技術領域

本發明屬于電網在移動互聯網環境安全防護領域，具體地說是一種面向移動互聯網的電力信息安全防護方法。

背景技術

隨著移動互聯網的發展和移動應用的普及，用戶通過移動網絡獲取用電信息的需求日益劇增，對于移動互聯網網絡安全的要求越來越高。 目前電網公司的構建了一套基礎網絡架構，通過防火墻、隔離裝置等安全防護設施構建信息內網和信息外網，信息內網存放數據庫，信息外網搭建了內網和互聯網數據交換的橋梁。信息外網分為DMZ區和安全區，在信息內網與信息外網、DMZ區與安全區分別部署防火墻，在安全區部署應用，DMZ區配置前端服務器。雖然目前的網絡部署已經較為安全，現有的網絡結構已經滿足基礎安全防護要求，但缺乏應用層的安全防護體系，如缺乏對應用程序安全驗證，信息外網服務資源的保護，容易引起服務資源信息泄露，導致發生拒絕服務攻擊等網絡安全事故。

發明內容

本發明的目的是提供一種面向移動互聯網的電力信息安全防護方法，該方法通過利用安全沙箱、隔離區、單向訪問通道、內容過濾等安全防護機制，實現移動互聯網數據安全交互，提升和完善網絡安全水平。

本發明的目的通過以下技術方案實現：

一種面向移動互聯網的電力信息安全防護方法，其特征在于：該方法從服務資源安全防護和主動防御兩個方面增強安全防護，具體方法如下：

1）服務資源安全防護方法：

（1-1） 應用程序運行于安全沙箱，數據存放隔離區

基于Sandbox設計理念，建立安全沙箱，實現應用程序運行容器，該安全沙箱封裝所有系統接口，避免應用直接調用而引起的安全問題；建立虛擬文件系統，所有應用獨立存儲，用獨立的數據存儲空間，限制應用訪問路徑，應用僅能訪問自己所在文件夾的路徑，應用和數據分別存儲加密，防止惡意篡改；

（1-2） 基于握手協議，對傳輸內容進行加密，構建數據安全傳輸通道

客戶端與服務器端之間采用對稱和非對稱兩種混合加密方式實現交互安全；建立連接使用非對稱密鑰加密，建立連接后，采用對稱密鑰加密；客戶端保存非對稱密鑰的公鑰，服務器保存非對稱私鑰；

（1-3） 解析http請求內容，過濾非安全請求，保護服務資源

通過定義指令集的方式，系統只處理該指令集內的請求以及該應用可訪問的服務資源；利用正則表達式過濾特殊字符，防止跨站腳本網絡攻擊；

（1-4） 利用單向訪問通道，有效保證服務資源

單向訪問通道可以縮小網絡攻擊范圍，有效保障安全區的服務資源。安全區通過主動連接DMZ區，DMZ區對安全區和外網連接進行監聽，當DMZ區監聽到用戶請求后，對請求進行http協議解析，控制socket在DMZ區和安全區之間建立連接，安全區對請求數據進行解析，連接內網數據，并進行數據傳輸；

2）主動防御方法：

（2-1）提取用戶行為日志，建立用戶行為數據庫和用戶異常行為模型

針對用戶應用下載、用戶應用的使用頻率、用戶移動設備更換頻率和設備位置信息改變等關鍵點進行日志記錄，并過濾日志文件中網絡爬蟲訪問數據，提取用戶行為有效數據，建立用戶行為數據庫。通過使用決策樹算法、神經網絡算法等數據挖掘算法，對用戶行為數據庫中的數據進行深度挖掘，識別異常行為，提取異常訪問規則，建立異常訪問發現模型；

（2-2）實時分析用戶行為，實現主動防御

利用多級緩存，對用戶實時數據進行記錄，并通過異常行為模型對用戶行為進行監測，及早發現異常攻擊，并反饋系統管理人員和用戶。

本發明通過利用安全沙箱、隔離區、單向訪問通道、內容過濾等安全防護機制，實現移動互聯網數據安全交互，提升和完善網絡安全水平。本發明能有效保護用電客戶在移動互聯網環境下的個人隱私，并基于用戶行為模型，實現主動防御，提升營銷移動服務整體水平，營造“安全可靠”的用電服務生態環境。

附圖說明

圖1是 服務資源安全防護圖。

具體實施方式

以服務資源請求過程為例說明具體的操作步驟：

一種面向移動互聯網的電力信息安全防護方法，具體方法如下：

1）應用通過安全沙箱向服務器請求資源