新型電力系統(tǒng)數(shù)據(jù)安全防護(hù)實(shí)踐探索

新型電力系統(tǒng)數(shù)據(jù)安全防護(hù)實(shí)踐探索二〇二二年八月ONTENTSC目

錄1形勢(shì)與挑戰(zhàn)2數(shù)據(jù)安全防護(hù)目標(biāo)3數(shù)據(jù)安全防護(hù)體系探索形勢(shì)與挑戰(zhàn)國(guó)內(nèi)、外深刻認(rèn)識(shí)到數(shù)據(jù)安全的重要性，美國(guó)、歐盟等相繼出臺(tái)系列數(shù)據(jù)安全政策法規(guī)。我國(guó)數(shù)據(jù)安全法已正式發(fā)布，個(gè)人信息保護(hù)法也已發(fā)布草案審議稿，數(shù)據(jù)安全及個(gè)人信息保護(hù)法治進(jìn)程進(jìn)入快車道。形勢(shì)與挑戰(zhàn)6月20日，M78安全團(tuán)隊(duì)公布了超星學(xué)習(xí)通數(shù)據(jù)庫(kù)被非法渠道售賣，涉及1億7273條數(shù)據(jù)。形勢(shì)與挑戰(zhàn)6月27日凌晨，騰訊QQ大型社死現(xiàn)場(chǎng)。形勢(shì)與挑戰(zhàn)6月30日，上海某朵云泄露23T數(shù)據(jù)，售賣10BTC。形勢(shì)與挑戰(zhàn)7月10日，萬(wàn)豪國(guó)際泄露20G數(shù)據(jù)。形勢(shì)與挑戰(zhàn)2022年，全球網(wǎng)絡(luò)安全威脅態(tài)勢(shì)進(jìn)入高度不確定的“黑天鵝時(shí)代”，企業(yè)數(shù)據(jù)安全和風(fēng)險(xiǎn)管理面臨前所未有的挑戰(zhàn)：數(shù)據(jù)安全和隱私保護(hù)的合規(guī)難度和成本不斷加大地緣戰(zhàn)爭(zhēng)引發(fā)的網(wǎng)絡(luò)戰(zhàn)升級(jí)漏洞披露數(shù)量和利用速度屢創(chuàng)新高供應(yīng)鏈和關(guān)鍵基礎(chǔ)設(shè)施攻擊進(jìn)入“熱戰(zhàn)”疫情期間遠(yuǎn)程辦公和數(shù)字化轉(zhuǎn)型攻擊面擴(kuò)大勒索軟件和網(wǎng)絡(luò)釣魚(yú)活躍度和復(fù)雜性不斷提升面臨挑戰(zhàn)網(wǎng)絡(luò)犯罪門檻降低環(huán)境、社會(huì)和治理(ESG)

給數(shù)據(jù)安全帶來(lái)的新挑戰(zhàn)。12345678數(shù)據(jù)安全作為網(wǎng)絡(luò)安全防御體系的核心任務(wù)，目前正處在高速發(fā)展的初期，企業(yè)數(shù)據(jù)安全能力建設(shè)過(guò)程中，政策監(jiān)管和市場(chǎng)宣傳經(jīng)常蓋過(guò)了企業(yè)用戶的真實(shí)聲音。而企業(yè)作為數(shù)據(jù)安全技術(shù)和策略的實(shí)施主體，其數(shù)據(jù)安全現(xiàn)狀、痛點(diǎn)、需求、經(jīng)驗(yàn)的能見(jiàn)度偏低，行業(yè)內(nèi)及跨行業(yè)知識(shí)和經(jīng)驗(yàn)分享與交流不暢，這并不利于數(shù)據(jù)安全市場(chǎng)的健康發(fā)展。形勢(shì)與挑戰(zhàn)25%25%14%13%7%6%3%3%3%2%0%5%10%15%20%25%30%數(shù)據(jù)安全威脅71%58%56%56%52%52%50%41%41%41%3%0%20%10%40%30%50%60%70%80%數(shù)據(jù)安全痛點(diǎn)內(nèi)部威脅(25%)和勒索軟件(25%)是數(shù)據(jù)安全TOP2威脅，人員錯(cuò)誤／遠(yuǎn)程辦公/BYOD“

(第三名），疫情的反復(fù)和遠(yuǎn)程辦公與BYOD

導(dǎo)致的攻擊面擴(kuò)大，進(jìn)—步增加了人員（端點(diǎn)）相關(guān)風(fēng)險(xiǎn)。人員安全意識(shí)”是數(shù)據(jù)安全的主要痛點(diǎn)，企業(yè)安全團(tuán)隊(duì)面臨的更大挑戰(zhàn)是提升企業(yè)全體員工的安全素養(yǎng)，“特權(quán)賬號(hào)”和“內(nèi)部威脅”這兩個(gè)排名前三的痛點(diǎn)也都與人員意識(shí)和“人的因素”有關(guān)。形勢(shì)與挑戰(zhàn)國(guó)網(wǎng)公司服務(wù)4.6億電力客戶，與電力、金融等行業(yè)存在廣泛的數(shù)據(jù)交互。隨著新型電力系統(tǒng)建設(shè)的發(fā)展，與政務(wù)、交通、石油、燃?xì)獾冉换ジ宇l繁，數(shù)據(jù)共享流動(dòng)需求大幅增加，數(shù)據(jù)安全保障能力成為推動(dòng)新型電力系統(tǒng)建設(shè)的重要支撐。形勢(shì)與挑戰(zhàn)傳統(tǒng)網(wǎng)絡(luò)隔離、數(shù)據(jù)加密等措施難以適應(yīng)“開(kāi)放共享”環(huán)境下的數(shù)據(jù)保護(hù)面臨問(wèn)題場(chǎng)景太多，碎片化措施如何應(yīng)用？數(shù)據(jù)安全管理和技術(shù)措施脫節(jié)怎么辦？誰(shuí)在使用數(shù)據(jù)，是否合規(guī)？敏感數(shù)據(jù)在哪，分類分級(jí)怎么做？ONTENTSC目

錄1形勢(shì)與挑戰(zhàn)2數(shù)據(jù)安全防護(hù)目標(biāo)3數(shù)據(jù)安全防護(hù)體系探索數(shù)據(jù)安全防護(hù)目標(biāo)合法合規(guī)可知分類分級(jí)可識(shí)使用流程可控?cái)?shù)據(jù)風(fēng)險(xiǎn)可察管控提升可見(jiàn)關(guān)鍵需求目標(biāo)可知-可識(shí)-可控-可察-可見(jiàn)識(shí)別分布明確保護(hù)提升合規(guī)加強(qiáng)意識(shí)安全使用減少違規(guī)洞察風(fēng)險(xiǎn)稽核監(jiān)控明確職責(zé)治理落地遵循數(shù)據(jù)安全原則，以數(shù)據(jù)安全分級(jí)為基礎(chǔ)，建立覆蓋數(shù)據(jù)生命周期全過(guò)程的安全防護(hù)體系，并通過(guò)建立健全數(shù)據(jù)安全組織架構(gòu)和明確信息系統(tǒng)運(yùn)維環(huán)節(jié)中的數(shù)據(jù)安全需求，全面加強(qiáng)電力行業(yè)數(shù)據(jù)安全保護(hù)能力。數(shù)據(jù)安全防護(hù)目標(biāo)當(dāng)前國(guó)網(wǎng)公司建立了“三道防線”，通過(guò)采用分區(qū)分域、數(shù)據(jù)加密等措施，保障公司重要數(shù)據(jù)安全，隨著新型電力系統(tǒng)建設(shè)發(fā)展，數(shù)據(jù)環(huán)境更加開(kāi)放、數(shù)據(jù)流動(dòng)更加頻繁、交互對(duì)象更加復(fù)雜，主要采取以隔離為主的數(shù)據(jù)安全防護(hù)措施，嚴(yán)格限制各級(jí)數(shù)據(jù)在相關(guān)區(qū)域存儲(chǔ)時(shí)間。安全區(qū)I安全區(qū)II二級(jí)域三級(jí)域二級(jí)域三級(jí)域生產(chǎn)控制大區(qū)管理信息大區(qū)互聯(lián)網(wǎng)大區(qū)第三道防線第二道防線第一道防線電力專用橫向單向安全隔離裝置信息網(wǎng)絡(luò)安全隔離裝置防火墻配變終端專變終端計(jì)量現(xiàn)場(chǎng)作業(yè)終端營(yíng)銷移動(dòng)作業(yè)終端智能電表集中器采集器充電樁自動(dòng)交費(fèi)POS機(jī)電力自主繳費(fèi)終端……水氣熱 智能電表車載終端充電樁……移動(dòng)應(yīng)用社會(huì)大眾用電單位……ONTENTSC目

錄1形勢(shì)與挑戰(zhàn)2數(shù)據(jù)安全防護(hù)目標(biāo)3數(shù)據(jù)安全防護(hù)體系探索數(shù)據(jù)安全防護(hù)體系探索1.確定組織架構(gòu)2.數(shù)據(jù)分類分級(jí)3.制定數(shù)據(jù)安全策略4.管控使用與監(jiān)控稽核建立數(shù)據(jù)安全技術(shù)架構(gòu)建設(shè)數(shù)據(jù)安全組件持續(xù)監(jiān)測(cè)評(píng)估安全審計(jì)監(jiān)督整改建立治理團(tuán)隊(duì)分配管理職責(zé)制定原則數(shù)據(jù)分類數(shù)據(jù)定級(jí)基本權(quán)限劃分限定使用場(chǎng)景制定安全策略和措施在數(shù)據(jù)安全戰(zhàn)略的指導(dǎo)下，為確保數(shù)據(jù)處于有效保護(hù)和合法利用的狀態(tài)，多個(gè)部門需協(xié)作實(shí)施一系列活動(dòng)，包括建立數(shù)據(jù)安全治理團(tuán)隊(duì)，制定數(shù)據(jù)安全相關(guān)制度規(guī)范，構(gòu)建數(shù)據(jù)安全技術(shù)體系，建設(shè)數(shù)據(jù)安全人才梯隊(duì)等。數(shù)據(jù)安全防護(hù)體系探索數(shù)據(jù)治理委員會(huì)決策層管理層執(zhí)行層X(jué)X中心XX中心分公司XX公司數(shù)據(jù)安全管理小組總部直屬中心子公司X XX X子 子公 公司 司監(jiān)督層審計(jì)部總部確定組織架構(gòu)：建立由決策層、管理層、執(zhí)行層、監(jiān)督層組成的數(shù)據(jù)安全管理組織架構(gòu)。由數(shù)據(jù)治理委員會(huì)擔(dān)任公司數(shù)據(jù)安全管理工作的最高領(lǐng)導(dǎo)機(jī)構(gòu)。數(shù)據(jù)安全工作實(shí)行統(tǒng)一領(lǐng)導(dǎo)下的分級(jí)管理、逐級(jí)負(fù)責(zé)制。數(shù)據(jù)安全防護(hù)體系探索數(shù)據(jù)分類分級(jí)：根據(jù)法律法規(guī)以及業(yè)務(wù)需求，明確企業(yè)內(nèi)部的數(shù)據(jù)分類級(jí)原則及方法，并對(duì)數(shù)據(jù)進(jìn)行標(biāo)識(shí)以實(shí)現(xiàn)差異化的數(shù)據(jù)安全管理。數(shù)據(jù)安全防護(hù)體系探索數(shù)據(jù)分級(jí)保護(hù)策略：通過(guò)制定不同等級(jí)數(shù)據(jù)的安全保護(hù)策略，針對(duì)不同安全級(jí)別數(shù)據(jù)建立相應(yīng)的訪問(wèn)控制、傳輸加密、數(shù)據(jù)脫敏、數(shù)據(jù)導(dǎo)出等安全管理和控制措施，實(shí)現(xiàn)數(shù)據(jù)安全保護(hù)精細(xì)化管理，充分保障不同安全級(jí)別的數(shù)據(jù)對(duì)保密性、完整性、可用性的需求。數(shù)據(jù)安全防護(hù)體系探索數(shù)據(jù)安全管理制度建立管理框架，優(yōu)化管控流程，落實(shí)管控策略數(shù)據(jù)安全管理辦法與細(xì)則數(shù)據(jù)訪問(wèn)基本權(quán)限數(shù)據(jù)安全管理辦法數(shù)據(jù)安全職責(zé)矩陣劃分權(quán)限厘清職責(zé)高階策略生命周期安全管理制定職責(zé)事項(xiàng)確定職責(zé)邊界數(shù)據(jù)安全控制基線業(yè)務(wù)數(shù)據(jù)使用規(guī)則生產(chǎn)數(shù)據(jù)提取要求確定控制領(lǐng)域制定控制手段和周期梳理提數(shù)渠道確定使用安全要求優(yōu)化審批流程程全安確定提取過(guò)規(guī)則制定數(shù)據(jù)安全策略：數(shù)據(jù)安全相關(guān)制度流程從業(yè)務(wù)需求、風(fēng)險(xiǎn)控制需要，以及法律規(guī)合性要求等幾個(gè)方面進(jìn)行梳理，完善數(shù)據(jù)安全管理體系，建立數(shù)據(jù)全流程管控機(jī)制。明確關(guān)系人與數(shù)據(jù)使用權(quán)限管理控制策略技術(shù)控制策略生命周期安全管理基本要求根據(jù)公司內(nèi)外關(guān)系人的劃分及安全管理職責(zé)，制定數(shù)據(jù)資產(chǎn)訪問(wèn)控制表，明確各關(guān)系人對(duì)不同等級(jí)數(shù)據(jù)資產(chǎn)的訪問(wèn)權(quán)限。通過(guò)建立制度、流程等保障機(jī)制，從管理層面對(duì)數(shù)據(jù)資產(chǎn)安全進(jìn)行控制。對(duì)不同安全登記的數(shù)據(jù)資產(chǎn)，實(shí)施不同的安全控制策略運(yùn)用技術(shù)手段對(duì)數(shù)據(jù)資產(chǎn)進(jìn)行安全監(jiān)控。如建立數(shù)據(jù)傳輸、處理、存儲(chǔ)過(guò)程中的數(shù)據(jù)加密技術(shù)，建立有效的用戶身份認(rèn)證和訪問(wèn)控制的流程，定期審查或?qū)崟r(shí)監(jiān)控系統(tǒng)和數(shù)據(jù)訪問(wèn)日志機(jī)制等。根據(jù)管理和技術(shù)安全控制策略，對(duì)數(shù)據(jù)資產(chǎn)在其生命周期各個(gè)階段的運(yùn)作流程，提出基本的安全管理要求。數(shù)據(jù)安全防護(hù)體系探索數(shù)據(jù)安全管控?cái)?shù)據(jù)安全能力檢測(cè)策略管控策略發(fā)現(xiàn)/分類分級(jí)規(guī)則敏感數(shù)據(jù)發(fā)現(xiàn)規(guī)則分類分級(jí)規(guī)則敏感數(shù)據(jù)掃描策略對(duì)外接口監(jiān)控策略防護(hù)策略數(shù)據(jù)水印策略數(shù)據(jù)DLP策略數(shù)據(jù)脫敏策略數(shù)據(jù)審計(jì)策略安全服務(wù)平臺(tái)數(shù)據(jù)管控能力數(shù)字水印數(shù)據(jù)庫(kù)審計(jì)DLPAPI接口監(jiān)控系統(tǒng)管理賬號(hào)/權(quán)限/認(rèn)證運(yùn)行監(jiān)測(cè)系統(tǒng)配置/備份API接口策略數(shù)據(jù)加密策略專項(xiàng)場(chǎng)景分析安全接口數(shù)據(jù)泄露風(fēng)險(xiǎn)分析數(shù)據(jù)安全一鍵處置數(shù)據(jù)自動(dòng)發(fā)現(xiàn)能力與分類分級(jí)敏感數(shù)據(jù)發(fā)現(xiàn)探針

敏感數(shù)據(jù)流轉(zhuǎn)監(jiān)控探針文件系統(tǒng)/數(shù)據(jù)庫(kù)系統(tǒng)/大數(shù)據(jù)系統(tǒng)/網(wǎng)絡(luò)流量/應(yīng)用前端/應(yīng)用API接口/數(shù)據(jù)中臺(tái)/…模糊化動(dòng)態(tài)脫敏。。。靜態(tài)脫敏數(shù)據(jù)加密安全銷毀數(shù)據(jù)分類分級(jí)標(biāo)準(zhǔn)法律法規(guī)要求主管/監(jiān)管要求集團(tuán)監(jiān)管要求企業(yè)管理要求數(shù)據(jù)消費(fèi)違規(guī)分析數(shù)據(jù)安全態(tài)勢(shì)大屏敏感數(shù)據(jù)分布態(tài)勢(shì)數(shù)據(jù)安全合規(guī)評(píng)估數(shù)據(jù)安全現(xiàn)狀評(píng)估數(shù)據(jù)安全風(fēng)險(xiǎn)展示重大涉敏數(shù)據(jù)資產(chǎn)訪問(wèn)路徑呈現(xiàn)生命周期管控?cái)?shù)據(jù)傳輸數(shù)據(jù)交換數(shù)據(jù)采集數(shù)據(jù)處理數(shù)據(jù)存儲(chǔ)數(shù)據(jù)銷毀敏感數(shù)據(jù)訪問(wèn)與消費(fèi)建模模型定義模型學(xué)習(xí)模型調(diào)整規(guī)則/關(guān)聯(lián)/統(tǒng)計(jì)/AI建模、機(jī)器學(xué)習(xí)數(shù)據(jù)安全管控效果數(shù)據(jù)安全處置跟蹤數(shù)據(jù)安全應(yīng)急響應(yīng)數(shù)據(jù)安全告警與預(yù)警統(tǒng)一身份認(rèn)證接口資產(chǎn)安全管理接口運(yùn)維支撐接口OA對(duì)接接口分子公司對(duì)接接口能力開(kāi)放與數(shù)據(jù)運(yùn)營(yíng)安全能力開(kāi)放

安全數(shù)據(jù)共享安全規(guī)則輸出數(shù)據(jù)地圖違規(guī)阻斷數(shù)據(jù)泄露場(chǎng)景數(shù)據(jù)審計(jì)場(chǎng)景數(shù)據(jù)生命周期場(chǎng)景安全事件追溯場(chǎng)景安全孿生場(chǎng)景數(shù)據(jù)安全防護(hù)體系探索制定分類分級(jí)規(guī)范明確數(shù)據(jù)對(duì)象敏感數(shù)據(jù)發(fā)現(xiàn)構(gòu)建數(shù)據(jù)目錄數(shù)據(jù)對(duì)象發(fā)現(xiàn)敏感數(shù)據(jù)構(gòu)建數(shù)據(jù)目錄識(shí)別安全風(fēng)險(xiǎn)位置信息標(biāo)簽信息數(shù)據(jù)流轉(zhuǎn)下發(fā)管控策略輸出檢查報(bào)告數(shù)據(jù)庫(kù)審計(jì)數(shù)據(jù)脫敏水印溯源數(shù)據(jù)分類分級(jí)分類規(guī)范分級(jí)規(guī)范管控原則數(shù)據(jù)庫(kù)文件源文件服務(wù)器未脫敏數(shù)據(jù)未加密數(shù)據(jù)日志敏感信息數(shù)據(jù)安全風(fēng)險(xiǎn)周期性對(duì)比5W1H

? 敏感類型發(fā)現(xiàn)規(guī)則敏感數(shù)據(jù)發(fā)現(xiàn)：全面、快速、準(zhǔn)確發(fā)現(xiàn)和定位敏感數(shù)據(jù)，構(gòu)建持續(xù)更新的企業(yè)敏感數(shù)據(jù)分類分級(jí)目錄。結(jié)合敏感數(shù)據(jù)目錄識(shí)別和量化數(shù)據(jù)安全風(fēng)險(xiǎn)，驅(qū)動(dòng)數(shù)據(jù)安全策略的落地，為數(shù)據(jù)安全工作推進(jìn)提供抓手。數(shù)據(jù)安全防護(hù)體系探索水印溯源：通過(guò)優(yōu)化數(shù)據(jù)對(duì)外分發(fā)流程，管控?cái)?shù)據(jù)外發(fā)行為。通過(guò)事前敏感數(shù)據(jù)發(fā)現(xiàn)、添加數(shù)據(jù)標(biāo)記、自動(dòng)生成水印、外發(fā)行為審計(jì)、數(shù)據(jù)源追溯等功能，避免數(shù)據(jù)濫用導(dǎo)致時(shí)間無(wú)法追溯的問(wèn)題，提高數(shù)據(jù)傳遞的安全性和可追溯能力。數(shù)據(jù)安全防護(hù)體系探索c)

結(jié)合實(shí)時(shí)安全漏洞資訊、錯(cuò)報(bào)等信息對(duì)態(tài)勢(shì)感知平臺(tái)的底層規(guī)則進(jìn)行及時(shí)更新。b)

對(duì)數(shù)據(jù)接口、數(shù)據(jù)系統(tǒng)、數(shù)據(jù)設(shè)備等進(jìn)行畫(huà)像，通過(guò)算法模型檢測(cè)內(nèi)部潛在的安全風(fēng)險(xiǎn)和威脅，并進(jìn)行可視化展示各類風(fēng)險(xiǎn)和數(shù)據(jù)流動(dòng)態(tài)勢(shì)。a)

在內(nèi)部各個(gè)關(guān)鍵節(jié)點(diǎn)，通過(guò)安全設(shè)備、探針等檢測(cè)相關(guān)信息，包括但不限于設(shè)備指紋