南通供电公司 邰 楠

电网企业移动应用平台安全设计研究

南通供电公司 邰 楠

随着移动技术在电网企业应用不断深化，为了保证企业的信息安全和集约管理，需要建立安全、可靠的移动应用支撑平台。本文从电网企业的移动应用需求入手，分析了典型的移动应用平台构架下的终端、网络、平台和应用存在的风险，针对风险源从终端安全、通道安全、边界安全、应用安全、数据安全5个方面给出相应的技术解决方案，并对应用平台的运维管理进行了探讨。

智能电网；移动应用；信息安全

1.引言

随着移动信息化时代的到来，移动互联技术和传统的企业信息化融合出现了企业移动信息技术。企业移动信息化是传统的企业信息化的一个扩展和延伸，是企业利用智能移动终端和无线通信技术，随时随地开展各项商务、业务活动的创新模式，具有移动性、便捷、即时和个性化的特点。目前电网企业根据自身业务需要开展了多种移动应用的建设，主要集中在三个方面：（1）结合移动GIS的移动营销，包括移动抄表、收费，用电检查，智能抢修等；（2）移动作业，包括设备状态管理、电缆施工管理、智能巡线等；（3）移动办公，包括邮件办理、待办事宜提醒，通知公告等。

由于缺少整体规划和统一管理，这些应用的部分功能（如身份认证、消息推送等）是一致的，重复建设造成了资源利用率低、系统关联性差、安全风险点多，无法统一管理等的不利后果。为了解决上述问题，规范移动应用的建设和运行，建设一个移动应用支撑平台显得十分必要。

2.移动应用平台简介

所谓移动应用平台就是为企业提供一个全方位的移动应用架构，涵盖了移动应用平台的前、后端（包括运行在移动设备的前端移动应用架构，在后台提供服务的在软硬件平台），涉及开发框架、运行环境、后端移动服务平台（MAM 和 MDM）、移动安全平台、业务集成平台（包括实施业务监控和分析）等多个方面。

（1）定义一套标准化的开发框架，在前端提供标准开发组件，支持在平台上构建营销、生产、办公等移动业务应用；

（2）提供统一的身份认证、应用商店、流程管理、消息发布、数据同步等基础服务，支持各类移动业务系统的数据集中、应用集成；

（3）构建统一的移动安全框架，提供终端安全、网络安全、应用安全、数据安全，保障移动业务应用安全可靠运行；

（4）建立统一运维平台，提供配置管理、设备管理、移动应用管理和安全管控等功能，实现对各类移动终端和移动应用的集中管理和统一配置，实现移动运维流程优化。

图1为一个典型的平台逻辑部署图。

图1　移动应用平台逻辑部署图

平台整体分为4个区域外网、隔离区、安全区、内网，隔离区内部署接入服务，安全区为移动应用中间层部署区域，内网是核心数据区，各区之间用防火墙和隔离设备进行保护。

3.安全风险分析

移动应用扩展了企业信息网络空间，为企业开展业务带了诸多方便但同时也对企业信息安全带来了挑战，主要体现在：

（1）终端风险

移动智能终端主要是面向普通消费者设计的，iOS、Android目前还不具备有效的企业安全管控措施，如：没有角色管理，用户权限管理，无法获得安全的获得系统高级管理权限，这使得移动智能终端的使用难以符合企业的信息安全要求，容易受到攻击。

（2）网络风险

数据传输发生在公网，传输过程难免需要面对窃听、信息泄漏等风险，同时网络通道面临拒绝服务式攻击、网络蠕虫攻击、重放攻击等传统网络攻击风险。

（3）业务应用风险

企业移动业务应用和用户个人应用共存一台终端，这给攻击者提供了获取个人信息、业务数据、敏感信息甚至进行数据篡改的攻击机会，影响业务系统安全运行。

此外，作为一个信息系统，应用系统必须还要面对由于开发缺陷造成的sql注入、缓存溢出、恶意代码植入以及因管理不到位造成的管理员滥用权限、数据备份策略不完整等各种威胁。

4.安全防护措施

依据《信息安全技术信息系统安全等级保护基本要求》中关于等级保护的分级标准，结合电力移动应用同时面向社会大众提供服务的特点，移动应用平台的安全保护等级定级为三级, 相应的平台防护标准应满足等级保护三级要求，需从物理、网络、主机、数据、安全平台等方面进行防护。主机及操作系统、数据库、网络设备的整体安全防护策略已经较为成熟，可参照《国家电网公司信息化“SG186工程”安全防护总体方案》、《国家电网公司智能电网信息安全防护总体方案（试行）》实施，由于篇幅的限制本文不作讨论。

4.1终端安全

智能终端安全管理比较复杂，用户终端设备及操作系统千差万别，需要防护的方面也比较多，总的来说可以从选择安全可靠的系统和软件、应用软件使用最小化、限制终端设备启动的功能、加强敏感信息的保护、定期检查终端设备软件和系统漏洞几个方面考虑，从技术上具体包括：

（1）建设终端和用户管理系统，实现系统对终端的有效监控，实现设备锁定、用户操作安全审计和远程销毁指定的应用数据功能，防止设备丢失带来的数据泄露风险；

（2）利用安全沙箱技术，为企业应用程序在终端上创建独立的安全存储区，将用户公私数据有效隔离；

（3）通过客户端手势密码、动态口令、设置pin码、短信校验等技术手段，保证；

（4）终端登录安全，有效阻止非授权登录；

（5）统一安装国内知名品牌的移动智能终端安全管理软件，可以在一定程度防止后门程序的植入，及时修复已经公开的系统漏洞。

4.2网络安全

为了防止网络传输数据被非法窃听、篡改，首先要做的就是与公网架设专线，避免混用线路。其次，使用多个运营商网络通道实现链路冗余，当一条链路出现异常有另外一条链路作为备份链路使用，避免因运营商故障导致的链路故障对系统运行带来影响。当然有关网络设备也需使用冗余配置。使用防火墙、IDS（侵入检测系统）/IPS（入侵防御系统）网络防护设备对网络流量进行检测、控制，及时发现并处理网络访问中的异常行为，对端口扫描、木马后门攻击、IP碎片攻击、网络蠕虫、拒绝服务等网络攻击进行拦截。

4.3边界安全

从国家电网公司各级单位安全域分布示意图（引用自《国家电网公司信息化“SG186”工程安全防护总体方案（试行）》）可见，平台整体可分为互联网、信息外网、信息内网三个区域。为保证移动平台的安全，各区之间以及区内横向通道之间都必须有相应的安全措施进行有效隔离和监控。

图2　国家电网公司各级单位安全域分布示意图

边界类型　安全控制措施　控制措施对应的安全产品实现互联网边界网络访问控制边界流量和连接数控制远程安全接入边界入侵检测内容过滤日志记录与审计使用国产基于网络的入侵检测系统和入侵防御系统，提供对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。使用国产防火墙配置强化的访问控制策略，抵御常规的网络攻击，监控网络存取和访问，防止内部信息外泄，允许安装平台客户端软件的移动终端访问应用平台，拒绝非授权的终端访问。部署前置接入网关和后置接入网关。前置接入网关工作在应用层，主要是对公务的URL请求进行识别分析和业务数据的内容过滤。后置接入网关负责在互联网移动终端与平台间建立安全数据通道，实现重要业务数据的加密传输、数字证书服务和业务安全交互。信息外网横向域间边界网络访问控制日志记录与审计使用国产防火墙针和后置接入网关对业务系统间数据交互进行控制，设置业务间的访问控制策略，配置IP、端口、服务类型、数据格式等具体信息，防止通过地址欺骗等手段非法访问外网业务应用服务器、调用业务接口……信息内外网边界　逻辑强隔离利用网络安全隔离装置进行防护，仅允许平台外网限定的模块访问内网数据库服务器。信息内网域间横向边界网络访问控制日志记录与审计　同信息外网横向域间边界部分。

4.4应用安全

移动应用平台的逻辑构架大致可分为四层：应用服务层，部署具体的应用模块；支撑服务层，部署用户管理、角色管理、权限管理、应用商店、配置管理、消息管理、数据同步、流程管理、日志管理等统一业务支撑应用模块；设备服务层，部署终端管理、身份认证、接入控制等模块；数据安全服务层，提供PKI、KMI、加密、解密和数字证书服务等数据安全传输和安全存储等基础服务。

图3　移动应用平台逻辑构架图

应用的安全防护设计主要涉及支撑服务层、设备服务层和数据安全服务层。应用服务层中各模块的安全问题，主要是由开发程序过程中的安全设计标准决定，由于开发平台和工具各异，很难统一表达。

支撑服务层包含的模块较多，需要安全防护设计的方面有：用户管理、配置管理、权限管理、日志管理等。移动终端用户分为公众用户和企业内部用户，内部员工的定义和角色设定需与企业的统一框架中的用户信息统一起来。系统的功能授权基于角色（如管理员、浏览用户、业务角色用户）支持细粒度的角色权限设置，支持一个用户多个角色 ，角色定义的支持允许功能和禁止功能设置，角色用户设置时需要与其工作性质对应，对于重要角色权限的设定或重要资源的分配需要有审核流程支持。用户授权等配置管理功能只允许管理员角色的用户操作。此外，系统的运维管理页面需要单独保护性定义，杜绝使用admin.jsp等常见管理入口配置，禁止通过Web页面直接浏览服务端的目录和文件。日志安全审计范围应覆盖平台中的每个用户和平台中的所有重要安全事件，不仅包括登录时间、权限变更、关键数据变更事件，还要包括跨业务应用层的业务逻辑、关键数据访问重要行为等。日志记录中不存储敏感信息（不必要的系统详细信息、会话标识符或密码）。

设备服务层主要管理平台和终端用户的交互。用户在进行身份认证时，可根据安全级别的不同使用手势密码、动态口令、短信密码校验、图片校验码等多重手段进行身份确认。企业内部员工密码必须使用高强度策略设置，密码的长度必须为8个字符以上，且包含字母、数字和字符。对于专业系统应用的专用终端访问请求，平台需要对终端本身进行验证，验证信息包括设备序列号，MAC地址、所在地区信息等。用户登录成功登陆平台后，系统可随机分配会话标示，绑定当前IP地址、终端设备名等信息，保证用户接入的唯一性，拒绝同一用户同时间并发登录。对于用户多次登录失败应有用户锁定机制，限制当天不能再次登录。限定用户操作空闲时间不宜超过10分钟，超时后自动关闭连接。用户注销或关闭应用后，服务端需及时清除用户会话、释放相关资源，防止被攻击者利用。

数据安全服务层提供数据的安全存储、传输和唯一性认证服务，主要功能在后置接入网关上实现。

4.5数据安全

数据是系统平台安全保护的核心。在整个移动应用平台的信息外网是不能存储数据的，所有的数据必须存储在信息内网，外网运行的数据必须通过安全设备的过滤从信息内网中获取。信息外网运行数据包括：用户身份数据、平台运维数据、业务数据、消息数据等几种。根据《国家电网公司保护商业秘密规定》的要求，涉及公司秘密的业务应用不得在移动交互平台上运行。

数据在平台传输和存储过程中的安全防护措施主要是加密、完整性校验和完善的数据备份策略3个方面。对于如用户信息、密码、系统配置数据等敏感数据在数据库中必须使用SM3、SM4算法加密存储，数据输入需要通过程序的逻辑校验和数据库约束条件进行限制，重要业务数据输出需要通过权限二次复核才能允许发布。移动终端和应用平台的数据交互需采用https协议传输，平台接口数据交互可通过哈希单向运算、SSL、SSH等方式实现加密处理，禁止明文传输。

5.安全管理

对于企业信息安全管理，规范、有效的安全管理过程永远是最重要的保障。只有高标准的建立安全体系并为之配套建立相应的管理制度，将管理体系切实落实，才能从根本上保障企业信息安全。

在每个业务系统从需求分析、开发、测试、上线开始直至日常运维、下线的信息系统生命周期全过程中，需严格执行国家电网公司在等级保护定级、安全需求分析、安全编码、上线测评等关键环节的系列重要规章制度。基于移动应用建设和运维的特点，移动应用平台具体管理建设可包括：（1）项目开发生命全周期管理，和传统的信息项目管理没有区别；（2）平台运维管理，加强平台日常监控力度，定期进行系统安全弱点扫描，规范日常操作及时发现潜在的问题，明确各部门责任和管理流程，突出安全事件的响应速度；（3）终端管理，加强外网移动终端的接入管理，规范移动终端的使用，实现终端注册、使用、注销、锁定、远程数据擦除的全过程管理。

6.结束语

移动互联是目前社会发展方向，面对电网企业不断提升信息化水平、更好服务社会的需求，移动应用将越来越多的出现企业日常运行。而在移动互联网络技术不断更新与发展的同时，也带来了新的隐患，这就使得企业移动应用安全成为企业信息化中的重要研究项目。因此，本文研究了移动应用平台在电力企业的应用，分析了移动应用平台典型的结构和威胁风险，对移动互联网防护关键技术的进行了较为全面和深入的研究。

[1]刘晓东.电网企业移动应用研究[J].中国电业（技术版）,2012(11).

[2]吴石松,刘晔.电力企业移动智能终端安全应用初探[J].现代计算机,2013(12).

[3]徐震,刘韧,于爱民,汪丹.智能电网中的移动应用安全技术[J].电力系统自动化,2012(16).

[4]李彬,田毅.企业移动应用平台展望[J].信息通信,2015(1).

邰楠（1975—），男，江苏南通人，工程师，研究方向为电力企业管理信息化。