電力無線專網信息安全防護技術探討

黃傳啟

【摘 要】進入新世紀后，網絡技術獲得了突飛猛進的發展，推進了我國信息化建設工作的開展，從過去傳統的有線+固定的接入方式，轉變為無線+移動接入方式與之并存的局面，無線化、智能化已成為未來通信技術的發展趨勢。而隨著無線通信方式的大量應用，由之產生的信息傳播安全也逐漸為社會各界所關注和重視。以國家電網為例，由于企業規模和業務覆蓋范圍的影響，建成了國內位居前列的無線虛擬專網，具有保密性強、性能高、應用廣泛的顯著特點，為視頻、圖像、數據和語音等多媒體信息的傳輸和共享提供了堅實的技術支撐。

【關鍵詞】電力；無線專網；安全技術；防護方式

1無線專網概述

目前為止，正在使用的無線網絡分為兩種，一種是通過運營商通信網實現的無線網絡，比如4G，3G或GPRS等技術；另外一種就是局域網絡，也就是我們所說的WiFi。本文主要講述的無線網絡是后一種局域網絡，也是熟知的Wi-Fi技術。無線網絡的發展與普及正在改變現在網絡的架構，從最初的802.11a到如今的802.11ac，傳輸速率及調制方式均有大幅的提升，但企業網對網絡安全及業務管控的要求均是現有無線技術所欠缺的。相對于有線網絡來說，無線網絡只是依靠電波來傳送與接收，開放的網絡環境使入侵者可以通過高靈敏的接收設備來進行破壞與入侵。所以，很可能造成內部資源信息的泄露，同時，一旦接入企業無線局域網，黑客通過簡單的方法即可獲得此網中站點的MAC地址，然后利用這些MAC偽裝地址進行更進一步的欺騙攻擊。當然，無線網絡在用戶上網的全過程都有相應的安全機制，從用戶接入認證到認證過后上網過程的行為管控審計，再到針對外部網絡攻擊進行主動防御，多維度保障用戶上網的安全性和整體網絡的安全性。由于采用無線接入方式，導致網絡存在大量的安全隱患，因此，必須采取科學、合理的措施，以便提高電力無線專網的安全性，降低安全事件出現的幾率和影響范圍。對于電力無線專網來說，其網絡范圍從電力安全防護設備到通信運營商無線通信設備為止，本文重點研究的是電力網絡側的無線專網的安全技術。

2電力無線專網建設必要性

電力載波通信、租用運營商專用網絡接入是解決變電站現場網絡覆蓋問題的早期方式。該種方式主要存在以下問題：（1）無線網絡連接不穩定，對于位置較為偏僻的廠站，運營商的無線網絡無法實現全面有效的覆蓋；（2）通信傳輸帶寬不足，難以支撐作業現場對運維業務實時通信的要求；（3）故障處理不及時，對運營商的依賴導致網絡故障處理的時效性存在眾多不可控因素；（4）網絡信息不安全，將電力系統運維數據與公眾信息數據置身于同一公共網絡中傳輸，存在較大的信息安全隱患。電力無線專網的建設，可以充分滿足電力通信網絡在傳輸速率、帶寬、穩定性以及信息安全性等方面的要求，進而在此基礎上開展繼電保護設備及二次回路的智能移動運維業務。

3電力企業網絡信息安全的現狀

3.1防范措施不足

伴隨著信息技術進步及互聯網技術成熟，網絡犯罪率呈逐年遞增趨勢。即便電力企業初步構建相應的網絡信息安全防范體系，但是企業內部網絡信息仍存在著較多的安全隱患，例如：人員管理、防病毒系統、訪問控制、身份認證、數據傳輸加密及職工安全意識等。從總體電力信息網絡角度來看，部分企業間網絡信息安全存在不均衡性等問題，其網絡利用率較高且安全問題較多，尤其是安全級別較低的業務風險較高。例如：美國喬治亞洲的Hatch核電廠2號機組發生自動停電事件，由于當時一位工程師正在對該廠業務網絡中的一臺計算機（用于采集控制網絡的診斷數據）進行軟件更新，以同步業務網絡與控制網絡中的數據信息，當工程師重啟該計算機時，同步程序重置了控制網絡的相關數據，使得控制系統以反應堆儲水庫水位突然下降，自動關閉了整個機組，由于防范措施不足，并沒有及時有效的采取相關措施給予維護。

3.2內部威脅較多

在信息技術蓬勃發展的大背景下，企業網絡信息安全防范工作得到越來越多從業人員的關注及重視，客觀上要求電力企業結合現存問題積極構建具有企業特色的網絡信息安全防范機制，確保其網絡信息的安全性。即便電力企業初步建立相應的安全防范機制，但是其內部網絡信息風險仍無法徹底被消除，尤其是管理人員方面工作。

4電力無線專網的信息安全防護手段

4.1電力企業側的信息安全防護手段

（1）劃分安全區域。電力無線專網邊界合理劃分其安全區域，確定網絡邊界，各個安全區域要運用針對性的信息安全防護手段，針對進入到信息內網域中的數據信息提供全方位有效的安全防護手段，完成訪問控制，攻擊檢測，傳輸加密以及終端認證工作。（2）訪問控制。邊界接入裝置中根據其源地址設置訪問控制，嚴禁不同的APN業務之間互相訪問。利用防火墻設置合理有效的業務訪問策略確保專網域到網絡邊界域的訪問控制。（3）安全隔離。該技術主要通過采用各種手段對外來攻擊進行阻止，以消除信息系統的威脅，將足夠的安全隔離技術配備到電力系統中，以確保電力系統信息的穩定安全，具體包括：1）物理隔離方法，通常指最基礎的系統信息隔離技術，即將系統的內部和外部網絡通過物理學方法進行直接或間接的分離，在此基礎上進行實時監控；2）協議隔離，電力信息系統內部和外部網絡通過協議隔離器的使用實現兩者間的徹底分離，據此確保系統內部網絡免于外來入侵；3）身份認證，包括登陸口令、密碼登陸、指紋識別、智能卡片等識別方式，通過輸入特定用戶信息，實施身份識別技術完成對信息的識別過程，無誤后才有瀏覽權限；4）防火墻應用，防火墻技術的結構具體如圖1所示，主要包括過濾路由器、電流層及應用層網關。（4）安全防御與入侵檢測。邊界要設置好入侵檢測系統與防火墻，進而保證有效抵制DOS攻擊以及惡意代碼，實現網絡行為的實時化監控，實現網絡攻擊的實時化檢測。（5）安全審計。邊界安全裝置必須做好日志審計記錄工作，從而為網絡安全評估提供可靠科學地根據。（6）隧道加密傳輸。通過將安全接入設備和無線終端之間構建起專用的安全加密信道來提高信息數據傳輸的安全性，避免信息內容外泄造成安全事件。（7）接入控制。構建和完善無線專網的身份認證系統，對需要訪問無線專網的用戶實施相應的認證，拒絕未經授權的用戶訪問無限專網。同時，無線專網內的信息業務系統通過一定的技術手段來驗證接入網絡用戶的終端硬件特征，最大限度的提高安全防護水平。

4.2運營商的安全防護手段

（1）網絡接入安全防護。運用專用型APN接入業務終端，由運營商對電力無線專網SIM卡進行授權，授權之后合法的SIM卡能夠對電力無線專網進行訪問，嚴禁對互聯網與其余網絡進行訪問。（2）APN訪問控制。嚴禁相同APN的終端互訪，嚴禁不同APN終端之間的訪問。（3）專屬通道與隔離。通過VRF技術實現電力無線專網用戶以及其余用戶的路由隔離。采取MPLSVPN、GRE以及L2TP之類技術實現電力無線專網信息數據于運營商網絡中的傳輸工作，確保專用網絡隔離的安全性。

5結束語

總而言之，無線專網的大量應用，雖然極大的方便了業務工作的開展，但也隨之帶來了顯著的安全問題。為了有效的提升無線專網的安全性水平，一方面需要加大硬件防護設備方面的投入，另一方面也必須注重安全防護策略的制定和實施。只有雙管齊下，才能取得預期的效果。

（作者單位：國網山東省電力公司淄博供電公司）