浅谈核电站无线网络的网络安全技术防护与对策
2020-01-01江江
江 江
(福建宁德核电有限公司,福鼎 355200)
0 引言
随着核电机组的不断的投运,安全生产、管理创新、降本增效的要求必然促进智能化和信息化需求的增长,而无线网络是核电站的智能化、信息化的基础之一,未来无线网络与云计算、大数据、移动互联网、人工智能等技术大融合,为核电领域智能化的实现提供了坚实支撑。
1 智慧核电对于无线网络的需求
按照NB/T20263-2014《核电厂通信设计规范》和GB/T 17680.7-2003 《核电厂应急计划和准备准则-场内应急设施功能和特性》等设计规范,无线网络满足核电站在正常运行和应急工况下的移动通信需求,同时还有如下需求:无线网可支持基于IOS、ANDROID等操作系统的智能终端接入,用于移动办公、电子工单等;无线网可以允许哑终端接入(如摄像头、无线传感器等)。
2 当前无线网络面临的网络安全威胁
2.1 未经授权访问的用户
只要是在信号覆盖范围内,一些非法用户就可以无需任何物理连接就可以接入到核电站的无线网络中,如果有获取了相关的授权之后,就可获取无线网络的数据,因此,必须从多方面防止非法终端接入以及数据的泄漏问题。
2.2 无线加密协议本身的不安全性
目前核电站的无线网络旁边采用Wi-Fi,Wi-Fi是基于IEEE 802.11标准的无线网络技术,WEP加密的设计过于简单,而 WPA依然采用比较薄弱的RC4加密算法,而依据WPA制定出来的成熟版本WPA2,在2017年时来自比利时的KU Leuven大学的研究人员Mathy Vanhoef演示其安全漏洞,这表明保护绝大多数WiFi连接的WPA2方式已经不安全了。
2.3 病毒及黑客的攻击
除以上两点之外,病毒及黑客的攻击也是会对核电站无线网络构成威胁,在很多的企业中,随着无线网络的的应用,BYOD(携带自己的设备办公入网)带来了工作和生活的便利措施,但网络安全问题也越来越严重。如果BYOD的设备使用不当,黑客攻击可以借用BYOD的设备对核电站的无线网络发起攻击,实现内外网的物理连接,而病毒可以通过该方式,实现“渗透”和长期的“潜伏”,在某个时刻发起网络攻击,导致的无线网络甚至整个网络的瘫痪和个人、公司出现重大的损失。
3 核电站无线网络的网络安全防护的策略和技术手段
在考虑核电企业特殊性,如果因为无线网络的网络的安全的问题导致核电站的网络不可用,使得电站的重要信息系统的瘫痪(如工作过程、隔离管理等信息系统)或者重要基础设施(如门禁等)受到攻击,甚至出现类似伊朗核电站的震网蠕虫病毒事件,那么后果将是不堪设想;因此我们认为网络安全既要考虑网络的攻击等风险同时也要考虑核安全的问题,根据资料,由于核电站其特殊性,核电站在一些重要节日如两会期间等,核电企业受到外部攻击比平常更加的频繁。因此对于无线网络的网络安全威胁,我们要通过技防手段实现如下的目标:
⊙用户接入需进行认证管理。
⊙用户接入后,后台系统可根据场景定制用户的访问策略。
⊙用户接入应符合安全准入规定的要求。
⊙用户上网行为可记录。
⊙ 核电站敏感数据防泄露。
⊙无线信号具备高安全性,防止数据在传输过程中被窃取。
通过参考ISO20000/ISO27001的标准要求以及国家等级保护的标准中信息安全技术要求,并借鉴WANO(世界核电运营者协会)中的关于无线网络和信息安全的最佳实践和国内外核电行业的良好实践,同时吸收核电企业在核安全文化特征等,可以采用某大型核电集团提出的“核电企业信息安全保障模型” 作为核电站无线网络的网络安全的解决方案的基础,更加模型,我们从纵深防御的角度考虑,构建事前控制、事中控制、事后控制的三层防护措施:
(1)事前控制:设备通过无线网络访问到认证中心IMC服务器,由统一的认证系统对用户进行身份认证及鉴权。身份认证成功后,进行业务访问,然后按照统一下发的策略对终端设备进行安全检查。安全检查合规后,再根据用户的权限,进行网络、终端、应用和内容的授权,实现不同用户访问不同资源的目的,同时要禁止同时连入电站的内部无线网络和因特网。
(2)事中控制:通过集中加密系统和统一安全策略部署,对移动应用所涉数据生命周期进行全面而有效的保护,确保数据加密存储、加密传输、提供数据远程擦除功能、严格隔离公私应用数据、引入“沙箱”技术实现关键数据区“病毒进不来数据出不去”。可通过对移动应用执行安全策略,防止应用数据的截屏、拷贝、粘贴,防止应用破解,并支持对应用文档自动添加水印保护,机密数据被偷拍仍然可以做到泄露追踪溯源,有效保障数据内容的安全。同时无线网的边界部署防火墙设备,实现无线网与有线网之间的数据安全保护。
(3)事后控制:通过日志审计跟踪包括用户日志(登录/登出日志、应用访问日志)、应用日志(应用授权结果)、终端日志(终端注册/注销、终端合规检查、终端动作执行记录)等对系统进行安全审计和回朔,挖掘潜在的风险。
4 结束语
综上所述,目前无线网络在核电站的需求是越来越旺盛,我们通过3个层面技术手段可以实现“外人进不来、进来看不了、看了拿不走、拿走看不了、操作可追溯”的目标,除了技术手段之外,我们也要结合管理手段和提升全员的信息安全意识进行着手,真正的做到人防和技防兼重。
