鐘偉杰 李偉寧 王漢高 郭瑋 董衛(wèi)魏

一、引言

無線通信技術(shù)是有線通信技術(shù)進(jìn)化發(fā)展而來的一種更為便捷的數(shù)據(jù)傳輸技術(shù)，它能夠通過利用電磁波在空氣中傳播為載體進(jìn)行數(shù)據(jù)信息的傳遞，具有非常重要的價值。隨著社會的進(jìn)步和發(fā)展，以及智能手機、無線設(shè)備的普及，在電力信息系統(tǒng)中，許多工作人員逐漸讓平板電腦、手機、自帶筆記本電腦成為企業(yè)辦公網(wǎng)絡(luò)中的接入設(shè)備，實現(xiàn)諸如：辦公OA、即時通訊、文件發(fā)送等。這些BYOD設(shè)備的介入，使電力企業(yè)信息安全問題日益凸顯， 不法分子為了某種利益采取非法手段對無線網(wǎng)絡(luò)進(jìn)行攻擊，直接對無線網(wǎng)絡(luò)造成侵入獲取相關(guān)信息，極端情況下可能導(dǎo)致電力系統(tǒng)的癱瘓。如何為電力系統(tǒng)無線網(wǎng)絡(luò)提供安全防護(hù)，并有效的解除信息安全威脅，成為電力企業(yè)無線網(wǎng)絡(luò)建設(shè)和運營過程中首先要考慮的問題。

二、無線網(wǎng)絡(luò)的典型安全威脅

電力系統(tǒng)中，評價無線網(wǎng)絡(luò)是否具備足夠的安全性，主要參考網(wǎng)絡(luò)的保密性、完整性和可用性三大屬性。無線網(wǎng)絡(luò)的典型安全威脅主要體現(xiàn)在如下7種類型中。

（一）無線網(wǎng)傳輸過程中的信息泄漏

無線網(wǎng)絡(luò)是一個封閉的局域網(wǎng)，在這個網(wǎng)絡(luò)下，用戶可以根據(jù)自身的需要尋找到有用的資源，也能通過局域網(wǎng)進(jìn)行溝通交流。但是在傳輸層上，如果有侵入者采用高靈敏的天線進(jìn)行入侵，那么很容易就會實現(xiàn)網(wǎng)絡(luò)信息被盜取。這種方式不需要任何物理方式，就需要向目標(biāo)發(fā)送特定參數(shù)的配置信息，攻擊者就可以輕而易舉的得手，獲取大量信息。

（二）非法接入無線局域網(wǎng)絡(luò)

無線局域網(wǎng)絡(luò)的連接通常是需要身份驗證的，用戶在登入之前需要得到管理員的認(rèn)可，才能實現(xiàn)局域網(wǎng)絡(luò)的共享。不法分子通過某些途徑獲取身份驗證信息，然后接入無線網(wǎng)絡(luò)冒充工作人員實現(xiàn)資源的竊取和違規(guī)操作。這種入侵模式不需要經(jīng)過實名認(rèn)證就可以實現(xiàn)，對無線網(wǎng)絡(luò)安全威脅更為嚴(yán)重。

（三）未經(jīng)授權(quán)使用無線局域網(wǎng)絡(luò)相關(guān)服務(wù)

工作人員有時會因為更改密碼的麻煩而放棄更改初始密碼，直接使用原始密碼，這樣如果被不法分子利用，將會造成嚴(yán)重的后果。無線網(wǎng)絡(luò)的服務(wù)都需要相關(guān)服務(wù)認(rèn)證，攻擊者通過繞過服務(wù)認(rèn)證進(jìn)行使用網(wǎng)絡(luò)服務(wù)，偽裝成工作人員對網(wǎng)絡(luò)資源進(jìn)行竊取和使用，嚴(yán)重威脅了電力系統(tǒng)中資源的安全性，對企業(yè)內(nèi)部的穩(wěn)定運行造成了嚴(yán)重的威脅。

（四）服務(wù)和性能的限制

寬帶大小是固定的，所有工作人員所連接的無線網(wǎng)絡(luò)都是公用這個寬帶的，如果網(wǎng)絡(luò)流量出現(xiàn)過載，超過限額那么很容易出現(xiàn)網(wǎng)絡(luò)堵塞，工作人員無法實現(xiàn)正常的溝通交流和操作。攻擊者通常會采取發(fā)送大量的流量數(shù)據(jù)，促使帶寬資源不足，引發(fā)流量過載。還有通過發(fā)送廣播流量的方式，AP同樣會被阻塞，攻擊者占據(jù)了絕大部分的網(wǎng)絡(luò)寬帶，導(dǎo)致電力系統(tǒng)的網(wǎng)絡(luò)環(huán)境癱瘓。

（五）地址欺騙和會話攔截

無線網(wǎng)絡(luò)中很容易出現(xiàn)地址欺騙和繪畫攔截，ARP混亂就是使用欺騙幀的結(jié)果。攻擊者通過簡單地識別就會找到數(shù)據(jù)幀的地址，然后進(jìn)行地址欺騙和會話攔截。

（六）流量分析與流量偵聽

攻擊者對流量采取一定的措施能夠分析出其中漏洞，然后獲取漏洞侵入方式實現(xiàn)通信的終止和數(shù)據(jù)的攔截。這種流量監(jiān)聽和分析時無線網(wǎng)安全問題中較為常見的威脅。

（七）高級可持續(xù)入侵

高級可持續(xù)入侵（APT）通常需要繞過網(wǎng)絡(luò)安全防御設(shè)備，這樣的入侵者通常具有高技術(shù)水平，具有相當(dāng)成熟的網(wǎng)絡(luò)技術(shù)，一旦系統(tǒng)防護(hù)被其攻破，那么攻擊者就可以是肆無忌憚的出入電力系統(tǒng)而不被發(fā)現(xiàn)，這樣對系統(tǒng)的威脅更為嚴(yán)重。

二、電力系統(tǒng)中無線網(wǎng)絡(luò)的應(yīng)對措施

（一）通過法律途徑限制攻擊者入侵

在電力系統(tǒng)中無線網(wǎng)絡(luò)的使用要實現(xiàn)規(guī)范化，通過入侵等方式攻擊無線網(wǎng)絡(luò)，造成網(wǎng)絡(luò)癱瘓、數(shù)據(jù)丟失都是違法犯罪行為，對于這種行為應(yīng)該指定合理的監(jiān)控手段，對其入侵行為的證據(jù)要抓住，保證有法可依，有據(jù)可循。同時加快完善法律法規(guī)制度，對攻擊者的侵入行為進(jìn)行明確的定位，保證網(wǎng)絡(luò)安全。

（二）對無線網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)采用有效隔離

在遵循《電力監(jiān)控系統(tǒng)安全防護(hù)總體方案》（國能安全【2015】36號）的基礎(chǔ)上，對電力系統(tǒng)無線網(wǎng)絡(luò)進(jìn)行有效的分區(qū)分域和網(wǎng)絡(luò)隔離，無線網(wǎng)絡(luò)區(qū)域與互聯(lián)網(wǎng)區(qū)域、DMZ區(qū)域、IDC區(qū)域之間要求具備邊界安全安全隔離措施。安全域隔離措施包括網(wǎng)絡(luò)邏輯隔離、網(wǎng)絡(luò)物理隔離。無線網(wǎng)絡(luò)禁止直接接入企業(yè)的辦公網(wǎng)絡(luò)，采用網(wǎng)絡(luò)安全隔離（邏輯）措施訪問DMZ區(qū)域，單位內(nèi)部應(yīng)用系統(tǒng)的訪問必須經(jīng)過內(nèi)外網(wǎng)交換平臺、移動接入平臺接入。

（三）網(wǎng)絡(luò)安全設(shè)備、殺毒軟件部署和更新

無線網(wǎng)絡(luò)入侵對個人電腦的影響非常大，因此需要在個人電腦中安裝防火墻，防火墻能夠阻擋不正常的網(wǎng)絡(luò)行為，從而避免網(wǎng)絡(luò)攻擊。殺毒軟件能夠?qū)㈦娔X中存在的病毒查出并刪除，但是隨著攻擊者的攻擊性越來越強，且其網(wǎng)絡(luò)技術(shù)也非常厲害，病毒在不斷的更新，因此殺毒軟件需要經(jīng)常更新，以便于能夠識別出最新的病毒，保證電腦的安全。

（四）采用可靠的無線射頻阻斷技術(shù)

在無線網(wǎng)絡(luò)中，結(jié)合射頻信號及802.11特點，提供無線射頻阻斷安全策略，根據(jù)AP或Station的安全屬性定制無線網(wǎng)絡(luò)準(zhǔn)入規(guī)則，通過射頻信號阻斷非法用戶接入，建立射頻安全區(qū)，提供具有物理安全、可信的無線網(wǎng)絡(luò)。同時，配合安全無線控制器及安全無線接入點的接入控制，凈化可信網(wǎng)絡(luò)的非法接入、攻擊行為等網(wǎng)絡(luò)環(huán)境，為電力系統(tǒng)無線網(wǎng)絡(luò)用戶提供穩(wěn)定、高效的網(wǎng)絡(luò)應(yīng)用。

（五）電力系統(tǒng)無線網(wǎng)絡(luò)用戶提高自我保護(hù)意識

工作人員需要對自己的密碼和身份信息保密，不能將其外接，一旦不法分子使用工作人員的帳號登錄網(wǎng)絡(luò)，該工作人員將會承擔(dān)連帶責(zé)任。同時還要定期的更改登錄口令，保證密碼管理不泄露。對于移動存儲介質(zhì)一定要定期殺毒，并且不能外借。

（六）不斷提升安全防護(hù)能力

局域網(wǎng)網(wǎng)絡(luò)安全技術(shù)的提升是阻止攻擊者入侵的最佳途徑，先進(jìn)的防護(hù)手段能夠遏制絕大部分攻擊者，如果攻擊者在利益的驅(qū)使下，對擁有先進(jìn)防護(hù)技術(shù)的無線網(wǎng)路進(jìn)行攻擊，他就需要學(xué)習(xí)先進(jìn)的網(wǎng)絡(luò)技術(shù)，那樣對于攻擊者來說是得不償失的。防護(hù)技術(shù)同時也在不斷升級，要始終走在攻擊者的前面，保證攻擊者不具備侵入的能力。

三、結(jié)語

在電力系統(tǒng)中，無線局域網(wǎng)的應(yīng)用非常重要，尤其是在工作效率要求非常高的今天，而無線網(wǎng)絡(luò)的安全問題日益突出，對于電力系統(tǒng)來說，保證無線網(wǎng)絡(luò)的安全穩(wěn)定就是保證電力系統(tǒng)穩(wěn)定運行的基礎(chǔ)因素，因此本文主要分析了無線局域網(wǎng)的安全威脅和解決途徑。對于無線網(wǎng)絡(luò)的威脅分為無線網(wǎng)傳輸過程中的安全、非法接入無線局域網(wǎng)絡(luò)、未經(jīng)授權(quán)使用無線局域網(wǎng)絡(luò)相關(guān)服務(wù)、服務(wù)和性能的限制、地址欺騙和會話攔截、流量分析與流量偵聽以及高級入侵幾類。對于這些威脅的解決措施包括通過法律途徑限制攻擊者入侵、電力系統(tǒng)無線網(wǎng)絡(luò)用戶提高自我保護(hù)意識、注意系統(tǒng)維護(hù)、防火墻軟件、殺毒軟件安裝和更新、預(yù)防和控制網(wǎng)絡(luò)病毒的入侵和傳播以及不斷提升安全技術(shù)。無線網(wǎng)絡(luò)發(fā)展能夠幫助我國經(jīng)濟(jì)取得巨大的進(jìn)步，各行各業(yè)的大趨勢就是應(yīng)用無線網(wǎng)絡(luò)實現(xiàn)辦公和溝通的便捷化。由于筆者學(xué)識有限，本文中若有不足之處，請讀者指出。