新疆电网公司网络边界安全分析

2018-06-11 16:10李坤源王涛高阳顾楠

智富时代 2018年3期

李坤源王涛高阳顾楠

一、系统现状

新疆电网公司营销信息系统共计22套，统推12套，自建10套，接入国网I6000系统监控10套。营销业务划分为“市场管理”、“营销基础管理”、“优质服务”、“营销计量管理”和“营销信息化”5个业务领域，19个业务类、139个业务项及764个业务子项。其中营销业务应用系统于2009年7月上线运行，使用用户数2万，用电用户数787万；用电信息采集系统于2010年1月投入运行，实现对30万台采集终端设备信息的自动采集。

营销信息系统业务复杂、接口众多，其中营销业务应用系统、用电信息采集系统、计量生产调度平台生成各类基础业务数据，并传送至营销基础数据平台，实现营销类业务数据的集成共享。各信息系统间通过接口调用、数据库DBLink链接、数据库同步软件OGG、企业服务总线、ETL抽取等方式完成数据交互，数据流集成关系如图1所示。

二、网络边界分析

目前新疆电网公司营销系统共有5类网络边界，分别为大区边界B1、管理信息大区信息内网纵向边界B2、信息内网第三方边界B3、互联网边界B4、信息内外网边界B5。

其中，微信公众平台、掌上电力APP等系统通过互联网边界进入公司外网服务器、通过信息内外网边界进入公司内网；一体化缴费系统、用电信息采集系统通过信息内网第三方边界进入公司内网；关口电能量采集系统通过大区边界进入安全Ⅱ区；地州单位通过管理信息大区信息内网纵向边界访问各营销系统。

用电信息采集系统通过电表加密模块将数据加密后使用APN无线专线发送至公司内网，中间使用防火墙做NAT转换。一体化缴费（代收机构）通过专线进入公司DMZ区。关口电能量采集系统通过正反向隔离装置进入安全Ⅱ区。微信公众平台、掌上电力app通过外网边界防火墙及web应用防火墙进入公司外网，通过逻辑强隔离装置进入公司内网。地州单位通过防火墙访问控制进入营销区域。

存在风险：

1、用电信息采集系统中部分采集终端未满足终端入网绑定要求，未做访问控制，存在越权访问风险。

2、除内网纵向边界外其余网络边界未部署入侵检测及边界流量监测等安全控制措施，无法对攻击情况进行监测。

3、关口电能量采集系统通过大区边界进入安全Ⅱ区，但边界设备部署在信息机房，不符合“分区分域”要求。

4、终端接入网络环境层面存在风险，网络数据传输过程中数据容易遭到窃取、篡改，影响用户的正常用电。终端存在伪造非法接入的风险，攻击者可以利用伪造终端接入内网，对网络进行嗅探与攻击。

5、地市公司人员为方便记忆、快捷工作，使用弱口令、空口令密码，影响设备安全。

6、代收机构末端网络节点存在无法管控的风险，无法确定缴费节点网络环境及安全情况

三、整改措施

按照“管业务必须管安全”，“谁主管谁负责，谁使用谁负责”的原则，加大营销专业网络与信息安全管控力度，强化安全监测，明确职责，认真抓好信息安全工作。按照《信息安全防护技术要求与措施》《国家电网公司信息系统安全管理办法》《国家电网公司信息安全风险评估实施细则》《国家电网公司信息化“SG186”工程安全防护总体方案》《国家电网公司信息安全加固实施指南》等文件要求，贯彻“安全第一、预防为主，管理和技术并重、综合防范”的方针，做好信息系统安全加固。

1、梳理通过内外网边界的营销类信息系统，规范逻辑强隔离装置接入，针对数据交互采用特定操作指令、限制特定业务、访问特定数据库的特定表单等安全加固策略，避免出现权限过大情况。

2、实施用电信息采集系统加固项目，营销类信息系统各网络边界增加入侵监测等安全监测手段，结合前期已部署的访问控制手段，确保各网络边界安全可控。

3、调整安全Ⅱ区与管理信息大区边界防护设备，将边界防护设备迁移至安全Ⅱ区侧，确保安全设备物理安全达到防护要求。

4、2018年完成用电信息安全加固及功能完善项目实施，采用3A认证服务器等对接入终端进行认证，对web客户端采用准入措施，部署防病毒软件，防止数据被篡改、伪造、重放。

5、根据国网营销部《营销专业信息系统口令管理工作要求》，对营业厅自助交费终端、收费办公终端、排队终端、用电采集终端进行了账号口令加固，所有账号口令要求8位以上数字加字符组合；根据国网营销部《国网营销部关于做好营销专业Windows操作系统安全加固的通知》对营业厅自助交费终端、收费办公终端、排队终端以及涉及Windows操作系统设备进行加固。根据新疆公司自助交费终端采购情况，2018年后，逐步替换windows系统终端为Linux系统终端。

6、社会化代收业务安全管理方面，2018年拟建设公司社会化代收统一管控平台，对社会化代收安全接入进行统一安全管控，提升社会化代收业务安全。

【参考文献】

[1]李慧娟，曾强，張孟杨，等. 新形势下电力系统中网络安全薄弱点分析[J]. 科技信息， 2017（5）.

[2]岗巧针. 国网新疆电力公司大数据智库平台安全技术解析[J]. 中国高新技术企业， 2016（26）：32-33.