“电能量采集及运行管理系统V1.0”(简称“TMRS”)实现了电力用户端的计量设备与服务端进行交互、自动化采集生数据和向计量设备发布命令的功能。其中,产生数据包括实时采集的遥测、遥信、电度、事项数据,还有采集的历史数据,命令包括各种下发给电能终端、电能表的命令。通过该系统可在短时间内完成对系统覆盖面中大用户所用电能表的编程设置,电能表信息读取、电能表信息统计分析。
本次测试的目标为:检测系统中可能存在的安全隐患,依照GB/T 22239-2008《信息安全技术信息系统安全等级保护基本要求》、GB/T 18336-2008《信息技术安全技术信息技术安全性评估准则》以及电力领域信息系统安全加固手册等测试标准和规范,对系统的数据安全、主机安全、应用安全、数据库安全等方面进行安全性考量。
数据安全测试
信息系统中应通过采用各种技术和管理措施,使网络系统正常运行,从而确保网络数据的可用性、完整性和保密性。测试内容包括:使用WireShark等工具检查在网络通信过程中能否截获明文数据;检查系统是否对关键数据信息进行加密存储;检查系统是否具备备份策略,定期备份数据;检查备份数据管理措施的严密程度和实施有效度;检查是否存在对备份数据定期检测的机制。主机安全测试
在主机安全测试中,从主机系统的身份鉴别、自主访问控制、安全审计、入侵防范、恶意代码防范等方面,检查服务器的本地审计策略、访问控制策略,扫描操作系统安全漏洞等。
应用安全测试
针对服务器上部署的应用,通过访谈和检查对应用系统的身份鉴别、访问控制、安全审计、资源控制、软件容错等方面的安全性进行验证,包括是否有正式的用户注册和注销程序,是否提供诸如密码、指纹、验证码、加密狗等多种身份认证方式,内部及外部用户使用正确口令是否能且仅能访问授权服务,用户是否能够更新相关信息及口令等内容。
数据库安全测试
对系统数据库进行安全测试,验证其口令策略、帐号权限策略、审计策略、网络访问控制等方面的安全性;使用安全扫描工具明鉴DAS-DBSCAN对数据库配置、规则的安全性进行扫描,扫描策略包括不安全配置、弱口令、补丁、木马、深层次安全检测及准确评估等。
通过本次系统安全测试,用户在如下方面得到了改进:
1. 增强了主机口令复杂性设置:降低了入侵者得到合法口令登录到目的主机,再实施攻击活动的风险,提高了主机系统的安全性。
2. 完善了安全审计事件覆盖范围:使得计算机系统的管理者通过系统审计日志文件的分析,监控系统运行情况,排查系统安全隐患,阻止未授权访问或者在事后进行分析和追查。
3. 提升了系统的安全性和稳定性,降低了系统的运行风险,降低了系统运行和维护的成本,为系统正式上线后能安全、可靠的运行提供了保证。同时,基于安全问题本身是动态的,因此仍需在日常运行中加强对系统安全的监控工作,确保系统的稳定运行。
