2018年9月13日��,國家能源局發(fā)布《關于加強電力行業(yè)網絡安全工作的指導意見》�����,內容全面覆蓋《網絡安全法》���、《電力監(jiān)管條例》及相關法律法規(guī)要求,對強化關鍵信息基礎設施安全保護、加強電力企業(yè)數據安全保護等方面提出了要求����。“十三五”階段����,電力行業(yè)的發(fā)展更肩負著全面建成小康社會與順利實現“兩個一百年”奮斗目標的歷史重任��。
當今世界�,能源行業(yè)的安全關乎一個國家的繁榮發(fā)展與社會穩(wěn)定。而在我國���,電力行業(yè)更是最早開始落實安全建設的領域���。
電力企業(yè)面臨的安全與挑戰(zhàn)
近年來,大多數電力企業(yè)雖在持續(xù)加強信息安全建設����,但由于自身網絡復雜、業(yè)務特殊�、系統(tǒng)繁多等特性,依然面臨嚴峻的安全威脅與挑戰(zhàn)��,而數據安全正是其中的重要一環(huán)。
置身互聯網��、大數據的時代下�,電力企業(yè)、尤其是規(guī)模巨大的電網公司��,其業(yè)務的高效運轉越來越依賴于對數據的傳輸和使用��。正因如此����,電力企業(yè)的營銷、人資���、財務��、資產�����、協(xié)同�、綜合等核心系統(tǒng)中也存儲著大量的業(yè)務往來��、用戶隱私等重要敏感數據���,如若發(fā)生盜用��、泄露����、篡改、刪除等安全事件��,不僅會對電力企業(yè)自身的業(yè)務���、信譽和經濟利益造成嚴重損害,甚至可能影響能源供應���,導致社會恐慌��,威脅國家安全���。
與此同時,國家在保障敏感數據安全方面積極制定相關法律法規(guī)����。《網絡安全法》�、《中央企業(yè)商業(yè)秘密安全保護技術指引》��、《電力行業(yè)網絡與信息安全管理辦法》等等�,都在對電力企業(yè)開展數據安全保護提出更高�����、更嚴的要求�。一方面,電力企業(yè)需要通過不斷挖掘數據價值以支撐自身服務質量���、工作效率和發(fā)展需要�;另一方面��,又要保證數據在復雜的場景�����、系統(tǒng)之間被安全����、合理的訪問和使用。很顯然����,這不是一項輕輕松松就能夠實現的目標�����,需要電力企業(yè)看清問題所在���,并有針對性的加以解決。
電力企業(yè)數據安全痛點威脅
1敏感數據管理不足
隨著電力行業(yè)信息化建設的持續(xù)推進����,電力企業(yè)內部各部門以及跨組織、跨區(qū)域之間的電力數據傳輸與共享場景日漸普遍����,需要通過對數據進行脫敏實現“用、護”結合���。但是,部分電力企業(yè)仍存在采用腳本或人工脫敏的情況�����,脫敏規(guī)則也不統(tǒng)一��,從而導致脫敏效率低下���,以及脫敏后數據質量差�����、數據間關聯關系被破壞等一系列問題�����。
2風險行為監(jiān)控不足
電力企業(yè)規(guī)模龐大�����、系統(tǒng)繁雜��、人員眾多��,日常工作中發(fā)生越權訪問���、下載或篡改數據等違規(guī)操作行為難以及時發(fā)現和定位�����,往往對內部數據安全事件的預防和調查造成困擾��;此外���,根據國內風險評價機構調研情況顯示�,逾兩成的電力企業(yè)數據庫處于直接暴露在互聯網中的風險狀態(tài)��,且大多使用的版本十分陳舊��,很多在新版本中已經得到修復的安全漏洞依然存在���,甚至可能成為外部黑客入侵內網的跳板�����。
3數據庫運維管控不足
電力企業(yè)的網絡復雜����、業(yè)務特殊���、數據庫眾多,在運維專區(qū)中���,通常是使用堡壘機來對運維人員進行管理�,但這種管理方式在數據安全防護上存在一定問題:運維人員不按操作規(guī)范或既定方案進行數據庫運維操作�����、非法導出敏感數據、數據庫操作行為沒有細粒度的審計記錄等�。
電力企業(yè)數據安全防護思路
1梳理與脫敏
在數據共享場景下,電力企業(yè)應完成對自身數據資產的系統(tǒng)梳理�����,并根據數據的敏感程度進行分級分類��,制定出數據庫共享和分發(fā)的處理流程���。同時����,在執(zhí)行數據共享的操作過程中��,應遵循業(yè)務角色最小化原則����,對數據進行有針對性的脫敏處理,做到安全�����、合理的使用數據。
考慮到電力企業(yè)的數據錯綜復雜��,各業(yè)務數據流轉通道各不相同�,應按照電力企業(yè)數據的分級分類標準,對存儲在內網以及臨時存儲在外網的數據進行發(fā)現及標記�。在對數據進行跨部門共享或外發(fā)到政府部門時,應針對重要數據進行脫敏降級����,確保數據接收方不會對數據內容進行二次擴散。
2審計與稽核
通過部署數據庫安全審計產品����,電力企業(yè)能夠對數據庫的訪問及其他操作行為進行細粒度審計與分析,從而全程監(jiān)控���、記錄包括非法訪問��、數據庫違規(guī)操作�、數據批量導出或篡改在內的一系列風險行為�,實現對所有數據訪問行為進行審計記錄,然后通過數據分析技術結合電力企業(yè)數據操作審計典型策略要求���,對風險行為進行挖掘和預警���,并在安全事件發(fā)生后,做到準確�����、高效的溯源定責�����。
3運維與管理
對于電力企業(yè)而言�,應在確保不影響正常開展運維工作的前提下,建立數據庫運維操作的審批機制和技術措施�����。通過數據庫運維管理系統(tǒng)對所有涉及敏感數據的操作進行限制��,強化對數據庫運維操作的監(jiān)管力度�����,及時阻斷越權操作行為的發(fā)生��,令運維工作實際操作與計劃操作保持一致。
為此�,電力企業(yè)應對數據運維操作的關鍵動作進行劃分,將那些敏感操作梳理出來并默認禁止���。當檢修期間確實存在數據運維需求時����,通過發(fā)起運維審批流程���,根據審批小組的審批意見����,有序�����、安全的執(zhí)行運維操作���。
