|
|
|
|
联系人: |
张经理 |
电 话: |
0371-66662060 |
手 机: |
130 1455 1299 |
邮 箱: |
hnxinjiaoji@163.com |
地 址: |
郑州市金水区花园路农业路国贸中心四号楼505 |
|
|
|
|
|
中国建设银行潮WiFi项目实施指导方案
|
发布者:admin
浏览次数:4011
发布时间:2015/5/9
|
|
目 录1 项目概述	51.1 用户现状与项目背景	51.2 文档主要内容	51.3 相关缩写和术语	61.4 建设需求	71.5 责任分工	72 具体应用场景	92.1 银行服务区终端设备(Terminal)	92.2 用户私有设备上网(BYOD)	93 部署规划	113.1 架构概述	113.2 SSID规划	133.3 信道规划	143.4 功率及覆盖范围规划	144 安全规划	164.1 网络系统安全规划	164.1.1物理隔离	164.1.2安全审计	164.1.3系统日志	174.1.4禁止用户间直接访问	174.1.5数据安全	174.1.6用户私设IP地址	174.1.7 ARP欺骗抑制	174.1.8 非法SSID检测	174.1.9 银行自有终端安全	184.2 访问控制安全规划	184.2.1 CCB SSID(客户私有设备)接入安全规划	184.2.1.1 安全认证	184.2.1.2 访问控制	194.2.2 PRIV SSID(电子银行服务区)接入安全规划	194.2.2.1 安全认证	194.2.2.2 访问控制	195 带宽规划	215.1 线路带宽	215.2 带宽QoS策略	216 设备选型	226.1 AP选型	226.2 AC选型	226.3 Hotspot Portal服务器	227 业务要素设计	237.1 CCB SSID(客户自带设备)业务要素设计	237.1.1 接入流程	237.1.2 登陆(接入认证)Portal页面设计	247.1.2.1 版面布局	257.1.2.2 免责条款	267.1.3 广告页面设计	277.1.4 欢迎主页页面设计	277.1.5 页面布局更新指导	277.1.6 广告更新指导	277.2 DZYH SSID(电子银行服务区)业务要素设计	287.2.1 接入流程	287.2.2 登陆页面	297.2.3 页面布局更新指导	307.2.4 广告更新指导	307.3 基础服务指导	307.4 增值服务指导	308 营销方案设计	328.1 热点入口广告	328.2 覆盖区域放置标示	328.3 微信微博公共平台	328.4 营销活动	33 项目概述1.1用户现状与项目背景银行地方营业厅作为网点的一部分,为银行客户提供相关的金融服务,由于用户基数较大,用户对银行业务和基础知识了解不足,很多基础业务也到柜台办理,导致地方营业厅经常出现长时间排队等候等问题。为了更好的向银行客户提供高质量的服务,吸引市民到建行办理业务,同时推广网上银行和其他营销渠道(网上营业厅、微博、微信等),全方位的提高银行在客户心中的地位,提高竞争力,增加用户的满意度,展现现代化银行的风采。计划为客户提供网点服务区内的免费无线接入服务。无线覆盖将无缝的覆盖整个营业厅、等候区以及VIP接待区等用户活动区域。为银行自有终端提供联网服务的同时为市民自带设备提供免费的网络接入。用户可以在观看短暂的广告展示后选择在线办理业务或者自由的浏览网络。能够有效的减少用户对等待时间的敏感度,引导用户使用在线营业厅办理一些常规业务。1.2文档主要内容潮WiFi网络是银行和单向街共同建设的一套系统,能够承载营业网点终端设备和用户私有设备的网络接入管理控制平台。本文档介绍该平台的应用的场景,设计规划、部署、安全以及业务方面的需求和解决方案。本文档从需求分析、场景应用、规划部署(架构和安全)、带宽管理、设备选型、业务设计以及营销增值服务等方面进行介绍。1.3相关缩写和术语方案中涉及的缩写和术语较多,本节内容将部分重要术语做解释,具体缩写和术语解释如下所示:1、WiFi:基于IEEE 802.11b标准的无线局域网(Wireless Fidelity)也称作WLAN(无线局域网 Wireless Local Area Networks),是通过无线通信技术将计算机设备互联起来,构成可以互相通信和实现资源共享的网络体系。2、无线客户端:也称作无线终端、移动终端、WLAN终端等,是具有WLAN接入能力的设备,如笔记本电脑、平板电脑、智能手机等移动设备。3、AP(Access Point):无线接入点,无线客户端访问网络的接入点设备,客户端通过无线射频信号跟无线终端通信,是无线客户端与有线网络通信的桥梁。AP从管理上可以划分为“胖AP”和“瘦AP”,“胖AP”可独立处理和转发数据,而“瘦AP”必须依靠无线控制器进行集中管理,且由无线控制器进行数据处理和转发,瘦AP便于集中式管理,是现在企业方案中的主力。4、AC(AP Controller):无线控制器,无线控制器通过有线网络的与AP相连接,用于集中管理和控制AP的行为。5、SSID:服务集标识符(Service Set Identity),用于来区分无线网络的标示,即无线网络的名称,只有拥有相同SSID的无线设备之间才能够直接进行通信。6、IEEE 802.1X:是IEEE制定关于用户接入网络的认证标准,用于控制用户对网络的访问,工作于MAC层,通过控制端口的授权来控制用户对网络的访问能力。IEEE 802.1x协议具有完备的用户认证、管理功能,作为一个框架性协议,IEEE802.1X支持多种认证方式。7、CHAP(Challenge Handshake Authentication Protocol):挑战握手验证协议,用来和服务器通讯验证用户的凭据是否有效。8、NAS(Network Access Service):网络访问控制器,在无线网络体系中代表“热点网关”,是实际控制用户网络访问的网关设备,执行对用户的认证和控制功能。9、AAA(Authentication、Authorization、Accounting):认证、授权、记账服务框架,实现对用户的认证,授权记账等功能,当前RADIUS协议是其框架实现的实质标准。1.4建设需求功能保障性原则无线网络由于其自身采用无线电波作为传输介质,本身易受环境影响。无线网络具有多种技术标准,应该优先保证网络的稳定和扩展性。组网技术应采用成熟稳定的技术标准,并具有业务感知能力,保证网络以及网上上业务的可用性。安全性原则本项目的WiFi网络向客户无偿提供具有公开性、共享性信息的服务活动。需要根据国家及地方相关法律法规落实互联网安全技术保护措施。网络本身需要采用安全的设备产品,同时对用户在网络上的行为进行记录和审查。连接到银行自有终端设备的链路必须加密,保证数据不会被截获、窃取、伪造和攻击。针对无线网络的攻击行为应该能够被及时检测、记录和阻断。1.5责任分工银行信息技术部门负责WiFi网络的需求分析和需求报告的撰写,并制定技术标准,提供相应的银行logo、文档等信息。承建方根据具体的需求提供相应的解决方案,包括详细的网络规划,系统的具体功能及帮助说明文档。负责具体的工程实施及软件开发内容。银行相关部门提供相应的指导和业务说明。完成后承建方负责网络的维护和售后,保证设备的正常运行,并在必要时提供上门支持。所有系统后台及控制完全交付给银行相关部门。用户数据审计等系统存放在承建方数据中心机房,依照国家信息安全相关法律法规进行归档保存。2具体应用场景2.1银行服务区终端设备(Terminal)为银行服务区基础设施提供网络接入功能,采用无线连接更加方便,无需布线等操作,且可对服务查询设备进行移动处理,为银行自有设备提供联网服务。服务区无线终端设备包含查询机、自助业务PC机等预装银行软件或站点的的计算机系统。银行自有服务终端设备可以在大堂经理的指引下使用,也可以由用户自助操作,通过无线网络连接,可以方便的移动终端而不用重新部署网线。大堂经理可以手持移动设备为客户进行即时性的服务。2.2用户私有设备上网(BYOD)提升客户体验和缓解排队的时间敏感度为了为客户提供高质量的服务,吸引更多客户前来办理业务,在网点内部部署WLAN无线网络,为客户提供免费的无线互联网服务,以免费作为一大亮点吸引客户的同时,提供在线导航,便于市民更加了解银行业务。WLAN无线信号覆盖范围宝包括了营业大厅、客户等候区、VIP客户接待区等客户活动区域。客户可以通过自带的移动设备(比如Ipad、Smart Phone)等接入WLAN,连接到互联网,享受免费互联网服务。客户在网点等候排队时,为客户提供互联网的WIFI接入,方便客户可通过手机等电子设备上网,减少客户对排队等候时间的关注,能够有效缓解客户对排队等候时间的敏感度。增加宣传及广告投放渠道无线网络可以自定义 热点网关首页,展示图片、文本等信息,播放音频、Flash、视频等信息,宣传银行自身的同时可以宣传和银行合作的第三方。投放一些广告,展现率极高。 促进电子银行服务推广发展客户可以使用私有设备访问导航上的银行服务,排队空闲时了解和使用银行服务,可能没有到柜台就完成了自己的业务处理需求,有效的减缓柜台业务处理压力。3部署规划3.1架构概述根据现场的业务内容和技术要求,由承建方在各营业网点部署独立的线路以及无线接入设备,提供营业网点提供互联网WiFi接入服务。无线信号覆盖区域张贴建设银行企业的个性化网络标识。所有的潮WiFi AP由部署在其内网的AC控制器进行实现集中监控和管理,AC可根据实际需求提供集群高可用冗余方案,保证无线网络的稳定运行。考虑综合布线问题,所有AP接入点统一采用POE(Power Over Ethernet)技术进行单线供电,不再为AP单独部署供电线路。交换机作为PSE设备为所有的AP提供电力。实际走线根据不同营业厅的实际现场环境进行单独规划,保证在不影响网点外观和环境风格的前提下进行部署。AP采用入墙式、吸顶式等优雅外观的型号。AP部署数量根据网点的面积和预计的同时并发量为基准,平均每100平方米1-2个AP,最终结果以实际的勘探结果为准。有信号遮蔽等环境适当的添加AP数量来实现完全无缝覆盖。系统支持漫游功能,能够智能的负载均衡,将用户关联,促使用户连接到当前负载较低的AP设备上。并对信号极差的设备进行“踢下”操作,以免影响整体用户的体验。 图表 1网络逻辑结构如图所示:左边部分是运营商机房中存放的设备,包括了AC控制器服务器,Portal热点网关服务器,以及用于存放日志和用户行为的服务器系统(可以根据实际需求,多种服务应用可以安装到一台服务器内)。短信采用运营商自有短信平台或者第三方短信平台进行发送。右边部分是位于网点内的基本结构,包括了PE端AP设备和PSE端的POE交换机,AP本身作为瘦AP为客户端提供基本的网络接入,同时AP作为NAS接入服务器,控制用户的访问并将用户访问日志进行上报。 1、AP (无线接入点)部署位置:银行各个网点以及网点需要的周围场地连接设备:运营商接入设备高可用性:无,需要适当的信号重叠AP 模式:瘦AP (Fit Mode)产品型号:由建设方根据实际需求自行选择,根据不同应用场景可以选择不同型号的AP,但必须能够兼容AC并通过AC集中管控。 2、AC(AP控制器系统)部署位置:承建方的机房高可用性:集群或热备模式(Cluster Or Hot-spare)产品型号:由集成商根据需求自行选择实现功能:实现对银行所有网点营业厅的AP集中监控和管理,AP设备出现故障应该及时告警维护人员,并在规定的响应时间内对出问题的设备进行维护、替换等操作。要实现快速添加AP后简单设置后即可上线使用。3、HotSpot Portal 热点服务器(拓扑图中分开,实际可集成在网关中)部署位置:承建方机房高可用性:集群模或热备模式 (Cluster Or Hot-Spare)产品型号:由承建方自行选择功 能:负责Portal登录页面的推送及认证功能。Portal页面应该对不同设备进行动态响应式处理,满足不同分辨率(屏幕大小)的设备的显示效果不同终端的设备应有连续一致性的用户体验。4、安全审计服务器 (Security Audit Server)部署位置:建设方机房高可用性:集群或热备份模式(Cluster Or Hot-spare),日志文件冗余存放,根据需求考虑使用异地备份容灾产品型号:由承建方自行选择功能:过滤记录用户的访问日志并进行审计,对特定关键词进行统计。3.2SSID规划安全策略(Policy)采用双SSID模式,客户私有设备银行自有终端接入不同的SSID网络,且银行自有终端设备通过WPA2-PSK等高强度安全加密通道通讯,并且自用网络不广播SSID,并对设备进行MAC绑定,保证银行自有设备网络安全。 应用场景SSID名称是否广播是否加密终端客户私有设备CCB是否客户自带终端(平板、智能机等)银行自有终端PRIV否是银行自有终端设备(查询机、电脑、平板等) 图表 SSID规划 3.3信道规划根据国家无线电频谱管理固定,使用2.4GHz ISM 频段,同时为了防止与已有网络发生冲突,AP全部采用自适应(Auto Channel)设置,AP根据现场的情景自动调整自己信道,保证采用1、6、11非重叠信道进行通讯,避免信号互相干扰。3.4功率及覆盖范围规划根据国家规定,采用不超过27dBm功率的AP接入点,同时为了防止非服务区域“蹭网”问题,控制WiFi信号覆盖的范围。安装部署后通过现场移动调试,根据网点实际情况进行调整。 图表:Site Survey 无线频谱探测4安全规划4.1网络系统安全规划4.1.1物理隔离每个网点部署单独的、直连互联网的线路,与网点现有数据专线严格物理隔离,银行自有数据查询终端也是通过互联网访问公开接口内容。承建方的AP设备与银行自有的AP设备进行物理隔离,物理链路不互通,且信道不重合,不干扰原有无线设施。4.1.2安全审计由运营商提供并维护网络安全审计设备,对登录人信息及上网行为做管理,包括但不限于如下内容:1、根据相关的信息安全要求,办理备案手续。2、全面落实各项技术保护措施,必须安装符合国家标准及行业标准的网络安全管理设备,以及由属地公安部门指定的安全管理设备。 3、运营商负责用户行为的记录和保存,按照相关法律法规,应当具有至少保存九十天记录备份的功能,以及满足审计需求。并可以在监管审计要求、发生安全事件或其它事件的时候提供相关记录。 4.1.3系统日志系统日志是给管理员用的,用来监控系统的运行情况。在服务器上非常重要,日志记录着设备的运行状况,日志应该妥善保存至少30天,服务器采用RAID磁盘阵列技术,保证数据的安全存储。4.1.4禁止用户间直接访问连接到同一个AP上的用户一般场景下处于一个局域网,能够互相直接访问,为了保证用户的安全,两个接入设备之间进行隔离,开启(AP Isolation)。不允许用户之间直接互访,防止恶意客户端的攻击等行为。4.1.5数据安全普通用户到AP之间的无线链路本身未采用加密技术,但是认证过程中全部都有随机挑战序列保护,用户的密码从未在网络上直接传输过,用户到银行站点的访问均采用SSL加密隧道技术,数据即使被截获也是无法获取明文信息。4.1.6用户私设IP地址热点系统采用基于DNAT原理的ANYIP技术,用户可以任意设置IP地址,均可正常接入网络。同时网络本身提供DHCP自动IP分配技术,用户及时未手动设置IP也能正常使用网络。4.1.7 ARP欺骗抑制ARP协议是关联IP地址和用户设备地址的桥梁协议,如果用户被欺骗将会导致网络的可用性受损,网络采用ARP自动静态绑定、网关MAC静态化等技术抑制手段,减小ARP欺骗的危害,抑制恶意ARP攻击。 4.1.8 非法SSID检测网络中可能存在相同SSID的钓鱼AP,欺骗用户连接伪造的节点,从而获取用户的信息,如果用户在钓鱼站点输入自己的账号和密码可能造成经济损失。AC控制系统会自动检测已经注册的合法AP,一旦发现具有相同SSID却未进行设备注册的设备,将会通过短信、邮件等已提前设定的联系方式进行告警,辅助工作人员对恶意设备进行定位和排除。4.1.9 银行自有终端安全银行自主终端PC设备屏蔽任何可以插入外部设备的物理接口,防止通过外部设备感染,同时系统本身运行于沙盘系统当中,周期性的对数据进行复位。终端机上安装统一规定的安全防护程序(杀毒软件+防火墙),不允许安装与业务无关的程序,特别是即时通讯类、网络类工具。银行自有终端连接到网络本身不广播SSID,一般用户无法连接到此网络,同时网络本身采用WPA2-PSK高强度加密算法,整个无线通讯本身是隧道端到端安全。用户的所有数据完全通过隧道进行传输。4.2访问控制安全规划CCB SSID(客户私有设备)与 PRIV SSID(电子银行服务区)的无线网络采用不同的认证策略、使用时长限制和访问控制策略,针对性的进行访问控制,以保证整体网络的安全。4.2.1 CCB SSID(客户私有设备)接入安全规划4.2.1.1 安全认证客户通过自己携带的移动设备接入网点互联网WiFi时,在登陆界面,以自己的手机号码为用户名申请上网账号。运营商将密码(短信验证码)通过短信方式发送到此手机号码上,客户输入密码(短信验证码)便可以接入我行网点互联网WiFi网络。客户通过关注银行的公共平台,向平台发送密码获取请求,平台系统会根据客户端实际使用的情况发送上网密码,如果用户已使用超过允许的免费时长,将会通知用户相关事宜。访问时间段限制,为了更好地保护网络,热点系统应该只允许用户在正常的工作时间进行访问,傍晚和节假休息日等无工作人员值守的时间段禁止访问,防止恶意用户在深夜发起入侵等攻击。4.2.1.2 访问控制普通客户账户账号单天可以提供2个小时的免费上网体验,用户需要重新跳转到主页观看广告后方可自由浏览网络。默认设置采用24小时(一天)为策略周期,第二天可以继续享受免费2个小时的上网服务。当天未使用的时长不进行累加,即使未使用到最大时长,也会在24小时后自动失效。用户可以自由访问允许的站点,根据计算机信息安全相关法律法规规定和银行自身需求,对特定的URL实行“黑名单”屏蔽,用户终端访问这些禁止访问的地址将会被弹出警告窗体并重定向到指定的页面。4.2.2PRIV SSID(电子银行服务区)接入安全规划4.2.2.1 安全认证电子银行服务区终端使用预分享的密钥进行连接,密码只有对应的工作人员知晓,物理链路本身使用加密保护技术。接入SSID不进行广播,一般用户无法直接访问到,本在本地对银行自有设备进行物理地址绑定,一切未注册的设备均不允许访问私有网络。4.2.2.2 访问控制银行自有设备必须保证安全,采用安全度最高的“白名单”机制,任何未注册的设备将无法从链路上连接,同时高层协议做保护措施,双管齐下,保护银行自有设备。安全访问密码只有对应的工作人员知晓,本地配置系统采用独立密码保护,需要双重认证方可接入配置。电子银行服务区终端采用长连接,并且认证通过后,其在网时长不受任何限制,在网络可用状态下可一直保持连接。保护自由网银终端免受恶意网站攻击,需设定更加严格的访问控制,只允许访问业务相关的站点,亦采用“白名单”保护机制,任何不在白名单的地址均被拒绝访问。5带宽规划5.1线路带宽按照所处环境、业务规模和客户流量的不同,可以针对应网点设计不同的带宽模式,当前规划的带宽模型是: 网点业务量带宽预留带宽县域或偏远城郊网点业务量较小不少于10Mbps无城区中型网点和重点县域支行等业务量适中不少于20Mbps100Kbps四星及以上级别网点业务量较大不少于50Mbps200Kbps 图表 3网点到局端通讯机房可采用公共链路,各分行可根据网点的业务情况,确定网点互联网WiFi的实际带宽需求,建设方应该提供用户访问信息统计,做好带宽分析工作,对需要的节点进行带宽升级以满足用户的需求。5.2带宽QoS策略网点无线的网络带宽由两个SSID下所有客户端共享,并实施动态带宽分配策略。带宽分配上优先保证网点电子银行服务区终端接入带宽,采用QoS策略保证HTTPS的优先访问,对下载和视频等行为进行限制,禁止P2P应用的使用。非紧急信息推送可以在带宽富裕的条件下进行,在营业结束或无用户使用时,网银自助终端后台管理系统利用此闲暇时间向各网点终端推送网银终端广告,以避免带宽拥塞,影响客户体验。6设备选型6.1AP选型设备级别:企业级别的设备安全标准:支持WPA2 协议安全标准性能标准:单AP至少支持30个用户同时在线,支持B/G/N协议其他功能:支持漫游、支持多SSID,支持POE供电模式等6.2AC选型设备类型:企业级设备安全标准:国家认证设备性能标准:同时管理500个AP节点的能力其他功能:AP故障报警、入侵检测、QoS协调 6.3Hotspot Portal服务器设备类型:机架(Rack)或者刀片(Blade)服务器安全标准:国家认证性能标准:4G DDR3以上内存,4核处理器,10000兆网卡其他功能:支持集群和负载均衡7业务流程设计7.1CCB SSID(客户自带设备)业务要素设计7.1.1接入流程接入流程可以有三个阶段:阶段一:用户使用平板、智能手机搜索到无线信号后,连接SSID为CCB的WLAN网络,用户IP地址设置成自动获取,热点系统自动为用户分发IP等必要的上网参数,对于用户来说这些过程是透明的。用户连接到无线网络后打开浏览器,用户访问任意网站就会触发热点跳转,这时用户将会被强制跳转到热点登陆页面。跳转过程中可以有一些公告或展示信息,跳转完成后到达注册和登录页面。阶段二:用户这时可以采用三种方式获取账号和密码:①方式一:用户使用自己的手机号码进行注册。用户将自己的手机号码填写到注册表单中,填写验证码后点击获取,系统通过短信网关将生成的账号发送到用户的手机,用户可以使用这个账号进行登录和验证。②方式二:用户直接使用第三方登录,点击图标列表中的第三方账号平台(QQ,新浪微博),然后填写账号密码,授权通过后用户可以访问网络。③方式三:用户通过关注微信公共平台,并向系统发送“上网”的请求,系统会自动返回给用户一个可用的账号。微信平台能够识别每一个微信账号,对同一个微信号提供相同的账号。阶段三:用户成功登陆后,将会根据银行的实际需求来决定是将用户跳转到指定的URL还是将用户跳转回来源URL。跳转动作完成后用户便可自主浏览网络,使用在线的银行服务或者自己选择需要浏览的站点。登录界面示意图 7.1.2Portal页面设计登陆页面即接入认证的Portal页面,包括如下要素:手机号码、短信验证码、免责申明、广告。在用户阅读免责条款、浏览指定广告后强制访问建行主页或各分行自定的欢迎页面。7.1.2.1 版面布局由运营商根据银行的要求为PC、智能终端(操作系统需支持ios、Android、Windows等)提供各种显示尺寸的、多终端适配功能且相同风格的登陆页面, 便于客户输入。其中,PC、智能终端横屏登陆页面的版面布局如下: 图表 5智能终端竖屏的版面布局如下: 图表 67.1.2.2 免责条款在登陆页面明显位置刊登如下免责条款: 同时,在登陆页面提供“我已阅读并接受免责申明”的勾选框,默认不勾选。如果客户不勾选该框,用户无法进行注册、登录等操作,并且在进行操作之前会有信息提示用户阅读并同意条款。7.1.3广告页面设计广告页面即客户验证通过后向客户投放广告的页面,由业务部门制定广告版本布局、显示内容和需求,运营商为市面主流PC、智能终端(操作系统需支持ios、Android、Windows等)提供各种显示尺寸的、多终端适配功能且相同风格的广告页面。7.1.4欢迎主页页面设计信息推送页面即客户验证通过后向客户投放“强制主页”页面,由业务部门制定信息推送页面布局、显示内容和需求,运营商为PC、智能终端(操作系统需支持ios、Android、Windows等)提供各种显示尺寸的、多终端适配功能且相同风格的信息推送页面。7.1.5页面布局更新指导页面布局版面设计及更新由总行电子银行部统一归口管理维护。运营商提供我行WEB界面,便于我行对页面布局的内容进行更新。运营商所提供的WEB界面要求输入用户名或手机号、密码、短信验证码。用户名单、用户手机由我行指定。运营商按照我行要求进行登陆页面布局更新,常规变更在5工作日内完成。运营商负责对页面进行恶意篡改保护。7.1.6广告更新指导广告内容由总行电子银行部统一归口管理维护。运营商提供我行WEB界面,便于我行对广告内容进行更新。运营商所提供的WEB界面要求输入用户名或手机号、密码、短信验证码。用户名单、用户手机由我行指定。运营商提供灵活的选择界面和效果预览界面,且更新在30分钟内生效。运营商负责对页面进行恶意篡改保护。7.2DZYH SSID(电子银行服务区)业务要素设计7.2.1接入流程 图表 7 1、电子银行服务区终端选择专用SSID;2、运营商设备(企业网关)检测到我行电子银行服务区终端接入无线网络发起的请求,自动给该终端分配IP地址;3、网银自助终端获取IP地址,输入任意URL地址上网;4、运营商设备(企业网关)将网银自助终端请求的URL重定向至登陆页面(接入认证Portal页面);5、登陆页面提示输入用户名及密码。网点大堂经理输入特定账号及账户密码(固定密码或短信验证码);6、登陆页面(接入认证Portal页面)将手机号码及验证码发送给运营商的短信平台(固定密码跳过此步); 7、运营商短信平台将验证码发送给登陆手机(固定密码跳过此步);8、接收短信后,在登陆页面(接入认证Portal页面)输入验证码,固定密码则直接输入密码;9、验证完成后开通用户IP地址;10、网银自助终端可以正常访问互联网;11、转发互联网连接。7.2.2登陆页面电子银行服务区终端登陆与客户自带设备登陆页面为同一个portal页面。终端登陆时在手机号码位置输入用户名或手机号码,在短信验证码位置输入密码或短信验证码,页面布局与内容与客户自带设备登陆相同。	电子银行服务区终端登录不要求有广告页面、欢迎主页。7.2.3页面布局更新指导要求与客户自带设备接入相同。7.2.4广告更新指导所涉及在电子银行自助终端播放的广告,由电子银行部在营业结束后统一投放。7.3基础服务指导运营商应可以提供网点互联网WiFi使用情况的基础信息,我行可根据区域、时间段进行查询。查询内容应包括但不限于:客户手机号、一个月内上的天数、地点、使用终端类型等。运营商应定期提交网点带宽使用报告,作为我行网点升级带宽的依据。7.4增值服务指导根据试点行经验,数据挖掘可以提供重要业务数据,完善的数据分析可以为业务提供准确的数据基础及最优的营销导向。根据试点分行经验,运营商可为我行提供数据分析工具和WEB界面。各分行根据当地情况自行决定是否与运营商进行数据增值业务合作。通过对客户经常进行WLAN接入的网点、客户接入设备、客户经常浏览的网站等行为进行分析,可以有效了解客户交易偏好网点、客户喜好等信息,为营销活动的开展及营销活动设计的精准性提供了数据支持。根据手机号在不同网点的出现频率。配合交易习惯分析,在一个月去网点的频次和去网点地点;手机号的归属地可细化到外地地市,甄别跨区域用户。可以侦测客户浏览排名最高的前10个网站,可以告知客户下载手机银行客户端、侦测使用手机银行的频率、访问网银的频率等。搜集并分析客户行为后,可根据其中已开通手机银行但还未活跃的客户上网的偏好,向其推送相应的手机银行特色功能,引导其自行体验,成为活跃客户。根据其中还未开通手机银行客户经常接入WLAN的网点,向其发送营销短信,告知其前去此网点可免费下载手机银行客户端,体验交易后可获得更长的上网时间。8营销方案设计 8.1热点入口广告基于Web认证的热点的表现形式就是用户访问任意页面都会强制跳转到一个统一的页面进行认证,可以在跳转过程中和条转后的页面放置文本、图像、Flash等宣传内容,展现率100%,是个极佳的宣传途径。公告及广告信息可同时定义在404错误页面以及DNS解析失败页面上,用户一旦访问不存在的网址将会弹出404页面。用户访问了不存在的站点会跳转到指定的DNS解析错误页面上。以上页面都是良好的展示区域,不影响用户体验的前提下展示相应的信息公告,并对用户起到导航作用。8.2覆盖区域放置标示为银行设计独特的WIFI标识,并采用贴纸、金属牌等介质制作,张贴在醒目位置,使用符号的形式告知客户该区域有无线覆盖以及无线的SSID标示,具有特色标示本身就是本身就是一种文化,客户和打中在观看后能够联想到我行。8.3微信微博公共平台可以开发微信自动回复平台,告知用户扫描二维码添加银行微信公共平台,并通过微信、微博等方式发送上网账号密码。可以通过增加免费上网时长等激励机制促使用户关注我行的公共平台。用户完成公共平台关注后,可以采用群发等手段进行信息推送。公共平台具有以下的优势,可以充分利用:(1)信息到达率高微信的每一条信息都是以推送通知的形式发送,你所发布的每一条的信息都会送达订阅用户手中,而且微信账号就是腾讯QQ账号,用户粘性高,到达率可以达到100% 。(2)信息内容丰富传统的推广信息只能包含文字、图片和符号,微信公共平台可以个性化的提供语音信息。(3)LBS定位高级合作用户能够利用基于地理位置信息系统了解客户的分布等情况。(4)用户质量高根据微信官方的数据宣传,活跃用户有50%是年轻人、白领阶层、高端商务人士、时尚iphone等用户,这些都是高质量的用户。8.4第三方登录整合可以和第三方平台进行整合,合作站点可以是支付宝、新浪、腾讯、百度,绑定用户的其他账号更有效的增加用户粘性,导入用户信息。使用第三方登录的用户可以额外赠送时长。 |
|
上一篇:新版代理商管理系统界面和广告投放功能发布通知
下一篇:智能广告wifi--潮wifi的优势
|
|
|