工業無線網絡環境下移動監控的信息安全威脅與防護

方 遒，王蔚庭

（1.北京聯合大學機器人學院，北京 100101；2.北京創時特科技有限公司，北京 100029）

0 引言

隨著《中國制造2025》計劃實施、工業化與信息化深度融合，工業控制網絡的信息安全壓力日益突出。無線網絡固有的優點，使得有更多的智能手機終端、平板電腦等經由無線網絡接入到工業現場設備，實現移動監控、設備管理等功能，以滿足對工作質量與效率、對突發事件響應速度提高等要求，但也有可能比有線網絡帶來更多的安全隱患。

本論文以某污水處理廠“無線WIFI網絡環境下基于信息安全的移動監控系統”實際開發項目為背景，依托工廠原有的工業有線、無線WIFI網絡，進行系統的規劃設計，選擇適當的信息安全技術和管理手段，特別在無線網絡局部，采取縱深防御策略的信息安全防護措施，構建一個經濟合理，同時兼顧信息安全的工業無線移動監控系統。

1 工業無線監控系統

無線監控系統拓撲結構如圖1所示，主要包括監控服務器、工業有線網絡系統、工業無線網絡系統、移動監控軟件系統、信息安全防護設備五部分。系統軟件結構如圖2所示，包括標準監控組態軟件和移動監控軟件系統兩部分，移動監控軟件系統包括網關服務器軟件和移動監控軟件兩部分，分別安裝在監控服務器和智能手機終端上；監控組態軟件安裝在監控服務器上。

圖1 系統拓撲結構圖

監控組態軟件完成對污水處理廠現場控制設備的數據采集、設備監控。網關服務器軟件一方面通過OPC通訊，實現與監控組態軟件的數據交互，進而實現與現場設備的數據交互，另一方面，通過無線WIFI網絡、有線網絡與智能手機終端基于WIFI進行通訊，實現智能手機終端與工業控制現場設備的數據交互，達到通過智能手機終端對污水處理設備移動監控的目的。對于有線不易接入的場合，可采用無線WIFI網絡便利組成網絡，及接入原有線網絡，并進行移動監控。

圖2 無線監控系統軟件結構

移動監控軟件系統是自主開發，監控組態軟件采用第三方標準軟件。網關服務器軟件和移動監控軟件均包括軟件功能實現和信息安全實現兩部分，軟件功能實現部分能完成手機端與網關服務器軟件之間的通訊、數據交互的移動監控功能，信息安全實現部分采用信息安全技術設計，吸收了信息安全產品的設計思想、開發技術、技術架構來實現。本論文著重對無線WIFI網絡下的網關服務器軟件和移動監控軟件開發中所采取的信息安全技術進行重點描述，而對軟件功能開發實現做簡要描述；此外，通過采取縱深防御策略的工程化防護措施，來增強系統信息安全防護能力。

2 無線監控系統安全性分析

對無線網絡來說，在整個應用的安全鏈條中，包含諸多容易被攻破的薄弱環節，都可能成為整個防御體系的薄弱點，讓攻擊者有機可乘。

2.1 邊界攻擊威脅

主要是來自無線網絡的攻擊擴展到有線網絡，并可能對整個控制系統造成損害。

2.2 無線網絡受到的攻擊威脅

WIFI安全性主要包括訪問控制和加密兩大部分，WIFI面臨的主要攻擊威脅形式包括：

1）信息嗅探竊聽威脅：攻擊者采取手段對偵測到的AP發起網絡攻擊。

2）身份驗證欺騙：攻擊者利用合法用戶身份侵入網絡，如攻擊者取代網關，通知閥門器按期指令打開或關閉。

3）拒絕服務攻擊：攻擊者進行泛洪攻擊，造成通訊阻塞。

4）人為因素攻擊：入侵者獲得接入用戶名和密碼，進而攻擊無線網絡。

5）WIFI密碼破解：WPA2利用先進加密標準（AES）來進行加密，提供了最高等級的安全保護，與其他的最優實踐結合起來，可大大降低被攻破風險。

2.3 信息安全防護技術分析

現行工控系統信息安全是基于IEC62443所描述的“區域與管道防護模型”，在監控層和控制層采取的主要防護措施，包括在主交換機節點以旁路鏡像方式部署工控網絡審計設備，以及在邊界部署防火墻設備來進行網絡監測和防護。

對比目前大多數的工控防火墻設備，對工控協議深度解析通常只支持MODBUS TCP、OPC，而本污水處理廠的移動監控項目采用專有通訊協議，在無線和有線網絡邊界采用工控防火墻和IT防火墻差別不大，所以選用價格相對低廉的IT防火墻產品來做邊界防護。

工控審計產品對工控網絡有很好的流量、協議分析和監測預警能力，但孤立部署一臺審計設備涉及到維護的復雜性等諸多問題，性價比不高，但可以在自主開發的移動監控軟件系統中，引入《GB/T 20945-2013信息系統安全審計產品技術要求和測試評價方法》（下簡稱《GB/T 20945-2013》）規范部分技術要求來對移動監控系統進行信息安全設計，如用戶管理的三權分立技術、流量和協議審計及統計技術、登錄認證技術等，來構建一個經濟合理，兼顧信息安全的工業無線安全監控系統。

3 無線監控系統信息安全設計和防護

3.1 移動監控軟件系統信息安全設計

3.1.1 網關服務器軟件信息安全功能設計

根據《GB/T 20945-2013》規范和無線WIFI通訊安全要求，信息安全的設計包括：1）在原有通訊模塊基礎上，增加加解密模塊；2）新增安全功能模塊，包括安全管理模塊、黑白名單管理、監控模塊、報警模塊、認證模塊等。安全網關服務器軟件功能模圖如圖3所示。

安全管理模塊：按三權分立原則，建立信息安全管理體系。系統管理員：包括增刪安全管理員賬戶等。安全管理員：負責客戶端用戶登陸賬號、訪問閾值、運行密碼等管理。運行管理員負責軟件運行操作和技術工作。

圖3 網關服務器軟件功能模圖

黑白名單管理：將設定的各移動手機客戶端登陸賬號、訪問頻度閾值、運行密鑰進行管理，并保存到設備白名單庫；驗證模塊將拒絕登陸服務的客戶端設備等加入到黑名單庫。

監控模塊：監控服務器網卡數據包抓取及分析處理。

認證模塊：對連接到網關服務器的客戶端設備登陸賬戶進行效驗，如連續三次失敗，將在延遲時間內才能登陸，累積超過3次后，將拒絕該客戶端設備登錄，并加入到黑名單庫，及通過報警模塊報警。

加解密模塊：對發往客戶端及來自客戶端的數據，按密鑰要求進行加密和解密。

報警模塊：將來自監控模塊、驗證模塊、認證模塊等報警信息，在UI界面進行報警顯示。

3.1.2 網關服務器軟件信息安全設計的開發實現

網關服務器軟件的主程序流程如圖4所示。

在主程序進程創建監控模塊線程，采用Winpcap（Windows packet capture）技術捕獲監控服務器網卡上的數據幀數據，包括源目的MAC、IP、端口號、傳輸層協議等數據，監測客戶端與網關服務器端建立連接、通訊頻度等指紋信息，做通訊頻度閾值等分析，與白名單基線庫中數據進行比對，不一致或非白名單指紋數據，則更新黑名單庫及通知報警，供主線程程序丟棄對應接受數據和報警處理。

在主程序進程創建認證模塊線程，完成認證模塊安全監控功能。

主程序進程創建管理模塊處理子進程，創建運行線程，在單獨的操作界面下，負責系統管理員和安全管理員的維護和管理工作。

網關服務器軟件的主要實現步驟如下：

1）系統功能初始化，包括初始化黑白名單庫；

2）創建管理模塊子進程，進行安全管理員操作處理；

3）啟動監控模塊線程，及進行Winpcap數據幀抓取處理；

圖4 網關服務器軟件主程序流程

4）啟動認證模塊線程，及進行認證功能處理；

5）通訊處化：創建套接字、啟動套接字監聽；

6）接收客戶端請求連接，數據接收及數據解密處理；

7）根據黑白名單庫指紋信息對接收數據處理，及送網關通訊模塊處理；

8）服務器應答處理，接收來自網關通訊模塊數據，經數據加密后，發回客戶端；

9）如果停止服務器，則對應的進程、線程結束。

3.1.3 移動監控軟件信息安全功能設計

移動監控軟件的安全功能設計，是圍繞網關服務器軟件的信息安全功能設計展開，包括：1）通訊模塊中增加通訊協議加解密模塊；2）增加安全模塊：包括對與網關服務端進行通訊頻度、強登陸密碼設置、增加客戶端的MAC、IP地址設置等。安全移動監控軟件功能模圖如圖5所示。

圖5 安全移動監控軟件功能框圖

3.1.4 移動監控軟件信息安全設計的開發實現

移動監控軟件與網關服務器端采用了基于TCP/IP的Socket通信，在與網關服務器端建立Socket通信連接后，即按照配置要求的通訊頻度、IP/MAC地址、密鑰數據報文等要求與網關服務器通訊，同時采取強密碼進行登陸。移動監控軟件的主程序流程如圖6所示。

圖6 移動監控軟件主程序流程

3.1.5 系統軟硬件開發平臺

安全移動監控軟件：安裝在智能手機終端上，基于安卓4.0以上操作系統，采用JAVA語言實現，開發平臺基于Eclipse。

安全網關服務器端軟件：基于WINDOWS 2008 SERVER，VC++6.0或VC++.NET實現。

3.2 信息安全防護工程化措施

3.2.1 邊界工程化防護措施

在工業有線與無線網絡邊界增加IT防火墻，根據網絡情況進行網絡白名單配置和其他安全性設置等。對于更高安全要求，需部署入侵檢測系統等。

3.2.2 無線設備工程化防護措施

安全配置：進行安全配置，如隱藏SSID，關閉DHCP，關閉WPS功能，設置WEP強密鑰等。啟用非法AP監測功能，進行AES加密認證等。

限制發射功率：把信號可能收斂在信任的范圍之內。

密碼政策：最少10個字符組合，由大小寫字母、數字、特殊字母組合等。

3.2.3 信息安全管理制度

建立完善的安全管理制度，建立專職信息安全崗位并進行培訓，不斷增強信息安全意識。

4 結論

通過在監控軟件系統采用信息安全技術設計，建立了信息安全管理體系，可對來自無線WIFI網絡的大部分攻擊進行監測、防護和預警，包括拒絕服務等攻擊、非白名單的通訊訪問、非安全登錄等監測和預警，并通過專有通訊協議、密文通訊等設計，大大加強了無線監控軟件系統的信息安全，同時，輔以工程化的信息安全防護措施和管理手段，共同來構建一個經濟合理，兼顧信息安全的工業無線監控系統。本論文對其他的如藍牙、ISA100.11a、WirelessHART等無線網絡的信息安全防護有同樣的借鑒意義。