核電廠5G無線通信系統的網絡安全研究

孟 佳，鄧曉飛，魏 巍

（華龍國際核電技術有限公司，北京 100142）

0 引言

目前國內很多核電廠中設置了無線通信系統，與有線電話網配合使用，用于呼叫尋人和發布應急信息，以滿足核電廠在正常運行和應急工況下的移動通信需求。隨著核電廠數字化、智能化、信息化的需求不斷加大，無線通信系統技術日益成熟，無線通信系統正在被嘗試用于人員定位、視頻監控、設備監測、輻射監測、火災探測等多種擴展應用場景。核電廠無線通信系統對于提升核電廠的運行便利性、先進性，為未來智慧電廠的建設提供基礎平臺，具有重要的價值。但是網絡安全問題隨之而來，近年來世界核電領域發生多起重大網絡信息安全事件，系統面臨黑客、木馬、病毒、蠕蟲等多種威脅攻擊，導致數據被非法訪問、更改或泄露，甚至設備裝置被破壞、失靈，引發公眾的廣泛關注。網絡安全是無線通信系統在核電廠應用所面臨的一大挑戰，提出核電廠無線通信系統的網絡安全解決方案將至關重要。

1 核電廠無線通信技術的選型

現有的核電廠無線通信系統主要技術各有優缺點，無線通信系統的網絡類型包括無線個域網、無線局域網、無線城域網、無線廣域網。無線個域網是要把幾米范圍內的多個設備通過無線方式連接在一起相互通信，比如無線傳感器、無線耳機等，典型技術包括藍牙、ZigBee、UWB等。無線局域網是針對局域網制定的無線接入技術標準，解決“最后100m”的通信接入，典型技術代表是WiFi技術。無線城域網致力于提供“最后一公里”的無線接入解決方案，典型技術代表是McWiLL技術。無線廣域網是將物理距離在十幾公里、分散的各局域網連接起來的通信方式，典型技術從2G/GSM技術到3G/CDMA技術、4G/LTE技術，再到現在的5G技術，引領了蜂窩移動通信系統不斷增強寬帶傳輸性能、漫游性能以及安全性能。

WiFi技術具有較高的數據傳輸速率，能達到1.15Gbps，基于WiFi改造的適用于核電廠中應用的Nu-WiFi技術的最大傳輸速率也能達到866Mbps，基站的發射功率和功耗較低，發射功率在100mW以內，功耗在20W～50W，產業鏈較好，但覆蓋范圍有限，在60m～500m，移動性一般。

McWiLL和4G TD-LTE可以覆蓋較大距離，可以達到1km～15km，移動性較好，但基站的發射功率和功耗較高，發射功率在500 MW左右，功耗在200 W 左右，McWiLL數據傳輸速率較低，為15Mbps[1]，且可提供該技術的供應商僅一家，TD-LTE數據傳輸速率較McWiLL有所提高，為100Mbps。

5G技術具有很高的數據傳輸速率，能達到3.3Gbps，覆蓋半徑在200m～600m，發射功率在400MW左右。相比于4G，5G技術具有峰值速率更高（4G的20倍，10Gbps～20Gbps，大帶寬）、連接數密度更高（106/km2，廣連接）、流量密度更大（10 Tbps/km2～100Tbps/km2）、移動性更快（4G的4倍，500+km/h）、空口時延更低（4G的1/5，1ms，低時延）、安全性高[2]等諸多優勢。5G不僅考慮人與人的連接，也考慮人與物、物與物的連接，包括虛擬現實、云端機器人等增強移動寬帶場景，海量物聯網等低功耗大連接場景，車聯網等低時延高可靠場景。同時，5G具備適用部署區域化、網絡需求個性化、行業應用場景化等特點，可以打造跨行業融合生態。相比WiFi6，5G的空口安全性更高、授權頻率不易被攻擊、時延更低、穩定性更好、不易丟包抖動、覆蓋范圍更大，且可以支持海量終端接入。為落實黨中央、國務院相關部署要求，積極推進能源領域5G應用，國家發展改革委、國家能源局、中央網信辦、工業和信息化部聯合編制了《能源領域5G應用實施方案》，關于印發《能源領域5G應用實施方案》的通知（發改能源〔2021〕807號）于2021年6月7日正式下發，文中提到：“5G具有高速率、低時延、大連接等特征，是支撐能源轉型的重要戰略資源和新型基礎設施。研究面向智能電廠的5G組網和接入方案，開展電廠5G無線網覆蓋建設，綜合利用物聯網、大數據、人工智能、云計算、邊緣計算等技術，在確保電廠安全前提下，以需求為牽引，搭建適應電廠復雜環境的全域工業物聯網和數據傳輸網絡。開展基于5G通信的工業控制與監測網絡升級改造，實現生產控制、智能巡檢、運行維護、安全應急等典型業務場景技術驗證及深度應用，在火電、核電、水電和新能源等領域形成一批5G典型應用場景。”

未來，核電廠的無線通信系統不僅要滿足正常運行、事故工況和實施應急計劃時的呼叫、短信、對講、廣播、應急指揮調度等廠內及對外移動通信基礎應用需求，還要能支持高速率的移動辦公和各類物聯網應用等擴展應用需求，如人員定位、輻射監測、智能巡檢、智能維修、設備管理、實時監控等。由于5G技術具有帶寬更大、速率更高、時延更低、連接數更多、移動性更快、安全性更高等諸多優勢，是將大規模天線、非正交多址接入、高頻段信號傳輸、靈活頻譜共享等多種技術融合的網絡，可以承載未來核電廠更廣泛的數據傳輸和業務連接，可以滿足智能核電的發展需要，同時為積極響應國家和上級主管部門，因而選用5G+MEC專網作為核電廠無線通信系統技術將是未來的趨勢。

2 網絡安全法規標準和政策

近年來國內對網絡和信息安全重視程度不斷提升，從黨中央到國家相關部委在網絡和信息安全方面開展密集部署，網絡安全上升到國家戰略高度。1994年國務院147號令《中華人民共和國計算機信息系統安全保護條例》第一次提出等級保護的概念，要求對信息系統分等級進行保護；1999年《GB17859-1999計算機信息系統安全保護等級劃分準則》發布，是信息系統等級保護建設必須遵循的法規條文，本準則將計算機信息系統的安全保護能力劃分為5個等級；2008年公安部發布等保1.0四大標準《GB/T 22239-2008信息系統安全等級保護基本要求》《GB/T 22240-2008信息系統安全等級保護定級指南》等；2014年2月，中央網絡安全和信息化領導小組成立，習近平總書記任領導小組組長；2015年6月，國家發布《中華人民共和國網絡安全法》（草案）；2017年6月《網絡安全法》正式施行。2019年5月等級保護2.0國家標準正式發布，2019年12月1日開始實施，主要包括《GB/T 22239-2019 網絡安全等級保護基本要求》《GB/T 25070-2019網絡安全等級保護安全設計技術要求》《GB/T 28448-2019 網絡安全等級保護測評要求》《GB/T 28449-2018 網絡安全等級保護測評過程指南》。

同時，為規范核電廠應對網絡安全的行動，提高核電廠網絡安全監管的有效性，國家核安全局和國家原子能機構聯合編制了《核動力廠網絡安全技術政策》（試行），于2021年4月正式實施，該文件主要參考了RG 5.71中的相關內容，包括SSEP的定義、CDAs的識別等，并結合國內實際情況進行了適當的修改。2014年國家能源局印發了《電力行業網絡與信息安全管理辦法》的通知（國能安全〔2014〕317號）；2014年8月國家發改委第14號令《電力監控系統安全防護規定》中明確電力監控系統安全防護的總體原則為“安全分區、網絡專用、橫向隔離、縱向認證”。2015年國家能源局印發的36號文《電力監控系統安全防護總體方案》中規定生產控制大區應當選用安全可靠硬件防火墻；生產控制大區的監控系統應當具備安全審計系統、使用白名單安全機制替代傳統殺毒軟件；生產控制大區可以統一部署一套網絡入侵檢測系統；進行身份認證，根據身份與權限進行訪問控制，并且對操作行為進行安全審計。2017年1月，國家發改委、國家能源局、生態環境部、國防科工局將2017年定為“核電安全管理提升年”，依據等保、14號令、36號文聯合組織對國內在運核電廠的網絡安全進行專項檢查，提出問題進行整改。2018年5月，四部委發布765號文《關于進一步加強核電運行安全管理的指導意見》《電力行業網絡安全行動計劃（2018-2020年）》等規范性文件，明確要求網絡安全納入核電安全管理體系，加強能力建設，保障核電廠網絡安全。

2010年，NRC發布了RG-5.71導則《核設施的網絡安全大綱》，用于指導實現對通信系統和計算機網絡的充分保護，以免受網絡攻擊的危害。2012年，國際原子能機構IAEA發布了核安保技術導則《核設施的計算機安全》。該導則重點指出，計算機安全應作為一個基本要素列入核設施總體安保規劃。導則指出：“核設施的計算機安全，必須特別關注一些不同于普通企業信息技術網絡或過程控制系統計算機安全的‘特有’問題。這些問題是：核設施全壽期包含多個階段和多種運行模式，計算機安全規劃時應考慮不同階段的不同關注點；核電站計算機主系統連接到遠程的應急中心，相關網絡危害可能經由應急中心系統而入侵主系統；許多目前使用的過程控制系統和工業控制系統，最初設計時計算機安全并非主要考慮事項，近年來惡意計算機活動不斷出現，計算機安全應作為信息系統新設備采購的一個核心要求。”

總結來說，核電廠對網絡安全的要求主要遵循的國內標準法規包括等級保護2.0《GB/T 22239-2019 網絡安全等級保護基本要求》等系列標準、《核動力廠網絡安全技術政策》、14號令《電力監控系統安全防護規定》和36號文《電力監控系統安全防護總體方案》，同時主要參考國際上的RG-5.71導則和IAEA第17號令《核設施的計算機安全》。

3 核電廠5G無線通信系統的網絡安全技術架構

根據以上國內和國際上頒布的法規、標準、政策中的要求，核電廠無線通信系統的安全建設要滿足等保2.0標準中安全通用要求、云計算安全擴展要求，通過構建“一個中心、三重防護”的技術架構來建立安全可信防護機制，保障通信網絡安全、區域邊界安全、計算環境安全。安全體系技術架構如圖1所示。

3.1 安全通信網絡

安全通信網絡主要對網絡整體提出要求，通過防火墻、專用網絡VPN、數據通信加密和通信設備冗余來完成網絡架構、通信傳輸和可信驗證[3]。

無線網絡通過公網5G基站實現信號的覆蓋并部署MEC系統，信號覆蓋整個廠區，包括核島、常規島、BOP及室外區域。5G 技術在安全隔離方面具有獨特的網絡切片能力，切片間相互隔離、互不影響，根據業務特征可分為生產控制大區切片和管理信息大區切片。管理信息大區和室外區域采用混合專網模式，生產控制大區采用獨立專網模式。

1）管理信息大區和室外區域采用混合專網模式

混合專網以5G數據分流技術為基礎，將核心網解耦成兩部分，即用戶面部分與控制面部分。用戶面網元UPF下沉到核電廠通信機房[4]，為核電廠私有化部署；控制面網元在運營商核心機房，也可根據需求靈活部署（下沉一部分），為核電廠提供部分物理獨享的5G專用網絡。

2）生產控制大區采用獨立專網模式

獨立專網中，從無線基站到核心網的用戶面、控制面，包括gNB、AMF、SMF、UPF、MEC等5G系統的所有網元全部下沉到核電廠通信機房。該模式下，核電廠廠區終端采集的數據流經UPF轉發經MEC卸載，確保廠區數據保留在本地，實現數據不出廠區。因此，獨立專網與公網數據完全物理隔離，保證核電廠網絡安全，減小公網故障對核電廠生產業務的影響，保障生產安全。

3.2 安全區域邊界

安全區域邊界主要對網絡外部邊界以及內部不同區域之間的邊界提出要求，通過防火墻、入侵防御系統IPS、防DDos、Web應用防火墻WAF、防病毒網關來實現邊界防護、入侵防范和訪問控制。

管理信息大區網絡與生產控制大區網絡應物理隔離，兩網之間的信息通信交換采用電力專用橫向安全隔離裝置（正向型）。正向隔離裝置采用“2+1”架構，即內網主機處理單元、外網主機處理單元、隔離硬件數據交換單元。內網主機單元基于包過濾策略對違反規則的報文進行阻斷；對應用數據進行深度解析，阻斷非法數據通過系統邊界、內外網之間實現無協議數據“擺渡”，阻斷了外網對內網的入侵攻擊。

生產控制大區中的控制區和非控制區之間采用邏輯隔離方式，通過防火墻、協議過濾等技術手段實現不同安全域的邊界隔離。邊界隔離設備具有協議深度解析功能，根據安全管理中心下發的應用協議白名單，對流經邊界的數據報文進行包過濾檢測，對通過檢測的數據報文進一步進行協議規則檢查，包括協議格式完整性、指令類型、關鍵信息值等信息，阻斷不符合協議規則的異常報文。

3.3 安全計算環境

安全計算環境主要對局域計算環境的構成節點提出要求，主要包括應用層安全和平臺層安全。應用層安全指的是數據安全、應用安全、主機安全；平臺層安全指的是虛擬資源安全和物理資源安全。為保證數據安全采取的措施有數據庫審計、存儲加密、備份容災、數據加密脫敏、數據泄露防護系統（DLP）等，為保證應用安全采取的措施有源碼安全、鏡像安全、Web應用防火墻、網頁防篡改、防DDos等，為保證主機安全采取的措施有主機漏掃、補丁更新、基線配置核查、主機病毒防護等。為保證虛擬資源安全也采取大量防護手段，針對計算資源有計算資源隔離、基線配置、漏洞掃描等，針對網絡資源有流量控制、終端準入、數據傳輸保密等，針對存儲資源有存儲隔離、訪問控制、備份恢復等，針對安全管理有4A系統（認證、授權、賬號、審計）、安全審計系統等。

對5G+MEC專網的終端及服務器提供端到端的加密，采用具備安全模塊的終端，在終端內置國密芯片，基于MEC的AAA系統對終端接入進行雙向鑒權認證，既能保證非法終端無法接入網絡，也能保證終端無法訪問非法網絡。鑒權維度可以是IP地址、MAC地址、設備ID，只有合法的地址才能接入網絡，防止非法內聯。當系統檢測到多個終端試圖使用相同的ID標識接入網絡時，將會自動記錄相關信息并產生告警，供管理人員進一步調查非法用戶。非法終端即使接入到基站，在訪問網絡時還需要向服務器發送賬號和密碼信息，通過認證后才能訪問。接入密碼是隨機動態變化的，每個終端在激活時都將從服務器獲得自身的用戶密碼庫，密碼庫包含上百個不同密碼，網絡接入時，終端根據網絡側指定的密碼索引從密碼庫中選取接入密碼，保障用戶每次接入網絡的接入密碼都是不同的，防止非法用戶破解入侵。激活及接入認證流程均采用國密算法[5]，包括橢圓曲線非對稱加密算法（SM2）、對稱加密算法（SM4）和雜湊算法（SM3）。在激活和接入認證階段，使用SM2算法進行終端與服務器的雙向非對稱認證，使用SM4算法對交互信息進行加密，使用SM3算法用于對加密信息進行摘要處理以防止篡改。對接入網絡的用戶終端強制實施安全策略，通過與安全策略服務器的聯動，可以對感染病毒或存在系統漏洞等不合格的終端進行下線、隔離、提醒或監控等多種方式的處理，只有終端符合相應的安全策略之后，才允許正常訪問網絡。基于白名單機制，對執行程序的完整性檢查，控制程序執行，確保計算節點的非授權程序無法執行，防御惡意代碼攻擊。對于明確的非法攻擊源，進行物理位置跟蹤監控和交換機物理端口移除[6]，從而提高了無線網絡的整體安全性。

此外，終端可以通過專用APP的多種安全措施以提高自身的安全性，包括：對自身代碼進行混淆；對安裝進行簽名認證，篡改簽名后安裝包不能正確進行；對客戶端配置文件信息進行加密；本地不存儲明文賬號和密碼；登錄采取非對稱加密，并對密文進行加花處理，保證賬號安全；消息采用推送拉取方式，消息內容加密后存儲在緩存；接口傳輸采用私有的簽名算法，對傳輸報文的合法性進行驗證。為了保護用戶的交互信息，專用APP可以控制信息拷貝、剪切、截屏等操作，當使用第三方設備拍攝轉發時，通過內置的用戶身份二維碼水印能夠有效追蹤到信息泄露源頭，且二維碼設計為冗余糾錯碼，在遭受部分破壞時仍能有效恢復。

非法外聯主要防止網絡內部計算節點非法訪問外網。首先，通過主機加固軟件嚴格控制非法外設的啟用，防止在計算節點啟用無線網卡等無線通信設備；其次，對網絡計算節點下發互聯策略，只有符合互聯策略的通信才允許通過，否則無法建立連接和收發報文；最后，在計算節點上部署外聯探測組件，一旦探測到外聯事件就報警并阻斷連接。

3.4 安全管理中心

安全管理中心主要對系統集中管理提出要求，通過安全集中管理平臺、4A系統、漏掃系統和日志審計系統來實現審計管理和集中管控。包括管理系統內各用戶身份信息，對系統內的網絡設備、安全設備、主機設備等設備狀態集中監測，對各設備的白名單庫和安全策略進行基線存儲管理。通過在各計算節點上安裝審計探頭，對收集到的原始審計信息進行深度分析，采用信息格式歸一化、信息內容歸并、訪問信息關聯等手段，分析可能存在的安全風險，并進行告警。審計事件主要有非法用戶登錄、用戶違規訪問文件資源、非法網絡連接、操作系統安全日志審計、運行日志、策略配置等內容。

此外，核電廠應制定網絡安全管理制度，對網絡設備的安全運行情況進行管理，并明確負責核電廠信息安全的組織機構和職責，配備滿足管理要求的人員隊伍，為有效的信息安全管理提供支持。

4 結束語

無線通信技術的應用可以有效減少核電廠中線纜和橋架的布置，可以提高對核電廠設備的監控能力，無線通信平臺的搭建可以為智能核電提供基礎網絡，其將帶來可持續的優勢效應。隨著無線通信技術的不斷演進和創新，5G技術不再僅僅是更高速率、更大帶寬、更強能力的空中接口技術，而且是面向業務應用和用戶體驗的智能網絡。它是一個多業務多技術融合的網絡，滿足未來包含廣泛數據和連接各種業務的快速發展需要。隨著5G技術的日益成熟，核電運營單位對5G技術應用的可接受度會逐漸提高，其將引領核電廠向著更加數字化、智能化、信息化的方向發展，同時也符合國家建設5G行業虛擬專網、推動5G技術應用于智能電廠等能源場景領域的重要戰略，為核電廠未來無線通信系統的研究提供了方向。

解決核電廠無線通信系統的網絡安全問題也不是一朝一夕，一蹴而就的事情，需要建立完備的法律制度體系、技術標準體系、技術防護體系、人才建設體系和監督監測體系，需要動員相關管理部門、系統研發廠商、系統集成商、設計單位、核電廠業主等多方面的力量協同解決。