為貫徹落實黨中央、國務院關于加強安全生産工作的決策部署,統籌發展和安全,不斷提升全國電力安全生産水準,保障電力系統安全穩定運作和電力可靠供應,由國家能源局于2021年12月8日印發實施《電力安全生産“十四五”行動計劃》,計劃提出建立關鍵資訊基礎設施保護制度,推進電力資料分類分級和安全保護,強化行業關鍵資料保護、個人資訊保護等内容,對資料安全問題高度關注。
燈火通明的工業園區
近年來電力行業資訊化發展迅速,以國家電網為例,國網信通産業集團持續打造數字基礎設施和平台,提供數字算力和通信運力,支撐公司國網雲、資料中台、物聯管理平台等基礎平台建設,推進數字化賦能專業管理和基層作業。目前電力行業各業務領域的資訊系統愈發完善,在國網雲、資料中台等建設下,業務資料化的同時也加快推進資料業務化,有效釋放資料價值,實作資料為業務賦能的價值。
但是随着大資料、雲計算、物聯網、移動應用、智能化等技術在電網領域的應用,海量的異構終端接入電力網絡,再加上業務、應用等對于業務系統、資料中台的取數需求,電網的域間資料互動多元,資料使用情形複雜,同時由于現有的防護體系尚未能夠完全應對逐漸更新的攻擊手段與安全風險,資訊化建設下電網的資料安全問題成為當下主要挑戰之一。
電力資訊化建設對資料開放、共享、融通的需求與日俱增,新環境下與電力相關的新應用、新平台、新架構與日俱增,電力企業資料安全防護需求呈現快速增長态勢。作為國内資料安全領域代表廠商,明朝萬達認為目前電力企業在資料安全防護方面主要存在以下問題:
■ 重要的關鍵資訊基礎設施,容易成為網絡攻擊目标
電力安全關系國計民生,是國家安全的重要保障,也正因其重要性導緻電力領域成為了國家間網絡對抗攻擊的首選目标,近幾年來國外因攻擊導緻的電力安全事件持續增長。電力行業資訊系統是關系國計民生的關鍵資訊基礎設施,一旦遭到破壞或者發生資料洩露會嚴重威脅國家安全和公共利益。
■ 資料資産混亂,缺乏完整的生命周期防護手段
電網在發電、輸電、配電、營銷和管理各個環節都會産生的大量資料,是建設穩定、高效、可靠、節能的電網支撐的重要要素。由于海量資料的原因導緻部分電力企業對于自身的資料資産盤點不清,對于全量資料資産、核心敏感資料分布、熱點資料使用以及資料通路權限等情況,還處于相對模糊的狀态。這種情況也導緻了對資料的生命周期防護缺乏一個完整的管理防護,難以準确、高效地對資料安全風險提供可靠支撐,導緻資料存在洩露的風險。
■ 被動防禦模式的落後,人工定義安全難以全面防護
電力企業資料安全防護時通常是“先由人來定義什麼是風險,再看有哪些資料會涉及到風險,然後應用安全技術做相應的控制”。上述做法往往會受限于人的慣性思維,但是人是無法對所有風險實作完整窮舉的,這就導緻風險遺漏、風險誤判等情況的出現。
明朝萬達電力行業資料安全治理方案
作為中國新一代資訊安全技術企業的代表廠商,明朝萬達具有成熟的資料安全技術、産品和解決方案,基于對資料安全領域的深度了解和對電力行業的詳細調研,明朝萬達為電力行業提供了一整套資料安全防護體系建設方案:重點着力在資料資産梳理、資料生命周期防護等方面,以技術手段加管理措施雙重防護下幫助電力企業實作對資料安全的保護。
本方案以資料安全治理為驅動,以資料安全現狀調研為基礎,進行電力行業資料分類分級,資料安全體系建設、資料安全保障等服務,通過調研、梳理規劃資料安全整體方案,建構完善的資料安全體系;以資料全生命周期防護為核心,立足資料的完整生命周期做安全防護;以技術産品為支撐,利用資料大腦為核心的各類安全産品做到全方面的資料安全保護。從服務到産品到整體防護建構完整的資料安全保護體系。
建設步驟
資料資産摸底、資料分類分級
通過對電力企業資訊化現狀的調研和了解,整理各部門/業務系統的資訊化建設現狀,資料中台接入情況,了解電力企業目前資料使用情況、資料安全保護手段。
調研電力企業内業務、技術與資料安全管理現狀,尤其是資料中台的使用情況,和業務系統的使用情況等,根據電力行業模式和方法通過工具、訪談等手段厘清資料資産,梳理企業業務邏輯下的資料資産流轉情況,實施資料分級分類,輸出資料資産清單、資料分類分級标準等内容。
資料安全風險評估
基于資料資産現狀與分類分級結果,圍繞資料生命周期,在滿足電力行業業務持續發展的前提下,依據法律法規的合規要求并結合企業安全方面的需要,對于各業務系統的專責、使用人員、運維人員以及業務系統的使用情況、對接情況進行調研。
識别現有資訊系統及管理上的不足,以及可能造成的風險大小,輸出資料安全風險分析報告。參照資訊安全風險評估方法,以資料資産為評估對象,資料處理活動中所面臨的風險為評估内容,提供一套可落地可指導實踐的電力行業資料安全風險評估方法。核心内容包括:評估準備、風險識别、風險分析和風險評價。
評估準備:
電力企業目前組織實施風險評估工作,更多是從國家法律法規及行業監管、業務需求評估等相關要求出發,從戰略層面考量風險評估結果對電力行業相關的影響。資料安全風險評估準備的内容,主要包括:評估對象、評估範圍、評估邊界、評估團隊組建、評估依據、評估準則、制定評估方案并獲得管理層支援。
風險識别:
主要包括資産價值識别、資料處理活動要素識别、合法合規性識别、威脅識别、脆弱性識别以及已有安全措施識别。
風險分析:
通過采取适當的方法與工具,可得出電力企業所面臨的合法合規性風險、資料安全事件發生的可能性以及資料安全事件發生對組織的影響度,進而得到資料安全風險值。
風險評價:
電力企業在執行完資料安全風險分析後,通過風險值計算方法,會得到風險值的分布狀況,對風險等級進行劃分,一般會劃分為:高、中、低三個等級。依據風險評價中風險值的等級,明确風險評估結果内容。
通過資料風險評估發現資料處理活動過程中存在的風險,有效降低安全事件發生的可能性。
資料安全防護體系建構
· 資料安全管理制度優化
根據資料安全風險評估報告,分為兩種方式建構電力企業資料安全防護體系,首先結合企業的規章制度,提出針對于目前不安全現狀的一些管理意見,增強企業員工的資料安全意識。
· 重點業務系統資料保護
然後通過對電力重點應用系統進行資料保護,針對于應用系統的整個業務流程環境通過對于終端側、應用側、網際網路側等資料進行全生命周期安全防護,防止重要系統的資料存在洩露風險。
· 敏感資料脫敏保護
基于電力企業日常的資料使用場景,尤其是資料中台的資料各類應用場景,以國家的資料安全法律法規,電力行業資料安全要求,針對于日常各類業務、應用、項目中需要用到的電力資料進行分析,對于一些敏感資料的使用中,在不影響安全應用的前提下進行脫敏政策保護,確定資料安全。
· 資料傳輸安全保護
針對于源端系統、資料中台這樣的資料跨系統、網絡區傳輸交換通過特有的資料安全傳輸裝置進行保護,補足原有的電力邊界隔離裝置對于資料安全業務支援不足的能力。
· 資料安全态勢感覺
在電力企業建設資料安全态勢感覺平台,對于使用者、資料中台、電力應用系統、安全系統等資料進行安全檢測,采用主動學習的方式,結合機器學習技術來對正常的資料操作、使用、共享等行為進行學習并形成行為模型,再對行為進行風險研判,進而對風險進行準确定義,以令資料安全防護更加精準。
· 資料安全洩露事件實時監控
為了防止有電力資料洩露事件發生,但不能及時發現快速應急的情況,在網際網路側進行實時資料洩露安全監測,對于網際網路上的電力行業資料進行安全檢測,通過檢索引擎實時動态擷取洩露資訊輿情,保證在電力資料洩露事件發生時可以實時響應。
作為中國新一代資訊安全技術企業的代表廠商,明朝萬達專注于資料安全、公共安全、雲安全、大資料安全及加密應用技術解決方案等服務,曆經十六年的積累和沉澱,客戶覆寫金融、政府、公安、電信營運商等諸多行業。
基于“動态資料安全,資料全生命周期管控”的産品理念,明朝萬達始終以守護使用者資料價值為己任,緻力于讓安全真正服務于業務發展。在大資料、雲計算等新技術應用背景下,明朝萬達以資料安全為核心、自主可控的國密算法應用技術為基礎,研發的Chinasec(安元)資料安全系列産品及解決方案,覆寫資料産生、存儲、交換、使用等全生命周期重要環節,實作對伺服器、資料庫、PC終端、移動終端以及網絡通信的全IT架構下資料安全的協同關聯管理,打造企業級的資料安全防護體系。