王冬明

摘 要：移动互联网是移动通信和互联网两者融合的产物，其代表着信息通信技术的发展趋势。随着移动互联网在电力信息化建设中的不断深入，其面临的安全问题也日益突显。本文通过分析电力行业移动互联网应用系统存在的安全风险，最后结合已有安全技术措初步探讨出电力移动互联网应用系统的安全防护方案。

关键词：移动互联网 移动终端 等级保护

电力工业是我国国民经济的基础产业和公用事业，电力企业的信息网络和应用系统的安全、稳定、经济、优质运行，直接关系到我国各行各业的发展和人民生活水平的提高。电力行业的信息化广泛涉及电力系统的电网调度、厂站自动化、配电网自动化、电力负荷管理、电力市场交易、电力营销、电力企业管理等生产、经营和管理等各个业务领域的计算机和网络系统，是一项技术和管理复杂的大型系统工程。

1 移动互联网应用面臨的安全威胁

综上可知移动互联网的特性决定了在其面临威胁更要远甚于传统的互联网，其主要面临的风险包括智能终端安全、终端应用软件安全、移动互联网通信和移动互联网业务服务安全。

1.1 智能终端安全威胁

在移动互联网领域，业务软件依赖于智能终端，智能终端作为应用软件的支撑环境。在智能终端安全存在如下的安全问题：

（1）恶意代码及恶意软件：针对智能终端的恶意软件不断的增多。

（2）拒绝服务攻击：通过攻击智能操作系统的特定服务导致系统服务不可用。

（3）信息窃取：通过恶意软件窃取从事个人隐私以及企业敏感数据。

1.2 终端应用软件安全威胁

终端应用软件是组成移动互联网应用的媒介，通过在智能终端上安装 APP 软件，实现业务系统的使用，在终端应用软件中主要存在如下的安全威胁：

（1）信息泄露：未对业务信息或流程进行有效的保护。

（2）未进行加密存储：未对重要信息采用加密。

（3）应用软件恶意篡改：非法用户恶意篡改应用软件。

（4）数据通信未加密处理：未对重要的数据信息进行加密。

1.3 移动互联网通信

移动互联网通信是组成移动互联网的基础，负责业务终端与业务服务端的通信和数据交换，互联网主要涉及路由器、交换机和接入服务器等设备以及相关链路。其主要存在如下的安全威胁：

（1）伪基站攻击：利用 GSM 单向认证缺陷的非法无线电通信设备，能够搜取以其为中心、一定半径范围内的 SIM 卡信息，并任意冒用他人手机号码强行向用户手机发送诈骗、推销等垃圾短信。

（2）无线网络攻击：无线网络包括 WEP加密方式、WPA 加密方式、WPA2 加密方式。实践证明，三种加密方式都存在被破解的可能。

（3）未进行传输加密：由于大部分网络通信方式都是以明文的方式在网络上进行传输的，就能够得到用户的网络通信信息。

1.4 移动互联网业务服务安全

移动互联网业务服务安全是为终端应用软件提供后台业务处理的应用组件，主要存在如下的安全问题：

（1）数据有效性校验不足：存在 SQL 注入攻击、跨站脚本攻击、跨站请求伪造等攻击。

（2）越权访问：访问控制权限不严格，导致低级别用户可以通过访问特定页面获取高等级用户的权限。

（3）密码或信息泄露：由于身份鉴别能力不足时的用户鉴别信息可能被冒用或伪造，进而造成个人或企业信息泄露。

（4）拒绝服务攻击：通过大量并发的恶意请求来占用系统资源，致使合法用户无法正常访问目标系统。

（5）监控和审计缺失：缺乏对终端请求访问或后台管理端的实时监控的功能。

2 电力移动互联网的安全防护措施

2.1 移动终端安全防护

（1）配电网子站终端安全防护：将安全模块安装在子站终端设备上，当主站系统传输控制命令或设置信息时，将对此信息进行安全检查和检验完整性，避免出现非法设备冒充主站对子站进行攻击。在子站上设置可进行远程控制启动和停止命令的软硬压板。硬压板指的是物理开关，在未闭合时只能进行手动操作，闭合时可进行远程控制;软压板指的是在终端系统中的逻辑控制开关，当硬压板闭合时，主站可进行命令的发送，来控制远程的启动与停止。需要对子站终端设备配备防窃、放火等保护措施，保证终端设备的安全运行。

（2）防护移动作业类终端的安全 ：在PC类台式移动终端中需要安装终端安全软件，并且在安装后进行安全加密卡的认证，此类型的终端不能接入互联网，当完成安全接入系统的注册后，才能进行电力信息网的接入;采用工业级别的TF加密卡，对PDA/手机类终端与和生产作业有关的PDA/手机类终端进行安全防护，在完成终端的安全专控软件以及APN的SIM卡绑定后，进行安全接入。

2.2 移动互联网网络通道及边界安全防护

在通过互联网进行数据信息传输时，需要对信息进行加密处理，防止敏感信息在进行网络传输时受到非法窃取;当需要对信息进行修改或删除时，应当提供数字签名，以确保信息不被恶意篡改或删除。部分无线专网是利用WiFi技术进行工作的，对于此类网络的安全，需要进行审计、认证和保密。所需要执行的安全措施有 ：对于路由器的名称不得使用其品牌名、自身型号、个人姓名、住址以及公司名称等，应当使用随机字母或数字组成的密码，防止个人信息或公司等信息的泄露，保证移动互联网的使用安全;禁止使用SNMP服务，不得使用由配置软件所提供的远程管理选项，路由器的控制只能是所有者进行，其他人员不能控制路由器;在无法管控的区域应避免路由器信号涉及，限制路由器的广播区域;禁止使用服务装置标识广播;过滤MAC地址，对需要访问的用户进行确认;对于网络访问的用户需要知道网络的名称或SSID，未知的情况下不得访问网络;对使用网络的WiFi终端进行审计，对不满足要求的终端进行剔除，对于存在欺骗行为的终端应禁止接入网络。

2.3 移动互联网业务应用安全防护

进行移动互联网业务应用安全防护时，根据不同部位的应用特点有不同的防护措施。对于电力业务主站系统，可以使用硬加密方式进行安全防护，而终端可使用硬加密也可用软加密。如果终端已经大量设置完成、主站的接入方式为电力光纤，或终端改造难度较大但安全性要求不高，这些情况下可使用软加密，同时注意对密钥进行定期的更新和存储。在使用公网接入主站、将要进行的远程终端以及安全性要求较高的终端，可使用硬加密。使用硬加密的方式还可应用于需要在终端和主站间建立加密通道的情形，能够保证传输数据的安全和完整;使用对称加密方式可以应用于业务量较大和频度较高的场合;非对称加密方式应用于业务量较少和频度较低的场合。通常在使用时，最好对称密钥算法和非对称密钥算法同时使用，两者相互配合，报文数据的加密由对称密钥算法完成，密钥的管理由非对称密钥算法完成。

结束语

随着电力信息化建设的快速推进，移动互联网将在电能抄表、输电线路状态监测、电费缴纳、移动现场作业等方面得到广泛应用，其信息安全是国家安全的重要组成部分。保障这些系统的安全稳定运行，可以提高电力企业社会效益和经济效益，更好地为国民经济高速发展和满足人民生活需要服务。

参考文献

[1]何伟贤.关于移动互联网的信息安全研究[J].网络空间安全，2018，9（9）：29-34.

[2]360企业安全与安控科技共保工业互联网安全[J].中国信息安全，2019（1）：112.