基于等级保护的电力移动终端安全防护体系设计The Design of Power Mobile Terminal Information Security and Protection System Based on Classified
Protection
张涛,林为民,秦超,曾荣,陈亚东
ZHANG Tao,LING Wei-min,QIN Chao
ZENG Rong,CHENG Ya-dong
国网电力科学研究院江苏省南京市 210003
(State Grid Electric Power Research Institute ,Nanjing 210003, China)
摘要:随着信息化的建设和发展,移动通信技术和各类移动终端已在电力企业中得到广泛应用。如何保证移动通信终端自身的安全可靠运行和防止机密数据外泄风险,已成为电力企业移动信息化建设过程中需要关注的问题。本文遵循国家等级保护和国家密码管理的要求,从物理安全,网络安全,系统安全,应用安全以及安全管理五个方面对移动终端的安全防护体系进行了设计。根据该安全体系,对移动终端的在线安全接入流程进行了分析。
Abstract:With the construction and development of information technology, mobile communications technology and a variety of mobile terminals has been widely used in electric power enterprises. How to ensure the mobile terminal itself safe and reliable operation and prevent the risk of confidential data leakage has become an issue of concern in the mobile information construction of electric power enterprises. Following the national classified protection and cryptology management requirements, the mobile terminal security system is designed from five aspects: physical security, network security, system security, application security and security management. According to the security system, the secure mobile terminal online access procedures were analyzed.
关键词:等级保护移动终端安全防护体系
Key words:classified protection;mobile terminal; information security and protection system
1引言
随着国家电网公司信息化建设工程的展开,移动通信技术在电力行业信息化建设中得到广泛的使用。在SG186工程的八大业务应用中,安全生产、营销管理、物资管理等,已经广泛使用了移动终端接入方式,和电力信息内网进行实时、非实时的数据通讯和数据交换。智能电网“信息化、自动化、互动化”的特征,决定信息系统与公网(GRPS/CDMA/3G等)的互动需求会越来越多,从而将会有更多的业务需要使用移动通信技术,并且对移动通信的数据量和实时性要求也将越来越高。目前,SG-ERP已经开始进行规划,对建立坚强信息安全防护体系提出了更高的要求,但作为开放的移动终端作业平台,如何保证移动通信终端可靠并且安全地连入电力信息网络,同时保证机密数据不会遭到泄露,已成为信息化建设过程中的迫切需求和需要思考的问题。
2移动信息化建设现状和安全需求
2.1 移动终端接入的现状
国家电网公司已将信息网划分为信息内网与信息外网,两个网络之间采用专用隔离装置进行安全隔离,取得了很好的安全防护效果。目前,国家电网公司信息化建设过程中涉及到移动设备接入的系统主要有安全生产系统、营销管理系统、物资管理系统、应急指挥系统等。移动设备终端主要包括便携机,移动PDA(附加条形码阅读器和GPS背夹等),以及车载巡检试验系统等。其中以移动PDA的应用最为广泛。在接入方式上,便携机和车载巡检试验系统主要通过以太网直接接入信息外网,而移动PDA可以通过无线网络直接接入信息外网,或者通过笔记本间接接入。
针对多样化的移动终端及各种接入方式,各个网省公司已采取了一定保护手段,如在各级网络边界设置防火墙等,对外界接入进行识别和认证,以防止非法数据入侵电力网络内部。但是电力系统对移动设备本身并没有形成统一的要求和规范,在终端选型方面还是以通用P DA为主,用户可以在装有业务软件的PDA上访问Internet,甚至任意下载安装其他软件,这意味着PDA设备本身的安全性,可靠性都无法得到保障。同时,移动终端作为独立的物理实体,并没有提供有效的措施对内部器件与控制软件进行统一管理和认证;在操作系统设计上也缺乏有效的安全策略;核心数据的存储也未考虑相应的保护措施。随着国家移动通信技术和应用的发展,移动终端在进行业务通信与数据交换时将面临多种安全威胁,如病毒入侵、机密信息的泄露、代码的非法篡改、关键器件的恶意替换等[1]。一旦正在接入信息内网的移动PDA被侵入,遗失或被非法使用,不但会泄露PDA上存储的大量敏感数据,还将对信息网络与业务系统的安全稳定运行造成巨大威胁。
2.2 移动终端安全需求分析
鉴于移动终端在信息化业务运作过程中的广泛使用,开展移动作业的网省公司已将移动PDA的安全性列为移动作业平台安全工作的重中之重。为了克服现有移动终端存在的种种安全漏洞,并将安全威胁降低到最小,本文认为:移动终端应从硬件、软件结构入手,制定一系列安全策略,定制电力系统专用安全移动终端及相应规范来保证其所承载业务应用的安全可靠。结合对移动终端的业务场景和安全防护要求分析,我们归纳出了移动终端的如下几个安全需求:
1)移动终端应提供措施实现移动终端关键器件的完整性认证、系统代码的完整性认
证、数据流安全监控、应用程序的安全服务等,以保证移动终端在工作时,进入一
个安全、可信的工作环境。
2)移动终端应制定完善的安全控制策略、程序的域隔离策略,以实现用户的身份认证、
程序的访问权限控制、程序之间通信的安全可靠以及防止程序在运行过程中出现读
取、修改、删除其它程序空间数据的非法攻击。
3)移动终端应根据数据、文件的敏感性,对其进行分类存储,并对不同级别的数据、
文件采取不同的安全措施。同时定义完善的安全审计策略,以帮助发现已发生的安
全事件和潜在的安全风险。
4)移动终端应提供遗失后的数据自毁机制等,如远程信息锁定、信息销毁机制等。以
进行敏感信息的清除,防止敏感数据外泄。
3移动终端安全防护体系设计
在充分调研国家电网公司移动信息化的建设现状和安全需求基础上,根据国家等级保护要求[2],本文从物理安全,网络安全,系统安全,应用安全以及安全管理五个方面进行移动终端安全防护体系的设计,如下图所示:
图1 移动终端安全防护框架
3.1 物理安全
物理安全是信息系统安全的重要组成部分[3]。移动终端的物理安全设计主要包括如下几个方面:
1)开机认证:结合指纹、UsbKey、CF卡或口令实现开机认证。
2)一致性校验:系统启动后对操作系统装载器、OS内核、硬件配置、关键应用和配
置信息等进行验证,确保引导过程中各部件的完整性,一致性,使终端按照经过严
格验证的方式进行引导。
3)接口监控:实现对移动终端输入、输出接口进行分类,对各个物理接口进行接入安
全控制,如USB端口等。移动终端应能够与智能卡安全的进行信息交互。
4)关键器件安全:关键器件应具有抵抗防篡改等物理攻击的能力,或者使得通过此类
攻击获得有效信息十分困难。如,防止攻击者输入特定电压而使部分芯片进入非正
常工作状态。
3.2 网络安全
认证和加密是保障电网信息网络安全的重要技术[4],移动终端的网络安全设计主要包括如下几个方面:
1)身份认证:移动终端应支持采用智能卡认证,提供身份认证、电子签名、权限管理
等诸多安全功能。
2)通信加密:移动终端应提供基于硬件或软件加解密的接口,实现对通信过程中应用
数据的机密性和完整性保护。
3)访问控制:移动终端应采取安全措施对系统资源如CPU 指令、存储器、通信模块、
设备驱动及系统内核等资源实行强制访问控制,防止非法操作。
3.3 系统安全
1)操作系统安全:移动终端自身的操作系统应满足等级保护的相关要求,对采用Win
dows Mobile的操作系统,应制定严格的安全加固措施。
2)移动数据库安全:微软、Oracle、IBM等都开发了相应的移动数据库产品,在移动
终端中采用移动数据库技术时,应支持安全的移动数据库管理功能,支持数据的备
份和恢复,保证用户数据的安全可靠。
3)安全域隔离:移动终端应对系统资源和各类数据进行安全域隔离,安全域隔离分为
物理隔离和逻辑隔离。其中物理隔离是指对移动终端中的物理存储空间进行划分,
不同的存储空间用于存储不同的数据或代码,逻辑隔离主要包括进程隔离、数据的
分类存储。
3.4 应用安全
1)应用软件安全:在移动终端应用软件的开发过程中,应保证其所承载的安全生产、
营销、应急指挥等多种移动业务软件自身的安全。移动终端应采用或开发相应的安
全组件为业务应用提供不同类别的安全服务,包括但数据加密、签名与验证以及应
用认证等。
2)工具软件安全:移动终端必须进行严格的自身安全防护,禁止安装来历不明的、不
能判断安全性的第三方软件,对移动移动终端应定期(如半年、一年)进行人工或
系统自动安全检测,对其采用的工具软件进行充分的评测。
3)应用数据保护:移动终端应根据数据分类定义对存储的应用数据设计相应的安全级
别,可考虑将移动终端中的数据分为敏感数据、私有数据、普通数据等。
4)安全审计:系统应支持对移动终端操作进行细粒度的安全审计。
3.5 安全管理
1)档案登记管理:对每个移动终端(便携机、PDA)应进行严格的档案登记,并以技
术和管理手段加强管理。档案登记应包含单位、工区、使用人、终端识别码、机
器序列号、SIM卡号、串号等。
2)领用管理:必须在工作时间登记领出、工作完毕交还管理部门,及时进行作业数据
同步,提交作业完成数据。
3)遗失管理: 应建立完善的遗失管理制度,如遗失必须及时报失。同时,应支持采用
技术手段进行远程终端锁定、用户权限撤销、信息销毁机制,并进行敏感信息清除,防止外泄。
4 移动终端安全接入方案
在线接入是移动终端接入的高级应用,工作人员可以利用移动终端通过移动运营商提供的无线接入服务,远程登录内网应用服务器。在线更新同步作业包。甚至可以利用手中的移动终端在线同步信息内网应用服务器上的数据,做到实时更新。移动终端在线接入模式下,内网应用服务器连接面临较大安全风险。移动运营商提供的APN/VPDN[5]接入保护只能提供从移动移动运营商之间的通路安全,应用数据存在途中落地的危险。借助移动运营商提供的安全策略并不能完全保证数据不被窃取。从保障数据安全的角度考虑,需要在移动终端与信息网之间增加数据保护策略,防止加密数据落地。移动终端在线接入安全方案如图2所示。
移动终端首先与移动运营商建立无线接入通道,再通过此通道与信息网连接。连接通道建成后,移动终端与信息网内的安全设备相互进行身份认证,通过证书的认证,确认双方都是可信任的。然后双方利用密钥协商机制,采用国家密码管理局批准的专用加密算法,建立安全的数据加密传输通道。利用双方的身份认证,确保移动终端安全可靠的接入信息网,通过加密传输,保障业务数据的传输安全,确保业务数据无法被窃取。
图2 移动终端在线安全接入流程图
安全隧道建立完成后,移动终端可以通过此安全隧道与信息内网的应用服务器同步数据,既可以通过下载任务包的形式同步,也可以利用移动终端自带的移动数据库与业务系统中的数据库实现实时同步。
5 结语
可以预见,随着信息化建设的深入开展,将会有更多的业务需要使用移动通信技术,同时,各个业务对移动通信的数据量和实时性要求也将越来越高。本文提出了移动终端安全防护框架,设计了移动终端在线安全接入的流程。本安全解决方案充分吸收国家等级保护的最新技术和理念,相关的密码算法和产品选用遵循国家密码管理局的商用密码管理条例,同时在系统设计方面充分考虑国家电网公司移动信息化业务数据安全防护和通信的需求,具有重要的现实的意义。
参考文献
[1]Wayne Jansen, Karen Scarfone. Guidelines on Cell Phone and PDA Security[S]. National Institute of Standards and Technology (NIST) Special Publication 800-124, October 2008. [2]中华人民共和国公安部. GA/T 708-2007 信息安全技术信息系统安全等级保护体系框架[S].北京: 中国标准出版社. 2007.
The Ministry of Public Security of the People’s Republic of China. GA/T 708-2007 Information security technology - Architecture framework of security classification protection for information system[S].Beijing: Standards Press of China. 2007.
[3]徐云峰,郭正彪. 物理安全[M]. 武汉:武汉大学出版社.2010.
XU Yun-feng, GUO Zheng-biao. Physical Scurity[M]. WuHan:WUHAN UNIVERSITY PRESS.2010. [4](美)Bruce Schneier. 应用密码学-协议、算法与C源程序(第二版)[M].北京:机械工业出版社,2003.
(USA)Bruce Schneier. Applied Cryptography – Protocols, algorithms, and source code in C(Second Edition)[M].BeiJing: China Machine Press, 2003.
[5]中国移动开发者社区. APN/VPDN[EB/OL]. [2010-05-12].https://www.doczj.com/doc/1118409881.html,/.
China Mobile Developer Network.APN/VPDN[EB/OL].[2010-05-12].
https://www.doczj.com/doc/1118409881.html,/
作者简介
张涛 1976,男,陕西榆林,工程师,信息安全研究室主任,从事网络信息安全研究工作
zhangtao@https://www.doczj.com/doc/1118409881.html,江苏省南京市江宁区胜利西路9号国网电力科学研究院信通所 210006 025******** 139********
林为民 1964,男,江苏连云港,研究员级高级工程师,信息与通信研究所副所长,主要从事电力系统自动化应用、网络信息安全等方面研究及管理工作linweimin@https://www.doczj.com/doc/1118409881.html,江苏省南京市江宁区胜利西路9号国网电力科学研究院信通所 210006 025******** 139********
秦超 1978,男,江苏盐城,工程师,主要从事网络信息安全产品开发工作,qinchao@https://www.doczj.com/doc/1118409881.html, 江苏省南京市江宁区胜利西路9号国网电力科学研究院信通所 210006 025******** 135********
曾荣 1980,男,江苏南京,工程师,主要从事网络信息安全产品开发工作,zengrong@https://www.doczj.com/doc/1118409881.html, 江苏省南京市江宁区胜利西路9号国网电力科学研究院信通所 210006 025******** 138********
陈亚东1982,男,安徽固镇,工程师,主要从事网络信息安全产品开发工作,chenyadong@https://www.doczj.com/doc/1118409881.html,江苏省南京市江宁区胜利西路9号国网电力科学研究院信通所 210006 025******** 150********