李永發(fā)，劉 銳，曹琳婧，高 雋，李琪瑤，陳中偉，李 樹

（國網(wǎng)湖南省電力有限公司信息通信分公司，湖南 長沙 410004）

0 引 言

近年來，隨著電力行業(yè)數(shù)字化轉(zhuǎn)型發(fā)展[1]的需要及“新型電力系統(tǒng)[2-3]”概念的推出，使得移動業(yè)務(wù)的需求急劇增長，尤以移動辦公、通信交流、電子簽章等最為突出。

移動化的出現(xiàn)雖然在很大程度上助力了企業(yè)的轉(zhuǎn)型和發(fā)展，但是其潛在的風(fēng)險(xiǎn)和安全隱患卻在某種程度上給企業(yè)造成了極大的損失[4]，例如企業(yè)關(guān)鍵基礎(chǔ)應(yīng)用控制、機(jī)密數(shù)據(jù)丟失、核心資產(chǎn)暴露等[5]。而現(xiàn)階段電力行業(yè)更多的是依賴移動安全態(tài)勢感知平臺進(jìn)行安全監(jiān)測[6]，缺乏對安全事件的溯源及管控能力，從而導(dǎo)致安全事件的鏈路難以追蹤、溯源，事故終端難以做到有效的安全管控。

由此可見，加強(qiáng)溯源管控能力也是移動安全建設(shè)過程中的重要環(huán)節(jié)。因此，本文以電力行業(yè)移動安全建設(shè)的實(shí)際需求為出發(fā)點(diǎn)[7]，結(jié)合防護(hù)現(xiàn)狀，深入探索并研究溯源管控技術(shù)在電力移動應(yīng)用及終端安全方向的應(yīng)用。

1 電力行業(yè)移動安全現(xiàn)狀

1.1 電力移動應(yīng)用架構(gòu)

電力行業(yè)移動應(yīng)用一般是由客戶端和服務(wù)端兩個部分組成，如圖1 所示。

從圖1 可知，客戶端是指用戶自持的終端或電力專用的終端，然后在其上安裝、運(yùn)行電力行業(yè)移動應(yīng)用；網(wǎng)絡(luò)通道一般由互聯(lián)網(wǎng)傳輸（3G/4G/5G）和電力專網(wǎng)兩種模式組成，其中電力專網(wǎng)又分為運(yùn)營商提供的專用通道和電力企業(yè)自行建造的網(wǎng)絡(luò)通道兩種類型；服務(wù)端是指承載具體業(yè)務(wù)的功能模塊或系統(tǒng)，一般部署在電力企業(yè)的局域網(wǎng)內(nèi)。同時，根據(jù)使用對象、使用場景的不同，電力行業(yè)移動應(yīng)用分為互聯(lián)網(wǎng)公共應(yīng)用和專網(wǎng)專用應(yīng)用兩種類型，而專網(wǎng)的移動應(yīng)用一般僅限在企業(yè)局域網(wǎng)內(nèi)進(jìn)行使用。

圖1 電力移動應(yīng)用架構(gòu)

1.2 電力移動安全防護(hù)現(xiàn)狀

電力行業(yè)移動應(yīng)用除少部分是面向大眾用戶開放使用外，如電費(fèi)繳納App，其余的均服務(wù)于系統(tǒng)內(nèi)部用戶。但因其本身屬性較多，涵蓋了運(yùn)檢、調(diào)度、供電采集等眾多業(yè)務(wù)領(lǐng)域，導(dǎo)致對移動應(yīng)用的安全防護(hù)需求日益增長。這在一定程度上催生了電力行業(yè)內(nèi)移動安全防護(hù)體系的建設(shè)[8]，以移動安全態(tài)勢感知平臺為主[9]，其具體部署模式如圖2 所示。

從圖2 可知，電力行業(yè)移動應(yīng)用的安全防護(hù)一般實(shí)行分區(qū)分域的模式進(jìn)行部署，內(nèi)外網(wǎng)采用專用安全防護(hù)裝置進(jìn)行隔離，二者的邊界均部署專用防護(hù)設(shè)備。外網(wǎng)通過前置服務(wù)采集移動終端及應(yīng)用的安全監(jiān)測數(shù)據(jù)，穿過隔離存儲于內(nèi)網(wǎng)數(shù)據(jù)庫，內(nèi)網(wǎng)移動終端及應(yīng)用通過專網(wǎng)將監(jiān)測數(shù)據(jù)進(jìn)行收集并存儲于數(shù)據(jù)庫，然后，經(jīng)內(nèi)網(wǎng)統(tǒng)一的態(tài)勢感知平臺進(jìn)行展示。

圖2 電力移動應(yīng)用安全防護(hù)部署模式

態(tài)勢感知平臺收集的監(jiān)測數(shù)據(jù)主要包括運(yùn)行環(huán)境安全、應(yīng)用安全、終端安全、敏感行為4 類數(shù)據(jù)。其聚焦的仍然是移動應(yīng)用或終端本體的安全，以安全態(tài)勢監(jiān)測為主，缺乏對發(fā)生安全事件的移動應(yīng)用或終端進(jìn)行事件的追蹤、溯源及有效的安全管控。鑒于此不足，本文將在現(xiàn)有的移動安全防護(hù)的基礎(chǔ)上提出并設(shè)計(jì)一種安全軟件開發(fā)工具包（Software Development Kit，SDK），實(shí)現(xiàn)移動應(yīng)用或終端與邊界防護(hù)設(shè)備的聯(lián)動，進(jìn)而實(shí)現(xiàn)安全事件的溯源及應(yīng)用終端的安全管控。

2 電力移動應(yīng)用及終端安全溯源管控體系

2.1 整體體系架構(gòu)

移動應(yīng)用安全不僅僅是圍繞應(yīng)用及終端的安全監(jiān)測[10]，為了進(jìn)一步完善現(xiàn)有安全態(tài)勢感知平臺的監(jiān)測功能，提升移動安全的實(shí)戰(zhàn)化攻防能力，本文提出并設(shè)計(jì)了針對電力移動應(yīng)用及終端溯源管控模塊。將其融合到現(xiàn)有的安全監(jiān)測SDK 中，實(shí)現(xiàn)邊界設(shè)備與終端應(yīng)用的安全聯(lián)動，從而達(dá)到溯源信息的采集、展示、追蹤、管控及處置為一體的新型電力移動安全態(tài)勢感知平臺。其整體架構(gòu)如圖3 所示。

從圖3 可知，新型電力態(tài)勢感知平臺的整體架構(gòu)分別由客戶端、數(shù)據(jù)采集端、服務(wù)端和展示端4 個部分組成。

（1）客戶端。是指裝有電力移動應(yīng)用的終端，常見的電力移動應(yīng)用主要包括獨(dú)立App 應(yīng)用和“H5 微應(yīng)用程序”兩類。二者的底座平臺均集成了安全監(jiān)測SDK 探針，用于采集上報(bào)安全監(jiān)測及溯源類的數(shù)據(jù)信息，同時與服務(wù)端進(jìn)行聯(lián)動，執(zhí)行安全管控策略。

（2）數(shù)據(jù)采集端。作為平臺前置的數(shù)據(jù)收集模塊，對來自客戶端上報(bào)的原始終端基礎(chǔ)數(shù)據(jù)、應(yīng)用運(yùn)行數(shù)據(jù)、安全監(jiān)測數(shù)據(jù)及溯源數(shù)據(jù)進(jìn)行統(tǒng)一的匯總，并存儲于數(shù)據(jù)庫。其中，溯源數(shù)據(jù)是本文研究和關(guān)心的重點(diǎn)，也是實(shí)現(xiàn)應(yīng)用及終端溯源管控的基礎(chǔ)。

（3）服務(wù)端。由安全策略、綜合分析、情報(bào)庫3 個模塊組成。其中，綜合分析模塊是核心，可以實(shí)時分析處理運(yùn)行信息、環(huán)境風(fēng)險(xiǎn)、應(yīng)用威脅、安全事件和溯源信息等，對各類信息進(jìn)行關(guān)聯(lián)分析，觸發(fā)安全事件，產(chǎn)生響應(yīng)處置，并發(fā)送到客戶端。安全策略模塊主要是對各類攻擊特征、安全事件、封禁規(guī)則及黑名單等策略進(jìn)行配置。情報(bào)庫模塊支持常見的黑產(chǎn)信息存儲，如設(shè)備ID、SIM 卡、IP 地址等，同時還可以將系統(tǒng)自身黑名單策略與外部情報(bào)數(shù)據(jù)等信息進(jìn)行關(guān)聯(lián)、存儲。

（4）展示端。主要是對經(jīng)過綜合分析模塊關(guān)聯(lián)分析后的數(shù)據(jù)進(jìn)行圖形化的展示。其中，安全類的展示主要包括安全事件數(shù)、攻擊威脅數(shù)、敏感行為數(shù)及各類安全威脅的趨勢等信息；運(yùn)行類的展示主要包括應(yīng)用終端活躍數(shù)、高頻更換Wi-Fi 數(shù)或IP 數(shù)及境外IP 設(shè)備數(shù)量等信息。

2.2 應(yīng)用及終端溯源技術(shù)

針對溯源的實(shí)際需求，首先對安全監(jiān)測SDK 探針進(jìn)行適配改造，開發(fā)具備基礎(chǔ)溯源信息的接口供應(yīng)用及終端調(diào)用，并實(shí)現(xiàn)與邊界安全設(shè)備的聯(lián)動，其次將溯源信息上傳至內(nèi)網(wǎng)數(shù)據(jù)，最后經(jīng)態(tài)勢感知平臺進(jìn)行統(tǒng)一的展示。其數(shù)據(jù)傳輸?shù)木唧w流程如圖4 所示。

圖4 應(yīng)用及終端溯源數(shù)據(jù)流轉(zhuǎn)

從圖4 可知，應(yīng)用及終端溯源技術(shù)主要包括采集上傳、重構(gòu)上傳和態(tài)勢感知平臺展示3個部分。

（1）采集上傳。安全監(jiān)測SDK 通過溯源接口采集基礎(chǔ)信息，主要包括毫秒級時間、終端唯一識別碼、應(yīng)用身份標(biāo)識（APPlication Identificaton，AppID）、終端上下線的標(biāo)識、終端本機(jī)的IP 地址、其對應(yīng)的互聯(lián)網(wǎng)IP地址、應(yīng)用包名、業(yè)務(wù)用戶名等。獲取信息后，安全SDK 同邊界防護(hù)設(shè)備進(jìn)行安全通道的建設(shè)，然后將采集的信息進(jìn)行統(tǒng)一的打包、上傳，以備下一步的重構(gòu)。

（2）重構(gòu)上傳。邊界防護(hù)設(shè)備獲取來自SDK 采集的溯源信息后，首先對數(shù)據(jù)的類型進(jìn)行甄別、篩選，其次將應(yīng)用或終端所處的網(wǎng)絡(luò)基礎(chǔ)信息和環(huán)境信息進(jìn)行重新編排，放入重構(gòu)報(bào)文自定的字段中，最后對剩余的數(shù)據(jù)進(jìn)行統(tǒng)一的規(guī)約化編排，上傳至數(shù)據(jù)庫進(jìn)行統(tǒng)一的存儲。

（3）態(tài)勢感知平臺的展示。溯源數(shù)據(jù)在進(jìn)行展示之前，平臺側(cè)的綜合分析模塊將結(jié)合情報(bào)庫中已有的數(shù)據(jù)和安全策略模塊中配置的各類合規(guī)性策略進(jìn)行關(guān)聯(lián)性分析，從而對應(yīng)用或終端的風(fēng)險(xiǎn)等級進(jìn)行研判，最后將分析結(jié)果做統(tǒng)一展示。

綜上所述，溯源的成敗在于是否可以將應(yīng)用或終端的最初始的互聯(lián)網(wǎng)IP 信息進(jìn)行保存并重構(gòu)上傳至數(shù)據(jù)庫。所有數(shù)據(jù)的采集及傳輸均是實(shí)時的，若出現(xiàn)攻擊或斷網(wǎng)等情況時，溯源數(shù)據(jù)將被統(tǒng)一加密保存至終端本體內(nèi)，待網(wǎng)絡(luò)恢復(fù)后立即上傳，保證了溯源的有效性和可靠性。

2.3 應(yīng)用及終端管控技術(shù)

為實(shí)現(xiàn)有效的安全管控，邊界防護(hù)設(shè)備需要增加安全管控的接口，供服務(wù)端的安全管控、集中管控等服務(wù)調(diào)用。同時安全監(jiān)測SDK 探針需要開發(fā)并提供安全管控接口，以備邊界防護(hù)設(shè)備調(diào)用，用于接收并執(zhí)行來自平臺側(cè)下發(fā)的管控指令。其安全管控的實(shí)現(xiàn)流程如圖5 所示。

圖5 應(yīng)用及終端安全管控的實(shí)現(xiàn)流程

從圖5 可知，應(yīng)用及終端安全管控技術(shù)主要包括安全管控觸發(fā)、安全管控指令下發(fā)及聯(lián)動處置或恢復(fù)3 個部分。

（1）安全管控觸發(fā)。當(dāng)態(tài)勢感知平臺主站側(cè)監(jiān)測到安全事件或研判可能存在安全隱患時，將觸發(fā)安全通知下發(fā)至安全管控服務(wù)中心。安全通知的觸發(fā)采用“智能+人工”兩種模式相結(jié)合的方式進(jìn)行，其中，智能模式是指當(dāng)平臺側(cè)監(jiān)測到高危安全事件時，將自行生成安全管控的通知并下發(fā)；人工模式是指當(dāng)平臺側(cè)無法研判安全事件或者研判為中低風(fēng)險(xiǎn)的安全事件時，將采用人工干預(yù)的方式進(jìn)行分析并下達(dá)管控通知。兩種模式的結(jié)合將最大限度地提升安全管控的通知觸發(fā)的有效性，從而減少誤報(bào)，提升用戶的使用感。

（2）安全管控指令下發(fā)。管控服務(wù)中心在接收到安全管控的通知時，將調(diào)用本地安全管控的特征庫數(shù)據(jù)，并生成對應(yīng)的管控指令碼。本地安全管控的特征庫是根據(jù)實(shí)際需要進(jìn)行自定義的，本文根據(jù)安全事件的風(fēng)險(xiǎn)等級定義了5 類管控指令，其中，高風(fēng)險(xiǎn)管控指令3 項(xiàng)，中風(fēng)險(xiǎn)管控指令2 項(xiàng)，具體內(nèi)容如表1 所示。

表1 自定義特征庫內(nèi)容

（3）聯(lián)動處置或恢復(fù)。當(dāng)邊界防護(hù)設(shè)備在執(zhí)行具體的安全管控時，若需要客戶端進(jìn)行聯(lián)動，則會調(diào)用安全監(jiān)測SDK 的安全管控接口，執(zhí)行對應(yīng)的管控指令。從表1 可知，除了01 號管控指令“斷開終端”是由邊界防護(hù)設(shè)備自行完成的，其他4 類管控指令均為應(yīng)用或終端側(cè)進(jìn)行執(zhí)行、響應(yīng)。例如，當(dāng)應(yīng)用面臨高風(fēng)險(xiǎn)時，安全監(jiān)測SDK 探針將對應(yīng)用進(jìn)行強(qiáng)制退出或鎖定操作，限制用戶的登錄使用，直至危險(xiǎn)解除后自動恢復(fù)；當(dāng)應(yīng)用面臨或疑似存在中風(fēng)險(xiǎn)時，安全監(jiān)測SDK 探針將進(jìn)行彈框提醒，提示用戶當(dāng)前環(huán)境面臨安全風(fēng)險(xiǎn)，同時調(diào)整應(yīng)用權(quán)限及用戶訪問權(quán)限，最大限度地減少用戶的損失。

2.4 溯源管控一體化

如果說溯源為應(yīng)用及終端的安全提供了有效的取證信息，便于后期對安全事件的追蹤，那么應(yīng)用及終端安全管控技術(shù)則是為了在已經(jīng)發(fā)生或即將發(fā)生安全事件時及時有效地阻斷事件的進(jìn)一步擴(kuò)大，降低其所帶來的安全風(fēng)險(xiǎn)和影響。為使二者成效最大化，本文將其進(jìn)行了有效融合，均集成于安全監(jiān)測SDK，并與邊界防護(hù)設(shè)備進(jìn)行聯(lián)動。一體化流程如圖6 所示。

圖6 溯源管控一體化流程

從圖6 可知，應(yīng)用及終端既是數(shù)據(jù)采集的載體，也是管控的末端。安全監(jiān)測SDK 實(shí)時檢查應(yīng)用或終端運(yùn)行環(huán)境的安全及本體的安全，當(dāng)出現(xiàn)異?；蜻`規(guī)時，將主動采集并上報(bào)溯源信息，同時配合邊界防護(hù)設(shè)備聯(lián)動進(jìn)行安全管控。

邊界防護(hù)設(shè)備在整個一體化的流程中起到了承上啟下的作用，一方面承擔(dān)了溯源數(shù)據(jù)的重構(gòu)、上傳任務(wù)；另一方面聯(lián)動應(yīng)用或終端執(zhí)行管控服務(wù)中心下發(fā)的管控指令。

3 應(yīng)用效果

溯源管控技術(shù)能夠?qū)崿F(xiàn)對電力行業(yè)移動應(yīng)用及終端的安全管控，為安全事件的追蹤和溯源提供了更為豐富的信息。截至目前，該技術(shù)已經(jīng)應(yīng)用于湖南電力行業(yè)，實(shí)現(xiàn)了內(nèi)外網(wǎng)企業(yè)級移動應(yīng)用安全事件的溯源及管控，在近一年的實(shí)踐中效果顯著，有效提升了移動應(yīng)用及終端安全風(fēng)險(xiǎn)管控的能力，如表2 所示。

從表2 可知，與傳統(tǒng)的以常規(guī)的安全監(jiān)測、分析（其中常規(guī)監(jiān)測、分析一般包括應(yīng)用威脅、環(huán)境風(fēng)險(xiǎn)、終端風(fēng)險(xiǎn)、運(yùn)行風(fēng)險(xiǎn)和敏感行為5 類）及監(jiān)測數(shù)據(jù)的收集、展示為主的安全態(tài)勢感知平臺相比，本文提出并實(shí)現(xiàn)的溯源管控技術(shù)一方面增加了溯源信息的監(jiān)測、分析，提升了其對安全事件的定位、追溯；另一方面在應(yīng)對安全事件的定位及處置時，平臺側(cè)根據(jù)溯源信息增加了安全事件的自動定位和處置功能。相比于傳統(tǒng)的依賴于人工模式的安全態(tài)勢感知平臺，本文的溯源管控技術(shù)最大限度地提升了安全事件的應(yīng)急響應(yīng)能力，實(shí)現(xiàn)了威脅與管控的兩級聯(lián)動。

表2 技術(shù)與傳統(tǒng)平臺功能對比情況

截至目前，本文提出的溯源管控技術(shù)幫助企業(yè)累計(jì)產(chǎn)生溯源信息約30 余萬條，極大地提升了移動安全事件的定位、管控能力；累計(jì)發(fā)現(xiàn)并有效管控的應(yīng)用威脅安全事件約16 萬余次，高風(fēng)險(xiǎn)事件占比10%；有效管控終端及應(yīng)用運(yùn)行環(huán)境異常事件約1 千余次，中風(fēng)險(xiǎn)事件占比超過80%，其余均為低風(fēng)險(xiǎn)事件；有效發(fā)現(xiàn)并阻斷敏感行為約300 余次，均實(shí)現(xiàn)100%管控。同時，溯源管控技術(shù)的應(yīng)用也極大地提升了監(jiān)測處置效率，具體如表3 所示。

表3 技術(shù)與傳統(tǒng)平臺監(jiān)測處置效率對比情況

從表3 可知，在處理中高風(fēng)險(xiǎn)級別事件時，溯源管控技術(shù)的應(yīng)用可以提升約50%以上的效率，主要是因?yàn)槠涮峁┑乃菰葱畔⒐?jié)省了人工分析、研判的時間；而在處理低風(fēng)險(xiǎn)級別事件時無明顯差異，主要是因?yàn)樵谔幚淼惋L(fēng)險(xiǎn)事件時一般采取默認(rèn)忽略的方式。

4 結(jié) 語

本文研究的電力移動應(yīng)用及終端安全溯源管控技術(shù)，彌補(bǔ)了現(xiàn)有移動安全態(tài)勢感知平臺的不足，提升了電力行業(yè)移動安全整體的防護(hù)能力和水平。目前，該技術(shù)已經(jīng)在電力行業(yè)中得到應(yīng)用，有效提升電力移動應(yīng)用及終端安全的事件分析、定位及風(fēng)險(xiǎn)管控的能力，真正實(shí)現(xiàn)了集安全監(jiān)測、安全溯源和安全管控于一體的移動安全防護(hù)體系。