工業(yè)無(wú)線網(wǎng)絡(luò)環(huán)境下的信息安全設(shè)計(jì)與防護(hù)探究

陳奕斌

（廣東省電信規(guī)劃設(shè)計(jì)院有限公司，廣東廣州，510000 ）

0 引言

信息技術(shù)在工業(yè)方面的應(yīng)用日趨廣泛，給工業(yè)控制帶來(lái)了便利，也對(duì)工業(yè)網(wǎng)絡(luò)的信息安全帶來(lái)了極大的挑戰(zhàn)。隨著無(wú)線終端的普及，終端通過(guò)無(wú)線網(wǎng)絡(luò)對(duì)工業(yè)設(shè)備進(jìn)行實(shí)時(shí)監(jiān)控與調(diào)試，極大提升了工作效率，并對(duì)突發(fā)性事件能進(jìn)行有效的控制。而無(wú)線網(wǎng)絡(luò)的開(kāi)放性，給工業(yè)網(wǎng)絡(luò)系統(tǒng)帶來(lái)了安全隱患，有信息泄露的風(fēng)險(xiǎn)。本文以某工業(yè)園區(qū)的信息安全防護(hù)項(xiàng)目為依托，在園區(qū)的工業(yè)無(wú)線網(wǎng)絡(luò)基礎(chǔ)上，以信息安全技術(shù)與防護(hù)手段對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行設(shè)計(jì)規(guī)劃，構(gòu)建一個(gè)科學(xué)的信息安全防護(hù)系統(tǒng)，保障工業(yè)網(wǎng)絡(luò)系統(tǒng)的信息安全。

1 工業(yè)無(wú)線網(wǎng)絡(luò)環(huán)境下網(wǎng)絡(luò)系統(tǒng)的安全性分析

1.1 工業(yè)控制網(wǎng)絡(luò)現(xiàn)階段面臨的威脅

（1）網(wǎng)絡(luò)體系結(jié)構(gòu)：隨著無(wú)線網(wǎng)絡(luò)的接入，封閉式的網(wǎng)絡(luò)系統(tǒng)轉(zhuǎn)化為開(kāi)放式的系統(tǒng)，而防控措施缺乏有效的維護(hù)與更新，降低了整個(gè)網(wǎng)絡(luò)的安全性。

（2）數(shù)據(jù)流：缺乏對(duì)于數(shù)據(jù)流的有效控制，無(wú)法對(duì)接入的可移動(dòng)訪問(wèn)設(shè)備進(jìn)行限制。

（3）網(wǎng)絡(luò)設(shè)備：防火墻以及ACL的配置規(guī)則缺乏科學(xué)性，降低了安全防護(hù)性。

（4）邊界攻擊：主動(dòng)攻擊者利用無(wú)線網(wǎng)絡(luò)薄弱的防護(hù)侵入到工業(yè)網(wǎng)絡(luò)，危害到整個(gè)工業(yè)管理系統(tǒng)。

1.2 無(wú)線網(wǎng)絡(luò)自身安全隱患

在工業(yè)系統(tǒng)中，無(wú)線網(wǎng)絡(luò)的安全防護(hù)主要分為訪問(wèn)身份控制以及訪問(wèn)密碼控制兩個(gè)部分，無(wú)線網(wǎng)絡(luò)自身的安全隱患包括。

（1）信息嗅探竊聽(tīng)：攻擊者通過(guò)特定手段對(duì)所監(jiān)測(cè)的應(yīng)用發(fā)起特定的網(wǎng)絡(luò)攻擊。

（2）身份欺詐侵入：攻擊者利用身份欺詐借助合法的身份侵入網(wǎng)絡(luò)，例如攻擊者通過(guò)偽裝替代網(wǎng)關(guān)，通知網(wǎng)絡(luò)系統(tǒng)閥門(mén)器按照特定的指令開(kāi)關(guān)。

（3）泛洪攻擊堵塞通道：攻擊者通過(guò)大量的無(wú)效信息攻擊網(wǎng)絡(luò)，造成無(wú)線網(wǎng)絡(luò)擁塞。

（4）人為安全隱患：攻擊者通過(guò)人為因素獲取無(wú)線網(wǎng)絡(luò)的用戶名與密碼，侵入無(wú)線網(wǎng)絡(luò)進(jìn)行攻擊。

（5）密碼破解侵入：攻擊者通過(guò)特定的技巧破解網(wǎng)絡(luò)登錄許可密碼進(jìn)而侵入網(wǎng)絡(luò)。

1.3 信息安全防護(hù)現(xiàn)狀分析

1.3.1 工業(yè)園區(qū)的縱深防護(hù)結(jié)構(gòu)

工業(yè)園區(qū)的縱深防護(hù)結(jié)構(gòu)主要分為五個(gè)層級(jí)，根據(jù)不同的結(jié)構(gòu)與功能將整個(gè)網(wǎng)絡(luò)系統(tǒng)分為不同的安全域。外部網(wǎng)絡(luò)作為一個(gè)獨(dú)立區(qū)域，劃分為外部域；針對(duì)企業(yè)層級(jí)，將企業(yè)級(jí)局域網(wǎng)、企業(yè)級(jí)防火墻等系統(tǒng)劃分為企業(yè)域；將數(shù)據(jù)庫(kù)服務(wù)器、工業(yè)防火墻、IPS等劃分為數(shù)據(jù)域；將現(xiàn)場(chǎng)設(shè)備級(jí)防火墻劃分為控制域。并在數(shù)據(jù)域與控制域間部署防火墻，防治不同層級(jí)間的邊界攻擊。

1.3.2 工業(yè)園區(qū)的安全防護(hù)策略

工業(yè)園區(qū)的信息安全防護(hù)策略部署在監(jiān)控層及控制層，基于IEC62443所描述的“區(qū)域與管道防護(hù)模式”，以旁路鏡像的方式在主交換機(jī)節(jié)點(diǎn)設(shè)計(jì)部署工業(yè)控制網(wǎng)絡(luò)審核與計(jì)量設(shè)備，在無(wú)線網(wǎng)絡(luò)與網(wǎng)絡(luò)連接點(diǎn)間設(shè)計(jì)防火墻進(jìn)行防護(hù)。本文研究的工業(yè)園區(qū)所使用的網(wǎng)絡(luò)監(jiān)控系統(tǒng)應(yīng)用專有的通訊協(xié)議，安全性高于只支持MODBUS TCP、OPC的對(duì)工控協(xié)議。

工業(yè)審計(jì)設(shè)備對(duì)網(wǎng)絡(luò)流量具備良好的控制功能，可對(duì)現(xiàn)存協(xié)議進(jìn)行有效分析，實(shí)現(xiàn)良好的監(jiān)控預(yù)警。而單獨(dú)設(shè)計(jì)一臺(tái)工控審計(jì)設(shè)備會(huì)影響系統(tǒng)的兼容性，增加防護(hù)系統(tǒng)成本，不適合推廣。因此可通過(guò)將《GB/T 20945-2013》規(guī)范引入安全防護(hù)系統(tǒng)中對(duì)網(wǎng)絡(luò)監(jiān)控系統(tǒng)進(jìn)行信息防護(hù)部署，以合理的成本實(shí)現(xiàn)科學(xué)的信息防護(hù)，保障網(wǎng)絡(luò)系統(tǒng)的信息安全。

2 工業(yè)無(wú)線網(wǎng)絡(luò)系統(tǒng)的信息安全設(shè)計(jì)與防護(hù)

2.1 工業(yè)無(wú)線控制網(wǎng)絡(luò)的信息安全設(shè)計(jì)

基于密鑰分配中心(KDC)的安全策略設(shè)計(jì)無(wú)線控制網(wǎng)絡(luò)，通過(guò)對(duì)無(wú)線控制網(wǎng)絡(luò)安全架構(gòu)的分層分級(jí)，建立工業(yè)無(wú)線控制網(wǎng)絡(luò)的安全系統(tǒng)。

2.1.1 基于KDC的工業(yè)無(wú)線控制網(wǎng)絡(luò)安全設(shè)計(jì)

移動(dòng)終端在接入無(wú)線網(wǎng)絡(luò)時(shí)，網(wǎng)關(guān)設(shè)備對(duì)申請(qǐng)的設(shè)備信息加以甄別，并發(fā)送給安全服務(wù)器進(jìn)行比對(duì)。通過(guò)比對(duì)的設(shè)備才能進(jìn)行安全組態(tài)及安全管理。組態(tài)工作完成后，運(yùn)用MCA層對(duì)移動(dòng)終端設(shè)備進(jìn)行掃描，通過(guò)適配的網(wǎng)關(guān)接入點(diǎn)建立連接、同步，形成加入請(qǐng)求報(bào)文，通過(guò)加密以后發(fā)送給路由器，路由器接收到請(qǐng)求后打包處理發(fā)送至系統(tǒng)管理器。系統(tǒng)管理器接收到路由器的打包信息后進(jìn)行組件工作，根據(jù)相應(yīng)的設(shè)置對(duì)設(shè)備入網(wǎng)請(qǐng)求進(jìn)行有效的回應(yīng)，實(shí)現(xiàn)新移動(dòng)終端設(shè)備的安全入網(wǎng)。

2.1.2 基于 KDC 的工業(yè)無(wú)線控制網(wǎng)絡(luò)密鑰管理和安全管理

移動(dòng)終端設(shè)備得到入網(wǎng)許可后，向網(wǎng)絡(luò)控制中心的KDC申請(qǐng)全新的安全密鑰。密鑰管理中心對(duì)申請(qǐng)進(jìn)行審核后，向終端設(shè)備發(fā)放具有唯一性及可識(shí)別性的密鑰編碼。終端設(shè)備向密鑰管理中心發(fā)送訪問(wèn)申請(qǐng)，管理中心對(duì)其申請(qǐng)進(jìn)行有效甄別，并生成密碼鑰匙偏移量，可根據(jù)實(shí)際的安全系數(shù)以及使用環(huán)境來(lái)設(shè)定密鑰長(zhǎng)度。然后密碼鑰匙編碼對(duì)新生成的密碼鑰匙進(jìn)行加密處理，發(fā)送給終端設(shè)備。終端接受到密碼鑰匙編碼傳達(dá)的加密信息后經(jīng)過(guò)解密得到所需的密碼鑰匙信息。此外，隨著技術(shù)的更新以及環(huán)境的變化，需要對(duì)密鑰管理中心進(jìn)行及時(shí)的更新與維護(hù)。

2.2 無(wú)線網(wǎng)絡(luò)系統(tǒng)的信息安全設(shè)計(jì)

2.2.1 網(wǎng)關(guān)服務(wù)器信息安全設(shè)計(jì)

依據(jù)《GB/T 20945-2013》規(guī)范以及無(wú)線網(wǎng)絡(luò)信息安全的基礎(chǔ)要求，網(wǎng)關(guān)服務(wù)器信息安全設(shè)計(jì)主要包含以下幾個(gè)部分：（1）在原有的信息通訊模塊中加入加密模塊，增加信息通訊的防控強(qiáng)度；（2）添加安全管理模塊、黑白名單管理模塊、監(jiān)控管理模塊、預(yù)警模塊、身份認(rèn)證模塊等等安全功能模塊。

系統(tǒng)管理員：可對(duì)安全管理員及其權(quán)限進(jìn)行設(shè)置。

安全管理員：可對(duì)管理終端密碼，修改終端用戶的使用權(quán)限。

黑白名單管理模塊：對(duì)設(shè)定好的移動(dòng)終端賬號(hào)密碼、使用權(quán)限及其密鑰進(jìn)行管理，并保存在白名單列表當(dāng)中；將不允許登錄的移動(dòng)終端設(shè)備保存在黑名單中，拒絕訪問(wèn)。

圖1 網(wǎng)關(guān)服務(wù)器安全功能模塊圖

監(jiān)控模塊：對(duì)通信網(wǎng)卡的數(shù)據(jù)抓包情況進(jìn)行實(shí)時(shí)監(jiān)管，進(jìn)行有效分析。

認(rèn)證模塊：對(duì)移動(dòng)終端設(shè)備進(jìn)行賬號(hào)密碼認(rèn)證，認(rèn)證后方可訪問(wèn)網(wǎng)關(guān)；若終端連續(xù)三次效驗(yàn)失敗，則延遲一段時(shí)間才允許重新效驗(yàn)；若累積五次效驗(yàn)失敗，則將設(shè)備保存至黑名單。

預(yù)警模塊：對(duì)來(lái)自UI模塊、認(rèn)證模塊以及安全管理模塊的預(yù)警信息進(jìn)行響應(yīng)，并在UI界面顯示。

2.2.2 無(wú)線網(wǎng)絡(luò)信息安全功能設(shè)計(jì)

安全功能模塊的設(shè)計(jì)主要是對(duì)主程序進(jìn)行拓展，在基礎(chǔ)的通信模塊中新增加解密、安全模塊，進(jìn)一步增強(qiáng)無(wú)線網(wǎng)絡(luò)的信息安全防護(hù)。其中加解密模塊是按照預(yù)設(shè)的密鑰對(duì)網(wǎng)關(guān)服務(wù)器與移動(dòng)終端之間的通信數(shù)據(jù)進(jìn)行加解密操作。安全管理模塊在網(wǎng)關(guān)的安全主程序線程構(gòu)建監(jiān)控進(jìn)程，運(yùn)用Winpcap針對(duì)服務(wù)器上的數(shù)據(jù)進(jìn)行捕捉，觀察終端是否與服務(wù)器網(wǎng)關(guān)進(jìn)行有效對(duì)接，同時(shí)比對(duì)白名單，如不符合則拒絕訪問(wèn)，并更新黑名單庫(kù)、向主程序預(yù)警。其功能框圖如圖2所示。

圖2 無(wú)線網(wǎng)絡(luò)信息安全功能模塊框圖

3 結(jié)論與展望

無(wú)線網(wǎng)絡(luò)廣泛應(yīng)用于移動(dòng)終端中，給工業(yè)網(wǎng)絡(luò)系統(tǒng)的安全防護(hù)帶來(lái)了風(fēng)險(xiǎn)。因此，本文針對(duì)工業(yè)無(wú)線控制網(wǎng)絡(luò)和網(wǎng)絡(luò)系統(tǒng)提出安全設(shè)計(jì)在有線網(wǎng)絡(luò)與無(wú)線網(wǎng)絡(luò)節(jié)點(diǎn)間設(shè)置IT防火墻，重視移動(dòng)終端設(shè)備的網(wǎng)絡(luò)安全防護(hù)，構(gòu)建完善的信息安全管理制度，可有效的減少工業(yè)網(wǎng)絡(luò)系統(tǒng)的信息安全隱患。后續(xù)還可在有線網(wǎng)絡(luò)與無(wú)線網(wǎng)絡(luò)節(jié)點(diǎn)工程化防護(hù)策略、移動(dòng)終端設(shè)備的工程話防護(hù)策略等方面進(jìn)行深化研究。