核电站无线网络的网络安全技术防护与对策

刘凯 赵亚

武汉第二船舶设计研究所 湖北 武汉 430000

引言

随着我国重点核电厂的不断建成投产，对于安全制造、管理创新、减本增效等更高的要求必将会推动信息技术发展。无线网络建设是实现核电厂智能化、信息化建设的重要基础。无线网络与云计算、大数据、移动互联网、人工智能等科学技术的深度融合，将会大大有利于我国在核电领域引入更多智能技术。

1 智慧核电对于无线网络的需求

互联网络已经深入到各行各业，人们对于网络安全的关注正在日益提高。遵循国家NB/T20263-2014号文件中对核电厂的设计规范及其他关于核电厂应急预案与规划及准备指南，以及现场及其他建筑物的应急处理设施的主要功能及特点需要符合其要求规格[1]。更好的应用无线电网络技术，可以使核电厂正常运转下或者出现紧急情况的时候满足对移动通信的需要，还包括以下几个方面：无线互联网可以支持建立一个基于IOS或者安卓等移动操作系统的智能终端，并接入移动办公、电子工单等；无线互联网可以为哑终端提供支撑，例如相机、无线传感器等高科技设备。

2 当前无线网络面临的网络安全威胁

2.1 未经授权访问的用户

从无线网络的信息安全管理角度看，匿名攻击情况是有可能发生的。虽然无线窃听设备的比例相对较高，但是由于无线电传输系统的特点，因此攻击者往往只需要拦截一个无线电信号，就可以进行攻击与窃听。无线接入装置与无线窃听装置并没有太大的区别，许多的网络接入装置只要经过稍加修改就可以转换成一个被窃听的装置，帮助受害人获取大量的数据和资料，而这类的窃听行为也是极易被人们发现的。如果是通过协议进行传输，攻击者就可以利用窃听装置的方式获取机密资料并访问到网络。虽然大部分的信息都是可以用无线网络进行加密的，但是攻击者却能够拦截它。如果被攻击者已经获得了无线电网络的访问权，他就可以在没有物理连接的情况下访问核电站无线电网络。如果满足条件，则可以无线接收数据。因此，工作人员必须从多方面防止非法终端的接入，以防止出现重要数据泄漏的现象发生。

2.2 无线加密协议本身的不安全性

无线网络是开放的，在操作和管理网络信息方面存在隐患。在网络通信过程中，攻击者可以使用掩码的二层链路地址连接到无线网络并拦截通信信息以获得静态地址池。当信息通过无线网络传输时，可以检测到无线端口信号，通过分析弱密钥加密数据包获得恢复密钥，破解网络信息的加密密码，对网络信息构成威胁。目前，核电站的无线网络使用Wi-Fi，Wi-Fi是一种标准的无线网络技术，其中的WEP 加密方案太过简单，WPA 仍然使用较弱的 RC4 加密算法。基于WPA 开发出来的WPA2是相对成熟的版本，国外大学的研究员在2017年发现了其应用过程中的安全系统中的一个漏洞。这就表明保护大多数 Wi-Fi 连接的WPA2已经不再安全。

2.3 病毒及黑客的攻击

除了以上两点，无线网络的安全管理系统还面临着各种病毒和黑客攻击，这也是对核电站无线网络的严重威胁。在许多企业中，自带设备进行办公受益于无线网络，进一步使互联网络成为工作和生活的便利场所。如果自带的设备被滥用，黑客就可以使用自带设备攻击核电站的无线电网络，以在内部和外部网络之间建立物理连接。这使得病毒能够“渗透”和“滞留”很长时间，使网络攻击不断增加，最终导致使无线网络乃至整个网络瘫痪，对个人和企业造成严重伤害。

3 网络安全技术

3.1 防火墙技术

在所有核电站以及工程中所使用的各种网络安全技术有许多种（如图1所示），其中，防火墙技术被认为是一项很有用的技术。通过在应用的互联网上安装一个防火墙，就能够有效地拦截木马并且能够防止任何恶意攻击。因此，核电站的网络管理人员要高度重视核电站内的网络安全防火墙建设，为核电站的正常运行打造有效的网络安全防火墙，加强网络对外部威胁的防范和拦截。[3]同时，可以安装防火墙的预警控制机制，并且也可以安装在防火墙上的警报控制系统。如果外部的威胁已经进入到了网络，可以通过触发告警信息通知给网络管理人员，以便他们及时做出反应，及时地消除外部的威胁，防止对于网络的进一步破坏。

图1 网络安全防护系统技术

3.2 信息加密技术

很多信息需要在无线网络中进行传播和交流，因此信息安全也是无线网中非常重要的。如果信息被篡改或删除，可能会产生严重的负面后果。由于无线网络本身的安全性较差，且存在软硬件漏洞，出于安全考虑，必须谨慎使用信息加密技术对核电站内部无线网传输的信息进行加密，以防止其被窃取或丢失。特别是核电站网络可以根据一定的加密规则建立一种通信方式，对信息的传输进行加密。它还可以连接到防火墙和安全软件，以提供全面的网络保护。

3.3 安全识别技术

安全认证的主要目的是识别网络用户，确保使用网络的人有足够的网络访问权限，防止未经授权的人员使用网络。具体而言，这就需要核电站的无线网络在权限上进行等级层次的划分，针对不同的工作人员授予不同的网络使用权限。同时再设计对应的身份识别方法，确保登录者就是系统的授权者，避免非法登入问题的发生，从而保障核电站内无线网络的使用安全。

4 核电站无线网络的网络安全防护的策略和技术手段

4.1 核电站无线网络的网络安全防护的策略

考虑到核电厂的特殊性，如果因为无线网络的安全问题，导致核电站的网络不可用，使得电站的重要信息系统的瘫痪或者重要基础设施受到黑客攻击，甚至出现类似伊朗核电站的震网蠕虫病毒事件，那么后果将是不堪设想。因此，网络安全还必须解决网络攻击和核安全问题等风险。数据显示，由于核电站的性质，在一些重要的节日或者会议期间，很容易受到各种黑客的攻击。鉴于无线网络安全的威胁，工作人员需要出于以下目的考虑技术安全措施：用户访问需要身份需要验证管理；用户连接后，后台系统可根据场景调整用户的访问策略；用户访问必须遵守安全访问规则；可以记录用户在网络中的行为；防止核电厂机密数据丢失；非常可靠的无线电信号，防止传输过程中数据被盗。基于世界原子能运营商协会无线网络和信息安全最佳实践，根据ISO20000/ISO27001和国家安全标准研究信息安全技术要求，并融入核文化、能源和核工业。可以采用大型核电厂提出的“核电厂信息安全模型”，可作为核电厂无线网络安全解决方案的基础方案。

4.2 无线网络信息安全防护对策

4.2.1 建立防止黑客入侵网络系统。在保护核电站无线网络信息方面，有必要提供一种防止黑客进入网络的系统，以加强对网络信息的保护。为了防止黑客侵入网络系统的结构，可以通过主动或被动保护来提高无线网络系统的安全性。关于主动保护，有必要开发分析带宽共享期间通信活动的软件[2]。分析软件应具有检测密码破解、主动监控无线网络中的信息路径等功能。如果在系统发现过程中在无线网络中检测到异常活动，则需要快速比较对应的属性，以生成预警模块和预警信号。此外，用于分析带宽共享通信活动的软件应该能够向网络节点指示无线网络系统的异常活动，识别异常活动的潜在问题，并提供预防措施，以确保无线网络的信息安全。被动防护应更新原有防火墙和病毒代码，删除易受攻击的软件，防止黑客或病毒进入无线网络。同时，无线网络系统中的所有设备都必须经过身份验证和签名，相关机密数据必须经过加密，扩展无线安全监控功能并为安全通信设定标准。为了防止黑客侵入网络系统的结构，需要开发具有主动防护功能的软件，能够及时控制计算机病毒或网络黑客攻击等信息。先进安全软件的开发，使得网站加密和电子签名验证的结合变得容易，从而将无线网络信息受到攻击的风险降到最低。

4.2.2 构建无线网络安全管理环境。在管理核电站的无线网络安全时，不仅要考虑信息安全技术，还要考虑到无线网络环境的管理。如果核电站设备环境不够安全，无法正确地管理无线网络，则很有可能会导致出现各种安全风险[3]。虽然很多核电站已经建立了有效的管理和保护无线网络安全的机制，但从其业务开展的角度出发来看，管理人员在实际进行网络安全管理的过程中往往都会忽略相关规则，这就大大增加了无线网络的安全和风险。因此，在保护和管理无线网络的安全时，需要大幅度地提高管理员的网络安全意识，定期地更新和清除系统中的软件等，同时防止拒绝访问可能是危险的网站。为了有效地提高核电企业内部管理层人员的安全意识，有必要要求企业加强对信息安全的培训，做好公司内部的信息安全工作。

4.3 应用安全技术

为了解决核电站无线网络信息安全中的身份盗用问题，需要采用身份认证和访问控制的方法来保护安全。在用户认证方面，用于控制网络密码，制定精确的密码指令，增加网络信息的安全性，明确只有经过授权的人才能使用系统。为了控制无线用户访问，必须使用AAA计费和授权服务器为特权用户提供无线服务。如果使用协议中指定的端口可以识别用户，则该工作人员可以自由进入该端口。此外，用户可以使用无线认证来控制访问并防止使用相关标识符。在控制对无线网络的访问时，可以使用基于策略的路由来分配资源，以提高无线网络系统的安全性。

4.4 加强无线网络终端设备管理

在保护核电站无线网络运行过程中的数据和信息时，需要进一步加强对互联网终端的监测。用于无线网络信息系统的装置可以变成被攻击人窃听或报警的工具。因此，在安装无线接入点时，请仔细地选择相关系统硬件。针对无线网络数据库和信息潜在拒绝服务的攻击，需要进一步加强监控设备在互联网上的应用和控制，并通过专业技术提高系统监测技能，避免了工作人员在使用系统时出现响应缓慢的情况。在使用无线网络上来管理信息和设施时，就要尽量降低无线性能，并制订适当的安全应急预案和安全处置措施。潜在的无线性能问题需要更好地调查和解决硬件漏洞，并通过管理系统硬件更新来防止恶意攻击来提高网络信息的安全性。

5 结束语

综上所述，通过增加了核电厂对无线网络的需求。成功保障核电站的网络系统不会被外界人员侵入，即便发生侵入现象也不能盗窃信息的目标。除了对技术手段的不断更新与完善，核电企业还必须整合管理实践，以提高所有员工的信息安全意识，实现“公司可追溯”的目标。只有人防和技术保护得到同等重视，才能使核电站无线网络在使用中得到保障。