◆刘 丛 郑婷婷



无线网络安全技术在应急指挥系统中的应用

◆刘 丛1郑婷婷2

（1.山东省核事故应急管理中心 山东 250100；2.济南市妇幼保健院 山东 250002）

应急指挥系统在使用过程中，尤其是针对事中处置阶段，现场的信息采集、数据交互过程要达到实时性和真实性。利用现有的、成熟的移动网络数据传输技术，架起应急指挥信息中心与现场信息采集终端之间的通讯桥梁，是我们的优先选项。但随之而来的是无线网络安全问题。在享有无线网络方便快捷的同时，也要采用多种技术手段来加强系统的安全性，防止外部攻击而造成重大损失。本文讨论了建立专用APN接入点、终端设备管控及其身份认证机制、数据纵向加密和横向隔离机制、系统运行安全监测等方面的技术在应急指挥系统中的应用。

应急指挥系统；无线网络安全；身份认证机制；纵向加密；横向隔离

1 应急指挥系统与网络安全

1.1 应急指挥系统

应急指挥系统是政府及业务主体职能部门建设的，为应对突发事件的一种事前预防、事中处置、事后管理的应对机制。该系统是我们用于灾害救援、处理突发事件等重大事件的重要系统，由政府及主要职能部门建设，并与多个信息系统互联互通，是受到黑客及敌对势力重点关注的信息系统。

1.2 黑客攻击案例

网络安全影响无处不在。乌克兰电网在2015年12月23日遭遇突发停电事故，导致8万用户停电3到6小时不等。信息安全组织SANS ICS于2016年1月9日明确宣称，本事件是“网络协同攻击”造成的。而就在2019年3月7日，委内瑞拉发生了该国历史上最大规模的停电，沉重打击该国的公用事业。其起因就是水电站遭遇网络攻击而发生重大事故。我们在运用网络便利同时，要时刻警醒网络安全不牢带来的严重后果。

2 安全技术的几种应用

2.1 APN接入

APN（Access Point Name）是一种网络接入技术，无线移动终端上网时必须设置的参数，它决定了移动终端是通过哪种方式、哪个网段来访问哪个网络。对于使用者而言，APN就是一个字符串名称，对于移动服务提供商，根据特定APN可建立一条独立于现有公共网络的专有通道。

对于建设应急指挥系统，可在国内三大移动运营商中选用一家，建立系统独有的APN通道。这包括光纤专线、申请专用APN名称、由移动服务供应商配置专有路由策略、定制该APN下的SIM卡。移动终端插入定制SIM卡后，只能接入指定的APN，通过运营商设置的策略，自动获取IP，且仅获取与系统主站之间的路由。此时，该移动终端与公共移动网络是无法路由的，也就是公用移动基站，但与互联网之间互不相连。

这种方式的隔离是比较弱的，它依赖于移动运营商的策略配置，容易存在漏洞。对于系统使用者来说是个黑盒，不易审查、调整。它的作用主要是建立一个隔离互联网的专用无线网络通道。我们同时还需要引入其他安全技术手段来提升系统安全性。

2.2 移动终端管理及其身份认证机制

移动终端是职能部门建设的应急指挥系统的必要组成部分，按系统的特点，定制了与业务相关配套的功能，并有使用单位同意配发至具体使用者，即系统建设单位作为移动终端的产权拥有者和使用者，担负此类设备的管理职能。应安排专人负责，建立设备台账，记录终端设备信息，包括且不仅限于：设备招标采购时间、设备生产商、技术标准、设备规格型号、应用场合、专属使用部门或使用人员（明确每次使用人员信息）、设备专有信息等内容。其中，能起到终端设备身份认证功能的就是设备专有信息。该信息可以使用设备的出厂序列号、无线MAC地址、设备CPU的ID号等，并加入特定信息后，经MD5信息摘要算法产生一个128位（16字节）的HASH值。以此HASH值作为该设备的专有信息。在实际应用中，做到凡是通过无线网络进入应急指挥系统的移动终端，都是在系统内登记过的。即做到终端设备来源可信。

下面以笔者实施过的某专业类应急指挥系统为例说明身份认证机制。移动终端设备是华为M5平板电脑，安装专用APP软件。在使用之前，由系统管理人员通过APP采集该终端的身份特征码（HASH值），采用设备型号、出厂序列号、无线MAC地址、使用人信息，按特点顺序混杂，运算出特征码，与其他信息一并存入数据库中。在应急处置现场，每次终端向系统信息中心发起链接请求时，明文发送设备序列号及HASH值。系统根据网络报文读取信息，同时调取数据库记录，比对其序列号、MAC地址、HASH值等。信息一致后才允许建立网络链接，进行下一步业务功能。

2.3 纵向加密与横向隔离

业务数据（包括视频、模拟量、数字量、环境信息等）从终端设备采集到传输、到系统信息中心运算处理，并由系统将指令反馈给终端。这一数据流向方式称之为纵向数据流。而系统平台向其他相关数据库、相关平台调取关联数据，以及系统平台自有数据共享等，这种数据流向称之为横向数据流。

在纵向数据流上，为保障系统安全，信息不被泄露。在移动终端通过身份认证后，即网络链接握手成功后，数据通信应开始采用加密方式进行。在系统信息中心，其对应下级终端众多，且通讯频繁，应使用专用硬件进行加密/解密，或使用多台高性能前置服务器专用于握手链接和加密/解密功能。在终端侧，定制设备（如电气数据采集、环境数据采集等专业设备）宜采用加密芯片方式。建设单位通过严控加密芯片的生产定制，加强系统的安全性能，同时降低终端设备生产厂家在安全方面的风险。对于通用移动终端，如手机、平板电脑等，可通过APP的软件加密实现纵向数据传输的安全。（由于苹果公司采用特殊的代码审查机制，可排除在外）。

横向数据流方面采用横向网络隔离装置，通过实现数据的单向单字节流动，打破操作系统层级上的网络数据流，避免了非业务需求的数据流动。即使黑客入侵，由于没有操作系统层级的数据交互，无法侵入业务核心数据。在应急指挥系统内，将前置服务器放在APN接入和防火墙之后，由横向隔离装置实现无线网络和内部网络的隔离。在前置服务器上，只实现握手链接确认、加密/解密功能。身份认证的比对数据存放在隔离装置之后的内部网络中。这样的布局安排，可以使最小范围的设备放置于无线网络影响之下，从而保障整个系统的网络安全。

2.4 系统运行安全监测

以上网络安全实施后，能够起到一定的安全防护作用。但随着技术的不断升级，黑客技术也在逐步提高，安全技术并不能替代对系统平台的日常安全监控和防护工作。

日常安全监测措施包括日志审计、入侵检测、安全扫描、系统加固等方面。根据应急指挥系统平台的评定等级不同，（依照国家相关管理办法，将系统的重要程度分为五个等级，五级为最高等级）。针对不同等级采取对应的措施。

日志审计是用单独的服务器来收集系统平台中各个设备（如服务器、交换机、路由器等）运行日志信息，分析并提供报警功能。如通过路由器的日志分析，可获知该设备远程登录、配置修改、端口状态变化、CPU运行状态等，配合日常办公管理，能够及时判断是否在合理范围内的操作，是否被外部攻击，操作过程信息记录等功能。

入侵检测功能是通过逐一分析硬件端口网络数据包，发现违法安全策略的行为或攻击迹象并发出警报。它的运用必将影响系统的运行性能。应充分考虑系统数据流的特点，合理选择入侵检测设备性能，寻求合理的投入产出平衡。

安全扫描即通过主动扫描端口、漏洞、密码等属性，检验系统的安全性能。通过此方式，可以在系统运维人员监控下，自动扫描所有设备。进而发现非法端口开放、存在系统漏洞、弱口令密码（如123、admin等）。

以上工作在无特殊告警发生时，可以周为时间单位进行。发现存在的问题设立台账清单，逐一进行系统加固。由于问题各种不同，处置手段按及时、有效、成本可控的原则进行处置。

3 结束语

网络安全技术及系统运行安全防护措施有很多种，以上只是讨论了部分安全技术。我们并不能有丝毫放松的心态，认为依靠其中某种安全技术就能高枕无忧，必须采用多种技术手段，结合实际情况，综合运用。同时，加强整个系统的运行管理，才能使我们安全可靠地利用无线网络技术发展带来的便利。

[1]国务院.国家突发公共事件总体应急预案.2006-1-8.

[2]四部委.信息安全等级保护管理办法.公通字[2007]43号文.

[3]刘念.网络协同攻击：乌克兰停电事件的推演与启示[J]. 电力系统自动化, 2016(06).