电力移动互联应用安全防护措施研究与探讨.docxVIP

电力移动互联应用安全防护措施研究与探讨 　　摘要：随着移动互联技术的快速发展及智能终端的广泛应用，越来越多的传统服务模式及手段将发生较大的转变。在智能电网和5g建设发展的背景之下，利用移动互联信息技术，通过技术变革推进服务变革，开始越来越多应用在电力系统中，然而移动业务应用安全威胁和防护问题也越来越多。本文从电力移动互联当前面临的威胁出发，针对电力移动应用的特点进行了电力移动互联应用安全防护体系设计，分析了数据层、终端层、网络层、应用层四个方面的安全防护措施，实现对电力业务移动应用的安全可靠保障，促进新的信息技术在电网系统中的应用。 　　关键词：电力企业;移动互联网;移动业务应用;网络与信息安全;智能电网 　　中图分类号：tp393.08;tn929.5文献标志码：a文章编号：1671-2064（2019）24-0000-00 　　0引言 　　随着互联网、移动通信技术的迅速发展以及移动终端的普及，移动互联正在深刻的影响着企业的管理模式、经营模式以及客户服务模式，极大的为公司经营、生产提供极大的便利性，提高工作效率，但同时移动应用安全也是亟需解决的问题[1-3]。由于移动互联网安全是一个复杂的系统性问题，涉及终端设备、移动网络和业务应用等各个方面，当前移动互联网安全问题也不容乐观，手机病毒、预装应用、byod、伪基站和移动支付均显现出严重的安全问题[4-5]。 　　作为电力移动互联应用，移动应用安全要求更加严格，移动应用安全是前提。国家电网公司高度重视移动互联应用建设及相关技术、产品的研发，2015年，公司发布《国家电网公司大数据应用指导意见》，明确到2020年，全面建成公司两级统一移动应用支撑平台，为公司各单位信息内外网移动应用提供开发、运行和管理云服务，实现移动互联技术在信息内网移动作业和信息外网移动交互两大领域的全面应用[6]。当前，针对移动应用的安全管理，电力企业在管理、技术等方面都做了大量的工作，也取得了良好的效果，如移动终端操作系统侧的漏洞消缺、补丁，安全硬件、国密算法、应用监控、安全管控平台等[7-9]。但这些安全实施的思路基础上采用增强、加固及监控等手段，各安全点的实施面局部单一，难以形成体系化，亟需新的安全防护体系来保障移动应用安全。 　　1网络与信息安全风险 　　移动互联网既涉及传统的移动通信网络，又涉及被公认安全问题比较严重的互联网，相关网络与信息安全风险相对复杂，目前针对移动应用平台信息安全风险研究已形成初步的理论体系与技术成果，主要涉及数据、应用、移动终端、网络四个方面。 　　1.1数据安全风险 　　过去的这几年里，各种隐私门屡见不鲜，用户敏感信息泄露并被攻击者利用，给当事人以及社会秩序带来极其恶劣的影响[10];攻击者冒用合法用户身份访问并执行业务操作，业务应用敏感数据泄露，移动业务应用的配置信息被破坏、篡改，使业务应用不能被用户正常访问，给企业带来巨大损失。 　　1.2应用安全风险 　　移动互联网业务应用安全在恶意代码检测、实名认证方面等安全保障方面的投入还远远不够，部署在外网的平台运行模块容易遭受来自互联网的sql注入、跨站脚本攻击、網页挂马等攻击，使得平台不能提供正常服务，影响移动业务应用的用户接入和访问;部署在内网管理模块的管理账号被攻击、破解，高级持续性攻击威胁，非授权人员利用系统缺陷获取操作权限等安全性短板，这些都对移动业务应用安全造成威胁。此外，随着接入交互平台的业务应用增长，平台性能不能满足接入需求，不能为业务应用提供正常的接入服务，造成用户访问不流畅，难以满足用户需求。 　　1.3终端安全风险 　　移动终端安全在访问控制、操作系统、中间件等方面仍缺乏必要的防攻击、防入侵能力，存在冒用合法用户身份访问交互平台和业务应用移动，篡改存储的用户和系统配置信息、泄露业务应用的敏感数据等问题[11]。尤其是针对漏洞的恶意代码安全问题较为突出，包括移动终端感染恶意代码破坏终端应用软件的完整性，使终端应用软件不能正常运行，用户不能使用终端应用软件访问移动业务应用;终端应用软件中嵌入可执行的恶意代码，使用户终端被攻击者控制并被利用来攻击交互平台和业务应用，窃取业务数据、用户敏感数据，甚至上传恶意代码到移动交互平台或移动应用服务端，为入侵服务器端应用或批量窃取服务器端数据提供跳板等。 　　1.4网络安全风险 　　普通用户对网络安全显得不够敏感，但是，相当多的安全问题正是因此而来，由于缺乏所需的隔离和保密以及接入网络所涉及的用户注册信息安全，信息内网、外网的业务应用和交互平台之间数据传输存在被窃取、破坏、篡改隐患，使用户数据、业务数据等敏感信息泄露、丢失、破坏;部署在外网的交互平