核電站無線網(wǎng)絡(luò)安全分析

譚俊龍，朵平梅，李 達(dá)，胡洪濤

（國家核安保技術(shù)中心，北京 102600）

0 引言

為落實(shí)習(xí)近平總書記等中央領(lǐng)導(dǎo)關(guān)于中國核電安全工作的重要批示精神，國家發(fā)展改革委、國家能源局、國家核安全局、國家國防科工局聯(lián)合發(fā)布了《關(guān)于進(jìn)一步加強(qiáng)核電運(yùn)行安全管理的指導(dǎo)意見》，聚焦核電運(yùn)行關(guān)鍵環(huán)節(jié)，進(jìn)一步加強(qiáng)安全管理，保障核電機(jī)組安全穩(wěn)定運(yùn)行，促進(jìn)核電安全高效發(fā)展。其中，核電安全新增了核電站網(wǎng)絡(luò)安全，體現(xiàn)了網(wǎng)絡(luò)安全對于核電站安全運(yùn)行的重要性。因此，要重視核電站網(wǎng)絡(luò)安全能力建設(shè)，確保核電廠網(wǎng)絡(luò)安全。

近年來，在中國工業(yè)應(yīng)用中部署了越來越多的無線網(wǎng)絡(luò)系統(tǒng)，核電站作為安全要求較高的工業(yè)，也逐步應(yīng)用了無線網(wǎng)絡(luò)系統(tǒng)。與有線系統(tǒng)相比，無線通信系統(tǒng)具有許多優(yōu)勢：安裝成本及維護(hù)成本較低，連接器較少，減少了故障率，并且能夠快速部署[1]。但核電站尚未有專門針對無線通信系統(tǒng)的安全防護(hù)要求及相關(guān)標(biāo)準(zhǔn)，因此，保障無線通信系統(tǒng)安全對于核電站安全運(yùn)行至關(guān)重要[2]。無線網(wǎng)絡(luò)安全不僅涉及到技術(shù)方面，而且對管理方面也有較高要求，真正的安全必須同時(shí)做好技防和人防。

1 技術(shù)方面

1.1 電磁干擾

核電站自動(dòng)控制系統(tǒng)受到電磁干擾時(shí)，儀器儀表的有效性能或技術(shù)指標(biāo)會(huì)下降或失效。例如，瑞典曾出現(xiàn)過電磁干擾導(dǎo)致誤關(guān)閉核電站事故。位于瑞典奧斯卡斯哈門的核電站，在1998 年因無線網(wǎng)絡(luò)電話發(fā)射的電磁干擾，造成了儀控設(shè)備的混亂，儀表誤認(rèn)為放射量高于安全值而自動(dòng)停堆，造成了非常大的經(jīng)濟(jì)損失，并且電磁干擾信號中含有大量的信息，如計(jì)算機(jī)產(chǎn)生的電磁輻射中會(huì)包含各種形式的數(shù)據(jù)信息。如沒有經(jīng)過專門反竊密設(shè)計(jì)，大部分電子系統(tǒng)設(shè)備均存在電磁泄漏現(xiàn)象（利用專業(yè)偵測系統(tǒng)能夠從電磁干擾信號中得到大量數(shù)據(jù)信息）。因此，通過電磁干擾方式，可能造成核電站關(guān)鍵信息的泄漏[3]。

在沒有電磁干擾防護(hù)措施情況下，無線網(wǎng)絡(luò)可能會(huì)將外來干擾信號誤認(rèn)為合法邏輯信號，對儀控系統(tǒng)的正常工作造成影響。同時(shí)，由于對講機(jī)和無線電話等通訊設(shè)備的普及使用，電磁干擾也不斷增加。因此，電磁干擾問題成為了無線網(wǎng)絡(luò)系統(tǒng)的主要問題。例如，無線電話系統(tǒng)在使用時(shí)會(huì)發(fā)射電磁波，核電廠精密的儀器設(shè)備在電磁干擾的情況下無法正常工作，可能會(huì)導(dǎo)致安全事故，所以在無線設(shè)備出廠前，要做好電磁兼容性的測試，確保不會(huì)對核電站關(guān)鍵儀器設(shè)備產(chǎn)生影響，避免電磁干擾風(fēng)險(xiǎn)。

1.2 物理隔離

無線網(wǎng)絡(luò)設(shè)備之間的物理連接改變?yōu)檫壿嬤B接，且沒有固有的物理防護(hù)。發(fā)送或接收消息并不需要對網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的物理訪問，例如，電纜、集線器和路由器。無線信號通常是指無線電，空中廣播。因此，傳輸范圍內(nèi)的任何人都可以收到。因?yàn)槠胀ㄉ逃猛ㄐ艆f(xié)議很容易獲得，在標(biāo)準(zhǔn)協(xié)議下，攔截接收器可以接收目標(biāo)信號。而且，任何人都可以生成虛假信號干擾附近的其他傳輸或妨礙其正確接收。

物理隔離是抵御網(wǎng)絡(luò)攻擊的常用方法。應(yīng)用物理隔離方式，斷開無線網(wǎng)絡(luò)與核電站關(guān)鍵數(shù)據(jù)網(wǎng)絡(luò)間的物理連接，能夠解決目前大多數(shù)由于操作系統(tǒng)漏洞和相關(guān)網(wǎng)絡(luò)協(xié)議所帶來的安全問題，能夠有效地防止惡意網(wǎng)絡(luò)攻擊。

1.3 管控系統(tǒng)

由于網(wǎng)絡(luò)特性所限，無線網(wǎng)絡(luò)遲延較高且布局分散。因此，無線網(wǎng)絡(luò)集中管控的可靠性和穩(wěn)定性至關(guān)重要。管控系統(tǒng)要分層次進(jìn)行詳細(xì)的結(jié)構(gòu)和功能設(shè)計(jì)，部署相關(guān)網(wǎng)絡(luò)安全設(shè)備包括安全網(wǎng)關(guān)、防火墻、單向網(wǎng)閘等[4]。通過管控中心平臺(tái)，能夠進(jìn)行網(wǎng)絡(luò)行為審計(jì)、病毒庫及補(bǔ)丁升級、設(shè)備狀態(tài)監(jiān)控、部署安全策略等，對接入設(shè)備的上網(wǎng)行為進(jìn)行監(jiān)控，可有效過濾掉非授權(quán)設(shè)備接入無線網(wǎng)絡(luò)系統(tǒng)，使得滿足條件的終端通訊暢通，而不滿足條件的終端無法訪問無線網(wǎng)絡(luò)，加強(qiáng)設(shè)備的安全管控，能夠滿足核電站網(wǎng)絡(luò)實(shí)時(shí)性和可靠性的需求。

2 管理方面

2.1 身份驗(yàn)證

圖1 多重生物特征身份驗(yàn)證Fig.1 Multiple biometric identity verification

圖2 容災(zāi)備份架構(gòu)圖Fig.2 Disaster recovery backup architecture

加強(qiáng)系統(tǒng)登錄的身份驗(yàn)證。嚴(yán)格控制管理員密碼的知悉范圍，對系統(tǒng)的訪問和系統(tǒng)設(shè)置權(quán)限進(jìn)行級別限制，杜絕普通用戶修改系統(tǒng)相關(guān)設(shè)置?；谏锾卣鞯纳矸蒡?yàn)證技術(shù)已逐步成熟，能夠提供一種更為安全、方便以及高效的身份驗(yàn)證方式。利用基于生物特征的身份驗(yàn)證技術(shù)，替代密碼和智能卡等傳統(tǒng)身份驗(yàn)證技術(shù)也是一種有效的方式。核電站的關(guān)鍵部位對身份驗(yàn)證的準(zhǔn)確率和可靠性有嚴(yán)格要求，對身份驗(yàn)證系統(tǒng)安全性的要求更加嚴(yán)格，僅靠單一生物特征往往無法滿足安全需要。利用多重生物特征相結(jié)合的技術(shù)，在一定程度上能彌補(bǔ)單一生物特征識(shí)別的不足，能夠提高防偽能力和穩(wěn)定性，為身份驗(yàn)證提供更高程度的安全保障，如圖1 所示。

2.2 容災(zāi)備份

加強(qiáng)數(shù)據(jù)安全意識(shí)，定期對核心數(shù)據(jù)進(jìn)行備份。對無線網(wǎng)絡(luò)的各種數(shù)據(jù)重要性進(jìn)行評估，建立容災(zāi)方案，考慮系統(tǒng)性能和容災(zāi)能力的影響，容災(zāi)方案不但要進(jìn)行同步數(shù)據(jù)容災(zāi)，而且要進(jìn)行遠(yuǎn)程的數(shù)據(jù)容災(zāi)，分節(jié)點(diǎn)、分層次進(jìn)行無線網(wǎng)絡(luò)系統(tǒng)的容災(zāi)備份，保證數(shù)據(jù)的完整性、可用性，如圖2 所示。完善的容災(zāi)方案還需要包括恢復(fù)流程，通過定期對交換機(jī)和無線控制設(shè)備等進(jìn)行容災(zāi)備份，提高無線網(wǎng)絡(luò)系統(tǒng)的安全性。

2.3 制度管理

完善管理制度，應(yīng)結(jié)合核電站實(shí)際情況制定有效的安全管理策略，針對無線網(wǎng)絡(luò)關(guān)鍵部位、重要環(huán)節(jié)形成管理小組，同時(shí)還要保證核心技術(shù)力量，通過合理有效的管控程序，對人員進(jìn)行過程控制，規(guī)定設(shè)備的日常及定期檢查項(xiàng)目、流程，嚴(yán)格執(zhí)行定期巡檢制度，對出現(xiàn)的隱患做到及時(shí)發(fā)現(xiàn)、分析和處理。將過程控制理念融入到生產(chǎn)管理中，能夠提高工作人員的主觀安全意識(shí)，從根本的制度建設(shè)上，加強(qiáng)核電站的無線網(wǎng)絡(luò)安全管理。

3 總結(jié)

無線網(wǎng)絡(luò)系統(tǒng)與有線網(wǎng)絡(luò)系統(tǒng)相比，采用更好、更高級的集散控制技術(shù)進(jìn)行設(shè)計(jì)[5]。因此，無線系統(tǒng)可以提供更高的可靠性和更廣泛的操作靈活性。但隨著網(wǎng)絡(luò)從固定變?yōu)榕R時(shí)，網(wǎng)絡(luò)之間的“安全距離”增大了，網(wǎng)絡(luò)攻擊的可能性也隨之增加，越來越多的小型嵌入式設(shè)備可能會(huì)導(dǎo)致更多的網(wǎng)絡(luò)薄弱環(huán)節(jié)，并帶來網(wǎng)絡(luò)攻擊隱患。盡管無線網(wǎng)絡(luò)系統(tǒng)正越來越多地用于核電站，但總的來說，它們并不適用于核電站關(guān)鍵數(shù)據(jù)的安全傳輸。而且，必須同時(shí)重視核電站無線網(wǎng)絡(luò)的技防和人防，充分保護(hù)核電站的關(guān)鍵系統(tǒng)和功能，從而保障無線網(wǎng)絡(luò)系統(tǒng)在核電站的安全應(yīng)用。