陈奕斌

（广东省电信规划设计院有限公司，广东广州，510000 ）

0 引言

信息技术在工业方面的应用日趋广泛，给工业控制带来了便利，也对工业网络的信息安全带来了极大的挑战。随着无线终端的普及，终端通过无线网络对工业设备进行实时监控与调试，极大提升了工作效率，并对突发性事件能进行有效的控制。而无线网络的开放性，给工业网络系统带来了安全隐患，有信息泄露的风险。本文以某工业园区的信息安全防护项目为依托，在园区的工业无线网络基础上，以信息安全技术与防护手段对网络系统进行设计规划，构建一个科学的信息安全防护系统，保障工业网络系统的信息安全。

1 工业无线网络环境下网络系统的安全性分析

1.1 工业控制网络现阶段面临的威胁

（1）网络体系结构：随着无线网络的接入，封闭式的网络系统转化为开放式的系统，而防控措施缺乏有效的维护与更新，降低了整个网络的安全性。

（2）数据流：缺乏对于数据流的有效控制，无法对接入的可移动访问设备进行限制。

（3）网络设备：防火墙以及ACL的配置规则缺乏科学性，降低了安全防护性。

（4）边界攻击：主动攻击者利用无线网络薄弱的防护侵入到工业网络，危害到整个工业管理系统。

1.2 无线网络自身安全隐患

在工业系统中，无线网络的安全防护主要分为访问身份控制以及访问密码控制两个部分，无线网络自身的安全隐患包括。

（1）信息嗅探窃听：攻击者通过特定手段对所监测的应用发起特定的网络攻击。

（2）身份欺诈侵入：攻击者利用身份欺诈借助合法的身份侵入网络，例如攻击者通过伪装替代网关，通知网络系统阀门器按照特定的指令开关。

（3）泛洪攻击堵塞通道：攻击者通过大量的无效信息攻击网络，造成无线网络拥塞。

（4）人为安全隐患：攻击者通过人为因素获取无线网络的用户名与密码，侵入无线网络进行攻击。

（5）密码破解侵入：攻击者通过特定的技巧破解网络登录许可密码进而侵入网络。

1.3 信息安全防护现状分析

1.3.1 工业园区的纵深防护结构

工业园区的纵深防护结构主要分为五个层级，根据不同的结构与功能将整个网络系统分为不同的安全域。外部网络作为一个独立区域，划分为外部域；针对企业层级，将企业级局域网、企业级防火墙等系统划分为企业域；将数据库服务器、工业防火墙、IPS等划分为数据域；将现场设备级防火墙划分为控制域。并在数据域与控制域间部署防火墙，防治不同层级间的边界攻击。

1.3.2 工业园区的安全防护策略

工业园区的信息安全防护策略部署在监控层及控制层，基于IEC62443所描述的“区域与管道防护模式”，以旁路镜像的方式在主交换机节点设计部署工业控制网络审核与计量设备，在无线网络与网络连接点间设计防火墙进行防护。本文研究的工业园区所使用的网络监控系统应用专有的通讯协议，安全性高于只支持MODBUS TCP、OPC的对工控协议。

工业审计设备对网络流量具备良好的控制功能，可对现存协议进行有效分析，实现良好的监控预警。而单独设计一台工控审计设备会影响系统的兼容性，增加防护系统成本，不适合推广。因此可通过将《GB/T 20945-2013》规范引入安全防护系统中对网络监控系统进行信息防护部署，以合理的成本实现科学的信息防护，保障网络系统的信息安全。

2 工业无线网络系统的信息安全设计与防护

2.1 工业无线控制网络的信息安全设计

基于密钥分配中心(KDC)的安全策略设计无线控制网络，通过对无线控制网络安全架构的分层分级，建立工业无线控制网络的安全系统。

2.1.1 基于KDC的工业无线控制网络安全设计

移动终端在接入无线网络时，网关设备对申请的设备信息加以甄别，并发送给安全服务器进行比对。通过比对的设备才能进行安全组态及安全管理。组态工作完成后，运用MCA层对移动终端设备进行扫描，通过适配的网关接入点建立连接、同步，形成加入请求报文，通过加密以后发送给路由器，路由器接收到请求后打包处理发送至系统管理器。系统管理器接收到路由器的打包信息后进行组件工作，根据相应的设置对设备入网请求进行有效的回应，实现新移动终端设备的安全入网。

2.1.2 基于 KDC 的工业无线控制网络密钥管理和安全管理

移动终端设备得到入网许可后，向网络控制中心的KDC申请全新的安全密钥。密钥管理中心对申请进行审核后，向终端设备发放具有唯一性及可识别性的密钥编码。终端设备向密钥管理中心发送访问申请，管理中心对其申请进行有效甄别，并生成密码钥匙偏移量，可根据实际的安全系数以及使用环境来设定密钥长度。然后密码钥匙编码对新生成的密码钥匙进行加密处理，发送给终端设备。终端接受到密码钥匙编码传达的加密信息后经过解密得到所需的密码钥匙信息。此外，随着技术的更新以及环境的变化，需要对密钥管理中心进行及时的更新与维护。

2.2 无线网络系统的信息安全设计

2.2.1 网关服务器信息安全设计

依据《GB/T 20945-2013》规范以及无线网络信息安全的基础要求，网关服务器信息安全设计主要包含以下几个部分：（1）在原有的信息通讯模块中加入加密模块，增加信息通讯的防控强度；（2）添加安全管理模块、黑白名单管理模块、监控管理模块、预警模块、身份认证模块等等安全功能模块。

系统管理员：可对安全管理员及其权限进行设置。

安全管理员：可对管理终端密码，修改终端用户的使用权限。

黑白名单管理模块：对设定好的移动终端账号密码、使用权限及其密钥进行管理，并保存在白名单列表当中；将不允许登录的移动终端设备保存在黑名单中，拒绝访问。

图1 网关服务器安全功能模块图

监控模块：对通信网卡的数据抓包情况进行实时监管，进行有效分析。

认证模块：对移动终端设备进行账号密码认证，认证后方可访问网关；若终端连续三次效验失败，则延迟一段时间才允许重新效验；若累积五次效验失败，则将设备保存至黑名单。

预警模块：对来自UI模块、认证模块以及安全管理模块的预警信息进行响应，并在UI界面显示。

2.2.2 无线网络信息安全功能设计

安全功能模块的设计主要是对主程序进行拓展，在基础的通信模块中新增加解密、安全模块，进一步增强无线网络的信息安全防护。其中加解密模块是按照预设的密钥对网关服务器与移动终端之间的通信数据进行加解密操作。安全管理模块在网关的安全主程序线程构建监控进程，运用Winpcap针对服务器上的数据进行捕捉，观察终端是否与服务器网关进行有效对接，同时比对白名单，如不符合则拒绝访问，并更新黑名单库、向主程序预警。其功能框图如图2所示。

图2 无线网络信息安全功能模块框图

3 结论与展望

无线网络广泛应用于移动终端中，给工业网络系统的安全防护带来了风险。因此，本文针对工业无线控制网络和网络系统提出安全设计在有线网络与无线网络节点间设置IT防火墙，重视移动终端设备的网络安全防护，构建完善的信息安全管理制度，可有效的减少工业网络系统的信息安全隐患。后续还可在有线网络与无线网络节点工程化防护策略、移动终端设备的工程话防护策略等方面进行深化研究。