史力思

[摘要]本文從電力系統(tǒng)近年來發(fā)展的現(xiàn)狀分析，探討了目前互聯(lián)網(wǎng)中電力系統(tǒng)移動外網(wǎng)應(yīng)用存在的具體問題。結(jié)合本人多年在信息安全崗位的實際工作經(jīng)驗，綜合分析了移動應(yīng)用安全問題存在的潛在威脅與危害。通過本人搜集的相關(guān)大數(shù)據(jù)的分析，對電力系統(tǒng)移動應(yīng)用存在的隱患制訂相應(yīng)的對策及檢測防范措施。

[關(guān)鍵詞]移動應(yīng)用 安全隱患 檢測防范

移動應(yīng)用在互聯(lián)網(wǎng)的利用是新時代的產(chǎn)物，也是未來發(fā)展的必然趨勢，在豐富電力系統(tǒng)與廣大客戶群眾交互的溝通渠道同時，也給用戶帶來了工作、生活的便捷和超高的娛樂體驗。作為電力企業(yè)，順應(yīng)了時代的潮流，在系統(tǒng)內(nèi)有相當(dāng)多的部門開發(fā)并使用了移動應(yīng)用，這也是一種與時代前進的公司優(yōu)質(zhì)服務(wù)的體現(xiàn)。例如電力微信公眾號，作為微信第一電量繳費中心，客戶群在1個億左右。例如營銷電力一點通，作為發(fā)布停電信息的公眾網(wǎng)絡(luò)平臺，客戶群也在5000萬左右。但是移動互聯(lián)在無線接入網(wǎng)絡(luò)、移動終端、應(yīng)用服務(wù)以及安全隱患上都即將面臨著前所未有的挑戰(zhàn)。各種漏洞、后門、遠(yuǎn)程控制等不法行為危害著社會、國家、企業(yè)和公眾的利益和安全。電力企業(yè)作為大型國有企業(yè)，如果內(nèi)部信息安全被發(fā)現(xiàn)存在用戶信息泄露、遠(yuǎn)程控制等安全事件，將會引發(fā)社會嚴(yán)重的安全問題，后果則不堪想象。

一、安全部門必需認(rèn)識移動應(yīng)用現(xiàn)狀

近幾年，國網(wǎng)公司在電力系統(tǒng)內(nèi)部不斷加強信息安全的防范工作，提高信息安全意識，提升其在電力系統(tǒng)中的重要地位。國網(wǎng)公司在移動應(yīng)用安全問題上也專門進行了相關(guān)文件的頒發(fā)、制度的學(xué)習(xí)和貫徹。目前國網(wǎng)公司對于互聯(lián)網(wǎng)中電力系統(tǒng)移動應(yīng)用涵蓋為：外網(wǎng)網(wǎng)站及業(yè)務(wù)系統(tǒng)、微信、微博公眾號及電力移動App等范疇。2016年，電力系統(tǒng)移動應(yīng)用相關(guān)檢查中發(fā)現(xiàn)：互聯(lián)網(wǎng)中的電力企業(yè)移動應(yīng)用漏洞大多數(shù)為系統(tǒng)密碼弱口令/空口令漏洞，具體分析類型為：

電力企業(yè)移動應(yīng)用APP呈高危漏洞快速增長、低危漏洞減少等趨勢發(fā)展，2016年電力系統(tǒng)移動應(yīng)用具體漏洞分部比為：（圖2）

二、監(jiān)管機構(gòu)必須確保移動應(yīng)用安全

電力系統(tǒng)各種領(lǐng)域的移動應(yīng)用數(shù)量呈井噴式增長，系統(tǒng)深受各種漏洞的威脅，用戶深受個人隱私泄露等隱患的困擾。電力系統(tǒng)相關(guān)責(zé)任部門應(yīng)加強對移動應(yīng)用安全性的審核，確保上線應(yīng)用的安全性。監(jiān)管部門應(yīng)抓緊出臺移動應(yīng)用安全治理方法，建立安全評估體系，肅清不合格的移動應(yīng)用的運行。對于安全責(zé)任不落實、安全管控薄弱、數(shù)據(jù)防護能力較弱的移動應(yīng)用，應(yīng)按照《關(guān)于進一步加強移動應(yīng)用安全防護工作的通知》文件精神，促進移動互聯(lián)新技術(shù)的應(yīng)用，保障移動應(yīng)用安全。

三、技術(shù)單位必須嚴(yán)格治理移動應(yīng)用隱患

電力系統(tǒng)信息安全技術(shù)部門應(yīng)加強對系統(tǒng)內(nèi)移動應(yīng)用的管控，提高認(rèn)識，加大管理力度。例如系統(tǒng)內(nèi)部生產(chǎn)控制大區(qū)，信息技術(shù)人員應(yīng)有相應(yīng)的管理職能，督導(dǎo)責(zé)任人員進行系統(tǒng)的等保測評及備案。例如系統(tǒng)管理信息大區(qū)，信息技術(shù)人員應(yīng)使用專業(yè)工具進行督查。及時發(fā)現(xiàn)和阻止非法終端接入、應(yīng)用終端、惡意行為分析、數(shù)據(jù)交互與內(nèi)容安全等，采取有效手段處置。針對存在和第三方有數(shù)據(jù)交換的移動應(yīng)用，須建立內(nèi)容審查制度對用戶隱私數(shù)據(jù)和工作信息須采用加密傳輸、加密存儲等技防措施落實數(shù)據(jù)保護。對于外網(wǎng)網(wǎng)站及業(yè)務(wù)系統(tǒng)，利用專業(yè)搜索引擎如nosec、zoomeye輸入關(guān)鍵字搜索；對于微信、微博公眾號，利用手機微信、微博客戶端查找，或者例用WeChatCollect進行全面的搜索。對于不安全的電力系統(tǒng)內(nèi)部移動App，IOS應(yīng)用通過蘋果商店（AppStore）查找（或iTunes、PP手機助手等）；安卓應(yīng)用需要在各大應(yīng)用商店中搜索關(guān)鍵字。運維單位須建立移動應(yīng)用安全運維制度，落實開發(fā)平臺更新、操作系統(tǒng)更新、安全補丁、版本更新、應(yīng)急措施等安全管理。督查負(fù)責(zé)單位需建立常態(tài)安全督查機制，把移動應(yīng)用安全納入督查范圍開展日常、專項等督查工作。

隨著越來越多的電力系統(tǒng)移動應(yīng)用的出現(xiàn)，使得各項移動應(yīng)用的漏洞和隱形泄露檢測系統(tǒng)變的非常重要。電力系統(tǒng)移動應(yīng)用還沒有一個統(tǒng)一的安全領(lǐng)域，因此電力系統(tǒng)迫切的需要對此類問題進行深入透徹的研究和安全標(biāo)準(zhǔn)的制定，把移動應(yīng)用的安全滲透測試整合其中。只有將移動應(yīng)用的信息安全問題降低到最小風(fēng)險，才能保障電力系統(tǒng)移動應(yīng)用在互聯(lián)網(wǎng)的使用前景中永處于不敗之林。