近年來��,信息化技術(shù)已廣泛應(yīng)用在電網(wǎng)生產(chǎn)運行管理的各環(huán)節(jié)�����,能源電力企業(yè)利用信息化技術(shù)促進經(jīng)營管理精益高效��、提升發(fā)展質(zhì)量和效率�����,為電力系統(tǒng)正常運行控制���、故障快速檢測和響應(yīng)提供了重要技術(shù)保障。自“十一五”以來����,能源電力企業(yè)積極建設(shè)企業(yè)級信息系統(tǒng),響應(yīng)“數(shù)字中國”戰(zhàn)略�����。面向“十四五”,能源電力企業(yè)重點通過數(shù)字化推動電網(wǎng)智能化升級和企業(yè)數(shù)字化轉(zhuǎn)型�,推進全業(yè)務(wù)、全環(huán)節(jié)數(shù)字化轉(zhuǎn)型�,逐步實現(xiàn)“以信息系統(tǒng)建設(shè)為核心”向“以數(shù)據(jù)為核心”轉(zhuǎn)變,支撐電網(wǎng)高效率運行�、公司高質(zhì)量發(fā)展、服務(wù)高品質(zhì)供應(yīng)���。
近日�,由中關(guān)村網(wǎng)絡(luò)安全與信息化產(chǎn)業(yè)聯(lián)盟數(shù)據(jù)安全治理專業(yè)委會編著的《數(shù)據(jù)安全治理白皮書5.0—電力數(shù)據(jù)安全治理實踐》(以下簡稱《白皮書》)正式發(fā)布�����?�!栋灼氛J為��,伴隨物聯(lián)網(wǎng)��、大數(shù)據(jù)等技術(shù)的高速發(fā)展與普及應(yīng)用��,電力數(shù)據(jù)的價值和作用日益彰顯�,諸多安全風險與新的挑戰(zhàn)也隨之而來。與此同時��,國家對網(wǎng)絡(luò)安全、數(shù)據(jù)安全的重視程度不斷提升���,《網(wǎng)絡(luò)安全法》�����、《數(shù)據(jù)安全法》、《個人信息保護法》先后出臺�����,電力行業(yè)全面落實數(shù)據(jù)安全建設(shè)與數(shù)據(jù)安全治理已成大勢所趨�。
數(shù)據(jù)時代,數(shù)據(jù)安全面臨極大考驗
身處數(shù)據(jù)化發(fā)展浪潮��,數(shù)據(jù)化帶來便捷�����、高效的同時�����,也帶來了安全隱患����。如何抵擋住各類網(wǎng)絡(luò)攻擊����,保障數(shù)據(jù)安全�,成為需要業(yè)內(nèi)投入大量精力研究的重要課題?�!栋灼诽岢?,數(shù)據(jù)時代,通過漏洞利用���、防護繞過等手段侵入企業(yè)或組織的內(nèi)部網(wǎng)絡(luò)實現(xiàn)數(shù)據(jù)竊取或破壞的安全事件仍常有發(fā)生��,但隨著網(wǎng)絡(luò)安全防護設(shè)施的普及和加強��,明顯增加了侵入內(nèi)部網(wǎng)絡(luò)的難度����。伴生而來的新的攻擊和外部數(shù)據(jù)安全威脅層出不窮�,導致數(shù)據(jù)的竊取、篡改和非法使用等威脅�����。數(shù)據(jù)安全泄露事件逐年上升,對能源行業(yè)數(shù)據(jù)安全帶來挑戰(zhàn)�。
據(jù)美國電信巨頭Verizon公司發(fā)布的《2022年數(shù)據(jù)泄露調(diào)查報告(DBIR)》顯示,2021年數(shù)據(jù)泄露事件數(shù)量為5258���,相比之前增加了一千余起�����,截至2022年第二季度,數(shù)據(jù)泄露事件數(shù)量已達5212起�。其中,82%的泄露事件涉及人為因素�。
據(jù)國網(wǎng)福建電力發(fā)布的2022年一季度信息運行與網(wǎng)絡(luò)安全保障報告顯示,該公司當年一季度共監(jiān)測并阻斷網(wǎng)絡(luò)攻擊56.05萬余次�����,封禁高危攻擊源地址6341個�。2022年2月份,國網(wǎng)福建電力攔截互聯(lián)網(wǎng)攻擊21.9萬余次��,環(huán)比增長39.4%����,其中攔截境外網(wǎng)絡(luò)攻擊1076次����,環(huán)比增長265.99%�����,且網(wǎng)絡(luò)攻擊方式較常態(tài)時期變化大�����,高危攻擊占比明顯上升���。
在“數(shù)字新基建”加快發(fā)展的背景下��,電力大數(shù)據(jù)業(yè)務(wù)快速發(fā)展�,電力企業(yè)數(shù)據(jù)開放程度進一步加大�����。電力企業(yè)數(shù)據(jù)安全防護需要結(jié)合業(yè)務(wù)場景來落實��,在實際執(zhí)行過程中存在一定難度����。近年來�����,大多數(shù)電力企業(yè)雖在持續(xù)加強信息安全建設(shè)����,但由于自身網(wǎng)絡(luò)環(huán)境復(fù)雜�����、業(yè)務(wù)流程特殊����、系統(tǒng)結(jié)構(gòu)繁雜等特性���,依然面臨嚴峻的安全威脅與挑戰(zhàn)��。電力數(shù)據(jù)作為關(guān)鍵生產(chǎn)要素��,包括營銷��、財務(wù)����、物資、電網(wǎng)生產(chǎn)等海量數(shù)據(jù)�,數(shù)量多、客戶規(guī)模大�、覆蓋面廣,對于電力企業(yè)越來越重要��,但受制于采集�、管理等各方面因素的限制,現(xiàn)階段能源電力數(shù)據(jù)的應(yīng)用場景十分有限��。同時��,電力企業(yè)在其企業(yè)內(nèi)部及跨組織���、跨區(qū)域之間的數(shù)據(jù)傳輸日漸增多�,因此需要對數(shù)據(jù)進行脫敏�。然而,部門企業(yè)仍存在著人工脫敏的情況��,脫敏規(guī)則也不一致�����,從而導致脫敏后的數(shù)據(jù)質(zhì)量差。此外�,根據(jù)國內(nèi)風險評價機構(gòu)調(diào)研結(jié)果顯示,部分電力企業(yè)的數(shù)據(jù)庫處于直接暴露在互聯(lián)網(wǎng)中的狀態(tài)����,且使用的數(shù)據(jù)庫版本陳舊,存在著很多安全漏洞��,這些漏洞可能成為外部黑客入侵內(nèi)網(wǎng)的跳板��。
思路明確�,電力企業(yè)穩(wěn)步推進數(shù)據(jù)安全治理
面對各種挑戰(zhàn)與風險,能源電力企業(yè)應(yīng)對有招��,穩(wěn)步推進數(shù)據(jù)安全治理工作�����?��!栋灼妨信e了國家電網(wǎng)公司、南方電網(wǎng)公司等多家電力央企的典型做法��,為更多電力企業(yè)提供解決思路和治理經(jīng)驗�����。
在構(gòu)建數(shù)據(jù)安全防護體系方面,國網(wǎng)山東電力為了應(yīng)對新的安全形勢��,更好保障電網(wǎng)安全運行��,提出了以保障數(shù)據(jù)安全為核心���,采用零信任及縱深防御的安全理念����,構(gòu)建“沒有授權(quán)進不去���,未經(jīng)許可拿不走���、數(shù)據(jù)泄密賴不掉”的全過程數(shù)據(jù)安全防護體系的數(shù)據(jù)安全防護建設(shè)目標。構(gòu)建零信任數(shù)據(jù)安全訪問平臺�����,利用技術(shù)手段實現(xiàn)數(shù)據(jù)訪問控制��,強化數(shù)據(jù)訪問過程管控���。其中包括利用可信應(yīng)用代理���,進行基于用戶和終端風險的應(yīng)用訪問控制�����;利用可信API代理進行基于數(shù)據(jù)訪問風險的接口訪問控制����,滿足數(shù)據(jù)中臺+微應(yīng)用新形勢下的動態(tài)可信訪問控制要求����。
在加強數(shù)據(jù)分類分級管理方面,南方電網(wǎng)公司重點針對公司數(shù)據(jù)安全防護工作中的數(shù)據(jù)分級分類過程���,提出相應(yīng)的分級�、分類原則及方法�����,以幫助公司各級單位進行數(shù)據(jù)安全的合規(guī)分類�����、自主定級�,其結(jié)果作為落實數(shù)據(jù)安全防護的基礎(chǔ)依據(jù)?���;跀?shù)據(jù)分類分級,規(guī)范提出了一����、二、三級數(shù)據(jù)安全保護技術(shù)要求��,從加密��、脫敏����、防泄露、標識標簽���、備份容災(zāi)��、鑒別授權(quán)��、記錄審計等技術(shù)層面進行描述�����,給出相關(guān)技術(shù)路線推薦�,推薦技術(shù)路線為各業(yè)務(wù)場景提供參考。
在夯實關(guān)基網(wǎng)絡(luò)安全基礎(chǔ)方面����,2022年,國家電網(wǎng)公司完成了新型電力系統(tǒng)網(wǎng)絡(luò)安全防護體系設(shè)計(征求意見稿)���,保障新型電力系統(tǒng)數(shù)字技術(shù)支撐體系安全����。實施數(shù)據(jù)安全專項提升行動����,開展“一排查、三提升�����、一治理”等五個方面重點工作����,參照數(shù)據(jù)安全風險點���,組織公司各單位完成數(shù)據(jù)安全隱患專項排查���,進一步夯實數(shù)據(jù)安全基礎(chǔ)��,防范重要數(shù)據(jù)泄露�,提升國家電網(wǎng)公司數(shù)據(jù)安全防護水平����。與此同時,國家電網(wǎng)公司完成了多家單位網(wǎng)廠信息交互平臺互聯(lián)網(wǎng)大區(qū)遷改工作�,減少了對外網(wǎng)絡(luò)暴露面,支撐并網(wǎng)電廠安全接入����,調(diào)度網(wǎng)廠交互的安全性、可靠性����、穩(wěn)定性進一步提升。推進4G/5G無線網(wǎng)絡(luò)承載涉控業(yè)務(wù)測試驗證��,助力電網(wǎng)信息化��、智能化和自動化技術(shù)升級。
加強數(shù)據(jù)安全應(yīng)急處置���,南方電網(wǎng)公司按照法律法規(guī)���、政策文件和安全標準的要求,制定數(shù)據(jù)安全事件應(yīng)急預(yù)案�,包括啟動條件、處理流程����、恢復(fù)流程以及事后的教育和培訓等。根據(jù)南方電網(wǎng)應(yīng)急規(guī)劃和規(guī)程����,按照安全事件的危害程度、影響范圍等因素對安全事件進行分級��。定期開展模擬網(wǎng)絡(luò)攻擊事件���、模擬信息泄露事件等專項應(yīng)急演練����,測試應(yīng)急預(yù)案和處置流程的有效性和可行性,以及相關(guān)人員的應(yīng)急響應(yīng)能力���。
著手四方面��,開展數(shù)據(jù)安全治理和風險防控
當前�����,能源電力企業(yè)數(shù)據(jù)安全治理與風險防控工作仍處于起步階段?����!栋灼方ㄗh���,從健全安全管理機制���、推進合規(guī)機制建設(shè)、提升安全技術(shù)服務(wù)能力及培養(yǎng)數(shù)據(jù)安全專家人才4個方面入手��,開展數(shù)據(jù)安全治理和風險防控�。
一是健全安全管理機制,擔起關(guān)鍵信息基礎(chǔ)設(shè)施和數(shù)據(jù)安全保護責任�。能源電力企業(yè)應(yīng)建立權(quán)責明晰、分工合理��、協(xié)同高效的數(shù)據(jù)安全管理組織體系,落實數(shù)據(jù)采集��、傳輸���、存儲�、處理�����、交換���、銷毀等全生命周期保護措施���,規(guī)范數(shù)據(jù)分類分級,確定安全職責和權(quán)利����,推進安全管理制度建設(shè);建立數(shù)據(jù)外發(fā)備案和數(shù)據(jù)安全應(yīng)急響應(yīng)機制�,加強數(shù)據(jù)處理、使用���、外發(fā)等安全評估����,強化評估及責任追究,實現(xiàn)安全管理體系化�、規(guī)范化和標準化。
二是樹立法律紅線意識����,推進安全合規(guī)機制建設(shè)。緊跟國家法律法規(guī)要求��,加強數(shù)據(jù)安全法律意識宣貫���,在數(shù)據(jù)業(yè)務(wù)發(fā)展中樹立法律法規(guī)紅線意識;深入分析數(shù)據(jù)安全案例��,推進數(shù)據(jù)安全態(tài)勢預(yù)警與案例分析通報建設(shè)��;依法依規(guī)落實個人信息安全保護要求�,合法合規(guī)獲取、使用個人信息��,規(guī)范數(shù)據(jù)采集���、處理���、交互等環(huán)節(jié)數(shù)據(jù)確權(quán)機制��,實現(xiàn)數(shù)據(jù)來源合法�����、處理可控���、去向溯源,避免侵犯客戶個人隱私或違規(guī)獲取客戶個人信息�。
三是提升數(shù)據(jù)安全技術(shù)服務(wù)能力,開展標準化統(tǒng)一管理��。做好數(shù)據(jù)安全技術(shù)的頂層設(shè)計�����,夯實數(shù)據(jù)安全基礎(chǔ)設(shè)施建設(shè)��,提升數(shù)據(jù)安全防護水平����,嚴防敏感數(shù)據(jù)泄露����;加快應(yīng)用數(shù)據(jù)脫敏��、水印溯源����、大數(shù)據(jù)態(tài)勢感知等技術(shù),探索研究匿名化�����、數(shù)據(jù)標簽���、多方安全計算等應(yīng)用場景�,基于共享服務(wù)化的數(shù)據(jù)安全合規(guī)管控機制���,形成一體化運作的數(shù)據(jù)安全防護體系。加強安全服務(wù)能力的開放調(diào)用��、策略統(tǒng)一管理�����、風險統(tǒng)一研判,提升數(shù)據(jù)安全監(jiān)測���、攻防驗證能力�。
四是培養(yǎng)數(shù)據(jù)安全人才隊伍��,筑牢安全防線����。加強數(shù)據(jù)安全人才的引進和培養(yǎng),以數(shù)據(jù)安全專家為骨干�����,結(jié)合律所合規(guī)�����、產(chǎn)業(yè)攻防方面人才���,建設(shè)數(shù)據(jù)安全專家隊伍���,強化數(shù)據(jù)安全人員履職能力和職業(yè)素養(yǎng)。促進數(shù)據(jù)安全管理部門與業(yè)務(wù)部門融合��,協(xié)同推進數(shù)據(jù)安全相關(guān)工作,強化數(shù)據(jù)安全責任落實����,培養(yǎng)既懂業(yè)務(wù)又懂安全的專業(yè)人才。加強公司各單位數(shù)據(jù)安全人才隊伍交流合作����,建立常態(tài)溝通協(xié)作機制,形成數(shù)據(jù)安全專業(yè)人才培養(yǎng)�、技術(shù)創(chuàng)新、產(chǎn)業(yè)發(fā)展的良好生態(tài)��。
來源: 中國能源網(wǎng)
作者:陶青
摘錄網(wǎng)址:http://www.cnenergynews.cn/dianli/2023/06/08/detail_20230608133620.html
特別聲明:本網(wǎng)站轉(zhuǎn)載僅在于分享時事而非盈利目的�,時事內(nèi)容僅供學習參考,版權(quán)歸原作者所有�����,若有侵權(quán)����,請聯(lián)系我們刪除��。