基于等级保护的电力移动作业应用安全防护体系设计

(国网重庆市电力公司，重庆 400012)

1 电力移动作业应用信息安全风险分析

1.1 防护现状

近年来在“移动互联网+”发展趋势下，国网重庆市电力公司(以下简称“公司”)已经在生产、营销、物资、基建、财务等方面开展移动业务系统的规划和建设，用于向公司员工和电力用户提供更加开放、智能的服务，开展线路巡检、应急抢修、业扩报装、安全监督、工程管理、仓储管理、机房巡视等现场作业，实现了管理和业务在现场的延伸覆盖，提高了各专业工作质量和现场工作效率，减轻了一线员工负担，促进了安全生产和优质服务。

电力移动作业应用强化了公司员工、合作伙伴和电力客户间的联系，实现了业务信息的实时流动和共享，在提高工作效率，为个人和公司带来便利的同时也引入了极大的安全风险[1-2]。作为近年的技术热点，移动应用已经成为各类黑客组织和非法团队的重点攻击目标之一，这些攻击者分析并利用移动应用中的各类安全漏洞，植入恶意代码，获取设备权限，侵入企业网络，窃取信息数据，为企业和个人财产、声誉带来严重损失。电力企业作为国民基础设施，一旦遭受攻击，可能对国家和社会造成重大影响。

1.2 风险分析

随着移动互联网技术在电网业务各环节中的广泛应用，面向智能电网的互动化业务从终端、传输到应用服务各层所面临的安全挑战不断增加，移动设备的使用使得原有的许多安全防护措施失去效用，在经由非受控的网络进行交互，或在非受控的终端设备上处理企业业务的过程中，均可能造成企业数据的流失、损坏，同时企业网络也更加容易被侵入。特别是随着海量移动终端的接入，网络边界进一步向用户侧延伸，用户侧安全隐患增加，用户侧的安全威胁将越来越突出。移动作业应用在终端侧、网络侧及服务端部署了相应的安全防护措施，但仍存在安全风险。

1.2.1 终端层风险分析

终端层主要面临的风险如下。①设备遗失或被盗风险：移动终端体积小、易携带，丢失的可能性亦增大。一旦设备丢失，设备中存储的数据可能发生泄露，设备可能被非法冒用。②终端仿冒风险：攻击者通过仿冒公司移动终端，非法接入公司网络，从而获取相关业务及数据的访问权限，非法获取公司敏感数据，甚至攻击主站业务。③终端数据窃取风险：通过技术手段非法获取移动终端或应用中存储的数据，引发敏感信息泄露风险。④终端漏洞被恶意利用风险：智能移动终端的操作系统、应用程序、固件存在漏洞，恶意攻击者可利用这些漏洞开展各种形式的攻击，导致终端被非法控制。⑤移动应用程序破解风险：恶意攻击者通过反编译破解代码，一方面可分析业务流程及安全机制，进而直接攻击业务主站系统，另一方面可对源程序进行篡改，在其中植入恶意代码并恶意发布。

1.2.2 网络层风险分析

网络层主要面临的风险如下。①非法网络接入风险：通过非法网络接入点访问公司内部网络，导致公司网络安全管理不可控或敏感数据泄露等安全风险。②传输安全风险：移动网络的开放特性，导致攻击者可以找到更多的接入点进行入侵，如钓鱼攻击或中间人攻击。攻击者通过拦截传输数据，窃听网络数据，从而恶意攻击、干扰、破坏、篡改数据。

1.2.3 服务层风险分析

移动作业应用可能存在业务逻辑缺陷，攻击者可绕过现有安全策略，非法获取业务信息和权限，如越权查看其他用户业务信息、非法修改他人账户密码，或通过技术手段绕过有效性验证，提交非法数据，导致数据溢出或原始数据被篡改。

2 电力移动作业应用安全防护要求

为保障电力移动应用安全，前期公司在智能电网安全防护方案、信息安全顶层设计中，进行了移动安全专项防护设计，针对目前公司自主研发的电力移动应用，从终端设备、无线通道、边界接入、应用程序、数据安全等方面提出了移动应用统一安全防护整体要求。具体要求如下：①移动终端与部署在公司信息内网的业务信息系统实时交互，所有业务流程在信息内网完成，仅供公司内部作业人员使用的移动作业类应用；②使用专控移动终端作为载体，以无线APN公网或电力无线专网作为通道，通过安全接入网关接入公司信息内网，由公司统一权限系统进行身份认证，由内网移动应用平台提供运行支撑，在内网移动门户商店进行统一上架。

3 基于等级保护的电力移动应用安全防护体系设计

为保障电力移动应用安全，前期公司在智能电网安全防护方案、信息安全顶层设计中，进行了移动安全专项防护设计，本文在对电力移动应用进行防护现状调研和风险分析的基础上，结合公司移动应用安全防护要求，遵循公司信息安全总体防护策略，充分借鉴《网络安全等级保护基本要求：移动互联安全扩展要求》(GA/T 1390.3 —2017)[3-6]，在公司SG186安全防护方案及智能电网安全防护方案的基础上，从终端安全、网络安全、应用安全和数据安全进行电力移动作业应用安全防护体系设计[7-10]，如图1所示。

图1 基于等级保护的电力移动作业应用安全防护体系设计

3.1 终端安全防护设计

3.1.1 终端设备本身

专用SIM卡和安全芯片：终端设备安装绑定专用SIM卡，对访问公用网络、拨打电话等行为进行限制；绑定支持国密专用算法且通过国密认证的安全芯片，实现基于安全芯片的身份认证和数据加密存储传输。

安全操作系统：采用关键安全代码自主可控的安全操作系统，实现内核安全性增强，具备可信引导、防ROOT、防刷机、强制访问控制等功能，并定期对移动终端操作系统的漏洞进行检查、统计和统一更新处理。

终端安全加固：对移动终端进行安全加固，执行统一的安全加固策略，对系统功能组件和外设接口、应用程序和系统组件的安装使用、运行的进程和服务等采用统一策略进行限制。

3.1.2 终端接入认证

用户身份鉴别：采用开机PIN码、数字证书、生物特征验证等相结合的多因子鉴别技术实现移动终端用户身份鉴别。

限制登录次数：具备登录失败处理功能，限制同一用户连续登录失败次数，当触发登录失败条件时，具备自动退出登录或锁定设备功能。

终端安全接入：使用公司统一签发的基于国密算法的数字证书，与安全接入网关进行强身份认证，数字证书应置于安全芯片内进行存储。

3.1.3 终端安全管控

终端安全管控：通过在终端统一安装客户端软件对终端进行集中管理，统一下发移动应用程序白名单，统一升级移动终端操作系统、应用软件、客户端软件等；在移动终端丢失或被盗的情况下，通过定位功能可查询遗失终端的地理位置信息或定位遗失终端位置。

终端安全监测：对终端的设备状况实时监测，对病毒、木马、是否ROOT等情况进行检查；对终端的运行状态实时监测，及时发现违规外联、异常权限操作、数据非法读取、非法用户登录等终端各类异常行为。

终端安全审计：终端应启用移动终端安全审计功能，对终端用户重要操作及软件行为进行审计，审计记录应包括时间、用户、时间类型等；应对审计记录进行保护，定期备份，以免受到非法篡改或删除。

终端安全销毁：内网终端在进入销毁流程后，须完全删除相关应用及数据，并确保数据不能被恢复；应注销其使用的数字证书，回收其使用的SIM卡和安全芯片，确保其无法通过安全接入网关，接入公司内网。

终端选型控制：根据公司移动应用整体防护策略，电力移动作业应用应根据统一的功能标准、安全标准、功能需求等进行选型控制，对移动作业终端功能和安全性的安全技术参数进行统一要求，并与安全接入网关进行适配性测试。

3.2 网络安全防护设计

电力移动作业终端在接入业务系统的过程中，应采用公司无线APN公网或电力无线专网；在信息内网和无线网络的边界处设置安全接入区，部署防火墙，并使用公司安全接入网关进行终端身份认证，阻止非法终端接入；采用安全接入网关与移动终端之间的安全传输通道，对传输中的数据进行加密保护，防止数据被篡改、窃听、泄露。

3.3 应用安全防护设计

3.3.1 应用服务端防护

移动应用服务端应遵照《计算机信息系统安全保护等级划分准则》(GB 17859—1999)，完成系统等级保护定级，按照《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239—2008)、《信息系统应用安全第2部分安全设计》(Q/GDW 1929.2—2013)、《国家电网公司信息系统安全设计框架技术规范》(Q/GDW 11347—2014)和《国家电网公司应用软件系统通用安全要求》(Q/GDW 1597—2015)的相关内容进行防护。

3.3.2 应用客户端防护

客户端安全加固：公司所有移动作业应用客户端，应经过公司统一安全加固后才能具备上线资格，确保应用具备以下安全防护能力。防调试能力，防止非授权人员通过调试模式对移动应用进行非法操作；禁止在模拟器环境下运行，避免非授权人员通过模拟器对移动应用进行非法调试或应用；采取防逆向分析手段，防止通过反编译工具破解移动应用客户端文件以获取apk源代码；对发布的移动应用客户端文件进行唯一签名，保证每次发布版本的完整性，防止移动应用客户端二次打包后被恶意利用。

客户端安全运行：面向公司员工的各类移动应用客户端，应通过公司移动互联应用支撑平台进行应用上架、发布、下载等流程管理；对已发布的应用进行持续的安全运行监测，确保应用在移动终端运行时所受到的攻击和安全威胁能够实时被感知，对所有的安全信息进行统一的管理和统计，能够按时间、应用、版本、系统、威胁类型等不同维度进行展示。

3.4 移动作业应用数据安全防护设计

数据安全存储传输：移动作业终端证书、密钥等应存储在安全芯片内，使用硬件加密形式、采用国密算法对数据进行加密存储和传输；对移动应用中需要输入的敏感数据进行加密保护，确保敏感数据不在输入过程中泄露；对移动应用中存在的敏感数据进行加密保护，确保敏感数据不被非法获取；对移动应用传输的敏感数据进行保护，使用安全协议，确保敏感数据在传输过程中不被泄露。

数据安全销毁：电力移动作业应用卸载后应确保无残留数据，同时设置安全策略或远程管理功能，在终端丢失或被盗的情况下，可实施业务数据销毁。

数据安全监管：对终端设备上的敏感数据操作进行持续安全监测，对异常及违规数据操作行为进行阻断和告警。

4 结语

公司移动作业应用在生产、巡检、营销等方面迅速发展，实现了业务信息的实时流动和共享，但同时也引入了巨大的安全风险。本文在对公司现有移动业务安全防护现状调研和风险分析的基础上，充分借鉴等级保护2.0移动互联扩展要求，考虑公司移动作业应用安全防护需求，从终端安全、网络安全、应用安全和数据安全4个方面设计构建电力移动作业应用安全防护体系，对于公司移动作业应用安全防护建设具有重要的指导意义。