淺談核電站無線網絡的網絡安全技術防護與對策

江 江

（福建寧德核電有限公司，福鼎 355200）

0 引言

隨著核電機組的不斷的投運，安全生產、管理創新、降本增效的要求必然促進智能化和信息化需求的增長，而無線網絡是核電站的智能化、信息化的基礎之一，未來無線網絡與云計算、大數據、移動互聯網、人工智能等技術大融合，為核電領域智能化的實現提供了堅實支撐。

1 智慧核電對于無線網絡的需求

按照NB/T20263-2014《核電廠通信設計規范》和GB/T 17680.7-2003 《核電廠應急計劃和準備準則-場內應急設施功能和特性》等設計規范，無線網絡滿足核電站在正常運行和應急工況下的移動通信需求，同時還有如下需求：無線網可支持基于IOS、ANDROID等操作系統的智能終端接入，用于移動辦公、電子工單等；無線網可以允許啞終端接入（如攝像頭、無線傳感器等）。

2 當前無線網絡面臨的網絡安全威脅

2.1 未經授權訪問的用戶

只要是在信號覆蓋范圍內，一些非法用戶就可以無需任何物理連接就可以接入到核電站的無線網絡中，如果有獲取了相關的授權之后，就可獲取無線網絡的數據，因此，必須從多方面防止非法終端接入以及數據的泄漏問題。

2.2 無線加密協議本身的不安全性

目前核電站的無線網絡旁邊采用Wi-Fi，Wi-Fi是基于IEEE 802.11標準的無線網絡技術，WEP加密的設計過于簡單，而 WPA依然采用比較薄弱的RC4加密算法，而依據WPA制定出來的成熟版本WPA2，在2017年時來自比利時的KU Leuven大學的研究人員Mathy Vanhoef演示其安全漏洞，這表明保護絕大多數WiFi連接的WPA2方式已經不安全了。

2.3 病毒及黑客的攻擊

除以上兩點之外，病毒及黑客的攻擊也是會對核電站無線網絡構成威脅，在很多的企業中，隨著無線網絡的的應用，BYOD（攜帶自己的設備辦公入網）帶來了工作和生活的便利措施，但網絡安全問題也越來越嚴重。如果BYOD的設備使用不當，黑客攻擊可以借用BYOD的設備對核電站的無線網絡發起攻擊，實現內外網的物理連接，而病毒可以通過該方式，實現“滲透”和長期的“潛伏”，在某個時刻發起網絡攻擊，導致的無線網絡甚至整個網絡的癱瘓和個人、公司出現重大的損失。

3 核電站無線網絡的網絡安全防護的策略和技術手段

在考慮核電企業特殊性，如果因為無線網絡的網絡的安全的問題導致核電站的網絡不可用，使得電站的重要信息系統的癱瘓（如工作過程、隔離管理等信息系統）或者重要基礎設施（如門禁等）受到攻擊，甚至出現類似伊朗核電站的震網蠕蟲病毒事件，那么后果將是不堪設想；因此我們認為網絡安全既要考慮網絡的攻擊等風險同時也要考慮核安全的問題，根據資料，由于核電站其特殊性，核電站在一些重要節日如兩會期間等，核電企業受到外部攻擊比平常更加的頻繁。因此對于無線網絡的網絡安全威脅，我們要通過技防手段實現如下的目標：

⊙用戶接入需進行認證管理。

⊙用戶接入后，后臺系統可根據場景定制用戶的訪問策略。

⊙用戶接入應符合安全準入規定的要求。

⊙用戶上網行為可記錄。

⊙ 核電站敏感數據防泄露。

⊙無線信號具備高安全性，防止數據在傳輸過程中被竊取。

通過參考ISO20000/ISO27001的標準要求以及國家等級保護的標準中信息安全技術要求，并借鑒WANO（世界核電運營者協會）中的關于無線網絡和信息安全的最佳實踐和國內外核電行業的良好實踐，同時吸收核電企業在核安全文化特征等，可以采用某大型核電集團提出的“核電企業信息安全保障模型” 作為核電站無線網絡的網絡安全的解決方案的基礎，更加模型，我們從縱深防御的角度考慮，構建事前控制、事中控制、事后控制的三層防護措施：

（1）事前控制：設備通過無線網絡訪問到認證中心IMC服務器，由統一的認證系統對用戶進行身份認證及鑒權。身份認證成功后，進行業務訪問，然后按照統一下發的策略對終端設備進行安全檢查。安全檢查合規后，再根據用戶的權限，進行網絡、終端、應用和內容的授權，實現不同用戶訪問不同資源的目的，同時要禁止同時連入電站的內部無線網絡和因特網。

（2）事中控制：通過集中加密系統和統一安全策略部署，對移動應用所涉數據生命周期進行全面而有效的保護，確保數據加密存儲、加密傳輸、提供數據遠程擦除功能、嚴格隔離公私應用數據、引入“沙箱”技術實現關鍵數據區“病毒進不來數據出不去”。可通過對移動應用執行安全策略，防止應用數據的截屏、拷貝、粘貼，防止應用破解，并支持對應用文檔自動添加水印保護，機密數據被偷拍仍然可以做到泄露追蹤溯源，有效保障數據內容的安全。同時無線網的邊界部署防火墻設備，實現無線網與有線網之間的數據安全保護。

（3）事后控制：通過日志審計跟蹤包括用戶日志（登錄/登出日志、應用訪問日志）、應用日志（應用授權結果）、終端日志（終端注冊/注銷、終端合規檢查、終端動作執行記錄）等對系統進行安全審計和回朔，挖掘潛在的風險。

4 結束語

綜上所述，目前無線網絡在核電站的需求是越來越旺盛，我們通過3個層面技術手段可以實現“外人進不來、進來看不了、看了拿不走、拿走看不了、操作可追溯”的目標，除了技術手段之外，我們也要結合管理手段和提升全員的信息安全意識進行著手，真正的做到人防和技防兼重。