工業無線網絡環境下的信息安全設計與防護探究

陳奕斌

（廣東省電信規劃設計院有限公司，廣東廣州，510000 ）

0 引言

信息技術在工業方面的應用日趨廣泛，給工業控制帶來了便利，也對工業網絡的信息安全帶來了極大的挑戰。隨著無線終端的普及，終端通過無線網絡對工業設備進行實時監控與調試，極大提升了工作效率，并對突發性事件能進行有效的控制。而無線網絡的開放性，給工業網絡系統帶來了安全隱患，有信息泄露的風險。本文以某工業園區的信息安全防護項目為依托，在園區的工業無線網絡基礎上，以信息安全技術與防護手段對網絡系統進行設計規劃，構建一個科學的信息安全防護系統，保障工業網絡系統的信息安全。

1 工業無線網絡環境下網絡系統的安全性分析

1.1 工業控制網絡現階段面臨的威脅

（1）網絡體系結構：隨著無線網絡的接入，封閉式的網絡系統轉化為開放式的系統，而防控措施缺乏有效的維護與更新，降低了整個網絡的安全性。

（2）數據流：缺乏對于數據流的有效控制，無法對接入的可移動訪問設備進行限制。

（3）網絡設備：防火墻以及ACL的配置規則缺乏科學性，降低了安全防護性。

（4）邊界攻擊：主動攻擊者利用無線網絡薄弱的防護侵入到工業網絡，危害到整個工業管理系統。

1.2 無線網絡自身安全隱患

在工業系統中，無線網絡的安全防護主要分為訪問身份控制以及訪問密碼控制兩個部分，無線網絡自身的安全隱患包括。

（1）信息嗅探竊聽：攻擊者通過特定手段對所監測的應用發起特定的網絡攻擊。

（2）身份欺詐侵入：攻擊者利用身份欺詐借助合法的身份侵入網絡，例如攻擊者通過偽裝替代網關，通知網絡系統閥門器按照特定的指令開關。

（3）泛洪攻擊堵塞通道：攻擊者通過大量的無效信息攻擊網絡，造成無線網絡擁塞。

（4）人為安全隱患：攻擊者通過人為因素獲取無線網絡的用戶名與密碼，侵入無線網絡進行攻擊。

（5）密碼破解侵入：攻擊者通過特定的技巧破解網絡登錄許可密碼進而侵入網絡。

1.3 信息安全防護現狀分析

1.3.1 工業園區的縱深防護結構

工業園區的縱深防護結構主要分為五個層級，根據不同的結構與功能將整個網絡系統分為不同的安全域。外部網絡作為一個獨立區域，劃分為外部域；針對企業層級，將企業級局域網、企業級防火墻等系統劃分為企業域；將數據庫服務器、工業防火墻、IPS等劃分為數據域；將現場設備級防火墻劃分為控制域。并在數據域與控制域間部署防火墻，防治不同層級間的邊界攻擊。

1.3.2 工業園區的安全防護策略

工業園區的信息安全防護策略部署在監控層及控制層，基于IEC62443所描述的“區域與管道防護模式”，以旁路鏡像的方式在主交換機節點設計部署工業控制網絡審核與計量設備，在無線網絡與網絡連接點間設計防火墻進行防護。本文研究的工業園區所使用的網絡監控系統應用專有的通訊協議，安全性高于只支持MODBUS TCP、OPC的對工控協議。

工業審計設備對網絡流量具備良好的控制功能，可對現存協議進行有效分析，實現良好的監控預警。而單獨設計一臺工控審計設備會影響系統的兼容性，增加防護系統成本，不適合推廣。因此可通過將《GB/T 20945-2013》規范引入安全防護系統中對網絡監控系統進行信息防護部署，以合理的成本實現科學的信息防護，保障網絡系統的信息安全。

2 工業無線網絡系統的信息安全設計與防護

2.1 工業無線控制網絡的信息安全設計

基于密鑰分配中心(KDC)的安全策略設計無線控制網絡，通過對無線控制網絡安全架構的分層分級，建立工業無線控制網絡的安全系統。

2.1.1 基于KDC的工業無線控制網絡安全設計

移動終端在接入無線網絡時，網關設備對申請的設備信息加以甄別，并發送給安全服務器進行比對。通過比對的設備才能進行安全組態及安全管理。組態工作完成后，運用MCA層對移動終端設備進行掃描，通過適配的網關接入點建立連接、同步，形成加入請求報文，通過加密以后發送給路由器，路由器接收到請求后打包處理發送至系統管理器。系統管理器接收到路由器的打包信息后進行組件工作，根據相應的設置對設備入網請求進行有效的回應，實現新移動終端設備的安全入網。

2.1.2 基于 KDC 的工業無線控制網絡密鑰管理和安全管理

移動終端設備得到入網許可后，向網絡控制中心的KDC申請全新的安全密鑰。密鑰管理中心對申請進行審核后，向終端設備發放具有唯一性及可識別性的密鑰編碼。終端設備向密鑰管理中心發送訪問申請，管理中心對其申請進行有效甄別，并生成密碼鑰匙偏移量，可根據實際的安全系數以及使用環境來設定密鑰長度。然后密碼鑰匙編碼對新生成的密碼鑰匙進行加密處理，發送給終端設備。終端接受到密碼鑰匙編碼傳達的加密信息后經過解密得到所需的密碼鑰匙信息。此外，隨著技術的更新以及環境的變化，需要對密鑰管理中心進行及時的更新與維護。

2.2 無線網絡系統的信息安全設計

2.2.1 網關服務器信息安全設計

依據《GB/T 20945-2013》規范以及無線網絡信息安全的基礎要求，網關服務器信息安全設計主要包含以下幾個部分：（1）在原有的信息通訊模塊中加入加密模塊，增加信息通訊的防控強度；（2）添加安全管理模塊、黑白名單管理模塊、監控管理模塊、預警模塊、身份認證模塊等等安全功能模塊。

系統管理員：可對安全管理員及其權限進行設置。

安全管理員：可對管理終端密碼，修改終端用戶的使用權限。

黑白名單管理模塊：對設定好的移動終端賬號密碼、使用權限及其密鑰進行管理，并保存在白名單列表當中；將不允許登錄的移動終端設備保存在黑名單中，拒絕訪問。

圖1 網關服務器安全功能模塊圖

監控模塊：對通信網卡的數據抓包情況進行實時監管，進行有效分析。

認證模塊：對移動終端設備進行賬號密碼認證，認證后方可訪問網關；若終端連續三次效驗失敗，則延遲一段時間才允許重新效驗；若累積五次效驗失敗，則將設備保存至黑名單。

預警模塊：對來自UI模塊、認證模塊以及安全管理模塊的預警信息進行響應，并在UI界面顯示。

2.2.2 無線網絡信息安全功能設計

安全功能模塊的設計主要是對主程序進行拓展，在基礎的通信模塊中新增加解密、安全模塊，進一步增強無線網絡的信息安全防護。其中加解密模塊是按照預設的密鑰對網關服務器與移動終端之間的通信數據進行加解密操作。安全管理模塊在網關的安全主程序線程構建監控進程，運用Winpcap針對服務器上的數據進行捕捉，觀察終端是否與服務器網關進行有效對接，同時比對白名單，如不符合則拒絕訪問，并更新黑名單庫、向主程序預警。其功能框圖如圖2所示。

圖2 無線網絡信息安全功能模塊框圖

3 結論與展望

無線網絡廣泛應用于移動終端中，給工業網絡系統的安全防護帶來了風險。因此，本文針對工業無線控制網絡和網絡系統提出安全設計在有線網絡與無線網絡節點間設置IT防火墻，重視移動終端設備的網絡安全防護，構建完善的信息安全管理制度，可有效的減少工業網絡系統的信息安全隱患。后續還可在有線網絡與無線網絡節點工程化防護策略、移動終端設備的工程話防護策略等方面進行深化研究。