南通供電公司 邰 楠

電網企業(yè)移動應用平臺安全設計研究

南通供電公司 邰 楠

隨著移動技術在電網企業(yè)應用不斷深化，為了保證企業(yè)的信息安全和集約管理，需要建立安全、可靠的移動應用支撐平臺。本文從電網企業(yè)的移動應用需求入手，分析了典型的移動應用平臺構架下的終端、網絡、平臺和應用存在的風險，針對風險源從終端安全、通道安全、邊界安全、應用安全、數(shù)據(jù)安全5個方面給出相應的技術解決方案，并對應用平臺的運維管理進行了探討。

智能電網；移動應用；信息安全

1.引言

隨著移動信息化時代的到來，移動互聯(lián)技術和傳統(tǒng)的企業(yè)信息化融合出現(xiàn)了企業(yè)移動信息技術。企業(yè)移動信息化是傳統(tǒng)的企業(yè)信息化的一個擴展和延伸，是企業(yè)利用智能移動終端和無線通信技術，隨時隨地開展各項商務、業(yè)務活動的創(chuàng)新模式，具有移動性、便捷、即時和個性化的特點。目前電網企業(yè)根據(jù)自身業(yè)務需要開展了多種移動應用的建設，主要集中在三個方面：（1）結合移動GIS的移動營銷，包括移動抄表、收費，用電檢查，智能搶修等；（2）移動作業(yè)，包括設備狀態(tài)管理、電纜施工管理、智能巡線等；（3）移動辦公，包括郵件辦理、待辦事宜提醒，通知公告等。

由于缺少整體規(guī)劃和統(tǒng)一管理，這些應用的部分功能（如身份認證、消息推送等）是一致的，重復建設造成了資源利用率低、系統(tǒng)關聯(lián)性差、安全風險點多，無法統(tǒng)一管理等的不利后果。為了解決上述問題，規(guī)范移動應用的建設和運行，建設一個移動應用支撐平臺顯得十分必要。

2.移動應用平臺簡介

所謂移動應用平臺就是為企業(yè)提供一個全方位的移動應用架構，涵蓋了移動應用平臺的前、后端（包括運行在移動設備的前端移動應用架構，在后臺提供服務的在軟硬件平臺），涉及開發(fā)框架、運行環(huán)境、后端移動服務平臺（MAM 和 MDM）、移動安全平臺、業(yè)務集成平臺（包括實施業(yè)務監(jiān)控和分析）等多個方面。

（1）定義一套標準化的開發(fā)框架，在前端提供標準開發(fā)組件，支持在平臺上構建營銷、生產、辦公等移動業(yè)務應用；

（2）提供統(tǒng)一的身份認證、應用商店、流程管理、消息發(fā)布、數(shù)據(jù)同步等基礎服務，支持各類移動業(yè)務系統(tǒng)的數(shù)據(jù)集中、應用集成；

（3）構建統(tǒng)一的移動安全框架，提供終端安全、網絡安全、應用安全、數(shù)據(jù)安全，保障移動業(yè)務應用安全可靠運行；

（4）建立統(tǒng)一運維平臺，提供配置管理、設備管理、移動應用管理和安全管控等功能，實現(xiàn)對各類移動終端和移動應用的集中管理和統(tǒng)一配置，實現(xiàn)移動運維流程優(yōu)化。

圖1為一個典型的平臺邏輯部署圖。

圖1　移動應用平臺邏輯部署圖

平臺整體分為4個區(qū)域外網、隔離區(qū)、安全區(qū)、內網，隔離區(qū)內部署接入服務，安全區(qū)為移動應用中間層部署區(qū)域，內網是核心數(shù)據(jù)區(qū)，各區(qū)之間用防火墻和隔離設備進行保護。

3.安全風險分析

移動應用擴展了企業(yè)信息網絡空間，為企業(yè)開展業(yè)務帶了諸多方便但同時也對企業(yè)信息安全帶來了挑戰(zhàn)，主要體現(xiàn)在：

（1）終端風險

移動智能終端主要是面向普通消費者設計的，iOS、Android目前還不具備有效的企業(yè)安全管控措施，如：沒有角色管理，用戶權限管理，無法獲得安全的獲得系統(tǒng)高級管理權限，這使得移動智能終端的使用難以符合企業(yè)的信息安全要求，容易受到攻擊。

（2）網絡風險

數(shù)據(jù)傳輸發(fā)生在公網，傳輸過程難免需要面對竊聽、信息泄漏等風險，同時網絡通道面臨拒絕服務式攻擊、網絡蠕蟲攻擊、重放攻擊等傳統(tǒng)網絡攻擊風險。

（3）業(yè)務應用風險

企業(yè)移動業(yè)務應用和用戶個人應用共存一臺終端，這給攻擊者提供了獲取個人信息、業(yè)務數(shù)據(jù)、敏感信息甚至進行數(shù)據(jù)篡改的攻擊機會，影響業(yè)務系統(tǒng)安全運行。

此外，作為一個信息系統(tǒng)，應用系統(tǒng)必須還要面對由于開發(fā)缺陷造成的sql注入、緩存溢出、惡意代碼植入以及因管理不到位造成的管理員濫用權限、數(shù)據(jù)備份策略不完整等各種威脅。

4.安全防護措施

依據(jù)《信息安全技術信息系統(tǒng)安全等級保護基本要求》中關于等級保護的分級標準，結合電力移動應用同時面向社會大眾提供服務的特點，移動應用平臺的安全保護等級定級為三級, 相應的平臺防護標準應滿足等級保護三級要求，需從物理、網絡、主機、數(shù)據(jù)、安全平臺等方面進行防護。主機及操作系統(tǒng)、數(shù)據(jù)庫、網絡設備的整體安全防護策略已經較為成熟，可參照《國家電網公司信息化“SG186工程”安全防護總體方案》、《國家電網公司智能電網信息安全防護總體方案（試行）》實施，由于篇幅的限制本文不作討論。

4.1終端安全

智能終端安全管理比較復雜，用戶終端設備及操作系統(tǒng)千差萬別，需要防護的方面也比較多，總的來說可以從選擇安全可靠的系統(tǒng)和軟件、應用軟件使用最小化、限制終端設備啟動的功能、加強敏感信息的保護、定期檢查終端設備軟件和系統(tǒng)漏洞幾個方面考慮，從技術上具體包括：

（1）建設終端和用戶管理系統(tǒng)，實現(xiàn)系統(tǒng)對終端的有效監(jiān)控，實現(xiàn)設備鎖定、用戶操作安全審計和遠程銷毀指定的應用數(shù)據(jù)功能，防止設備丟失帶來的數(shù)據(jù)泄露風險；

（2）利用安全沙箱技術，為企業(yè)應用程序在終端上創(chuàng)建獨立的安全存儲區(qū)，將用戶公私數(shù)據(jù)有效隔離；

（3）通過客戶端手勢密碼、動態(tài)口令、設置pin碼、短信校驗等技術手段，保證；

（4）終端登錄安全，有效阻止非授權登錄；

（5）統(tǒng)一安裝國內知名品牌的移動智能終端安全管理軟件，可以在一定程度防止后門程序的植入，及時修復已經公開的系統(tǒng)漏洞。

4.2網絡安全

為了防止網絡傳輸數(shù)據(jù)被非法竊聽、篡改，首先要做的就是與公網架設專線，避免混用線路。其次，使用多個運營商網絡通道實現(xiàn)鏈路冗余，當一條鏈路出現(xiàn)異常有另外一條鏈路作為備份鏈路使用，避免因運營商故障導致的鏈路故障對系統(tǒng)運行帶來影響。當然有關網絡設備也需使用冗余配置。使用防火墻、IDS（侵入檢測系統(tǒng)）/IPS（入侵防御系統(tǒng)）網絡防護設備對網絡流量進行檢測、控制，及時發(fā)現(xiàn)并處理網絡訪問中的異常行為，對端口掃描、木馬后門攻擊、IP碎片攻擊、網絡蠕蟲、拒絕服務等網絡攻擊進行攔截。

4.3邊界安全

從國家電網公司各級單位安全域分布示意圖（引用自《國家電網公司信息化“SG186”工程安全防護總體方案（試行）》）可見，平臺整體可分為互聯(lián)網、信息外網、信息內網三個區(qū)域。為保證移動平臺的安全，各區(qū)之間以及區(qū)內橫向通道之間都必須有相應的安全措施進行有效隔離和監(jiān)控。

圖2　國家電網公司各級單位安全域分布示意圖

邊界類型　安全控制措施　控制措施對應的安全產品實現(xiàn)互聯(lián)網邊界網絡訪問控制邊界流量和連接數(shù)控制遠程安全接入邊界入侵檢測內容過濾日志記錄與審計使用國產基于網絡的入侵檢測系統(tǒng)和入侵防御系統(tǒng)，提供對內部攻擊、外部攻擊和誤操作的實時保護，在網絡系統(tǒng)受到危害之前攔截和響應入侵。使用國產防火墻配置強化的訪問控制策略，抵御常規(guī)的網絡攻擊，監(jiān)控網絡存取和訪問，防止內部信息外泄，允許安裝平臺客戶端軟件的移動終端訪問應用平臺，拒絕非授權的終端訪問。部署前置接入網關和后置接入網關。前置接入網關工作在應用層，主要是對公務的URL請求進行識別分析和業(yè)務數(shù)據(jù)的內容過濾。后置接入網關負責在互聯(lián)網移動終端與平臺間建立安全數(shù)據(jù)通道，實現(xiàn)重要業(yè)務數(shù)據(jù)的加密傳輸、數(shù)字證書服務和業(yè)務安全交互。信息外網橫向域間邊界網絡訪問控制日志記錄與審計使用國產防火墻針和后置接入網關對業(yè)務系統(tǒng)間數(shù)據(jù)交互進行控制，設置業(yè)務間的訪問控制策略，配置IP、端口、服務類型、數(shù)據(jù)格式等具體信息，防止通過地址欺騙等手段非法訪問外網業(yè)務應用服務器、調用業(yè)務接口……信息內外網邊界　邏輯強隔離利用網絡安全隔離裝置進行防護，僅允許平臺外網限定的模塊訪問內網數(shù)據(jù)庫服務器。信息內網域間橫向邊界網絡訪問控制日志記錄與審計　同信息外網橫向域間邊界部分。

4.4應用安全

移動應用平臺的邏輯構架大致可分為四層：應用服務層，部署具體的應用模塊；支撐服務層，部署用戶管理、角色管理、權限管理、應用商店、配置管理、消息管理、數(shù)據(jù)同步、流程管理、日志管理等統(tǒng)一業(yè)務支撐應用模塊；設備服務層，部署終端管理、身份認證、接入控制等模塊；數(shù)據(jù)安全服務層，提供PKI、KMI、加密、解密和數(shù)字證書服務等數(shù)據(jù)安全傳輸和安全存儲等基礎服務。

圖3　移動應用平臺邏輯構架圖

應用的安全防護設計主要涉及支撐服務層、設備服務層和數(shù)據(jù)安全服務層。應用服務層中各模塊的安全問題，主要是由開發(fā)程序過程中的安全設計標準決定，由于開發(fā)平臺和工具各異，很難統(tǒng)一表達。

支撐服務層包含的模塊較多，需要安全防護設計的方面有：用戶管理、配置管理、權限管理、日志管理等。移動終端用戶分為公眾用戶和企業(yè)內部用戶，內部員工的定義和角色設定需與企業(yè)的統(tǒng)一框架中的用戶信息統(tǒng)一起來。系統(tǒng)的功能授權基于角色（如管理員、瀏覽用戶、業(yè)務角色用戶）支持細粒度的角色權限設置，支持一個用戶多個角色 ，角色定義的支持允許功能和禁止功能設置，角色用戶設置時需要與其工作性質對應，對于重要角色權限的設定或重要資源的分配需要有審核流程支持。用戶授權等配置管理功能只允許管理員角色的用戶操作。此外，系統(tǒng)的運維管理頁面需要單獨保護性定義，杜絕使用admin.jsp等常見管理入口配置，禁止通過Web頁面直接瀏覽服務端的目錄和文件。日志安全審計范圍應覆蓋平臺中的每個用戶和平臺中的所有重要安全事件，不僅包括登錄時間、權限變更、關鍵數(shù)據(jù)變更事件，還要包括跨業(yè)務應用層的業(yè)務邏輯、關鍵數(shù)據(jù)訪問重要行為等。日志記錄中不存儲敏感信息（不必要的系統(tǒng)詳細信息、會話標識符或密碼）。

設備服務層主要管理平臺和終端用戶的交互。用戶在進行身份認證時，可根據(jù)安全級別的不同使用手勢密碼、動態(tài)口令、短信密碼校驗、圖片校驗碼等多重手段進行身份確認。企業(yè)內部員工密碼必須使用高強度策略設置，密碼的長度必須為8個字符以上，且包含字母、數(shù)字和字符。對于專業(yè)系統(tǒng)應用的專用終端訪問請求，平臺需要對終端本身進行驗證，驗證信息包括設備序列號，MAC地址、所在地區(qū)信息等。用戶登錄成功登陸平臺后，系統(tǒng)可隨機分配會話標示，綁定當前IP地址、終端設備名等信息，保證用戶接入的唯一性，拒絕同一用戶同時間并發(fā)登錄。對于用戶多次登錄失敗應有用戶鎖定機制，限制當天不能再次登錄。限定用戶操作空閑時間不宜超過10分鐘，超時后自動關閉連接。用戶注銷或關閉應用后，服務端需及時清除用戶會話、釋放相關資源，防止被攻擊者利用。

數(shù)據(jù)安全服務層提供數(shù)據(jù)的安全存儲、傳輸和唯一性認證服務，主要功能在后置接入網關上實現(xiàn)。

4.5數(shù)據(jù)安全

數(shù)據(jù)是系統(tǒng)平臺安全保護的核心。在整個移動應用平臺的信息外網是不能存儲數(shù)據(jù)的，所有的數(shù)據(jù)必須存儲在信息內網，外網運行的數(shù)據(jù)必須通過安全設備的過濾從信息內網中獲取。信息外網運行數(shù)據(jù)包括：用戶身份數(shù)據(jù)、平臺運維數(shù)據(jù)、業(yè)務數(shù)據(jù)、消息數(shù)據(jù)等幾種。根據(jù)《國家電網公司保護商業(yè)秘密規(guī)定》的要求，涉及公司秘密的業(yè)務應用不得在移動交互平臺上運行。

數(shù)據(jù)在平臺傳輸和存儲過程中的安全防護措施主要是加密、完整性校驗和完善的數(shù)據(jù)備份策略3個方面。對于如用戶信息、密碼、系統(tǒng)配置數(shù)據(jù)等敏感數(shù)據(jù)在數(shù)據(jù)庫中必須使用SM3、SM4算法加密存儲，數(shù)據(jù)輸入需要通過程序的邏輯校驗和數(shù)據(jù)庫約束條件進行限制，重要業(yè)務數(shù)據(jù)輸出需要通過權限二次復核才能允許發(fā)布。移動終端和應用平臺的數(shù)據(jù)交互需采用https協(xié)議傳輸，平臺接口數(shù)據(jù)交互可通過哈希單向運算、SSL、SSH等方式實現(xiàn)加密處理，禁止明文傳輸。

5.安全管理

對于企業(yè)信息安全管理，規(guī)范、有效的安全管理過程永遠是最重要的保障。只有高標準的建立安全體系并為之配套建立相應的管理制度，將管理體系切實落實，才能從根本上保障企業(yè)信息安全。

在每個業(yè)務系統(tǒng)從需求分析、開發(fā)、測試、上線開始直至日常運維、下線的信息系統(tǒng)生命周期全過程中，需嚴格執(zhí)行國家電網公司在等級保護定級、安全需求分析、安全編碼、上線測評等關鍵環(huán)節(jié)的系列重要規(guī)章制度?；谝苿討媒ㄔO和運維的特點，移動應用平臺具體管理建設可包括：（1）項目開發(fā)生命全周期管理，和傳統(tǒng)的信息項目管理沒有區(qū)別；（2）平臺運維管理，加強平臺日常監(jiān)控力度，定期進行系統(tǒng)安全弱點掃描，規(guī)范日常操作及時發(fā)現(xiàn)潛在的問題，明確各部門責任和管理流程，突出安全事件的響應速度；（3）終端管理，加強外網移動終端的接入管理，規(guī)范移動終端的使用，實現(xiàn)終端注冊、使用、注銷、鎖定、遠程數(shù)據(jù)擦除的全過程管理。

6.結束語

移動互聯(lián)是目前社會發(fā)展方向，面對電網企業(yè)不斷提升信息化水平、更好服務社會的需求，移動應用將越來越多的出現(xiàn)企業(yè)日常運行。而在移動互聯(lián)網絡技術不斷更新與發(fā)展的同時，也帶來了新的隱患，這就使得企業(yè)移動應用安全成為企業(yè)信息化中的重要研究項目。因此，本文研究了移動應用平臺在電力企業(yè)的應用，分析了移動應用平臺典型的結構和威脅風險，對移動互聯(lián)網防護關鍵技術的進行了較為全面和深入的研究。

[1]劉曉東.電網企業(yè)移動應用研究[J].中國電業(yè)（技術版）,2012(11).

[2]吳石松,劉曄.電力企業(yè)移動智能終端安全應用初探[J].現(xiàn)代計算機,2013(12).

[3]徐震,劉韌,于愛民,汪丹.智能電網中的移動應用安全技術[J].電力系統(tǒng)自動化,2012(16).

[4]李彬,田毅.企業(yè)移動應用平臺展望[J].信息通信,2015(1).

邰楠（1975—），男，江蘇南通人，工程師，研究方向為電力企業(yè)管理信息化。