园区智能化系统网络安全体系的构建

2020-03-06黄家丰

通信电源技术 2020年21期

黄家丰

（中通服咨询设计研究院有限公司，江苏南京 210019）

0 引言

本文简单地论述了园区智能化系统网络安全体系的构建方案。为了解网络安全防护建设的主体，简单介绍了园区的智能化系统，并分析了智能化系统的4层结构，然后简单介绍了两种以往使用的网络防护工具，并分析其不适用于园区的原因，以此体现重新构建网络安全体系的重要性。从网络层、云服务层、应用层以及感知层的角度分析网络安全需求，判断本文网络安全体系所需的功能，再建立网络安全模型，搭建基于WPDRRC模型的安全体系结构。最后根据以上安全体系模型和功能需求搭建一个拥有局域网防火墙、访问权限管理以及数据库和云备份的网络安全体系[1,2]。

1 园区智能化系统结构分析

园区的智能化系统一般指拥有成熟、先进、智能以及可靠的技术作为园区服务性设施的系统体系。一个拥有智能化系统的园区通常会配备通信接入系统、互联网安全管理系统、视频监控系统、出入口门禁系统、入侵报警系统、停车场管理系统、无线对讲系统、灾害自动报警系统、楼宇智能化系统以及电子巡更系统等，这些子系统共同组成了一个能够给用户带来智能化服务且方便快捷的生活或工作环境[3]。通常，园区的智能化系统从底层至上层共分为4层结构，前期结构模式如图1所示。

图1 园区智能化系统结构模式

最底层的感知层负责接收园区内的各项信息，并将其运算处理之后转到网络层，网络层是所有内部信息资源的核心，也是数字化园区建设的基础，再上一层是云服务层，这一层主要是将内部和外部信息数据统一整合处理，得到一个智能化的结果，最上层是应用层，负责将网络层和云服务层中得到的结果应用在物联网系统中[4]。在网络技术越来越发达的当今社会，园区的智能化系统就更加需要具备灵活开放性，而且园区智能化系统的可靠性和安全性在不断地尝试下逐渐提升，其性能也在向人性化的方向发展。

2 网络安全体系构建的重要性

在园区的智能化系统中，感知层应用到了信息感知技术，网络层和云服务层运用了网络技术和云计算技术，而应用层则主要是物联网技术。这4层结构几乎都应用到了网络，因此园区智能化系统的网络安全就成为了一个至关重要的问题[5]。目前，园区智能化系统的网络安全正在受到方方面面的挑战，越来越多隐匿、破坏、窃取以及窥私等非法行为出现在网络中，给网络用户带来了巨大的损失。无论是经济园区、工业园区还是住宅园区，其内部都有大量的用户居民，因此园区内部急需建设一个园区智能化系统的网络安全防护体系，用于防止网络罪犯的威胁。

一般居民家庭中使用的防护网络犯罪的机制是防火墙和杀毒软件，防火墙是存在于内网和外网之间的一个屏障，以确保内部网络正常运转和保障园区内部网络的畅通可靠为最终目的。通过已制定的网络规则在网络层的园区外网边缘处过滤内外通信的数据，并阻止不符合标准的信息进入园区内部网络。但是防火墙只能保护网络层，而不能防护感知层和应用层，而且防火墙只能被动防御，不能在内部攻击入境的病毒，也不能跟踪入侵者找到其入侵终端，因此这样的防护技术不适用于园区智能化系统的网络安全防护。

杀毒软件主要应用在应用层，起到检测和清理病毒的作用。如果在系统内部检测到有不断攻击数据库的病毒，就可以使用杀毒软件直接消灭病毒，使系统不再受到攻击。随着病毒频繁地更新换代，杀毒软件也需要不断更新才能检测并清理病毒，但是杀毒软件总是能遇到无法解决的新型病毒，这样被动防范病毒的方法很容易受到新型病毒的侵害，这是现如今杀毒软件最主要的问题[6]。以往传统的使用防火墙防御，并使用杀毒软件清理入侵病毒的方法已经不再适用于园区智能化系统的网络安全防护工作，在大量使用智能感知技术和物联网技术的今天，拥有大量信息交互的园区需要新型的网络防护体系作为安全保障，使园区的智能化系统能够正常运行，防止病毒侵害。

3 园区智能化系统网络安全体系构建策略

3.1 网络安全需求分析

建设一个园区智能化系统网络安全体系符合园区内所有用户需求。保护用户在网络上的安全，将这个网络安全体系扩大到对设备和系统的综合管理，达成网络、系统以及物理3方面的安全。在网络安全方面，需要防范的风险主要有两种，其一是为应对系统发生故障或被外来病毒入侵造成的数据丢失，其二是在发现无效MAC地址时的攻击问题[7]。应对这两种网络风险主要的防护措施就是建立存档备份并设置交换机端口，有效隔离园区内外的网络。

园区智能化系统网络安全体系还需要保护应用层物联网系统的网络安全，这种应用环境安全体系的构建是建设园区智能化系统的基础。首先需要加密由网络层或云服务层向应用层传输的数据，防止被病毒恶意窃取或修改，最有效的方法就是在网络层或云服务层加密数据，保护数据不被攻击。其次需要定时巡查操作系统，检查漏洞，查杀病毒，每一个计算机内部都有自带的安全扫描工具和病毒查杀软件，直接利用计算机安全管理软件对园区内的计算机主体进行维护和检查，及时安装杀毒补丁，防止新型病毒的破坏，维持园区内部网络的安全运行。最后还需要搭建入侵检测程序，建立一个园区内部的身份证明，只有拥有身份证明的用户才能进入，否则视为非法入侵，将受到杀毒软件的攻击。

3.2 网络安全模型建立

这个网络安全模型采用我国网络安全专家提出的WPDRRC模型（即预警、防护、检查、响应、恢复以及反击），其安全体系结构如图2所示。

图2 WPDRRC安全体系模型

在最上端的安全子系统是检测模块，是WPDRRC安全体系结构中最核心的内容，攻击者一旦入侵就会立即触发响应警报，这需要WPDRRC的安全体系结构拥有极强的响应速度和检测能力。在预警后需要有一个恢复装置，将被破坏的外部防火墙与遭到病毒袭击的信息数据恢复成原状。接着是最中心的策略模块，想要拥有更多的安全防护策略，就必须拥有安全策略机制[8]。策略模块还能指导WPDRRC的安全体系结构进行检测、反击以及防御工作，评价系统面对病毒时的漏洞，总结安全体系结构修改的建议，只有这样才能使网络安全防护变得更加具备层次感和多样性，其功能也会逐渐由单一变得全面。其后是反击模块，反击模块是专门针对本文园区智能化系统网络安全体系设置的模块，在园区智能化系统受到病毒和恶意程序的攻击后，不但能够及时修复受损部位，还能追查恶意程序或病毒，在不触犯网络安全相关法律的前提下进行反击，并掌握攻击者的终端地址。而预警模块则是园区智能化系统网络安全体系的第一道防线，处于园区智能化系统的各个关键节点，一旦发现有恶意程序靠近，能够发出预警，使以上模块开始活动[9]。在本文基于园区智能化系统的网络安全体系中，不仅需要建设一个能够符合时代潮流的网络安全体系，还需要增加对于园区内部的人、技术以及物理系统的考虑，将这3点增添在网络安全体系的构建中，增加网络安全与这3者的内部联系，使园区智能化系统网络安全体系更加全面和完善。

3.3 网络安全体系构建

3.3.1 局域网防火墙设置

将园区智能化系统内部的网络设置为局域网，并在局域网外搭建一个防火墙用于将恶意程序隔离在外，以保护小范围园区智能化系统内部局域网的安全。局域网的建设需要与搭建防火墙同时进行，在此过程中需要注意以下几点。第一，慎重选择防火墙的位置。按照网络拓扑结构定则，无论该局域网是双重宿主的主机结构还是屏蔽子网的主机结构，常规的防火墙搭建位置都需要安装在局域网和外部网络之间，以隔绝外部网络与局域网之间的不良数据传输，控制和过滤掉恶意程序，只将安全的信息放进局域网，保障园区内部局域网的安全运行。第二，要根据园区智能化系统的需求设置防火墙的类型。现今所存在的每一种防火墙都有其优点和局限性，且其成本价格也都有所不同。想要选择最适合的防火墙，就需要明确园区智能化系统的需求及园区的类型，选择合适的防火墙结构。第三，根据园区的类型，定义防火墙的准入需求。如民用园区准入需求应是“准许一切服务，除非被禁止”，而工业园区为了防止生产资料和数据被破坏，其防火墙就应该被设置为“禁止一切服务，除非被允许”，这样在防火墙中添加准入需求，能够增强防火墙的防护能力，加强局域网外防火墙的过滤作用，是园区智能化系统网络安全体系的大门。

3.3.2 访问权限设置

局域网内部网络信息和数据传输的路径是园区内部的公共路径，因此用户在局域网内发送的信息很容易被非法入侵者获取，为了保护信息安全，需要设置访问权限，并对信息非法截获等行为加以预防。第一，需要在构建园区智能化系统网络安全体系的过程中设置信息加密和信息密码[10]。园区内的用户将自己所需要发送的信息加密，只有拥有权限或密码的人，或者发送接收方才能获取并阅览信息。第二，园区中的用户需要在局域网总网中设置用户身份信息，并形成园区内部局域网的身份证件。在这个过程中，用户名和字段密钥也需要设置并加密，进入局域网时需要进行身份认证才能登录，以防止非法用户以正规渠道进入局域网，同时用户还需要在注册帐号时填写真实的身份证件号或手机号，以方便用户的异地登录。第三，在园区内部的不同部门之间也需要设置访问权限，如工业园区内部，财务部门和生产部门就需要不同的访问权限，居住园区内部，普通居民和物业管理部门之间也需要设置访问权限。

3.3.3 数据库和云备份设置

园区智能化系统的大部分模块都需要大数据的支持，因此在园区内部的计算机中搭建数据库是十分有必要的，而且智能化园区的所有智能行为都需要依托计算机进行辅助，指令传达、物联网系统和各单位之间的协作运行都有计算机作为中转，一旦计算机出现故障，整个园区的智能化系统都会陷入瘫痪。若园区内的主机硬件损坏，那么就会有数据和资料丢失的风险，园区也会失去对智能化网络安全管理的控制，所以园区内部的数据必须经过云备份，并严密保护所有物联网终端或计算机主机的硬件设施。此外，园区智能化系统的网络安全体系需要建立一个数据库系统，将从云服务平台中下载的数据存入数据库，作为园区智能化系统实施的保障。