ABLOOMY 金融行业方案白皮书 V0.1

ABLOOMY金融方案白皮书文档版本：V0.1发布时间：2016.06.25北京韵盛发科技有限公司版权声明版权所有©2016北京韵盛发科技有限公司，保留切权。未经过北京韵盛发科技有限公司（以下简称“ABLOOMY”）书面许，任人不任何方或形对本内和其所包的任料进行复、摘、备传播或译成他语不得将全部部分商业用。商 标是北京韵盛发科技有限公司(“ABLOOMY”)的注册商标。本手册中所有其他注册的或未注册的商标，由各自权利人拥有。免责声明您购买的产品、服务或特性等应受ABLOOMY商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定，ABLOOMY对本文档内容不做任何明示或默示的声明或保证。由于产品版本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。技术支持邮 箱：contactus@热线电话：400-010-6602更多详情：关注ABLOOMY官方微信abloomy-china网站目录第1章 行业背景 北京韵盛发科技有限公司|北京朝阳区北沙滩甲1号中科电大厦3层,100083|(86)64840899|contactus@行业背景行业现状在经济迅猛发展的今天，金融行业也迎来了前所未有的快速发展，电话银行、个人网上银行、手机银行、电视银行、微信电子银行公众号均已面向社会公众开放，取得了良好效果，为更好的为客户提供电子金融服务，打造更便捷的电子银行体验区，推广和手机银行，将客户服务从“幕后”转到“台前”，银行营业网点部署WLAN，实现WIFI无线网络覆盖，也逐渐成为银行服务的一项刚需；网点客户经理通过智能终端PAD接入网点WiFi，即可通过PAD完成一部分的业务办理工作，同时也可以对客户有针对性的做营销活动推广。挑战与机遇从目前形式来看，金融网点WiFi已经是必须的配套服务：WiFi可以提升网点服务质量，帮助顾客消磨在办理业务时候的排队等候时间；提升客户满意度，增强客户忠实度；同时可以满足网点内部电子设备（PAD、排队机等）基础网络服务需求。金融网点作为高涉密场所，保证客户的个人资料安全，也是这些场所基础设施建设首要考虑的重要问题之一；如何在保证网点服务、客户服务体验的同时，保证WiFi网络的安全性，也是网络建设的重要挑战。ABLOOMY方案ABLOOMY做为国内领先WiFi平台提供者，为金融用户的在线理财推广、业务自主办理、数据安全隔离、设备统一运维等服务提供专业无线网络解决方案；另外，ABLOOMY是国内首家通过公安部认可的WiFi厂商，满足公安部82号令，并取得了销售许可证，可为金融网点提供安全的WiFi网络服务。行业需求金融网点为提升自身服务水平和办公效率，WiFi覆盖已经成为刚需。总体来说，网点WLAN建设最大的需求在于更好的为网点业务运营提供便捷服务；为顾客提供高效上网服务，提供更多的业务办理方式，减少服务等待时间；同时保证WiFi安全性，保证网点内部数据安全，保证客户个人账户安全。能够满足金融网点客户、员工的高速上网需求据统计，提供了WiFi服务的营业网点可吸引更多的客户来光顾。网点免费WiFi可以提供给客户可以在排队等候办理业务的时候消磨时间，一般在业务办理的高峰期，客户等待时间较长，免费的WiFi服务在一定程度上可减轻客户的烦躁情绪，提高客户满意度，提升网点档次和形象。同时，WiFi网络需要能够帮助员工提高办公效率，能让员工在帮助顾客下载网银等APP，或者办理手机应用相关业务时，提高办事效率。能够提供营销服务，提升网点服务网点WiFi需要满足网点电子设备网络服务需求；客户经理需要通过PAD连接WiFi网络完成一部分业务办理，并且做新产品的营销；通过网点WiFi提供最新活动推广服务，推广网点自己的APP等内容。能够将客户网络和办公网络隔离将内外网隔离，客户网络只允许访问外网，无法访问网点内网；办公网络可以访问网点内网，完成业务办理工作，并且可以上外网，防止网点内网被非法用户攻击。能够满足各网点WiFi统一管理需要实现各网点WiFi网络由总部统一管理，并且分配到网点独立运营权，减少集团网络维护成本，保证总部统一的新业务信息推送。能够满足公安部82号令网点WiFi的安全性也是部署需要考虑的重要因素，要保证网点WiFi的安全性，确保顾客在连接网点WiFi办理业务的时候，个人账户、资料不会受到侵害；也要满足公安网监的监管要求。

ABLOOMY企业无线网络解决方案ABLOOMY的云服务平台解决方案，整合了AC、认证、广告信息发布、客户运营平台为一体，根据金融行业不同网点特点，ABLOOMY可提供差异化的整体解决方案，满足金融行业网点地理位置分布，而又需要统一管理的特性需求；实现基本的WiFi覆盖需求的同时，帮助网点做活动信息发布，客户运营管理等增值服务。金融行业整体组网架构AAAServerVAP上海网点AVSM上海网点B重庆分支武汉分公司VAPXX网点中心VSM总部数据中心CSPVDSInternet安装部署ABLOOMYAP均为即插即用，AP和平台之间只要网络可达，便可直接挂到云平台，部署不需要对AP进行繁杂的操作，后期策略的配置，全部通过云平台统一批量配置，方便部署；后期维护也全部通过云平台统一监控，运维人员不论身在何处，只要有网，便可管理云平台，实时监控公司网络状况，修改AP配置。部署时通过PoE交换机给WLAN

AP供电，对WLAN网络进行管理优化需要移动AP时，直接拉动以太网线就可以实现，大大降低工作量。如果用户进行管理维护时需要对AP进行开关电重启，只需要在网管侧对PoE交换机进行操作即可轻松实现，避免维护来回奔波和攀爬的辛苦，提高管理维护的效率，节省用户的管理维护工作量。基于角色、时间、位置的上网权限分配基于上网用户角色、时间、位置，有针对性的灵活控制用户上网权限，实现指定角色的人、在指定时间、指定位置，匹配指定的上网权限；保证了内外网分离的同时，满足不同角色人员不同上网权限需求；同时也可以控制不同角色用户上网带宽，基于用户的限速，避免个别用户访问大流量，占满带宽，其他用户上网体验差的问题。基于位置的上网权限控制：可实现不同区域的人上网权限不同，例如VIP室和等候大厅上网带宽限制区分，在VIP室享用的带宽高于普通等候大厅。划分多SSID虚拟专网给营业网点广播多个SSID，每个SSID可虚拟出独立的网络：比如：VPN网络、员工办公网络、访客网络；VPN网络可通过连接WiFi直接访问总部资源，员工办公网络可连接业务服务器，办理业务，访客网络只允许访问外网；每个SSID之间都是完全隔离，互不干扰。网点活动营销推广服务ABLOOMY云服务平台提供的一整套解决方案，除了基本的AC功能以外，集成了广告运营、认证、内容运营、微信运营等多功能模块；除了满足用户上网基础上，可实现广告推送服务，帮助网点推广活动信息，用户在连接WiFi之后，必须看完网点投放的广告，经过portal认证后访客上网。微信运营：可实现用户微信认证上网，用户连接WiFi后，必须关注网点微信公众号，才可上网，不关注，或者关注取消后，WiFi不可用。内容运营：可实现在WiFi覆盖区域内，做APP等内容分发，帮助网点做APP推广服务。另外，网点员工可连接WiFi通过PAD实现一部分业务办理工作和营销活动的推广服务。组建总部和各网点之间的VPN网络ABLOOMY采用标准IPSECVPN标准，加密数据传输，可帮助各个网点组建和总部之间的VPN虚拟专网。可以在网点单独广播VPNSSID，网点员工只要连接此SSID，即可访问总部内网服务器，实现远程打卡等内网服务。总分式组网架构，满足总部的统一管理ABLOOMY独有的二层云架构，帮助金融企业组建总分式组网架构，实现分级分权限网络管理，总部对整个网络统一管理，并给每个网点划分云账号，网点通过云账号管理本地网络。积木式组网架构可帮助金融企业节约建网成本，前期不需要投入太多设备，后期新增网点只需要直接增加分布式VSM和AP，即可挂到总部云平台，由云平台统一管理。ABLOOMY分布式AC可实现网络的N+1冗余备份，其中一台VSM宕机后，AP会自动挂载到其他VSM上，用户无感知，保证用户上网正常，避免单个设备故障，网络瘫痪，提高网点网络稳定性。满足公安部82号令ABLOOMY产品经过公安三所认证，并取得了销售许可资质，可实现对接网监审计平台，完全满足公安部网监82号令，可为网点提供安全可靠的WiFi网络服务，保证网点资料以及客户个人账户资料安全。

ABLOOMY优势ABLOOMY云服务平台解决方案以云服务及网络虚拟化技术为基础，致力降低网点的网络构建成本、网络运营和IT维护成本，是市场上性价比最高的无线解决方案。与传统WiFi厂商的方案相比，用户选用ABLOOMY的方案，可以不必投入AC、Portal、认证等管理设备和软件，并且极大地节省IT工程师的人工成本。唯一基于公有云服务架构，具有虚拟AC（网络虚拟化技术，一机多用，节约建网费用）和分布式AC功能无缝扩展的无线解决方案；唯一可以基于私有云AC架构，可组建容纳百万数量级AP的单一网络的解决方案；专门为跨地域金融服务网点量身定制的公共Wi-Fi运营解决方案；整合了用户角色、位置和内容的可运营的公共无线网解决方案；整合了移动终端管理、用户角色管理、网络安全管理的企业安全无线网解决方案。二层云架构ABLOOMY凭借独有的二层云架构技术（CSP+VSM），以本地化云服务的方式，实现百万数量级AP的跨地域组网需求。CSP（云服务平台）是大脑，承载整个云服务的BOSS（BusinessOperationSupportSystem，业务支撑系统）、运营和数据分析功能，VSM镜像CSP区域的功能，负责本地执行和CDN。可管理、可共享、可信赖、可扩展、可运营的Wi-Fi架构可管理：通过CSP跨互联网统一所有网络。策略由CSP统一配置，是完全基于云的策略下发方式，而非基于设备的策略配置。可共享：VSM作为虚拟共享管理器，将WLAN策略、、加密策略、Radio策略、Portal服务、静态路由、策略路由、DHCP、防火墙、权限等功能共享给多个网络单元使用。可信赖：采用HTTPS管理，TLS进行传输、L2TP/IPSeC建立通道。保证公网传输安全。可扩展：CSP下可管理上千台VSM，每台VSM可接入上千台AP，积木式组网，避免集中式AC的网络瓶颈。可运营：将基于帐户的虚拟化集中管理、防火墙/VPN、基于角色的用户管理、基于角色位置的内容服务、广告、社交、CDN互联网内容分发相结合，组建一张百万AP规模的，跨地域的可运营网络。组网积木式组网，无限可扩展ABLOOMY以“NaaS（NetworkasaService）”网络服务即应用为设计理念，采用积木式组网架构，便于后续新增网点无限扩展扩容。可以以低门槛的方式实现无线网络运营服务，按需购买，无缝扩容，降低建网成本，缩短投资回报周期。穿越NAT互联：无线解决方案跨越了局域网、广域网和互联网，利用这一方案构建统一管理的Wi-Fi网络的唯一条件是VAP和和CSP之间IP路由可达，并且可以穿越NAT设备。用户全网漫游：这一方案可以使用户在网点网络覆盖范围内漫游；用户无论延伸到何处，都处同一规则下管理。设备即插即用ABLOOMY无线接入点AP设备即插即用，无缝地扩展Wi-Fi网络，可以在几乎零投入的条件下利用现有的互联网接入媒介实现大范围的无线覆盖，满足日益增长的移动互联网业务需求。云服务平台|Wi-Fi运营平台|金融活动推广运营平台|金融行业内容运营平台|客户管理运营平台|数据分析平台云服务平台导航页Wi-Fi运营平台Wi-Fi运营平台功能图表一览：Wi-Fi管理设备统一监控维护带宽管理用户准入管理防火墙、VPN管理用户权限管理网络维护诊断上网审计Wi-Fi管理页面用户数趋势图金融活动推广运营平台金融活动推广运营平台功能图表一览：广告数据统计系统管理广告报表系统设置系统自定义portal配置图基于系统模板的自定义Portal效果图同时可支持第三方广告系统对接ABLOOMY可提供API接口，可实现与第三方广告系统无缝对接金融行业内容运营平台金融行业内容运营平台功能图表一览：游戏管理视频管理阅读管理广告图片链接管理日志管理应用管理内容运营页面APP应用频道管理页面网点数据分析平台实时监控、实时热图客流分析统计到店频次、驻留时间、终端品牌统计历史热图、新老顾客统计地图管理统计数据导出网点数据服务平台展示：数据分析平台登陆页面全局统计分析页面用户接入状态到店频率统计页面各手机品牌统计页面用户状态全局页面用户分布热图页面功能多级云账号ABLOOMY云平台方案提供子账号功能，“云账号”通过“共享平台资源”使各个分支机构拥有自主管控的权限。集团超级管理员拥有最高权限，可对各网点进行权限分配及网络管控、并可看到所有分店的用户信息。各网点子账号，可管理网点内的Wi-Fi资源，采集本地用户信息，发布本地活动信息。网点本地管理员，可通过平台自主更换“活动信息内容”。安全可靠的无线网络功能丰富的无线云平台拥有防火墙/NAT、VPN功能、基于角色的访问权限准入/准出功能、带宽QoS控制功能、内容审计过滤功能、支持多制式的无线安全加密功能等，可有效保证用户访问互联网数据的绝对安全性。基于帐户的虚拟化集中管理，开放共享式的平台，多级账号管控。（类163企业邮箱）网络安全、防火墙和VPN的整合（管理HTTPS、传输TLS、控制L2TP/IPSeC）基于角色的用户管理：网络中不同的角色（账户）拥有相对应的网络访问权限。基于位置及角色的内容服务（例：不同AP弹出不同的活动信息、不同人弹出不同的活动信息）互联网运营：活动信息、社区、交流（微信联动认证）、APP（认证、导航）安全配置内容展示：VPN功能防火墙/NAT功能权限QoS功能安全无线加密技术上网行为审计/用户实时在线监控管理ABLOOMY目前已通过公安三所认证，同时并获得了销售许可证，不需要再次集成第三方审计设备，完全满足公安局审计要求，支持AP设备和网关设备抓取审计数据两种方式。数据要求：可对登录人身份信息进行认证及其上网行为进行管理审计。保证用户认证、上网行为等相关数据能实时接入市公安机关网安部门管理平台，实现对登录人（包括实名制用户和非实名制用户）进行溯源或倒查工作。

一旦发现或发生重大网络安全事故和涉网违法犯罪活动，及时通报属地公安部门并积极配合开展工作。管理便捷基于用户角色的权限管理，基于账户的带宽通道控制，基于用户的内容通道控制，可动态组建VPN私有云网络，安全防火墙/NAT，集中认证、分布式认证，用户账号可以在集中认证管理平台统一开户；同时支持分布式本地认证。CDN缓存技术ABLOOMY的VSM内置SSD硬盘带有缓存功能，将内容管理平台中的内容访问资源本地化，利用CDN技术，缓存内容包含广告内容、视频、APP缓存内容可以存放在VSM/AP上，帮助用户节约出口带宽，提高用户体验的同时节省内容提供商的互联网流量。基于用户角色的权限管理可定义角色的准入/准出权限（包括时间、地点、角色、QOS权限），能为用户定义一个或多个角色，每个角色可拥有不同的准入权限，控制用户上下行带宽，为不同客户提供差异化管理服务。无线网络是应用服务提供的基础，但是当资源互通之后，由于IP的随机分配，对于不同系统的应用权限和访问控制在传统无线产品中无法做到区分。产品系列基于用户账号为管理源，每个账号都对应有不同的资源访问权限，系统根据用户账号在接入后获取的IP等物理信息动态形成访问控制表，这样就从根源上实现了对用户的内容通道管控，保障了内网各业务系统的安全。基于AP位置、基于时间、基于人的个性化内容推送ABLOOMY云服务平台可以通过云端配置，实现基于AP物理位置、时间、角色进行个性化内容推送。同一个客户在不同的网点看到不同的“活动信息”；同一客户在同一个网点，不同时间段看到不同的活动信息；VIP和普通客户可以看到不同的活动信息；网点客人在不同的店家看到不同的Portal信息。多种认证方式共存ABLOOMY云服务解决方案支持多种不同认证方式差异化共存，保证用户的连网。通过手机号码短信认证；通过扫描官方微信二维码获取免费上网的账号和密码；通过首页推送问卷调查（3-5个问题）获取免费30分钟的上网时长，以上多种认证方式可同时存在。用户访问无线网络时，通过Portal服务器进入认证页面，认证页面可进行个性化定制，包括信息介绍、优惠信息介绍、活动介绍等。用户输入用户名和密码登陆成功后，Portal服务器可推送广告或官方主页，通过推送页面，推送最新活动动态、产品信息等内容。Portal服务器可根据位置推送不同的页面，可以随时上传自定义的活动信息。认证方式包括短信认证方式以及微信公众账号关注的认证方式，如果采用短信认证，微信可以引导用户进行关注。网络安全措施防火墙/NAT、VPN功能、基于角色的访问权限准入/准出功能、带宽QoS控制功能、内容审计过滤功能、支持多制式的无线安全加密功能。云平台日志服务器，可实现公共网络的实名认证上网。用户在使用WI-FI时所提交的个人手机号及移动终端MAC地址将发送到日志服务器中，上网客户的各种网络行为轨迹将与其上网的手机号及移动终端MAC形成关联，日志服务器需搭载网监设备，可对敏感信息进行屏蔽，必要时还可调取免费WI-FI上网用户的访问记录。可根据现场已开放无线信号的频段进行自动调整，防止出现同频段信号干扰。通过不同的VLAN划分可将各个上网终端进行有效的逻辑隔离，规避用户之间的共享风险，杜绝在局域网内少数人群对其他无线移动终端进行恶意攻击或越权访问，有效的保证用户间的安全。WI-FI设备进行强化管理，在后台勾选防钓鱼SSID功能，系统将会自动区分伪造的钓鱼SSID，可自动识别钓鱼SSID并对其进行阻断，防止无线钓鱼发生。可设定用户黑名单，在黑名单内的用户无法通过WI-FI上网，用手机号管理。也可访问网络的客户到了指定时间段强制下线。可设定用户白名单，用手机号或者设备MAC管理。符合条件的客户无需验证，可直接访问网络。灵活的数据转发方式用户流量可基于策略决定是由网点AP本地转发，还是汇聚至集团AC集中转发；可实现AP一个SSID数据流量本地转发、一个或多个SSID数据流量集中转发。互联网访问记录采集员工、用户、来宾的上网行为控制、上网日志记录。满足《互联网安全保护技术措施规定》（公安部令第82号）需求；“记录并留存用户登录和退出时间、主叫号码、账号、互联网地址或域名、系统维护日志的技术措施”、“至少保存六十天记录备份的功能”。大数据采集客户通过Wi-Fi接入网络，会产生大量的非结构化数据和半结构化数据，经过大数据的分析处理，形成有价值的商业数据，为营业网点提供分析数据基础，更加精准的确定市场销售策略。同时，ABLOOMY云服务平台支持第三方应用开发接口，方便其对消费群体进行肖像刻画。针对某一网点展开目标人群跟踪计划；根据终端MAC、手机号、微信号对目标人群做关联；记录用户的运动轨迹和停留时间,进行分析统计偏好分析；根据用户的行走路线和停留时间挖掘用户的偏好行为和消费习惯；根据用户上网记录、LBS、后台记录描绘用户生活轨迹；新增目标人群，开始抽样分析。方案举例组网架构云平台选型CSP+VSM+AP场景设计场景1：营业网点公用免费WiFi营业网点提供免费WiFi给前来办理业务的顾客使用；网点可基于WiFi做活动信息推广，自己APP等内容推广。例如：用户连接免费WiFi网络后，必须看网点投放的活动信息，看完后认证上网；并可以通过跳转到指定页面做在线业务办理、可以推广网点APP等，用户下载APP认证完成后即可享用高速免费WiFi网络，并可灵活限制使用时长。场景2：营业网点自用WiFi网络网点提供的WiFi网络供叫号机等电子设备连接，保证设备的网络连接，省去有线布线的繁琐；另外，客户经理手持PAD需要连接WiFi网络，并访问网点办公网，为顾客办理简单的业务；同时推广网点活动信息。产品选型ABLOOMY云服务平台ABLOOMY云服务平台为企业提供了高性价比、灵活的组网方案，尤其是总分式企业；帮助企业组建积木式三层组网架构，实现总分式组网，分级分权限管理；云服务平台集成了AC、portal、认证等多种功能模块，提供了一站式整体解决方案，避免传统WiFi厂商通过多家设备拼凑实现必须的功能。VSMVSM整合了认证、Portal、AC、CDN和数据采集审计功能，帮助企业降低建网的成本。VSM即插即用，积木式组网架构可实现网络的无缝扩展，VSM间可互为备份，排除了集中式AC的单点故障风险，同时云端服务本地执行的功能确保管理的灵活性和用户数据的私密性。VSM7000VSM5000VSM3000VSM10002*10/100/1000SFP接口2*10/100/1000Mbps以太网接口支持管理2048AP支持4G内存256GSSD硬盘6*10/100/100Mbps以太网接口支持管理1024AP支持4G内存128GSSD硬盘6*10/100/100Mbps以太网接口支持管理512AP支持2G内存64GSSD硬盘4*10/100/100Mbps以太网接口支持管理128AP支持2G内存32GSSD硬盘VAPABLOOMY拥有完整的AP产品系列，形态上有吸顶式、壁挂式、便携式等多种放装方式，性能上