电力行业数据安全解决方案

Financial talent

已于 2022-05-20 15:11:58 修改

阅读量1w

点赞数 3

分类专栏：数据安全文章标签：安全网络安全大数据云计算系统安全

于 2022-04-04 12:53:43 首次发布

本文链接：https://blog.csdn.net/weixin_52069830/article/details/123951511

版权

数据安全专栏收录该内容

26 篇文章 35 订阅

订阅专栏

1、电力行业现状

电力数据包括营销、电网、物资、财务等数据，呈现数据量多、用户规模大、数据采集点多、数据类型更多等特点。数据的使用方式和使用者更加广泛，那么在给电力生产、营销带来便利的同时，也给电网数据安全带来以下风险：

1.1数据存在泄露风险

电力行业目前安全建设已经日渐完善，但在输电、变电、配电、用电、卖电五大场景每个环节、每个瞬间都在产生海量的数据，这些数据均可极大促进电网智能感知、内部管控能力以及用户服务效率提升，但如果数据提供者对数据的采集、传输、存储、处理、使用过程中无法实施有效的控制，那么可能造成海量敏感数据泄露。

1.2容易成为网络攻击目标

电力作为国家关键基础设施。通过攻击获取电力信息系统获取数据价值信息，可以分析出攻击目标所在地的用电分布、关键信息基础设施的位置，篡改关键节点监测预警信息、操作指令等关键数据，造成电力系统故障或重大安全事故。

1.3新技术的应用带来新的数据安全风险

目前电力行业的信息化建设采用更多新技术，对数据安全的风险和漏洞防护要求更高。例如在数据中台建设过程中，数据量大、且存在广泛的交换和共享，需要加强对外接口的管控和对电力敏感数据资产的防护。

面对上述问题，应健全安全防护能力，电力数据的防护重点应从数据采集与传输、存储、使用等数据全生命周期开展安全保护工作。转移数据防护重心，由“基础防护”向“精准防护”合理转变，解决价值数据交换共享和数据挖掘的安全问题。

2、解决方案

电力数据安全防护建立应在安全监督的制度流程建设上，业务部门落实数据分类分级、资产管理制度，通过构建数据安全管控能力，促成业务数据更广泛的交换共享。

为提升电力行业自动化与智能化数据安全管控能力，数据安全建设可以采用数据安全平台（DSP）产品，以数据安全综合治理平台为旗舰，联动数据库审计、数据库防火墙、数据脱敏、数据资产梳理系统、数据分类分级、数据防泄露等全栈线能力单元。数据安全管理工作遵循“责任明确、授权合理、流程规范、技管结合”的工作方针。按照“谁主管谁负责、谁运营谁负责、谁使用谁负责、谁接入谁负责”的原则，明确责任分工，确保责任到位。

从业务部门资产摸底开始，完善安全监督管控流程管理，补齐管控能力短板，实现数据安全可视化，并建立安全溯源机制和技术工具，整体解决方案为电力行业客户建立数据安全风险管理体系，构建数据全生命周期防护能力。

2.1自动识别敏感数据

依托自动化扫描工具完成电力数据中台敏感数据分级分类，标识各类电力敏感数据的位置和数据类型，以敏感等级的各维度展示敏感数据的资产分布图，解决了敏感数据资产无管理无管控的风险。

2.2接口访问行为监测

基于流量日志采集，完整记录接口访问轨迹及内容，实现接口资产分级分类，细化接口资产管理。采用大数据算法+人工机器学习结合自动建模，建立基于接口自动阀值调整预警模型。根据预警模型策略对接口访问行为进行实时监测，并对告警处置闭环，实现了数据中台对外接口的事中管控、事后审计。

2.3异常行为监控

运用AI审计应用技术，开展基于用户异常行为的大数据分析，对行为人的日常行为进行动态的学习和建模，并进行分析与画像，建立行为人的日常行为基线，结合实时数据分析行为人行为规律偏差情况，及时发现数据安全问题及存在的风险隐患。

2.4数据防泄漏能力

通过旁路镜像流量的方式，对进出网络的流量进行敏感数据识别及分析，可视化展现网络流量中关键数据或电力敏感数据的使用情况及行为分析，通过可视化界面展现服务器/数据库数据发现情况、数据分布情况、用户行为意图分析及预测、用户风险行为报告等，

常见风险场景：频繁打开大量敏感数据；突然下载共享服务器大量数据；加密或压缩文件数量激增；短时间内删除大量数据或日志；大量数据出现位置移动；终端短时间积聚大量数据。

2.5数据泄露追溯能力

建立电力数据中台数据资产的继承关系模型，构建数据资产关联分析能力，实现由点到面快速定位数据关系网，提升敏感数据泄露快速追溯能力，满足《数据安全能力成熟度模型》数据交换安全要求及数据血缘管理要求。

2.6数据采集加密能力

基于国密算法，对敏感数据进行加解密处理，提升了敏感数据在存储环节的安全性。通过采集加密功能，以密钥授权方式，实现数据加工、计算和汇聚环节的数据加解密能力，加强了敏感数据在使用环节的安全性。将数据采集加密能力saas化，业务系统调用接口实现数据采集加密，数据中台采集加密功能已在对外合作业务方面进行推广，解决了敏感数据存在泄漏的风险。

2.7数据中台脱敏能力

建立脱敏策略统一配置和管控中心，基于电力数据中台与主要业务领域，以国家数据安全要求以及电力行业数据安全规范等为指导，开展数据中台上业务数据静态脱敏策略、动态脱敏策略设计。实现对各类型各场景下的脱敏策略配置。在业务系统间接口调用或数据流转时，在接收到数据访问请求后可通过动态脱敏代理转换，执行实际调用并返回脱敏后的数据，确保数据安全。

3、方案优势

基于先进的智能数据安全平台，通过大数据采集分析、可视化展示、智能决策、软件编排，以及率先与大数据全面支撑能力，实现了监测、预警、防御、应急、处置和治理为一体的数据安全运营中心，全方位感知电网数据安全态势，覆盖业务平台及子系统等关键基础设施，为电网业务发展保驾护航。

在敏感数据发现并分类分级的基础上，遵循最小权限和动态授权原则，在数据全生命周期各个阶段建立资产梳理、风险评估、数据访问控制、数据水印、数据脱敏、认证授权、数据操作审计等措施，实现数据可见、可控、可管，为业务的稳定、可靠运行保驾护航。

写在最后的话：阿里数据中台自身有安全防护组件，组织机构在数据安全建设过程中要结合业务场景和实际需求分析是否需要新增外部安全设备，避免重复建设以及不必要的外部接入。数据中台可以通过数据保护伞组件保护中台内部Dataworks和Maxcompute（或华为数据中台DWS和HIVE、GuassDB）中的数据，提供数据资源识别、敏感数据发现、数据分类分级、访问监控、风险发现预警与审计能力。