電力無線專網(wǎng)信息安全防護技術(shù)探討

黃傳啟

【摘 要】進入新世紀(jì)后，網(wǎng)絡(luò)技術(shù)獲得了突飛猛進的發(fā)展，推進了我國信息化建設(shè)工作的開展，從過去傳統(tǒng)的有線+固定的接入方式，轉(zhuǎn)變?yōu)闊o線+移動接入方式與之并存的局面，無線化、智能化已成為未來通信技術(shù)的發(fā)展趨勢。而隨著無線通信方式的大量應(yīng)用，由之產(chǎn)生的信息傳播安全也逐漸為社會各界所關(guān)注和重視。以國家電網(wǎng)為例，由于企業(yè)規(guī)模和業(yè)務(wù)覆蓋范圍的影響，建成了國內(nèi)位居前列的無線虛擬專網(wǎng)，具有保密性強、性能高、應(yīng)用廣泛的顯著特點，為視頻、圖像、數(shù)據(jù)和語音等多媒體信息的傳輸和共享提供了堅實的技術(shù)支撐。

【關(guān)鍵詞】電力；無線專網(wǎng)；安全技術(shù)；防護方式

1無線專網(wǎng)概述

目前為止，正在使用的無線網(wǎng)絡(luò)分為兩種，一種是通過運營商通信網(wǎng)實現(xiàn)的無線網(wǎng)絡(luò)，比如4G，3G或GPRS等技術(shù)；另外一種就是局域網(wǎng)絡(luò)，也就是我們所說的WiFi。本文主要講述的無線網(wǎng)絡(luò)是后一種局域網(wǎng)絡(luò)，也是熟知的Wi-Fi技術(shù)。無線網(wǎng)絡(luò)的發(fā)展與普及正在改變現(xiàn)在網(wǎng)絡(luò)的架構(gòu)，從最初的802.11a到如今的802.11ac，傳輸速率及調(diào)制方式均有大幅的提升，但企業(yè)網(wǎng)對網(wǎng)絡(luò)安全及業(yè)務(wù)管控的要求均是現(xiàn)有無線技術(shù)所欠缺的。相對于有線網(wǎng)絡(luò)來說，無線網(wǎng)絡(luò)只是依靠電波來傳送與接收，開放的網(wǎng)絡(luò)環(huán)境使入侵者可以通過高靈敏的接收設(shè)備來進行破壞與入侵。所以，很可能造成內(nèi)部資源信息的泄露，同時，一旦接入企業(yè)無線局域網(wǎng)，黑客通過簡單的方法即可獲得此網(wǎng)中站點的MAC地址，然后利用這些MAC偽裝地址進行更進一步的欺騙攻擊。當(dāng)然，無線網(wǎng)絡(luò)在用戶上網(wǎng)的全過程都有相應(yīng)的安全機制，從用戶接入認(rèn)證到認(rèn)證過后上網(wǎng)過程的行為管控審計，再到針對外部網(wǎng)絡(luò)攻擊進行主動防御，多維度保障用戶上網(wǎng)的安全性和整體網(wǎng)絡(luò)的安全性。由于采用無線接入方式，導(dǎo)致網(wǎng)絡(luò)存在大量的安全隱患，因此，必須采取科學(xué)、合理的措施，以便提高電力無線專網(wǎng)的安全性，降低安全事件出現(xiàn)的幾率和影響范圍。對于電力無線專網(wǎng)來說，其網(wǎng)絡(luò)范圍從電力安全防護設(shè)備到通信運營商無線通信設(shè)備為止，本文重點研究的是電力網(wǎng)絡(luò)側(cè)的無線專網(wǎng)的安全技術(shù)。

2電力無線專網(wǎng)建設(shè)必要性

電力載波通信、租用運營商專用網(wǎng)絡(luò)接入是解決變電站現(xiàn)場網(wǎng)絡(luò)覆蓋問題的早期方式。該種方式主要存在以下問題：（1）無線網(wǎng)絡(luò)連接不穩(wěn)定，對于位置較為偏僻的廠站，運營商的無線網(wǎng)絡(luò)無法實現(xiàn)全面有效的覆蓋；（2）通信傳輸帶寬不足，難以支撐作業(yè)現(xiàn)場對運維業(yè)務(wù)實時通信的要求；（3）故障處理不及時，對運營商的依賴導(dǎo)致網(wǎng)絡(luò)故障處理的時效性存在眾多不可控因素；（4）網(wǎng)絡(luò)信息不安全，將電力系統(tǒng)運維數(shù)據(jù)與公眾信息數(shù)據(jù)置身于同一公共網(wǎng)絡(luò)中傳輸，存在較大的信息安全隱患。電力無線專網(wǎng)的建設(shè)，可以充分滿足電力通信網(wǎng)絡(luò)在傳輸速率、帶寬、穩(wěn)定性以及信息安全性等方面的要求，進而在此基礎(chǔ)上開展繼電保護設(shè)備及二次回路的智能移動運維業(yè)務(wù)。

3電力企業(yè)網(wǎng)絡(luò)信息安全的現(xiàn)狀

3.1防范措施不足

伴隨著信息技術(shù)進步及互聯(lián)網(wǎng)技術(shù)成熟，網(wǎng)絡(luò)犯罪率呈逐年遞增趨勢。即便電力企業(yè)初步構(gòu)建相應(yīng)的網(wǎng)絡(luò)信息安全防范體系，但是企業(yè)內(nèi)部網(wǎng)絡(luò)信息仍存在著較多的安全隱患，例如：人員管理、防病毒系統(tǒng)、訪問控制、身份認(rèn)證、數(shù)據(jù)傳輸加密及職工安全意識等。從總體電力信息網(wǎng)絡(luò)角度來看，部分企業(yè)間網(wǎng)絡(luò)信息安全存在不均衡性等問題，其網(wǎng)絡(luò)利用率較高且安全問題較多，尤其是安全級別較低的業(yè)務(wù)風(fēng)險較高。例如：美國喬治亞洲的Hatch核電廠2號機組發(fā)生自動停電事件，由于當(dāng)時一位工程師正在對該廠業(yè)務(wù)網(wǎng)絡(luò)中的一臺計算機（用于采集控制網(wǎng)絡(luò)的診斷數(shù)據(jù)）進行軟件更新，以同步業(yè)務(wù)網(wǎng)絡(luò)與控制網(wǎng)絡(luò)中的數(shù)據(jù)信息，當(dāng)工程師重啟該計算機時，同步程序重置了控制網(wǎng)絡(luò)的相關(guān)數(shù)據(jù)，使得控制系統(tǒng)以反應(yīng)堆儲水庫水位突然下降，自動關(guān)閉了整個機組，由于防范措施不足，并沒有及時有效的采取相關(guān)措施給予維護。

3.2內(nèi)部威脅較多

在信息技術(shù)蓬勃發(fā)展的大背景下，企業(yè)網(wǎng)絡(luò)信息安全防范工作得到越來越多從業(yè)人員的關(guān)注及重視，客觀上要求電力企業(yè)結(jié)合現(xiàn)存問題積極構(gòu)建具有企業(yè)特色的網(wǎng)絡(luò)信息安全防范機制，確保其網(wǎng)絡(luò)信息的安全性。即便電力企業(yè)初步建立相應(yīng)的安全防范機制，但是其內(nèi)部網(wǎng)絡(luò)信息風(fēng)險仍無法徹底被消除，尤其是管理人員方面工作。

4電力無線專網(wǎng)的信息安全防護手段

4.1電力企業(yè)側(cè)的信息安全防護手段

（1）劃分安全區(qū)域。電力無線專網(wǎng)邊界合理劃分其安全區(qū)域，確定網(wǎng)絡(luò)邊界，各個安全區(qū)域要運用針對性的信息安全防護手段，針對進入到信息內(nèi)網(wǎng)域中的數(shù)據(jù)信息提供全方位有效的安全防護手段，完成訪問控制，攻擊檢測，傳輸加密以及終端認(rèn)證工作。（2）訪問控制。邊界接入裝置中根據(jù)其源地址設(shè)置訪問控制，嚴(yán)禁不同的APN業(yè)務(wù)之間互相訪問。利用防火墻設(shè)置合理有效的業(yè)務(wù)訪問策略確保專網(wǎng)域到網(wǎng)絡(luò)邊界域的訪問控制。（3）安全隔離。該技術(shù)主要通過采用各種手段對外來攻擊進行阻止，以消除信息系統(tǒng)的威脅，將足夠的安全隔離技術(shù)配備到電力系統(tǒng)中，以確保電力系統(tǒng)信息的穩(wěn)定安全，具體包括：1）物理隔離方法，通常指最基礎(chǔ)的系統(tǒng)信息隔離技術(shù)，即將系統(tǒng)的內(nèi)部和外部網(wǎng)絡(luò)通過物理學(xué)方法進行直接或間接的分離，在此基礎(chǔ)上進行實時監(jiān)控；2）協(xié)議隔離，電力信息系統(tǒng)內(nèi)部和外部網(wǎng)絡(luò)通過協(xié)議隔離器的使用實現(xiàn)兩者間的徹底分離，據(jù)此確保系統(tǒng)內(nèi)部網(wǎng)絡(luò)免于外來入侵；3）身份認(rèn)證，包括登陸口令、密碼登陸、指紋識別、智能卡片等識別方式，通過輸入特定用戶信息，實施身份識別技術(shù)完成對信息的識別過程，無誤后才有瀏覽權(quán)限；4）防火墻應(yīng)用，防火墻技術(shù)的結(jié)構(gòu)具體如圖1所示，主要包括過濾路由器、電流層及應(yīng)用層網(wǎng)關(guān)。（4）安全防御與入侵檢測。邊界要設(shè)置好入侵檢測系統(tǒng)與防火墻，進而保證有效抵制DOS攻擊以及惡意代碼，實現(xiàn)網(wǎng)絡(luò)行為的實時化監(jiān)控，實現(xiàn)網(wǎng)絡(luò)攻擊的實時化檢測。（5）安全審計。邊界安全裝置必須做好日志審計記錄工作，從而為網(wǎng)絡(luò)安全評估提供可靠科學(xué)地根據(jù)。（6）隧道加密傳輸。通過將安全接入設(shè)備和無線終端之間構(gòu)建起專用的安全加密信道來提高信息數(shù)據(jù)傳輸?shù)陌踩?，避免信息?nèi)容外泄造成安全事件。（7）接入控制。構(gòu)建和完善無線專網(wǎng)的身份認(rèn)證系統(tǒng)，對需要訪問無線專網(wǎng)的用戶實施相應(yīng)的認(rèn)證，拒絕未經(jīng)授權(quán)的用戶訪問無限專網(wǎng)。同時，無線專網(wǎng)內(nèi)的信息業(yè)務(wù)系統(tǒng)通過一定的技術(shù)手段來驗證接入網(wǎng)絡(luò)用戶的終端硬件特征，最大限度的提高安全防護水平。

4.2運營商的安全防護手段

（1）網(wǎng)絡(luò)接入安全防護。運用專用型APN接入業(yè)務(wù)終端，由運營商對電力無線專網(wǎng)SIM卡進行授權(quán)，授權(quán)之后合法的SIM卡能夠?qū)﹄娏o線專網(wǎng)進行訪問，嚴(yán)禁對互聯(lián)網(wǎng)與其余網(wǎng)絡(luò)進行訪問。（2）APN訪問控制。嚴(yán)禁相同APN的終端互訪，嚴(yán)禁不同APN終端之間的訪問。（3）專屬通道與隔離。通過VRF技術(shù)實現(xiàn)電力無線專網(wǎng)用戶以及其余用戶的路由隔離。采取MPLSVPN、GRE以及L2TP之類技術(shù)實現(xiàn)電力無線專網(wǎng)信息數(shù)據(jù)于運營商網(wǎng)絡(luò)中的傳輸工作，確保專用網(wǎng)絡(luò)隔離的安全性。

5結(jié)束語

總而言之，無線專網(wǎng)的大量應(yīng)用，雖然極大的方便了業(yè)務(wù)工作的開展，但也隨之帶來了顯著的安全問題。為了有效的提升無線專網(wǎng)的安全性水平，一方面需要加大硬件防護設(shè)備方面的投入，另一方面也必須注重安全防護策略的制定和實施。只有雙管齊下，才能取得預(yù)期的效果。

（作者單位：國網(wǎng)山東省電力公司淄博供電公司）