网络电能表服务管理系统安全设计报告07-3-1

网络电能表服务管理系统安全设计报告北京纳思电器有限公司安全设计的任务以预付费网络电能表为基础的网络电能表服务管理系统面对着数量大、涉及面广的用户群，系统的安全性出现问题就是大问题；同时预付费网络电能表采用表内结算剩余电费，用户购电金额和电费单价都可以由系统从远方输入表内，由于信息传输远增加了信息在传输过程被截获的风险。本系统安全设计的目标就是确保网络电能表服务管理系统本身是安全的，而且即使万一出现安全问题也是可以纠正的，不会造成系统损失的。本安全设计包括：关键数据包的安全设计数据传输的安全设计系统软件的安全设计数据库的安全设计充值卡的安全设计网络连接的安全设计关键数据包的安全设计预付费网络电能表最关键的数据包是购电数据包和电价数据包。通过密文设计使之：a、购电、调价加密信息包只有一次有效；b、购电加密信息包指定电能表有效；c、调价加密信息包指定电价类型电能表有效；d、同等效力而且都是合法的多个密文购电、调价数据包有完全不同的密文，且预付费网络电能表只接收首先接收到的第一个密文信息- - 1包，不重复接收其他信息包。采取这些安全设计措施以后，使得明文和密文之间具有明显的混淆性，即明文和密文之间的依赖关系相当复杂，以至于这种依赖关系对于密文分析者来说无法利用；使得具有扩散性即每一个明文数据每一位数字都影响密文的许多信息数字，以防止对密文的函数破译，以便最充分地隐蔽明文的统计特性。数据传输的安全设计本系统数据传输是多层次的，包括管理中心各部件之间的数据传输，管理中心和主站之间的数据传输，主站和集中器的数据传输，集中器和电能表的数据传输等。这里每个层次的数据传输都是双向的，这样就构成了一个闭环的信息传输系统，可以及时了解系统运行状况和发现系统出现的错误，确保了系统信息的安全性。3.1管理中心和主站之间数据传输，采用 HTTP作为通讯协议。由于管理中心和主站可能位于同一局域网内（在目前的试点阶段是这种情况），也可能在一个广域网内（扩大试点或投入正式运行后可能的运行模式），不管是哪种情况，管理中心和主站之间的通信都是支持TCP/IP协议的，HTTP是基于TCP/IP的一个应用层协议，已经广泛应用于互联网上，采用该协议作为管理中心和主站之间的通讯协议是可靠的。3.2管理中心客户端和其他功能部件的数据传输。管理中心客户端全部采用数据库直接存取的方式进行数据传输，包括命令的下达和执行结果的查看， 这样做可以实现：即使系统因为意外的原因而中断，也不会造成信息遗失的危险。 因为所有的执行状- - 2态都记录在数据库中，当系统恢复运行时，可以重新从上次中断的地方继续执行。3.3关键数据包的安全保障关键数据包指购电和调价数据包。采取了加密传输和过程监控手段确保关键数据包的安全。加密传输购电、调价数据包传输至主站以后，即通过硬件加密卡进行硬件加密，以后的数据传输都是以密文方式进行，即使数据包被截获看到的也是密文，对数据本身没有危害。硬件加密时除进行加密处理外，还对事件本身进行记录，以备责任追踪。3.4闭环的信息管理开环信息或开放性信息是指一个信息包发送出来就不受信息发布人监控的信息；闭环信息是指一个信息包发送后，能够受信息发布人有效监控甚至可以纠正的信息。对于开环信息保真的措施就是对信息进行加密，增加不能被复制的特征，确保开环信息不被人复制和篡改。比如货币，在货币上的信息是开放的，确保货币信息保真就只能在货币上设计不能被复制的特征、密码。但闭环信息就不同，由于它是可监控的、可检查的、可纠正的，也就不需要对信息采取措施，有时甚至可以用口头通知这样最简单方式。由于网络预付费服务管理系统：第一、系统通过信息抄读环节，系统可以及时了解每一个信息包的实际执行情况，因而对已下达的信息是可监控的和可检查的。- - 3第二、由于购电、电价等重要信息可以由系统远方下达，因此，如果必要，对任何错误系统都是纠正的。由于这种可监控、可纠正的特点，不仅确保了系统信息的安全，也确保了任何形式的攻击都毫无意义。系统软件的安全性设计4.1数据库系统的安全性，采用了业界安全性很好的 Oracle数据库；4.2数据库密码的安全性，在系统的配置文件的数据库密码部分采用了加密算法，保证了数据库密码的安全；4.3充值卡密码生成、存储和验证的算法和策略经过周密的设计，以保证充值卡密码管理的安全性；4.4用户充值通过Web方式或电话语音的方式与系统进行通讯， 电话语音是一种慢速的通讯方式，Web方式采用了图形验证码的技术和限制重试次数的方式防止有不良企图者用自动程序暴力破解充值卡密码，以确保了充值卡密码的安全性；4.5管理中心和基站之间的通讯采用 HTTP协议确保通讯的安全；数据库安全设计5.1数据库数据库软件设计基于系统稳定性、高效性、安全性的考虑，整个项目的数据库系统采用了 Oracle9i，Oracle数据库是一个以稳定、高效和安全而著称的大型关系数据库系统 （这些特点尤其在金融领域的广泛应用而被大量验证），非常适合我们这个应用系统的需求。5.2数据库密码的安全性- - 4在系统的配置文件的数据库密码部分采用了加密算法，操作人员看到的数据库密码是密文形式的数据而无法获知真正的密码，保证了数据库密码的安全5.3数据备份与恢复为了确保数据库数据的安全，考虑到在实际运行的过程中很可能因一些意外的原因造成数据库异常，如病毒导致操作系统或数据库系统崩溃，导致数据的可用性遭到破坏；管理人员的误操作使数据的完整性遭到破坏；不可抗拒的外力因素使整个数据库系统遭到毁灭性打击等等，采取了以下技术措施拉确保数据库系统安全：双机热备，定时备份双机热备数据恢复比较快，系统几分钟就可能恢复正常， 但发生灾难性事故时仍有风险。异地备份，定时备份目前，异地备份还没有做，在最终系统中是需要实施的。充值卡的安全性设计6.1充值卡安全设计一张充值卡包含以下几个方面的信息，卡号（序列号） ，密码，面值和过期时间，序列号由15位组成，其中前6位包含年度信息、面值信息和窗口信息，后9位由系统自动按顺序生成，密码由序列号的后9位自动加密生成，该加密算法为可逆算法，即可由密码反向运算得到用来加密的序列号，且同一个序列号每次加密时得到的密码是不同的，密码通过一个哈希运算和序列号一起保存在数据库中。 9位长度和卡的过期机制保证了在卡的有效期内序列号后 9位永远不重- - 5复。在验证密码的正确性时，通过加密反向运算得到充值卡的序列号，同时计算密码的哈希值，用序列号和哈希值同时和数据库中保存的值进行比较，命中的卡还要同时满足未过期和未充值的条件才允许进行充值。6.2算法中包含的特点：加密算法是可逆的，由密码可以通过解密算法得到序列号，因此用户可以只输入充值卡的密码就可以进行充值操作；序列号是有规律的，但密码是完全没有规律的且长度达到 20位，在用户这一端的安全性有充分的保障；密码在数据库中以顺序码加随机码的方式存储，即使是开发人员将哈希值解密也只能看到加密前的顺序码，而不能看到密码本身。密码在数据库中的存储采用哈希值的方式，保证了即使是数据库管理员也无法通过查看数据库中存储的信息获取密码信息，保证了在管理中心内部的安全性。此外，充值卡的密码生成过程严密监控，必须有3个管理人员输入正确密码才能进入充值卡密码生成界面，密码生成后形成自动加密的压缩文件，解密需要管理人员输入正确密码，保证充值卡制作过程中的密码安全性。网络连接的安全设计7.1局域网运行，开放有限端口整个软件系统在一个内部的局域网上运行，通过数据库存取进行数据交换和传输，只开放有限端口与外部进行连接，保证了系统免受外界的攻击；在系统与Internet连接处加装硬件防火墙，过滤恶意数- - 6据包。7.2硬件隔离墙由于系统支持网上缴费和网上查询，使得系统要与公共网交换信息，留下了一条系统与公网数据通道。为防止恶意攻击，在加装专业防火墙的基础上，根据系统信息交换的信息流特征自行设计了硬件隔离墙，只让符合通讯协议的信息流通过该隔离墙，实现充分有效的防攻击隔离。对系统安全性的总体评估8.1系统中最重要的安全设计内容由于系统中采取了全过程的预防性安全设计、闭环的信息管理、可靠的网络接口和硬件隔离墙等设计，使系统的安全性达到了设计目的。预防性的安全设计在系统设计中，全过程贯彻了对安全性的设计性的重视：对系统中每一个可能出现的安全隐患环节进行了安全性设计，预防可能出现的安全问题，确保系统安全运行。闭环的信息管理在整个系统设计中，建立了自管理中心到底层终端的双向信息通道，实现了信息采集、信息监管和必要时的信息纠正。安全可靠的数据管理选用安全性很好的 Oracle数据库、通过数据库密码处理和妥善的数据备份策略，确保了系统的数据安全。双