電力系統移動應用在互聯網中的現狀分析及監測

史力思

[摘要]本文從電力系統近年來發展的現狀分析，探討了目前互聯網中電力系統移動外網應用存在的具體問題。結合本人多年在信息安全崗位的實際工作經驗，綜合分析了移動應用安全問題存在的潛在威脅與危害。通過本人搜集的相關大數據的分析，對電力系統移動應用存在的隱患制訂相應的對策及檢測防范措施。

[關鍵詞]移動應用 安全隱患 檢測防范

移動應用在互聯網的利用是新時代的產物，也是未來發展的必然趨勢，在豐富電力系統與廣大客戶群眾交互的溝通渠道同時，也給用戶帶來了工作、生活的便捷和超高的娛樂體驗。作為電力企業，順應了時代的潮流，在系統內有相當多的部門開發并使用了移動應用，這也是一種與時代前進的公司優質服務的體現。例如電力微信公眾號，作為微信第一電量繳費中心，客戶群在1個億左右。例如營銷電力一點通，作為發布停電信息的公眾網絡平臺，客戶群也在5000萬左右。但是移動互聯在無線接入網絡、移動終端、應用服務以及安全隱患上都即將面臨著前所未有的挑戰。各種漏洞、后門、遠程控制等不法行為危害著社會、國家、企業和公眾的利益和安全。電力企業作為大型國有企業，如果內部信息安全被發現存在用戶信息泄露、遠程控制等安全事件，將會引發社會嚴重的安全問題，后果則不堪想象。

一、安全部門必需認識移動應用現狀

近幾年，國網公司在電力系統內部不斷加強信息安全的防范工作，提高信息安全意識，提升其在電力系統中的重要地位。國網公司在移動應用安全問題上也專門進行了相關文件的頒發、制度的學習和貫徹。目前國網公司對于互聯網中電力系統移動應用涵蓋為：外網網站及業務系統、微信、微博公眾號及電力移動App等范疇。2016年，電力系統移動應用相關檢查中發現：互聯網中的電力企業移動應用漏洞大多數為系統密碼弱口令/空口令漏洞，具體分析類型為：

電力企業移動應用APP呈高危漏洞快速增長、低危漏洞減少等趨勢發展，2016年電力系統移動應用具體漏洞分部比為：（圖2）

二、監管機構必須確保移動應用安全

電力系統各種領域的移動應用數量呈井噴式增長，系統深受各種漏洞的威脅，用戶深受個人隱私泄露等隱患的困擾。電力系統相關責任部門應加強對移動應用安全性的審核，確保上線應用的安全性。監管部門應抓緊出臺移動應用安全治理方法，建立安全評估體系，肅清不合格的移動應用的運行。對于安全責任不落實、安全管控薄弱、數據防護能力較弱的移動應用，應按照《關于進一步加強移動應用安全防護工作的通知》文件精神，促進移動互聯新技術的應用，保障移動應用安全。

三、技術單位必須嚴格治理移動應用隱患

電力系統信息安全技術部門應加強對系統內移動應用的管控，提高認識，加大管理力度。例如系統內部生產控制大區，信息技術人員應有相應的管理職能，督導責任人員進行系統的等保測評及備案。例如系統管理信息大區，信息技術人員應使用專業工具進行督查。及時發現和阻止非法終端接入、應用終端、惡意行為分析、數據交互與內容安全等，采取有效手段處置。針對存在和第三方有數據交換的移動應用，須建立內容審查制度對用戶隱私數據和工作信息須采用加密傳輸、加密存儲等技防措施落實數據保護。對于外網網站及業務系統，利用專業搜索引擎如nosec、zoomeye輸入關鍵字搜索；對于微信、微博公眾號，利用手機微信、微博客戶端查找，或者例用WeChatCollect進行全面的搜索。對于不安全的電力系統內部移動App，IOS應用通過蘋果商店（AppStore）查找（或iTunes、PP手機助手等）；安卓應用需要在各大應用商店中搜索關鍵字。運維單位須建立移動應用安全運維制度，落實開發平臺更新、操作系統更新、安全補丁、版本更新、應急措施等安全管理。督查負責單位需建立常態安全督查機制，把移動應用安全納入督查范圍開展日常、專項等督查工作。

隨著越來越多的電力系統移動應用的出現，使得各項移動應用的漏洞和隱形泄露檢測系統變的非常重要。電力系統移動應用還沒有一個統一的安全領域，因此電力系統迫切的需要對此類問題進行深入透徹的研究和安全標準的制定，把移動應用的安全滲透測試整合其中。只有將移動應用的信息安全問題降低到最小風險，才能保障電力系統移動應用在互聯網的使用前景中永處于不敗之林。