電網企業移動應用平臺安全設計研究

南通供電公司 邰 楠

電網企業移動應用平臺安全設計研究

南通供電公司 邰 楠

隨著移動技術在電網企業應用不斷深化，為了保證企業的信息安全和集約管理，需要建立安全、可靠的移動應用支撐平臺。本文從電網企業的移動應用需求入手，分析了典型的移動應用平臺構架下的終端、網絡、平臺和應用存在的風險，針對風險源從終端安全、通道安全、邊界安全、應用安全、數據安全5個方面給出相應的技術解決方案，并對應用平臺的運維管理進行了探討。

智能電網；移動應用；信息安全

1.引言

隨著移動信息化時代的到來，移動互聯技術和傳統的企業信息化融合出現了企業移動信息技術。企業移動信息化是傳統的企業信息化的一個擴展和延伸，是企業利用智能移動終端和無線通信技術，隨時隨地開展各項商務、業務活動的創新模式，具有移動性、便捷、即時和個性化的特點。目前電網企業根據自身業務需要開展了多種移動應用的建設，主要集中在三個方面：（1）結合移動GIS的移動營銷，包括移動抄表、收費，用電檢查，智能搶修等；（2）移動作業，包括設備狀態管理、電纜施工管理、智能巡線等；（3）移動辦公，包括郵件辦理、待辦事宜提醒，通知公告等。

由于缺少整體規劃和統一管理，這些應用的部分功能（如身份認證、消息推送等）是一致的，重復建設造成了資源利用率低、系統關聯性差、安全風險點多，無法統一管理等的不利后果。為了解決上述問題，規范移動應用的建設和運行，建設一個移動應用支撐平臺顯得十分必要。

2.移動應用平臺簡介

所謂移動應用平臺就是為企業提供一個全方位的移動應用架構，涵蓋了移動應用平臺的前、后端（包括運行在移動設備的前端移動應用架構，在后臺提供服務的在軟硬件平臺），涉及開發框架、運行環境、后端移動服務平臺（MAM 和 MDM）、移動安全平臺、業務集成平臺（包括實施業務監控和分析）等多個方面。

（1）定義一套標準化的開發框架，在前端提供標準開發組件，支持在平臺上構建營銷、生產、辦公等移動業務應用；

（2）提供統一的身份認證、應用商店、流程管理、消息發布、數據同步等基礎服務，支持各類移動業務系統的數據集中、應用集成；

（3）構建統一的移動安全框架，提供終端安全、網絡安全、應用安全、數據安全，保障移動業務應用安全可靠運行；

（4）建立統一運維平臺，提供配置管理、設備管理、移動應用管理和安全管控等功能，實現對各類移動終端和移動應用的集中管理和統一配置，實現移動運維流程優化。

圖1為一個典型的平臺邏輯部署圖。

圖1　移動應用平臺邏輯部署圖

平臺整體分為4個區域外網、隔離區、安全區、內網，隔離區內部署接入服務，安全區為移動應用中間層部署區域，內網是核心數據區，各區之間用防火墻和隔離設備進行保護。

3.安全風險分析

移動應用擴展了企業信息網絡空間，為企業開展業務帶了諸多方便但同時也對企業信息安全帶來了挑戰，主要體現在：

（1）終端風險

移動智能終端主要是面向普通消費者設計的，iOS、Android目前還不具備有效的企業安全管控措施，如：沒有角色管理，用戶權限管理，無法獲得安全的獲得系統高級管理權限，這使得移動智能終端的使用難以符合企業的信息安全要求，容易受到攻擊。

（2）網絡風險

數據傳輸發生在公網，傳輸過程難免需要面對竊聽、信息泄漏等風險，同時網絡通道面臨拒絕服務式攻擊、網絡蠕蟲攻擊、重放攻擊等傳統網絡攻擊風險。

（3）業務應用風險

企業移動業務應用和用戶個人應用共存一臺終端，這給攻擊者提供了獲取個人信息、業務數據、敏感信息甚至進行數據篡改的攻擊機會，影響業務系統安全運行。

此外，作為一個信息系統，應用系統必須還要面對由于開發缺陷造成的sql注入、緩存溢出、惡意代碼植入以及因管理不到位造成的管理員濫用權限、數據備份策略不完整等各種威脅。

4.安全防護措施

依據《信息安全技術信息系統安全等級保護基本要求》中關于等級保護的分級標準，結合電力移動應用同時面向社會大眾提供服務的特點，移動應用平臺的安全保護等級定級為三級, 相應的平臺防護標準應滿足等級保護三級要求，需從物理、網絡、主機、數據、安全平臺等方面進行防護。主機及操作系統、數據庫、網絡設備的整體安全防護策略已經較為成熟，可參照《國家電網公司信息化“SG186工程”安全防護總體方案》、《國家電網公司智能電網信息安全防護總體方案（試行）》實施，由于篇幅的限制本文不作討論。

4.1終端安全

智能終端安全管理比較復雜，用戶終端設備及操作系統千差萬別，需要防護的方面也比較多，總的來說可以從選擇安全可靠的系統和軟件、應用軟件使用最小化、限制終端設備啟動的功能、加強敏感信息的保護、定期檢查終端設備軟件和系統漏洞幾個方面考慮，從技術上具體包括：

（1）建設終端和用戶管理系統，實現系統對終端的有效監控，實現設備鎖定、用戶操作安全審計和遠程銷毀指定的應用數據功能，防止設備丟失帶來的數據泄露風險；

（2）利用安全沙箱技術，為企業應用程序在終端上創建獨立的安全存儲區，將用戶公私數據有效隔離；

（3）通過客戶端手勢密碼、動態口令、設置pin碼、短信校驗等技術手段，保證；

（4）終端登錄安全，有效阻止非授權登錄；

（5）統一安裝國內知名品牌的移動智能終端安全管理軟件，可以在一定程度防止后門程序的植入，及時修復已經公開的系統漏洞。

4.2網絡安全

為了防止網絡傳輸數據被非法竊聽、篡改，首先要做的就是與公網架設專線，避免混用線路。其次，使用多個運營商網絡通道實現鏈路冗余，當一條鏈路出現異常有另外一條鏈路作為備份鏈路使用，避免因運營商故障導致的鏈路故障對系統運行帶來影響。當然有關網絡設備也需使用冗余配置。使用防火墻、IDS（侵入檢測系統）/IPS（入侵防御系統）網絡防護設備對網絡流量進行檢測、控制，及時發現并處理網絡訪問中的異常行為，對端口掃描、木馬后門攻擊、IP碎片攻擊、網絡蠕蟲、拒絕服務等網絡攻擊進行攔截。

4.3邊界安全

從國家電網公司各級單位安全域分布示意圖（引用自《國家電網公司信息化“SG186”工程安全防護總體方案（試行）》）可見，平臺整體可分為互聯網、信息外網、信息內網三個區域。為保證移動平臺的安全，各區之間以及區內橫向通道之間都必須有相應的安全措施進行有效隔離和監控。

圖2　國家電網公司各級單位安全域分布示意圖

邊界類型　安全控制措施　控制措施對應的安全產品實現互聯網邊界網絡訪問控制邊界流量和連接數控制遠程安全接入邊界入侵檢測內容過濾日志記錄與審計使用國產基于網絡的入侵檢測系統和入侵防御系統，提供對內部攻擊、外部攻擊和誤操作的實時保護，在網絡系統受到危害之前攔截和響應入侵。使用國產防火墻配置強化的訪問控制策略，抵御常規的網絡攻擊，監控網絡存取和訪問，防止內部信息外泄，允許安裝平臺客戶端軟件的移動終端訪問應用平臺，拒絕非授權的終端訪問。部署前置接入網關和后置接入網關。前置接入網關工作在應用層，主要是對公務的URL請求進行識別分析和業務數據的內容過濾。后置接入網關負責在互聯網移動終端與平臺間建立安全數據通道，實現重要業務數據的加密傳輸、數字證書服務和業務安全交互。信息外網橫向域間邊界網絡訪問控制日志記錄與審計使用國產防火墻針和后置接入網關對業務系統間數據交互進行控制，設置業務間的訪問控制策略，配置IP、端口、服務類型、數據格式等具體信息，防止通過地址欺騙等手段非法訪問外網業務應用服務器、調用業務接口……信息內外網邊界　邏輯強隔離利用網絡安全隔離裝置進行防護，僅允許平臺外網限定的模塊訪問內網數據庫服務器。信息內網域間橫向邊界網絡訪問控制日志記錄與審計　同信息外網橫向域間邊界部分。

4.4應用安全

移動應用平臺的邏輯構架大致可分為四層：應用服務層，部署具體的應用模塊；支撐服務層，部署用戶管理、角色管理、權限管理、應用商店、配置管理、消息管理、數據同步、流程管理、日志管理等統一業務支撐應用模塊；設備服務層，部署終端管理、身份認證、接入控制等模塊；數據安全服務層，提供PKI、KMI、加密、解密和數字證書服務等數據安全傳輸和安全存儲等基礎服務。

圖3　移動應用平臺邏輯構架圖

應用的安全防護設計主要涉及支撐服務層、設備服務層和數據安全服務層。應用服務層中各模塊的安全問題，主要是由開發程序過程中的安全設計標準決定，由于開發平臺和工具各異，很難統一表達。

支撐服務層包含的模塊較多，需要安全防護設計的方面有：用戶管理、配置管理、權限管理、日志管理等。移動終端用戶分為公眾用戶和企業內部用戶，內部員工的定義和角色設定需與企業的統一框架中的用戶信息統一起來。系統的功能授權基于角色（如管理員、瀏覽用戶、業務角色用戶）支持細粒度的角色權限設置，支持一個用戶多個角色 ，角色定義的支持允許功能和禁止功能設置，角色用戶設置時需要與其工作性質對應，對于重要角色權限的設定或重要資源的分配需要有審核流程支持。用戶授權等配置管理功能只允許管理員角色的用戶操作。此外，系統的運維管理頁面需要單獨保護性定義，杜絕使用admin.jsp等常見管理入口配置，禁止通過Web頁面直接瀏覽服務端的目錄和文件。日志安全審計范圍應覆蓋平臺中的每個用戶和平臺中的所有重要安全事件，不僅包括登錄時間、權限變更、關鍵數據變更事件，還要包括跨業務應用層的業務邏輯、關鍵數據訪問重要行為等。日志記錄中不存儲敏感信息（不必要的系統詳細信息、會話標識符或密碼）。

設備服務層主要管理平臺和終端用戶的交互。用戶在進行身份認證時，可根據安全級別的不同使用手勢密碼、動態口令、短信密碼校驗、圖片校驗碼等多重手段進行身份確認。企業內部員工密碼必須使用高強度策略設置，密碼的長度必須為8個字符以上，且包含字母、數字和字符。對于專業系統應用的專用終端訪問請求，平臺需要對終端本身進行驗證，驗證信息包括設備序列號，MAC地址、所在地區信息等。用戶登錄成功登陸平臺后，系統可隨機分配會話標示，綁定當前IP地址、終端設備名等信息，保證用戶接入的唯一性，拒絕同一用戶同時間并發登錄。對于用戶多次登錄失敗應有用戶鎖定機制，限制當天不能再次登錄。限定用戶操作空閑時間不宜超過10分鐘，超時后自動關閉連接。用戶注銷或關閉應用后，服務端需及時清除用戶會話、釋放相關資源，防止被攻擊者利用。

數據安全服務層提供數據的安全存儲、傳輸和唯一性認證服務，主要功能在后置接入網關上實現。

4.5數據安全

數據是系統平臺安全保護的核心。在整個移動應用平臺的信息外網是不能存儲數據的，所有的數據必須存儲在信息內網，外網運行的數據必須通過安全設備的過濾從信息內網中獲取。信息外網運行數據包括：用戶身份數據、平臺運維數據、業務數據、消息數據等幾種。根據《國家電網公司保護商業秘密規定》的要求，涉及公司秘密的業務應用不得在移動交互平臺上運行。

數據在平臺傳輸和存儲過程中的安全防護措施主要是加密、完整性校驗和完善的數據備份策略3個方面。對于如用戶信息、密碼、系統配置數據等敏感數據在數據庫中必須使用SM3、SM4算法加密存儲，數據輸入需要通過程序的邏輯校驗和數據庫約束條件進行限制，重要業務數據輸出需要通過權限二次復核才能允許發布。移動終端和應用平臺的數據交互需采用https協議傳輸，平臺接口數據交互可通過哈希單向運算、SSL、SSH等方式實現加密處理，禁止明文傳輸。

5.安全管理

對于企業信息安全管理，規范、有效的安全管理過程永遠是最重要的保障。只有高標準的建立安全體系并為之配套建立相應的管理制度，將管理體系切實落實，才能從根本上保障企業信息安全。

在每個業務系統從需求分析、開發、測試、上線開始直至日常運維、下線的信息系統生命周期全過程中，需嚴格執行國家電網公司在等級保護定級、安全需求分析、安全編碼、上線測評等關鍵環節的系列重要規章制度?；谝苿討媒ㄔO和運維的特點，移動應用平臺具體管理建設可包括：（1）項目開發生命全周期管理，和傳統的信息項目管理沒有區別；（2）平臺運維管理，加強平臺日常監控力度，定期進行系統安全弱點掃描，規范日常操作及時發現潛在的問題，明確各部門責任和管理流程，突出安全事件的響應速度；（3）終端管理，加強外網移動終端的接入管理，規范移動終端的使用，實現終端注冊、使用、注銷、鎖定、遠程數據擦除的全過程管理。

6.結束語

移動互聯是目前社會發展方向，面對電網企業不斷提升信息化水平、更好服務社會的需求，移動應用將越來越多的出現企業日常運行。而在移動互聯網絡技術不斷更新與發展的同時，也帶來了新的隱患，這就使得企業移動應用安全成為企業信息化中的重要研究項目。因此，本文研究了移動應用平臺在電力企業的應用，分析了移動應用平臺典型的結構和威脅風險，對移動互聯網防護關鍵技術的進行了較為全面和深入的研究。

[1]劉曉東.電網企業移動應用研究[J].中國電業（技術版）,2012(11).

[2]吳石松,劉曄.電力企業移動智能終端安全應用初探[J].現代計算機,2013(12).

[3]徐震,劉韌,于愛民,汪丹.智能電網中的移動應用安全技術[J].電力系統自動化,2012(16).

[4]李彬,田毅.企業移動應用平臺展望[J].信息通信,2015(1).

邰楠（1975—），男，江蘇南通人，工程師，研究方向為電力企業管理信息化。