園區智能化系統網絡安全體系的構建

黃家豐

（中通服咨詢設計研究院有限公司，江蘇 南京 210019）

0 引 言

本文簡單地論述了園區智能化系統網絡安全體系的構建方案。為了解網絡安全防護建設的主體，簡單介紹了園區的智能化系統，并分析了智能化系統的4層結構，然后簡單介紹了兩種以往使用的網絡防護工具，并分析其不適用于園區的原因，以此體現重新構建網絡安全體系的重要性。從網絡層、云服務層、應用層以及感知層的角度分析網絡安全需求，判斷本文網絡安全體系所需的功能，再建立網絡安全模型，搭建基于WPDRRC模型的安全體系結構。最后根據以上安全體系模型和功能需求搭建一個擁有局域網防火墻、訪問權限管理以及數據庫和云備份的網絡安全體系[1,2]。

1 園區智能化系統結構分析

園區的智能化系統一般指擁有成熟、先進、智能以及可靠的技術作為園區服務性設施的系統體系。一個擁有智能化系統的園區通常會配備通信接入系統、互聯網安全管理系統、視頻監控系統、出入口門禁系統、入侵報警系統、停車場管理系統、無線對講系統、災害自動報警系統、樓宇智能化系統以及電子巡更系統等，這些子系統共同組成了一個能夠給用戶帶來智能化服務且方便快捷的生活或工作環境[3]。通常，園區的智能化系統從底層至上層共分為4層結構，前期結構模式如圖1所示。

圖1 園區智能化系統結構模式

最底層的感知層負責接收園區內的各項信息，并將其運算處理之后轉到網絡層，網絡層是所有內部信息資源的核心，也是數字化園區建設的基礎，再上一層是云服務層，這一層主要是將內部和外部信息數據統一整合處理，得到一個智能化的結果，最上層是應用層，負責將網絡層和云服務層中得到的結果應用在物聯網系統中[4]。在網絡技術越來越發達的當今社會，園區的智能化系統就更加需要具備靈活開放性，而且園區智能化系統的可靠性和安全性在不斷地嘗試下逐漸提升，其性能也在向人性化的方向發展。

2 網絡安全體系構建的重要性

在園區的智能化系統中，感知層應用到了信息感知技術，網絡層和云服務層運用了網絡技術和云計算技術，而應用層則主要是物聯網技術。這4層結構幾乎都應用到了網絡，因此園區智能化系統的網絡安全就成為了一個至關重要的問題[5]。目前，園區智能化系統的網絡安全正在受到方方面面的挑戰，越來越多隱匿、破壞、竊取以及窺私等非法行為出現在網絡中，給網絡用戶帶來了巨大的損失。無論是經濟園區、工業園區還是住宅園區，其內部都有大量的用戶居民，因此園區內部急需建設一個園區智能化系統的網絡安全防護體系，用于防止網絡罪犯的威脅。

一般居民家庭中使用的防護網絡犯罪的機制是防火墻和殺毒軟件，防火墻是存在于內網和外網之間的一個屏障，以確保內部網絡正常運轉和保障園區內部網絡的暢通可靠為最終目的。通過已制定的網絡規則在網絡層的園區外網邊緣處過濾內外通信的數據，并阻止不符合標準的信息進入園區內部網絡。但是防火墻只能保護網絡層，而不能防護感知層和應用層，而且防火墻只能被動防御，不能在內部攻擊入境的病毒，也不能跟蹤入侵者找到其入侵終端，因此這樣的防護技術不適用于園區智能化系統的網絡安全防護。

殺毒軟件主要應用在應用層，起到檢測和清理病毒的作用。如果在系統內部檢測到有不斷攻擊數據庫的病毒，就可以使用殺毒軟件直接消滅病毒，使系統不再受到攻擊。隨著病毒頻繁地更新換代，殺毒軟件也需要不斷更新才能檢測并清理病毒，但是殺毒軟件總是能遇到無法解決的新型病毒，這樣被動防范病毒的方法很容易受到新型病毒的侵害，這是現如今殺毒軟件最主要的問題[6]。以往傳統的使用防火墻防御，并使用殺毒軟件清理入侵病毒的方法已經不再適用于園區智能化系統的網絡安全防護工作，在大量使用智能感知技術和物聯網技術的今天，擁有大量信息交互的園區需要新型的網絡防護體系作為安全保障，使園區的智能化系統能夠正常運行，防止病毒侵害。

3 園區智能化系統網絡安全體系構建策略

3.1 網絡安全需求分析

建設一個園區智能化系統網絡安全體系符合園區內所有用戶需求。保護用戶在網絡上的安全，將這個網絡安全體系擴大到對設備和系統的綜合管理，達成網絡、系統以及物理3方面的安全。在網絡安全方面，需要防范的風險主要有兩種，其一是為應對系統發生故障或被外來病毒入侵造成的數據丟失，其二是在發現無效MAC地址時的攻擊問題[7]。應對這兩種網絡風險主要的防護措施就是建立存檔備份并設置交換機端口，有效隔離園區內外的網絡。

園區智能化系統網絡安全體系還需要保護應用層物聯網系統的網絡安全，這種應用環境安全體系的構建是建設園區智能化系統的基礎。首先需要加密由網絡層或云服務層向應用層傳輸的數據，防止被病毒惡意竊取或修改，最有效的方法就是在網絡層或云服務層加密數據，保護數據不被攻擊。其次需要定時巡查操作系統，檢查漏洞，查殺病毒，每一個計算機內部都有自帶的安全掃描工具和病毒查殺軟件，直接利用計算機安全管理軟件對園區內的計算機主體進行維護和檢查，及時安裝殺毒補丁，防止新型病毒的破壞，維持園區內部網絡的安全運行。最后還需要搭建入侵檢測程序，建立一個園區內部的身份證明，只有擁有身份證明的用戶才能進入，否則視為非法入侵，將受到殺毒軟件的攻擊。

3.2 網絡安全模型建立

這個網絡安全模型采用我國網絡安全專家提出的WPDRRC模型（即預警、防護、檢查、響應、恢復以及反擊），其安全體系結構如圖2所示。

圖2 WPDRRC安全體系模型

在最上端的安全子系統是檢測模塊，是WPDRRC安全體系結構中最核心的內容，攻擊者一旦入侵就會立即觸發響應警報，這需要WPDRRC的安全體系結構擁有極強的響應速度和檢測能力。在預警后需要有一個恢復裝置，將被破壞的外部防火墻與遭到病毒襲擊的信息數據恢復成原狀。接著是最中心的策略模塊，想要擁有更多的安全防護策略，就必須擁有安全策略機制[8]。策略模塊還能指導WPDRRC的安全體系結構進行檢測、反擊以及防御工作，評價系統面對病毒時的漏洞，總結安全體系結構修改的建議，只有這樣才能使網絡安全防護變得更加具備層次感和多樣性，其功能也會逐漸由單一變得全面。其后是反擊模塊，反擊模塊是專門針對本文園區智能化系統網絡安全體系設置的模塊，在園區智能化系統受到病毒和惡意程序的攻擊后，不但能夠及時修復受損部位，還能追查惡意程序或病毒，在不觸犯網絡安全相關法律的前提下進行反擊，并掌握攻擊者的終端地址。而預警模塊則是園區智能化系統網絡安全體系的第一道防線，處于園區智能化系統的各個關鍵節點，一旦發現有惡意程序靠近，能夠發出預警，使以上模塊開始活動[9]。在本文基于園區智能化系統的網絡安全體系中，不僅需要建設一個能夠符合時代潮流的網絡安全體系，還需要增加對于園區內部的人、技術以及物理系統的考慮，將這3點增添在網絡安全體系的構建中，增加網絡安全與這3者的內部聯系，使園區智能化系統網絡安全體系更加全面和完善。

3.3 網絡安全體系構建

3.3.1 局域網防火墻設置

將園區智能化系統內部的網絡設置為局域網，并在局域網外搭建一個防火墻用于將惡意程序隔離在外，以保護小范圍園區智能化系統內部局域網的安全。局域網的建設需要與搭建防火墻同時進行，在此過程中需要注意以下幾點。第一，慎重選擇防火墻的位置。按照網絡拓撲結構定則，無論該局域網是雙重宿主的主機結構還是屏蔽子網的主機結構，常規的防火墻搭建位置都需要安裝在局域網和外部網絡之間，以隔絕外部網絡與局域網之間的不良數據傳輸，控制和過濾掉惡意程序，只將安全的信息放進局域網，保障園區內部局域網的安全運行。第二，要根據園區智能化系統的需求設置防火墻的類型。現今所存在的每一種防火墻都有其優點和局限性，且其成本價格也都有所不同。想要選擇最適合的防火墻，就需要明確園區智能化系統的需求及園區的類型，選擇合適的防火墻結構。第三，根據園區的類型，定義防火墻的準入需求。如民用園區準入需求應是“準許一切服務，除非被禁止”，而工業園區為了防止生產資料和數據被破壞，其防火墻就應該被設置為“禁止一切服務，除非被允許”，這樣在防火墻中添加準入需求，能夠增強防火墻的防護能力，加強局域網外防火墻的過濾作用，是園區智能化系統網絡安全體系的大門。

3.3.2 訪問權限設置

局域網內部網絡信息和數據傳輸的路徑是園區內部的公共路徑，因此用戶在局域網內發送的信息很容易被非法入侵者獲取，為了保護信息安全，需要設置訪問權限，并對信息非法截獲等行為加以預防。第一，需要在構建園區智能化系統網絡安全體系的過程中設置信息加密和信息密碼[10]。園區內的用戶將自己所需要發送的信息加密，只有擁有權限或密碼的人，或者發送接收方才能獲取并閱覽信息。第二，園區中的用戶需要在局域網總網中設置用戶身份信息，并形成園區內部局域網的身份證件。在這個過程中，用戶名和字段密鑰也需要設置并加密，進入局域網時需要進行身份認證才能登錄，以防止非法用戶以正規渠道進入局域網，同時用戶還需要在注冊帳號時填寫真實的身份證件號或手機號，以方便用戶的異地登錄。第三，在園區內部的不同部門之間也需要設置訪問權限，如工業園區內部，財務部門和生產部門就需要不同的訪問權限，居住園區內部，普通居民和物業管理部門之間也需要設置訪問權限。

3.3.3 數據庫和云備份設置

園區智能化系統的大部分模塊都需要大數據的支持，因此在園區內部的計算機中搭建數據庫是十分有必要的，而且智能化園區的所有智能行為都需要依托計算機進行輔助，指令傳達、物聯網系統和各單位之間的協作運行都有計算機作為中轉，一旦計算機出現故障，整個園區的智能化系統都會陷入癱瘓。若園區內的主機硬件損壞，那么就會有數據和資料丟失的風險，園區也會失去對智能化網絡安全管理的控制，所以園區內部的數據必須經過云備份，并嚴密保護所有物聯網終端或計算機主機的硬件設施。此外，園區智能化系統的網絡安全體系需要建立一個數據庫系統，將從云服務平臺中下載的數據存入數據庫，作為園區智能化系統實施的保障。

4 結 論

本文根據園區智能化系統網絡安全的建設需求，分析了目前園區智能化系統面臨的普遍網絡安全問題，并研究了園區智能化系統網絡安全體系的構建方案，從局域網防火墻的設置、訪問權限的設置以及數據庫和云備份的設置等方面構建了一套園區智能化系統網絡安全體系。