核電站無線網絡的網絡安全技術防護與對策

劉凱 趙亞

武漢第二船舶設計研究所 湖北 武漢 430000

引言

隨著我國重點核電廠的不斷建成投產，對于安全制造、管理創新、減本增效等更高的要求必將會推動信息技術發展。無線網絡建設是實現核電廠智能化、信息化建設的重要基礎。無線網絡與云計算、大數據、移動互聯網、人工智能等科學技術的深度融合，將會大大有利于我國在核電領域引入更多智能技術。

1 智慧核電對于無線網絡的需求

互聯網絡已經深入到各行各業，人們對于網絡安全的關注正在日益提高。遵循國家NB/T20263-2014號文件中對核電廠的設計規范及其他關于核電廠應急預案與規劃及準備指南，以及現場及其他建筑物的應急處理設施的主要功能及特點需要符合其要求規格[1]。更好的應用無線電網絡技術，可以使核電廠正常運轉下或者出現緊急情況的時候滿足對移動通信的需要，還包括以下幾個方面：無線互聯網可以支持建立一個基于IOS或者安卓等移動操作系統的智能終端，并接入移動辦公、電子工單等；無線互聯網可以為啞終端提供支撐，例如相機、無線傳感器等高科技設備。

2 當前無線網絡面臨的網絡安全威脅

2.1 未經授權訪問的用戶

從無線網絡的信息安全管理角度看，匿名攻擊情況是有可能發生的。雖然無線竊聽設備的比例相對較高，但是由于無線電傳輸系統的特點，因此攻擊者往往只需要攔截一個無線電信號，就可以進行攻擊與竊聽。無線接入裝置與無線竊聽裝置并沒有太大的區別，許多的網絡接入裝置只要經過稍加修改就可以轉換成一個被竊聽的裝置，幫助受害人獲取大量的數據和資料，而這類的竊聽行為也是極易被人們發現的。如果是通過協議進行傳輸，攻擊者就可以利用竊聽裝置的方式獲取機密資料并訪問到網絡。雖然大部分的信息都是可以用無線網絡進行加密的，但是攻擊者卻能夠攔截它。如果被攻擊者已經獲得了無線電網絡的訪問權，他就可以在沒有物理連接的情況下訪問核電站無線電網絡。如果滿足條件，則可以無線接收數據。因此，工作人員必須從多方面防止非法終端的接入，以防止出現重要數據泄漏的現象發生。

2.2 無線加密協議本身的不安全性

無線網絡是開放的，在操作和管理網絡信息方面存在隱患。在網絡通信過程中，攻擊者可以使用掩碼的二層鏈路地址連接到無線網絡并攔截通信信息以獲得靜態地址池。當信息通過無線網絡傳輸時，可以檢測到無線端口信號，通過分析弱密鑰加密數據包獲得恢復密鑰，破解網絡信息的加密密碼，對網絡信息構成威脅。目前，核電站的無線網絡使用Wi-Fi，Wi-Fi是一種標準的無線網絡技術，其中的WEP 加密方案太過簡單，WPA 仍然使用較弱的 RC4 加密算法。基于WPA 開發出來的WPA2是相對成熟的版本，國外大學的研究員在2017年發現了其應用過程中的安全系統中的一個漏洞。這就表明保護大多數 Wi-Fi 連接的WPA2已經不再安全。

2.3 病毒及黑客的攻擊

除了以上兩點，無線網絡的安全管理系統還面臨著各種病毒和黑客攻擊，這也是對核電站無線網絡的嚴重威脅。在許多企業中，自帶設備進行辦公受益于無線網絡，進一步使互聯網絡成為工作和生活的便利場所。如果自帶的設備被濫用，黑客就可以使用自帶設備攻擊核電站的無線電網絡，以在內部和外部網絡之間建立物理連接。這使得病毒能夠“滲透”和“滯留”很長時間，使網絡攻擊不斷增加，最終導致使無線網絡乃至整個網絡癱瘓，對個人和企業造成嚴重傷害。

3 網絡安全技術

3.1 防火墻技術

在所有核電站以及工程中所使用的各種網絡安全技術有許多種（如圖1所示），其中，防火墻技術被認為是一項很有用的技術。通過在應用的互聯網上安裝一個防火墻，就能夠有效地攔截木馬并且能夠防止任何惡意攻擊。因此，核電站的網絡管理人員要高度重視核電站內的網絡安全防火墻建設，為核電站的正常運行打造有效的網絡安全防火墻，加強網絡對外部威脅的防范和攔截。[3]同時，可以安裝防火墻的預警控制機制，并且也可以安裝在防火墻上的警報控制系統。如果外部的威脅已經進入到了網絡，可以通過觸發告警信息通知給網絡管理人員，以便他們及時做出反應，及時地消除外部的威脅，防止對于網絡的進一步破壞。

圖1 網絡安全防護系統技術

3.2 信息加密技術

很多信息需要在無線網絡中進行傳播和交流，因此信息安全也是無線網中非常重要的。如果信息被篡改或刪除，可能會產生嚴重的負面后果。由于無線網絡本身的安全性較差，且存在軟硬件漏洞，出于安全考慮，必須謹慎使用信息加密技術對核電站內部無線網傳輸的信息進行加密，以防止其被竊取或丟失。特別是核電站網絡可以根據一定的加密規則建立一種通信方式，對信息的傳輸進行加密。它還可以連接到防火墻和安全軟件，以提供全面的網絡保護。

3.3 安全識別技術

安全認證的主要目的是識別網絡用戶，確保使用網絡的人有足夠的網絡訪問權限，防止未經授權的人員使用網絡。具體而言，這就需要核電站的無線網絡在權限上進行等級層次的劃分，針對不同的工作人員授予不同的網絡使用權限。同時再設計對應的身份識別方法，確保登錄者就是系統的授權者，避免非法登入問題的發生，從而保障核電站內無線網絡的使用安全。

4 核電站無線網絡的網絡安全防護的策略和技術手段

4.1 核電站無線網絡的網絡安全防護的策略

考慮到核電廠的特殊性，如果因為無線網絡的安全問題，導致核電站的網絡不可用，使得電站的重要信息系統的癱瘓或者重要基礎設施受到黑客攻擊，甚至出現類似伊朗核電站的震網蠕蟲病毒事件，那么后果將是不堪設想。因此，網絡安全還必須解決網絡攻擊和核安全問題等風險。數據顯示，由于核電站的性質，在一些重要的節日或者會議期間，很容易受到各種黑客的攻擊。鑒于無線網絡安全的威脅，工作人員需要出于以下目的考慮技術安全措施：用戶訪問需要身份需要驗證管理；用戶連接后，后臺系統可根據場景調整用戶的訪問策略；用戶訪問必須遵守安全訪問規則；可以記錄用戶在網絡中的行為；防止核電廠機密數據丟失；非常可靠的無線電信號，防止傳輸過程中數據被盜。基于世界原子能運營商協會無線網絡和信息安全最佳實踐，根據ISO20000/ISO27001和國家安全標準研究信息安全技術要求，并融入核文化、能源和核工業。可以采用大型核電廠提出的“核電廠信息安全模型”，可作為核電廠無線網絡安全解決方案的基礎方案。

4.2 無線網絡信息安全防護對策

4.2.1 建立防止黑客入侵網絡系統。在保護核電站無線網絡信息方面，有必要提供一種防止黑客進入網絡的系統，以加強對網絡信息的保護。為了防止黑客侵入網絡系統的結構，可以通過主動或被動保護來提高無線網絡系統的安全性。關于主動保護，有必要開發分析帶寬共享期間通信活動的軟件[2]。分析軟件應具有檢測密碼破解、主動監控無線網絡中的信息路徑等功能。如果在系統發現過程中在無線網絡中檢測到異常活動，則需要快速比較對應的屬性，以生成預警模塊和預警信號。此外，用于分析帶寬共享通信活動的軟件應該能夠向網絡節點指示無線網絡系統的異常活動，識別異常活動的潛在問題，并提供預防措施，以確保無線網絡的信息安全。被動防護應更新原有防火墻和病毒代碼，刪除易受攻擊的軟件，防止黑客或病毒進入無線網絡。同時，無線網絡系統中的所有設備都必須經過身份驗證和簽名，相關機密數據必須經過加密，擴展無線安全監控功能并為安全通信設定標準。為了防止黑客侵入網絡系統的結構，需要開發具有主動防護功能的軟件，能夠及時控制計算機病毒或網絡黑客攻擊等信息。先進安全軟件的開發，使得網站加密和電子簽名驗證的結合變得容易，從而將無線網絡信息受到攻擊的風險降到最低。

4.2.2 構建無線網絡安全管理環境。在管理核電站的無線網絡安全時，不僅要考慮信息安全技術，還要考慮到無線網絡環境的管理。如果核電站設備環境不夠安全，無法正確地管理無線網絡，則很有可能會導致出現各種安全風險[3]。雖然很多核電站已經建立了有效的管理和保護無線網絡安全的機制，但從其業務開展的角度出發來看，管理人員在實際進行網絡安全管理的過程中往往都會忽略相關規則，這就大大增加了無線網絡的安全和風險。因此，在保護和管理無線網絡的安全時，需要大幅度地提高管理員的網絡安全意識，定期地更新和清除系統中的軟件等，同時防止拒絕訪問可能是危險的網站。為了有效地提高核電企業內部管理層人員的安全意識，有必要要求企業加強對信息安全的培訓，做好公司內部的信息安全工作。

4.3 應用安全技術

為了解決核電站無線網絡信息安全中的身份盜用問題，需要采用身份認證和訪問控制的方法來保護安全。在用戶認證方面，用于控制網絡密碼，制定精確的密碼指令，增加網絡信息的安全性，明確只有經過授權的人才能使用系統。為了控制無線用戶訪問，必須使用AAA計費和授權服務器為特權用戶提供無線服務。如果使用協議中指定的端口可以識別用戶，則該工作人員可以自由進入該端口。此外，用戶可以使用無線認證來控制訪問并防止使用相關標識符。在控制對無線網絡的訪問時，可以使用基于策略的路由來分配資源，以提高無線網絡系統的安全性。

4.4 加強無線網絡終端設備管理

在保護核電站無線網絡運行過程中的數據和信息時，需要進一步加強對互聯網終端的監測。用于無線網絡信息系統的裝置可以變成被攻擊人竊聽或報警的工具。因此，在安裝無線接入點時，請仔細地選擇相關系統硬件。針對無線網絡數據庫和信息潛在拒絕服務的攻擊，需要進一步加強監控設備在互聯網上的應用和控制，并通過專業技術提高系統監測技能，避免了工作人員在使用系統時出現響應緩慢的情況。在使用無線網絡上來管理信息和設施時，就要盡量降低無線性能，并制訂適當的安全應急預案和安全處置措施。潛在的無線性能問題需要更好地調查和解決硬件漏洞，并通過管理系統硬件更新來防止惡意攻擊來提高網絡信息的安全性。

5 結束語

綜上所述，通過增加了核電廠對無線網絡的需求。成功保障核電站的網絡系統不會被外界人員侵入，即便發生侵入現象也不能盜竊信息的目標。除了對技術手段的不斷更新與完善，核電企業還必須整合管理實踐，以提高所有員工的信息安全意識，實現“公司可追溯”的目標。只有人防和技術保護得到同等重視，才能使核電站無線網絡在使用中得到保障。