現場作業終端安全接入防護的設計與應用

魏彤珈，王 晨，韓 迪，崔文武

（國網冀北電力有限公司電力科學研究院 北京 100045）

1 引言

隨著互聯網技術的深入應用，信息共享與協同工作、提升工作效率都帶來了極大的便利條件，與此同時，計算機病毒的泛濫、黑客攻擊等也給信息安全帶來了巨大的挑戰。

為確保信息安全，國家電網公司于2008年提出了“雙網隔離、雙網雙機”的政策，即通過隔離手段實現信息內網、信息外網的強隔離，切斷外網的攻擊，要求員工必須用不同的計算機接入內網與外網。該舉措有效地提升了信息安全水平，但由于內網接入條件嚴格，給專屬移動設備使用等情況下的移動應用的安全工作帶來了較大問題。

目前，計量現場作業終端通過采集VPN通道接入內網，并未實現數據傳輸加密、計量現場作業終端實時安全監控以及非法SIM卡、終端設備使用的有效管控，統一接入的安全性還需要進一步提升。

根據上述問題及現實情況，構建一個現場作業終端安全接入防護及監控管理已經成為接下來工作中所必須考慮和列上日程的事情。

2 現場作業終端的安全接入防護管理

2.1 電能計量密鑰

利用電能計量密鑰體系，對傳輸數據進行統一加密，現場作業終端與后端接入平臺通過安全單元及密碼機進行雙向加解密，保障數據在傳輸過程中的安全性。

（1）數據高強度加密：基于硬件密碼算法實現對數據的非對稱方式及對稱方式的高強度加密功能。

（2）動態密鑰協商：實現終端和接入網關之間基于專用密碼算法的密鑰協商功能，實現動態密鑰協商、密鑰更換、密鑰銷毀等功能。

（3）加密隧道管理：實現終端與接入網關間的雙向加密隧道，實現移動作業數據的安全保密傳輸等功能。

2.2 傳輸數據壓縮

實現對傳輸數據的壓縮處理。隨著現場作業的逐步開展，未來會有音頻、視頻等大量數據進行傳輸，為減少傳輸數據量、降低流量成本、提高傳輸速度，采取雙向數據壓縮處理。

數據壓縮管理：針對無線信道傳輸帶寬及信號質量等客觀條件考慮，對終端與接入網關間傳輸數據進行高效壓縮算法壓縮，實現數據的高效傳送。

2.3 數據脫敏處理

數據脫敏，指對某些敏感信息通過脫敏規則進行數據的變形，實現敏感數據的可靠保護。對重點用戶的數據進行脫敏處理，避免核心數據進行無線網絡傳輸，避免數據泄露風險，保障核心數據絕對安全。

（1）敏感信息規則設置∶敏感數據分類和分級是成功實施數據保護的第一步，分類主要依據包括數據的用途、價值、保存時間、泄露破壞影響、法律法規對數據保護的要求、訪問維護和修改數據人員等，根據實際需要脫敏的用戶情況設置敏感信息規則。

（2）數據脫敏管理：針對不同的重要用戶，可以對其選用不同的敏感信息規則，從而滿足不同的重要用戶的各種對數據保護的要求，并可以選擇需要進行脫敏處理的用戶進行脫敏處理的啟用、停用、歷史脫敏查詢等重要操作。

2.4 SIM卡終端管理

對SIM卡進行精細化管理，將SIM卡作為資產進行管理，并實現SIM卡與現場作業終端的機卡綁定，避免現場作業終端更換外網SIM卡、非法SIM卡接入采集VPN，避免非法設備接入采集VPN。

（1）終端設備與SIM卡綁定：根據SIM卡識別碼和終端設備識別碼的特性，可以將SIM卡、終端設備和人員信息進行關聯綁定，綁定后使SIM卡、終端設備和人員信息之間建立起相對應的關系，并且可以對關系進行綁定、解除綁定、設備停用啟用等，方便進行精細化管理及增強設備使用的安全性。

（2）雙向數字證書認證：基于數字證書等多種方式提供對移動終端的強身份認證功能，同時提供終端對接入網關身份的認證，從而實現雙向對等鑒別和認證功能。

（3）安全接入管理：提供對現場作業終端安全接入服務的高效、高速調度管理功能。在終端認證通過后，進行接入資源調配，提供相應安全接入服務。

2.5 終端實時安全監控

實現對現場作業終端的實時在線監測，保障接入的安全性。包括對終端安全注冊管理、安全訪問控制、安全授權等管理，以及對終端安全加固策略的實時更新、終端行為的實時監控管理，對終端實時通訊、會話狀態的全程安全監控、告警管理等，對現場作業終端接入與應用數據傳輸過程的全程應用訪問的安全監控、告警管理，現場作業終端實時運行狀態信息收集及監控管理，包括進程運行狀態、網絡訪問狀態、硬件接口狀態、主機資源占用狀態等安全狀態信息；

（1）終端狀態監控：實現對本級機構所屬終端的實時接入狀態、運行狀態監控。

（2）接入終端管理：實現對接入終端資產信息、硬件信息的維護，提供批量導入功能，同時提供終端自動注冊及準入控制等功能。

（3）流量審計：系統提供基于協議識別的流量分析功能，實時統計出當前網絡中的各種報文流量，進行綜合流量分析，為流量管理策略的制定提供可靠支持。

3 結語

通過平臺對設備的監控管理，實現設備異常時進行主動告警，避免非法設備接入，保障接入的安全性。通過現場作業終端實時運行狀態信息收集及監控管理，以充分保障系統運行安全。