李坤源 王濤 高陽(yáng) 顧楠

一、系統(tǒng)現(xiàn)狀

新疆電網(wǎng)公司營(yíng)銷信息系統(tǒng)共計(jì)22套，統(tǒng)推12套，自建10套，接入國(guó)網(wǎng)I6000系統(tǒng)監(jiān)控10套。營(yíng)銷業(yè)務(wù)劃分為“市場(chǎng)管理”、“營(yíng)銷基礎(chǔ)管理”、“優(yōu)質(zhì)服務(wù)”、“營(yíng)銷計(jì)量管理”和“營(yíng)銷信息化”5個(gè)業(yè)務(wù)領(lǐng)域，19個(gè)業(yè)務(wù)類、139個(gè)業(yè)務(wù)項(xiàng)及764個(gè)業(yè)務(wù)子項(xiàng)。其中營(yíng)銷業(yè)務(wù)應(yīng)用系統(tǒng)于2009年7月上線運(yùn)行，使用用戶數(shù)2萬(wàn)，用電用戶數(shù)787萬(wàn)；用電信息采集系統(tǒng)于2010年1月投入運(yùn)行，實(shí)現(xiàn)對(duì)30萬(wàn)臺(tái)采集終端設(shè)備信息的自動(dòng)采集。

營(yíng)銷信息系統(tǒng)業(yè)務(wù)復(fù)雜、接口眾多，其中營(yíng)銷業(yè)務(wù)應(yīng)用系統(tǒng)、用電信息采集系統(tǒng)、計(jì)量生產(chǎn)調(diào)度平臺(tái)生成各類基礎(chǔ)業(yè)務(wù)數(shù)據(jù)，并傳送至營(yíng)銷基礎(chǔ)數(shù)據(jù)平臺(tái)，實(shí)現(xiàn)營(yíng)銷類業(yè)務(wù)數(shù)據(jù)的集成共享。各信息系統(tǒng)間通過(guò)接口調(diào)用、數(shù)據(jù)庫(kù)DBLink鏈接、數(shù)據(jù)庫(kù)同步軟件OGG、企業(yè)服務(wù)總線、ETL抽取等方式完成數(shù)據(jù)交互，數(shù)據(jù)流集成關(guān)系如圖1所示。

二、網(wǎng)絡(luò)邊界分析

目前新疆電網(wǎng)公司營(yíng)銷系統(tǒng)共有5類網(wǎng)絡(luò)邊界，分別為大區(qū)邊界B1、管理信息大區(qū)信息內(nèi)網(wǎng)縱向邊界B2、信息內(nèi)網(wǎng)第三方邊界B3、互聯(lián)網(wǎng)邊界B4、信息內(nèi)外網(wǎng)邊界B5。

其中，微信公眾平臺(tái)、掌上電力APP等系統(tǒng)通過(guò)互聯(lián)網(wǎng)邊界進(jìn)入公司外網(wǎng)服務(wù)器、通過(guò)信息內(nèi)外網(wǎng)邊界進(jìn)入公司內(nèi)網(wǎng)；一體化繳費(fèi)系統(tǒng)、用電信息采集系統(tǒng)通過(guò)信息內(nèi)網(wǎng)第三方邊界進(jìn)入公司內(nèi)網(wǎng)；關(guān)口電能量采集系統(tǒng)通過(guò)大區(qū)邊界進(jìn)入安全Ⅱ區(qū)；地州單位通過(guò)管理信息大區(qū)信息內(nèi)網(wǎng)縱向邊界訪問(wèn)各營(yíng)銷系統(tǒng)。

用電信息采集系統(tǒng)通過(guò)電表加密模塊將數(shù)據(jù)加密后使用APN無(wú)線專線發(fā)送至公司內(nèi)網(wǎng)，中間使用防火墻做NAT轉(zhuǎn)換。一體化繳費(fèi)（代收機(jī)構(gòu)）通過(guò)專線進(jìn)入公司DMZ區(qū)。關(guān)口電能量采集系統(tǒng)通過(guò)正反向隔離裝置進(jìn)入安全Ⅱ區(qū)。微信公眾平臺(tái)、掌上電力app通過(guò)外網(wǎng)邊界防火墻及web應(yīng)用防火墻進(jìn)入公司外網(wǎng)，通過(guò)邏輯強(qiáng)隔離裝置進(jìn)入公司內(nèi)網(wǎng)。地州單位通過(guò)防火墻訪問(wèn)控制進(jìn)入營(yíng)銷區(qū)域。

存在風(fēng)險(xiǎn)：

1、用電信息采集系統(tǒng)中部分采集終端未滿足終端入網(wǎng)綁定要求，未做訪問(wèn)控制，存在越權(quán)訪問(wèn)風(fēng)險(xiǎn)。

2、除內(nèi)網(wǎng)縱向邊界外其余網(wǎng)絡(luò)邊界未部署入侵檢測(cè)及邊界流量監(jiān)測(cè)等安全控制措施，無(wú)法對(duì)攻擊情況進(jìn)行監(jiān)測(cè)。

3、關(guān)口電能量采集系統(tǒng)通過(guò)大區(qū)邊界進(jìn)入安全Ⅱ區(qū)，但邊界設(shè)備部署在信息機(jī)房，不符合“分區(qū)分域”要求。

4、終端接入網(wǎng)絡(luò)環(huán)境層面存在風(fēng)險(xiǎn)，網(wǎng)絡(luò)數(shù)據(jù)傳輸過(guò)程中數(shù)據(jù)容易遭到竊取、篡改，影響用戶的正常用電。終端存在偽造非法接入的風(fēng)險(xiǎn)，攻擊者可以利用偽造終端接入內(nèi)網(wǎng)，對(duì)網(wǎng)絡(luò)進(jìn)行嗅探與攻擊。

5、地市公司人員為方便記憶、快捷工作，使用弱口令、空口令密碼，影響設(shè)備安全。

6、代收機(jī)構(gòu)末端網(wǎng)絡(luò)節(jié)點(diǎn)存在無(wú)法管控的風(fēng)險(xiǎn)，無(wú)法確定繳費(fèi)節(jié)點(diǎn)網(wǎng)絡(luò)環(huán)境及安全情況

三、整改措施

按照“管業(yè)務(wù)必須管安全”，“誰(shuí)主管誰(shuí)負(fù)責(zé)，誰(shuí)使用誰(shuí)負(fù)責(zé)”的原則，加大營(yíng)銷專業(yè)網(wǎng)絡(luò)與信息安全管控力度，強(qiáng)化安全監(jiān)測(cè)，明確職責(zé)，認(rèn)真抓好信息安全工作。按照《信息安全防護(hù)技術(shù)要求與措施》《國(guó)家電網(wǎng)公司信息系統(tǒng)安全管理辦法》《國(guó)家電網(wǎng)公司信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施細(xì)則》《國(guó)家電網(wǎng)公司信息化“SG186”工程安全防護(hù)總體方案》《國(guó)家電網(wǎng)公司信息安全加固實(shí)施指南》等文件要求， 貫徹“安全第一、預(yù)防為主，管理和技術(shù)并重、綜合防范”的方針，做好信息系統(tǒng)安全加固。

1、梳理通過(guò)內(nèi)外網(wǎng)邊界的營(yíng)銷類信息系統(tǒng)，規(guī)范邏輯強(qiáng)隔離裝置接入，針對(duì)數(shù)據(jù)交互采用特定操作指令、限制特定業(yè)務(wù)、訪問(wèn)特定數(shù)據(jù)庫(kù)的特定表單等安全加固策略，避免出現(xiàn)權(quán)限過(guò)大情況。

2、實(shí)施用電信息采集系統(tǒng)加固項(xiàng)目，營(yíng)銷類信息系統(tǒng)各網(wǎng)絡(luò)邊界增加入侵監(jiān)測(cè)等安全監(jiān)測(cè)手段，結(jié)合前期已部署的訪問(wèn)控制手段，確保各網(wǎng)絡(luò)邊界安全可控。

3、調(diào)整安全Ⅱ區(qū)與管理信息大區(qū)邊界防護(hù)設(shè)備，將邊界防護(hù)設(shè)備遷移至安全Ⅱ區(qū)側(cè)，確保安全設(shè)備物理安全達(dá)到防護(hù)要求。

4、2018年完成用電信息安全加固及功能完善項(xiàng)目實(shí)施，采用3A認(rèn)證服務(wù)器等對(duì)接入終端進(jìn)行認(rèn)證，對(duì)web客戶端采用準(zhǔn)入措施，部署防病毒軟件，防止數(shù)據(jù)被篡改、偽造、重放。

5、根據(jù)國(guó)網(wǎng)營(yíng)銷部《營(yíng)銷專業(yè)信息系統(tǒng)口令管理工作要求》，對(duì)營(yíng)業(yè)廳自助交費(fèi)終端、收費(fèi)辦公終端、排隊(duì)終端、用電采集終端進(jìn)行了賬號(hào)口令加固，所有賬號(hào)口令要求8位以上數(shù)字加字符組合；根據(jù)國(guó)網(wǎng)營(yíng)銷部《國(guó)網(wǎng)營(yíng)銷部關(guān)于做好營(yíng)銷專業(yè)Windows操作系統(tǒng)安全加固的通知》對(duì)營(yíng)業(yè)廳自助交費(fèi)終端、收費(fèi)辦公終端、排隊(duì)終端以及涉及Windows操作系統(tǒng)設(shè)備進(jìn)行加固。根據(jù)新疆公司自助交費(fèi)終端采購(gòu)情況，2018年后，逐步替換windows系統(tǒng)終端為L(zhǎng)inux系統(tǒng)終端。

6、社會(huì)化代收業(yè)務(wù)安全管理方面，2018年擬建設(shè)公司社會(huì)化代收統(tǒng)一管控平臺(tái)，對(duì)社會(huì)化代收安全接入進(jìn)行統(tǒng)一安全管控，提升社會(huì)化代收業(yè)務(wù)安全。

【參考文獻(xiàn)】

[1]李慧娟， 曾強(qiáng)， 張孟楊，等. 新形勢(shì)下電力系統(tǒng)中網(wǎng)絡(luò)安全薄弱點(diǎn)分析[J]. 科技信息， 2017（5）.

[2]崗巧針. 國(guó)網(wǎng)新疆電力公司大數(shù)據(jù)智庫(kù)平臺(tái)安全技術(shù)解析[J]. 中國(guó)高新技術(shù)企業(yè)， 2016（26）：32-33.