王進(jìn)

（中國科學(xué)院空天信息創(chuàng)新研究院 北京市 100190）

1 引言

工業(yè)時代人類商業(yè)、科研活動越來越頻繁，范圍越來越大。簡單舉例，上世紀(jì)八九十年代公園景點需要保安隊定時巡邏來維持治安、環(huán)保。試想如果在大面積的自然生態(tài)區(qū)，通過人力巡邏就顯得力不從心了。本世紀(jì)隨著無線網(wǎng)絡(luò)技術(shù)的成熟，能夠以“數(shù)據(jù)采集終端+無線網(wǎng)絡(luò)+數(shù)據(jù)中心”的方式在全域范圍內(nèi)全天候無死角地監(jiān)控整個生態(tài)區(qū)。無線網(wǎng)絡(luò)可以將數(shù)據(jù)采集終端獲取的信息實時快速地傳輸至數(shù)據(jù)中心供監(jiān)控、研究人員研判，同時根據(jù)新需求從數(shù)據(jù)中心發(fā)送指令通過無線網(wǎng)絡(luò)控制數(shù)據(jù)采集終端切換工作方式來獲取更準(zhǔn)確的信息。只需一次性投入即可長期獲取所需數(shù)據(jù)這將大大節(jié)省人力、物力、財力。將獲取數(shù)據(jù)進(jìn)行分析、比對等處理后形成有效信息成為決策層的智力支撐，意義重大。

2 設(shè)計思路

本文針對大面積生態(tài)區(qū)場景設(shè)計一套合理可行、安全可控的無線網(wǎng)絡(luò)方案來滿足對整個生態(tài)區(qū)全天時、全天候、無死角、實時監(jiān)控管理，從而掌控整個生態(tài)區(qū)的環(huán)境狀況?；谝陨咸攸c，將整體生態(tài)區(qū)進(jìn)行劃分為若干個覆蓋區(qū)域，每個覆蓋區(qū)域內(nèi)選擇一個中心點，作為區(qū)域中心，區(qū)域中心建設(shè)鐵塔等基礎(chǔ)通信設(shè)施，在鐵塔上安裝自組網(wǎng)基站為覆蓋區(qū)域內(nèi)的通信場站提供無線網(wǎng)絡(luò)的通信支持。覆蓋區(qū)域內(nèi)再分布著數(shù)據(jù)采集節(jié)點，在每個采集節(jié)點部署采集終端，根據(jù)距離遠(yuǎn)近若干個采集終端為一組，在該組附近部署自組網(wǎng)無線接入設(shè)備，組內(nèi)每一套采集終端連接無線接入設(shè)備，再由無線接入設(shè)備上聯(lián)至區(qū)域中心點自組網(wǎng)基站連接組成各個覆蓋區(qū)域的無線接入網(wǎng)；各個覆蓋區(qū)域中心點的自組網(wǎng)基站再無線互聯(lián)組成整體生態(tài)區(qū)無線傳輸骨干網(wǎng)；通過二層網(wǎng)絡(luò)拓?fù)洌ń尤刖W(wǎng)、骨干網(wǎng)）形成跨越遠(yuǎn)距離連接各個數(shù)據(jù)采集節(jié)點，覆蓋全域生態(tài)區(qū)的大型無線網(wǎng)絡(luò)?？紤]到大面積生態(tài)區(qū)多處在人跡罕至的深山密林等地，而數(shù)據(jù)中心多設(shè)置在人煙稠密的城區(qū)，因此生態(tài)區(qū)的無線網(wǎng)絡(luò)與數(shù)據(jù)中心相距甚遠(yuǎn)。基于此需要租賃運(yùn)營商專線連接生態(tài)區(qū)無線網(wǎng)絡(luò)至數(shù)據(jù)中心。（其次，數(shù)據(jù)中心多數(shù)處于城區(qū)中，城區(qū)內(nèi)無線設(shè)施眾多信號干擾大，不宜在數(shù)據(jù)處理中心部署自組網(wǎng)基站）?！皵?shù)據(jù)采集終端+無線網(wǎng)絡(luò)+數(shù)據(jù)中心”模式從整體上解決了大面積生態(tài)區(qū)的監(jiān)控、管理問題，其中無線網(wǎng)絡(luò)起到了至關(guān)重要的作用。

3 無線網(wǎng)絡(luò)架構(gòu)

把生態(tài)區(qū)在劃分為L 個覆蓋區(qū)域，每個覆蓋區(qū)域中心設(shè)置一套自組網(wǎng)基站即L 個自組網(wǎng)基站；每個覆蓋區(qū)域再劃分為M 個數(shù)據(jù)采集節(jié)點，每個數(shù)據(jù)采集節(jié)點部署一套無線接入設(shè)備即M 個無線接入設(shè)備；每個數(shù)據(jù)采集節(jié)點劃分為N 個數(shù)據(jù)采集點位，每個數(shù)據(jù)采集點位部署一套采集終端即N 個數(shù)據(jù)采集終端；整體生態(tài)區(qū)最大部署數(shù)據(jù)采集點位為T=L*M*N，即整體生態(tài)區(qū)最大數(shù)據(jù)采集設(shè)備數(shù)為T=L*M*N，數(shù)據(jù)采集點位呈網(wǎng)格化覆蓋分布于整個生態(tài)區(qū)。

4 無線網(wǎng)絡(luò)拓?fù)?/h2>

基于生態(tài)區(qū)面積大、距離遠(yuǎn)且地形復(fù)雜，最遠(yuǎn)數(shù)據(jù)采集點位距離自組網(wǎng)基站甚至達(dá)到40 公里以上，根據(jù)設(shè)計思路，先將此點位接入最近的無線接入設(shè)備再由無線接入設(shè)備無線上聯(lián)至最近的自組網(wǎng)基站，以此完成遠(yuǎn)距離的數(shù)據(jù)傳輸。因此本文設(shè)計的整體無線網(wǎng)絡(luò)分為兩層，即無線骨干網(wǎng)絡(luò)、無線接入網(wǎng)絡(luò)。

通過自組網(wǎng)設(shè)備將L 個覆蓋區(qū)域的中心點分為三路進(jìn)行連接，提供高速通信網(wǎng)絡(luò)的骨干基礎(chǔ)。骨干通信網(wǎng)絡(luò)采用定向通信設(shè)備實現(xiàn)點對點高速無線連接，可以提供大網(wǎng)絡(luò)帶寬，能夠滿足多個區(qū)域互聯(lián)和無線接入網(wǎng)絡(luò)通信需求。

L 個覆蓋區(qū)域內(nèi)的M 個數(shù)據(jù)采集節(jié)點下每個數(shù)據(jù)采集點位連接附近的無線接入設(shè)備組成M 個無線接入網(wǎng)，M 個無線接入網(wǎng)再上聯(lián)至無線骨干網(wǎng)（由L 個區(qū)域中心點自組網(wǎng)基站組成的無線骨干網(wǎng)）。

5 無線網(wǎng)絡(luò)傳輸流程

在各個數(shù)據(jù)采集點位上部署數(shù)據(jù)采集終端獲取本點位區(qū)域的音視頻數(shù)據(jù)、溫濕度數(shù)據(jù)、紅外數(shù)據(jù)及氣象數(shù)據(jù)等，就近接入到無線接入設(shè)備，各個無線接入網(wǎng)再匯聚至無線骨干網(wǎng)，無線骨干網(wǎng)經(jīng)由專線推送至數(shù)據(jù)中心落地；

經(jīng)中心實時快速處理后投射至大屏幕，研判后，定制新的需求任務(wù)經(jīng)由數(shù)據(jù)處理中心轉(zhuǎn)化為指令經(jīng)由專線推送至無線骨干網(wǎng)，再推送至無線接入網(wǎng)，并傳送到數(shù)據(jù)采集終端。

終端按指令工作獲取新數(shù)據(jù)并傳送回數(shù)據(jù)中心。以此形成業(yè)務(wù)閉環(huán)。

6 關(guān)鍵技術(shù)

6.1 頻段選擇

生態(tài)區(qū)幅員遼闊、東西南北距離遠(yuǎn)、地形地貌復(fù)雜多變，而且生態(tài)區(qū)人跡罕至幾乎沒有部署過本地?zé)o線通信系統(tǒng)，這就避免了本無線通信系統(tǒng)與本地?zé)o線通信系統(tǒng)互相干擾；但是生態(tài)區(qū)存在低空、中空、深空的軌道衛(wèi)星信號干擾，尤其是本國的地球同步衛(wèi)星信號干擾，因此本無線通信系統(tǒng)要盡量避免與衛(wèi)星通信系統(tǒng)互相干擾。建議本無線通信應(yīng)選擇2.3GHz-6GHz 的頻率范圍作為工作頻點。依據(jù)業(yè)務(wù)需求和信息采集點地理位置以及具體位置的地形地貌來選擇頻譜分配和帶寬用于無線骨干網(wǎng)及無線接入網(wǎng)。無線通信的實際通信效果受周邊無線環(huán)境影響較大，應(yīng)在設(shè)定頻率范圍內(nèi)充分對現(xiàn)場無線環(huán)境進(jìn)行調(diào)研，選擇最佳通信頻段，以提供穩(wěn)定通信帶寬、達(dá)到最佳通信效果，滿足無線帶寬需求。

6.2 無線接入網(wǎng)

在各個數(shù)據(jù)采集點位上部署數(shù)據(jù)采集終端獲取本點位區(qū)域的音視頻數(shù)據(jù)、溫濕度數(shù)據(jù)、紅外數(shù)據(jù)及氣象數(shù)據(jù)等，就近接入到無線接入設(shè)備，因為是近距離連接，可以使用高規(guī)格網(wǎng)線連接采集終端與無線接入設(shè)備。在采集終端上設(shè)置通信ip 地址，在無線接入設(shè)備上設(shè)置同網(wǎng)段的通信ip 地址，這樣采集的數(shù)據(jù)可從終端推送至無線接入設(shè)備即進(jìn)入無線接入網(wǎng)。

無線接入設(shè)備的安裝方式，根據(jù)環(huán)境具體需要，無線設(shè)備采用抱桿安裝方式，不具備安裝條件的地方采用自立桿的方式，自立桿高度約為5 米左右，設(shè)備安裝在立桿頂部位置，做好防雷措施；布線規(guī)則，POE 供電交換機(jī)到無線接入設(shè)備之間采用標(biāo)準(zhǔn)POE 供電，傳輸距離100M 以內(nèi)，網(wǎng)線質(zhì)量差異會產(chǎn)生一定衰減，推薦范圍在80M 以內(nèi)；無線設(shè)備安裝，無線接入設(shè)備支持IEEE802.3af 標(biāo)準(zhǔn)24V POE 供電，布線容易。采用抱桿安裝，配線架安裝牢靠，接線正確，走線整齊，標(biāo)志清楚；纜線的鋪設(shè)，在布線實施過程中盡可能采用明裝嵌入式，水平布線用線扎帶固定牢靠。線纜布放前應(yīng)核對無線自組網(wǎng)設(shè)備位置設(shè)計相符。纜線的布放應(yīng)平直，不得產(chǎn)生扭絞。打圈等現(xiàn)象，不應(yīng)受到外力的擠壓和損傷。 對各種線路的走向、分配做出明確的標(biāo)識，纜線的兩端應(yīng)制作標(biāo)簽，以表明起始和終端位置，標(biāo)簽書寫要清晰、端正和正確。敷設(shè)時力求距離最短,選擇最安全和最經(jīng)濟(jì)的路徑；設(shè)備安裝高度，為方便布線施工及日后的網(wǎng)絡(luò)維護(hù)管理，應(yīng)給每個信息點一個獨(dú)一無二的編號，信息點編號應(yīng)便于記憶和查找?？吹揭粋€信息點編號，應(yīng)馬上可參考圖紙找出這個信息點所在。為了更好的根據(jù)信息點編號查找信息點，并依照相關(guān)綜合布線標(biāo)準(zhǔn)，每個信息點編號從頭至尾都是一致的。

6.3 無線骨干網(wǎng)

在無線接入設(shè)備上配置頻段后搜索最近自組網(wǎng)基站并完成無線連接，這樣數(shù)據(jù)可從無線接入設(shè)備推送至自組網(wǎng)基站即進(jìn)入無線骨干網(wǎng)。

自組網(wǎng)基站屬于工業(yè)級無線基站，工作在免許可頻段，符合IEEE802.11A/N/AC 標(biāo)準(zhǔn)的多模雙射頻無線網(wǎng)絡(luò)設(shè)備,支持自組網(wǎng)。產(chǎn)品采用高性能的高通高速網(wǎng)絡(luò)處理器，基于IEEE802.11N，支持無線傳輸速率高，采用 N 型射頻接口，可以根據(jù)現(xiàn)場情況外接不同型號天線。特別適合于無線寬帶、鐵路、智能倉庫、物流園區(qū)、平安城市、智能交通、數(shù)字化能源、政府單位、工礦企業(yè)、建筑工地、平安小區(qū)、公園景區(qū)、水利水務(wù)、現(xiàn)代農(nóng)業(yè)等行業(yè)的無線應(yīng)用。工業(yè)級自組網(wǎng)基站支持自組網(wǎng)、點對點、點對多點無線應(yīng)用，具有無線漫游（WDS）、虛擬 AP 等無線功能；同時還支持 Routing、DHCP、MCL、WatchDog、NTP、WEB Server 等功能。可將分布于不同地形和不同地貌之間的局域網(wǎng)設(shè)備連接起來，應(yīng)用范圍廣泛，抗干擾能力強(qiáng)，帶寬高，采用金屬鑄鋁外殼全天候防風(fēng)、防雨、防雷、防曬、防塵、防震以及散熱設(shè)計，擁有超強(qiáng)的免維護(hù)特性，基于以太網(wǎng)線供電技術(shù)，易于在室外安裝使用；由于無需鋪設(shè)專用饋纜，可減少傳輸損耗、縮短施工周期，降低施工成本。通信基站樣例如圖1 所示。

圖1：通信基站樣例

6.4 野外設(shè)備持續(xù)供電

無論是數(shù)據(jù)采集終端、無線接入設(shè)備、自組網(wǎng)基站都需要持續(xù)穩(wěn)定的電源供應(yīng)其長期有效工作。生態(tài)區(qū)多處于人跡罕至，從國家電網(wǎng)拉電距離遠(yuǎn)，成本高，費(fèi)時費(fèi)力。基于以上需求及環(huán)境限制，采取太陽能供電方式為設(shè)備提供持續(xù)穩(wěn)定的電源。在野外部署立桿，在其上安裝太陽能板+數(shù)據(jù)采集終端，附近挖溝部署蓄電池，太陽能板在白天日照時將光能轉(zhuǎn)化為電能，一部分為數(shù)據(jù)采集終端供電一部分儲存在蓄電池組中，晚間蓄電池組為數(shù)據(jù)采集終端供電；這樣做到了全天24 小時持續(xù)為數(shù)據(jù)采集終端提供電源，數(shù)據(jù)采集終端才能夠全天24 小時不間斷工作；同法，在野外部署立桿，在其上安裝太陽能板+無線接入設(shè)備，附近挖溝部署蓄電池，太陽能板在白天日照時將光能轉(zhuǎn)化為電能，一部分為無線接入設(shè)備供電一部分儲存在蓄電池組中，晚間蓄電池組為無線接入設(shè)備供電；這樣做到了全天24 小時持續(xù)為無線接入設(shè)備提供電源，無線接入設(shè)備才能夠全天24 小時不間斷工作；同法，在野外部署更高的立桿，在其上安裝太陽能板+自組網(wǎng)基站，附近挖溝部署蓄電池，太陽能板在白天日照時將光能轉(zhuǎn)化為電能，一部分為自組網(wǎng)基站供電一部分儲存在蓄電池組中，晚間蓄電池組為自組網(wǎng)基站供電；這樣做到了全天24 小時持續(xù)為自組網(wǎng)基站提供電源，自組網(wǎng)基站才能夠全天24 小時不間斷工作。

6.5 全無線網(wǎng)絡(luò)安全防護(hù)

通過對全無線網(wǎng)絡(luò)風(fēng)險分析及需要解決的安全問題，我們需要制定合理的安全策略及安全方案來確保網(wǎng)絡(luò)系統(tǒng)的機(jī)密性、完整性、可用性、可控性與可審查性。

可用性：授權(quán)實體有權(quán)訪問數(shù)據(jù)

敏感性：信息不暴露給未授權(quán)實體或進(jìn)程

完整性：保證數(shù)據(jù)不被未授權(quán)修改

可控性：控制授權(quán)范圍內(nèi)的信息流向及操作方式

可審查性：對出現(xiàn)的安全問題提供依據(jù)與手段

訪問控制：需要由網(wǎng)管服務(wù)器將內(nèi)部網(wǎng)絡(luò)與外部不可信任的網(wǎng)絡(luò)隔離，對與外部網(wǎng)絡(luò)交換數(shù)據(jù)的內(nèi)部網(wǎng)絡(luò)及其主機(jī)、所交換的數(shù)據(jù)進(jìn)行嚴(yán)格的訪問控制。同樣，對內(nèi)部網(wǎng)絡(luò)，由于不同的應(yīng)用業(yè)務(wù)以及不同的安全級別，也需要使用網(wǎng)管服務(wù)器將不同的LAN 或網(wǎng)段進(jìn)行隔離，并實現(xiàn)相互的訪問控制。

數(shù)據(jù)加密：數(shù)據(jù)加密是在數(shù)據(jù)傳輸、存儲過程中防止非法竊取、篡改信息的有效手段。

安全審計：是識別與防止網(wǎng)絡(luò)攻擊行為、追查網(wǎng)絡(luò)泄密行為的重要措施之一。具體包括兩方面的內(nèi)容，一是采用網(wǎng)絡(luò)監(jiān)控與入侵防范系統(tǒng)，識別網(wǎng)絡(luò)各種違規(guī)操作與攻擊行為，即時響應(yīng)（如報警）并進(jìn)行阻斷；二是對信息內(nèi)容的審計，可以防止內(nèi)部機(jī)密或敏感信息的非法泄漏

針對現(xiàn)階段網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)和業(yè)務(wù)流程，結(jié)合今后進(jìn)行的網(wǎng)絡(luò)化應(yīng)用范圍的拓展考慮，主要的安全威脅和安全漏洞包括以下幾方面：

內(nèi)部竊密和破壞，由于網(wǎng)絡(luò)上同時接入了其它部門的網(wǎng)絡(luò)系統(tǒng)，因此容易出現(xiàn)其它部門不懷好意的人員(或外部非法人員利用其它部門的計算機(jī))通過網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)，并進(jìn)一步竊取和破壞其中的重要信息(如領(lǐng)導(dǎo)的網(wǎng)絡(luò)帳號和口令、重要文件等)，因此這種風(fēng)險是必須采取措施進(jìn)行防范的。搭線(網(wǎng)絡(luò))竊聽，這種威脅是網(wǎng)絡(luò)最容易發(fā)生的。攻擊者可以采用如Sniffer 等網(wǎng)絡(luò)協(xié)議分析工具，并非常容易地在信息傳輸過程中獲取所有信息(尤其是敏感信息)的內(nèi)容。對網(wǎng)絡(luò)系統(tǒng)來講，由于存在跨越局域網(wǎng)的內(nèi)部通信(與上級、下級)這種威脅等級是相當(dāng)高的，因此也是本方案考慮的重點。假冒，這種威脅既可能來自企業(yè)網(wǎng)內(nèi)部用戶，也可能來自局域網(wǎng)內(nèi)的其它用戶。如系統(tǒng)內(nèi)部攻擊者偽裝成系統(tǒng)內(nèi)部的其他正確用戶。攻擊者可能通過冒充合法系統(tǒng)用戶，誘騙其他用戶或系統(tǒng)管理員，從而獲得用戶名/口令等敏感信息，進(jìn)一步竊取用戶網(wǎng)絡(luò)內(nèi)的重要信息?；蛘邇?nèi)部用戶通過假冒的方式獲取其不能閱讀的秘密信息。完整性破壞，這種威脅主要指信息在傳輸過程中或者存儲期間被篡改或修改，使得信息/數(shù)據(jù)失去了原有的真實性，從而變得不可用或造成廣泛的負(fù)面影響。由于網(wǎng)內(nèi)有許多重要信息，因此那些不懷好意的用戶和非法用戶就會通過網(wǎng)絡(luò)對沒有采取安全措施的服務(wù)器上的重要文件進(jìn)行修改或傳達(dá)一些虛假信息，從而影響工作的正常進(jìn)行。管理及操作人員缺乏安全知識，由于信息和網(wǎng)絡(luò)技術(shù)發(fā)展迅猛，信息的應(yīng)用和安全技術(shù)相對滯后，用戶在引入和采用安全設(shè)備和系統(tǒng)時，缺乏全面和深入的培訓(xùn)和學(xué)習(xí)，對信息安全的重要性與技術(shù)認(rèn)識不足，很容易使安全設(shè)備/系統(tǒng)成為擺設(shè)，不能使其發(fā)揮正確的作用。如本來對某些通信和操作需要限制，為了方便，設(shè)置成全開放狀態(tài)等等，從而出現(xiàn)網(wǎng)絡(luò)漏洞。由于網(wǎng)絡(luò)安全產(chǎn)品的技術(shù)含量大，因此，對操作管理人員的培訓(xùn)顯得尤為重要。這樣，使安全設(shè)備能夠盡量發(fā)揮其作用，避免使用上的漏洞。雷擊由于網(wǎng)絡(luò)系統(tǒng)中涉及很多的網(wǎng)絡(luò)設(shè)備、終端、線路等，而這些都是通過通信電纜進(jìn)行傳輸，因此極易受到雷擊，造成連鎖反應(yīng)，使整個網(wǎng)絡(luò)癱瘓，設(shè)備損壞，造成嚴(yán)重后果。因此，為避免遭受感應(yīng)雷擊的危害和靜電干擾、電磁輻射干擾等引起的瞬間電壓浪涌電壓的損壞。

網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)采用下一代準(zhǔn)入控制技術(shù)，支持包括NACP、策略路由（PBR）、802.1x、WebPortal、DHCP、SNMP、透明網(wǎng)橋等多種先進(jìn)的準(zhǔn)入控制技術(shù)，能夠?qū)尤刖W(wǎng)絡(luò)的終端進(jìn)行嚴(yán)格、高細(xì)粒度的管理，以監(jiān)控審計為輔助，將終端作為最小管理單元，為用戶解決“網(wǎng)絡(luò)接入不可知、非法外聯(lián)不可控、違法行為不可管”的網(wǎng)絡(luò)安全管理問題。

6.5.1 智能準(zhǔn)入管理

（1）智能采集：基于主動和被動信息采集技術(shù)，智能采集設(shè)備（IP/MAC）信息、路由信息、身份信息、主機(jī)名、操作系統(tǒng)、位置信息、流量信息等。

（2）智能識別：基于科技自主研發(fā)的設(shè)備畫像技術(shù)，智能識別網(wǎng)絡(luò)拓?fù)?、設(shè)備的類型、設(shè)備廠家、設(shè)備狀態(tài)（新設(shè)備/在線設(shè)備/離線設(shè)備）、設(shè)備安全狀態(tài)（安全、較安全、不安全）、設(shè)備之間的連接關(guān)系等，支持對PC 設(shè)備、網(wǎng)絡(luò)設(shè)備、移動設(shè)備、IoT 設(shè)備（含視頻終端等）、ICS 設(shè)備等主流設(shè)備類型和廠家的識別。

（3）智能接入：支持基于AD 域或Email 的智能準(zhǔn)入。支持傳統(tǒng)的基于802.1x、EoU/NACC 的準(zhǔn)入方式；支持基于指紋的準(zhǔn)入方式；認(rèn)證方式支持LDAP/RADIUS/AD 等。支持雙因素認(rèn)證。

6.5.2 合規(guī)遵從檢測

（1）準(zhǔn)入合規(guī)性檢測：支持發(fā)現(xiàn)未開準(zhǔn)入的交換機(jī)/路由器/未開準(zhǔn)入的交換機(jī)端口、未開準(zhǔn)入的網(wǎng)段、未準(zhǔn)入的設(shè)備等，發(fā)現(xiàn)未準(zhǔn)入的情況立即告警或者阻斷。

（2）軟件合規(guī)性檢測：支持發(fā)現(xiàn)未安裝防病毒軟件的終端設(shè)備，支持發(fā)現(xiàn)未安裝企業(yè)合規(guī)的軟件或者安裝違規(guī)軟件的設(shè)備，發(fā)現(xiàn)軟件違規(guī)的設(shè)備立即告警或者阻斷。

（3）配置合規(guī)性檢測：支持發(fā)現(xiàn)未正確配置DNS 的終端設(shè)備和違規(guī)的DNS服務(wù)器；支持發(fā)現(xiàn)違規(guī)的AD服務(wù)器、未加入域的設(shè)備、加入域但未登錄域的設(shè)備；支持發(fā)現(xiàn)未設(shè)置或者設(shè)置錯誤的WSUS 服務(wù)器的Windows 終端設(shè)備，發(fā)現(xiàn)配置違規(guī)的設(shè)備立即告警或者阻斷。

（4）匿名檢測：支持發(fā)現(xiàn)匿名共享服務(wù)器和匿名的FTP 服務(wù)器，發(fā)現(xiàn)違規(guī)開啟匿名訪問的設(shè)備立即告警或者阻斷。

（5）NAT 設(shè)備檢測：支持發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)部私設(shè)的網(wǎng)中網(wǎng)（違規(guī)使用網(wǎng)絡(luò)共享，違規(guī)開啟無線AP 接入等），發(fā)現(xiàn)違規(guī)的NAT 設(shè)備時可立即告警或者阻斷。

1.違規(guī)共享：支持發(fā)現(xiàn)違規(guī)的網(wǎng)絡(luò)共享服務(wù)器，發(fā)現(xiàn)違規(guī)共享時可立即告警或者阻斷。

2.設(shè)備接入時間檢查：支持發(fā)現(xiàn)非工作時間接入網(wǎng)絡(luò)的PC 設(shè)備、移動終端設(shè)備等，發(fā)現(xiàn)時可立即告警或者阻斷。

3.Telnet 合規(guī)性檢查：支持發(fā)現(xiàn)Telnet 服務(wù)器，發(fā)現(xiàn)時可立即告警或者阻斷。

4.支持無代理檢查防病毒版本及補(bǔ)丁信息。

5.支持非法外聯(lián)設(shè)備識別。

6.5.3 攻擊行為檢測

（1）C&C 攻擊檢測：支持檢測設(shè)備與C&C（命令與控制服務(wù)器）的連接行為，發(fā)現(xiàn)時可立即告警或者阻斷；

（2）DoS 攻擊檢測：支持SMTP/MYSQL/RDP/DNS/HTTP 等協(xié)議的DOS 攻擊檢測，發(fā)現(xiàn)時可立即告警或者阻斷；

（3）暴力破解檢測：支持RDP/SSH/FTP 等協(xié)議的暴力破解攻擊檢測，發(fā)現(xiàn)時可立即告警或者阻斷；

（4）勒索病毒檢測：支持檢測WantCry 等勒索病毒的檢測；

（5）僵尸網(wǎng)絡(luò)、蠕蟲、木馬攻擊檢測：支持僵尸網(wǎng)絡(luò)、病毒、蠕蟲等攻擊行為檢測，發(fā)現(xiàn)時可立即告警或者阻斷；

（6）網(wǎng)絡(luò)掃描檢測：支持常見的Nmap、Nessus、Nikto 等常見掃描工具的端口、數(shù)據(jù)庫、Web 頁面掃描，操作系統(tǒng)探測等掃描行為檢測，發(fā)現(xiàn)時可立即告警或者阻斷；

（7）Shellcode 攻擊檢測：支持常見的Shellcode 攻擊檢測，如利用SHELL 編寫一段代碼，發(fā)送到服務(wù)器利用代碼的特定漏洞獲取權(quán)限，發(fā)現(xiàn)時可立即告警或者阻斷；

（8）惡意軟件攻擊檢測：支持檢測間諜軟件、仿冒的防病毒軟件等惡意軟件，發(fā)現(xiàn)時可立即告警或者阻斷；

（9）權(quán)限破解攻擊檢測：支持檢測普通或者超級管理員的權(quán)限破解攻擊，發(fā)現(xiàn)時可立即告警或者阻斷；

（10）視頻語音協(xié)議攻擊檢測：支持檢測視頻和語音協(xié)議的攻擊，發(fā)現(xiàn)時可立即告警或者阻斷；

（11）新增Xbash 檢測功能：支持Xbash 惡意軟件的檢測，發(fā)現(xiàn)時發(fā)現(xiàn)時可立即告警或者阻斷。

6.5.4 脆弱性檢測

（1）弱口令檢測：支持檢測Web/SSH/TELNET/FTP 等應(yīng)用的弱口令，支持用戶導(dǎo)入自主的賬號和密碼字典；支持?jǐn)z像頭弱口令檢測，內(nèi)置原廠默認(rèn)賬號和密碼。

（2）漏洞檢測：與科技平臺聯(lián)動，可以發(fā)現(xiàn)終端、服務(wù)器等的漏洞情況。

（3）補(bǔ)丁安裝情況檢測：與科技平臺聯(lián)動，可以發(fā)現(xiàn)終端、服務(wù)器等的補(bǔ)丁修復(fù)情況。

（4）支持SSH/TELNET/FTP 弱口令檢測。

6.5.5 異常行為檢測

（1）設(shè)備仿冒：基于科技自主研發(fā)的設(shè)備畫像技術(shù)，支持基于設(shè)備類型、IP、MAC、設(shè)備名、操作系統(tǒng)、系統(tǒng)服務(wù)、流量特征、行為特征的設(shè)備仿冒檢測。發(fā)現(xiàn)設(shè)備仿冒時，系統(tǒng)會發(fā)出告警或者自動阻斷。

（2）異常連接：基于科技獨(dú)創(chuàng)的無監(jiān)督機(jī)器自學(xué)習(xí)技術(shù)結(jié)合威脅情報，能自動學(xué)習(xí)網(wǎng)絡(luò)中設(shè)備之間的連接關(guān)系以及訪問互聯(lián)網(wǎng)的行為，自動構(gòu)建用戶正常的訪問行為模式，智能發(fā)現(xiàn)異常的連接。發(fā)現(xiàn)異常連接時，系統(tǒng)會發(fā)出告警或者自動阻斷。

（3）異常流量：基于科技獨(dú)創(chuàng)的無監(jiān)督機(jī)器自學(xué)習(xí)技術(shù)，能自動學(xué)習(xí)網(wǎng)絡(luò)中設(shè)備之間的流量行為特征以及訪問互聯(lián)網(wǎng)的流量特征，在某一時間段內(nèi)流量發(fā)生異常時，系統(tǒng)會發(fā)出告警或者自動阻斷。

（4）異常協(xié)議：可及時發(fā)現(xiàn)異常協(xié)議的訪問（如80 端口，跑的是非http 協(xié)議流量），可立即報警并阻斷。

（5）異常在線時間：基于科技獨(dú)創(chuàng)的設(shè)備畫像技術(shù)，能自動學(xué)習(xí)設(shè)備的在線時長，一旦發(fā)現(xiàn)設(shè)備在線時間異常，可立即報警或阻斷。

（6）異常接入位置：對于服務(wù)器、啞終端設(shè)備、IoT 設(shè)備等接入位置相對固定的設(shè)備，一旦發(fā)現(xiàn)設(shè)備接入位置發(fā)生變化，會立即報警或阻斷。

（7）異常域名：系統(tǒng)采用機(jī)器學(xué)習(xí)和威脅情報相結(jié)合的方式，對域名進(jìn)行可疑度分析，發(fā)現(xiàn)惡意域名立即告警或者阻斷。

（8）智能幻影：基于科技獨(dú)創(chuàng)的幻影技術(shù)，可以按比例自動幻影出與在線設(shè)備一致的設(shè)備類型和數(shù)量（如果IP地址不夠用，生成的數(shù)量會少于在線的設(shè)備數(shù)），支持手動創(chuàng)建幻影設(shè)備；支持自動或手動生成幻影網(wǎng)絡(luò)；發(fā)現(xiàn)惡意訪問幻影設(shè)備立即告警或者阻斷。

（9）幻影AD：基于科技獨(dú)創(chuàng)的幻影技術(shù)，可以在網(wǎng)絡(luò)中幻影出一臺或者多臺AD 服務(wù)器，管理員可以在幻影AD服務(wù)器中放置誘餌文件；發(fā)現(xiàn)惡意訪問幻影AD 服務(wù)器立即告警或者阻斷。

（10）RDP 面包屑：該功能要與手動幻影功能相配合，先手動幻影RDP 服務(wù)器，然后生成RDP 面包屑；面包屑通過AD 域控制器或者桌面管理軟件下發(fā)給每個終端，并自動運(yùn)行；發(fā)現(xiàn)惡意訪問幻影RDP 服務(wù)器立即告警或者阻斷。

6.5.6 流量分析

（1）支持顯示實時流量，上下行速率，實時連接關(guān)系，TOP 流量主機(jī)、應(yīng)用層協(xié)議、服務(wù)器端口流量等；

（2）支持總流量分析：總流量信息，數(shù)據(jù)包（TCP/UDP/IP）分析、應(yīng)用層協(xié)議分析、ICMP/ARP 協(xié)議分析等；

（3）活動會話分析：包含客戶端、服務(wù)端、會話持續(xù)時間、4 層協(xié)議類型、應(yīng)用層協(xié)議、吞吐量，以及總流量；

（4）主機(jī)流量分析：展示IP 地址、設(shè)備名稱、持續(xù)時間、吞吐量、總流量；

（5）網(wǎng)段列表：展示網(wǎng)段名稱、主機(jī)數(shù)量、持續(xù)時間、吞吐量、總流量；

（6）支持互聯(lián)網(wǎng)流量地圖：訪問互聯(lián)網(wǎng)的流量，支持以地圖方式展現(xiàn)。

6.5.7 風(fēng)險處置及可視化管理

6.5.7.1 智能處置

對存在風(fēng)險的設(shè)備，系統(tǒng)可以根據(jù)安全系數(shù)變化情況，采用以下幾種方式進(jìn)行智能處置：

（1）主動告警：可通過SMS/Email/Web 等方式通知管理員和使用者，及時做出響應(yīng)；

（2）網(wǎng)絡(luò)控制：可以根據(jù)系統(tǒng)預(yù)設(shè)置的策略，對設(shè)備阻斷，重認(rèn)證或跳轉(zhuǎn)到安全區(qū)域進(jìn)行修復(fù)；

（3）第三方接口：可以通過Syslog/SNMP Trap 等方式通知事件中心，如SOC/SIEM 等。

6.5.7.2 可視化管理

（1）展現(xiàn)全網(wǎng)風(fēng)險狀態(tài)：系統(tǒng)會根據(jù)設(shè)備的異常行為、攻擊行為、合規(guī)性、脆弱性的嚴(yán)重程度和分布情況，采用機(jī)器學(xué)習(xí)的算法，實時計算每臺設(shè)備的安全系數(shù)；系統(tǒng)會依據(jù)設(shè)備的價值，根據(jù)機(jī)器學(xué)習(xí)的算法實時計算企業(yè)全網(wǎng)的安全系數(shù)；并可以定性或者定量的方式展現(xiàn)設(shè)備以及全網(wǎng)風(fēng)險狀態(tài)；支持全網(wǎng)安全態(tài)勢系數(shù)分析。

（2）展現(xiàn)布控全景：系統(tǒng)會實時跟蹤并展現(xiàn)智能準(zhǔn)入、異常行為感知、合規(guī)感知、攻擊行為感知、脆弱性感知等主要安全防護(hù)模塊的運(yùn)行情況（開啟、關(guān)閉、數(shù)量）。

（3）展現(xiàn)入侵視圖及過程：支持展示全網(wǎng)設(shè)備分布圖、攻擊鏈分析視圖、準(zhǔn)入狀態(tài)視圖、不合規(guī)設(shè)備趨勢圖、異常行為設(shè)備趨勢圖、攻擊行為設(shè)備趨勢圖、幻影設(shè)備趨勢圖以及流量視圖、域名分析視圖等；與系列產(chǎn)品聯(lián)動可展示攻擊路徑圖。

（4）取證報告：支持導(dǎo)出取證報告，包含設(shè)備的安全指數(shù)，設(shè)備的基本信息、不合規(guī)信息、攻擊行為信息、異常行為信息、網(wǎng)絡(luò)連接行為信息、IP 地址及其它相關(guān)輔助信息等。支持風(fēng)險分析報告（按天、周、月和自定義時間導(dǎo)出）導(dǎo)出功能，風(fēng)險報告自動生成。

6.6 數(shù)據(jù)處理

數(shù)據(jù)中心位于離生態(tài)區(qū)最近的城區(qū)。主要承載數(shù)據(jù)處理、數(shù)據(jù)應(yīng)用、數(shù)據(jù)顯示、遠(yuǎn)程監(jiān)控等功能。

7 結(jié)束語

這種組網(wǎng)方式通過子區(qū)域的劃分、就近接入，可以大幅度降低節(jié)點間的距離，顯著降低通信天線的尺寸和通信設(shè)備的功率要求，使得設(shè)備能夠進(jìn)一步小型化。無線網(wǎng)絡(luò)內(nèi)的大部分?jǐn)?shù)據(jù)采集終端數(shù)據(jù)都可以通過兩到三跳即可達(dá)到數(shù)據(jù)處理中心，跳轉(zhuǎn)對通信帶寬造成的損失不大，也是可控的，能夠滿足通信帶寬的需求。