魏彤珈，王 晨，韓 迪，崔文武

（國(guó)網(wǎng)冀北電力有限公司電力科學(xué)研究院 北京 100045）

1 引言

隨著互聯(lián)網(wǎng)技術(shù)的深入應(yīng)用，信息共享與協(xié)同工作、提升工作效率都帶來(lái)了極大的便利條件，與此同時(shí)，計(jì)算機(jī)病毒的泛濫、黑客攻擊等也給信息安全帶來(lái)了巨大的挑戰(zhàn)。

為確保信息安全，國(guó)家電網(wǎng)公司于2008年提出了“雙網(wǎng)隔離、雙網(wǎng)雙機(jī)”的政策，即通過(guò)隔離手段實(shí)現(xiàn)信息內(nèi)網(wǎng)、信息外網(wǎng)的強(qiáng)隔離，切斷外網(wǎng)的攻擊，要求員工必須用不同的計(jì)算機(jī)接入內(nèi)網(wǎng)與外網(wǎng)。該舉措有效地提升了信息安全水平，但由于內(nèi)網(wǎng)接入條件嚴(yán)格，給專屬移動(dòng)設(shè)備使用等情況下的移動(dòng)應(yīng)用的安全工作帶來(lái)了較大問(wèn)題。

目前，計(jì)量現(xiàn)場(chǎng)作業(yè)終端通過(guò)采集VPN通道接入內(nèi)網(wǎng)，并未實(shí)現(xiàn)數(shù)據(jù)傳輸加密、計(jì)量現(xiàn)場(chǎng)作業(yè)終端實(shí)時(shí)安全監(jiān)控以及非法SIM卡、終端設(shè)備使用的有效管控，統(tǒng)一接入的安全性還需要進(jìn)一步提升。

根據(jù)上述問(wèn)題及現(xiàn)實(shí)情況，構(gòu)建一個(gè)現(xiàn)場(chǎng)作業(yè)終端安全接入防護(hù)及監(jiān)控管理已經(jīng)成為接下來(lái)工作中所必須考慮和列上日程的事情。

2 現(xiàn)場(chǎng)作業(yè)終端的安全接入防護(hù)管理

2.1 電能計(jì)量密鑰

利用電能計(jì)量密鑰體系，對(duì)傳輸數(shù)據(jù)進(jìn)行統(tǒng)一加密，現(xiàn)場(chǎng)作業(yè)終端與后端接入平臺(tái)通過(guò)安全單元及密碼機(jī)進(jìn)行雙向加解密，保障數(shù)據(jù)在傳輸過(guò)程中的安全性。

（1）數(shù)據(jù)高強(qiáng)度加密：基于硬件密碼算法實(shí)現(xiàn)對(duì)數(shù)據(jù)的非對(duì)稱方式及對(duì)稱方式的高強(qiáng)度加密功能。

（2）動(dòng)態(tài)密鑰協(xié)商：實(shí)現(xiàn)終端和接入網(wǎng)關(guān)之間基于專用密碼算法的密鑰協(xié)商功能，實(shí)現(xiàn)動(dòng)態(tài)密鑰協(xié)商、密鑰更換、密鑰銷毀等功能。

（3）加密隧道管理：實(shí)現(xiàn)終端與接入網(wǎng)關(guān)間的雙向加密隧道，實(shí)現(xiàn)移動(dòng)作業(yè)數(shù)據(jù)的安全保密傳輸?shù)裙δ堋?/p>

2.2 傳輸數(shù)據(jù)壓縮

實(shí)現(xiàn)對(duì)傳輸數(shù)據(jù)的壓縮處理。隨著現(xiàn)場(chǎng)作業(yè)的逐步開(kāi)展，未來(lái)會(huì)有音頻、視頻等大量數(shù)據(jù)進(jìn)行傳輸，為減少傳輸數(shù)據(jù)量、降低流量成本、提高傳輸速度，采取雙向數(shù)據(jù)壓縮處理。

數(shù)據(jù)壓縮管理：針對(duì)無(wú)線信道傳輸帶寬及信號(hào)質(zhì)量等客觀條件考慮，對(duì)終端與接入網(wǎng)關(guān)間傳輸數(shù)據(jù)進(jìn)行高效壓縮算法壓縮，實(shí)現(xiàn)數(shù)據(jù)的高效傳送。

2.3 數(shù)據(jù)脫敏處理

數(shù)據(jù)脫敏，指對(duì)某些敏感信息通過(guò)脫敏規(guī)則進(jìn)行數(shù)據(jù)的變形，實(shí)現(xiàn)敏感數(shù)據(jù)的可靠保護(hù)。對(duì)重點(diǎn)用戶的數(shù)據(jù)進(jìn)行脫敏處理，避免核心數(shù)據(jù)進(jìn)行無(wú)線網(wǎng)絡(luò)傳輸，避免數(shù)據(jù)泄露風(fēng)險(xiǎn)，保障核心數(shù)據(jù)絕對(duì)安全。

（1）敏感信息規(guī)則設(shè)置∶敏感數(shù)據(jù)分類和分級(jí)是成功實(shí)施數(shù)據(jù)保護(hù)的第一步，分類主要依據(jù)包括數(shù)據(jù)的用途、價(jià)值、保存時(shí)間、泄露破壞影響、法律法規(guī)對(duì)數(shù)據(jù)保護(hù)的要求、訪問(wèn)維護(hù)和修改數(shù)據(jù)人員等，根據(jù)實(shí)際需要脫敏的用戶情況設(shè)置敏感信息規(guī)則。

（2）數(shù)據(jù)脫敏管理：針對(duì)不同的重要用戶，可以對(duì)其選用不同的敏感信息規(guī)則，從而滿足不同的重要用戶的各種對(duì)數(shù)據(jù)保護(hù)的要求，并可以選擇需要進(jìn)行脫敏處理的用戶進(jìn)行脫敏處理的啟用、停用、歷史脫敏查詢等重要操作。

2.4 SIM卡終端管理

對(duì)SIM卡進(jìn)行精細(xì)化管理，將SIM卡作為資產(chǎn)進(jìn)行管理，并實(shí)現(xiàn)SIM卡與現(xiàn)場(chǎng)作業(yè)終端的機(jī)卡綁定，避免現(xiàn)場(chǎng)作業(yè)終端更換外網(wǎng)SIM卡、非法SIM卡接入采集VPN，避免非法設(shè)備接入采集VPN。

（1）終端設(shè)備與SIM卡綁定：根據(jù)SIM卡識(shí)別碼和終端設(shè)備識(shí)別碼的特性，可以將SIM卡、終端設(shè)備和人員信息進(jìn)行關(guān)聯(lián)綁定，綁定后使SIM卡、終端設(shè)備和人員信息之間建立起相對(duì)應(yīng)的關(guān)系，并且可以對(duì)關(guān)系進(jìn)行綁定、解除綁定、設(shè)備停用啟用等，方便進(jìn)行精細(xì)化管理及增強(qiáng)設(shè)備使用的安全性。

（2）雙向數(shù)字證書(shū)認(rèn)證：基于數(shù)字證書(shū)等多種方式提供對(duì)移動(dòng)終端的強(qiáng)身份認(rèn)證功能，同時(shí)提供終端對(duì)接入網(wǎng)關(guān)身份的認(rèn)證，從而實(shí)現(xiàn)雙向?qū)Φ辱b別和認(rèn)證功能。

（3）安全接入管理：提供對(duì)現(xiàn)場(chǎng)作業(yè)終端安全接入服務(wù)的高效、高速調(diào)度管理功能。在終端認(rèn)證通過(guò)后，進(jìn)行接入資源調(diào)配，提供相應(yīng)安全接入服務(wù)。

2.5 終端實(shí)時(shí)安全監(jiān)控

實(shí)現(xiàn)對(duì)現(xiàn)場(chǎng)作業(yè)終端的實(shí)時(shí)在線監(jiān)測(cè)，保障接入的安全性。包括對(duì)終端安全注冊(cè)管理、安全訪問(wèn)控制、安全授權(quán)等管理，以及對(duì)終端安全加固策略的實(shí)時(shí)更新、終端行為的實(shí)時(shí)監(jiān)控管理，對(duì)終端實(shí)時(shí)通訊、會(huì)話狀態(tài)的全程安全監(jiān)控、告警管理等，對(duì)現(xiàn)場(chǎng)作業(yè)終端接入與應(yīng)用數(shù)據(jù)傳輸過(guò)程的全程應(yīng)用訪問(wèn)的安全監(jiān)控、告警管理，現(xiàn)場(chǎng)作業(yè)終端實(shí)時(shí)運(yùn)行狀態(tài)信息收集及監(jiān)控管理，包括進(jìn)程運(yùn)行狀態(tài)、網(wǎng)絡(luò)訪問(wèn)狀態(tài)、硬件接口狀態(tài)、主機(jī)資源占用狀態(tài)等安全狀態(tài)信息；

（1）終端狀態(tài)監(jiān)控：實(shí)現(xiàn)對(duì)本級(jí)機(jī)構(gòu)所屬終端的實(shí)時(shí)接入狀態(tài)、運(yùn)行狀態(tài)監(jiān)控。

（2）接入終端管理：實(shí)現(xiàn)對(duì)接入終端資產(chǎn)信息、硬件信息的維護(hù)，提供批量導(dǎo)入功能，同時(shí)提供終端自動(dòng)注冊(cè)及準(zhǔn)入控制等功能。

（3）流量審計(jì)：系統(tǒng)提供基于協(xié)議識(shí)別的流量分析功能，實(shí)時(shí)統(tǒng)計(jì)出當(dāng)前網(wǎng)絡(luò)中的各種報(bào)文流量，進(jìn)行綜合流量分析，為流量管理策略的制定提供可靠支持。

3 結(jié)語(yǔ)

通過(guò)平臺(tái)對(duì)設(shè)備的監(jiān)控管理，實(shí)現(xiàn)設(shè)備異常時(shí)進(jìn)行主動(dòng)告警，避免非法設(shè)備接入，保障接入的安全性。通過(guò)現(xiàn)場(chǎng)作業(yè)終端實(shí)時(shí)運(yùn)行狀態(tài)信息收集及監(jiān)控管理，以充分保障系統(tǒng)運(yùn)行安全。