近年來,信息化技術(shù)已廣泛應(yīng)用在電網(wǎng)生產(chǎn)運(yùn)行管理的各環(huán)節(jié)���,能源電力企業(yè)利用信息化技術(shù)促進(jìn)經(jīng)營(yíng)管理精益高效�����、提升發(fā)展質(zhì)量和效率����,為電力系統(tǒng)正常運(yùn)行控制、故障快速檢測(cè)和響應(yīng)提供了重要技術(shù)保障�����。自“十一五”以來�,能源電力企業(yè)積極建設(shè)企業(yè)級(jí)信息系統(tǒng),響應(yīng)“數(shù)字中國(guó)”戰(zhàn)略��。面向“十四五”����,能源電力企業(yè)重點(diǎn)通過數(shù)字化推動(dòng)電網(wǎng)智能化升級(jí)和企業(yè)數(shù)字化轉(zhuǎn)型,推進(jìn)全業(yè)務(wù)����、全環(huán)節(jié)數(shù)字化轉(zhuǎn)型,逐步實(shí)現(xiàn)“以信息系統(tǒng)建設(shè)為核心”向“以數(shù)據(jù)為核心”轉(zhuǎn)變�����,支撐電網(wǎng)高效率運(yùn)行、公司高質(zhì)量發(fā)展���、服務(wù)高品質(zhì)供應(yīng)���。
近日,由中關(guān)村網(wǎng)絡(luò)安全與信息化產(chǎn)業(yè)聯(lián)盟數(shù)據(jù)安全治理專業(yè)委會(huì)編著的《數(shù)據(jù)安全治理白皮書5.0—電力數(shù)據(jù)安全治理實(shí)踐》(以下簡(jiǎn)稱《白皮書》)正式發(fā)布��?����!栋灼氛J(rèn)為���,伴隨物聯(lián)網(wǎng)、大數(shù)據(jù)等技術(shù)的高速發(fā)展與普及應(yīng)用�����,電力數(shù)據(jù)的價(jià)值和作用日益彰顯����,諸多安全風(fēng)險(xiǎn)與新的挑戰(zhàn)也隨之而來。與此同時(shí)��,國(guó)家對(duì)網(wǎng)絡(luò)安全、數(shù)據(jù)安全的重視程度不斷提升��,《網(wǎng)絡(luò)安全法》�����、《數(shù)據(jù)安全法》��、《個(gè)人信息保護(hù)法》先后出臺(tái)��,電力行業(yè)全面落實(shí)數(shù)據(jù)安全建設(shè)與數(shù)據(jù)安全治理已成大勢(shì)所趨��。
數(shù)據(jù)時(shí)代���,數(shù)據(jù)安全面臨極大考驗(yàn)
身處數(shù)據(jù)化發(fā)展浪潮���,數(shù)據(jù)化帶來便捷、高效的同時(shí)���,也帶來了安全隱患����。如何抵擋住各類網(wǎng)絡(luò)攻擊���,保障數(shù)據(jù)安全����,成為需要業(yè)內(nèi)投入大量精力研究的重要課題?!栋灼诽岢觯瑪?shù)據(jù)時(shí)代���,通過漏洞利用���、防護(hù)繞過等手段侵入企業(yè)或組織的內(nèi)部網(wǎng)絡(luò)實(shí)現(xiàn)數(shù)據(jù)竊取或破壞的安全事件仍常有發(fā)生,但隨著網(wǎng)絡(luò)安全防護(hù)設(shè)施的普及和加強(qiáng)�����,明顯增加了侵入內(nèi)部網(wǎng)絡(luò)的難度�����。伴生而來的新的攻擊和外部數(shù)據(jù)安全威脅層出不窮����,導(dǎo)致數(shù)據(jù)的竊取�����、篡改和非法使用等威脅。數(shù)據(jù)安全泄露事件逐年上升�����,對(duì)能源行業(yè)數(shù)據(jù)安全帶來挑戰(zhàn)����。
據(jù)美國(guó)電信巨頭Verizon公司發(fā)布的《2022年數(shù)據(jù)泄露調(diào)查報(bào)告(DBIR)》顯示,2021年數(shù)據(jù)泄露事件數(shù)量為5258����,相比之前增加了一千余起,截至2022年第二季度���,數(shù)據(jù)泄露事件數(shù)量已達(dá)5212起���。其中,82%的泄露事件涉及人為因素����。
據(jù)國(guó)網(wǎng)福建電力發(fā)布的2022年一季度信息運(yùn)行與網(wǎng)絡(luò)安全保障報(bào)告顯示,該公司當(dāng)年一季度共監(jiān)測(cè)并阻斷網(wǎng)絡(luò)攻擊56.05萬余次���,封禁高危攻擊源地址6341個(gè)���。2022年2月份�,國(guó)網(wǎng)福建電力攔截互聯(lián)網(wǎng)攻擊21.9萬余次��,環(huán)比增長(zhǎng)39.4%�����,其中攔截境外網(wǎng)絡(luò)攻擊1076次����,環(huán)比增長(zhǎng)265.99%,且網(wǎng)絡(luò)攻擊方式較常態(tài)時(shí)期變化大���,高危攻擊占比明顯上升����。
在“數(shù)字新基建”加快發(fā)展的背景下�����,電力大數(shù)據(jù)業(yè)務(wù)快速發(fā)展��,電力企業(yè)數(shù)據(jù)開放程度進(jìn)一步加大���。電力企業(yè)數(shù)據(jù)安全防護(hù)需要結(jié)合業(yè)務(wù)場(chǎng)景來落實(shí)�����,在實(shí)際執(zhí)行過程中存在一定難度���。近年來,大多數(shù)電力企業(yè)雖在持續(xù)加強(qiáng)信息安全建設(shè)����,但由于自身網(wǎng)絡(luò)環(huán)境復(fù)雜、業(yè)務(wù)流程特殊�����、系統(tǒng)結(jié)構(gòu)繁雜等特性����,依然面臨嚴(yán)峻的安全威脅與挑戰(zhàn)。電力數(shù)據(jù)作為關(guān)鍵生產(chǎn)要素���,包括營(yíng)銷��、財(cái)務(wù)���、物資�、電網(wǎng)生產(chǎn)等海量數(shù)據(jù)���,數(shù)量多����、客戶規(guī)模大�、覆蓋面廣,對(duì)于電力企業(yè)越來越重要��,但受制于采集�、管理等各方面因素的限制,現(xiàn)階段能源電力數(shù)據(jù)的應(yīng)用場(chǎng)景十分有限�����。同時(shí)��,電力企業(yè)在其企業(yè)內(nèi)部及跨組織���、跨區(qū)域之間的數(shù)據(jù)傳輸日漸增多����,因此需要對(duì)數(shù)據(jù)進(jìn)行脫敏��。然而�,部門企業(yè)仍存在著人工脫敏的情況,脫敏規(guī)則也不一致��,從而導(dǎo)致脫敏后的數(shù)據(jù)質(zhì)量差��。此外��,根據(jù)國(guó)內(nèi)風(fēng)險(xiǎn)評(píng)價(jià)機(jī)構(gòu)調(diào)研結(jié)果顯示�,部分電力企業(yè)的數(shù)據(jù)庫(kù)處于直接暴露在互聯(lián)網(wǎng)中的狀態(tài),且使用的數(shù)據(jù)庫(kù)版本陳舊�����,存在著很多安全漏洞�����,這些漏洞可能成為外部黑客入侵內(nèi)網(wǎng)的跳板����。
思路明確�����,電力企業(yè)穩(wěn)步推進(jìn)數(shù)據(jù)安全治理
面對(duì)各種挑戰(zhàn)與風(fēng)險(xiǎn)��,能源電力企業(yè)應(yīng)對(duì)有招�,穩(wěn)步推進(jìn)數(shù)據(jù)安全治理工作����。《白皮書》列舉了國(guó)家電網(wǎng)公司�����、南方電網(wǎng)公司等多家電力央企的典型做法���,為更多電力企業(yè)提供解決思路和治理經(jīng)驗(yàn)���。
在構(gòu)建數(shù)據(jù)安全防護(hù)體系方面,國(guó)網(wǎng)山東電力為了應(yīng)對(duì)新的安全形勢(shì)��,更好保障電網(wǎng)安全運(yùn)行�,提出了以保障數(shù)據(jù)安全為核心,采用零信任及縱深防御的安全理念,構(gòu)建“沒有授權(quán)進(jìn)不去���,未經(jīng)許可拿不走、數(shù)據(jù)泄密賴不掉”的全過程數(shù)據(jù)安全防護(hù)體系的數(shù)據(jù)安全防護(hù)建設(shè)目標(biāo)����。構(gòu)建零信任數(shù)據(jù)安全訪問平臺(tái),利用技術(shù)手段實(shí)現(xiàn)數(shù)據(jù)訪問控制�����,強(qiáng)化數(shù)據(jù)訪問過程管控�。其中包括利用可信應(yīng)用代理,進(jìn)行基于用戶和終端風(fēng)險(xiǎn)的應(yīng)用訪問控制�����;利用可信API代理進(jìn)行基于數(shù)據(jù)訪問風(fēng)險(xiǎn)的接口訪問控制���,滿足數(shù)據(jù)中臺(tái)+微應(yīng)用新形勢(shì)下的動(dòng)態(tài)可信訪問控制要求����。
在加強(qiáng)數(shù)據(jù)分類分級(jí)管理方面����,南方電網(wǎng)公司重點(diǎn)針對(duì)公司數(shù)據(jù)安全防護(hù)工作中的數(shù)據(jù)分級(jí)分類過程���,提出相應(yīng)的分級(jí)、分類原則及方法�,以幫助公司各級(jí)單位進(jìn)行數(shù)據(jù)安全的合規(guī)分類、自主定級(jí)���,其結(jié)果作為落實(shí)數(shù)據(jù)安全防護(hù)的基礎(chǔ)依據(jù)����?��;跀?shù)據(jù)分類分級(jí)����,規(guī)范提出了一���、二�、三級(jí)數(shù)據(jù)安全保護(hù)技術(shù)要求�,從加密、脫敏�、防泄露�、標(biāo)識(shí)標(biāo)簽��、備份容災(zāi)��、鑒別授權(quán)��、記錄審計(jì)等技術(shù)層面進(jìn)行描述�,給出相關(guān)技術(shù)路線推薦��,推薦技術(shù)路線為各業(yè)務(wù)場(chǎng)景提供參考���。
在夯實(shí)關(guān)基網(wǎng)絡(luò)安全基礎(chǔ)方面���,2022年,國(guó)家電網(wǎng)公司完成了新型電力系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系設(shè)計(jì)(征求意見稿)���,保障新型電力系統(tǒng)數(shù)字技術(shù)支撐體系安全���。實(shí)施數(shù)據(jù)安全專項(xiàng)提升行動(dòng),開展“一排查��、三提升��、一治理”等五個(gè)方面重點(diǎn)工作,參照數(shù)據(jù)安全風(fēng)險(xiǎn)點(diǎn)����,組織公司各單位完成數(shù)據(jù)安全隱患專項(xiàng)排查,進(jìn)一步夯實(shí)數(shù)據(jù)安全基礎(chǔ)����,防范重要數(shù)據(jù)泄露,提升國(guó)家電網(wǎng)公司數(shù)據(jù)安全防護(hù)水平�。與此同時(shí),國(guó)家電網(wǎng)公司完成了多家單位網(wǎng)廠信息交互平臺(tái)互聯(lián)網(wǎng)大區(qū)遷改工作�����,減少了對(duì)外網(wǎng)絡(luò)暴露面�����,支撐并網(wǎng)電廠安全接入�,調(diào)度網(wǎng)廠交互的安全性、可靠性�、穩(wěn)定性進(jìn)一步提升。推進(jìn)4G/5G無線網(wǎng)絡(luò)承載涉控業(yè)務(wù)測(cè)試驗(yàn)證����,助力電網(wǎng)信息化���、智能化和自動(dòng)化技術(shù)升級(jí)。
加強(qiáng)數(shù)據(jù)安全應(yīng)急處置�,南方電網(wǎng)公司按照法律法規(guī)、政策文件和安全標(biāo)準(zhǔn)的要求����,制定數(shù)據(jù)安全事件應(yīng)急預(yù)案,包括啟動(dòng)條件�����、處理流程�����、恢復(fù)流程以及事后的教育和培訓(xùn)等���。根據(jù)南方電網(wǎng)應(yīng)急規(guī)劃和規(guī)程,按照安全事件的危害程度��、影響范圍等因素對(duì)安全事件進(jìn)行分級(jí)���。定期開展模擬網(wǎng)絡(luò)攻擊事件����、模擬信息泄露事件等專項(xiàng)應(yīng)急演練,測(cè)試應(yīng)急預(yù)案和處置流程的有效性和可行性���,以及相關(guān)人員的應(yīng)急響應(yīng)能力����。
著手四方面��,開展數(shù)據(jù)安全治理和風(fēng)險(xiǎn)防控
當(dāng)前�����,能源電力企業(yè)數(shù)據(jù)安全治理與風(fēng)險(xiǎn)防控工作仍處于起步階段��?���!栋灼方ㄗh,從健全安全管理機(jī)制��、推進(jìn)合規(guī)機(jī)制建設(shè)����、提升安全技術(shù)服務(wù)能力及培養(yǎng)數(shù)據(jù)安全專家人才4個(gè)方面入手�����,開展數(shù)據(jù)安全治理和風(fēng)險(xiǎn)防控���。
一是健全安全管理機(jī)制,擔(dān)起關(guān)鍵信息基礎(chǔ)設(shè)施和數(shù)據(jù)安全保護(hù)責(zé)任����。能源電力企業(yè)應(yīng)建立權(quán)責(zé)明晰、分工合理�����、協(xié)同高效的數(shù)據(jù)安全管理組織體系�,落實(shí)數(shù)據(jù)采集�����、傳輸�����、存儲(chǔ)�、處理�、交換��、銷毀等全生命周期保護(hù)措施��,規(guī)范數(shù)據(jù)分類分級(jí)����,確定安全職責(zé)和權(quán)利,推進(jìn)安全管理制度建設(shè)�;建立數(shù)據(jù)外發(fā)備案和數(shù)據(jù)安全應(yīng)急響應(yīng)機(jī)制,加強(qiáng)數(shù)據(jù)處理�、使用、外發(fā)等安全評(píng)估����,強(qiáng)化評(píng)估及責(zé)任追究,實(shí)現(xiàn)安全管理體系化���、規(guī)范化和標(biāo)準(zhǔn)化��。
二是樹立法律紅線意識(shí)�����,推進(jìn)安全合規(guī)機(jī)制建設(shè)��。緊跟國(guó)家法律法規(guī)要求����,加強(qiáng)數(shù)據(jù)安全法律意識(shí)宣貫,在數(shù)據(jù)業(yè)務(wù)發(fā)展中樹立法律法規(guī)紅線意識(shí)���;深入分析數(shù)據(jù)安全案例�,推進(jìn)數(shù)據(jù)安全態(tài)勢(shì)預(yù)警與案例分析通報(bào)建設(shè)�����;依法依規(guī)落實(shí)個(gè)人信息安全保護(hù)要求�,合法合規(guī)獲取、使用個(gè)人信息����,規(guī)范數(shù)據(jù)采集、處理��、交互等環(huán)節(jié)數(shù)據(jù)確權(quán)機(jī)制���,實(shí)現(xiàn)數(shù)據(jù)來源合法、處理可控�����、去向溯源,避免侵犯客戶個(gè)人隱私或違規(guī)獲取客戶個(gè)人信息�。
三是提升數(shù)據(jù)安全技術(shù)服務(wù)能力,開展標(biāo)準(zhǔn)化統(tǒng)一管理�。做好數(shù)據(jù)安全技術(shù)的頂層設(shè)計(jì),夯實(shí)數(shù)據(jù)安全基礎(chǔ)設(shè)施建設(shè)���,提升數(shù)據(jù)安全防護(hù)水平�,嚴(yán)防敏感數(shù)據(jù)泄露����;加快應(yīng)用數(shù)據(jù)脫敏、水印溯源��、大數(shù)據(jù)態(tài)勢(shì)感知等技術(shù)���,探索研究匿名化��、數(shù)據(jù)標(biāo)簽��、多方安全計(jì)算等應(yīng)用場(chǎng)景��,基于共享服務(wù)化的數(shù)據(jù)安全合規(guī)管控機(jī)制���,形成一體化運(yùn)作的數(shù)據(jù)安全防護(hù)體系����。加強(qiáng)安全服務(wù)能力的開放調(diào)用��、策略統(tǒng)一管理�、風(fēng)險(xiǎn)統(tǒng)一研判,提升數(shù)據(jù)安全監(jiān)測(cè)�����、攻防驗(yàn)證能力�����。
四是培養(yǎng)數(shù)據(jù)安全人才隊(duì)伍�����,筑牢安全防線���。加強(qiáng)數(shù)據(jù)安全人才的引進(jìn)和培養(yǎng),以數(shù)據(jù)安全專家為骨干,結(jié)合律所合規(guī)�����、產(chǎn)業(yè)攻防方面人才���,建設(shè)數(shù)據(jù)安全專家隊(duì)伍�,強(qiáng)化數(shù)據(jù)安全人員履職能力和職業(yè)素養(yǎng)���。促進(jìn)數(shù)據(jù)安全管理部門與業(yè)務(wù)部門融合�����,協(xié)同推進(jìn)數(shù)據(jù)安全相關(guān)工作����,強(qiáng)化數(shù)據(jù)安全責(zé)任落實(shí)�����,培養(yǎng)既懂業(yè)務(wù)又懂安全的專業(yè)人才���。加強(qiáng)公司各單位數(shù)據(jù)安全人才隊(duì)伍交流合作�����,建立常態(tài)溝通協(xié)作機(jī)制�����,形成數(shù)據(jù)安全專業(yè)人才培養(yǎng)�、技術(shù)創(chuàng)新、產(chǎn)業(yè)發(fā)展的良好生態(tài)�。
來源: 中國(guó)能源網(wǎng)
作者:陶青
摘錄網(wǎng)址:http://www.cnenergynews.cn/dianli/2023/06/08/detail_20230608133620.html
特別聲明:本網(wǎng)站轉(zhuǎn)載僅在于分享時(shí)事而非盈利目的,時(shí)事內(nèi)容僅供學(xué)習(xí)參考�����,版權(quán)歸原作者所有�����,若有侵權(quán)����,請(qǐng)聯(lián)系我們刪除。