電力系統(tǒng)中無(wú)線網(wǎng)絡(luò)安全威脅及應(yīng)對(duì)措施

鐘偉杰 李偉寧 王漢高 郭瑋 董衛(wèi)魏

一、引言

無(wú)線通信技術(shù)是有線通信技術(shù)進(jìn)化發(fā)展而來(lái)的一種更為便捷的數(shù)據(jù)傳輸技術(shù)，它能夠通過(guò)利用電磁波在空氣中傳播為載體進(jìn)行數(shù)據(jù)信息的傳遞，具有非常重要的價(jià)值。隨著社會(huì)的進(jìn)步和發(fā)展，以及智能手機(jī)、無(wú)線設(shè)備的普及，在電力信息系統(tǒng)中，許多工作人員逐漸讓平板電腦、手機(jī)、自帶筆記本電腦成為企業(yè)辦公網(wǎng)絡(luò)中的接入設(shè)備，實(shí)現(xiàn)諸如：辦公OA、即時(shí)通訊、文件發(fā)送等。這些BYOD設(shè)備的介入，使電力企業(yè)信息安全問(wèn)題日益凸顯， 不法分子為了某種利益采取非法手段對(duì)無(wú)線網(wǎng)絡(luò)進(jìn)行攻擊，直接對(duì)無(wú)線網(wǎng)絡(luò)造成侵入獲取相關(guān)信息，極端情況下可能導(dǎo)致電力系統(tǒng)的癱瘓。如何為電力系統(tǒng)無(wú)線網(wǎng)絡(luò)提供安全防護(hù)，并有效的解除信息安全威脅，成為電力企業(yè)無(wú)線網(wǎng)絡(luò)建設(shè)和運(yùn)營(yíng)過(guò)程中首先要考慮的問(wèn)題。

二、無(wú)線網(wǎng)絡(luò)的典型安全威脅

電力系統(tǒng)中，評(píng)價(jià)無(wú)線網(wǎng)絡(luò)是否具備足夠的安全性，主要參考網(wǎng)絡(luò)的保密性、完整性和可用性三大屬性。無(wú)線網(wǎng)絡(luò)的典型安全威脅主要體現(xiàn)在如下7種類型中。

（一）無(wú)線網(wǎng)傳輸過(guò)程中的信息泄漏

無(wú)線網(wǎng)絡(luò)是一個(gè)封閉的局域網(wǎng)，在這個(gè)網(wǎng)絡(luò)下，用戶可以根據(jù)自身的需要尋找到有用的資源，也能通過(guò)局域網(wǎng)進(jìn)行溝通交流。但是在傳輸層上，如果有侵入者采用高靈敏的天線進(jìn)行入侵，那么很容易就會(huì)實(shí)現(xiàn)網(wǎng)絡(luò)信息被盜取。這種方式不需要任何物理方式，就需要向目標(biāo)發(fā)送特定參數(shù)的配置信息，攻擊者就可以輕而易舉的得手，獲取大量信息。

（二）非法接入無(wú)線局域網(wǎng)絡(luò)

無(wú)線局域網(wǎng)絡(luò)的連接通常是需要身份驗(yàn)證的，用戶在登入之前需要得到管理員的認(rèn)可，才能實(shí)現(xiàn)局域網(wǎng)絡(luò)的共享。不法分子通過(guò)某些途徑獲取身份驗(yàn)證信息，然后接入無(wú)線網(wǎng)絡(luò)冒充工作人員實(shí)現(xiàn)資源的竊取和違規(guī)操作。這種入侵模式不需要經(jīng)過(guò)實(shí)名認(rèn)證就可以實(shí)現(xiàn)，對(duì)無(wú)線網(wǎng)絡(luò)安全威脅更為嚴(yán)重。

（三）未經(jīng)授權(quán)使用無(wú)線局域網(wǎng)絡(luò)相關(guān)服務(wù)

工作人員有時(shí)會(huì)因?yàn)楦拿艽a的麻煩而放棄更改初始密碼，直接使用原始密碼，這樣如果被不法分子利用，將會(huì)造成嚴(yán)重的后果。無(wú)線網(wǎng)絡(luò)的服務(wù)都需要相關(guān)服務(wù)認(rèn)證，攻擊者通過(guò)繞過(guò)服務(wù)認(rèn)證進(jìn)行使用網(wǎng)絡(luò)服務(wù)，偽裝成工作人員對(duì)網(wǎng)絡(luò)資源進(jìn)行竊取和使用，嚴(yán)重威脅了電力系統(tǒng)中資源的安全性，對(duì)企業(yè)內(nèi)部的穩(wěn)定運(yùn)行造成了嚴(yán)重的威脅。

（四）服務(wù)和性能的限制

寬帶大小是固定的，所有工作人員所連接的無(wú)線網(wǎng)絡(luò)都是公用這個(gè)寬帶的，如果網(wǎng)絡(luò)流量出現(xiàn)過(guò)載，超過(guò)限額那么很容易出現(xiàn)網(wǎng)絡(luò)堵塞，工作人員無(wú)法實(shí)現(xiàn)正常的溝通交流和操作。攻擊者通常會(huì)采取發(fā)送大量的流量數(shù)據(jù)，促使帶寬資源不足，引發(fā)流量過(guò)載。還有通過(guò)發(fā)送廣播流量的方式，AP同樣會(huì)被阻塞，攻擊者占據(jù)了絕大部分的網(wǎng)絡(luò)寬帶，導(dǎo)致電力系統(tǒng)的網(wǎng)絡(luò)環(huán)境癱瘓。

（五）地址欺騙和會(huì)話攔截

無(wú)線網(wǎng)絡(luò)中很容易出現(xiàn)地址欺騙和繪畫(huà)攔截，ARP混亂就是使用欺騙幀的結(jié)果。攻擊者通過(guò)簡(jiǎn)單地識(shí)別就會(huì)找到數(shù)據(jù)幀的地址，然后進(jìn)行地址欺騙和會(huì)話攔截。

（六）流量分析與流量偵聽(tīng)

攻擊者對(duì)流量采取一定的措施能夠分析出其中漏洞，然后獲取漏洞侵入方式實(shí)現(xiàn)通信的終止和數(shù)據(jù)的攔截。這種流量監(jiān)聽(tīng)和分析時(shí)無(wú)線網(wǎng)安全問(wèn)題中較為常見(jiàn)的威脅。

（七）高級(jí)可持續(xù)入侵

高級(jí)可持續(xù)入侵（APT）通常需要繞過(guò)網(wǎng)絡(luò)安全防御設(shè)備，這樣的入侵者通常具有高技術(shù)水平，具有相當(dāng)成熟的網(wǎng)絡(luò)技術(shù)，一旦系統(tǒng)防護(hù)被其攻破，那么攻擊者就可以是肆無(wú)忌憚的出入電力系統(tǒng)而不被發(fā)現(xiàn)，這樣對(duì)系統(tǒng)的威脅更為嚴(yán)重。

二、電力系統(tǒng)中無(wú)線網(wǎng)絡(luò)的應(yīng)對(duì)措施

（一）通過(guò)法律途徑限制攻擊者入侵

在電力系統(tǒng)中無(wú)線網(wǎng)絡(luò)的使用要實(shí)現(xiàn)規(guī)范化，通過(guò)入侵等方式攻擊無(wú)線網(wǎng)絡(luò)，造成網(wǎng)絡(luò)癱瘓、數(shù)據(jù)丟失都是違法犯罪行為，對(duì)于這種行為應(yīng)該指定合理的監(jiān)控手段，對(duì)其入侵行為的證據(jù)要抓住，保證有法可依，有據(jù)可循。同時(shí)加快完善法律法規(guī)制度，對(duì)攻擊者的侵入行為進(jìn)行明確的定位，保證網(wǎng)絡(luò)安全。

（二）對(duì)無(wú)線網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)采用有效隔離

在遵循《電力監(jiān)控系統(tǒng)安全防護(hù)總體方案》（國(guó)能安全【2015】36號(hào)）的基礎(chǔ)上，對(duì)電力系統(tǒng)無(wú)線網(wǎng)絡(luò)進(jìn)行有效的分區(qū)分域和網(wǎng)絡(luò)隔離，無(wú)線網(wǎng)絡(luò)區(qū)域與互聯(lián)網(wǎng)區(qū)域、DMZ區(qū)域、IDC區(qū)域之間要求具備邊界安全安全隔離措施。安全域隔離措施包括網(wǎng)絡(luò)邏輯隔離、網(wǎng)絡(luò)物理隔離。無(wú)線網(wǎng)絡(luò)禁止直接接入企業(yè)的辦公網(wǎng)絡(luò)，采用網(wǎng)絡(luò)安全隔離（邏輯）措施訪問(wèn)DMZ區(qū)域，單位內(nèi)部應(yīng)用系統(tǒng)的訪問(wèn)必須經(jīng)過(guò)內(nèi)外網(wǎng)交換平臺(tái)、移動(dòng)接入平臺(tái)接入。

（三）網(wǎng)絡(luò)安全設(shè)備、殺毒軟件部署和更新

無(wú)線網(wǎng)絡(luò)入侵對(duì)個(gè)人電腦的影響非常大，因此需要在個(gè)人電腦中安裝防火墻，防火墻能夠阻擋不正常的網(wǎng)絡(luò)行為，從而避免網(wǎng)絡(luò)攻擊。殺毒軟件能夠?qū)㈦娔X中存在的病毒查出并刪除，但是隨著攻擊者的攻擊性越來(lái)越強(qiáng)，且其網(wǎng)絡(luò)技術(shù)也非常厲害，病毒在不斷的更新，因此殺毒軟件需要經(jīng)常更新，以便于能夠識(shí)別出最新的病毒，保證電腦的安全。

（四）采用可靠的無(wú)線射頻阻斷技術(shù)

在無(wú)線網(wǎng)絡(luò)中，結(jié)合射頻信號(hào)及802.11特點(diǎn)，提供無(wú)線射頻阻斷安全策略，根據(jù)AP或Station的安全屬性定制無(wú)線網(wǎng)絡(luò)準(zhǔn)入規(guī)則，通過(guò)射頻信號(hào)阻斷非法用戶接入，建立射頻安全區(qū)，提供具有物理安全、可信的無(wú)線網(wǎng)絡(luò)。同時(shí)，配合安全無(wú)線控制器及安全無(wú)線接入點(diǎn)的接入控制，凈化可信網(wǎng)絡(luò)的非法接入、攻擊行為等網(wǎng)絡(luò)環(huán)境，為電力系統(tǒng)無(wú)線網(wǎng)絡(luò)用戶提供穩(wěn)定、高效的網(wǎng)絡(luò)應(yīng)用。

（五）電力系統(tǒng)無(wú)線網(wǎng)絡(luò)用戶提高自我保護(hù)意識(shí)

工作人員需要對(duì)自己的密碼和身份信息保密，不能將其外接，一旦不法分子使用工作人員的帳號(hào)登錄網(wǎng)絡(luò)，該工作人員將會(huì)承擔(dān)連帶責(zé)任。同時(shí)還要定期的更改登錄口令，保證密碼管理不泄露。對(duì)于移動(dòng)存儲(chǔ)介質(zhì)一定要定期殺毒，并且不能外借。

（六）不斷提升安全防護(hù)能力

局域網(wǎng)網(wǎng)絡(luò)安全技術(shù)的提升是阻止攻擊者入侵的最佳途徑，先進(jìn)的防護(hù)手段能夠遏制絕大部分攻擊者，如果攻擊者在利益的驅(qū)使下，對(duì)擁有先進(jìn)防護(hù)技術(shù)的無(wú)線網(wǎng)路進(jìn)行攻擊，他就需要學(xué)習(xí)先進(jìn)的網(wǎng)絡(luò)技術(shù)，那樣對(duì)于攻擊者來(lái)說(shuō)是得不償失的。防護(hù)技術(shù)同時(shí)也在不斷升級(jí)，要始終走在攻擊者的前面，保證攻擊者不具備侵入的能力。

三、結(jié)語(yǔ)

在電力系統(tǒng)中，無(wú)線局域網(wǎng)的應(yīng)用非常重要，尤其是在工作效率要求非常高的今天，而無(wú)線網(wǎng)絡(luò)的安全問(wèn)題日益突出，對(duì)于電力系統(tǒng)來(lái)說(shuō)，保證無(wú)線網(wǎng)絡(luò)的安全穩(wěn)定就是保證電力系統(tǒng)穩(wěn)定運(yùn)行的基礎(chǔ)因素，因此本文主要分析了無(wú)線局域網(wǎng)的安全威脅和解決途徑。對(duì)于無(wú)線網(wǎng)絡(luò)的威脅分為無(wú)線網(wǎng)傳輸過(guò)程中的安全、非法接入無(wú)線局域網(wǎng)絡(luò)、未經(jīng)授權(quán)使用無(wú)線局域網(wǎng)絡(luò)相關(guān)服務(wù)、服務(wù)和性能的限制、地址欺騙和會(huì)話攔截、流量分析與流量偵聽(tīng)以及高級(jí)入侵幾類。對(duì)于這些威脅的解決措施包括通過(guò)法律途徑限制攻擊者入侵、電力系統(tǒng)無(wú)線網(wǎng)絡(luò)用戶提高自我保護(hù)意識(shí)、注意系統(tǒng)維護(hù)、防火墻軟件、殺毒軟件安裝和更新、預(yù)防和控制網(wǎng)絡(luò)病毒的入侵和傳播以及不斷提升安全技術(shù)。無(wú)線網(wǎng)絡(luò)發(fā)展能夠幫助我國(guó)經(jīng)濟(jì)取得巨大的進(jìn)步，各行各業(yè)的大趨勢(shì)就是應(yīng)用無(wú)線網(wǎng)絡(luò)實(shí)現(xiàn)辦公和溝通的便捷化。由于筆者學(xué)識(shí)有限，本文中若有不足之處，請(qǐng)讀者指出。