劉凱 趙亞

武漢第二船舶設(shè)計(jì)研究所 湖北 武漢 430000

引言

隨著我國(guó)重點(diǎn)核電廠的不斷建成投產(chǎn)，對(duì)于安全制造、管理創(chuàng)新、減本增效等更高的要求必將會(huì)推動(dòng)信息技術(shù)發(fā)展。無(wú)線網(wǎng)絡(luò)建設(shè)是實(shí)現(xiàn)核電廠智能化、信息化建設(shè)的重要基礎(chǔ)。無(wú)線網(wǎng)絡(luò)與云計(jì)算、大數(shù)據(jù)、移動(dòng)互聯(lián)網(wǎng)、人工智能等科學(xué)技術(shù)的深度融合，將會(huì)大大有利于我國(guó)在核電領(lǐng)域引入更多智能技術(shù)。

1 智慧核電對(duì)于無(wú)線網(wǎng)絡(luò)的需求

互聯(lián)網(wǎng)絡(luò)已經(jīng)深入到各行各業(yè)，人們對(duì)于網(wǎng)絡(luò)安全的關(guān)注正在日益提高。遵循國(guó)家NB/T20263-2014號(hào)文件中對(duì)核電廠的設(shè)計(jì)規(guī)范及其他關(guān)于核電廠應(yīng)急預(yù)案與規(guī)劃及準(zhǔn)備指南，以及現(xiàn)場(chǎng)及其他建筑物的應(yīng)急處理設(shè)施的主要功能及特點(diǎn)需要符合其要求規(guī)格[1]。更好的應(yīng)用無(wú)線電網(wǎng)絡(luò)技術(shù)，可以使核電廠正常運(yùn)轉(zhuǎn)下或者出現(xiàn)緊急情況的時(shí)候滿(mǎn)足對(duì)移動(dòng)通信的需要，還包括以下幾個(gè)方面：無(wú)線互聯(lián)網(wǎng)可以支持建立一個(gè)基于IOS或者安卓等移動(dòng)操作系統(tǒng)的智能終端，并接入移動(dòng)辦公、電子工單等；無(wú)線互聯(lián)網(wǎng)可以為啞終端提供支撐，例如相機(jī)、無(wú)線傳感器等高科技設(shè)備。

2 當(dāng)前無(wú)線網(wǎng)絡(luò)面臨的網(wǎng)絡(luò)安全威脅

2.1 未經(jīng)授權(quán)訪問(wèn)的用戶(hù)

從無(wú)線網(wǎng)絡(luò)的信息安全管理角度看，匿名攻擊情況是有可能發(fā)生的。雖然無(wú)線竊聽(tīng)設(shè)備的比例相對(duì)較高，但是由于無(wú)線電傳輸系統(tǒng)的特點(diǎn)，因此攻擊者往往只需要攔截一個(gè)無(wú)線電信號(hào)，就可以進(jìn)行攻擊與竊聽(tīng)。無(wú)線接入裝置與無(wú)線竊聽(tīng)裝置并沒(méi)有太大的區(qū)別，許多的網(wǎng)絡(luò)接入裝置只要經(jīng)過(guò)稍加修改就可以轉(zhuǎn)換成一個(gè)被竊聽(tīng)的裝置，幫助受害人獲取大量的數(shù)據(jù)和資料，而這類(lèi)的竊聽(tīng)行為也是極易被人們發(fā)現(xiàn)的。如果是通過(guò)協(xié)議進(jìn)行傳輸，攻擊者就可以利用竊聽(tīng)裝置的方式獲取機(jī)密資料并訪問(wèn)到網(wǎng)絡(luò)。雖然大部分的信息都是可以用無(wú)線網(wǎng)絡(luò)進(jìn)行加密的，但是攻擊者卻能夠攔截它。如果被攻擊者已經(jīng)獲得了無(wú)線電網(wǎng)絡(luò)的訪問(wèn)權(quán)，他就可以在沒(méi)有物理連接的情況下訪問(wèn)核電站無(wú)線電網(wǎng)絡(luò)。如果滿(mǎn)足條件，則可以無(wú)線接收數(shù)據(jù)。因此，工作人員必須從多方面防止非法終端的接入，以防止出現(xiàn)重要數(shù)據(jù)泄漏的現(xiàn)象發(fā)生。

2.2 無(wú)線加密協(xié)議本身的不安全性

無(wú)線網(wǎng)絡(luò)是開(kāi)放的，在操作和管理網(wǎng)絡(luò)信息方面存在隱患。在網(wǎng)絡(luò)通信過(guò)程中，攻擊者可以使用掩碼的二層鏈路地址連接到無(wú)線網(wǎng)絡(luò)并攔截通信信息以獲得靜態(tài)地址池。當(dāng)信息通過(guò)無(wú)線網(wǎng)絡(luò)傳輸時(shí)，可以檢測(cè)到無(wú)線端口信號(hào)，通過(guò)分析弱密鑰加密數(shù)據(jù)包獲得恢復(fù)密鑰，破解網(wǎng)絡(luò)信息的加密密碼，對(duì)網(wǎng)絡(luò)信息構(gòu)成威脅。目前，核電站的無(wú)線網(wǎng)絡(luò)使用Wi-Fi，Wi-Fi是一種標(biāo)準(zhǔn)的無(wú)線網(wǎng)絡(luò)技術(shù)，其中的WEP 加密方案太過(guò)簡(jiǎn)單，WPA 仍然使用較弱的 RC4 加密算法。基于WPA 開(kāi)發(fā)出來(lái)的WPA2是相對(duì)成熟的版本，國(guó)外大學(xué)的研究員在2017年發(fā)現(xiàn)了其應(yīng)用過(guò)程中的安全系統(tǒng)中的一個(gè)漏洞。這就表明保護(hù)大多數(shù) Wi-Fi 連接的WPA2已經(jīng)不再安全。

2.3 病毒及黑客的攻擊

除了以上兩點(diǎn)，無(wú)線網(wǎng)絡(luò)的安全管理系統(tǒng)還面臨著各種病毒和黑客攻擊，這也是對(duì)核電站無(wú)線網(wǎng)絡(luò)的嚴(yán)重威脅。在許多企業(yè)中，自帶設(shè)備進(jìn)行辦公受益于無(wú)線網(wǎng)絡(luò)，進(jìn)一步使互聯(lián)網(wǎng)絡(luò)成為工作和生活的便利場(chǎng)所。如果自帶的設(shè)備被濫用，黑客就可以使用自帶設(shè)備攻擊核電站的無(wú)線電網(wǎng)絡(luò)，以在內(nèi)部和外部網(wǎng)絡(luò)之間建立物理連接。這使得病毒能夠“滲透”和“滯留”很長(zhǎng)時(shí)間，使網(wǎng)絡(luò)攻擊不斷增加，最終導(dǎo)致使無(wú)線網(wǎng)絡(luò)乃至整個(gè)網(wǎng)絡(luò)癱瘓，對(duì)個(gè)人和企業(yè)造成嚴(yán)重傷害。

3 網(wǎng)絡(luò)安全技術(shù)

3.1 防火墻技術(shù)

在所有核電站以及工程中所使用的各種網(wǎng)絡(luò)安全技術(shù)有許多種（如圖1所示），其中，防火墻技術(shù)被認(rèn)為是一項(xiàng)很有用的技術(shù)。通過(guò)在應(yīng)用的互聯(lián)網(wǎng)上安裝一個(gè)防火墻，就能夠有效地?cái)r截木馬并且能夠防止任何惡意攻擊。因此，核電站的網(wǎng)絡(luò)管理人員要高度重視核電站內(nèi)的網(wǎng)絡(luò)安全防火墻建設(shè)，為核電站的正常運(yùn)行打造有效的網(wǎng)絡(luò)安全防火墻，加強(qiáng)網(wǎng)絡(luò)對(duì)外部威脅的防范和攔截。[3]同時(shí)，可以安裝防火墻的預(yù)警控制機(jī)制，并且也可以安裝在防火墻上的警報(bào)控制系統(tǒng)。如果外部的威脅已經(jīng)進(jìn)入到了網(wǎng)絡(luò)，可以通過(guò)觸發(fā)告警信息通知給網(wǎng)絡(luò)管理人員，以便他們及時(shí)做出反應(yīng)，及時(shí)地消除外部的威脅，防止對(duì)于網(wǎng)絡(luò)的進(jìn)一步破壞。

圖1 網(wǎng)絡(luò)安全防護(hù)系統(tǒng)技術(shù)

3.2 信息加密技術(shù)

很多信息需要在無(wú)線網(wǎng)絡(luò)中進(jìn)行傳播和交流，因此信息安全也是無(wú)線網(wǎng)中非常重要的。如果信息被篡改或刪除，可能會(huì)產(chǎn)生嚴(yán)重的負(fù)面后果。由于無(wú)線網(wǎng)絡(luò)本身的安全性較差，且存在軟硬件漏洞，出于安全考慮，必須謹(jǐn)慎使用信息加密技術(shù)對(duì)核電站內(nèi)部無(wú)線網(wǎng)傳輸?shù)男畔⑦M(jìn)行加密，以防止其被竊取或丟失。特別是核電站網(wǎng)絡(luò)可以根據(jù)一定的加密規(guī)則建立一種通信方式，對(duì)信息的傳輸進(jìn)行加密。它還可以連接到防火墻和安全軟件，以提供全面的網(wǎng)絡(luò)保護(hù)。

3.3 安全識(shí)別技術(shù)

安全認(rèn)證的主要目的是識(shí)別網(wǎng)絡(luò)用戶(hù)，確保使用網(wǎng)絡(luò)的人有足夠的網(wǎng)絡(luò)訪問(wèn)權(quán)限，防止未經(jīng)授權(quán)的人員使用網(wǎng)絡(luò)。具體而言，這就需要核電站的無(wú)線網(wǎng)絡(luò)在權(quán)限上進(jìn)行等級(jí)層次的劃分，針對(duì)不同的工作人員授予不同的網(wǎng)絡(luò)使用權(quán)限。同時(shí)再設(shè)計(jì)對(duì)應(yīng)的身份識(shí)別方法，確保登錄者就是系統(tǒng)的授權(quán)者，避免非法登入問(wèn)題的發(fā)生，從而保障核電站內(nèi)無(wú)線網(wǎng)絡(luò)的使用安全。

4 核電站無(wú)線網(wǎng)絡(luò)的網(wǎng)絡(luò)安全防護(hù)的策略和技術(shù)手段

4.1 核電站無(wú)線網(wǎng)絡(luò)的網(wǎng)絡(luò)安全防護(hù)的策略

考慮到核電廠的特殊性，如果因?yàn)闊o(wú)線網(wǎng)絡(luò)的安全問(wèn)題，導(dǎo)致核電站的網(wǎng)絡(luò)不可用，使得電站的重要信息系統(tǒng)的癱瘓或者重要基礎(chǔ)設(shè)施受到黑客攻擊，甚至出現(xiàn)類(lèi)似伊朗核電站的震網(wǎng)蠕蟲(chóng)病毒事件，那么后果將是不堪設(shè)想。因此，網(wǎng)絡(luò)安全還必須解決網(wǎng)絡(luò)攻擊和核安全問(wèn)題等風(fēng)險(xiǎn)。數(shù)據(jù)顯示，由于核電站的性質(zhì)，在一些重要的節(jié)日或者會(huì)議期間，很容易受到各種黑客的攻擊。鑒于無(wú)線網(wǎng)絡(luò)安全的威脅，工作人員需要出于以下目的考慮技術(shù)安全措施：用戶(hù)訪問(wèn)需要身份需要驗(yàn)證管理；用戶(hù)連接后，后臺(tái)系統(tǒng)可根據(jù)場(chǎng)景調(diào)整用戶(hù)的訪問(wèn)策略；用戶(hù)訪問(wèn)必須遵守安全訪問(wèn)規(guī)則；可以記錄用戶(hù)在網(wǎng)絡(luò)中的行為；防止核電廠機(jī)密數(shù)據(jù)丟失；非?？煽康臒o(wú)線電信號(hào)，防止傳輸過(guò)程中數(shù)據(jù)被盜?；谑澜缭幽苓\(yùn)營(yíng)商協(xié)會(huì)無(wú)線網(wǎng)絡(luò)和信息安全最佳實(shí)踐，根據(jù)ISO20000/ISO27001和國(guó)家安全標(biāo)準(zhǔn)研究信息安全技術(shù)要求，并融入核文化、能源和核工業(yè)?？梢圆捎么笮秃穗姀S提出的“核電廠信息安全模型”，可作為核電廠無(wú)線網(wǎng)絡(luò)安全解決方案的基礎(chǔ)方案。

4.2 無(wú)線網(wǎng)絡(luò)信息安全防護(hù)對(duì)策

4.2.1 建立防止黑客入侵網(wǎng)絡(luò)系統(tǒng)。在保護(hù)核電站無(wú)線網(wǎng)絡(luò)信息方面，有必要提供一種防止黑客進(jìn)入網(wǎng)絡(luò)的系統(tǒng)，以加強(qiáng)對(duì)網(wǎng)絡(luò)信息的保護(hù)。為了防止黑客侵入網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)，可以通過(guò)主動(dòng)或被動(dòng)保護(hù)來(lái)提高無(wú)線網(wǎng)絡(luò)系統(tǒng)的安全性。關(guān)于主動(dòng)保護(hù)，有必要開(kāi)發(fā)分析帶寬共享期間通信活動(dòng)的軟件[2]。分析軟件應(yīng)具有檢測(cè)密碼破解、主動(dòng)監(jiān)控?zé)o線網(wǎng)絡(luò)中的信息路徑等功能。如果在系統(tǒng)發(fā)現(xiàn)過(guò)程中在無(wú)線網(wǎng)絡(luò)中檢測(cè)到異?；顒?dòng)，則需要快速比較對(duì)應(yīng)的屬性，以生成預(yù)警模塊和預(yù)警信號(hào)。此外，用于分析帶寬共享通信活動(dòng)的軟件應(yīng)該能夠向網(wǎng)絡(luò)節(jié)點(diǎn)指示無(wú)線網(wǎng)絡(luò)系統(tǒng)的異常活動(dòng)，識(shí)別異常活動(dòng)的潛在問(wèn)題，并提供預(yù)防措施，以確保無(wú)線網(wǎng)絡(luò)的信息安全。被動(dòng)防護(hù)應(yīng)更新原有防火墻和病毒代碼，刪除易受攻擊的軟件，防止黑客或病毒進(jìn)入無(wú)線網(wǎng)絡(luò)。同時(shí)，無(wú)線網(wǎng)絡(luò)系統(tǒng)中的所有設(shè)備都必須經(jīng)過(guò)身份驗(yàn)證和簽名，相關(guān)機(jī)密數(shù)據(jù)必須經(jīng)過(guò)加密，擴(kuò)展無(wú)線安全監(jiān)控功能并為安全通信設(shè)定標(biāo)準(zhǔn)。為了防止黑客侵入網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)，需要開(kāi)發(fā)具有主動(dòng)防護(hù)功能的軟件，能夠及時(shí)控制計(jì)算機(jī)病毒或網(wǎng)絡(luò)黑客攻擊等信息。先進(jìn)安全軟件的開(kāi)發(fā)，使得網(wǎng)站加密和電子簽名驗(yàn)證的結(jié)合變得容易，從而將無(wú)線網(wǎng)絡(luò)信息受到攻擊的風(fēng)險(xiǎn)降到最低。

4.2.2 構(gòu)建無(wú)線網(wǎng)絡(luò)安全管理環(huán)境。在管理核電站的無(wú)線網(wǎng)絡(luò)安全時(shí)，不僅要考慮信息安全技術(shù)，還要考慮到無(wú)線網(wǎng)絡(luò)環(huán)境的管理。如果核電站設(shè)備環(huán)境不夠安全，無(wú)法正確地管理無(wú)線網(wǎng)絡(luò)，則很有可能會(huì)導(dǎo)致出現(xiàn)各種安全風(fēng)險(xiǎn)[3]。雖然很多核電站已經(jīng)建立了有效的管理和保護(hù)無(wú)線網(wǎng)絡(luò)安全的機(jī)制，但從其業(yè)務(wù)開(kāi)展的角度出發(fā)來(lái)看，管理人員在實(shí)際進(jìn)行網(wǎng)絡(luò)安全管理的過(guò)程中往往都會(huì)忽略相關(guān)規(guī)則，這就大大增加了無(wú)線網(wǎng)絡(luò)的安全和風(fēng)險(xiǎn)。因此，在保護(hù)和管理無(wú)線網(wǎng)絡(luò)的安全時(shí)，需要大幅度地提高管理員的網(wǎng)絡(luò)安全意識(shí)，定期地更新和清除系統(tǒng)中的軟件等，同時(shí)防止拒絕訪問(wèn)可能是危險(xiǎn)的網(wǎng)站。為了有效地提高核電企業(yè)內(nèi)部管理層人員的安全意識(shí)，有必要要求企業(yè)加強(qiáng)對(duì)信息安全的培訓(xùn)，做好公司內(nèi)部的信息安全工作。

4.3 應(yīng)用安全技術(shù)

為了解決核電站無(wú)線網(wǎng)絡(luò)信息安全中的身份盜用問(wèn)題，需要采用身份認(rèn)證和訪問(wèn)控制的方法來(lái)保護(hù)安全。在用戶(hù)認(rèn)證方面，用于控制網(wǎng)絡(luò)密碼，制定精確的密碼指令，增加網(wǎng)絡(luò)信息的安全性，明確只有經(jīng)過(guò)授權(quán)的人才能使用系統(tǒng)。為了控制無(wú)線用戶(hù)訪問(wèn)，必須使用AAA計(jì)費(fèi)和授權(quán)服務(wù)器為特權(quán)用戶(hù)提供無(wú)線服務(wù)。如果使用協(xié)議中指定的端口可以識(shí)別用戶(hù)，則該工作人員可以自由進(jìn)入該端口。此外，用戶(hù)可以使用無(wú)線認(rèn)證來(lái)控制訪問(wèn)并防止使用相關(guān)標(biāo)識(shí)符。在控制對(duì)無(wú)線網(wǎng)絡(luò)的訪問(wèn)時(shí)，可以使用基于策略的路由來(lái)分配資源，以提高無(wú)線網(wǎng)絡(luò)系統(tǒng)的安全性。

4.4 加強(qiáng)無(wú)線網(wǎng)絡(luò)終端設(shè)備管理

在保護(hù)核電站無(wú)線網(wǎng)絡(luò)運(yùn)行過(guò)程中的數(shù)據(jù)和信息時(shí)，需要進(jìn)一步加強(qiáng)對(duì)互聯(lián)網(wǎng)終端的監(jiān)測(cè)。用于無(wú)線網(wǎng)絡(luò)信息系統(tǒng)的裝置可以變成被攻擊人竊聽(tīng)或報(bào)警的工具。因此，在安裝無(wú)線接入點(diǎn)時(shí)，請(qǐng)仔細(xì)地選擇相關(guān)系統(tǒng)硬件。針對(duì)無(wú)線網(wǎng)絡(luò)數(shù)據(jù)庫(kù)和信息潛在拒絕服務(wù)的攻擊，需要進(jìn)一步加強(qiáng)監(jiān)控設(shè)備在互聯(lián)網(wǎng)上的應(yīng)用和控制，并通過(guò)專(zhuān)業(yè)技術(shù)提高系統(tǒng)監(jiān)測(cè)技能，避免了工作人員在使用系統(tǒng)時(shí)出現(xiàn)響應(yīng)緩慢的情況。在使用無(wú)線網(wǎng)絡(luò)上來(lái)管理信息和設(shè)施時(shí)，就要盡量降低無(wú)線性能，并制訂適當(dāng)?shù)陌踩珣?yīng)急預(yù)案和安全處置措施。潛在的無(wú)線性能問(wèn)題需要更好地調(diào)查和解決硬件漏洞，并通過(guò)管理系統(tǒng)硬件更新來(lái)防止惡意攻擊來(lái)提高網(wǎng)絡(luò)信息的安全性。

5 結(jié)束語(yǔ)

綜上所述，通過(guò)增加了核電廠對(duì)無(wú)線網(wǎng)絡(luò)的需求。成功保障核電站的網(wǎng)絡(luò)系統(tǒng)不會(huì)被外界人員侵入，即便發(fā)生侵入現(xiàn)象也不能盜竊信息的目標(biāo)。除了對(duì)技術(shù)手段的不斷更新與完善，核電企業(yè)還必須整合管理實(shí)踐，以提高所有員工的信息安全意識(shí)，實(shí)現(xiàn)“公司可追溯”的目標(biāo)。只有人防和技術(shù)保護(hù)得到同等重視，才能使核電站無(wú)線網(wǎng)絡(luò)在使用中得到保障。