焦阳 姚斌 张浩 周春

【摘 要】本文研究的主要内容是电力营销移动应用的安全防护问题。通过综合运用数字签名、服务数据加密和安全隔离网闸等多种安全防护技术，构建覆盖移动互联网、电力信息外网和信息内网的电力移动应用安全解决方案，并遵循“分区分域、安全接入、动态感知、全面防护”的安全策略，并通过将这些安全防护技术的应用有效确保了营销服务手机应用平台的应用安全。

【关键词】电力营销 安全防护 数字证书

基于电力用户对营销服务品质要求的不断提升，建立移动化的营销服务渠道的需求显得更为迫切。移动营销服务将融合3G、移动终端、企业互联网应用等技术手段，使得用户在移动的状态下能基于用户身份和位置随时使用电力营销服务。通过移动营销服务渠道的建立，将加快服务响应速度，实现客户服务覆盖的最大化，让广大电力客户体验真正意义上的多元化互动服务。

在传统电力营销业务向移动服务模式转变的大背景下，如何在满足用户互动化、便捷化、智能化服务需求基础上，确保移动应用服务和数据的安全是电力信息系统安全防护技术重要研究课题之一。

1安全防护设计

营销服务手机应用平台等级保护要求为三级，其安全防护策略上，遵循“分区分域、安全接入、动态感知、全面防护”的安全策略，按照等级保护三级系统要求进行安全防护设计，并根据业务系统的不断完善加强对系统的防护，最大限度的保障应用系统的安全、可靠和稳定运行。其具体防护设计如下：

1.1边界安全

营销服务手机应用平台涉及移动互联网、电力信息外网和电力信息内网三段网络。依据实际的网络情况，采用CA数字证书和隔离网闸技术，确保应用系统能够安全稳定运行，防止业务数据丢失及被篡改，有效保证数据传输的机密性和系统安全。其具体设计思路如下：

（1）利用CA安全防护技术，保证信息外网与互联网边界防护安全。

CA安全防护技术包括证书签发系统、安全认证服务和手机安全插件。证书签发系统为用户提供证书在线申请、更新、吊销、重签发等功能。安全认证服务实现数字签名验证、数据解密等功能。手机安全插件实现数字签名、数据加密、数字信封等功能。手机客户端安全插件通过RSA结合3DES加密算法对业务数据进行加密。证书签发系统、安全认证服务和客户端安全插件配合共同实现安全功能。

其安全防护流程如图1所示：

图1

（2）利用专业安全隔离装置，保证信息外网与信息内网边界防护安全。

隔离装置能够实现SQL过滤、访问控制、网络隔离，是目前电网实现信息外网与信息内网边界防护安全的典型模式。其具体防护流程如图2所示：

图2

1.2数据安全

（1）数据存储安全。1）锁定或者失效默认用户。Oracle数据库系统安装的时候会有一系列的默认用户生成，在数据库安装完毕之后，经过功能筛选，锁定或者失效这些默认用户。2）修改可用用户的默认密码。不能锁定或者失效的用户，必须修改默认密码。如具有SYSDBA权限的SYS用户和具有DBA权限的SYSTEM用户，修改默认密码，密码长度符合国家电网公司密码安全规则要求。3）定期更新Oracle推出的安全性补丁。定期查看Oracle官方网站公布的安全警告和解决方案，并主动下载与营销服务手机应用平台数据库版本相关的安全补丁，进行升级完善。 4）重要机密数据加密存储。对用户的密码等重要数据，采用MD5、3DES等加密算法，进行加密存储，防止数据库被攻破以后，重要数据无法被用户窃取。

（2）数据传输安全。手机客户端与前置服务在进行数据传输时，一方发起数据传输，通过RSA加密算法进行密钥加密，3DES加密算法进行业务数据内容加密，另一方接受数据以后，按照约定算法进行解密。

2 结语

本文通过详细描述营销服务手机应用平台应用在边界安全和数据安全采用的安全防护技术，为电力移动应用奠定了良好服务基础，促进了电力移动业务应用的发展。