南通供電公司 邰 楠

電網(wǎng)企業(yè)移動應(yīng)用平臺安全設(shè)計研究

南通供電公司 邰 楠

隨著移動技術(shù)在電網(wǎng)企業(yè)應(yīng)用不斷深化，為了保證企業(yè)的信息安全和集約管理，需要建立安全、可靠的移動應(yīng)用支撐平臺。本文從電網(wǎng)企業(yè)的移動應(yīng)用需求入手，分析了典型的移動應(yīng)用平臺構(gòu)架下的終端、網(wǎng)絡(luò)、平臺和應(yīng)用存在的風(fēng)險，針對風(fēng)險源從終端安全、通道安全、邊界安全、應(yīng)用安全、數(shù)據(jù)安全5個方面給出相應(yīng)的技術(shù)解決方案，并對應(yīng)用平臺的運維管理進行了探討。

智能電網(wǎng)；移動應(yīng)用；信息安全

1.引言

隨著移動信息化時代的到來，移動互聯(lián)技術(shù)和傳統(tǒng)的企業(yè)信息化融合出現(xiàn)了企業(yè)移動信息技術(shù)。企業(yè)移動信息化是傳統(tǒng)的企業(yè)信息化的一個擴展和延伸，是企業(yè)利用智能移動終端和無線通信技術(shù)，隨時隨地開展各項商務(wù)、業(yè)務(wù)活動的創(chuàng)新模式，具有移動性、便捷、即時和個性化的特點。目前電網(wǎng)企業(yè)根據(jù)自身業(yè)務(wù)需要開展了多種移動應(yīng)用的建設(shè)，主要集中在三個方面：（1）結(jié)合移動GIS的移動營銷，包括移動抄表、收費，用電檢查，智能搶修等；（2）移動作業(yè)，包括設(shè)備狀態(tài)管理、電纜施工管理、智能巡線等；（3）移動辦公，包括郵件辦理、待辦事宜提醒，通知公告等。

由于缺少整體規(guī)劃和統(tǒng)一管理，這些應(yīng)用的部分功能（如身份認證、消息推送等）是一致的，重復(fù)建設(shè)造成了資源利用率低、系統(tǒng)關(guān)聯(lián)性差、安全風(fēng)險點多，無法統(tǒng)一管理等的不利后果。為了解決上述問題，規(guī)范移動應(yīng)用的建設(shè)和運行，建設(shè)一個移動應(yīng)用支撐平臺顯得十分必要。

2.移動應(yīng)用平臺簡介

所謂移動應(yīng)用平臺就是為企業(yè)提供一個全方位的移動應(yīng)用架構(gòu)，涵蓋了移動應(yīng)用平臺的前、后端（包括運行在移動設(shè)備的前端移動應(yīng)用架構(gòu)，在后臺提供服務(wù)的在軟硬件平臺），涉及開發(fā)框架、運行環(huán)境、后端移動服務(wù)平臺（MAM 和 MDM）、移動安全平臺、業(yè)務(wù)集成平臺（包括實施業(yè)務(wù)監(jiān)控和分析）等多個方面。

（1）定義一套標準化的開發(fā)框架，在前端提供標準開發(fā)組件，支持在平臺上構(gòu)建營銷、生產(chǎn)、辦公等移動業(yè)務(wù)應(yīng)用；

（2）提供統(tǒng)一的身份認證、應(yīng)用商店、流程管理、消息發(fā)布、數(shù)據(jù)同步等基礎(chǔ)服務(wù)，支持各類移動業(yè)務(wù)系統(tǒng)的數(shù)據(jù)集中、應(yīng)用集成；

（3）構(gòu)建統(tǒng)一的移動安全框架，提供終端安全、網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全，保障移動業(yè)務(wù)應(yīng)用安全可靠運行；

（4）建立統(tǒng)一運維平臺，提供配置管理、設(shè)備管理、移動應(yīng)用管理和安全管控等功能，實現(xiàn)對各類移動終端和移動應(yīng)用的集中管理和統(tǒng)一配置，實現(xiàn)移動運維流程優(yōu)化。

圖1為一個典型的平臺邏輯部署圖。

圖1　移動應(yīng)用平臺邏輯部署圖

平臺整體分為4個區(qū)域外網(wǎng)、隔離區(qū)、安全區(qū)、內(nèi)網(wǎng)，隔離區(qū)內(nèi)部署接入服務(wù)，安全區(qū)為移動應(yīng)用中間層部署區(qū)域，內(nèi)網(wǎng)是核心數(shù)據(jù)區(qū)，各區(qū)之間用防火墻和隔離設(shè)備進行保護。

3.安全風(fēng)險分析

移動應(yīng)用擴展了企業(yè)信息網(wǎng)絡(luò)空間，為企業(yè)開展業(yè)務(wù)帶了諸多方便但同時也對企業(yè)信息安全帶來了挑戰(zhàn)，主要體現(xiàn)在：

（1）終端風(fēng)險

移動智能終端主要是面向普通消費者設(shè)計的，iOS、Android目前還不具備有效的企業(yè)安全管控措施，如：沒有角色管理，用戶權(quán)限管理，無法獲得安全的獲得系統(tǒng)高級管理權(quán)限，這使得移動智能終端的使用難以符合企業(yè)的信息安全要求，容易受到攻擊。

（2）網(wǎng)絡(luò)風(fēng)險

數(shù)據(jù)傳輸發(fā)生在公網(wǎng)，傳輸過程難免需要面對竊聽、信息泄漏等風(fēng)險，同時網(wǎng)絡(luò)通道面臨拒絕服務(wù)式攻擊、網(wǎng)絡(luò)蠕蟲攻擊、重放攻擊等傳統(tǒng)網(wǎng)絡(luò)攻擊風(fēng)險。

（3）業(yè)務(wù)應(yīng)用風(fēng)險

企業(yè)移動業(yè)務(wù)應(yīng)用和用戶個人應(yīng)用共存一臺終端，這給攻擊者提供了獲取個人信息、業(yè)務(wù)數(shù)據(jù)、敏感信息甚至進行數(shù)據(jù)篡改的攻擊機會，影響業(yè)務(wù)系統(tǒng)安全運行。

此外，作為一個信息系統(tǒng)，應(yīng)用系統(tǒng)必須還要面對由于開發(fā)缺陷造成的sql注入、緩存溢出、惡意代碼植入以及因管理不到位造成的管理員濫用權(quán)限、數(shù)據(jù)備份策略不完整等各種威脅。

4.安全防護措施

依據(jù)《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》中關(guān)于等級保護的分級標準，結(jié)合電力移動應(yīng)用同時面向社會大眾提供服務(wù)的特點，移動應(yīng)用平臺的安全保護等級定級為三級, 相應(yīng)的平臺防護標準應(yīng)滿足等級保護三級要求，需從物理、網(wǎng)絡(luò)、主機、數(shù)據(jù)、安全平臺等方面進行防護。主機及操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備的整體安全防護策略已經(jīng)較為成熟，可參照《國家電網(wǎng)公司信息化“SG186工程”安全防護總體方案》、《國家電網(wǎng)公司智能電網(wǎng)信息安全防護總體方案（試行）》實施，由于篇幅的限制本文不作討論。

4.1終端安全

智能終端安全管理比較復(fù)雜，用戶終端設(shè)備及操作系統(tǒng)千差萬別，需要防護的方面也比較多，總的來說可以從選擇安全可靠的系統(tǒng)和軟件、應(yīng)用軟件使用最小化、限制終端設(shè)備啟動的功能、加強敏感信息的保護、定期檢查終端設(shè)備軟件和系統(tǒng)漏洞幾個方面考慮，從技術(shù)上具體包括：

（1）建設(shè)終端和用戶管理系統(tǒng)，實現(xiàn)系統(tǒng)對終端的有效監(jiān)控，實現(xiàn)設(shè)備鎖定、用戶操作安全審計和遠程銷毀指定的應(yīng)用數(shù)據(jù)功能，防止設(shè)備丟失帶來的數(shù)據(jù)泄露風(fēng)險；

（2）利用安全沙箱技術(shù)，為企業(yè)應(yīng)用程序在終端上創(chuàng)建獨立的安全存儲區(qū)，將用戶公私數(shù)據(jù)有效隔離；

（3）通過客戶端手勢密碼、動態(tài)口令、設(shè)置pin碼、短信校驗等技術(shù)手段，保證；

（4）終端登錄安全，有效阻止非授權(quán)登錄；

（5）統(tǒng)一安裝國內(nèi)知名品牌的移動智能終端安全管理軟件，可以在一定程度防止后門程序的植入，及時修復(fù)已經(jīng)公開的系統(tǒng)漏洞。

4.2網(wǎng)絡(luò)安全

為了防止網(wǎng)絡(luò)傳輸數(shù)據(jù)被非法竊聽、篡改，首先要做的就是與公網(wǎng)架設(shè)專線，避免混用線路。其次，使用多個運營商網(wǎng)絡(luò)通道實現(xiàn)鏈路冗余，當一條鏈路出現(xiàn)異常有另外一條鏈路作為備份鏈路使用，避免因運營商故障導(dǎo)致的鏈路故障對系統(tǒng)運行帶來影響。當然有關(guān)網(wǎng)絡(luò)設(shè)備也需使用冗余配置。使用防火墻、IDS（侵入檢測系統(tǒng)）/IPS（入侵防御系統(tǒng)）網(wǎng)絡(luò)防護設(shè)備對網(wǎng)絡(luò)流量進行檢測、控制，及時發(fā)現(xiàn)并處理網(wǎng)絡(luò)訪問中的異常行為，對端口掃描、木馬后門攻擊、IP碎片攻擊、網(wǎng)絡(luò)蠕蟲、拒絕服務(wù)等網(wǎng)絡(luò)攻擊進行攔截。

4.3邊界安全

從國家電網(wǎng)公司各級單位安全域分布示意圖（引用自《國家電網(wǎng)公司信息化“SG186”工程安全防護總體方案（試行）》）可見，平臺整體可分為互聯(lián)網(wǎng)、信息外網(wǎng)、信息內(nèi)網(wǎng)三個區(qū)域。為保證移動平臺的安全，各區(qū)之間以及區(qū)內(nèi)橫向通道之間都必須有相應(yīng)的安全措施進行有效隔離和監(jiān)控。

圖2　國家電網(wǎng)公司各級單位安全域分布示意圖

邊界類型　安全控制措施　控制措施對應(yīng)的安全產(chǎn)品實現(xiàn)互聯(lián)網(wǎng)邊界網(wǎng)絡(luò)訪問控制邊界流量和連接數(shù)控制遠程安全接入邊界入侵檢測內(nèi)容過濾日志記錄與審計使用國產(chǎn)基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)和入侵防御系統(tǒng)，提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。使用國產(chǎn)防火墻配置強化的訪問控制策略，抵御常規(guī)的網(wǎng)絡(luò)攻擊，監(jiān)控網(wǎng)絡(luò)存取和訪問，防止內(nèi)部信息外泄，允許安裝平臺客戶端軟件的移動終端訪問應(yīng)用平臺，拒絕非授權(quán)的終端訪問。部署前置接入網(wǎng)關(guān)和后置接入網(wǎng)關(guān)。前置接入網(wǎng)關(guān)工作在應(yīng)用層，主要是對公務(wù)的URL請求進行識別分析和業(yè)務(wù)數(shù)據(jù)的內(nèi)容過濾。后置接入網(wǎng)關(guān)負責(zé)在互聯(lián)網(wǎng)移動終端與平臺間建立安全數(shù)據(jù)通道，實現(xiàn)重要業(yè)務(wù)數(shù)據(jù)的加密傳輸、數(shù)字證書服務(wù)和業(yè)務(wù)安全交互。信息外網(wǎng)橫向域間邊界網(wǎng)絡(luò)訪問控制日志記錄與審計使用國產(chǎn)防火墻針和后置接入網(wǎng)關(guān)對業(yè)務(wù)系統(tǒng)間數(shù)據(jù)交互進行控制，設(shè)置業(yè)務(wù)間的訪問控制策略，配置IP、端口、服務(wù)類型、數(shù)據(jù)格式等具體信息，防止通過地址欺騙等手段非法訪問外網(wǎng)業(yè)務(wù)應(yīng)用服務(wù)器、調(diào)用業(yè)務(wù)接口……信息內(nèi)外網(wǎng)邊界　邏輯強隔離利用網(wǎng)絡(luò)安全隔離裝置進行防護，僅允許平臺外網(wǎng)限定的模塊訪問內(nèi)網(wǎng)數(shù)據(jù)庫服務(wù)器。信息內(nèi)網(wǎng)域間橫向邊界網(wǎng)絡(luò)訪問控制日志記錄與審計　同信息外網(wǎng)橫向域間邊界部分。

4.4應(yīng)用安全

移動應(yīng)用平臺的邏輯構(gòu)架大致可分為四層：應(yīng)用服務(wù)層，部署具體的應(yīng)用模塊；支撐服務(wù)層，部署用戶管理、角色管理、權(quán)限管理、應(yīng)用商店、配置管理、消息管理、數(shù)據(jù)同步、流程管理、日志管理等統(tǒng)一業(yè)務(wù)支撐應(yīng)用模塊；設(shè)備服務(wù)層，部署終端管理、身份認證、接入控制等模塊；數(shù)據(jù)安全服務(wù)層，提供PKI、KMI、加密、解密和數(shù)字證書服務(wù)等數(shù)據(jù)安全傳輸和安全存儲等基礎(chǔ)服務(wù)。

圖3　移動應(yīng)用平臺邏輯構(gòu)架圖

應(yīng)用的安全防護設(shè)計主要涉及支撐服務(wù)層、設(shè)備服務(wù)層和數(shù)據(jù)安全服務(wù)層。應(yīng)用服務(wù)層中各模塊的安全問題，主要是由開發(fā)程序過程中的安全設(shè)計標準決定，由于開發(fā)平臺和工具各異，很難統(tǒng)一表達。

支撐服務(wù)層包含的模塊較多，需要安全防護設(shè)計的方面有：用戶管理、配置管理、權(quán)限管理、日志管理等。移動終端用戶分為公眾用戶和企業(yè)內(nèi)部用戶，內(nèi)部員工的定義和角色設(shè)定需與企業(yè)的統(tǒng)一框架中的用戶信息統(tǒng)一起來。系統(tǒng)的功能授權(quán)基于角色（如管理員、瀏覽用戶、業(yè)務(wù)角色用戶）支持細粒度的角色權(quán)限設(shè)置，支持一個用戶多個角色 ，角色定義的支持允許功能和禁止功能設(shè)置，角色用戶設(shè)置時需要與其工作性質(zhì)對應(yīng)，對于重要角色權(quán)限的設(shè)定或重要資源的分配需要有審核流程支持。用戶授權(quán)等配置管理功能只允許管理員角色的用戶操作。此外，系統(tǒng)的運維管理頁面需要單獨保護性定義，杜絕使用admin.jsp等常見管理入口配置，禁止通過Web頁面直接瀏覽服務(wù)端的目錄和文件。日志安全審計范圍應(yīng)覆蓋平臺中的每個用戶和平臺中的所有重要安全事件，不僅包括登錄時間、權(quán)限變更、關(guān)鍵數(shù)據(jù)變更事件，還要包括跨業(yè)務(wù)應(yīng)用層的業(yè)務(wù)邏輯、關(guān)鍵數(shù)據(jù)訪問重要行為等。日志記錄中不存儲敏感信息（不必要的系統(tǒng)詳細信息、會話標識符或密碼）。

設(shè)備服務(wù)層主要管理平臺和終端用戶的交互。用戶在進行身份認證時，可根據(jù)安全級別的不同使用手勢密碼、動態(tài)口令、短信密碼校驗、圖片校驗碼等多重手段進行身份確認。企業(yè)內(nèi)部員工密碼必須使用高強度策略設(shè)置，密碼的長度必須為8個字符以上，且包含字母、數(shù)字和字符。對于專業(yè)系統(tǒng)應(yīng)用的專用終端訪問請求，平臺需要對終端本身進行驗證，驗證信息包括設(shè)備序列號，MAC地址、所在地區(qū)信息等。用戶登錄成功登陸平臺后，系統(tǒng)可隨機分配會話標示，綁定當前IP地址、終端設(shè)備名等信息，保證用戶接入的唯一性，拒絕同一用戶同時間并發(fā)登錄。對于用戶多次登錄失敗應(yīng)有用戶鎖定機制，限制當天不能再次登錄。限定用戶操作空閑時間不宜超過10分鐘，超時后自動關(guān)閉連接。用戶注銷或關(guān)閉應(yīng)用后，服務(wù)端需及時清除用戶會話、釋放相關(guān)資源，防止被攻擊者利用。

數(shù)據(jù)安全服務(wù)層提供數(shù)據(jù)的安全存儲、傳輸和唯一性認證服務(wù)，主要功能在后置接入網(wǎng)關(guān)上實現(xiàn)。

4.5數(shù)據(jù)安全

數(shù)據(jù)是系統(tǒng)平臺安全保護的核心。在整個移動應(yīng)用平臺的信息外網(wǎng)是不能存儲數(shù)據(jù)的，所有的數(shù)據(jù)必須存儲在信息內(nèi)網(wǎng)，外網(wǎng)運行的數(shù)據(jù)必須通過安全設(shè)備的過濾從信息內(nèi)網(wǎng)中獲取。信息外網(wǎng)運行數(shù)據(jù)包括：用戶身份數(shù)據(jù)、平臺運維數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)、消息數(shù)據(jù)等幾種。根據(jù)《國家電網(wǎng)公司保護商業(yè)秘密規(guī)定》的要求，涉及公司秘密的業(yè)務(wù)應(yīng)用不得在移動交互平臺上運行。

數(shù)據(jù)在平臺傳輸和存儲過程中的安全防護措施主要是加密、完整性校驗和完善的數(shù)據(jù)備份策略3個方面。對于如用戶信息、密碼、系統(tǒng)配置數(shù)據(jù)等敏感數(shù)據(jù)在數(shù)據(jù)庫中必須使用SM3、SM4算法加密存儲，數(shù)據(jù)輸入需要通過程序的邏輯校驗和數(shù)據(jù)庫約束條件進行限制，重要業(yè)務(wù)數(shù)據(jù)輸出需要通過權(quán)限二次復(fù)核才能允許發(fā)布。移動終端和應(yīng)用平臺的數(shù)據(jù)交互需采用https協(xié)議傳輸，平臺接口數(shù)據(jù)交互可通過哈希單向運算、SSL、SSH等方式實現(xiàn)加密處理，禁止明文傳輸。

5.安全管理

對于企業(yè)信息安全管理，規(guī)范、有效的安全管理過程永遠是最重要的保障。只有高標準的建立安全體系并為之配套建立相應(yīng)的管理制度，將管理體系切實落實，才能從根本上保障企業(yè)信息安全。

在每個業(yè)務(wù)系統(tǒng)從需求分析、開發(fā)、測試、上線開始直至日常運維、下線的信息系統(tǒng)生命周期全過程中，需嚴格執(zhí)行國家電網(wǎng)公司在等級保護定級、安全需求分析、安全編碼、上線測評等關(guān)鍵環(huán)節(jié)的系列重要規(guī)章制度?；谝苿討?yīng)用建設(shè)和運維的特點，移動應(yīng)用平臺具體管理建設(shè)可包括：（1）項目開發(fā)生命全周期管理，和傳統(tǒng)的信息項目管理沒有區(qū)別；（2）平臺運維管理，加強平臺日常監(jiān)控力度，定期進行系統(tǒng)安全弱點掃描，規(guī)范日常操作及時發(fā)現(xiàn)潛在的問題，明確各部門責(zé)任和管理流程，突出安全事件的響應(yīng)速度；（3）終端管理，加強外網(wǎng)移動終端的接入管理，規(guī)范移動終端的使用，實現(xiàn)終端注冊、使用、注銷、鎖定、遠程數(shù)據(jù)擦除的全過程管理。

6.結(jié)束語

移動互聯(lián)是目前社會發(fā)展方向，面對電網(wǎng)企業(yè)不斷提升信息化水平、更好服務(wù)社會的需求，移動應(yīng)用將越來越多的出現(xiàn)企業(yè)日常運行。而在移動互聯(lián)網(wǎng)絡(luò)技術(shù)不斷更新與發(fā)展的同時，也帶來了新的隱患，這就使得企業(yè)移動應(yīng)用安全成為企業(yè)信息化中的重要研究項目。因此，本文研究了移動應(yīng)用平臺在電力企業(yè)的應(yīng)用，分析了移動應(yīng)用平臺典型的結(jié)構(gòu)和威脅風(fēng)險，對移動互聯(lián)網(wǎng)防護關(guān)鍵技術(shù)的進行了較為全面和深入的研究。

[1]劉曉東.電網(wǎng)企業(yè)移動應(yīng)用研究[J].中國電業(yè)（技術(shù)版）,2012(11).

[2]吳石松,劉曄.電力企業(yè)移動智能終端安全應(yīng)用初探[J].現(xiàn)代計算機,2013(12).

[3]徐震,劉韌,于愛民,汪丹.智能電網(wǎng)中的移動應(yīng)用安全技術(shù)[J].電力系統(tǒng)自動化,2012(16).

[4]李彬,田毅.企業(yè)移動應(yīng)用平臺展望[J].信息通信,2015(1).

邰楠（1975—），男，江蘇南通人，工程師，研究方向為電力企業(yè)管理信息化。