当经济社会数字化转型成为大势所趋,数据要素价值释放成为当下的重要命题,各单位打通数据孤岛成为首要任务,连接产业链中的各个节点,将数据价值转换为实实在在的经济价值。
与此同时, 新一代信息技术的创新应用进一步增加数据处理流程的开放性和不确定性,数据在使用和流通过程中被泄漏、被篡改、被勒索等安全风险进一步集中和放大,相关治理工作正经历从理念研究迈向落地实施的关键时期,亟需构建核心技术体系和安全综合保障体系。
本文主要就电力大数据的安全应用问题进行探讨,基于其数据的时效性强,数据链路长,数据类型多等特点,实现在保障电力大数据安全的前提下,仍充分发挥电力大数据的经济价值。
01数据合规现状与需求
近年来,针对大数据的攻击和数据泄露日益严重,国家相继出台了一系列数据安全法规,用以明确与规范大数据安全工作的相关要求[1],而这些潜在的数据威胁在电网相关行业中表现得更为明显[2]。
4月2日,国家能源局、科学技术部发布关于印发《“十四五”能源领域科技创新规划》的通知。强调在新型电力系统及其支撑技术方面的重点任务。提出加快战略性、前瞻性电网核心技术攻关,并健全能源科技创新协同机制。
如何安全深入挖掘电力大数据的应用潜力,成为目前电网企业应对经济下行,提质增效的重要手段[3]。
真实性高,时序性强,数据量大
电力系统在其数据采集、传输、存储、处理、使用等全流程过程中持续生产着海量的数据,由于其真实性高,时序性强,数据量大的独特优势,数据采集时的身份验证,传输时的数据加密,存储时的权限管理,处理时的安全外包,使用时的安全应用和校验,都是电力大数据中不可或缺的安全机制。同时,在部分智能电网的数据中可能涉及到用户的身份信息、实时数据等隐私内容,如果不加以控制,且企业有采用第三方服务进行外包数据处理,极易造成用户隐私数据的泄漏。
关乎人民生活和国家安全
另一方面,在电网数字化转型不断推进的当下,电力数据中积累了大量敏感数据,除身份证号、住址等常见的用户敏感数据外,还可能涉及政府、军工企业、科研院所等敏感地点的用电分布。通过分析,可以感知到一些敏感区域与机构的工作开展情况。因此,在遵循法律要求,保证电力信息系统中客户的数据和资料保密的前提下[4],需要重点做好电力大数据的安全防护,从根本上控制电力企业信息安全控制问题[5],并亟需解决以电力大数据为代表,数据在超算平台计算环境、第三方平台计算环境等数据外包应用过程中的隐私保护问题。
02安全应用现状分析
国内外对于电力大数据的安全应用仍然处于应用探索阶段,我们就目前国内外针对电力相关数据的隐私化处理技术以及隐私数据的安全应用技术进行分析与对比。
我们从电力大数据中最基础的信息安全保护措施——身份认证谈起,提高电力大数据资产管理安全,防止非法用户对电力大数据进行访问,使用,修改和删除等操作[6]。
身份认证技术是密码学研究的一项重要内容,可以有效保证信息安全,在信息系统中有着极其重要的地位[7]。目前主要的身份认证体系由以下三点构成:
(1) 基于信息秘密的身份认证: 根据用户所知道的信息来证明用户的身份,属于传统的身份认证方式。比如用户设定的用户名、密码,或是安全问题的答案。
(2) 基于信任物体的身份认证: 根据用户所拥有的东西来证明用户的身份。比如校园的一证通、银行的U盾等。
(3) 基于生物特征的身份认证: 根据用户的生物特征值来证明用户的身份。比如声纹的Voice ID、指纹解锁、人脸识别等。
传统的身份认证对应的身份认证体系认证要素单一,往往只是依赖于以上三个基础体系当中的一个或多个,不能在现如今复杂的网络环境中保证身份信息的真实有效。用户可以通过伪造的方法通过身份认证,从而对系统进行非法操作或访问,同时传统的身份认证方式不能支持复杂多变的认证需求,具有很大的提升空间。
B安 全 外 包 计 算
在电力大数据场景中,数据一般需要提供给一个强大的计算服务提供方进行计算,但是如果直接将明文数据传输给计算服务提供方,就会造成敏感信息的泄漏,而外包计算允许计算资源受限的数据拥有者将计算开销较大的本地运算外包给云服务器完成,同时保证敏感数据的安全性。
如下图中的传统安全外包计算框架,我们可以看作是一个1v1模型,即一个数据拥有方和计算服务提供方进行交互后根据计算协议完成运算,但该传统框架受限于特定场景,扩展性较差。
因此,在数据拥有者扩展成多个数据源集合时,传统外包计算中单用户框架无法满足当前其多样的场景需求。
另一方面,在云计算技术飞速发展的当下,云上大数据面临的安全问题日益凸显,并在工业界和学术界引起广泛关注[8]。因此,本文提出新型安全外包计算框架,当多用户场景满足以下条件时,实现数据提供方的数据隐私可以得到保护,与此同时可以借助计算服务提供方强大的计算资源完成计算,运算结果的需求方也可以得到最终的计算结果,以发挥最大效益。
1. 多个参与方参与运算;
2. 数据提供方的计算资源受限;
3. 计算服务提供方、数据提供方和需求方相互独立。
03新型安全外包计算框架
新型的安全外包计算框架的目的是实现电力大数据能够安全流通,并提供数据提供方安全外包计算的途径,从而构建一个可靠的电力数据全流程安全应用环境。
框架内包括一套身份认证服务与高效的密态数据安全应用平台。通过对数据外包计算平台的操作人员进行访问控制,并在内部留存操作记录,从而保证系统操作者的身份真实有效。在确认操作者身份之后,外包计算平台才被允许向计算中心发起数据计算请求。
A多 方 协 作 的 认 证 机 制
为了实现电力大数据密态安全应用中的身份认证,将主要从以下几方面进行研究:
(1) 多因素身份认证:同时整合多种认证要素,提高认证结果的可信程度,解决虚假登录和机器流量的问题;
(2) 多模式身份认证:用户登录过程中无需输入账户名与密码,简化登录流程;
(3) 基于零知识证明的身份认证:实现匿名化身份认证,防止攻击者对高权限账户的精准攻击。
▲ 图| 来源:Acxiom
因此,整个多方协作的身份认证机制将通过基于一种匿名化认证技术,该匿名化认证技术首先认证访问者的生物特征或动态密码,之后认证访问者的操作设备,确保是合法的访问者在授权的设备上发起操作。
在实际的认证过程中,将用户生物信息、设备指纹、网络环境信息等一起打包进认证机制中,从而保证常用设备在可信的网络环境中运行。并支持手机端动态密码、扫描二维码等多种认证模式,简化认证流程,有效减少用户侧可能的密码暴露渠道。
B密 态 安 全 应 用
在电网数据的运营过程中,解决电力大数据在第三方平台计算及应用过程中可能存在隐私泄漏等问题,实现在超算平台下基于全同态加密技术的电网大数据安全运算机制,电网敏感数据的安全分析方法。
用户可以在隐私计算应用服务平台上配置计算需求,自定义需要使用加密技术进行保护的敏感字段,通过高性能同态加密技术对用户配置的字段进行加密,再将密文数据发送至计算中心。另一方面,提供计算中心以密文分析能力,实现在“数据不可见”的情况下对其完成分析计算。通过计算中心与电网的双方操作人员进行身份认证,生成会话密钥,以此实现计算结果的加密传输。
同时,该服务系统附加隐私策略配置与可视化页面操作等功能,提升系统的可用性和灵活性,降低系统对接与使用难度,简化非技术人员使用电力数据实现密文数据的外包安全计算与应用。
04多源融合安全应用体系
本篇中提出的多源融合安全应用体系,能够实现数据在加密状态下的运算,保障数据在使用过程中的安全,用户在数据上云之前,使用密态外包计算技术对数据进行加密处理,在云上使用加密过后的数据开展业务。基于这一特点,通过使用该技术,配合访问控制措施,就能实现数据全生命周期的安全防护。能够大大加强云上数据的安全性,并对部分流行的传统数据保护方法起到替代作用。
通过对数据源提供高性能密态运算能力的支撑,数据需求方能够实现在”可用不可见“的数据金矿上进行数据分析、推动数据汇聚、释放数据价值。在保障数据原始内容不外泄的情况下,完成数据价值的充分挖掘,构建电力数据的有效安全保障体系。
同时,可以实现电力企业的运营成本的降本增效,在保护电力大数据隐私安全的前提下,实现电力大数据经济效益的充分发挥,与社会生产力、社会资源的大幅提升,因此具有广泛的应用前景。(文章来源:同态科技)
参考文献
[1]. 朱洪斌,安龙,杨铭辰. 电力大数据安全治理体系[C]. 生态互联 数字电力——2019电力行业信息化年会论文集.,2019:424-425.
[2]. 刘珊,杨华,岳克明.大数据在电力信息安全的研究[J].山西电力,2018(04):45-47.
[3] 袁哲.电力大数据应用综述[J].电工技术,2021(11):189-191+195.
[4]. 王东斌,王占国,薛闯.大数据背景下电力信息系统安全地研究[J].信息记录材料,2021,22(06):134-136.
[5]. 李丽华.大数据在电力信息安全中的实施对策[J].科技风,2021(02):195-196.
[6]. 梁霄,梁明. 基于身份认证的电力大数据安全技术研究[C]//2018智能电网新技术发展与应用研讨会论文集, 2018:26-278.
[7] 张引兵,刘楠楠,张力.身份认证技术综述[J].电脑知识与技术,2011,7(09):2014-2016.褚健.解读《工业控制系统信息安全行动计划(2018-2020)》. 自动化博览 [J], 2018, 35(7): 54-55.
[8]. 张玉清,王晓菲,刘雪峰,刘玲.云计算环境安全综述[J].软件学报,2016,27(06):1328-1348