新型電力系統(tǒng)數(shù)據(jù)安全防護(hù)實(shí)踐探索

新型電力系統(tǒng)數(shù)據(jù)安全防護(hù)實(shí)踐探索二〇二二年八月ONTENTSC目

錄1形勢與挑戰(zhàn)2數(shù)據(jù)安全防護(hù)目標(biāo)3數(shù)據(jù)安全防護(hù)體系探索形勢與挑戰(zhàn)國內(nèi)、外深刻認(rèn)識到數(shù)據(jù)安全的重要性，美國、歐盟等相繼出臺系列數(shù)據(jù)安全政策法規(guī)。我國數(shù)據(jù)安全法已正式發(fā)布，個人信息保護(hù)法也已發(fā)布草案審議稿，數(shù)據(jù)安全及個人信息保護(hù)法治進(jìn)程進(jìn)入快車道。形勢與挑戰(zhàn)6月20日，M78安全團(tuán)隊(duì)公布了超星學(xué)習(xí)通數(shù)據(jù)庫被非法渠道售賣，涉及1億7273條數(shù)據(jù)。形勢與挑戰(zhàn)6月27日凌晨，騰訊QQ大型社死現(xiàn)場。形勢與挑戰(zhàn)6月30日，上海某朵云泄露23T數(shù)據(jù)，售賣10BTC。形勢與挑戰(zhàn)7月10日，萬豪國際泄露20G數(shù)據(jù)。形勢與挑戰(zhàn)2022年，全球網(wǎng)絡(luò)安全威脅態(tài)勢進(jìn)入高度不確定的“黑天鵝時代”，企業(yè)數(shù)據(jù)安全和風(fēng)險管理面臨前所未有的挑戰(zhàn)：數(shù)據(jù)安全和隱私保護(hù)的合規(guī)難度和成本不斷加大地緣戰(zhàn)爭引發(fā)的網(wǎng)絡(luò)戰(zhàn)升級漏洞披露數(shù)量和利用速度屢創(chuàng)新高供應(yīng)鏈和關(guān)鍵基礎(chǔ)設(shè)施攻擊進(jìn)入“熱戰(zhàn)”疫情期間遠(yuǎn)程辦公和數(shù)字化轉(zhuǎn)型攻擊面擴(kuò)大勒索軟件和網(wǎng)絡(luò)釣魚活躍度和復(fù)雜性不斷提升面臨挑戰(zhàn)網(wǎng)絡(luò)犯罪門檻降低環(huán)境、社會和治理(ESG)

給數(shù)據(jù)安全帶來的新挑戰(zhàn)。12345678數(shù)據(jù)安全作為網(wǎng)絡(luò)安全防御體系的核心任務(wù)，目前正處在高速發(fā)展的初期，企業(yè)數(shù)據(jù)安全能力建設(shè)過程中，政策監(jiān)管和市場宣傳經(jīng)常蓋過了企業(yè)用戶的真實(shí)聲音。而企業(yè)作為數(shù)據(jù)安全技術(shù)和策略的實(shí)施主體，其數(shù)據(jù)安全現(xiàn)狀、痛點(diǎn)、需求、經(jīng)驗(yàn)的能見度偏低，行業(yè)內(nèi)及跨行業(yè)知識和經(jīng)驗(yàn)分享與交流不暢，這并不利于數(shù)據(jù)安全市場的健康發(fā)展。形勢與挑戰(zhàn)25%25%14%13%7%6%3%3%3%2%0%5%10%15%20%25%30%數(shù)據(jù)安全威脅71%58%56%56%52%52%50%41%41%41%3%0%20%10%40%30%50%60%70%80%數(shù)據(jù)安全痛點(diǎn)內(nèi)部威脅(25%)和勒索軟件(25%)是數(shù)據(jù)安全TOP2威脅，人員錯誤／遠(yuǎn)程辦公/BYOD“

(第三名），疫情的反復(fù)和遠(yuǎn)程辦公與BYOD

導(dǎo)致的攻擊面擴(kuò)大，進(jìn)—步增加了人員（端點(diǎn)）相關(guān)風(fēng)險。人員安全意識”是數(shù)據(jù)安全的主要痛點(diǎn)，企業(yè)安全團(tuán)隊(duì)面臨的更大挑戰(zhàn)是提升企業(yè)全體員工的安全素養(yǎng)，“特權(quán)賬號”和“內(nèi)部威脅”這兩個排名前三的痛點(diǎn)也都與人員意識和“人的因素”有關(guān)。形勢與挑戰(zhàn)國網(wǎng)公司服務(wù)4.6億電力客戶，與電力、金融等行業(yè)存在廣泛的數(shù)據(jù)交互。隨著新型電力系統(tǒng)建設(shè)的發(fā)展，與政務(wù)、交通、石油、燃?xì)獾冉换ジ宇l繁，數(shù)據(jù)共享流動需求大幅增加，數(shù)據(jù)安全保障能力成為推動新型電力系統(tǒng)建設(shè)的重要支撐。形勢與挑戰(zhàn)傳統(tǒng)網(wǎng)絡(luò)隔離、數(shù)據(jù)加密等措施難以適應(yīng)“開放共享”環(huán)境下的數(shù)據(jù)保護(hù)面臨問題場景太多，碎片化措施如何應(yīng)用？數(shù)據(jù)安全管理和技術(shù)措施脫節(jié)怎么辦？誰在使用數(shù)據(jù)，是否合規(guī)？敏感數(shù)據(jù)在哪，分類分級怎么做？ONTENTSC目

錄1形勢與挑戰(zhàn)2數(shù)據(jù)安全防護(hù)目標(biāo)3數(shù)據(jù)安全防護(hù)體系探索數(shù)據(jù)安全防護(hù)目標(biāo)合法合規(guī)可知分類分級可識使用流程可控數(shù)據(jù)風(fēng)險可察管控提升可見關(guān)鍵需求目標(biāo)可知-可識-可控-可察-可見識別分布明確保護(hù)提升合規(guī)加強(qiáng)意識安全使用減少違規(guī)洞察風(fēng)險稽核監(jiān)控明確職責(zé)治理落地遵循數(shù)據(jù)安全原則，以數(shù)據(jù)安全分級為基礎(chǔ)，建立覆蓋數(shù)據(jù)生命周期全過程的安全防護(hù)體系，并通過建立健全數(shù)據(jù)安全組織架構(gòu)和明確信息系統(tǒng)運(yùn)維環(huán)節(jié)中的數(shù)據(jù)安全需求，全面加強(qiáng)電力行業(yè)數(shù)據(jù)安全保護(hù)能力。數(shù)據(jù)安全防護(hù)目標(biāo)當(dāng)前國網(wǎng)公司建立了“三道防線”，通過采用分區(qū)分域、數(shù)據(jù)加密等措施，保障公司重要數(shù)據(jù)安全，隨著新型電力系統(tǒng)建設(shè)發(fā)展，數(shù)據(jù)環(huán)境更加開放、數(shù)據(jù)流動更加頻繁、交互對象更加復(fù)雜，主要采取以隔離為主的數(shù)據(jù)安全防護(hù)措施，嚴(yán)格限制各級數(shù)據(jù)在相關(guān)區(qū)域存儲時間。安全區(qū)I安全區(qū)II二級域三級域二級域三級域生產(chǎn)控制大區(qū)管理信息大區(qū)互聯(lián)網(wǎng)大區(qū)第三道防線第二道防線第一道防線電力專用橫向單向安全隔離裝置信息網(wǎng)絡(luò)安全隔離裝置防火墻配變終端專變終端計量現(xiàn)場作業(yè)終端營銷移動作業(yè)終端智能電表集中器采集器充電樁自動交費(fèi)POS機(jī)電力自主繳費(fèi)終端……水氣熱 智能電表車載終端充電樁……移動應(yīng)用社會大眾用電單位……ONTENTSC目

錄1形勢與挑戰(zhàn)2數(shù)據(jù)安全防護(hù)目標(biāo)3數(shù)據(jù)安全防護(hù)體系探索數(shù)據(jù)安全防護(hù)體系探索1.確定組織架構(gòu)2.數(shù)據(jù)分類分級3.制定數(shù)據(jù)安全策略4.管控使用與監(jiān)控稽核建立數(shù)據(jù)安全技術(shù)架構(gòu)建設(shè)數(shù)據(jù)安全組件持續(xù)監(jiān)測評估安全審計監(jiān)督整改建立治理團(tuán)隊(duì)分配管理職責(zé)制定原則數(shù)據(jù)分類數(shù)據(jù)定級基本權(quán)限劃分限定使用場景制定安全策略和措施在數(shù)據(jù)安全戰(zhàn)略的指導(dǎo)下，為確保數(shù)據(jù)處于有效保護(hù)和合法利用的狀態(tài)，多個部門需協(xié)作實(shí)施一系列活動，包括建立數(shù)據(jù)安全治理團(tuán)隊(duì)，制定數(shù)據(jù)安全相關(guān)制度規(guī)范，構(gòu)建數(shù)據(jù)安全技術(shù)體系，建設(shè)數(shù)據(jù)安全人才梯隊(duì)等。數(shù)據(jù)安全防護(hù)體系探索數(shù)據(jù)治理委員會決策層管理層執(zhí)行層XX中心XX中心分公司XX公司數(shù)據(jù)安全管理小組總部直屬中心子公司X XX X子 子公 公司 司監(jiān)督層審計部總部確定組織架構(gòu)：建立由決策層、管理層、執(zhí)行層、監(jiān)督層組成的數(shù)據(jù)安全管理組織架構(gòu)。由數(shù)據(jù)治理委員會擔(dān)任公司數(shù)據(jù)安全管理工作的最高領(lǐng)導(dǎo)機(jī)構(gòu)。數(shù)據(jù)安全工作實(shí)行統(tǒng)一領(lǐng)導(dǎo)下的分級管理、逐級負(fù)責(zé)制。數(shù)據(jù)安全防護(hù)體系探索數(shù)據(jù)分類分級：根據(jù)法律法規(guī)以及業(yè)務(wù)需求，明確企業(yè)內(nèi)部的數(shù)據(jù)分類級原則及方法，并對數(shù)據(jù)進(jìn)行標(biāo)識以實(shí)現(xiàn)差異化的數(shù)據(jù)安全管理。數(shù)據(jù)安全防護(hù)體系探索數(shù)據(jù)分級保護(hù)策略：通過制定不同等級數(shù)據(jù)的安全保護(hù)策略，針對不同安全級別數(shù)據(jù)建立相應(yīng)的訪問控制、傳輸加密、數(shù)據(jù)脫敏、數(shù)據(jù)導(dǎo)出等安全管理和控制措施，實(shí)現(xiàn)數(shù)據(jù)安全保護(hù)精細(xì)化管理，充分保障不同安全級別的數(shù)據(jù)對保密性、完整性、可用性的需求。數(shù)據(jù)安全防護(hù)體系探索數(shù)據(jù)安全管理制度建立管理框架，優(yōu)化管控流程，落實(shí)管控策略數(shù)據(jù)安全管理辦法與細(xì)則數(shù)據(jù)訪問基本權(quán)限數(shù)據(jù)安全管理辦法數(shù)據(jù)安全職責(zé)矩陣劃分權(quán)限厘清職責(zé)高階策略生命周期安全管理制定職責(zé)事項(xiàng)確定職責(zé)邊界數(shù)據(jù)安全控制基線業(yè)務(wù)數(shù)據(jù)使用規(guī)則生產(chǎn)數(shù)據(jù)提取要求確定控制領(lǐng)域制定控制手段和周期梳理提數(shù)渠道確定使用安全要求優(yōu)化審批流程程全安確定提取過規(guī)則制定數(shù)據(jù)安全策略：數(shù)據(jù)安全相關(guān)制度流程從業(yè)務(wù)需求、風(fēng)險控制需要，以及法律規(guī)合性要求等幾個方面進(jìn)行梳理，完善數(shù)據(jù)安全管理體系，建立數(shù)據(jù)全流程管控機(jī)制。明確關(guān)系人與數(shù)據(jù)使用權(quán)限管理控制策略技術(shù)控制策略生命周期安全管理基本要求根據(jù)公司內(nèi)外關(guān)系人的劃分及安全管理職責(zé)，制定數(shù)據(jù)資產(chǎn)訪問控制表，明確各關(guān)系人對不同等級數(shù)據(jù)資產(chǎn)的訪問權(quán)限。通過建立制度、流程等保障機(jī)制，從管理層面對數(shù)據(jù)資產(chǎn)安全進(jìn)行控制。對不同安全登記的數(shù)據(jù)資產(chǎn)，實(shí)施不同的安全控制策略運(yùn)用技術(shù)手段對數(shù)據(jù)資產(chǎn)進(jìn)行安全監(jiān)控。如建立數(shù)據(jù)傳輸、處理、存儲過程中的數(shù)據(jù)加密技術(shù)，建立有效的用戶身份認(rèn)證和訪問控制的流程，定期審查或?qū)崟r監(jiān)控系統(tǒng)和數(shù)據(jù)訪問日志機(jī)制等。根據(jù)管理和技術(shù)安全控制策略，對數(shù)據(jù)資產(chǎn)在其生命周期各個階段的運(yùn)作流程，提出基本的安全管理要求。數(shù)據(jù)安全防護(hù)體系探索數(shù)據(jù)安全管控數(shù)據(jù)安全能力檢測策略管控策略發(fā)現(xiàn)/分類分級規(guī)則敏感數(shù)據(jù)發(fā)現(xiàn)規(guī)則分類分級規(guī)則敏感數(shù)據(jù)掃描策略對外接口監(jiān)控策略防護(hù)策略數(shù)據(jù)水印策略數(shù)據(jù)DLP策略數(shù)據(jù)脫敏策略數(shù)據(jù)審計策略安全服務(wù)平臺數(shù)據(jù)管控能力數(shù)字水印數(shù)據(jù)庫審計DLPAPI接口監(jiān)控系統(tǒng)管理賬號/權(quán)限/認(rèn)證運(yùn)行監(jiān)測系統(tǒng)配置/備份API接口策略數(shù)據(jù)加密策略專項(xiàng)場景分析安全接口數(shù)據(jù)泄露風(fēng)險分析數(shù)據(jù)安全一鍵處置數(shù)據(jù)自動發(fā)現(xiàn)能力與分類分級敏感數(shù)據(jù)發(fā)現(xiàn)探針

敏感數(shù)據(jù)流轉(zhuǎn)監(jiān)控探針文件系統(tǒng)/數(shù)據(jù)庫系統(tǒng)/大數(shù)據(jù)系統(tǒng)/網(wǎng)絡(luò)流量/應(yīng)用前端/應(yīng)用API接口/數(shù)據(jù)中臺/…模糊化動態(tài)脫敏。。。靜態(tài)脫敏數(shù)據(jù)加密安全銷毀數(shù)據(jù)分類分級標(biāo)準(zhǔn)法律法規(guī)要求主管/監(jiān)管要求集團(tuán)監(jiān)管要求企業(yè)管理要求數(shù)據(jù)消費(fèi)違規(guī)分析數(shù)據(jù)安全態(tài)勢大屏敏感數(shù)據(jù)分布態(tài)勢數(shù)據(jù)安全合規(guī)評估數(shù)據(jù)安全現(xiàn)狀評估數(shù)據(jù)安全風(fēng)險展示重大涉敏數(shù)據(jù)資產(chǎn)訪問路徑呈現(xiàn)生命周期管控數(shù)據(jù)傳輸數(shù)據(jù)交換數(shù)據(jù)采集數(shù)據(jù)處理數(shù)據(jù)存儲數(shù)據(jù)銷毀敏感數(shù)據(jù)訪問與消費(fèi)建模模型定義模型學(xué)習(xí)模型調(diào)整規(guī)則/關(guān)聯(lián)/統(tǒng)計/AI建模、機(jī)器學(xué)習(xí)數(shù)據(jù)安全管控效果數(shù)據(jù)安全處置跟蹤數(shù)據(jù)安全應(yīng)急響應(yīng)數(shù)據(jù)安全告警與預(yù)警統(tǒng)一身份認(rèn)證接口資產(chǎn)安全管理接口運(yùn)維支撐接口OA對接接口分子公司對接接口能力開放與數(shù)據(jù)運(yùn)營安全能力開放

安全數(shù)據(jù)共享安全規(guī)則輸出數(shù)據(jù)地圖違規(guī)阻斷數(shù)據(jù)泄露場景數(shù)據(jù)審計場景數(shù)據(jù)生命周期場景安全事件追溯場景安全孿生場景數(shù)據(jù)安全防護(hù)體系探索制定分類分級規(guī)范明確數(shù)據(jù)對象敏感數(shù)據(jù)發(fā)現(xiàn)構(gòu)建數(shù)據(jù)目錄數(shù)據(jù)對象發(fā)現(xiàn)敏感數(shù)據(jù)構(gòu)建數(shù)據(jù)目錄識別安全風(fēng)險位置信息標(biāo)簽信息數(shù)據(jù)流轉(zhuǎn)下發(fā)管控策略輸出檢查報告數(shù)據(jù)庫審計數(shù)據(jù)脫敏水印溯源數(shù)據(jù)分類分級分類規(guī)范分級規(guī)范管控原則數(shù)據(jù)庫文件源文件服務(wù)器未脫敏數(shù)據(jù)未加密數(shù)據(jù)日志敏感信息數(shù)據(jù)安全風(fēng)險周期性對比5W1H

? 敏感類型發(fā)現(xiàn)規(guī)則敏感數(shù)據(jù)發(fā)現(xiàn)：全面、快速、準(zhǔn)確發(fā)現(xiàn)和定位敏感數(shù)據(jù)，構(gòu)建持續(xù)更新的企業(yè)敏感數(shù)據(jù)分類分級目錄。結(jié)合敏感數(shù)據(jù)目錄識別和量化數(shù)據(jù)安全風(fēng)險，驅(qū)動數(shù)據(jù)安全策略的落地，為數(shù)據(jù)安全工作推進(jìn)提供抓手。數(shù)據(jù)安全防護(hù)體系探索水印溯源：通過優(yōu)化數(shù)據(jù)對外分發(fā)流程，管控數(shù)據(jù)外發(fā)行為。通過事前敏感數(shù)據(jù)發(fā)現(xiàn)、添加數(shù)據(jù)標(biāo)記、自動生成水印、外發(fā)行為審計、數(shù)據(jù)源追溯等功能，避免數(shù)據(jù)濫用導(dǎo)致時間無法追溯的問題，提高數(shù)據(jù)傳遞的安全性和可追溯能力。數(shù)據(jù)安全防護(hù)體系探索c)

結(jié)合實(shí)時安全漏洞資訊、錯報等信息對態(tài)勢感知平臺的底層規(guī)則進(jìn)行及時更新。b)

對數(shù)據(jù)接口、數(shù)據(jù)系統(tǒng)、數(shù)據(jù)設(shè)備等進(jìn)行畫像，通過算法模型檢測內(nèi)部潛在的安全風(fēng)險和威脅，并進(jìn)行可視化展示各類風(fēng)險和數(shù)據(jù)流動態(tài)勢。a)

在內(nèi)部各個關(guān)鍵節(jié)點(diǎn)，通過安全設(shè)備、探針等檢測相關(guān)信息，包括但不限于設(shè)備指紋