2018年9月13日�,國(guó)家能源局發(fā)布《關(guān)于加強(qiáng)電力行業(yè)網(wǎng)絡(luò)安全工作的指導(dǎo)意見(jiàn)》,內(nèi)容全面覆蓋《網(wǎng)絡(luò)安全法》�����、《電力監(jiān)管條例》及相關(guān)法律法規(guī)要求,對(duì)強(qiáng)化關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)�、加強(qiáng)電力企業(yè)數(shù)據(jù)安全保護(hù)等方面提出了要求?�!笆濉彪A段�����,電力行業(yè)的發(fā)展更肩負(fù)著全面建成小康社會(huì)與順利實(shí)現(xiàn)“兩個(gè)一百年”奮斗目標(biāo)的歷史重任�����。
當(dāng)今世界�,能源行業(yè)的安全關(guān)乎一個(gè)國(guó)家的繁榮發(fā)展與社會(huì)穩(wěn)定。而在我國(guó)��,電力行業(yè)更是最早開(kāi)始落實(shí)安全建設(shè)的領(lǐng)域���。
【電力企業(yè)面臨的安全與挑戰(zhàn)】
近年來(lái)��,大多數(shù)電力企業(yè)雖在持續(xù)加強(qiáng)信息安全建設(shè)���,但由于自身網(wǎng)絡(luò)復(fù)雜���、業(yè)務(wù)特殊、系統(tǒng)繁多等特性�����,依然面臨嚴(yán)峻的安全威脅與挑戰(zhàn)����,而數(shù)據(jù)安全正是其中的重要一環(huán)。
置身互聯(lián)網(wǎng)����、大數(shù)據(jù)的時(shí)代下,電力企業(yè)����、尤其是規(guī)模巨大的電網(wǎng)公司��,其業(yè)務(wù)的高效運(yùn)轉(zhuǎn)越來(lái)越依賴(lài)于對(duì)數(shù)據(jù)的傳輸和使用����。正因如此,電力企業(yè)的營(yíng)銷(xiāo)��、人資、財(cái)務(wù)�����、資產(chǎn)�����、協(xié)同�����、綜合等核心系統(tǒng)中也存儲(chǔ)著大量的業(yè)務(wù)往來(lái)�����、用戶(hù)隱私等重要敏感數(shù)據(jù)����,如若發(fā)生盜用、泄露�����、篡改���、刪除等安全事件���,不僅會(huì)對(duì)電力企業(yè)自身的業(yè)務(wù)����、信譽(yù)和經(jīng)濟(jì)利益造成嚴(yán)重?fù)p害�����,甚至可能影響能源供應(yīng)��,導(dǎo)致社會(huì)恐慌��,威脅國(guó)家安全�����。
與此同時(shí)�,國(guó)家在保障敏感數(shù)據(jù)安全方面積極制定相關(guān)法律法規(guī)�����?����!毒W(wǎng)絡(luò)安全法》、《中央企業(yè)商業(yè)秘密安全保護(hù)技術(shù)指引》�、《電力行業(yè)網(wǎng)絡(luò)與信息安全管理辦法》等等,都在對(duì)電力企業(yè)開(kāi)展數(shù)據(jù)安全保護(hù)提出更高���、更嚴(yán)的要求�����。一方面����,電力企業(yè)需要通過(guò)不斷挖掘數(shù)據(jù)價(jià)值以支撐自身服務(wù)質(zhì)量�����、工作效率和發(fā)展需要����;另一方面,又要保證數(shù)據(jù)在復(fù)雜的場(chǎng)景�����、系統(tǒng)之間被安全、合理的訪問(wèn)和使用����。很顯然,這不是一項(xiàng)輕輕松松就能夠?qū)崿F(xiàn)的目標(biāo)����,需要電力企業(yè)看清問(wèn)題所在,并有針對(duì)性的加以解決����。
【電力企業(yè)數(shù)據(jù)安全痛點(diǎn)威脅】
1、敏感數(shù)據(jù)管理不足
隨著電力行業(yè)信息化建設(shè)的持續(xù)推進(jìn)�����,電力企業(yè)內(nèi)部各部門(mén)以及跨組織����、跨區(qū)域之間的電力數(shù)據(jù)傳輸與共享場(chǎng)景日漸普遍,需要通過(guò)對(duì)數(shù)據(jù)進(jìn)行脫敏實(shí)現(xiàn)“用��、護(hù)”結(jié)合���。但是��,部分電力企業(yè)仍存在采用腳本或人工脫敏的情況���,脫敏規(guī)則也不統(tǒng)一,從而導(dǎo)致脫敏效率低下��,以及脫敏后數(shù)據(jù)質(zhì)量差�、數(shù)據(jù)間關(guān)聯(lián)關(guān)系被破壞等一系列問(wèn)題。
2��、風(fēng)險(xiǎn)行為監(jiān)控不足
電力企業(yè)規(guī)模龐大���、系統(tǒng)繁雜���、人員眾多,日常工作中發(fā)生越權(quán)訪問(wèn)����、下載或篡改數(shù)據(jù)等違規(guī)操作行為難以及時(shí)發(fā)現(xiàn)和定位,往往對(duì)內(nèi)部數(shù)據(jù)安全事件的預(yù)防和調(diào)查造成困擾�����;此外,根據(jù)國(guó)內(nèi)風(fēng)險(xiǎn)評(píng)價(jià)機(jī)構(gòu)調(diào)研情況顯示��,逾兩成的電力企業(yè)數(shù)據(jù)庫(kù)處于直接暴露在互聯(lián)網(wǎng)中的風(fēng)險(xiǎn)狀態(tài)�,且大多使用的版本十分陳舊,很多在新版本中已經(jīng)得到修復(fù)的安全漏洞依然存在����,甚至可能成為外部黑客入侵內(nèi)網(wǎng)的跳板。
3����、數(shù)據(jù)庫(kù)運(yùn)維管控不足
電力企業(yè)的網(wǎng)絡(luò)復(fù)雜、業(yè)務(wù)特殊����、數(shù)據(jù)庫(kù)眾多,在運(yùn)維專(zhuān)區(qū)中��,通常是使用堡壘機(jī)來(lái)對(duì)運(yùn)維人員進(jìn)行管理�,但這種管理方式在數(shù)據(jù)安全防護(hù)上存在一定問(wèn)題:運(yùn)維人員不按操作規(guī)范或既定方案進(jìn)行數(shù)據(jù)庫(kù)運(yùn)維操作、非法導(dǎo)出敏感數(shù)據(jù)��、數(shù)據(jù)庫(kù)操作行為沒(méi)有細(xì)粒度的審計(jì)記錄等�。
【電力企業(yè)數(shù)據(jù)安全防護(hù)思路】
1、梳理與脫敏
在數(shù)據(jù)共享場(chǎng)景下����,電力企業(yè)應(yīng)完成對(duì)自身數(shù)據(jù)資產(chǎn)的系統(tǒng)梳理����,并根據(jù)數(shù)據(jù)的敏感程度進(jìn)行分級(jí)分類(lèi)�����,制定出數(shù)據(jù)庫(kù)共享和分發(fā)的處理流程��。同時(shí)��,在執(zhí)行數(shù)據(jù)共享的操作過(guò)程中��,應(yīng)遵循業(yè)務(wù)角色最小化原則�����,對(duì)數(shù)據(jù)進(jìn)行有針對(duì)性的脫敏處理���,做到安全、合理的使用數(shù)據(jù)�。
考慮到電力企業(yè)的數(shù)據(jù)錯(cuò)綜復(fù)雜,各業(yè)務(wù)數(shù)據(jù)流轉(zhuǎn)通道各不相同�����,應(yīng)按照電力企業(yè)數(shù)據(jù)的分級(jí)分類(lèi)標(biāo)準(zhǔn),對(duì)存儲(chǔ)在內(nèi)網(wǎng)以及臨時(shí)存儲(chǔ)在外網(wǎng)的數(shù)據(jù)進(jìn)行發(fā)現(xiàn)及標(biāo)記����。在對(duì)數(shù)據(jù)進(jìn)行跨部門(mén)共享或外發(fā)到政府部門(mén)時(shí),應(yīng)針對(duì)重要數(shù)據(jù)進(jìn)行脫敏降級(jí)�����,確保數(shù)據(jù)接收方不會(huì)對(duì)數(shù)據(jù)內(nèi)容進(jìn)行二次擴(kuò)散���。
2�、審計(jì)與稽核
通過(guò)部署安華金和數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)���,電力企業(yè)能夠?qū)?shù)據(jù)庫(kù)的訪問(wèn)及其他操作行為進(jìn)行細(xì)粒度審計(jì)與分析�����,從而全程監(jiān)控���、記錄包括非法訪問(wèn)、數(shù)據(jù)庫(kù)違規(guī)操作��、數(shù)據(jù)批量導(dǎo)出或篡改在內(nèi)的一系列風(fēng)險(xiǎn)行為,實(shí)現(xiàn)對(duì)所有數(shù)據(jù)訪問(wèn)行為進(jìn)行審計(jì)記錄���,然后通過(guò)數(shù)據(jù)分析技術(shù)結(jié)合電力企業(yè)數(shù)據(jù)操作審計(jì)典型策略要求���,對(duì)風(fēng)險(xiǎn)行為進(jìn)行挖掘和預(yù)警,并在安全事件發(fā)生后���,做到準(zhǔn)確、高效的溯源定責(zé)����。
3、運(yùn)維與管理
對(duì)于電力企業(yè)而言�,應(yīng)在確保不影響正常開(kāi)展運(yùn)維工作的前提下,建立數(shù)據(jù)庫(kù)運(yùn)維操作的審批機(jī)制和技術(shù)措施���。通過(guò)數(shù)據(jù)庫(kù)運(yùn)維管理系統(tǒng)對(duì)所有涉及敏感數(shù)據(jù)的操作進(jìn)行限制���,強(qiáng)化對(duì)數(shù)據(jù)庫(kù)運(yùn)維操作的監(jiān)管力度,及時(shí)阻斷越權(quán)操作行為的發(fā)生�,令運(yùn)維工作實(shí)際操作與計(jì)劃操作保持一致。
為此�,電力企業(yè)應(yīng)對(duì)數(shù)據(jù)運(yùn)維操作的關(guān)鍵動(dòng)作進(jìn)行劃分�,將那些敏感操作梳理出來(lái)并默認(rèn)禁止�����。當(dāng)檢修期間確實(shí)存在數(shù)據(jù)運(yùn)維需求時(shí)�,通過(guò)發(fā)起運(yùn)維審批流程,根據(jù)審批小組的審批意見(jiàn)�,有序、安全的執(zhí)行運(yùn)維操作��。
須知能源無(wú)小事����!電力是攸關(guān)國(guó)家安全、社會(huì)穩(wěn)定與經(jīng)濟(jì)發(fā)展的關(guān)鍵行業(yè)����,電力企業(yè)對(duì)數(shù)據(jù)安全的防護(hù)工作更加不容有失。安華金和深耕電力行業(yè)多年��,能夠?yàn)殡娏ζ髽I(yè)及廣大能源行業(yè)客戶(hù)提供適合的數(shù)據(jù)安全產(chǎn)品與解決方案�����,讓數(shù)據(jù)使用更安全~
產(chǎn)品咨詢(xún):4000 258 365 
