核電廠5G無線通信系統(tǒng)的網(wǎng)絡(luò)安全研究

孟 佳，鄧曉飛，魏 巍

（華龍國際核電技術(shù)有限公司，北京 100142）

0 引言

目前國內(nèi)很多核電廠中設(shè)置了無線通信系統(tǒng)，與有線電話網(wǎng)配合使用，用于呼叫尋人和發(fā)布應(yīng)急信息，以滿足核電廠在正常運行和應(yīng)急工況下的移動通信需求。隨著核電廠數(shù)字化、智能化、信息化的需求不斷加大，無線通信系統(tǒng)技術(shù)日益成熟，無線通信系統(tǒng)正在被嘗試用于人員定位、視頻監(jiān)控、設(shè)備監(jiān)測、輻射監(jiān)測、火災(zāi)探測等多種擴展應(yīng)用場景。核電廠無線通信系統(tǒng)對于提升核電廠的運行便利性、先進性，為未來智慧電廠的建設(shè)提供基礎(chǔ)平臺，具有重要的價值。但是網(wǎng)絡(luò)安全問題隨之而來，近年來世界核電領(lǐng)域發(fā)生多起重大網(wǎng)絡(luò)信息安全事件，系統(tǒng)面臨黑客、木馬、病毒、蠕蟲等多種威脅攻擊，導(dǎo)致數(shù)據(jù)被非法訪問、更改或泄露，甚至設(shè)備裝置被破壞、失靈，引發(fā)公眾的廣泛關(guān)注。網(wǎng)絡(luò)安全是無線通信系統(tǒng)在核電廠應(yīng)用所面臨的一大挑戰(zhàn)，提出核電廠無線通信系統(tǒng)的網(wǎng)絡(luò)安全解決方案將至關(guān)重要。

1 核電廠無線通信技術(shù)的選型

現(xiàn)有的核電廠無線通信系統(tǒng)主要技術(shù)各有優(yōu)缺點，無線通信系統(tǒng)的網(wǎng)絡(luò)類型包括無線個域網(wǎng)、無線局域網(wǎng)、無線城域網(wǎng)、無線廣域網(wǎng)。無線個域網(wǎng)是要把幾米范圍內(nèi)的多個設(shè)備通過無線方式連接在一起相互通信，比如無線傳感器、無線耳機等，典型技術(shù)包括藍牙、ZigBee、UWB等。無線局域網(wǎng)是針對局域網(wǎng)制定的無線接入技術(shù)標(biāo)準(zhǔn)，解決“最后100m”的通信接入，典型技術(shù)代表是WiFi技術(shù)。無線城域網(wǎng)致力于提供“最后一公里”的無線接入解決方案，典型技術(shù)代表是McWiLL技術(shù)。無線廣域網(wǎng)是將物理距離在十幾公里、分散的各局域網(wǎng)連接起來的通信方式，典型技術(shù)從2G/GSM技術(shù)到3G/CDMA技術(shù)、4G/LTE技術(shù)，再到現(xiàn)在的5G技術(shù)，引領(lǐng)了蜂窩移動通信系統(tǒng)不斷增強寬帶傳輸性能、漫游性能以及安全性能。

WiFi技術(shù)具有較高的數(shù)據(jù)傳輸速率，能達到1.15Gbps，基于WiFi改造的適用于核電廠中應(yīng)用的Nu-WiFi技術(shù)的最大傳輸速率也能達到866Mbps，基站的發(fā)射功率和功耗較低，發(fā)射功率在100mW以內(nèi)，功耗在20W～50W，產(chǎn)業(yè)鏈較好，但覆蓋范圍有限，在60m～500m，移動性一般。

McWiLL和4G TD-LTE可以覆蓋較大距離，可以達到1km～15km，移動性較好，但基站的發(fā)射功率和功耗較高，發(fā)射功率在500 MW左右，功耗在200 W 左右，McWiLL數(shù)據(jù)傳輸速率較低，為15Mbps[1]，且可提供該技術(shù)的供應(yīng)商僅一家，TD-LTE數(shù)據(jù)傳輸速率較McWiLL有所提高，為100Mbps。

5G技術(shù)具有很高的數(shù)據(jù)傳輸速率，能達到3.3Gbps，覆蓋半徑在200m～600m，發(fā)射功率在400MW左右。相比于4G，5G技術(shù)具有峰值速率更高（4G的20倍，10Gbps～20Gbps，大帶寬）、連接數(shù)密度更高（106/km2，廣連接）、流量密度更大（10 Tbps/km2～100Tbps/km2）、移動性更快（4G的4倍，500+km/h）、空口時延更低（4G的1/5，1ms，低時延）、安全性高[2]等諸多優(yōu)勢。5G不僅考慮人與人的連接，也考慮人與物、物與物的連接，包括虛擬現(xiàn)實、云端機器人等增強移動寬帶場景，海量物聯(lián)網(wǎng)等低功耗大連接場景，車聯(lián)網(wǎng)等低時延高可靠場景。同時，5G具備適用部署區(qū)域化、網(wǎng)絡(luò)需求個性化、行業(yè)應(yīng)用場景化等特點，可以打造跨行業(yè)融合生態(tài)。相比WiFi6，5G的空口安全性更高、授權(quán)頻率不易被攻擊、時延更低、穩(wěn)定性更好、不易丟包抖動、覆蓋范圍更大，且可以支持海量終端接入。為落實黨中央、國務(wù)院相關(guān)部署要求，積極推進能源領(lǐng)域5G應(yīng)用，國家發(fā)展改革委、國家能源局、中央網(wǎng)信辦、工業(yè)和信息化部聯(lián)合編制了《能源領(lǐng)域5G應(yīng)用實施方案》，關(guān)于印發(fā)《能源領(lǐng)域5G應(yīng)用實施方案》的通知（發(fā)改能源〔2021〕807號）于2021年6月7日正式下發(fā)，文中提到：“5G具有高速率、低時延、大連接等特征，是支撐能源轉(zhuǎn)型的重要戰(zhàn)略資源和新型基礎(chǔ)設(shè)施。研究面向智能電廠的5G組網(wǎng)和接入方案，開展電廠5G無線網(wǎng)覆蓋建設(shè)，綜合利用物聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能、云計算、邊緣計算等技術(shù)，在確保電廠安全前提下，以需求為牽引，搭建適應(yīng)電廠復(fù)雜環(huán)境的全域工業(yè)物聯(lián)網(wǎng)和數(shù)據(jù)傳輸網(wǎng)絡(luò)。開展基于5G通信的工業(yè)控制與監(jiān)測網(wǎng)絡(luò)升級改造，實現(xiàn)生產(chǎn)控制、智能巡檢、運行維護、安全應(yīng)急等典型業(yè)務(wù)場景技術(shù)驗證及深度應(yīng)用，在火電、核電、水電和新能源等領(lǐng)域形成一批5G典型應(yīng)用場景?！?/p>

未來，核電廠的無線通信系統(tǒng)不僅要滿足正常運行、事故工況和實施應(yīng)急計劃時的呼叫、短信、對講、廣播、應(yīng)急指揮調(diào)度等廠內(nèi)及對外移動通信基礎(chǔ)應(yīng)用需求，還要能支持高速率的移動辦公和各類物聯(lián)網(wǎng)應(yīng)用等擴展應(yīng)用需求，如人員定位、輻射監(jiān)測、智能巡檢、智能維修、設(shè)備管理、實時監(jiān)控等。由于5G技術(shù)具有帶寬更大、速率更高、時延更低、連接數(shù)更多、移動性更快、安全性更高等諸多優(yōu)勢，是將大規(guī)模天線、非正交多址接入、高頻段信號傳輸、靈活頻譜共享等多種技術(shù)融合的網(wǎng)絡(luò)，可以承載未來核電廠更廣泛的數(shù)據(jù)傳輸和業(yè)務(wù)連接，可以滿足智能核電的發(fā)展需要，同時為積極響應(yīng)國家和上級主管部門，因而選用5G+MEC專網(wǎng)作為核電廠無線通信系統(tǒng)技術(shù)將是未來的趨勢。

2 網(wǎng)絡(luò)安全法規(guī)標(biāo)準(zhǔn)和政策

近年來國內(nèi)對網(wǎng)絡(luò)和信息安全重視程度不斷提升，從黨中央到國家相關(guān)部委在網(wǎng)絡(luò)和信息安全方面開展密集部署，網(wǎng)絡(luò)安全上升到國家戰(zhàn)略高度。1994年國務(wù)院147號令《中華人民共和國計算機信息系統(tǒng)安全保護條例》第一次提出等級保護的概念，要求對信息系統(tǒng)分等級進行保護；1999年《GB17859-1999計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則》發(fā)布，是信息系統(tǒng)等級保護建設(shè)必須遵循的法規(guī)條文，本準(zhǔn)則將計算機信息系統(tǒng)的安全保護能力劃分為5個等級；2008年公安部發(fā)布等保1.0四大標(biāo)準(zhǔn)《GB/T 22239-2008信息系統(tǒng)安全等級保護基本要求》《GB/T 22240-2008信息系統(tǒng)安全等級保護定級指南》等；2014年2月，中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組成立，習(xí)近平總書記任領(lǐng)導(dǎo)小組組長；2015年6月，國家發(fā)布《中華人民共和國網(wǎng)絡(luò)安全法》（草案）；2017年6月《網(wǎng)絡(luò)安全法》正式施行。2019年5月等級保護2.0國家標(biāo)準(zhǔn)正式發(fā)布，2019年12月1日開始實施，主要包括《GB/T 22239-2019 網(wǎng)絡(luò)安全等級保護基本要求》《GB/T 25070-2019網(wǎng)絡(luò)安全等級保護安全設(shè)計技術(shù)要求》《GB/T 28448-2019 網(wǎng)絡(luò)安全等級保護測評要求》《GB/T 28449-2018 網(wǎng)絡(luò)安全等級保護測評過程指南》。

同時，為規(guī)范核電廠應(yīng)對網(wǎng)絡(luò)安全的行動，提高核電廠網(wǎng)絡(luò)安全監(jiān)管的有效性，國家核安全局和國家原子能機構(gòu)聯(lián)合編制了《核動力廠網(wǎng)絡(luò)安全技術(shù)政策》（試行），于2021年4月正式實施，該文件主要參考了RG 5.71中的相關(guān)內(nèi)容，包括SSEP的定義、CDAs的識別等，并結(jié)合國內(nèi)實際情況進行了適當(dāng)?shù)男薷摹?014年國家能源局印發(fā)了《電力行業(yè)網(wǎng)絡(luò)與信息安全管理辦法》的通知（國能安全〔2014〕317號）；2014年8月國家發(fā)改委第14號令《電力監(jiān)控系統(tǒng)安全防護規(guī)定》中明確電力監(jiān)控系統(tǒng)安全防護的總體原則為“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”。2015年國家能源局印發(fā)的36號文《電力監(jiān)控系統(tǒng)安全防護總體方案》中規(guī)定生產(chǎn)控制大區(qū)應(yīng)當(dāng)選用安全可靠硬件防火墻；生產(chǎn)控制大區(qū)的監(jiān)控系統(tǒng)應(yīng)當(dāng)具備安全審計系統(tǒng)、使用白名單安全機制替代傳統(tǒng)殺毒軟件；生產(chǎn)控制大區(qū)可以統(tǒng)一部署一套網(wǎng)絡(luò)入侵檢測系統(tǒng)；進行身份認(rèn)證，根據(jù)身份與權(quán)限進行訪問控制，并且對操作行為進行安全審計。2017年1月，國家發(fā)改委、國家能源局、生態(tài)環(huán)境部、國防科工局將2017年定為“核電安全管理提升年”，依據(jù)等保、14號令、36號文聯(lián)合組織對國內(nèi)在運核電廠的網(wǎng)絡(luò)安全進行專項檢查，提出問題進行整改。2018年5月，四部委發(fā)布765號文《關(guān)于進一步加強核電運行安全管理的指導(dǎo)意見》《電力行業(yè)網(wǎng)絡(luò)安全行動計劃（2018-2020年）》等規(guī)范性文件，明確要求網(wǎng)絡(luò)安全納入核電安全管理體系，加強能力建設(shè)，保障核電廠網(wǎng)絡(luò)安全。

2010年，NRC發(fā)布了RG-5.71導(dǎo)則《核設(shè)施的網(wǎng)絡(luò)安全大綱》，用于指導(dǎo)實現(xiàn)對通信系統(tǒng)和計算機網(wǎng)絡(luò)的充分保護，以免受網(wǎng)絡(luò)攻擊的危害。2012年，國際原子能機構(gòu)IAEA發(fā)布了核安保技術(shù)導(dǎo)則《核設(shè)施的計算機安全》。該導(dǎo)則重點指出，計算機安全應(yīng)作為一個基本要素列入核設(shè)施總體安保規(guī)劃。導(dǎo)則指出：“核設(shè)施的計算機安全，必須特別關(guān)注一些不同于普通企業(yè)信息技術(shù)網(wǎng)絡(luò)或過程控制系統(tǒng)計算機安全的‘特有’問題。這些問題是：核設(shè)施全壽期包含多個階段和多種運行模式，計算機安全規(guī)劃時應(yīng)考慮不同階段的不同關(guān)注點；核電站計算機主系統(tǒng)連接到遠(yuǎn)程的應(yīng)急中心，相關(guān)網(wǎng)絡(luò)危害可能經(jīng)由應(yīng)急中心系統(tǒng)而入侵主系統(tǒng)；許多目前使用的過程控制系統(tǒng)和工業(yè)控制系統(tǒng)，最初設(shè)計時計算機安全并非主要考慮事項，近年來惡意計算機活動不斷出現(xiàn)，計算機安全應(yīng)作為信息系統(tǒng)新設(shè)備采購的一個核心要求。”

總結(jié)來說，核電廠對網(wǎng)絡(luò)安全的要求主要遵循的國內(nèi)標(biāo)準(zhǔn)法規(guī)包括等級保護2.0《GB/T 22239-2019 網(wǎng)絡(luò)安全等級保護基本要求》等系列標(biāo)準(zhǔn)、《核動力廠網(wǎng)絡(luò)安全技術(shù)政策》、14號令《電力監(jiān)控系統(tǒng)安全防護規(guī)定》和36號文《電力監(jiān)控系統(tǒng)安全防護總體方案》，同時主要參考國際上的RG-5.71導(dǎo)則和IAEA第17號令《核設(shè)施的計算機安全》。

3 核電廠5G無線通信系統(tǒng)的網(wǎng)絡(luò)安全技術(shù)架構(gòu)

根據(jù)以上國內(nèi)和國際上頒布的法規(guī)、標(biāo)準(zhǔn)、政策中的要求，核電廠無線通信系統(tǒng)的安全建設(shè)要滿足等保2.0標(biāo)準(zhǔn)中安全通用要求、云計算安全擴展要求，通過構(gòu)建“一個中心、三重防護”的技術(shù)架構(gòu)來建立安全可信防護機制，保障通信網(wǎng)絡(luò)安全、區(qū)域邊界安全、計算環(huán)境安全。安全體系技術(shù)架構(gòu)如圖1所示。

3.1 安全通信網(wǎng)絡(luò)

安全通信網(wǎng)絡(luò)主要對網(wǎng)絡(luò)整體提出要求，通過防火墻、專用網(wǎng)絡(luò)VPN、數(shù)據(jù)通信加密和通信設(shè)備冗余來完成網(wǎng)絡(luò)架構(gòu)、通信傳輸和可信驗證[3]。

無線網(wǎng)絡(luò)通過公網(wǎng)5G基站實現(xiàn)信號的覆蓋并部署MEC系統(tǒng)，信號覆蓋整個廠區(qū)，包括核島、常規(guī)島、BOP及室外區(qū)域。5G 技術(shù)在安全隔離方面具有獨特的網(wǎng)絡(luò)切片能力，切片間相互隔離、互不影響，根據(jù)業(yè)務(wù)特征可分為生產(chǎn)控制大區(qū)切片和管理信息大區(qū)切片。管理信息大區(qū)和室外區(qū)域采用混合專網(wǎng)模式，生產(chǎn)控制大區(qū)采用獨立專網(wǎng)模式。

1）管理信息大區(qū)和室外區(qū)域采用混合專網(wǎng)模式

混合專網(wǎng)以5G數(shù)據(jù)分流技術(shù)為基礎(chǔ)，將核心網(wǎng)解耦成兩部分，即用戶面部分與控制面部分。用戶面網(wǎng)元UPF下沉到核電廠通信機房[4]，為核電廠私有化部署；控制面網(wǎng)元在運營商核心機房，也可根據(jù)需求靈活部署（下沉一部分），為核電廠提供部分物理獨享的5G專用網(wǎng)絡(luò)。

2）生產(chǎn)控制大區(qū)采用獨立專網(wǎng)模式

獨立專網(wǎng)中，從無線基站到核心網(wǎng)的用戶面、控制面，包括gNB、AMF、SMF、UPF、MEC等5G系統(tǒng)的所有網(wǎng)元全部下沉到核電廠通信機房。該模式下，核電廠廠區(qū)終端采集的數(shù)據(jù)流經(jīng)UPF轉(zhuǎn)發(fā)經(jīng)MEC卸載，確保廠區(qū)數(shù)據(jù)保留在本地，實現(xiàn)數(shù)據(jù)不出廠區(qū)。因此，獨立專網(wǎng)與公網(wǎng)數(shù)據(jù)完全物理隔離，保證核電廠網(wǎng)絡(luò)安全，減小公網(wǎng)故障對核電廠生產(chǎn)業(yè)務(wù)的影響，保障生產(chǎn)安全。

3.2 安全區(qū)域邊界

安全區(qū)域邊界主要對網(wǎng)絡(luò)外部邊界以及內(nèi)部不同區(qū)域之間的邊界提出要求，通過防火墻、入侵防御系統(tǒng)IPS、防DDos、Web應(yīng)用防火墻WAF、防病毒網(wǎng)關(guān)來實現(xiàn)邊界防護、入侵防范和訪問控制。

管理信息大區(qū)網(wǎng)絡(luò)與生產(chǎn)控制大區(qū)網(wǎng)絡(luò)應(yīng)物理隔離，兩網(wǎng)之間的信息通信交換采用電力專用橫向安全隔離裝置（正向型）。正向隔離裝置采用“2+1”架構(gòu)，即內(nèi)網(wǎng)主機處理單元、外網(wǎng)主機處理單元、隔離硬件數(shù)據(jù)交換單元。內(nèi)網(wǎng)主機單元基于包過濾策略對違反規(guī)則的報文進行阻斷；對應(yīng)用數(shù)據(jù)進行深度解析，阻斷非法數(shù)據(jù)通過系統(tǒng)邊界、內(nèi)外網(wǎng)之間實現(xiàn)無協(xié)議數(shù)據(jù)“擺渡”，阻斷了外網(wǎng)對內(nèi)網(wǎng)的入侵攻擊。

生產(chǎn)控制大區(qū)中的控制區(qū)和非控制區(qū)之間采用邏輯隔離方式，通過防火墻、協(xié)議過濾等技術(shù)手段實現(xiàn)不同安全域的邊界隔離。邊界隔離設(shè)備具有協(xié)議深度解析功能，根據(jù)安全管理中心下發(fā)的應(yīng)用協(xié)議白名單，對流經(jīng)邊界的數(shù)據(jù)報文進行包過濾檢測，對通過檢測的數(shù)據(jù)報文進一步進行協(xié)議規(guī)則檢查，包括協(xié)議格式完整性、指令類型、關(guān)鍵信息值等信息，阻斷不符合協(xié)議規(guī)則的異常報文。

3.3 安全計算環(huán)境

安全計算環(huán)境主要對局域計算環(huán)境的構(gòu)成節(jié)點提出要求，主要包括應(yīng)用層安全和平臺層安全。應(yīng)用層安全指的是數(shù)據(jù)安全、應(yīng)用安全、主機安全；平臺層安全指的是虛擬資源安全和物理資源安全。為保證數(shù)據(jù)安全采取的措施有數(shù)據(jù)庫審計、存儲加密、備份容災(zāi)、數(shù)據(jù)加密脫敏、數(shù)據(jù)泄露防護系統(tǒng)（DLP）等，為保證應(yīng)用安全采取的措施有源碼安全、鏡像安全、Web應(yīng)用防火墻、網(wǎng)頁防篡改、防DDos等，為保證主機安全采取的措施有主機漏掃、補丁更新、基線配置核查、主機病毒防護等。為保證虛擬資源安全也采取大量防護手段，針對計算資源有計算資源隔離、基線配置、漏洞掃描等，針對網(wǎng)絡(luò)資源有流量控制、終端準(zhǔn)入、數(shù)據(jù)傳輸保密等，針對存儲資源有存儲隔離、訪問控制、備份恢復(fù)等，針對安全管理有4A系統(tǒng)（認(rèn)證、授權(quán)、賬號、審計）、安全審計系統(tǒng)等。

對5G+MEC專網(wǎng)的終端及服務(wù)器提供端到端的加密，采用具備安全模塊的終端，在終端內(nèi)置國密芯片，基于MEC的AAA系統(tǒng)對終端接入進行雙向鑒權(quán)認(rèn)證，既能保證非法終端無法接入網(wǎng)絡(luò)，也能保證終端無法訪問非法網(wǎng)絡(luò)。鑒權(quán)維度可以是IP地址、MAC地址、設(shè)備ID，只有合法的地址才能接入網(wǎng)絡(luò)，防止非法內(nèi)聯(lián)。當(dāng)系統(tǒng)檢測到多個終端試圖使用相同的ID標(biāo)識接入網(wǎng)絡(luò)時，將會自動記錄相關(guān)信息并產(chǎn)生告警，供管理人員進一步調(diào)查非法用戶。非法終端即使接入到基站，在訪問網(wǎng)絡(luò)時還需要向服務(wù)器發(fā)送賬號和密碼信息，通過認(rèn)證后才能訪問。接入密碼是隨機動態(tài)變化的，每個終端在激活時都將從服務(wù)器獲得自身的用戶密碼庫，密碼庫包含上百個不同密碼，網(wǎng)絡(luò)接入時，終端根據(jù)網(wǎng)絡(luò)側(cè)指定的密碼索引從密碼庫中選取接入密碼，保障用戶每次接入網(wǎng)絡(luò)的接入密碼都是不同的，防止非法用戶破解入侵。激活及接入認(rèn)證流程均采用國密算法[5]，包括橢圓曲線非對稱加密算法（SM2）、對稱加密算法（SM4）和雜湊算法（SM3）。在激活和接入認(rèn)證階段，使用SM2算法進行終端與服務(wù)器的雙向非對稱認(rèn)證，使用SM4算法對交互信息進行加密，使用SM3算法用于對加密信息進行摘要處理以防止篡改。對接入網(wǎng)絡(luò)的用戶終端強制實施安全策略，通過與安全策略服務(wù)器的聯(lián)動，可以對感染病毒或存在系統(tǒng)漏洞等不合格的終端進行下線、隔離、提醒或監(jiān)控等多種方式的處理，只有終端符合相應(yīng)的安全策略之后，才允許正常訪問網(wǎng)絡(luò)?；诎酌麊螜C制，對執(zhí)行程序的完整性檢查，控制程序執(zhí)行，確保計算節(jié)點的非授權(quán)程序無法執(zhí)行，防御惡意代碼攻擊。對于明確的非法攻擊源，進行物理位置跟蹤監(jiān)控和交換機物理端口移除[6]，從而提高了無線網(wǎng)絡(luò)的整體安全性。

此外，終端可以通過專用APP的多種安全措施以提高自身的安全性，包括：對自身代碼進行混淆；對安裝進行簽名認(rèn)證，篡改簽名后安裝包不能正確進行；對客戶端配置文件信息進行加密；本地不存儲明文賬號和密碼；登錄采取非對稱加密，并對密文進行加花處理，保證賬號安全；消息采用推送拉取方式，消息內(nèi)容加密后存儲在緩存；接口傳輸采用私有的簽名算法，對傳輸報文的合法性進行驗證。為了保護用戶的交互信息，專用APP可以控制信息拷貝、剪切、截屏等操作，當(dāng)使用第三方設(shè)備拍攝轉(zhuǎn)發(fā)時，通過內(nèi)置的用戶身份二維碼水印能夠有效追蹤到信息泄露源頭，且二維碼設(shè)計為冗余糾錯碼，在遭受部分破壞時仍能有效恢復(fù)。

非法外聯(lián)主要防止網(wǎng)絡(luò)內(nèi)部計算節(jié)點非法訪問外網(wǎng)。首先，通過主機加固軟件嚴(yán)格控制非法外設(shè)的啟用，防止在計算節(jié)點啟用無線網(wǎng)卡等無線通信設(shè)備；其次，對網(wǎng)絡(luò)計算節(jié)點下發(fā)互聯(lián)策略，只有符合互聯(lián)策略的通信才允許通過，否則無法建立連接和收發(fā)報文；最后，在計算節(jié)點上部署外聯(lián)探測組件，一旦探測到外聯(lián)事件就報警并阻斷連接。

3.4 安全管理中心

安全管理中心主要對系統(tǒng)集中管理提出要求，通過安全集中管理平臺、4A系統(tǒng)、漏掃系統(tǒng)和日志審計系統(tǒng)來實現(xiàn)審計管理和集中管控。包括管理系統(tǒng)內(nèi)各用戶身份信息，對系統(tǒng)內(nèi)的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機設(shè)備等設(shè)備狀態(tài)集中監(jiān)測，對各設(shè)備的白名單庫和安全策略進行基線存儲管理。通過在各計算節(jié)點上安裝審計探頭，對收集到的原始審計信息進行深度分析，采用信息格式歸一化、信息內(nèi)容歸并、訪問信息關(guān)聯(lián)等手段，分析可能存在的安全風(fēng)險，并進行告警。審計事件主要有非法用戶登錄、用戶違規(guī)訪問文件資源、非法網(wǎng)絡(luò)連接、操作系統(tǒng)安全日志審計、運行日志、策略配置等內(nèi)容。

此外，核電廠應(yīng)制定網(wǎng)絡(luò)安全管理制度，對網(wǎng)絡(luò)設(shè)備的安全運行情況進行管理，并明確負(fù)責(zé)核電廠信息安全的組織機構(gòu)和職責(zé)，配備滿足管理要求的人員隊伍，為有效的信息安全管理提供支持。

4 結(jié)束語

無線通信技術(shù)的應(yīng)用可以有效減少核電廠中線纜和橋架的布置，可以提高對核電廠設(shè)備的監(jiān)控能力，無線通信平臺的搭建可以為智能核電提供基礎(chǔ)網(wǎng)絡(luò)，其將帶來可持續(xù)的優(yōu)勢效應(yīng)。隨著無線通信技術(shù)的不斷演進和創(chuàng)新，5G技術(shù)不再僅僅是更高速率、更大帶寬、更強能力的空中接口技術(shù)，而且是面向業(yè)務(wù)應(yīng)用和用戶體驗的智能網(wǎng)絡(luò)。它是一個多業(yè)務(wù)多技術(shù)融合的網(wǎng)絡(luò)，滿足未來包含廣泛數(shù)據(jù)和連接各種業(yè)務(wù)的快速發(fā)展需要。隨著5G技術(shù)的日益成熟，核電運營單位對5G技術(shù)應(yīng)用的可接受度會逐漸提高，其將引領(lǐng)核電廠向著更加數(shù)字化、智能化、信息化的方向發(fā)展，同時也符合國家建設(shè)5G行業(yè)虛擬專網(wǎng)、推動5G技術(shù)應(yīng)用于智能電廠等能源場景領(lǐng)域的重要戰(zhàn)略，為核電廠未來無線通信系統(tǒng)的研究提供了方向。

解決核電廠無線通信系統(tǒng)的網(wǎng)絡(luò)安全問題也不是一朝一夕，一蹴而就的事情，需要建立完備的法律制度體系、技術(shù)標(biāo)準(zhǔn)體系、技術(shù)防護體系、人才建設(shè)體系和監(jiān)督監(jiān)測體系，需要動員相關(guān)管理部門、系統(tǒng)研發(fā)廠商、系統(tǒng)集成商、設(shè)計單位、核電廠業(yè)主等多方面的力量協(xié)同解決。