近年来,信息化技术已广泛应用在电网生产运行管理的各环节,能源电力企业利用信息化技术促进经营管理精益高效、提升发展质量和效率,为电力系统正常运行控制、故障快速检测和响应提供了重要技术保障。自“十一五”以来,能源电力企业积极建设企业级信息系统,响应“数字中国”战略。面向“十四五”,能源电力企业重点通过数字化推动电网智能化升级和企业数字化转型,推进全业务、全环节数字化转型,逐步实现“以信息系统建设为核心”向“以数据为核心”转变,支撑电网高效率运行、公司高质量发展、服务高品质供应。
近日,由中关村网络安全与信息化产业联盟数据安全治理专业委会编著的《数据安全治理白皮书5.0—电力数据安全治理实践》(以下简称《白皮书》)正式发布。《白皮书》认为,伴随物联网、大数据等技术的高速发展与普及应用,电力数据的价值和作用日益彰显,诸多安全风险与新的挑战也随之而来。与此同时,国家对网络安全、数据安全的重视程度不断提升,《网络安全法》、《数据安全法》、《个人信息保护法》先后出台,电力行业全面落实数据安全建设与数据安全治理已成大势所趋。
数据时代,数据安全面临极大考验
身处数据化发展浪潮,数据化带来便捷、高效的同时,也带来了安全隐患。如何抵挡住各类网络攻击,保障数据安全,成为需要业内投入大量精力研究的重要课题。《白皮书》提出,数据时代,通过漏洞利用、防护绕过等手段侵入企业或组织的内部网络实现数据窃取或破坏的安全事件仍常有发生,但随着网络安全防护设施的普及和加强,明显增加了侵入内部网络的难度。伴生而来的新的攻击和外部数据安全威胁层出不穷,导致数据的窃取、篡改和非法使用等威胁。数据安全泄露事件逐年上升,对能源行业数据安全带来挑战。
据美国电信巨头Verizon公司发布的《2022年数据泄露调查报告(DBIR)》显示,2021年数据泄露事件数量为5258,相比之前增加了一千余起,截至2022年第二季度,数据泄露事件数量已达5212起。其中,82%的泄露事件涉及人为因素。
据国网福建电力发布的2022年一季度信息运行与网络安全保障报告显示,该公司当年一季度共监测并阻断网络攻击56.05万余次,封禁高危攻击源地址6341个。2022年2月份,国网福建电力拦截互联网攻击21.9万余次,环比增长39.4%,其中拦截境外网络攻击1076次,环比增长265.99%,且网络攻击方式较常态时期变化大,高危攻击占比明显上升。
在“数字新基建”加快发展的背景下,电力大数据业务快速发展,电力企业数据开放程度进一步加大。电力企业数据安全防护需要结合业务场景来落实,在实际执行过程中存在一定难度。近年来,大多数电力企业虽在持续加强信息安全建设,但由于自身网络环境复杂、业务流程特殊、系统结构繁杂等特性,依然面临严峻的安全威胁与挑战。电力数据作为关键生产要素,包括营销、财务、物资、电网生产等海量数据,数量多、客户规模大、覆盖面广,对于电力企业越来越重要,但受制于采集、管理等各方面因素的限制,现阶段能源电力数据的应用场景十分有限。同时,电力企业在其企业内部及跨组织、跨区域之间的数据传输日渐增多,因此需要对数据进行脱敏。然而,部门企业仍存在着人工脱敏的情况,脱敏规则也不一致,从而导致脱敏后的数据质量差。此外,根据国内风险评价机构调研结果显示,部分电力企业的数据库处于直接暴露在互联网中的状态,且使用的数据库版本陈旧,存在着很多安全漏洞,这些漏洞可能成为外部黑客入侵内网的跳板。
思路明确,电力企业稳步推进数据安全治理
面对各种挑战与风险,能源电力企业应对有招,稳步推进数据安全治理工作。《白皮书》列举了国家电网公司、南方电网公司等多家电力央企的典型做法,为更多电力企业提供解决思路和治理经验。
在构建数据安全防护体系方面,国网山东电力为了应对新的安全形势,更好保障电网安全运行,提出了以保障数据安全为核心,采用零信任及纵深防御的安全理念,构建“没有授权进不去,未经许可拿不走、数据泄密赖不掉”的全过程数据安全防护体系的数据安全防护建设目标。构建零信任数据安全访问平台,利用技术手段实现数据访问控制,强化数据访问过程管控。其中包括利用可信应用代理,进行基于用户和终端风险的应用访问控制;利用可信API代理进行基于数据访问风险的接口访问控制,满足数据中台+微应用新形势下的动态可信访问控制要求。
在加强数据分类分级管理方面,南方电网公司重点针对公司数据安全防护工作中的数据分级分类过程,提出相应的分级、分类原则及方法,以帮助公司各级单位进行数据安全的合规分类、自主定级,其结果作为落实数据安全防护的基础依据。基于数据分类分级,规范提出了一、二、三级数据安全保护技术要求,从加密、脱敏、防泄露、标识标签、备份容灾、鉴别授权、记录审计等技术层面进行描述,给出相关技术路线推荐,推荐技术路线为各业务场景提供参考。
在夯实关基网络安全基础方面,2022年,国家电网公司完成了新型电力系统网络安全防护体系设计(征求意见稿),保障新型电力系统数字技术支撑体系安全。实施数据安全专项提升行动,开展“一排查、三提升、一治理”等五个方面重点工作,参照数据安全风险点,组织公司各单位完成数据安全隐患专项排查,进一步夯实数据安全基础,防范重要数据泄露,提升国家电网公司数据安全防护水平。与此同时,国家电网公司完成了多家单位网厂信息交互平台互联网大区迁改工作,减少了对外网络暴露面,支撑并网电厂安全接入,调度网厂交互的安全性、可靠性、稳定性进一步提升。推进4G/5G无线网络承载涉控业务测试验证,助力电网信息化、智能化和自动化技术升级。
加强数据安全应急处置,南方电网公司按照法律法规、政策文件和安全标准的要求,制定数据安全事件应急预案,包括启动条件、处理流程、恢复流程以及事后的教育和培训等。根据南方电网应急规划和规程,按照安全事件的危害程度、影响范围等因素对安全事件进行分级。定期开展模拟网络攻击事件、模拟信息泄露事件等专项应急演练,测试应急预案和处置流程的有效性和可行性,以及相关人员的应急响应能力。
着手四方面,开展数据安全治理和风险防控
当前,能源电力企业数据安全治理与风险防控工作仍处于起步阶段。《白皮书》建议,从健全安全管理机制、推进合规机制建设、提升安全技术服务能力及培养数据安全专家人才4个方面入手,开展数据安全治理和风险防控。
一是健全安全管理机制,担起关键信息基础设施和数据安全保护责任。能源电力企业应建立权责明晰、分工合理、协同高效的数据安全管理组织体系,落实数据采集、传输、存储、处理、交换、销毁等全生命周期保护措施,规范数据分类分级,确定安全职责和权利,推进安全管理制度建设;建立数据外发备案和数据安全应急响应机制,加强数据处理、使用、外发等安全评估,强化评估及责任追究,实现安全管理体系化、规范化和标准化。
二是树立法律红线意识,推进安全合规机制建设。紧跟国家法律法规要求,加强数据安全法律意识宣贯,在数据业务发展中树立法律法规红线意识;深入分析数据安全案例,推进数据安全态势预警与案例分析通报建设;依法依规落实个人信息安全保护要求,合法合规获取、使用个人信息,规范数据采集、处理、交互等环节数据确权机制,实现数据来源合法、处理可控、去向溯源,避免侵犯客户个人隐私或违规获取客户个人信息。
三是提升数据安全技术服务能力,开展标准化统一管理。做好数据安全技术的顶层设计,夯实数据安全基础设施建设,提升数据安全防护水平,严防敏感数据泄露;加快应用数据脱敏、水印溯源、大数据态势感知等技术,探索研究匿名化、数据标签、多方安全计算等应用场景,基于共享服务化的数据安全合规管控机制,形成一体化运作的数据安全防护体系。加强安全服务能力的开放调用、策略统一管理、风险统一研判,提升数据安全监测、攻防验证能力。
四是培养数据安全人才队伍,筑牢安全防线。加强数据安全人才的引进和培养,以数据安全专家为骨干,结合律所合规、产业攻防方面人才,建设数据安全专家队伍,强化数据安全人员履职能力和职业素养。促进数据安全管理部门与业务部门融合,协同推进数据安全相关工作,强化数据安全责任落实,培养既懂业务又懂安全的专业人才。加强公司各单位数据安全人才队伍交流合作,建立常态沟通协作机制,形成数据安全专业人才培养、技术创新、产业发展的良好生态。