过几家企业，在做IT改造的时候主动提到"合规问题"，但问他们具体合规要求是什么，很多人答不上来，大概知道需要有上网记录，但对具体要保留多久、保存什么内容、谁有权查看，说不清楚。这种情况下做出来的企业无线上网认证系统，往往表面看着合规，实际上是残缺的。

国内对企业网络合规最直接的要求来自《网络安全法》和《互联网安全保护技术措施规定》（公通字〔2005〕82号）。后者有一条明确要求：提供互联网接入服务的单位，必须记录并留存用户上网日志，保留时间不少于六个月。对企业来说，只要员工通过公司网络上网，公司就是"提供互联网接入服务"的主体，这条要求适用。

合规的核心是"用户身份-上网行为-时间戳"三者绑定

光有上网日志还不够，日志里必须包含三样东西：是谁上的网（用户身份，至少到手机号或者员工工号这一级）、上了什么网（目标IP或域名）、什么时候上的（时间戳）。这三者缺一不可。

最薄弱的一环通常是"用户身份"。很多企业的无线认证只记录了终端MAC地址，而不是真实的用户身份。监管部门要查的时候，你告诉他"这个IP是MAC地址aa:bb:cc:dd:ee:ff的设备访问的"，但没办法说出来这台设备是谁的，这条记录在合规层面等于废的。

企业无线上网认证系统必须把用户身份绑定到每条上网记录上。具体实现方式是：用户认证通过时，认证系统记录用户ID（手机号/工号）加认证时间加终端MAC；流量日志记录IP加目标加时间戳；两张表用IP-时间区间做关联，就能把每条流量记录对应到具体用户。

访客认证的合规底线比员工认证更高

员工认证至少知道是公司员工，出了问题可以内部追查。访客就不一样了，一个陌生人进来用了你的Wi-Fi，如果发生违法行为，公安追查到你的网络出口，你必须能提供这个人的真实身份信息。

这也是为什么短信认证成为访客认证主流：手机号实名制背书，短信验证码认证相当于完成了对访客的实名认证。用短信认证的日志加电信运营商的实名信息，基本可以满足公安部门的调查需求。

访客认证日志里，除了手机号和时间，最好还能记录接待人信息。这不是硬性要求，但在发生纠纷的时候，有接待人记录能大幅降低企业责任，能证明"访客是被具体员工带入并授权的"，而不是随便哪个路人都能连。

日志保存的几个实操问题

六个月的日志保存要求在实际操作中有两个容易出问题的地方。

第一是存储空间。大型企业每天的上网日志量可能达到几十GB，六个月累计下来是相当大的量。如果认证服务器磁盘没做好规划，日志可能在到期之前就被覆盖。这个问题的解决方案是定期把日志归档到独立的存储系统，而不是放在认证服务器的本地磁盘上。

第二是日志完整性。六个月前的日志不能被篡改。如果有人知道六个月后要查某个记录，提前删了怎么办？合规要求的日志应该存储在只追加不可删的系统里，或者定期做哈希校验，确保日志没有被修改。这在很多企业的实际部署里都是缺失的。

还有一点：日志系统本身要有访问控制。能查日志的人应该是有限的、有记录的。如果任何有服务器权限的人都可以随意查员工的上网记录，这本身就是一个隐私风险，也可能触发另一类合规问题。

等保合规对企业无线认证的额外要求

如果企业有等级保护评定，对企业无线上网认证的要求会更严。三级等保明确要求：无线网络的接入认证方式必须使用加密协议（WPA2或WPA3），禁止明文传输密码；用户认证凭证不得缓存在终端本地（防止终端丢失导致账号泄露）；认证系统本身需要有登录审计，防止未经授权的管理员操作。

WPA2/WPA3这个要求执行起来没有太大难度，现在新出的AP默认都支持WPA3。麻烦的是认证凭证不缓存的要求，在802.1X模式下，证书通常存储在终端设备上，这和"不缓存在终端"的要求有冲突，需要用PEAP-MSCHAPv2等不依赖客户端证书的认证协议来规避。

有些行业还有特殊的合规要求。金融机构对网络接入管控的要求高于一般企业，需要严格的网段隔离和终端入网白名单；医疗机构如果无线网络覆盖到涉及患者数据的区域，要符合电子病历系统的安全要求，认证和权限管控不能马虎。

合规不等于安全

有一个常见的误解需要纠正：合规系统不等于安全系统。企业无线上网认证满足了日志保存、实名认证等合规要求，并不意味着企业网络就安全了。合规是监管底线，安全是另一个维度的工作。

把合规要求当成最高标准来做，结果往往是：监管来查的时候没问题，但企业内部发生数据泄漏、员工违规操作等情况时，认证系统根本帮不上忙。企业无线上网认证的价值，在合规之外，还应该包括对异常行为的实时检测和响应能力，这部分往往要结合日志审计系统、行为分析工具才能做到，单靠认证系统本身是不够的。

理解这个区别，有助于企业在建设网络安全体系时分清优先级，不把全部预算花在"表面合规"上，而忽视了更深层次的防护建设。