周峰

摘要

代收电费银企联网是电网企业加快电费回收、提高营销客服质量、缩短资金在途时间的有力技术支撑。本文阐述了南通供电公司银企联网的部署方案、系统功能和相关安全配置，对存在的安全风险进行分析，并介绍了目前可行的防护方案。

【关键词】电网企业 电费 银企联网 信息安全

1 引言

近年来，随着当今社会互联网的迅猛发展，社会整体信息化应用水平大幅提升，电费收缴手段日趋多样化，信用卡扣、代收网点、移动支付等多种方式的引入，在给公众带来便捷的同时，也对电网企业电费代收数据网络的信息安全带来了诸多挑战。由于信息网络具有联结形式多样性，终端分布不均匀性，网络开放性和互联性等特征，致使网络己受到黑客和其它不轨行为的攻击。信息网络在给人们带来极大快捷和便利的同时，也给电网企业和银行带来了巨大的风险。如果电网企业的营销数据、客户隐私、银行的单据等关键信息落入黑产、恶意用户，将给企业、银行带来广泛、不可弥补的经济损失，同时也损害公共事业的形象声誉。

2 银企联网安全性分析

2.1 电网企业与银行的联网方式

国网南通供电公司与中、农、工、建行、电信、移动公司等十家单位都采取集中联网方式，实现数据集中管理，由供电公司的电力营销主机通过前置机与银行主机的实现互联。银、电双方的前置机通过供电公司铺设的专用裸光纤或电信、移动等专线进行互联。

银企联网两侧MQ前置机的连接方式分两种：长连接与短连接。短连接是指每笔业务处理时都即时建立连接，当业务处理完毕后立刻释放该连接，下一笔业务处理开始时重新建立连接。长连接是发起请求后就一直保持原来的连接，一笔业务结束时不会释放原有连接。短连接处理业务的数量不会受到限制，但当大量短连接建立时，会使电网企业前置机和后台服务器性能受到影响，严重时会导致系统死机。而长连接可靠性高，业务处理响应迅速，当交易高峰期很多请求同时到达时由于通道限制会拒绝部分请求。南通供电公司银企联网由于前期部署的裸光纤专用通道，根据南通市区各家银行的分布情况，通过OSPF组成两个三层环网，为电费代收业务提供了一个稳定、安全的光纤专用通道，因而选择了长连接方式，保证银企系统响应的及时性。

2.2 银企联网系统构架及业务处理流程

银企联网系统由MQ前置机、后台主服务器、边界防火墙、银企各方的交换机、专用裸光纤通道等组成（如图1所示）。南通供电公司主站侧采用三台高性能PC刀片式服务器，各家银行、电信、移动公司的业务互联分散部署其上，两侧前置机的通信不影响银企各自的内部业务。

银企联网系统业务处理流程如图2所示，当客户在银行缴纳电费时，由银行柜台终端访问银行内部主服务器，通过银行的银企联网MQ前置机，向电网企业的MQ前置机发出请求，电网MQ前置机在接受请求后，对请求进行处理和响应，并根据请求在电网企业营销系统中查找对应的电费账单，并根据规定响应流程进行结算处理，得到结果后将对侧请求的信息交给电网MQ前置機，通过银企联网传递给银行MQ前置机，最终分配给提出请求的银行柜台，客户据此进行电费缴纳，银行会再次通过该通道将缴费情况反馈给电网企业。银企双方确认完毕后，完成该用户的电费缴纳业务处理流程。

2.3 银企联网的安全设置现状

代收电费银企联网是银行与电网企业双方内部主服务器的连接通道，理论上讲，银企双方都有受到来自对侧攻击的可能性，在网络结构上看双方是在传输层实现连接的，常见的被攻击方式有：通过远程访问端口（21/23/445/3389等端口）渗透并获得对方前置机的管理权限，通过该跳板进而攻击对方内部网络;通过模仿对侧IP或数据包，发送恶意代码，从而越权获得关键服务器管理员权限。因此必须在关口设置安全措施。

（1）多层安全保护措施：南通的银企联网通道采用南通供电公司铺设的光纤专网，银行和供电公司两侧各自设置专用MQ前置机、边界防火墙、采用白名单策略、私有IP地址、规定数据包格式、实时检测数据包合法性等方法，来识别访问者的合法性，防止恶意用户的渗透攻击，保证供电公司与银行双方业务数据及联网系统的安全性;

（2）统一、规范、可靠的通信规约：银企联网系统提供了代收电费银行认可的通信规约，联网银行统一按电网企业提供的通信规约与电网企业的营销系统实现数据互通，实时交换规定信息，保证代收电费银企联网的顺利握手和可靠运行;

（3）银企双方路由器外侧第三方边界架设防火墙和IDS（入侵检测装置），配置最低权限安全策略，任何数据请求首先必须到达防火墙，合法的请求经防火墙处理后进入内部网络，IDS对每条数据进行检测分析，能够识别外来访问的合法性和合理性，并记录非法的请求并实时告警，同时记录任何对后台服务器数据的修改操作;

（4）系统同时与多家银行实时联网：可以降低仅有单个银行代收电费带来的风险，引入竞争机制，降低电费代收的运营成本，同时方便客户缴纳电费;

（5）完善对帐、销账、审账、监控管理制度：电网企业与各家银行签署电费代收相关协议、制定审计制度保障联网收费的准确率，有效控制误差。

3 银企联网的安全性优化

（1）由于银企联网的设备绝大部分部署在电网企业、银行的核心机房，有专人负责，安全设施齐全，而暴露在公共区域的银企联网中间的互联通道，存在外力破坏和恶意攻击风险。南通供电公司采用实时网管监控，监测银企联网通道链路的连通性，当链路中断时会实时报警，并给网管工程师发送中断链路短消息，方便工程师及时查看故障链路，并及时恢复。

（2）银企联网供电侧防火墙采用：由内至外，由外至内双向实行白名单制度，根据需要开放必要端口和对侧IPo在银企前置机与内网架设正反向隔离装置，只允许固定格式文件传输。

（3）银企联网属于第三方边界，建立专项接入管理制度，界定银企联网双方互联通道的技术要求和管理要求，如表1所示。

4 结语

随着信息技术、通信技术的进步，电网企业对外业务信息化的不断开拓，其第三方边界互联将会日益增多。银企联网系统为电网企业代收电费提供实时电费回收和账务结算平台的同时，也带来了网络与信息安全风险，只有不断推进完善银企联网安全防护的技术手段和管理制度，制定合理方案、标准的操作流程和规范安全体系，才能为电网企业运营和社会经济顺畅流转提供关键业务支撑。

参考文献

[1]袁津生.计算机网络安全基础[M].北京：人民邮电出版社，2013.

[2]汤奕，王琦，倪明.电力信息物理融合系统中的网络攻击分析[J].电力系统自动化，2016（06）：4.

[3]熊海青.大数据背景下计算机网络安全防范措施[J].计算机光盘软件与应用，2015，02：160.