周峰

摘要

代收電費銀企聯網是電網企業加快電費回收、提高營銷客服質量、縮短資金在途時間的有力技術支撐。本文闡述了南通供電公司銀企聯網的部署方案、系統功能和相關安全配置，對存在的安全風險進行分析，并介紹了目前可行的防護方案。

【關鍵詞】電網企業 電費 銀企聯網 信息安全

1 引言

近年來，隨著當今社會互聯網的迅猛發展，社會整體信息化應用水平大幅提升，電費收繳手段日趨多樣化，信用卡扣、代收網點、移動支付等多種方式的引入，在給公眾帶來便捷的同時，也對電網企業電費代收數據網絡的信息安全帶來了諸多挑戰。由于信息網絡具有聯結形式多樣性，終端分布不均勻性，網絡開放性和互聯性等特征，致使網絡己受到黑客和其它不軌行為的攻擊。信息網絡在給人們帶來極大快捷和便利的同時，也給電網企業和銀行帶來了巨大的風險。如果電網企業的營銷數據、客戶隱私、銀行的單據等關鍵信息落入黑產、惡意用戶，將給企業、銀行帶來廣泛、不可彌補的經濟損失，同時也損害公共事業的形象聲譽。

2 銀企聯網安全性分析

2.1 電網企業與銀行的聯網方式

國網南通供電公司與中、農、工、建行、電信、移動公司等十家單位都采取集中聯網方式，實現數據集中管理，由供電公司的電力營銷主機通過前置機與銀行主機的實現互聯。銀、電雙方的前置機通過供電公司鋪設的專用裸光纖或電信、移動等專線進行互聯。

銀企聯網兩側MQ前置機的連接方式分兩種：長連接與短連接。短連接是指每筆業務處理時都即時建立連接，當業務處理完畢后立刻釋放該連接，下一筆業務處理開始時重新建立連接。長連接是發起請求后就一直保持原來的連接，一筆業務結束時不會釋放原有連接。短連接處理業務的數量不會受到限制，但當大量短連接建立時，會使電網企業前置機和后臺服務器性能受到影響，嚴重時會導致系統死機。而長連接可靠性高，業務處理響應迅速，當交易高峰期很多請求同時到達時由于通道限制會拒絕部分請求。南通供電公司銀企聯網由于前期部署的裸光纖專用通道，根據南通市區各家銀行的分布情況，通過OSPF組成兩個三層環網，為電費代收業務提供了一個穩定、安全的光纖專用通道，因而選擇了長連接方式，保證銀企系統響應的及時性。

2.2 銀企聯網系統構架及業務處理流程

銀企聯網系統由MQ前置機、后臺主服務器、邊界防火墻、銀企各方的交換機、專用裸光纖通道等組成（如圖1所示）。南通供電公司主站側采用三臺高性能PC刀片式服務器，各家銀行、電信、移動公司的業務互聯分散部署其上，兩側前置機的通信不影響銀企各自的內部業務。

銀企聯網系統業務處理流程如圖2所示，當客戶在銀行繳納電費時，由銀行柜臺終端訪問銀行內部主服務器，通過銀行的銀企聯網MQ前置機，向電網企業的MQ前置機發出請求，電網MQ前置機在接受請求后，對請求進行處理和響應，并根據請求在電網企業營銷系統中查找對應的電費賬單，并根據規定響應流程進行結算處理，得到結果后將對側請求的信息交給電網MQ前置機，通過銀企聯網傳遞給銀行MQ前置機，最終分配給提出請求的銀行柜臺，客戶據此進行電費繳納，銀行會再次通過該通道將繳費情況反饋給電網企業。銀企雙方確認完畢后，完成該用戶的電費繳納業務處理流程。

2.3 銀企聯網的安全設置現狀

代收電費銀企聯網是銀行與電網企業雙方內部主服務器的連接通道，理論上講，銀企雙方都有受到來自對側攻擊的可能性，在網絡結構上看雙方是在傳輸層實現連接的，常見的被攻擊方式有：通過遠程訪問端口（21/23/445/3389等端口）滲透并獲得對方前置機的管理權限，通過該跳板進而攻擊對方內部網絡;通過模仿對側IP或數據包，發送惡意代碼，從而越權獲得關鍵服務器管理員權限。因此必須在關口設置安全措施。

（1）多層安全保護措施：南通的銀企聯網通道采用南通供電公司鋪設的光纖專網，銀行和供電公司兩側各自設置專用MQ前置機、邊界防火墻、采用白名單策略、私有IP地址、規定數據包格式、實時檢測數據包合法性等方法，來識別訪問者的合法性，防止惡意用戶的滲透攻擊，保證供電公司與銀行雙方業務數據及聯網系統的安全性;

（2）統一、規范、可靠的通信規約：銀企聯網系統提供了代收電費銀行認可的通信規約，聯網銀行統一按電網企業提供的通信規約與電網企業的營銷系統實現數據互通，實時交換規定信息，保證代收電費銀企聯網的順利握手和可靠運行;

（3）銀企雙方路由器外側第三方邊界架設防火墻和IDS（入侵檢測裝置），配置最低權限安全策略，任何數據請求首先必須到達防火墻，合法的請求經防火墻處理后進入內部網絡，IDS對每條數據進行檢測分析，能夠識別外來訪問的合法性和合理性，并記錄非法的請求并實時告警，同時記錄任何對后臺服務器數據的修改操作;

（4）系統同時與多家銀行實時聯網：可以降低僅有單個銀行代收電費帶來的風險，引入競爭機制，降低電費代收的運營成本，同時方便客戶繳納電費;

（5）完善對帳、銷賬、審賬、監控管理制度：電網企業與各家銀行簽署電費代收相關協議、制定審計制度保障聯網收費的準確率，有效控制誤差。

3 銀企聯網的安全性優化

（1）由于銀企聯網的設備絕大部分部署在電網企業、銀行的核心機房，有專人負責，安全設施齊全，而暴露在公共區域的銀企聯網中間的互聯通道，存在外力破壞和惡意攻擊風險。南通供電公司采用實時網管監控，監測銀企聯網通道鏈路的連通性，當鏈路中斷時會實時報警，并給網管工程師發送中斷鏈路短消息，方便工程師及時查看故障鏈路，并及時恢復。

（2）銀企聯網供電側防火墻采用：由內至外，由外至內雙向實行白名單制度，根據需要開放必要端口和對側IPo在銀企前置機與內網架設正反向隔離裝置，只允許固定格式文件傳輸。

（3）銀企聯網屬于第三方邊界，建立專項接入管理制度，界定銀企聯網雙方互聯通道的技術要求和管理要求，如表1所示。

4 結語

隨著信息技術、通信技術的進步，電網企業對外業務信息化的不斷開拓，其第三方邊界互聯將會日益增多。銀企聯網系統為電網企業代收電費提供實時電費回收和賬務結算平臺的同時，也帶來了網絡與信息安全風險，只有不斷推進完善銀企聯網安全防護的技術手段和管理制度，制定合理方案、標準的操作流程和規范安全體系，才能為電網企業運營和社會經濟順暢流轉提供關鍵業務支撐。

參考文獻

[1]袁津生.計算機網絡安全基礎[M].北京：人民郵電出版社，2013.

[2]湯奕，王琦，倪明.電力信息物理融合系統中的網絡攻擊分析[J].電力系統自動化，2016（06）：4.

[3]熊海青.大數據背景下計算機網絡安全防范措施[J].計算機光盤軟件與應用，2015，02：160.