譚俊龍，朵平梅，李 達，胡洪濤

（國家核安保技術(shù)中心，北京 102600）

0 引言

為落實習近平總書記等中央領導關于中國核電安全工作的重要批示精神，國家發(fā)展改革委、國家能源局、國家核安全局、國家國防科工局聯(lián)合發(fā)布了《關于進一步加強核電運行安全管理的指導意見》，聚焦核電運行關鍵環(huán)節(jié)，進一步加強安全管理，保障核電機組安全穩(wěn)定運行，促進核電安全高效發(fā)展。其中，核電安全新增了核電站網(wǎng)絡安全，體現(xiàn)了網(wǎng)絡安全對于核電站安全運行的重要性。因此，要重視核電站網(wǎng)絡安全能力建設，確保核電廠網(wǎng)絡安全。

近年來，在中國工業(yè)應用中部署了越來越多的無線網(wǎng)絡系統(tǒng)，核電站作為安全要求較高的工業(yè)，也逐步應用了無線網(wǎng)絡系統(tǒng)。與有線系統(tǒng)相比，無線通信系統(tǒng)具有許多優(yōu)勢：安裝成本及維護成本較低，連接器較少，減少了故障率，并且能夠快速部署[1]。但核電站尚未有專門針對無線通信系統(tǒng)的安全防護要求及相關標準，因此，保障無線通信系統(tǒng)安全對于核電站安全運行至關重要[2]。無線網(wǎng)絡安全不僅涉及到技術(shù)方面，而且對管理方面也有較高要求，真正的安全必須同時做好技防和人防。

1 技術(shù)方面

1.1 電磁干擾

核電站自動控制系統(tǒng)受到電磁干擾時，儀器儀表的有效性能或技術(shù)指標會下降或失效。例如，瑞典曾出現(xiàn)過電磁干擾導致誤關閉核電站事故。位于瑞典奧斯卡斯哈門的核電站，在1998 年因無線網(wǎng)絡電話發(fā)射的電磁干擾，造成了儀控設備的混亂，儀表誤認為放射量高于安全值而自動停堆，造成了非常大的經(jīng)濟損失，并且電磁干擾信號中含有大量的信息，如計算機產(chǎn)生的電磁輻射中會包含各種形式的數(shù)據(jù)信息。如沒有經(jīng)過專門反竊密設計，大部分電子系統(tǒng)設備均存在電磁泄漏現(xiàn)象（利用專業(yè)偵測系統(tǒng)能夠從電磁干擾信號中得到大量數(shù)據(jù)信息）。因此，通過電磁干擾方式，可能造成核電站關鍵信息的泄漏[3]。

在沒有電磁干擾防護措施情況下，無線網(wǎng)絡可能會將外來干擾信號誤認為合法邏輯信號，對儀控系統(tǒng)的正常工作造成影響。同時，由于對講機和無線電話等通訊設備的普及使用，電磁干擾也不斷增加。因此，電磁干擾問題成為了無線網(wǎng)絡系統(tǒng)的主要問題。例如，無線電話系統(tǒng)在使用時會發(fā)射電磁波，核電廠精密的儀器設備在電磁干擾的情況下無法正常工作，可能會導致安全事故，所以在無線設備出廠前，要做好電磁兼容性的測試，確保不會對核電站關鍵儀器設備產(chǎn)生影響，避免電磁干擾風險。

1.2 物理隔離

無線網(wǎng)絡設備之間的物理連接改變?yōu)檫壿嬤B接，且沒有固有的物理防護。發(fā)送或接收消息并不需要對網(wǎng)絡基礎架構(gòu)的物理訪問，例如，電纜、集線器和路由器。無線信號通常是指無線電，空中廣播。因此，傳輸范圍內(nèi)的任何人都可以收到。因為普通商用通信協(xié)議很容易獲得，在標準協(xié)議下，攔截接收器可以接收目標信號。而且，任何人都可以生成虛假信號干擾附近的其他傳輸或妨礙其正確接收。

物理隔離是抵御網(wǎng)絡攻擊的常用方法。應用物理隔離方式，斷開無線網(wǎng)絡與核電站關鍵數(shù)據(jù)網(wǎng)絡間的物理連接，能夠解決目前大多數(shù)由于操作系統(tǒng)漏洞和相關網(wǎng)絡協(xié)議所帶來的安全問題，能夠有效地防止惡意網(wǎng)絡攻擊。

1.3 管控系統(tǒng)

由于網(wǎng)絡特性所限，無線網(wǎng)絡遲延較高且布局分散。因此，無線網(wǎng)絡集中管控的可靠性和穩(wěn)定性至關重要。管控系統(tǒng)要分層次進行詳細的結(jié)構(gòu)和功能設計，部署相關網(wǎng)絡安全設備包括安全網(wǎng)關、防火墻、單向網(wǎng)閘等[4]。通過管控中心平臺，能夠進行網(wǎng)絡行為審計、病毒庫及補丁升級、設備狀態(tài)監(jiān)控、部署安全策略等，對接入設備的上網(wǎng)行為進行監(jiān)控，可有效過濾掉非授權(quán)設備接入無線網(wǎng)絡系統(tǒng)，使得滿足條件的終端通訊暢通，而不滿足條件的終端無法訪問無線網(wǎng)絡，加強設備的安全管控，能夠滿足核電站網(wǎng)絡實時性和可靠性的需求。

2 管理方面

2.1 身份驗證

圖1 多重生物特征身份驗證Fig.1 Multiple biometric identity verification

圖2 容災備份架構(gòu)圖Fig.2 Disaster recovery backup architecture

加強系統(tǒng)登錄的身份驗證。嚴格控制管理員密碼的知悉范圍，對系統(tǒng)的訪問和系統(tǒng)設置權(quán)限進行級別限制，杜絕普通用戶修改系統(tǒng)相關設置?；谏锾卣鞯纳矸蒡炞C技術(shù)已逐步成熟，能夠提供一種更為安全、方便以及高效的身份驗證方式。利用基于生物特征的身份驗證技術(shù)，替代密碼和智能卡等傳統(tǒng)身份驗證技術(shù)也是一種有效的方式。核電站的關鍵部位對身份驗證的準確率和可靠性有嚴格要求，對身份驗證系統(tǒng)安全性的要求更加嚴格，僅靠單一生物特征往往無法滿足安全需要。利用多重生物特征相結(jié)合的技術(shù)，在一定程度上能彌補單一生物特征識別的不足，能夠提高防偽能力和穩(wěn)定性，為身份驗證提供更高程度的安全保障，如圖1 所示。

2.2 容災備份

加強數(shù)據(jù)安全意識，定期對核心數(shù)據(jù)進行備份。對無線網(wǎng)絡的各種數(shù)據(jù)重要性進行評估，建立容災方案，考慮系統(tǒng)性能和容災能力的影響，容災方案不但要進行同步數(shù)據(jù)容災，而且要進行遠程的數(shù)據(jù)容災，分節(jié)點、分層次進行無線網(wǎng)絡系統(tǒng)的容災備份，保證數(shù)據(jù)的完整性、可用性，如圖2 所示。完善的容災方案還需要包括恢復流程，通過定期對交換機和無線控制設備等進行容災備份，提高無線網(wǎng)絡系統(tǒng)的安全性。

2.3 制度管理

完善管理制度，應結(jié)合核電站實際情況制定有效的安全管理策略，針對無線網(wǎng)絡關鍵部位、重要環(huán)節(jié)形成管理小組，同時還要保證核心技術(shù)力量，通過合理有效的管控程序，對人員進行過程控制，規(guī)定設備的日常及定期檢查項目、流程，嚴格執(zhí)行定期巡檢制度，對出現(xiàn)的隱患做到及時發(fā)現(xiàn)、分析和處理。將過程控制理念融入到生產(chǎn)管理中，能夠提高工作人員的主觀安全意識，從根本的制度建設上，加強核電站的無線網(wǎng)絡安全管理。

3 總結(jié)

無線網(wǎng)絡系統(tǒng)與有線網(wǎng)絡系統(tǒng)相比，采用更好、更高級的集散控制技術(shù)進行設計[5]。因此，無線系統(tǒng)可以提供更高的可靠性和更廣泛的操作靈活性。但隨著網(wǎng)絡從固定變?yōu)榕R時，網(wǎng)絡之間的“安全距離”增大了，網(wǎng)絡攻擊的可能性也隨之增加，越來越多的小型嵌入式設備可能會導致更多的網(wǎng)絡薄弱環(huán)節(jié)，并帶來網(wǎng)絡攻擊隱患。盡管無線網(wǎng)絡系統(tǒng)正越來越多地用于核電站，但總的來說，它們并不適用于核電站關鍵數(shù)據(jù)的安全傳輸。而且，必須同時重視核電站無線網(wǎng)絡的技防和人防，充分保護核電站的關鍵系統(tǒng)和功能，從而保障無線網(wǎng)絡系統(tǒng)在核電站的安全應用。