WiFi认证系统做到什么程度才算合规？很多运维人员的理解停留在"用户连网要实名"，但真正的合规要求远不止这一条。尤其是公安82号令和《网络安全法》对日志留存有明确要求，实际项目里能把这两件事都做到位的并不多。

先把监管要求说清楚，再说落地怎么做。

公安合规的核心要求是什么

根据公安部82号令，提供互联网上网服务的场所（包括酒店、咖啡厅、机场、企业等开放WiFi的地方），必须记录用户的上网日志，保存时间不得少于6个月，并且能够配合公安机关的查询。

日志里需要记录的核心字段包括：用户上网的时间（上线、下线时间）、用户的真实身份信息（手机号或者其他实名信息）、用户的终端信息（MAC地址、IP地址）、用户访问的目标（URL或者IP地址）。

注意这里的"真实身份信息"。如果用WiFi认证系统，做了短信认证，那手机号就是合规的实名凭证。如果只是账号密码认证，但账号和真实身份没有绑定，这就不算实名，日志留了也是半合规状态。

日志留存6个月，实际上不只是"存6个月"

存够6个月只是起点，还有几个条件容易被忽略。

第一，日志不能被篡改。如果日志存在普通的MySQL数据库里，管理员手动可以修改，这不算合规。合规的做法是日志写入后不允许修改，只允许追加，或者用专门的日志审计系统做隔离存储。

第二，日志要能被查询和导出。公安要查的时候，不是让你把整个数据库dump出来，而是要能按时间段、按手机号或IP地址快速检索，导出成可读格式。存了日志但查不了，实际上等于没存。

第三，日志要能上报。一些省份要求日志系统能对接当地公安审计平台，定期推送摘要或支持实时查询接口。各地执行力度不一样，但如果当地公安明确要求，必须有技术能力对接。

蓝海卓越的日志审计方案怎么做

V7认证系统内置了日志采集模块，认证成功后自动记录上述字段。但光靠认证系统本身还不够，因为认证系统只能记录"谁登录了"，要记录"访问了什么"，还需要日志审计网关配合。

具体架构：认证网关负责身份核验和用户接入，日志审计设备部署在出口位置，对流量做镜像或内联抓包，记录用户访问行为。两套系统的日志通过用户的IP或MAC地址关联，还原出"谁在什么时间用什么手机号访问了什么网站"这张图。

日志审计设备对接公安网监平台也由这套系统完成，蓝海卓越有全国范围的网监平台对接服务，各地公安系统的接口协议不统一，需要逐地对接，这个对接工作量不小，不是买了设备自动就通的。

本地部署和云端存储的选择

日志存在哪里？两种主流方案：本地存储和云端存储。

本地存储的优点是数据不出场所，管理者有完全控制权；缺点是需要维护本地服务器，存储空间要规划好。6个月的日志量取决于用户规模，500个并发用户大约每天产生几百MB日志，6个月下来需要几十GB到上百GB，对存储来说不算大，但运维要跟上，服务器硬件要定期检查，备份机制要设置好。

云端存储的优势是弹性扩容、不需要本地硬件投入，蓝海卓越的SaaS云平台支持云端日志集中，多个门店或多个场所的日志统一归集到云端，管理员一个后台全看了，公安查询时也只需要打开一个平台。对于连锁酒店、连锁门店这类分布式场景，云端存储明显更省事。

不过有一些行业或者场所对数据上云有顾虑，尤其是政府、军工相关单位，通常会要求日志必须本地存储，不能出境。这种情况下本地部署是唯一选项，用专用的日志服务器做隔离存储。

实名认证这块的落地细节

短信认证是目前公认的最简单合规方式，手机号就是实名。但有一个边界：短信认证验证的是手机号，不验证这个号码是不是本人的。如果某人借了别人手机号认证，日志里的身份信息是那个手机号的主人，而不是实际使用者。这个问题在实际执法中怎么处理，各地标准有差异，但从技术角度来说，短信认证已经是目前大多数场景的合规底线。

如果需要更强的实名，比如机场、高铁站这类场所，通常采用短信加身份证核验双重认证：用户填手机号和身份证号，系统去核查两者是否匹配（对接公安实名系统）。这种方式合规性最高，但对接成本也最高，不是一般酒店或企业能轻易上的。

微信认证在实名这块稍微复杂一点。微信本身是实名制的，理论上可以溯源，但实际上能不能配合公安查询，涉及微信平台的配合意愿，不是运营者自己能控制的。一般来说，如果当地公安对微信认证有疑虑，建议叠加短信认证或者让用户手机号和微信账号绑定。

合规检查时经常被问到的几个问题

日志保存在哪？你需要能说出来，是本地服务器还是云端，具体的存储位置和备份策略。

日志保存了多长时间？说6个月是最低要求，如果你系统设置的是3个月自动清理，就是不合规的。建议设6个月，并且设置告警，快到期之前提示扩容或者归档。

能不能按条件查询？公安要查某个手机号在某个时间段的上网记录，你的系统能不能做到？如果查询界面只能看全量日志不能过滤，实际上用不起来。

认证有没有实名？如果只上了账号密码认证，账号库里没有手机号或者身份证信息，就是没有实名，需要补充改造。

一个容易被忽略的风险点

很多场所装了WiFi认证系统，实名也做了，日志也存了，但没有接过公安任何检查，就觉得这事没问题了。其实日志合规检查是随机抽查制，没被查到不代表合规，一旦被查发现问题，是要承担法律责任的。定期自检日志系统的状态，存储空间有没有满、日志写入有没有中断、实名认证率是多少，这些应该纳入运维日常巡检，不能等出了事再排查。