前两天一个做酒店弱电集成的老朋友跟我抱怨，说他接手了一个连锁酒店的WiFi改造项目，甲方第一句话就是"你们这个方案能不能过公安审计"，然后第二句话是"能留多少天的日志"。他当时有点愣——以前做酒店WiFi，甲方关心的是信号稳不稳、能带多少设备、速度快不快，什么时候开始关心日志留存和审计合规了？

这个问题其实代表了整个酒店行业WiFi建设的方向转变。再过三年前，酒店做WiFi更多是解决"客人能不能上网"的问题。但现在，但凡要新开酒店或者做网络改造，合规已经成了避不开的前置条件，甚至比WiFi体验本身更先进入采购决策。

这篇文章不想讲虚的，什么政策利好、行业发展趋势，就想从实操角度把一个问题说透：酒店WiFi做合规认证，到底是解决什么、怎么解决、解决到什么程度算合格。

先搞清楚：酒店WiFi合规，到底合的是什么规

很多人一听到"酒店WiFi合规"，脑子里第一个蹦出来的词是"实名制"。实名制是对的，但实名制只是结果，实现路径有很多。真正的合规要求来自三个层次：

第一层是法律底线，也就是《网络安全法》第二十一条。里面明确规定，网络运营者要记录并留存用户登录和上网记录，留存时长不少于六个月。这个要求是针对所有提供网络服务的场所，酒店自然包含在内。注意这里说的是"留存"，不是"实时上传"，酒店自己先把日志存下来备查，是最基本的要求。

第二层是公安部的部门规章，也就是常说的82号令。这个文件对提供互联网上网服务的场所提出了更具体的要求：互联网接入服务提供者要记录并留存用户上网日志，留存不少于60天。而且如果当地公安网安部门有具体对接要求，还要按规定格式推送到指定平台。这也就是为什么很多酒店在招标时明确要求"支持公安日志上报接口"。

第三层是等保2.0。这一层主要针对规模较大或者涉及敏感行业的酒店。等保2.0对日志审计提出了分级要求，从日志的采集、存储到安全事件关联分析都有具体标准。如果酒店要做等保测评，合规方案就必须满足相应级别的技术要求，而不是随便买台设备装上就完事。

为什么酒店成了重点检查对象

这个问题要从一个现实背景说起。2019年之后，公安部门持续推进"净网行动"，针对公共场所WiFi的合规性检查频率明显提升。酒店因为人员流动性大、上网行为多样，成了重点场所类型之一。很多省份的地市级公安网安部门，已经把辖区内的星级酒店、大中型连锁酒店纳入年度检查计划，检查内容主要包括：是否有portal认证、是否能追溯到具体某个用户在某个时间点的上网行为、日志留存是否达标。

我见过最严格的一次检查，是某地级市公安网安部门直接派人到酒店机房，要求酒店现场演示"查一下昨天某个房间客人访问了哪些网站"，然后倒推到这台设备的IP地址和入网时间。如果酒店的系统查不出来，或者日志只有三天，系统直接被贴上了"不合规"的标签，后续还面临整改通知。

所以现在酒店做WiFi合规，已经不是锦上添花的事，而是开业的必要条件。没有合规方案的酒店，在某些地区甚至无法通过特种行业年审。

实现合规认证，技术上要解决哪些问题

酒店WiFi合规的核心是搞清楚一件事：谁在什么时间用什么设备访问了什么网站。围绕这个目标，技术链路要打通几个环节。

首先是身份识别。酒店场景下，最常见的做法是用手机短信验证码做实名认证。客人连接WiFi后跳转到portal页面，输入手机号获取验证码，验证通过后分配上网权限。这个过程看似简单，实际上解决了两个问题：一是确认了使用网络的人是谁（手机号实名制），二是生成了可以与后台日志关联的用户标识。

对于有PMS系统的酒店，还有更直接的认证方式：对接PMS获取入住信息，自动生成认证凭证。客人开房后手机号已经在PMS里，入住期间直接连接WiFi无需重复认证，日志里就能直接对应到房间号和入住人。这种方式对客人体验更友好，对酒店管理也更精确。

其次是设备标识。日志里光有手机号还不够，还需要记录上网终端的MAC地址和分配到的IP地址。这样一旦需要追溯，可以从时间点往前推：某个IP地址在某个时间段被哪个手机号使用，终端MAC是什么，完整的链条就串起来了。MAC地址记录在交换机或者AP侧，需要认证网关有采集能力。

再次是上网记录留存。这部分分为两种实现路径。一种是基础合规方案，由认证计费系统本身记录认证日志，包括谁在什么时间认证上线、什么时候下线、分配了哪个IP地址。这类日志在V7统一认证计费系统里是内置功能，不需要额外采购日志服务器，就能满足60天的基本留存要求。

另一种是深度合规方案，如果酒店需要满足等保2.0或者当地公安要求更细的上网行为记录，就需要单独的日志审计系统。这类系统能抓取更详细的流量日志，包括访问了哪些URL、DNS查询了什么域名、流量去向哪个IP段，数据维度更丰富，当然存储和运维成本也更高。

最后是日志上报。部分地区的公安网安部门要求酒店定期推送合规日志到指定平台，对接格式有统一规范（行业里常说的"32号令"）。这一步不是所有地区都强制，但如果当地有要求，方案里必须预留接口。主流的认证计费系统都支持日志推送配置，关键是提前跟当地公安确认格式要求和推送频率。

酒店做合规认证，常见的三个误区

第一个误区是觉得"有了WiFi就能过"。WiFi信号好、速度快，跟合规没有任何关系。WiFi是网络质量指标，合规是日志追溯能力，两码事。见过一些酒店买了很贵的AP设备，结果公安检查时一台能查的记录都没有，就是因为整套系统里根本没有日志采集和留存的设计。

第二个误区是"买了日志服务器就算合规"。日志服务器只是存储介质，能不能满足合规要求，还要看采集了什么数据、留了多长时间、能不能快速检索。我见过有酒店采购了日志审计系统，结果存储空间规划不足，三十天就满了，老日志被自动覆盖，等检查时发现最早只能查到一周前。存储规划这事说起来简单，做起来容易被成本拖着走偏。

第三个误区是觉得"一次合规就永远合规"。合规是有时效性的，法规在更新，当地公安的检查标准也在调整。三年前的合规方案，今天可能就不满足要求了。酒店需要定期跟当地网安部门确认当年的检查标准有没有变化，认证系统和日志系统的版本也要做相应升级。

回到开头那个老朋友的问题。现在他知道了，甲方关心的不是WiFi快不快，而是"出了事能不能查到我"。酒店WiFi合规认证的本质，是给酒店装上一个"网络行为追溯能力"。有了这个能力，酒店才不怕例行检查，也不怕临时协查。

合规不是成本，是保险。