史力思

[摘要]本文从电力系统近年来发展的现状分析，探讨了目前互联网中电力系统移动外网应用存在的具体问题。结合本人多年在信息安全岗位的实际工作经验，综合分析了移动应用安全问题存在的潜在威胁与危害。通过本人搜集的相关大数据的分析，对电力系统移动应用存在的隐患制订相应的对策及检测防范措施。

[关键词]移动应用 安全隐患 检测防范

移动应用在互联网的利用是新时代的产物，也是未来发展的必然趋势，在丰富电力系统与广大客户群众交互的沟通渠道同时，也给用户带来了工作、生活的便捷和超高的娱乐体验。作为电力企业，顺应了时代的潮流，在系统内有相当多的部门开发并使用了移动应用，这也是一种与时代前进的公司优质服务的体现。例如电力微信公众号，作为微信第一电量缴费中心，客户群在1个亿左右。例如营销电力一点通，作为发布停电信息的公众网络平台，客户群也在5000万左右。但是移动互联在无线接入网络、移动终端、应用服务以及安全隐患上都即将面临着前所未有的挑战。各种漏洞、后门、远程控制等不法行为危害着社会、国家、企业和公众的利益和安全。电力企业作为大型国有企业，如果内部信息安全被发现存在用户信息泄露、远程控制等安全事件，将会引发社会严重的安全问题，后果则不堪想象。

一、安全部门必需认识移动应用现状

近几年，国网公司在电力系统内部不断加强信息安全的防范工作，提高信息安全意识，提升其在电力系统中的重要地位。国网公司在移动应用安全问题上也专门进行了相关文件的颁发、制度的学习和贯彻。目前国网公司对于互联网中电力系统移动应用涵盖为：外网网站及业务系统、微信、微博公众号及电力移动App等范畴。2016年，电力系统移动应用相关检查中发现：互联网中的电力企业移动应用漏洞大多数为系统密码弱口令/空口令漏洞，具体分析类型为：

电力企业移动应用APP呈高危漏洞快速增长、低危漏洞减少等趋势发展，2016年电力系统移动应用具体漏洞分部比为：（图2）

二、监管机构必须确保移动应用安全

电力系统各种领域的移动应用数量呈井喷式增长，系统深受各种漏洞的威胁，用户深受个人隐私泄露等隐患的困扰。电力系统相关责任部门应加强对移动应用安全性的审核，确保上线应用的安全性。监管部门应抓紧出台移动应用安全治理方法，建立安全评估体系，肃清不合格的移动应用的运行。对于安全责任不落实、安全管控薄弱、数据防护能力较弱的移动应用，应按照《关于进一步加强移动应用安全防护工作的通知》文件精神，促进移动互联新技术的应用，保障移动应用安全。

三、技术单位必须严格治理移动应用隐患

电力系统信息安全技术部门应加强对系统内移动应用的管控，提高认识，加大管理力度。例如系统内部生产控制大区，信息技术人员应有相应的管理职能，督导责任人员进行系统的等保测评及备案。例如系统管理信息大区，信息技术人员应使用专业工具进行督查。及时发现和阻止非法终端接入、应用终端、恶意行为分析、数据交互与内容安全等，采取有效手段处置。针对存在和第三方有数据交换的移动应用，须建立内容审查制度对用户隐私数据和工作信息须采用加密传输、加密存储等技防措施落实数据保护。对于外网网站及业务系统，利用专业搜索引擎如nosec、zoomeye输入关键字搜索；对于微信、微博公众号，利用手机微信、微博客户端查找，或者例用WeChatCollect进行全面的搜索。对于不安全的电力系统内部移动App，IOS应用通过苹果商店（AppStore）查找（或iTunes、PP手机助手等）；安卓应用需要在各大应用商店中搜索关键字。运维单位须建立移动应用安全运维制度，落实开发平台更新、操作系统更新、安全补丁、版本更新、应急措施等安全管理。督查负责单位需建立常态安全督查机制，把移动应用安全纳入督查范围开展日常、专项等督查工作。

随着越来越多的电力系统移动应用的出现，使得各项移动应用的漏洞和隐形泄露检测系统变的非常重要。电力系统移动应用还没有一个统一的安全领域，因此电力系统迫切的需要对此类问题进行深入透彻的研究和安全标准的制定，把移动应用的安全渗透测试整合其中。只有将移动应用的信息安全问题降低到最小风险，才能保障电力系统移动应用在互联网的使用前景中永处于不败之林。