大面积生态区整体监控中的无线网络的应用设计

王进

（中国科学院空天信息创新研究院 北京市 100190）

1 引言

工业时代人类商业、科研活动越来越频繁，范围越来越大。简单举例，上世纪八九十年代公园景点需要保安队定时巡逻来维持治安、环保。试想如果在大面积的自然生态区，通过人力巡逻就显得力不从心了。本世纪随着无线网络技术的成熟，能够以“数据采集终端+无线网络+数据中心”的方式在全域范围内全天候无死角地监控整个生态区。无线网络可以将数据采集终端获取的信息实时快速地传输至数据中心供监控、研究人员研判，同时根据新需求从数据中心发送指令通过无线网络控制数据采集终端切换工作方式来获取更准确的信息。只需一次性投入即可长期获取所需数据这将大大节省人力、物力、财力。将获取数据进行分析、比对等处理后形成有效信息成为决策层的智力支撑，意义重大。

2 设计思路

本文针对大面积生态区场景设计一套合理可行、安全可控的无线网络方案来满足对整个生态区全天时、全天候、无死角、实时监控管理，从而掌控整个生态区的环境状况。基于以上特点，将整体生态区进行划分为若干个覆盖区域，每个覆盖区域内选择一个中心点，作为区域中心，区域中心建设铁塔等基础通信设施，在铁塔上安装自组网基站为覆盖区域内的通信场站提供无线网络的通信支持。覆盖区域内再分布着数据采集节点，在每个采集节点部署采集终端，根据距离远近若干个采集终端为一组，在该组附近部署自组网无线接入设备，组内每一套采集终端连接无线接入设备，再由无线接入设备上联至区域中心点自组网基站连接组成各个覆盖区域的无线接入网；各个覆盖区域中心点的自组网基站再无线互联组成整体生态区无线传输骨干网；通过二层网络拓扑（接入网、骨干网）形成跨越远距离连接各个数据采集节点，覆盖全域生态区的大型无线网络。考虑到大面积生态区多处在人迹罕至的深山密林等地，而数据中心多设置在人烟稠密的城区，因此生态区的无线网络与数据中心相距甚远。基于此需要租赁运营商专线连接生态区无线网络至数据中心。（其次，数据中心多数处于城区中，城区内无线设施众多信号干扰大，不宜在数据处理中心部署自组网基站）。“数据采集终端+无线网络+数据中心”模式从整体上解决了大面积生态区的监控、管理问题，其中无线网络起到了至关重要的作用。

3 无线网络架构

把生态区在划分为L 个覆盖区域，每个覆盖区域中心设置一套自组网基站即L 个自组网基站；每个覆盖区域再划分为M 个数据采集节点，每个数据采集节点部署一套无线接入设备即M 个无线接入设备；每个数据采集节点划分为N 个数据采集点位，每个数据采集点位部署一套采集终端即N 个数据采集终端；整体生态区最大部署数据采集点位为T=L*M*N，即整体生态区最大数据采集设备数为T=L*M*N，数据采集点位呈网格化覆盖分布于整个生态区。

4 无线网络拓扑

基于生态区面积大、距离远且地形复杂，最远数据采集点位距离自组网基站甚至达到40 公里以上，根据设计思路，先将此点位接入最近的无线接入设备再由无线接入设备无线上联至最近的自组网基站，以此完成远距离的数据传输。因此本文设计的整体无线网络分为两层，即无线骨干网络、无线接入网络。

通过自组网设备将L 个覆盖区域的中心点分为三路进行连接，提供高速通信网络的骨干基础。骨干通信网络采用定向通信设备实现点对点高速无线连接，可以提供大网络带宽，能够满足多个区域互联和无线接入网络通信需求。

L 个覆盖区域内的M 个数据采集节点下每个数据采集点位连接附近的无线接入设备组成M 个无线接入网，M 个无线接入网再上联至无线骨干网（由L 个区域中心点自组网基站组成的无线骨干网）。

5 无线网络传输流程

在各个数据采集点位上部署数据采集终端获取本点位区域的音视频数据、温湿度数据、红外数据及气象数据等，就近接入到无线接入设备，各个无线接入网再汇聚至无线骨干网，无线骨干网经由专线推送至数据中心落地；

经中心实时快速处理后投射至大屏幕，研判后，定制新的需求任务经由数据处理中心转化为指令经由专线推送至无线骨干网，再推送至无线接入网，并传送到数据采集终端。

终端按指令工作获取新数据并传送回数据中心。以此形成业务闭环。

6 关键技术

6.1 频段选择

生态区幅员辽阔、东西南北距离远、地形地貌复杂多变，而且生态区人迹罕至几乎没有部署过本地无线通信系统，这就避免了本无线通信系统与本地无线通信系统互相干扰；但是生态区存在低空、中空、深空的轨道卫星信号干扰，尤其是本国的地球同步卫星信号干扰，因此本无线通信系统要尽量避免与卫星通信系统互相干扰。建议本无线通信应选择2.3GHz-6GHz 的频率范围作为工作频点。依据业务需求和信息采集点地理位置以及具体位置的地形地貌来选择频谱分配和带宽用于无线骨干网及无线接入网。无线通信的实际通信效果受周边无线环境影响较大，应在设定频率范围内充分对现场无线环境进行调研，选择最佳通信频段，以提供稳定通信带宽、达到最佳通信效果，满足无线带宽需求。

6.2 无线接入网

在各个数据采集点位上部署数据采集终端获取本点位区域的音视频数据、温湿度数据、红外数据及气象数据等，就近接入到无线接入设备，因为是近距离连接，可以使用高规格网线连接采集终端与无线接入设备。在采集终端上设置通信ip 地址，在无线接入设备上设置同网段的通信ip 地址，这样采集的数据可从终端推送至无线接入设备即进入无线接入网。

无线接入设备的安装方式，根据环境具体需要，无线设备采用抱杆安装方式，不具备安装条件的地方采用自立杆的方式，自立杆高度约为5 米左右，设备安装在立杆顶部位置，做好防雷措施；布线规则，POE 供电交换机到无线接入设备之间采用标准POE 供电，传输距离100M 以内，网线质量差异会产生一定衰减，推荐范围在80M 以内；无线设备安装，无线接入设备支持IEEE802.3af 标准24V POE 供电，布线容易。采用抱杆安装，配线架安装牢靠，接线正确，走线整齐，标志清楚；缆线的铺设，在布线实施过程中尽可能采用明装嵌入式，水平布线用线扎带固定牢靠。线缆布放前应核对无线自组网设备位置设计相符。缆线的布放应平直，不得产生扭绞。打圈等现象，不应受到外力的挤压和损伤。 对各种线路的走向、分配做出明确的标识，缆线的两端应制作标签，以表明起始和终端位置，标签书写要清晰、端正和正确。敷设时力求距离最短,选择最安全和最经济的路径；设备安装高度，为方便布线施工及日后的网络维护管理，应给每个信息点一个独一无二的编号，信息点编号应便于记忆和查找。看到一个信息点编号，应马上可参考图纸找出这个信息点所在。为了更好的根据信息点编号查找信息点，并依照相关综合布线标准，每个信息点编号从头至尾都是一致的。

6.3 无线骨干网

在无线接入设备上配置频段后搜索最近自组网基站并完成无线连接，这样数据可从无线接入设备推送至自组网基站即进入无线骨干网。

自组网基站属于工业级无线基站，工作在免许可频段，符合IEEE802.11A/N/AC 标准的多模双射频无线网络设备,支持自组网。产品采用高性能的高通高速网络处理器，基于IEEE802.11N，支持无线传输速率高，采用 N 型射频接口，可以根据现场情况外接不同型号天线。特别适合于无线宽带、铁路、智能仓库、物流园区、平安城市、智能交通、数字化能源、政府单位、工矿企业、建筑工地、平安小区、公园景区、水利水务、现代农业等行业的无线应用。工业级自组网基站支持自组网、点对点、点对多点无线应用，具有无线漫游（WDS）、虚拟 AP 等无线功能；同时还支持 Routing、DHCP、MCL、WatchDog、NTP、WEB Server 等功能。可将分布于不同地形和不同地貌之间的局域网设备连接起来，应用范围广泛，抗干扰能力强，带宽高，采用金属铸铝外壳全天候防风、防雨、防雷、防晒、防尘、防震以及散热设计，拥有超强的免维护特性，基于以太网线供电技术，易于在室外安装使用；由于无需铺设专用馈缆，可减少传输损耗、缩短施工周期，降低施工成本。通信基站样例如图1 所示。

图1：通信基站样例

6.4 野外设备持续供电

无论是数据采集终端、无线接入设备、自组网基站都需要持续稳定的电源供应其长期有效工作。生态区多处于人迹罕至，从国家电网拉电距离远，成本高，费时费力。基于以上需求及环境限制，采取太阳能供电方式为设备提供持续稳定的电源。在野外部署立杆，在其上安装太阳能板+数据采集终端，附近挖沟部署蓄电池，太阳能板在白天日照时将光能转化为电能，一部分为数据采集终端供电一部分储存在蓄电池组中，晚间蓄电池组为数据采集终端供电；这样做到了全天24 小时持续为数据采集终端提供电源，数据采集终端才能够全天24 小时不间断工作；同法，在野外部署立杆，在其上安装太阳能板+无线接入设备，附近挖沟部署蓄电池，太阳能板在白天日照时将光能转化为电能，一部分为无线接入设备供电一部分储存在蓄电池组中，晚间蓄电池组为无线接入设备供电；这样做到了全天24 小时持续为无线接入设备提供电源，无线接入设备才能够全天24 小时不间断工作；同法，在野外部署更高的立杆，在其上安装太阳能板+自组网基站，附近挖沟部署蓄电池，太阳能板在白天日照时将光能转化为电能，一部分为自组网基站供电一部分储存在蓄电池组中，晚间蓄电池组为自组网基站供电；这样做到了全天24 小时持续为自组网基站提供电源，自组网基站才能够全天24 小时不间断工作。

6.5 全无线网络安全防护

通过对全无线网络风险分析及需要解决的安全问题，我们需要制定合理的安全策略及安全方案来确保网络系统的机密性、完整性、可用性、可控性与可审查性。

可用性：授权实体有权访问数据

敏感性：信息不暴露给未授权实体或进程

完整性：保证数据不被未授权修改

可控性：控制授权范围内的信息流向及操作方式

可审查性：对出现的安全问题提供依据与手段

访问控制：需要由网管服务器将内部网络与外部不可信任的网络隔离，对与外部网络交换数据的内部网络及其主机、所交换的数据进行严格的访问控制。同样，对内部网络，由于不同的应用业务以及不同的安全级别，也需要使用网管服务器将不同的LAN 或网段进行隔离，并实现相互的访问控制。

数据加密：数据加密是在数据传输、存储过程中防止非法窃取、篡改信息的有效手段。

安全审计：是识别与防止网络攻击行为、追查网络泄密行为的重要措施之一。具体包括两方面的内容，一是采用网络监控与入侵防范系统，识别网络各种违规操作与攻击行为，即时响应（如报警）并进行阻断；二是对信息内容的审计，可以防止内部机密或敏感信息的非法泄漏

针对现阶段网络系统的网络结构和业务流程，结合今后进行的网络化应用范围的拓展考虑，主要的安全威胁和安全漏洞包括以下几方面：

内部窃密和破坏，由于网络上同时接入了其它部门的网络系统，因此容易出现其它部门不怀好意的人员(或外部非法人员利用其它部门的计算机)通过网络进入内部网络，并进一步窃取和破坏其中的重要信息(如领导的网络帐号和口令、重要文件等)，因此这种风险是必须采取措施进行防范的。搭线(网络)窃听，这种威胁是网络最容易发生的。攻击者可以采用如Sniffer 等网络协议分析工具，并非常容易地在信息传输过程中获取所有信息(尤其是敏感信息)的内容。对网络系统来讲，由于存在跨越局域网的内部通信(与上级、下级)这种威胁等级是相当高的，因此也是本方案考虑的重点。假冒，这种威胁既可能来自企业网内部用户，也可能来自局域网内的其它用户。如系统内部攻击者伪装成系统内部的其他正确用户。攻击者可能通过冒充合法系统用户，诱骗其他用户或系统管理员，从而获得用户名/口令等敏感信息，进一步窃取用户网络内的重要信息。或者内部用户通过假冒的方式获取其不能阅读的秘密信息。完整性破坏，这种威胁主要指信息在传输过程中或者存储期间被篡改或修改，使得信息/数据失去了原有的真实性，从而变得不可用或造成广泛的负面影响。由于网内有许多重要信息，因此那些不怀好意的用户和非法用户就会通过网络对没有采取安全措施的服务器上的重要文件进行修改或传达一些虚假信息，从而影响工作的正常进行。管理及操作人员缺乏安全知识，由于信息和网络技术发展迅猛，信息的应用和安全技术相对滞后，用户在引入和采用安全设备和系统时，缺乏全面和深入的培训和学习，对信息安全的重要性与技术认识不足，很容易使安全设备/系统成为摆设，不能使其发挥正确的作用。如本来对某些通信和操作需要限制，为了方便，设置成全开放状态等等，从而出现网络漏洞。由于网络安全产品的技术含量大，因此，对操作管理人员的培训显得尤为重要。这样，使安全设备能够尽量发挥其作用，避免使用上的漏洞。雷击由于网络系统中涉及很多的网络设备、终端、线路等，而这些都是通过通信电缆进行传输，因此极易受到雷击，造成连锁反应，使整个网络瘫痪，设备损坏，造成严重后果。因此，为避免遭受感应雷击的危害和静电干扰、电磁辐射干扰等引起的瞬间电压浪涌电压的损坏。

网络准入控制系统采用下一代准入控制技术，支持包括NACP、策略路由（PBR）、802.1x、WebPortal、DHCP、SNMP、透明网桥等多种先进的准入控制技术，能够对接入网络的终端进行严格、高细粒度的管理，以监控审计为辅助，将终端作为最小管理单元，为用户解决“网络接入不可知、非法外联不可控、违法行为不可管”的网络安全管理问题。

6.5.1 智能准入管理

（1）智能采集：基于主动和被动信息采集技术，智能采集设备（IP/MAC）信息、路由信息、身份信息、主机名、操作系统、位置信息、流量信息等。

（2）智能识别：基于科技自主研发的设备画像技术，智能识别网络拓扑、设备的类型、设备厂家、设备状态（新设备/在线设备/离线设备）、设备安全状态（安全、较安全、不安全）、设备之间的连接关系等，支持对PC 设备、网络设备、移动设备、IoT 设备（含视频终端等）、ICS 设备等主流设备类型和厂家的识别。

（3）智能接入：支持基于AD 域或Email 的智能准入。支持传统的基于802.1x、EoU/NACC 的准入方式；支持基于指纹的准入方式；认证方式支持LDAP/RADIUS/AD 等。支持双因素认证。

6.5.2 合规遵从检测

（1）准入合规性检测：支持发现未开准入的交换机/路由器/未开准入的交换机端口、未开准入的网段、未准入的设备等，发现未准入的情况立即告警或者阻断。

（2）软件合规性检测：支持发现未安装防病毒软件的终端设备，支持发现未安装企业合规的软件或者安装违规软件的设备，发现软件违规的设备立即告警或者阻断。

（3）配置合规性检测：支持发现未正确配置DNS 的终端设备和违规的DNS服务器；支持发现违规的AD服务器、未加入域的设备、加入域但未登录域的设备；支持发现未设置或者设置错误的WSUS 服务器的Windows 终端设备，发现配置违规的设备立即告警或者阻断。

（4）匿名检测：支持发现匿名共享服务器和匿名的FTP 服务器，发现违规开启匿名访问的设备立即告警或者阻断。

（5）NAT 设备检测：支持发现网络内部私设的网中网（违规使用网络共享，违规开启无线AP 接入等），发现违规的NAT 设备时可立即告警或者阻断。

1.违规共享：支持发现违规的网络共享服务器，发现违规共享时可立即告警或者阻断。

2.设备接入时间检查：支持发现非工作时间接入网络的PC 设备、移动终端设备等，发现时可立即告警或者阻断。

3.Telnet 合规性检查：支持发现Telnet 服务器，发现时可立即告警或者阻断。

4.支持无代理检查防病毒版本及补丁信息。

5.支持非法外联设备识别。

6.5.3 攻击行为检测

（1）C&C 攻击检测：支持检测设备与C&C（命令与控制服务器）的连接行为，发现时可立即告警或者阻断；

（2）DoS 攻击检测：支持SMTP/MYSQL/RDP/DNS/HTTP 等协议的DOS 攻击检测，发现时可立即告警或者阻断；

（3）暴力破解检测：支持RDP/SSH/FTP 等协议的暴力破解攻击检测，发现时可立即告警或者阻断；

（4）勒索病毒检测：支持检测WantCry 等勒索病毒的检测；

（5）僵尸网络、蠕虫、木马攻击检测：支持僵尸网络、病毒、蠕虫等攻击行为检测，发现时可立即告警或者阻断；

（6）网络扫描检测：支持常见的Nmap、Nessus、Nikto 等常见扫描工具的端口、数据库、Web 页面扫描，操作系统探测等扫描行为检测，发现时可立即告警或者阻断；

（7）Shellcode 攻击检测：支持常见的Shellcode 攻击检测，如利用SHELL 编写一段代码，发送到服务器利用代码的特定漏洞获取权限，发现时可立即告警或者阻断；

（8）恶意软件攻击检测：支持检测间谍软件、仿冒的防病毒软件等恶意软件，发现时可立即告警或者阻断；

（9）权限破解攻击检测：支持检测普通或者超级管理员的权限破解攻击，发现时可立即告警或者阻断；

（10）视频语音协议攻击检测：支持检测视频和语音协议的攻击，发现时可立即告警或者阻断；

（11）新增Xbash 检测功能：支持Xbash 恶意软件的检测，发现时发现时可立即告警或者阻断。

6.5.4 脆弱性检测

（1）弱口令检测：支持检测Web/SSH/TELNET/FTP 等应用的弱口令，支持用户导入自主的账号和密码字典；支持摄像头弱口令检测，内置原厂默认账号和密码。

（2）漏洞检测：与科技平台联动，可以发现终端、服务器等的漏洞情况。

（3）补丁安装情况检测：与科技平台联动，可以发现终端、服务器等的补丁修复情况。

（4）支持SSH/TELNET/FTP 弱口令检测。

6.5.5 异常行为检测

（1）设备仿冒：基于科技自主研发的设备画像技术，支持基于设备类型、IP、MAC、设备名、操作系统、系统服务、流量特征、行为特征的设备仿冒检测。发现设备仿冒时，系统会发出告警或者自动阻断。

（2）异常连接：基于科技独创的无监督机器自学习技术结合威胁情报，能自动学习网络中设备之间的连接关系以及访问互联网的行为，自动构建用户正常的访问行为模式，智能发现异常的连接。发现异常连接时，系统会发出告警或者自动阻断。

（3）异常流量：基于科技独创的无监督机器自学习技术，能自动学习网络中设备之间的流量行为特征以及访问互联网的流量特征，在某一时间段内流量发生异常时，系统会发出告警或者自动阻断。

（4）异常协议：可及时发现异常协议的访问（如80 端口，跑的是非http 协议流量），可立即报警并阻断。

（5）异常在线时间：基于科技独创的设备画像技术，能自动学习设备的在线时长，一旦发现设备在线时间异常，可立即报警或阻断。

（6）异常接入位置：对于服务器、哑终端设备、IoT 设备等接入位置相对固定的设备，一旦发现设备接入位置发生变化，会立即报警或阻断。

（7）异常域名：系统采用机器学习和威胁情报相结合的方式，对域名进行可疑度分析，发现恶意域名立即告警或者阻断。

（8）智能幻影：基于科技独创的幻影技术，可以按比例自动幻影出与在线设备一致的设备类型和数量（如果IP地址不够用，生成的数量会少于在线的设备数），支持手动创建幻影设备；支持自动或手动生成幻影网络；发现恶意访问幻影设备立即告警或者阻断。

（9）幻影AD：基于科技独创的幻影技术，可以在网络中幻影出一台或者多台AD 服务器，管理员可以在幻影AD服务器中放置诱饵文件；发现恶意访问幻影AD 服务器立即告警或者阻断。

（10）RDP 面包屑：该功能要与手动幻影功能相配合，先手动幻影RDP 服务器，然后生成RDP 面包屑；面包屑通过AD 域控制器或者桌面管理软件下发给每个终端，并自动运行；发现恶意访问幻影RDP 服务器立即告警或者阻断。

6.5.6 流量分析

（1）支持显示实时流量，上下行速率，实时连接关系，TOP 流量主机、应用层协议、服务器端口流量等；

（2）支持总流量分析：总流量信息，数据包（TCP/UDP/IP）分析、应用层协议分析、ICMP/ARP 协议分析等；

（3）活动会话分析：包含客户端、服务端、会话持续时间、4 层协议类型、应用层协议、吞吐量，以及总流量；

（4）主机流量分析：展示IP 地址、设备名称、持续时间、吞吐量、总流量；

（5）网段列表：展示网段名称、主机数量、持续时间、吞吐量、总流量；

（6）支持互联网流量地图：访问互联网的流量，支持以地图方式展现。

6.5.7 风险处置及可视化管理

6.5.7.1 智能处置

对存在风险的设备，系统可以根据安全系数变化情况，采用以下几种方式进行智能处置：

（1）主动告警：可通过SMS/Email/Web 等方式通知管理员和使用者，及时做出响应；

（2）网络控制：可以根据系统预设置的策略，对设备阻断，重认证或跳转到安全区域进行修复；

（3）第三方接口：可以通过Syslog/SNMP Trap 等方式通知事件中心，如SOC/SIEM 等。

6.5.7.2 可视化管理

（1）展现全网风险状态：系统会根据设备的异常行为、攻击行为、合规性、脆弱性的严重程度和分布情况，采用机器学习的算法，实时计算每台设备的安全系数；系统会依据设备的价值，根据机器学习的算法实时计算企业全网的安全系数；并可以定性或者定量的方式展现设备以及全网风险状态；支持全网安全态势系数分析。

（2）展现布控全景：系统会实时跟踪并展现智能准入、异常行为感知、合规感知、攻击行为感知、脆弱性感知等主要安全防护模块的运行情况（开启、关闭、数量）。

（3）展现入侵视图及过程：支持展示全网设备分布图、攻击链分析视图、准入状态视图、不合规设备趋势图、异常行为设备趋势图、攻击行为设备趋势图、幻影设备趋势图以及流量视图、域名分析视图等；与系列产品联动可展示攻击路径图。

（4）取证报告：支持导出取证报告，包含设备的安全指数，设备的基本信息、不合规信息、攻击行为信息、异常行为信息、网络连接行为信息、IP 地址及其它相关辅助信息等。支持风险分析报告（按天、周、月和自定义时间导出）导出功能，风险报告自动生成。

6.6 数据处理

数据中心位于离生态区最近的城区。主要承载数据处理、数据应用、数据显示、远程监控等功能。

7 结束语

这种组网方式通过子区域的划分、就近接入，可以大幅度降低节点间的距离，显著降低通信天线的尺寸和通信设备的功率要求，使得设备能够进一步小型化。无线网络内的大部分数据采集终端数据都可以通过两到三跳即可达到数据处理中心，跳转对通信带宽造成的损失不大，也是可控的，能够满足通信带宽的需求。