為貫徹落實黨中央、國務(wù)院關(guān)于加強安全生產(chǎn)工作的決策部署,統(tǒng)籌發(fā)展和安全,不斷提升全國電力安全生產(chǎn)水平,保障電力系統(tǒng)安全穩(wěn)定運行和電力可靠供應(yīng),由國家能源局于2021年12月8日印發(fā)實施《電力安全生產(chǎn)“十四五”行動計劃》,計劃提出建立關(guān)鍵信息基礎(chǔ)設(shè)施保護制度,推進電力數(shù)據(jù)分類分級和安全保護,強化行業(yè)關(guān)鍵數(shù)據(jù)保護、個人信息保護等內(nèi)容,對數(shù)據(jù)安全問題高度關(guān)注。
近年來電力行業(yè)信息化發(fā)展迅速,以國家電網(wǎng)為例,國網(wǎng)信通產(chǎn)業(yè)集團持續(xù)打造數(shù)字基礎(chǔ)設(shè)施和平臺,提供數(shù)字算力和通信運力,支撐公司國網(wǎng)云、數(shù)據(jù)中臺、物聯(lián)管理平臺等基礎(chǔ)平臺建設(shè),推進數(shù)字化賦能專業(yè)管理和基層作業(yè)。目前電力行業(yè)各業(yè)務(wù)領(lǐng)域的信息系統(tǒng)愈發(fā)完善,在國網(wǎng)云、數(shù)據(jù)中臺等建設(shè)下,業(yè)務(wù)數(shù)據(jù)化的同時也加快推進數(shù)據(jù)業(yè)務(wù)化,有效釋放數(shù)據(jù)價值,實現(xiàn)數(shù)據(jù)為業(yè)務(wù)賦 能的價值。
但是隨著大數(shù)據(jù)、云計算、物聯(lián)網(wǎng)、移動應(yīng)用、智能化等技術(shù)在電網(wǎng)領(lǐng)域的應(yīng)用,海量的異構(gòu)終端接入電力網(wǎng)絡(luò),再加上業(yè)務(wù)、應(yīng)用等對于業(yè)務(wù)系統(tǒng)、數(shù)據(jù)中臺的取數(shù)需求,電網(wǎng)的域間數(shù)據(jù)交互多 元,數(shù)據(jù)使用情形復(fù)雜,同時由于現(xiàn)有的防護體系尚未能夠完全應(yīng)對逐漸升級的攻擊手段與安全風(fēng)險,信息化建設(shè)下電網(wǎng)的數(shù)據(jù)安全問題成為當(dāng)下主要挑戰(zhàn)之一。
電力信息化建設(shè)對數(shù)據(jù)開放、共享、融通的需求與日俱增,新環(huán)境下與電力相關(guān)的新應(yīng)用、新平臺、新架構(gòu)與日俱增,電力企業(yè)數(shù)據(jù)安全防護需求呈現(xiàn)快速增長態(tài)勢。作為國內(nèi)數(shù)據(jù)安全領(lǐng)域代表廠商,明朝萬達認為當(dāng)前電力企業(yè)在數(shù)據(jù)安全防護方面主要存在以下問題:
重要的關(guān)鍵信息基礎(chǔ)設(shè)施,容易成為網(wǎng)絡(luò)攻擊目標(biāo)
電力安全關(guān)系國計民生,是國家安全的重要保障,也正因其重要性導(dǎo)致電力領(lǐng)域成為了國家間網(wǎng)絡(luò)對抗攻擊的首選目標(biāo),近幾年來國外因攻擊導(dǎo)致的電力安全事件持續(xù)增長。電力行業(yè)信息系統(tǒng)是關(guān)系國計民生的關(guān)鍵信息基礎(chǔ)設(shè)施,一旦遭到破壞或者發(fā)生數(shù)據(jù)泄露會嚴重威脅國家安全和公共利益。
數(shù)據(jù)資產(chǎn)混亂,缺乏完整的生命周期防護手段
電網(wǎng)在發(fā)電、輸電、配電、營銷和管理各個環(huán)節(jié)都會產(chǎn)生的大量數(shù)據(jù),是建設(shè)穩(wěn)定、高效、可靠、節(jié)能的電網(wǎng)支撐的重要要素。由于海量數(shù)據(jù)的原因?qū)е虏糠蛛娏ζ髽I(yè)對于自身的數(shù)據(jù)資產(chǎn)盤點不清,對于全量數(shù)據(jù)資產(chǎn)、核心敏感數(shù)據(jù)分布、熱點數(shù)據(jù)使用以及數(shù)據(jù)訪問權(quán)限等情況,還處于相對模糊的狀態(tài)。這種情況也導(dǎo)致了對數(shù)據(jù)的生命周期防護缺乏一個完整的管理防護,難以準(zhǔn)確、高效的對數(shù)據(jù)安全風(fēng)險提供可靠支撐,導(dǎo)致數(shù)據(jù)存在泄露的風(fēng)險。
被動防御模式的落后,人工定義安全難以全面防護
電力企業(yè)數(shù)據(jù)安全防護時通常是“先由人來定義什么是風(fēng)險,再看有哪些數(shù)據(jù)會涉及到風(fēng)險,然后應(yīng)用安全技術(shù)做相應(yīng)的控制”。上述做法往往會受限于人的慣性思維,但是人是無法對所有風(fēng)險實現(xiàn)完整窮舉的,這就導(dǎo)致風(fēng)險遺漏、風(fēng)險誤判等情況的出現(xiàn)。
明朝萬達電力行業(yè)數(shù)據(jù)安全治理方案
作為中國新一代信息安全技術(shù)企業(yè)的代表廠商,明朝萬達具有成熟的數(shù)據(jù)安全技術(shù)、產(chǎn)品和解決方案,基于對數(shù)據(jù)安全領(lǐng)域的深度理解和對電力行業(yè)的詳細調(diào)研,明朝萬達為電力行業(yè)提供了一整套數(shù)據(jù)安全防護體系建設(shè)方案:重點著力在數(shù)據(jù)資產(chǎn)梳理、數(shù)據(jù)生命周期防護等方面,以技術(shù)手段加管理措施雙重防護下幫助電力企業(yè)實現(xiàn)對數(shù)據(jù)安全的保護。
本方案以數(shù)據(jù)安全治理為驅(qū)動,以數(shù)據(jù)安全現(xiàn)狀調(diào)研為基礎(chǔ),進行電力行業(yè)數(shù)據(jù)分類分級,數(shù)據(jù)安全體系建設(shè)、數(shù)據(jù)安全保障等服務(wù),通過調(diào)研、梳理規(guī)劃數(shù)據(jù)安全整體方案,構(gòu)建完善的數(shù)據(jù)安全體系;以數(shù)據(jù)全生命周期防護為核心,立足數(shù)據(jù)的完整生命周期做安全防護;以技術(shù)產(chǎn)品為支撐,利用數(shù)據(jù)大腦為核心的各類安全產(chǎn)品做到全方面的數(shù)據(jù)安全保護。從服務(wù)到產(chǎn)品到整體防護構(gòu)建完整的數(shù)據(jù)安全保護體系。
建設(shè)步驟
數(shù)據(jù)資產(chǎn)摸底、數(shù)據(jù)分類分級
通過對電力企業(yè)信息化現(xiàn)狀的調(diào)研和了解,整理各部門/業(yè)務(wù)系統(tǒng)的信息化建設(shè)現(xiàn)狀,數(shù)據(jù)中臺接入情況,了解電力企業(yè)目前數(shù)據(jù)使用情況、數(shù)據(jù)安全保護手段。
調(diào)研電力企業(yè)內(nèi)業(yè)務(wù)、技術(shù)與數(shù)據(jù)安全管理現(xiàn)狀,尤其是數(shù)據(jù)中臺的使用情況,和業(yè)務(wù)系統(tǒng)的使用情況等,根據(jù)電力行業(yè)模式和方法通過工具、訪談等手段厘清數(shù)據(jù)資產(chǎn),梳理企業(yè)業(yè)務(wù)邏輯下的數(shù)據(jù)資產(chǎn)流轉(zhuǎn)情況,實施數(shù)據(jù)分級分類,輸出數(shù)據(jù)資產(chǎn)清單、數(shù)據(jù)分類分級標(biāo)準(zhǔn)等內(nèi)容。
數(shù)據(jù)安全風(fēng)險評估
基于數(shù)據(jù)資產(chǎn)現(xiàn)狀與分類分級結(jié)果,圍繞數(shù)據(jù)生命周期,在滿足電力行業(yè)業(yè)務(wù)持續(xù)發(fā)展的前提下,依據(jù)法律法規(guī)的合規(guī)要求并結(jié)合企業(yè)安全方面的需要,對于各業(yè)務(wù)系統(tǒng)的專責(zé)、使用人員、運維人員以及業(yè)務(wù)系統(tǒng)的使用情況、對接情況進行調(diào)研。
識別現(xiàn)有信息系統(tǒng)及管理上的不足,以及可能造成的風(fēng)險大小,輸出數(shù)據(jù)安全風(fēng)險分析報告。參照信息安全風(fēng)險評估方法,以數(shù)據(jù)資產(chǎn)為評估對象,數(shù)據(jù)處理活動中所面臨的風(fēng)險為評估內(nèi)容,提供一套可落地可指導(dǎo)實踐的電力行業(yè)數(shù)據(jù)安全風(fēng)險評估方法。核心內(nèi)容包括:評估準(zhǔn)備、風(fēng)險識別、風(fēng)險分析和風(fēng)險評價。
評估準(zhǔn)備:
電力企業(yè)當(dāng)前組織實施風(fēng)險評估工作,更多是從國家法律法規(guī)及行業(yè)監(jiān)管、業(yè)務(wù)需求評估等相關(guān)要求出發(fā),從戰(zhàn)略層面考量風(fēng)險評估結(jié)果對電力行業(yè)相關(guān)的影響。數(shù)據(jù)安全風(fēng)險評估準(zhǔn)備的內(nèi)容,主要包括:評估對象、評估范圍、評估邊界、評估團隊組建、評估依據(jù)、評估準(zhǔn)則、制定評估方案并獲得管理層支持。
風(fēng)險識別:
主要包括資產(chǎn)價值識別、數(shù)據(jù)處理活動要素識別、合法合規(guī)性識別、威脅識別、脆弱性識別以及已有安全措施識別。
風(fēng)險分析:
通過采取適當(dāng)?shù)姆椒ㄅc工具,可得出電力企業(yè)所面臨的合法合規(guī)性風(fēng)險、數(shù)據(jù)安全事件發(fā)生的可能性以及數(shù)據(jù)安全事件發(fā)生對組織的影響度,從而得到數(shù)據(jù)安全風(fēng)險值。
風(fēng)險評價:
電力企業(yè)在執(zhí)行完數(shù)據(jù)安全風(fēng)險分析后,通過風(fēng)險值計算方法,會得到風(fēng)險值的分布狀況,對風(fēng)險等級進行劃分,一般會劃分為:高、中、低三個等級。依據(jù)風(fēng)險評價中風(fēng)險值的等級,明確風(fēng)險評估結(jié)果內(nèi)容。
通過數(shù)據(jù)風(fēng)險評估發(fā)現(xiàn)數(shù)據(jù)處理活動過程中存在的風(fēng)險,有效降低安全事件發(fā)生的可能性。
數(shù)據(jù)安全防護體系構(gòu)建
· 數(shù)據(jù)安全管理制度優(yōu)化
根據(jù)數(shù)據(jù)安全風(fēng)險評估報告,分為兩種方式構(gòu)建電力企業(yè)數(shù)據(jù)安全防護體系,首先結(jié)合企業(yè)的規(guī)章制度,提出針對于目前不安全現(xiàn)狀的一些管理意見,增強企業(yè)員工的數(shù)據(jù)安全意識。
· 重點業(yè)務(wù)系統(tǒng)數(shù)據(jù)保護
然后通過對電力重點應(yīng)用系統(tǒng)進行數(shù)據(jù)保護,針對于應(yīng)用系統(tǒng)的整個業(yè)務(wù)流程環(huán)境通過對于終端側(cè)、應(yīng)用側(cè)、互聯(lián)網(wǎng)側(cè)等數(shù)據(jù)進行全生命周期安全防護,防止重要系統(tǒng)的數(shù)據(jù)存在泄露風(fēng)險。
· 敏感數(shù)據(jù)脫敏保護
基于電力企業(yè)日常的數(shù)據(jù)使用場景,尤其是數(shù)據(jù)中臺的數(shù)據(jù)各類應(yīng)用場景,以國家的數(shù)據(jù)安全法律法規(guī),電力行業(yè)數(shù)據(jù)安全要求,針對于日常各類業(yè)務(wù)、應(yīng)用、項目中需要用到的電力數(shù)據(jù)進行分析,對于一些敏感數(shù)據(jù)的使用中,在不影響安全應(yīng)用的前提下進行脫敏策略保護,確保數(shù)據(jù)安全。
· 數(shù)據(jù)傳輸安全保護
針對于源端系統(tǒng)、數(shù)據(jù)中臺這樣的數(shù)據(jù)跨系統(tǒng)、網(wǎng)絡(luò)區(qū)傳輸交換通過特有的數(shù)據(jù)安全傳輸裝置進行保護,補足原有的電力邊界隔離設(shè)備對于數(shù)據(jù)安全業(yè)務(wù)支持不足的能力。
· 數(shù)據(jù)安全態(tài)勢感知
在電力企業(yè)建設(shè)數(shù)據(jù)安全態(tài)勢感知平臺,對于用戶、數(shù)據(jù)中臺、電力應(yīng)用系統(tǒng)、安全系統(tǒng)等數(shù)據(jù)進行安全檢測,采用主動學(xué)習(xí)的方式,結(jié)合機器學(xué)習(xí)技術(shù)來對正常的數(shù)據(jù)操作、使用、共享等行為進行學(xué)習(xí)并形成行為模型,再對行為進行風(fēng)險研判,從而對風(fēng)險進行準(zhǔn)確定義,以令數(shù)據(jù)安全防護更加精準(zhǔn)。
· 數(shù)據(jù)安全泄露事件實時監(jiān)控
為了防止有電力數(shù)據(jù)泄露事件發(fā)生,但不能及時發(fā)現(xiàn)快速應(yīng)急的情況,在互聯(lián)網(wǎng)側(cè)進行實時數(shù)據(jù)泄露安全監(jiān)測,對于互聯(lián)網(wǎng)上的電力行業(yè)數(shù)據(jù)進行安全檢測,通過檢索引擎實時動態(tài)獲取泄露信息輿情,保證在電力數(shù)據(jù)泄露事件發(fā)生時可以實時響應(yīng)。
