大面積生態區整體監控中的無線網絡的應用設計

王進

（中國科學院空天信息創新研究院 北京市 100190）

1 引言

工業時代人類商業、科研活動越來越頻繁，范圍越來越大。簡單舉例，上世紀八九十年代公園景點需要保安隊定時巡邏來維持治安、環保。試想如果在大面積的自然生態區，通過人力巡邏就顯得力不從心了。本世紀隨著無線網絡技術的成熟，能夠以“數據采集終端+無線網絡+數據中心”的方式在全域范圍內全天候無死角地監控整個生態區。無線網絡可以將數據采集終端獲取的信息實時快速地傳輸至數據中心供監控、研究人員研判，同時根據新需求從數據中心發送指令通過無線網絡控制數據采集終端切換工作方式來獲取更準確的信息。只需一次性投入即可長期獲取所需數據這將大大節省人力、物力、財力。將獲取數據進行分析、比對等處理后形成有效信息成為決策層的智力支撐，意義重大。

2 設計思路

本文針對大面積生態區場景設計一套合理可行、安全可控的無線網絡方案來滿足對整個生態區全天時、全天候、無死角、實時監控管理，從而掌控整個生態區的環境狀況。基于以上特點，將整體生態區進行劃分為若干個覆蓋區域，每個覆蓋區域內選擇一個中心點，作為區域中心，區域中心建設鐵塔等基礎通信設施，在鐵塔上安裝自組網基站為覆蓋區域內的通信場站提供無線網絡的通信支持。覆蓋區域內再分布著數據采集節點，在每個采集節點部署采集終端，根據距離遠近若干個采集終端為一組，在該組附近部署自組網無線接入設備，組內每一套采集終端連接無線接入設備，再由無線接入設備上聯至區域中心點自組網基站連接組成各個覆蓋區域的無線接入網；各個覆蓋區域中心點的自組網基站再無線互聯組成整體生態區無線傳輸骨干網；通過二層網絡拓撲（接入網、骨干網）形成跨越遠距離連接各個數據采集節點，覆蓋全域生態區的大型無線網絡。考慮到大面積生態區多處在人跡罕至的深山密林等地，而數據中心多設置在人煙稠密的城區，因此生態區的無線網絡與數據中心相距甚遠。基于此需要租賃運營商專線連接生態區無線網絡至數據中心。（其次，數據中心多數處于城區中，城區內無線設施眾多信號干擾大，不宜在數據處理中心部署自組網基站）。“數據采集終端+無線網絡+數據中心”模式從整體上解決了大面積生態區的監控、管理問題，其中無線網絡起到了至關重要的作用。

3 無線網絡架構

把生態區在劃分為L 個覆蓋區域，每個覆蓋區域中心設置一套自組網基站即L 個自組網基站；每個覆蓋區域再劃分為M 個數據采集節點，每個數據采集節點部署一套無線接入設備即M 個無線接入設備；每個數據采集節點劃分為N 個數據采集點位，每個數據采集點位部署一套采集終端即N 個數據采集終端；整體生態區最大部署數據采集點位為T=L*M*N，即整體生態區最大數據采集設備數為T=L*M*N，數據采集點位呈網格化覆蓋分布于整個生態區。

4 無線網絡拓撲

基于生態區面積大、距離遠且地形復雜，最遠數據采集點位距離自組網基站甚至達到40 公里以上，根據設計思路，先將此點位接入最近的無線接入設備再由無線接入設備無線上聯至最近的自組網基站，以此完成遠距離的數據傳輸。因此本文設計的整體無線網絡分為兩層，即無線骨干網絡、無線接入網絡。

通過自組網設備將L 個覆蓋區域的中心點分為三路進行連接，提供高速通信網絡的骨干基礎。骨干通信網絡采用定向通信設備實現點對點高速無線連接，可以提供大網絡帶寬，能夠滿足多個區域互聯和無線接入網絡通信需求。

L 個覆蓋區域內的M 個數據采集節點下每個數據采集點位連接附近的無線接入設備組成M 個無線接入網，M 個無線接入網再上聯至無線骨干網（由L 個區域中心點自組網基站組成的無線骨干網）。

5 無線網絡傳輸流程

在各個數據采集點位上部署數據采集終端獲取本點位區域的音視頻數據、溫濕度數據、紅外數據及氣象數據等，就近接入到無線接入設備，各個無線接入網再匯聚至無線骨干網，無線骨干網經由專線推送至數據中心落地；

經中心實時快速處理后投射至大屏幕，研判后，定制新的需求任務經由數據處理中心轉化為指令經由專線推送至無線骨干網，再推送至無線接入網，并傳送到數據采集終端。

終端按指令工作獲取新數據并傳送回數據中心。以此形成業務閉環。

6 關鍵技術

6.1 頻段選擇

生態區幅員遼闊、東西南北距離遠、地形地貌復雜多變，而且生態區人跡罕至幾乎沒有部署過本地無線通信系統，這就避免了本無線通信系統與本地無線通信系統互相干擾；但是生態區存在低空、中空、深空的軌道衛星信號干擾，尤其是本國的地球同步衛星信號干擾，因此本無線通信系統要盡量避免與衛星通信系統互相干擾。建議本無線通信應選擇2.3GHz-6GHz 的頻率范圍作為工作頻點。依據業務需求和信息采集點地理位置以及具體位置的地形地貌來選擇頻譜分配和帶寬用于無線骨干網及無線接入網。無線通信的實際通信效果受周邊無線環境影響較大，應在設定頻率范圍內充分對現場無線環境進行調研，選擇最佳通信頻段，以提供穩定通信帶寬、達到最佳通信效果，滿足無線帶寬需求。

6.2 無線接入網

在各個數據采集點位上部署數據采集終端獲取本點位區域的音視頻數據、溫濕度數據、紅外數據及氣象數據等，就近接入到無線接入設備，因為是近距離連接，可以使用高規格網線連接采集終端與無線接入設備。在采集終端上設置通信ip 地址，在無線接入設備上設置同網段的通信ip 地址，這樣采集的數據可從終端推送至無線接入設備即進入無線接入網。

無線接入設備的安裝方式，根據環境具體需要，無線設備采用抱桿安裝方式，不具備安裝條件的地方采用自立桿的方式，自立桿高度約為5 米左右，設備安裝在立桿頂部位置，做好防雷措施；布線規則，POE 供電交換機到無線接入設備之間采用標準POE 供電，傳輸距離100M 以內，網線質量差異會產生一定衰減，推薦范圍在80M 以內；無線設備安裝，無線接入設備支持IEEE802.3af 標準24V POE 供電，布線容易。采用抱桿安裝，配線架安裝牢靠，接線正確，走線整齊，標志清楚；纜線的鋪設，在布線實施過程中盡可能采用明裝嵌入式，水平布線用線扎帶固定牢靠。線纜布放前應核對無線自組網設備位置設計相符。纜線的布放應平直，不得產生扭絞。打圈等現象，不應受到外力的擠壓和損傷。 對各種線路的走向、分配做出明確的標識，纜線的兩端應制作標簽，以表明起始和終端位置，標簽書寫要清晰、端正和正確。敷設時力求距離最短,選擇最安全和最經濟的路徑；設備安裝高度，為方便布線施工及日后的網絡維護管理，應給每個信息點一個獨一無二的編號，信息點編號應便于記憶和查找。看到一個信息點編號，應馬上可參考圖紙找出這個信息點所在。為了更好的根據信息點編號查找信息點，并依照相關綜合布線標準，每個信息點編號從頭至尾都是一致的。

6.3 無線骨干網

在無線接入設備上配置頻段后搜索最近自組網基站并完成無線連接，這樣數據可從無線接入設備推送至自組網基站即進入無線骨干網。

自組網基站屬于工業級無線基站，工作在免許可頻段，符合IEEE802.11A/N/AC 標準的多模雙射頻無線網絡設備,支持自組網。產品采用高性能的高通高速網絡處理器，基于IEEE802.11N，支持無線傳輸速率高，采用 N 型射頻接口，可以根據現場情況外接不同型號天線。特別適合于無線寬帶、鐵路、智能倉庫、物流園區、平安城市、智能交通、數字化能源、政府單位、工礦企業、建筑工地、平安小區、公園景區、水利水務、現代農業等行業的無線應用。工業級自組網基站支持自組網、點對點、點對多點無線應用，具有無線漫游（WDS）、虛擬 AP 等無線功能；同時還支持 Routing、DHCP、MCL、WatchDog、NTP、WEB Server 等功能。可將分布于不同地形和不同地貌之間的局域網設備連接起來，應用范圍廣泛，抗干擾能力強，帶寬高，采用金屬鑄鋁外殼全天候防風、防雨、防雷、防曬、防塵、防震以及散熱設計，擁有超強的免維護特性，基于以太網線供電技術，易于在室外安裝使用；由于無需鋪設專用饋纜，可減少傳輸損耗、縮短施工周期，降低施工成本。通信基站樣例如圖1 所示。

圖1：通信基站樣例

6.4 野外設備持續供電

無論是數據采集終端、無線接入設備、自組網基站都需要持續穩定的電源供應其長期有效工作。生態區多處于人跡罕至，從國家電網拉電距離遠，成本高，費時費力。基于以上需求及環境限制，采取太陽能供電方式為設備提供持續穩定的電源。在野外部署立桿，在其上安裝太陽能板+數據采集終端，附近挖溝部署蓄電池，太陽能板在白天日照時將光能轉化為電能，一部分為數據采集終端供電一部分儲存在蓄電池組中，晚間蓄電池組為數據采集終端供電；這樣做到了全天24 小時持續為數據采集終端提供電源，數據采集終端才能夠全天24 小時不間斷工作；同法，在野外部署立桿，在其上安裝太陽能板+無線接入設備，附近挖溝部署蓄電池，太陽能板在白天日照時將光能轉化為電能，一部分為無線接入設備供電一部分儲存在蓄電池組中，晚間蓄電池組為無線接入設備供電；這樣做到了全天24 小時持續為無線接入設備提供電源，無線接入設備才能夠全天24 小時不間斷工作；同法，在野外部署更高的立桿，在其上安裝太陽能板+自組網基站，附近挖溝部署蓄電池，太陽能板在白天日照時將光能轉化為電能，一部分為自組網基站供電一部分儲存在蓄電池組中，晚間蓄電池組為自組網基站供電；這樣做到了全天24 小時持續為自組網基站提供電源，自組網基站才能夠全天24 小時不間斷工作。

6.5 全無線網絡安全防護

通過對全無線網絡風險分析及需要解決的安全問題，我們需要制定合理的安全策略及安全方案來確保網絡系統的機密性、完整性、可用性、可控性與可審查性。

可用性：授權實體有權訪問數據

敏感性：信息不暴露給未授權實體或進程

完整性：保證數據不被未授權修改

可控性：控制授權范圍內的信息流向及操作方式

可審查性：對出現的安全問題提供依據與手段

訪問控制：需要由網管服務器將內部網絡與外部不可信任的網絡隔離，對與外部網絡交換數據的內部網絡及其主機、所交換的數據進行嚴格的訪問控制。同樣，對內部網絡，由于不同的應用業務以及不同的安全級別，也需要使用網管服務器將不同的LAN 或網段進行隔離，并實現相互的訪問控制。

數據加密：數據加密是在數據傳輸、存儲過程中防止非法竊取、篡改信息的有效手段。

安全審計：是識別與防止網絡攻擊行為、追查網絡泄密行為的重要措施之一。具體包括兩方面的內容，一是采用網絡監控與入侵防范系統，識別網絡各種違規操作與攻擊行為，即時響應（如報警）并進行阻斷；二是對信息內容的審計，可以防止內部機密或敏感信息的非法泄漏

針對現階段網絡系統的網絡結構和業務流程，結合今后進行的網絡化應用范圍的拓展考慮，主要的安全威脅和安全漏洞包括以下幾方面：

內部竊密和破壞，由于網絡上同時接入了其它部門的網絡系統，因此容易出現其它部門不懷好意的人員(或外部非法人員利用其它部門的計算機)通過網絡進入內部網絡，并進一步竊取和破壞其中的重要信息(如領導的網絡帳號和口令、重要文件等)，因此這種風險是必須采取措施進行防范的。搭線(網絡)竊聽，這種威脅是網絡最容易發生的。攻擊者可以采用如Sniffer 等網絡協議分析工具，并非常容易地在信息傳輸過程中獲取所有信息(尤其是敏感信息)的內容。對網絡系統來講，由于存在跨越局域網的內部通信(與上級、下級)這種威脅等級是相當高的，因此也是本方案考慮的重點。假冒，這種威脅既可能來自企業網內部用戶，也可能來自局域網內的其它用戶。如系統內部攻擊者偽裝成系統內部的其他正確用戶。攻擊者可能通過冒充合法系統用戶，誘騙其他用戶或系統管理員，從而獲得用戶名/口令等敏感信息，進一步竊取用戶網絡內的重要信息。或者內部用戶通過假冒的方式獲取其不能閱讀的秘密信息。完整性破壞，這種威脅主要指信息在傳輸過程中或者存儲期間被篡改或修改，使得信息/數據失去了原有的真實性，從而變得不可用或造成廣泛的負面影響。由于網內有許多重要信息，因此那些不懷好意的用戶和非法用戶就會通過網絡對沒有采取安全措施的服務器上的重要文件進行修改或傳達一些虛假信息，從而影響工作的正常進行。管理及操作人員缺乏安全知識，由于信息和網絡技術發展迅猛，信息的應用和安全技術相對滯后，用戶在引入和采用安全設備和系統時，缺乏全面和深入的培訓和學習，對信息安全的重要性與技術認識不足，很容易使安全設備/系統成為擺設，不能使其發揮正確的作用。如本來對某些通信和操作需要限制，為了方便，設置成全開放狀態等等，從而出現網絡漏洞。由于網絡安全產品的技術含量大，因此，對操作管理人員的培訓顯得尤為重要。這樣，使安全設備能夠盡量發揮其作用，避免使用上的漏洞。雷擊由于網絡系統中涉及很多的網絡設備、終端、線路等，而這些都是通過通信電纜進行傳輸，因此極易受到雷擊，造成連鎖反應，使整個網絡癱瘓，設備損壞，造成嚴重后果。因此，為避免遭受感應雷擊的危害和靜電干擾、電磁輻射干擾等引起的瞬間電壓浪涌電壓的損壞。

網絡準入控制系統采用下一代準入控制技術，支持包括NACP、策略路由（PBR）、802.1x、WebPortal、DHCP、SNMP、透明網橋等多種先進的準入控制技術，能夠對接入網絡的終端進行嚴格、高細粒度的管理，以監控審計為輔助，將終端作為最小管理單元，為用戶解決“網絡接入不可知、非法外聯不可控、違法行為不可管”的網絡安全管理問題。

6.5.1 智能準入管理

（1）智能采集：基于主動和被動信息采集技術，智能采集設備（IP/MAC）信息、路由信息、身份信息、主機名、操作系統、位置信息、流量信息等。

（2）智能識別：基于科技自主研發的設備畫像技術，智能識別網絡拓撲、設備的類型、設備廠家、設備狀態（新設備/在線設備/離線設備）、設備安全狀態（安全、較安全、不安全）、設備之間的連接關系等，支持對PC 設備、網絡設備、移動設備、IoT 設備（含視頻終端等）、ICS 設備等主流設備類型和廠家的識別。

（3）智能接入：支持基于AD 域或Email 的智能準入。支持傳統的基于802.1x、EoU/NACC 的準入方式；支持基于指紋的準入方式；認證方式支持LDAP/RADIUS/AD 等。支持雙因素認證。

6.5.2 合規遵從檢測

（1）準入合規性檢測：支持發現未開準入的交換機/路由器/未開準入的交換機端口、未開準入的網段、未準入的設備等，發現未準入的情況立即告警或者阻斷。

（2）軟件合規性檢測：支持發現未安裝防病毒軟件的終端設備，支持發現未安裝企業合規的軟件或者安裝違規軟件的設備，發現軟件違規的設備立即告警或者阻斷。

（3）配置合規性檢測：支持發現未正確配置DNS 的終端設備和違規的DNS服務器；支持發現違規的AD服務器、未加入域的設備、加入域但未登錄域的設備；支持發現未設置或者設置錯誤的WSUS 服務器的Windows 終端設備，發現配置違規的設備立即告警或者阻斷。

（4）匿名檢測：支持發現匿名共享服務器和匿名的FTP 服務器，發現違規開啟匿名訪問的設備立即告警或者阻斷。

（5）NAT 設備檢測：支持發現網絡內部私設的網中網（違規使用網絡共享，違規開啟無線AP 接入等），發現違規的NAT 設備時可立即告警或者阻斷。

1.違規共享：支持發現違規的網絡共享服務器，發現違規共享時可立即告警或者阻斷。

2.設備接入時間檢查：支持發現非工作時間接入網絡的PC 設備、移動終端設備等，發現時可立即告警或者阻斷。

3.Telnet 合規性檢查：支持發現Telnet 服務器，發現時可立即告警或者阻斷。

4.支持無代理檢查防病毒版本及補丁信息。

5.支持非法外聯設備識別。

6.5.3 攻擊行為檢測

（1）C&C 攻擊檢測：支持檢測設備與C&C（命令與控制服務器）的連接行為，發現時可立即告警或者阻斷；

（2）DoS 攻擊檢測：支持SMTP/MYSQL/RDP/DNS/HTTP 等協議的DOS 攻擊檢測，發現時可立即告警或者阻斷；

（3）暴力破解檢測：支持RDP/SSH/FTP 等協議的暴力破解攻擊檢測，發現時可立即告警或者阻斷；

（4）勒索病毒檢測：支持檢測WantCry 等勒索病毒的檢測；

（5）僵尸網絡、蠕蟲、木馬攻擊檢測：支持僵尸網絡、病毒、蠕蟲等攻擊行為檢測，發現時可立即告警或者阻斷；

（6）網絡掃描檢測：支持常見的Nmap、Nessus、Nikto 等常見掃描工具的端口、數據庫、Web 頁面掃描，操作系統探測等掃描行為檢測，發現時可立即告警或者阻斷；

（7）Shellcode 攻擊檢測：支持常見的Shellcode 攻擊檢測，如利用SHELL 編寫一段代碼，發送到服務器利用代碼的特定漏洞獲取權限，發現時可立即告警或者阻斷；

（8）惡意軟件攻擊檢測：支持檢測間諜軟件、仿冒的防病毒軟件等惡意軟件，發現時可立即告警或者阻斷；

（9）權限破解攻擊檢測：支持檢測普通或者超級管理員的權限破解攻擊，發現時可立即告警或者阻斷；

（10）視頻語音協議攻擊檢測：支持檢測視頻和語音協議的攻擊，發現時可立即告警或者阻斷；

（11）新增Xbash 檢測功能：支持Xbash 惡意軟件的檢測，發現時發現時可立即告警或者阻斷。

6.5.4 脆弱性檢測

（1）弱口令檢測：支持檢測Web/SSH/TELNET/FTP 等應用的弱口令，支持用戶導入自主的賬號和密碼字典；支持攝像頭弱口令檢測，內置原廠默認賬號和密碼。

（2）漏洞檢測：與科技平臺聯動，可以發現終端、服務器等的漏洞情況。

（3）補丁安裝情況檢測：與科技平臺聯動，可以發現終端、服務器等的補丁修復情況。

（4）支持SSH/TELNET/FTP 弱口令檢測。

6.5.5 異常行為檢測

（1）設備仿冒：基于科技自主研發的設備畫像技術，支持基于設備類型、IP、MAC、設備名、操作系統、系統服務、流量特征、行為特征的設備仿冒檢測。發現設備仿冒時，系統會發出告警或者自動阻斷。

（2）異常連接：基于科技獨創的無監督機器自學習技術結合威脅情報，能自動學習網絡中設備之間的連接關系以及訪問互聯網的行為，自動構建用戶正常的訪問行為模式，智能發現異常的連接。發現異常連接時，系統會發出告警或者自動阻斷。

（3）異常流量：基于科技獨創的無監督機器自學習技術，能自動學習網絡中設備之間的流量行為特征以及訪問互聯網的流量特征，在某一時間段內流量發生異常時，系統會發出告警或者自動阻斷。

（4）異常協議：可及時發現異常協議的訪問（如80 端口，跑的是非http 協議流量），可立即報警并阻斷。

（5）異常在線時間：基于科技獨創的設備畫像技術，能自動學習設備的在線時長，一旦發現設備在線時間異常，可立即報警或阻斷。

（6）異常接入位置：對于服務器、啞終端設備、IoT 設備等接入位置相對固定的設備，一旦發現設備接入位置發生變化，會立即報警或阻斷。

（7）異常域名：系統采用機器學習和威脅情報相結合的方式，對域名進行可疑度分析，發現惡意域名立即告警或者阻斷。

（8）智能幻影：基于科技獨創的幻影技術，可以按比例自動幻影出與在線設備一致的設備類型和數量（如果IP地址不夠用，生成的數量會少于在線的設備數），支持手動創建幻影設備；支持自動或手動生成幻影網絡；發現惡意訪問幻影設備立即告警或者阻斷。

（9）幻影AD：基于科技獨創的幻影技術，可以在網絡中幻影出一臺或者多臺AD 服務器，管理員可以在幻影AD服務器中放置誘餌文件；發現惡意訪問幻影AD 服務器立即告警或者阻斷。

（10）RDP 面包屑：該功能要與手動幻影功能相配合，先手動幻影RDP 服務器，然后生成RDP 面包屑；面包屑通過AD 域控制器或者桌面管理軟件下發給每個終端，并自動運行；發現惡意訪問幻影RDP 服務器立即告警或者阻斷。

6.5.6 流量分析

（1）支持顯示實時流量，上下行速率，實時連接關系，TOP 流量主機、應用層協議、服務器端口流量等；

（2）支持總流量分析：總流量信息，數據包（TCP/UDP/IP）分析、應用層協議分析、ICMP/ARP 協議分析等；

（3）活動會話分析：包含客戶端、服務端、會話持續時間、4 層協議類型、應用層協議、吞吐量，以及總流量；

（4）主機流量分析：展示IP 地址、設備名稱、持續時間、吞吐量、總流量；

（5）網段列表：展示網段名稱、主機數量、持續時間、吞吐量、總流量；

（6）支持互聯網流量地圖：訪問互聯網的流量，支持以地圖方式展現。

6.5.7 風險處置及可視化管理

6.5.7.1 智能處置

對存在風險的設備，系統可以根據安全系數變化情況，采用以下幾種方式進行智能處置：

（1）主動告警：可通過SMS/Email/Web 等方式通知管理員和使用者，及時做出響應；

（2）網絡控制：可以根據系統預設置的策略，對設備阻斷，重認證或跳轉到安全區域進行修復；

（3）第三方接口：可以通過Syslog/SNMP Trap 等方式通知事件中心，如SOC/SIEM 等。

6.5.7.2 可視化管理

（1）展現全網風險狀態：系統會根據設備的異常行為、攻擊行為、合規性、脆弱性的嚴重程度和分布情況，采用機器學習的算法，實時計算每臺設備的安全系數；系統會依據設備的價值，根據機器學習的算法實時計算企業全網的安全系數；并可以定性或者定量的方式展現設備以及全網風險狀態；支持全網安全態勢系數分析。

（2）展現布控全景：系統會實時跟蹤并展現智能準入、異常行為感知、合規感知、攻擊行為感知、脆弱性感知等主要安全防護模塊的運行情況（開啟、關閉、數量）。

（3）展現入侵視圖及過程：支持展示全網設備分布圖、攻擊鏈分析視圖、準入狀態視圖、不合規設備趨勢圖、異常行為設備趨勢圖、攻擊行為設備趨勢圖、幻影設備趨勢圖以及流量視圖、域名分析視圖等；與系列產品聯動可展示攻擊路徑圖。

（4）取證報告：支持導出取證報告，包含設備的安全指數，設備的基本信息、不合規信息、攻擊行為信息、異常行為信息、網絡連接行為信息、IP 地址及其它相關輔助信息等。支持風險分析報告（按天、周、月和自定義時間導出）導出功能，風險報告自動生成。

6.6 數據處理

數據中心位于離生態區最近的城區。主要承載數據處理、數據應用、數據顯示、遠程監控等功能。

7 結束語

這種組網方式通過子區域的劃分、就近接入，可以大幅度降低節點間的距離，顯著降低通信天線的尺寸和通信設備的功率要求，使得設備能夠進一步小型化。無線網絡內的大部分數據采集終端數據都可以通過兩到三跳即可達到數據處理中心，跳轉對通信帶寬造成的損失不大，也是可控的，能夠滿足通信帶寬的需求。