(國(guó)網(wǎng)重慶市電力公司，重慶 400012)

1 電力移動(dòng)作業(yè)應(yīng)用信息安全風(fēng)險(xiǎn)分析

1.1 防護(hù)現(xiàn)狀

近年來(lái)在“移動(dòng)互聯(lián)網(wǎng)+”發(fā)展趨勢(shì)下，國(guó)網(wǎng)重慶市電力公司(以下簡(jiǎn)稱“公司”)已經(jīng)在生產(chǎn)、營(yíng)銷(xiāo)、物資、基建、財(cái)務(wù)等方面開(kāi)展移動(dòng)業(yè)務(wù)系統(tǒng)的規(guī)劃和建設(shè)，用于向公司員工和電力用戶提供更加開(kāi)放、智能的服務(wù)，開(kāi)展線路巡檢、應(yīng)急搶修、業(yè)擴(kuò)報(bào)裝、安全監(jiān)督、工程管理、倉(cāng)儲(chǔ)管理、機(jī)房巡視等現(xiàn)場(chǎng)作業(yè)，實(shí)現(xiàn)了管理和業(yè)務(wù)在現(xiàn)場(chǎng)的延伸覆蓋，提高了各專業(yè)工作質(zhì)量和現(xiàn)場(chǎng)工作效率，減輕了一線員工負(fù)擔(dān)，促進(jìn)了安全生產(chǎn)和優(yōu)質(zhì)服務(wù)。

電力移動(dòng)作業(yè)應(yīng)用強(qiáng)化了公司員工、合作伙伴和電力客戶間的聯(lián)系，實(shí)現(xiàn)了業(yè)務(wù)信息的實(shí)時(shí)流動(dòng)和共享，在提高工作效率，為個(gè)人和公司帶來(lái)便利的同時(shí)也引入了極大的安全風(fēng)險(xiǎn)[1-2]。作為近年的技術(shù)熱點(diǎn)，移動(dòng)應(yīng)用已經(jīng)成為各類黑客組織和非法團(tuán)隊(duì)的重點(diǎn)攻擊目標(biāo)之一，這些攻擊者分析并利用移動(dòng)應(yīng)用中的各類安全漏洞，植入惡意代碼，獲取設(shè)備權(quán)限，侵入企業(yè)網(wǎng)絡(luò)，竊取信息數(shù)據(jù)，為企業(yè)和個(gè)人財(cái)產(chǎn)、聲譽(yù)帶來(lái)嚴(yán)重?fù)p失。電力企業(yè)作為國(guó)民基礎(chǔ)設(shè)施，一旦遭受攻擊，可能對(duì)國(guó)家和社會(huì)造成重大影響。

1.2 風(fēng)險(xiǎn)分析

隨著移動(dòng)互聯(lián)網(wǎng)技術(shù)在電網(wǎng)業(yè)務(wù)各環(huán)節(jié)中的廣泛應(yīng)用，面向智能電網(wǎng)的互動(dòng)化業(yè)務(wù)從終端、傳輸?shù)綉?yīng)用服務(wù)各層所面臨的安全挑戰(zhàn)不斷增加，移動(dòng)設(shè)備的使用使得原有的許多安全防護(hù)措施失去效用，在經(jīng)由非受控的網(wǎng)絡(luò)進(jìn)行交互，或在非受控的終端設(shè)備上處理企業(yè)業(yè)務(wù)的過(guò)程中，均可能造成企業(yè)數(shù)據(jù)的流失、損壞，同時(shí)企業(yè)網(wǎng)絡(luò)也更加容易被侵入。特別是隨著海量移動(dòng)終端的接入，網(wǎng)絡(luò)邊界進(jìn)一步向用戶側(cè)延伸，用戶側(cè)安全隱患增加，用戶側(cè)的安全威脅將越來(lái)越突出。移動(dòng)作業(yè)應(yīng)用在終端側(cè)、網(wǎng)絡(luò)側(cè)及服務(wù)端部署了相應(yīng)的安全防護(hù)措施，但仍存在安全風(fēng)險(xiǎn)。

1.2.1 終端層風(fēng)險(xiǎn)分析

終端層主要面臨的風(fēng)險(xiǎn)如下。①設(shè)備遺失或被盜風(fēng)險(xiǎn)：移動(dòng)終端體積小、易攜帶，丟失的可能性亦增大。一旦設(shè)備丟失，設(shè)備中存儲(chǔ)的數(shù)據(jù)可能發(fā)生泄露，設(shè)備可能被非法冒用。②終端仿冒風(fēng)險(xiǎn)：攻擊者通過(guò)仿冒公司移動(dòng)終端，非法接入公司網(wǎng)絡(luò)，從而獲取相關(guān)業(yè)務(wù)及數(shù)據(jù)的訪問(wèn)權(quán)限，非法獲取公司敏感數(shù)據(jù)，甚至攻擊主站業(yè)務(wù)。③終端數(shù)據(jù)竊取風(fēng)險(xiǎn)：通過(guò)技術(shù)手段非法獲取移動(dòng)終端或應(yīng)用中存儲(chǔ)的數(shù)據(jù)，引發(fā)敏感信息泄露風(fēng)險(xiǎn)。④終端漏洞被惡意利用風(fēng)險(xiǎn)：智能移動(dòng)終端的操作系統(tǒng)、應(yīng)用程序、固件存在漏洞，惡意攻擊者可利用這些漏洞開(kāi)展各種形式的攻擊，導(dǎo)致終端被非法控制。⑤移動(dòng)應(yīng)用程序破解風(fēng)險(xiǎn)：惡意攻擊者通過(guò)反編譯破解代碼，一方面可分析業(yè)務(wù)流程及安全機(jī)制，進(jìn)而直接攻擊業(yè)務(wù)主站系統(tǒng)，另一方面可對(duì)源程序進(jìn)行篡改，在其中植入惡意代碼并惡意發(fā)布。

1.2.2 網(wǎng)絡(luò)層風(fēng)險(xiǎn)分析

網(wǎng)絡(luò)層主要面臨的風(fēng)險(xiǎn)如下。①非法網(wǎng)絡(luò)接入風(fēng)險(xiǎn)：通過(guò)非法網(wǎng)絡(luò)接入點(diǎn)訪問(wèn)公司內(nèi)部網(wǎng)絡(luò)，導(dǎo)致公司網(wǎng)絡(luò)安全管理不可控或敏感數(shù)據(jù)泄露等安全風(fēng)險(xiǎn)。②傳輸安全風(fēng)險(xiǎn)：移動(dòng)網(wǎng)絡(luò)的開(kāi)放特性，導(dǎo)致攻擊者可以找到更多的接入點(diǎn)進(jìn)行入侵，如釣魚(yú)攻擊或中間人攻擊。攻擊者通過(guò)攔截傳輸數(shù)據(jù)，竊聽(tīng)網(wǎng)絡(luò)數(shù)據(jù)，從而惡意攻擊、干擾、破壞、篡改數(shù)據(jù)。

1.2.3 服務(wù)層風(fēng)險(xiǎn)分析

移動(dòng)作業(yè)應(yīng)用可能存在業(yè)務(wù)邏輯缺陷，攻擊者可繞過(guò)現(xiàn)有安全策略，非法獲取業(yè)務(wù)信息和權(quán)限，如越權(quán)查看其他用戶業(yè)務(wù)信息、非法修改他人賬戶密碼，或通過(guò)技術(shù)手段繞過(guò)有效性驗(yàn)證，提交非法數(shù)據(jù)，導(dǎo)致數(shù)據(jù)溢出或原始數(shù)據(jù)被篡改。

2 電力移動(dòng)作業(yè)應(yīng)用安全防護(hù)要求

為保障電力移動(dòng)應(yīng)用安全，前期公司在智能電網(wǎng)安全防護(hù)方案、信息安全頂層設(shè)計(jì)中，進(jìn)行了移動(dòng)安全專項(xiàng)防護(hù)設(shè)計(jì)，針對(duì)目前公司自主研發(fā)的電力移動(dòng)應(yīng)用，從終端設(shè)備、無(wú)線通道、邊界接入、應(yīng)用程序、數(shù)據(jù)安全等方面提出了移動(dòng)應(yīng)用統(tǒng)一安全防護(hù)整體要求。具體要求如下：①移動(dòng)終端與部署在公司信息內(nèi)網(wǎng)的業(yè)務(wù)信息系統(tǒng)實(shí)時(shí)交互，所有業(yè)務(wù)流程在信息內(nèi)網(wǎng)完成，僅供公司內(nèi)部作業(yè)人員使用的移動(dòng)作業(yè)類應(yīng)用；②使用?？匾苿?dòng)終端作為載體，以無(wú)線APN公網(wǎng)或電力無(wú)線專網(wǎng)作為通道，通過(guò)安全接入網(wǎng)關(guān)接入公司信息內(nèi)網(wǎng)，由公司統(tǒng)一權(quán)限系統(tǒng)進(jìn)行身份認(rèn)證，由內(nèi)網(wǎng)移動(dòng)應(yīng)用平臺(tái)提供運(yùn)行支撐，在內(nèi)網(wǎng)移動(dòng)門(mén)戶商店進(jìn)行統(tǒng)一上架。

3 基于等級(jí)保護(hù)的電力移動(dòng)應(yīng)用安全防護(hù)體系設(shè)計(jì)

為保障電力移動(dòng)應(yīng)用安全，前期公司在智能電網(wǎng)安全防護(hù)方案、信息安全頂層設(shè)計(jì)中，進(jìn)行了移動(dòng)安全專項(xiàng)防護(hù)設(shè)計(jì)，本文在對(duì)電力移動(dòng)應(yīng)用進(jìn)行防護(hù)現(xiàn)狀調(diào)研和風(fēng)險(xiǎn)分析的基礎(chǔ)上，結(jié)合公司移動(dòng)應(yīng)用安全防護(hù)要求，遵循公司信息安全總體防護(hù)策略，充分借鑒《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求：移動(dòng)互聯(lián)安全擴(kuò)展要求》(GA/T 1390.3 —2017)[3-6]，在公司SG186安全防護(hù)方案及智能電網(wǎng)安全防護(hù)方案的基礎(chǔ)上，從終端安全、網(wǎng)絡(luò)安全、應(yīng)用安全和數(shù)據(jù)安全進(jìn)行電力移動(dòng)作業(yè)應(yīng)用安全防護(hù)體系設(shè)計(jì)[7-10]，如圖1所示。

圖1 基于等級(jí)保護(hù)的電力移動(dòng)作業(yè)應(yīng)用安全防護(hù)體系設(shè)計(jì)

3.1 終端安全防護(hù)設(shè)計(jì)

3.1.1 終端設(shè)備本身

專用SIM卡和安全芯片：終端設(shè)備安裝綁定專用SIM卡，對(duì)訪問(wèn)公用網(wǎng)絡(luò)、撥打電話等行為進(jìn)行限制；綁定支持國(guó)密專用算法且通過(guò)國(guó)密認(rèn)證的安全芯片，實(shí)現(xiàn)基于安全芯片的身份認(rèn)證和數(shù)據(jù)加密存儲(chǔ)傳輸。

安全操作系統(tǒng)：采用關(guān)鍵安全代碼自主可控的安全操作系統(tǒng)，實(shí)現(xiàn)內(nèi)核安全性增強(qiáng)，具備可信引導(dǎo)、防ROOT、防刷機(jī)、強(qiáng)制訪問(wèn)控制等功能，并定期對(duì)移動(dòng)終端操作系統(tǒng)的漏洞進(jìn)行檢查、統(tǒng)計(jì)和統(tǒng)一更新處理。

終端安全加固：對(duì)移動(dòng)終端進(jìn)行安全加固，執(zhí)行統(tǒng)一的安全加固策略，對(duì)系統(tǒng)功能組件和外設(shè)接口、應(yīng)用程序和系統(tǒng)組件的安裝使用、運(yùn)行的進(jìn)程和服務(wù)等采用統(tǒng)一策略進(jìn)行限制。

3.1.2 終端接入認(rèn)證

用戶身份鑒別：采用開(kāi)機(jī)PIN碼、數(shù)字證書(shū)、生物特征驗(yàn)證等相結(jié)合的多因子鑒別技術(shù)實(shí)現(xiàn)移動(dòng)終端用戶身份鑒別。

限制登錄次數(shù)：具備登錄失敗處理功能，限制同一用戶連續(xù)登錄失敗次數(shù)，當(dāng)觸發(fā)登錄失敗條件時(shí)，具備自動(dòng)退出登錄或鎖定設(shè)備功能。

終端安全接入：使用公司統(tǒng)一簽發(fā)的基于國(guó)密算法的數(shù)字證書(shū)，與安全接入網(wǎng)關(guān)進(jìn)行強(qiáng)身份認(rèn)證，數(shù)字證書(shū)應(yīng)置于安全芯片內(nèi)進(jìn)行存儲(chǔ)。

3.1.3 終端安全管控

終端安全管控：通過(guò)在終端統(tǒng)一安裝客戶端軟件對(duì)終端進(jìn)行集中管理，統(tǒng)一下發(fā)移動(dòng)應(yīng)用程序白名單，統(tǒng)一升級(jí)移動(dòng)終端操作系統(tǒng)、應(yīng)用軟件、客戶端軟件等；在移動(dòng)終端丟失或被盜的情況下，通過(guò)定位功能可查詢遺失終端的地理位置信息或定位遺失終端位置。

終端安全監(jiān)測(cè)：對(duì)終端的設(shè)備狀況實(shí)時(shí)監(jiān)測(cè)，對(duì)病毒、木馬、是否ROOT等情況進(jìn)行檢查；對(duì)終端的運(yùn)行狀態(tài)實(shí)時(shí)監(jiān)測(cè)，及時(shí)發(fā)現(xiàn)違規(guī)外聯(lián)、異常權(quán)限操作、數(shù)據(jù)非法讀取、非法用戶登錄等終端各類異常行為。

終端安全審計(jì)：終端應(yīng)啟用移動(dòng)終端安全審計(jì)功能，對(duì)終端用戶重要操作及軟件行為進(jìn)行審計(jì)，審計(jì)記錄應(yīng)包括時(shí)間、用戶、時(shí)間類型等；應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)，定期備份，以免受到非法篡改或刪除。

終端安全銷(xiāo)毀：內(nèi)網(wǎng)終端在進(jìn)入銷(xiāo)毀流程后，須完全刪除相關(guān)應(yīng)用及數(shù)據(jù)，并確保數(shù)據(jù)不能被恢復(fù)；應(yīng)注銷(xiāo)其使用的數(shù)字證書(shū)，回收其使用的SIM卡和安全芯片，確保其無(wú)法通過(guò)安全接入網(wǎng)關(guān)，接入公司內(nèi)網(wǎng)。

終端選型控制：根據(jù)公司移動(dòng)應(yīng)用整體防護(hù)策略，電力移動(dòng)作業(yè)應(yīng)用應(yīng)根據(jù)統(tǒng)一的功能標(biāo)準(zhǔn)、安全標(biāo)準(zhǔn)、功能需求等進(jìn)行選型控制，對(duì)移動(dòng)作業(yè)終端功能和安全性的安全技術(shù)參數(shù)進(jìn)行統(tǒng)一要求，并與安全接入網(wǎng)關(guān)進(jìn)行適配性測(cè)試。

3.2 網(wǎng)絡(luò)安全防護(hù)設(shè)計(jì)

電力移動(dòng)作業(yè)終端在接入業(yè)務(wù)系統(tǒng)的過(guò)程中，應(yīng)采用公司無(wú)線APN公網(wǎng)或電力無(wú)線專網(wǎng)；在信息內(nèi)網(wǎng)和無(wú)線網(wǎng)絡(luò)的邊界處設(shè)置安全接入?yún)^(qū)，部署防火墻，并使用公司安全接入網(wǎng)關(guān)進(jìn)行終端身份認(rèn)證，阻止非法終端接入；采用安全接入網(wǎng)關(guān)與移動(dòng)終端之間的安全傳輸通道，對(duì)傳輸中的數(shù)據(jù)進(jìn)行加密保護(hù)，防止數(shù)據(jù)被篡改、竊聽(tīng)、泄露。

3.3 應(yīng)用安全防護(hù)設(shè)計(jì)

3.3.1 應(yīng)用服務(wù)端防護(hù)

移動(dòng)應(yīng)用服務(wù)端應(yīng)遵照《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》(GB 17859—1999)，完成系統(tǒng)等級(jí)保護(hù)定級(jí)，按照《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》(GB/T 22239—2008)、《信息系統(tǒng)應(yīng)用安全第2部分安全設(shè)計(jì)》(Q/GDW 1929.2—2013)、《國(guó)家電網(wǎng)公司信息系統(tǒng)安全設(shè)計(jì)框架技術(shù)規(guī)范》(Q/GDW 11347—2014)和《國(guó)家電網(wǎng)公司應(yīng)用軟件系統(tǒng)通用安全要求》(Q/GDW 1597—2015)的相關(guān)內(nèi)容進(jìn)行防護(hù)。

3.3.2 應(yīng)用客戶端防護(hù)

客戶端安全加固：公司所有移動(dòng)作業(yè)應(yīng)用客戶端，應(yīng)經(jīng)過(guò)公司統(tǒng)一安全加固后才能具備上線資格，確保應(yīng)用具備以下安全防護(hù)能力。防調(diào)試能力，防止非授權(quán)人員通過(guò)調(diào)試模式對(duì)移動(dòng)應(yīng)用進(jìn)行非法操作；禁止在模擬器環(huán)境下運(yùn)行，避免非授權(quán)人員通過(guò)模擬器對(duì)移動(dòng)應(yīng)用進(jìn)行非法調(diào)試或應(yīng)用；采取防逆向分析手段，防止通過(guò)反編譯工具破解移動(dòng)應(yīng)用客戶端文件以獲取apk源代碼；對(duì)發(fā)布的移動(dòng)應(yīng)用客戶端文件進(jìn)行唯一簽名，保證每次發(fā)布版本的完整性，防止移動(dòng)應(yīng)用客戶端二次打包后被惡意利用。

客戶端安全運(yùn)行：面向公司員工的各類移動(dòng)應(yīng)用客戶端，應(yīng)通過(guò)公司移動(dòng)互聯(lián)應(yīng)用支撐平臺(tái)進(jìn)行應(yīng)用上架、發(fā)布、下載等流程管理；對(duì)已發(fā)布的應(yīng)用進(jìn)行持續(xù)的安全運(yùn)行監(jiān)測(cè)，確保應(yīng)用在移動(dòng)終端運(yùn)行時(shí)所受到的攻擊和安全威脅能夠?qū)崟r(shí)被感知，對(duì)所有的安全信息進(jìn)行統(tǒng)一的管理和統(tǒng)計(jì)，能夠按時(shí)間、應(yīng)用、版本、系統(tǒng)、威脅類型等不同維度進(jìn)行展示。

3.4 移動(dòng)作業(yè)應(yīng)用數(shù)據(jù)安全防護(hù)設(shè)計(jì)

數(shù)據(jù)安全存儲(chǔ)傳輸：移動(dòng)作業(yè)終端證書(shū)、密鑰等應(yīng)存儲(chǔ)在安全芯片內(nèi)，使用硬件加密形式、采用國(guó)密算法對(duì)數(shù)據(jù)進(jìn)行加密存儲(chǔ)和傳輸；對(duì)移動(dòng)應(yīng)用中需要輸入的敏感數(shù)據(jù)進(jìn)行加密保護(hù)，確保敏感數(shù)據(jù)不在輸入過(guò)程中泄露；對(duì)移動(dòng)應(yīng)用中存在的敏感數(shù)據(jù)進(jìn)行加密保護(hù)，確保敏感數(shù)據(jù)不被非法獲??；對(duì)移動(dòng)應(yīng)用傳輸?shù)拿舾袛?shù)據(jù)進(jìn)行保護(hù)，使用安全協(xié)議，確保敏感數(shù)據(jù)在傳輸過(guò)程中不被泄露。

數(shù)據(jù)安全銷(xiāo)毀：電力移動(dòng)作業(yè)應(yīng)用卸載后應(yīng)確保無(wú)殘留數(shù)據(jù)，同時(shí)設(shè)置安全策略或遠(yuǎn)程管理功能，在終端丟失或被盜的情況下，可實(shí)施業(yè)務(wù)數(shù)據(jù)銷(xiāo)毀。

數(shù)據(jù)安全監(jiān)管：對(duì)終端設(shè)備上的敏感數(shù)據(jù)操作進(jìn)行持續(xù)安全監(jiān)測(cè)，對(duì)異常及違規(guī)數(shù)據(jù)操作行為進(jìn)行阻斷和告警。

4 結(jié)語(yǔ)

公司移動(dòng)作業(yè)應(yīng)用在生產(chǎn)、巡檢、營(yíng)銷(xiāo)等方面迅速發(fā)展，實(shí)現(xiàn)了業(yè)務(wù)信息的實(shí)時(shí)流動(dòng)和共享，但同時(shí)也引入了巨大的安全風(fēng)險(xiǎn)。本文在對(duì)公司現(xiàn)有移動(dòng)業(yè)務(wù)安全防護(hù)現(xiàn)狀調(diào)研和風(fēng)險(xiǎn)分析的基礎(chǔ)上，充分借鑒等級(jí)保護(hù)2.0移動(dòng)互聯(lián)擴(kuò)展要求，考慮公司移動(dòng)作業(yè)應(yīng)用安全防護(hù)需求，從終端安全、網(wǎng)絡(luò)安全、應(yīng)用安全和數(shù)據(jù)安全4個(gè)方面設(shè)計(jì)構(gòu)建電力移動(dòng)作業(yè)應(yīng)用安全防護(hù)體系，對(duì)于公司移動(dòng)作業(yè)應(yīng)用安全防護(hù)建設(shè)具有重要的指導(dǎo)意義。