AP1000核電站的無線網(wǎng)絡(luò)安全性分析

鄧 麗

（三門核電有限公司，浙江 臺(tái)州 317112）

隨著無線通信技術(shù)的快速發(fā)展，無線電話系統(tǒng)在核電站中得到了越來越廣泛的應(yīng)用。基于WIFI的無線電話系統(tǒng)不僅作為AP1000的首要通信方式，能為工單執(zhí)行、運(yùn)行巡檢等提供清晰的語音通話和無線定位功能，同時(shí)還可以為遠(yuǎn)程輻射監(jiān)測(cè)系統(tǒng)等提供數(shù)據(jù)傳輸，是安全生產(chǎn)的重要通信工具。在國(guó)內(nèi)，無線電話系統(tǒng)作為首個(gè)應(yīng)用的系統(tǒng)，其安全性能和抗電磁干擾性能是眾人所關(guān)注的方面。

目前，無線通信技術(shù)在核電站的廣泛應(yīng)用仍受制于若干關(guān)鍵問題。下面從幾個(gè)方面探討AP1000核電站無線網(wǎng)絡(luò)安全。

1 專用網(wǎng)絡(luò)

物理隔離目前是抵御網(wǎng)絡(luò)攻擊的最安全手段。物理隔離技術(shù)通過中斷網(wǎng)絡(luò)間的連接，不支持TCP/IP協(xié)議，不依賴于操作系統(tǒng)，解決了目前網(wǎng)絡(luò)安全由于操作系統(tǒng)漏洞和TCP/IP協(xié)議漏洞所帶來的安全問題，有效地防止了惡意代碼病毒的入侵。

無線電話系統(tǒng)采用獨(dú)立的專用網(wǎng)絡(luò)結(jié)構(gòu)，在廠區(qū)內(nèi)與其它網(wǎng)絡(luò)做到有效物理隔離，在廠區(qū)外無信號(hào)覆蓋。與EF01自動(dòng)電話系統(tǒng)、MLS行政辦公網(wǎng)系統(tǒng)、RMT遠(yuǎn)程輻射監(jiān)測(cè)系統(tǒng)的連接均通過防火墻等機(jī)制有效隔離。

2 冗余的網(wǎng)絡(luò)結(jié)構(gòu)

無線網(wǎng)絡(luò)組織結(jié)構(gòu)對(duì)網(wǎng)絡(luò)的可靠性和穩(wěn)定性至關(guān)重要。AP1000的無線網(wǎng)絡(luò)是雙樹形結(jié)構(gòu)，核心交換機(jī)采用主備且熱備的方式。同時(shí)專門部署了網(wǎng)絡(luò)安全裝置包括防火墻、網(wǎng)絡(luò)準(zhǔn)入控制器和集中告警監(jiān)控服務(wù)器。通過統(tǒng)一的集成化平臺(tái)，可以進(jìn)行網(wǎng)絡(luò)準(zhǔn)入控制管理、補(bǔ)丁分發(fā)、桌面安全策略設(shè)置、審計(jì)功能、對(duì)交換機(jī)和服務(wù)器狀態(tài)的綜合運(yùn)行監(jiān)控等。

3 電磁兼容性

無線電話系統(tǒng)在核電站是否得到應(yīng)用主要在于其電磁干擾問題。無線基站和手持機(jī)發(fā)射的電磁波有可能會(huì)對(duì)核電站敏感的儀控設(shè)備造成電磁干擾，如影響儀表的正常讀數(shù)。因此，為了避免此風(fēng)險(xiǎn)，需要充分做好電磁兼容性的實(shí)驗(yàn)室測(cè)試和設(shè)備工廠測(cè)試。在實(shí)際使用中，將無線手持機(jī)的使用區(qū)域劃分為限制區(qū)和非限制區(qū)。在限制區(qū)中無線基站和手持機(jī)的使用，不得對(duì)儀控設(shè)備產(chǎn)生干擾。在AP1000的無線電話系統(tǒng)設(shè)計(jì)規(guī)范書中，規(guī)定了基站天線和手持機(jī)的發(fā)射功率不得大于100mW，產(chǎn)生的電場(chǎng)強(qiáng)度在1m處不超過134dBuV/m（3.76V/m）的安全范圍[1]。

若無線基站和手持機(jī)在最大發(fā)射功率下，被測(cè)敏感設(shè)備沒有受到任何的影響，則說明無線電話系統(tǒng)是滿足電磁兼容的。

在管理上，可以制定生產(chǎn)區(qū)域的無線電話使用的管理程序，規(guī)定無線設(shè)備在使用時(shí)需與EMI/RFI敏感設(shè)備之間有一個(gè)最小安全距離，并在相關(guān)敏感區(qū)域或房間張貼敏感設(shè)備標(biāo)識(shí)牌，或禁止使用無線設(shè)備的標(biāo)識(shí)牌。

4 QoS控制

電磁波空間傳播的特性決定了多個(gè)無線手持機(jī)不能同時(shí)占用特定頻段的信道，所以無線網(wǎng)絡(luò)也存在抖動(dòng)和時(shí)延。一般來說，數(shù)據(jù)傳輸速率越低，時(shí)延越大，抖動(dòng)越明顯。有效防止這兩個(gè)現(xiàn)象發(fā)生的方法是采用QoS（quality of service）控制策略?？梢愿鶕?jù)通信任務(wù)的重要性來制定網(wǎng)絡(luò)時(shí)延控制策略，這樣通過無線信道的接入控制來確保高優(yōu)先級(jí)任務(wù)的數(shù)據(jù)先于低優(yōu)先級(jí)任務(wù)進(jìn)行傳輸[2]。

另外，在AP1000無線電話網(wǎng)絡(luò)中，也可以在阿爾卡特交換機(jī)上配置QoS來控制經(jīng)過交換機(jī)的數(shù)據(jù)流。配置QoS主要包括配置總體QoS參數(shù)，配置QoS端口參數(shù)，配置策略和應(yīng)用配置幾個(gè)步驟。

目前RMT（遠(yuǎn)程輻射監(jiān)測(cè)系統(tǒng)）是AP1000的科研項(xiàng)目，它使用了EF03無線電話系統(tǒng)的IP網(wǎng)絡(luò)作為數(shù)據(jù)和語音傳輸通道，將一項(xiàng)輻射工作的所有電子數(shù)據(jù)匯聚到一起，這些數(shù)據(jù)包括人員劑量、現(xiàn)場(chǎng)視頻、RP人員和工作人員間的通話錄音等，作為工作記錄和后續(xù)優(yōu)化輻射工作的信息源。

RMT使用無線電話系統(tǒng)的IP網(wǎng)絡(luò)來傳輸語音和數(shù)據(jù)信息，會(huì)對(duì)其帶寬造成占用，通過在無線控制器、核心交換機(jī)上設(shè)置語音優(yōu)先的QoS策略，來保證無線電話系統(tǒng)的正常運(yùn)行。

5 接入安全性

由于無線電話系統(tǒng)使用的是2.4GHz和5GHz的開放信道，相比其他有線電話系統(tǒng)更容易受到外部惡意攻擊。出于網(wǎng)絡(luò)安全的考慮，核電站的重要儀控系統(tǒng)和無線電話系統(tǒng)并無接口。

但是，若無線網(wǎng)絡(luò)采用最新安全防范技術(shù)，其安全性能仍可以得到保證。目前對(duì)于AP1000的無線網(wǎng)絡(luò)，主要通過以下方面來保證其安全性。

① 數(shù)據(jù)加密：對(duì)無線語音和數(shù)據(jù)進(jìn)行端到端的加密，防止通話被竊聽以及數(shù)據(jù)被篡改。不僅使用了在802.11中使用的標(biāo)準(zhǔn)wifi加密技術(shù)如WEP（無線對(duì)等保密）和MAC（媒體接入控制），為了確保安全，此外還使用了FIPS 140-2加密技術(shù)。FIPS 140-2加密技術(shù)是美國(guó)國(guó)防部要求所有的軍用無線系統(tǒng)必須通過的驗(yàn)證技術(shù)。在該模式下運(yùn)行，可以確保黑客攻擊時(shí)具備足夠的安全性。

② 授權(quán)機(jī)制：為了防止未經(jīng)授權(quán)的無線終端接入到網(wǎng)絡(luò)中，在它和無線基站建立連接之前必須進(jìn)行身份認(rèn)證。同時(shí)，無線控制器可以為無線手持機(jī)動(dòng)態(tài)分配IP地址，即每個(gè)無線手持機(jī)的號(hào)碼可以不是固定的。

③ 關(guān)閉交換機(jī)空閑端口：為了防止無線網(wǎng)絡(luò)被惡意入侵，無線網(wǎng)絡(luò)的核心交換機(jī)、匯聚交換機(jī)和接入交換機(jī)的空閑端口被關(guān)閉。

④ 無線網(wǎng)絡(luò)控制器+AP授權(quán)軟件實(shí)現(xiàn)集中化的用戶認(rèn)證和數(shù)據(jù)加密：

無線電話網(wǎng)絡(luò)選擇ARUBA無線控制器+瘦AP的網(wǎng)絡(luò)架構(gòu)。ARUBA可以提供身份驗(yàn)證和數(shù)據(jù)加密功能，并可以通過專用硬件的安全配置，實(shí)現(xiàn)整個(gè)無線網(wǎng)絡(luò)安全的集中部署。

Wi-Fi網(wǎng)絡(luò)使用專用的語音無線SSID，使用WPA2-PSK（AES）+MAC地址相結(jié)合的用戶認(rèn)證、加密方式。WPA2-PSK（AES）是目前業(yè)界安全級(jí)別最高、加密強(qiáng)度最強(qiáng)的認(rèn)證和加密方式。因此，WPA2-PSK（ASE）+MAC認(rèn)證方式可有效防止黑客進(jìn)行的暴力破解、字典攻擊等方式的攻擊，杜絕非法用戶的接入。

⑤ ARUBA無線網(wǎng)絡(luò)控制器+無線入侵防護(hù)軟件，實(shí)現(xiàn)對(duì)無線攻擊和非法入侵的防范：

在網(wǎng)絡(luò)安全方案設(shè)計(jì)規(guī)劃之初，就購買并開啟、配置和使用ARUBA無線網(wǎng)絡(luò)提供的無線攻擊和入侵檢測(cè)及保護(hù)機(jī)制響應(yīng)模塊及LICENSE。

由于絕大部分的無線網(wǎng)絡(luò)都沒有偵測(cè)無線入侵的功能，所以當(dāng)遭受到無線攻擊時(shí)，通常會(huì)被誤認(rèn)為是無線信號(hào)受干擾或AP出現(xiàn)不穩(wěn)定情況。

而在AP1000無線網(wǎng)絡(luò)中，每一個(gè)無線AP都具有多功能性，在為無線用戶提供無線接入服務(wù)的同時(shí)，還可作為實(shí)時(shí)探測(cè)器來檢測(cè)無線攻擊和入侵。與此同時(shí)，ARUBA對(duì)無線AP收集到的網(wǎng)絡(luò)攻擊信息進(jìn)行分析，通過其內(nèi)置的無線攻擊模式庫，實(shí)時(shí)檢測(cè)出異常的無線數(shù)據(jù)幀。當(dāng)無線網(wǎng)絡(luò)中存在無線攻擊時(shí)，它會(huì)記錄和顯示無線攻擊的類型，并對(duì)無線攻擊做出自動(dòng)保護(hù)響應(yīng)。

圖1 檢測(cè)出非法APFig.1 Detecting illegal AP

圖2 對(duì)非法AP定位Fig.2 Locating illegal AP

ARUBA的自動(dòng)保護(hù)系統(tǒng)是目前市場(chǎng)上最卓越和最全面的無線網(wǎng)絡(luò)安全保護(hù)工具。通過其WEB界面，便可實(shí)時(shí)查看到是否有非法AP位于無線網(wǎng)內(nèi)。除了對(duì)非法AP進(jìn)行分類和壓制，它還能夠?qū)Ψ欠ˋP進(jìn)行定位。

ARUBA能夠檢測(cè)所有無線信道的惡意攻擊。如圖1所示，ARUBA檢測(cè)和分類出一個(gè)工作在164頻道的非法AP。

圖2是對(duì)非法AP的位置定位，紅圈準(zhǔn)確標(biāo)明了非法AP的位置。

⑥ ARUBA無線網(wǎng)絡(luò)控制器+WIPS模塊對(duì)無線終端Adhoc模式連接監(jiān)測(cè)：

ARUBA中的WIPS模塊（無線入侵防御系統(tǒng)）能夠檢測(cè)并識(shí)別工作在Ad-hoc模式下的非法接入的無線接入點(diǎn)，并在界面產(chǎn)生告警。

6 人因管理

無線網(wǎng)絡(luò)安全涉及到人、技術(shù)和操作3個(gè)方面，因而真正的安全必須同時(shí)重視技術(shù)與管理。

首先，從管理制度下手。通過制定核電站的《機(jī)房管理程序》《日常巡檢管理程序》等管理程序，規(guī)定了設(shè)備的日常及定期檢查項(xiàng)目、流程，嚴(yán)格執(zhí)行定期巡檢制度，對(duì)出現(xiàn)的隱患做到及時(shí)發(fā)現(xiàn)、分析和處理。

其次，對(duì)系統(tǒng)本身實(shí)行授權(quán)用戶登陸。只有系統(tǒng)工程師的少數(shù)幾人知曉系統(tǒng)管理員密碼，可對(duì)系統(tǒng)進(jìn)行最高權(quán)限的訪問和設(shè)置，普通用戶和巡檢用戶無權(quán)修改系統(tǒng)設(shè)置。

再次，定期對(duì)數(shù)據(jù)進(jìn)行備份。通過定期對(duì)核心交換機(jī)、匯聚交換機(jī)和無線控制器進(jìn)行數(shù)據(jù)備份，在一定程度上提高了系統(tǒng)的安全性。

7 結(jié)束語

國(guó)內(nèi)無線技術(shù)在核電站的應(yīng)用雖然處于初步階段，但由于其在應(yīng)用和經(jīng)濟(jì)方面的優(yōu)勢(shì)，會(huì)有著廣闊的發(fā)展空間。無線技術(shù)可以為語音通話、運(yùn)行巡檢、定位、輻射防護(hù)、工單執(zhí)行等提供必不可少的便利，但出于安全性考慮，國(guó)內(nèi)核電站對(duì)新興技術(shù)一直保持保守態(tài)度。無線網(wǎng)絡(luò)安全防護(hù)只有將人防和技防相結(jié)合，才能在最大程度上確保安全。