王冬明

摘 要：移動(dòng)互聯(lián)網(wǎng)是移動(dòng)通信和互聯(lián)網(wǎng)兩者融合的產(chǎn)物，其代表著信息通信技術(shù)的發(fā)展趨勢(shì)。隨著移動(dòng)互聯(lián)網(wǎng)在電力信息化建設(shè)中的不斷深入，其面臨的安全問題也日益突顯。本文通過分析電力行業(yè)移動(dòng)互聯(lián)網(wǎng)應(yīng)用系統(tǒng)存在的安全風(fēng)險(xiǎn)，最后結(jié)合已有安全技術(shù)措初步探討出電力移動(dòng)互聯(lián)網(wǎng)應(yīng)用系統(tǒng)的安全防護(hù)方案。

關(guān)鍵詞：移動(dòng)互聯(lián)網(wǎng) 移動(dòng)終端 等級(jí)保護(hù)

電力工業(yè)是我國國民經(jīng)濟(jì)的基礎(chǔ)產(chǎn)業(yè)和公用事業(yè)，電力企業(yè)的信息網(wǎng)絡(luò)和應(yīng)用系統(tǒng)的安全、穩(wěn)定、經(jīng)濟(jì)、優(yōu)質(zhì)運(yùn)行，直接關(guān)系到我國各行各業(yè)的發(fā)展和人民生活水平的提高。電力行業(yè)的信息化廣泛涉及電力系統(tǒng)的電網(wǎng)調(diào)度、廠站自動(dòng)化、配電網(wǎng)自動(dòng)化、電力負(fù)荷管理、電力市場(chǎng)交易、電力營(yíng)銷、電力企業(yè)管理等生產(chǎn)、經(jīng)營(yíng)和管理等各個(gè)業(yè)務(wù)領(lǐng)域的計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)，是一項(xiàng)技術(shù)和管理復(fù)雜的大型系統(tǒng)工程。

1 移動(dòng)互聯(lián)網(wǎng)應(yīng)用面臨的安全威脅

綜上可知移動(dòng)互聯(lián)網(wǎng)的特性決定了在其面臨威脅更要遠(yuǎn)甚于傳統(tǒng)的互聯(lián)網(wǎng)，其主要面臨的風(fēng)險(xiǎn)包括智能終端安全、終端應(yīng)用軟件安全、移動(dòng)互聯(lián)網(wǎng)通信和移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)服務(wù)安全。

1.1 智能終端安全威脅

在移動(dòng)互聯(lián)網(wǎng)領(lǐng)域，業(yè)務(wù)軟件依賴于智能終端，智能終端作為應(yīng)用軟件的支撐環(huán)境。在智能終端安全存在如下的安全問題：

（1）惡意代碼及惡意軟件：針對(duì)智能終端的惡意軟件不斷的增多。

（2）拒絕服務(wù)攻擊：通過攻擊智能操作系統(tǒng)的特定服務(wù)導(dǎo)致系統(tǒng)服務(wù)不可用。

（3）信息竊取：通過惡意軟件竊取從事個(gè)人隱私以及企業(yè)敏感數(shù)據(jù)。

1.2 終端應(yīng)用軟件安全威脅

終端應(yīng)用軟件是組成移動(dòng)互聯(lián)網(wǎng)應(yīng)用的媒介，通過在智能終端上安裝 APP 軟件，實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)的使用，在終端應(yīng)用軟件中主要存在如下的安全威脅：

（1）信息泄露：未對(duì)業(yè)務(wù)信息或流程進(jìn)行有效的保護(hù)。

（2）未進(jìn)行加密存儲(chǔ)：未對(duì)重要信息采用加密。

（3）應(yīng)用軟件惡意篡改：非法用戶惡意篡改應(yīng)用軟件。

（4）數(shù)據(jù)通信未加密處理：未對(duì)重要的數(shù)據(jù)信息進(jìn)行加密。

1.3 移動(dòng)互聯(lián)網(wǎng)通信

移動(dòng)互聯(lián)網(wǎng)通信是組成移動(dòng)互聯(lián)網(wǎng)的基礎(chǔ)，負(fù)責(zé)業(yè)務(wù)終端與業(yè)務(wù)服務(wù)端的通信和數(shù)據(jù)交換，互聯(lián)網(wǎng)主要涉及路由器、交換機(jī)和接入服務(wù)器等設(shè)備以及相關(guān)鏈路。其主要存在如下的安全威脅：

（1）偽基站攻擊：利用 GSM 單向認(rèn)證缺陷的非法無線電通信設(shè)備，能夠搜取以其為中心、一定半徑范圍內(nèi)的 SIM 卡信息，并任意冒用他人手機(jī)號(hào)碼強(qiáng)行向用戶手機(jī)發(fā)送詐騙、推銷等垃圾短信。

（2）無線網(wǎng)絡(luò)攻擊：無線網(wǎng)絡(luò)包括 WEP加密方式、WPA 加密方式、WPA2 加密方式。實(shí)踐證明，三種加密方式都存在被破解的可能。

（3）未進(jìn)行傳輸加密：由于大部分網(wǎng)絡(luò)通信方式都是以明文的方式在網(wǎng)絡(luò)上進(jìn)行傳輸?shù)?，就能夠得到用戶的網(wǎng)絡(luò)通信信息。

1.4 移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)服務(wù)安全

移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)服務(wù)安全是為終端應(yīng)用軟件提供后臺(tái)業(yè)務(wù)處理的應(yīng)用組件，主要存在如下的安全問題：

（1）數(shù)據(jù)有效性校驗(yàn)不足：存在 SQL 注入攻擊、跨站腳本攻擊、跨站請(qǐng)求偽造等攻擊。

（2）越權(quán)訪問：訪問控制權(quán)限不嚴(yán)格，導(dǎo)致低級(jí)別用戶可以通過訪問特定頁面獲取高等級(jí)用戶的權(quán)限。

（3）密碼或信息泄露：由于身份鑒別能力不足時(shí)的用戶鑒別信息可能被冒用或偽造，進(jìn)而造成個(gè)人或企業(yè)信息泄露。

（4）拒絕服務(wù)攻擊：通過大量并發(fā)的惡意請(qǐng)求來占用系統(tǒng)資源，致使合法用戶無法正常訪問目標(biāo)系統(tǒng)。

（5）監(jiān)控和審計(jì)缺失：缺乏對(duì)終端請(qǐng)求訪問或后臺(tái)管理端的實(shí)時(shí)監(jiān)控的功能。

2 電力移動(dòng)互聯(lián)網(wǎng)的安全防護(hù)措施

2.1 移動(dòng)終端安全防護(hù)

（1）配電網(wǎng)子站終端安全防護(hù)：將安全模塊安裝在子站終端設(shè)備上，當(dāng)主站系統(tǒng)傳輸控制命令或設(shè)置信息時(shí)，將對(duì)此信息進(jìn)行安全檢查和檢驗(yàn)完整性，避免出現(xiàn)非法設(shè)備冒充主站對(duì)子站進(jìn)行攻擊。在子站上設(shè)置可進(jìn)行遠(yuǎn)程控制啟動(dòng)和停止命令的軟硬壓板。硬壓板指的是物理開關(guān)，在未閉合時(shí)只能進(jìn)行手動(dòng)操作，閉合時(shí)可進(jìn)行遠(yuǎn)程控制;軟壓板指的是在終端系統(tǒng)中的邏輯控制開關(guān)，當(dāng)硬壓板閉合時(shí)，主站可進(jìn)行命令的發(fā)送，來控制遠(yuǎn)程的啟動(dòng)與停止。需要對(duì)子站終端設(shè)備配備防竊、放火等保護(hù)措施，保證終端設(shè)備的安全運(yùn)行。

（2）防護(hù)移動(dòng)作業(yè)類終端的安全 ：在PC類臺(tái)式移動(dòng)終端中需要安裝終端安全軟件，并且在安裝后進(jìn)行安全加密卡的認(rèn)證，此類型的終端不能接入互聯(lián)網(wǎng)，當(dāng)完成安全接入系統(tǒng)的注冊(cè)后，才能進(jìn)行電力信息網(wǎng)的接入;采用工業(yè)級(jí)別的TF加密卡，對(duì)PDA/手機(jī)類終端與和生產(chǎn)作業(yè)有關(guān)的PDA/手機(jī)類終端進(jìn)行安全防護(hù)，在完成終端的安全?？剀浖约癆PN的SIM卡綁定后，進(jìn)行安全接入。

2.2 移動(dòng)互聯(lián)網(wǎng)網(wǎng)絡(luò)通道及邊界安全防護(hù)

在通過互聯(lián)網(wǎng)進(jìn)行數(shù)據(jù)信息傳輸時(shí)，需要對(duì)信息進(jìn)行加密處理，防止敏感信息在進(jìn)行網(wǎng)絡(luò)傳輸時(shí)受到非法竊取;當(dāng)需要對(duì)信息進(jìn)行修改或刪除時(shí)，應(yīng)當(dāng)提供數(shù)字簽名，以確保信息不被惡意篡改或刪除。部分無線專網(wǎng)是利用WiFi技術(shù)進(jìn)行工作的，對(duì)于此類網(wǎng)絡(luò)的安全，需要進(jìn)行審計(jì)、認(rèn)證和保密。所需要執(zhí)行的安全措施有 ：對(duì)于路由器的名稱不得使用其品牌名、自身型號(hào)、個(gè)人姓名、住址以及公司名稱等，應(yīng)當(dāng)使用隨機(jī)字母或數(shù)字組成的密碼，防止個(gè)人信息或公司等信息的泄露，保證移動(dòng)互聯(lián)網(wǎng)的使用安全;禁止使用SNMP服務(wù)，不得使用由配置軟件所提供的遠(yuǎn)程管理選項(xiàng)，路由器的控制只能是所有者進(jìn)行，其他人員不能控制路由器;在無法管控的區(qū)域應(yīng)避免路由器信號(hào)涉及，限制路由器的廣播區(qū)域;禁止使用服務(wù)裝置標(biāo)識(shí)廣播;過濾MAC地址，對(duì)需要訪問的用戶進(jìn)行確認(rèn);對(duì)于網(wǎng)絡(luò)訪問的用戶需要知道網(wǎng)絡(luò)的名稱或SSID，未知的情況下不得訪問網(wǎng)絡(luò);對(duì)使用網(wǎng)絡(luò)的WiFi終端進(jìn)行審計(jì)，對(duì)不滿足要求的終端進(jìn)行剔除，對(duì)于存在欺騙行為的終端應(yīng)禁止接入網(wǎng)絡(luò)。

2.3 移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)應(yīng)用安全防護(hù)

進(jìn)行移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)應(yīng)用安全防護(hù)時(shí)，根據(jù)不同部位的應(yīng)用特點(diǎn)有不同的防護(hù)措施。對(duì)于電力業(yè)務(wù)主站系統(tǒng)，可以使用硬加密方式進(jìn)行安全防護(hù)，而終端可使用硬加密也可用軟加密。如果終端已經(jīng)大量設(shè)置完成、主站的接入方式為電力光纖，或終端改造難度較大但安全性要求不高，這些情況下可使用軟加密，同時(shí)注意對(duì)密鑰進(jìn)行定期的更新和存儲(chǔ)。在使用公網(wǎng)接入主站、將要進(jìn)行的遠(yuǎn)程終端以及安全性要求較高的終端，可使用硬加密。使用硬加密的方式還可應(yīng)用于需要在終端和主站間建立加密通道的情形，能夠保證傳輸數(shù)據(jù)的安全和完整;使用對(duì)稱加密方式可以應(yīng)用于業(yè)務(wù)量較大和頻度較高的場(chǎng)合;非對(duì)稱加密方式應(yīng)用于業(yè)務(wù)量較少和頻度較低的場(chǎng)合。通常在使用時(shí)，最好對(duì)稱密鑰算法和非對(duì)稱密鑰算法同時(shí)使用，兩者相互配合，報(bào)文數(shù)據(jù)的加密由對(duì)稱密鑰算法完成，密鑰的管理由非對(duì)稱密鑰算法完成。

結(jié)束語

隨著電力信息化建設(shè)的快速推進(jìn)，移動(dòng)互聯(lián)網(wǎng)將在電能抄表、輸電線路狀態(tài)監(jiān)測(cè)、電費(fèi)繳納、移動(dòng)現(xiàn)場(chǎng)作業(yè)等方面得到廣泛應(yīng)用，其信息安全是國家安全的重要組成部分。保障這些系統(tǒng)的安全穩(wěn)定運(yùn)行，可以提高電力企業(yè)社會(huì)效益和經(jīng)濟(jì)效益，更好地為國民經(jīng)濟(jì)高速發(fā)展和滿足人民生活需要服務(wù)。

參考文獻(xiàn)

[1]何偉賢.關(guān)于移動(dòng)互聯(lián)網(wǎng)的信息安全研究[J].網(wǎng)絡(luò)空間安全，2018，9（9）：29-34.

[2]360企業(yè)安全與安控科技共保工業(yè)互聯(lián)網(wǎng)安全[J].中國信息安全，2019（1）：112.