新型电力系统数据安全防护实践探索

新型电力系统数据安全防护实践探索二〇二二年八月ONTENTSC目

录1形势与挑战2数据安全防护目标3数据安全防护体系探索形势与挑战国内、外深刻认识到数据安全的重要性，美国、欧盟等相继出台系列数据安全政策法规。我国数据安全法已正式发布，个人信息保护法也已发布草案审议稿，数据安全及个人信息保护法治进程进入快车道。形势与挑战6月20日，M78安全团队公布了超星学习通数据库被非法渠道售卖，涉及1亿7273条数据。形势与挑战6月27日凌晨，腾讯QQ大型社死现场。形势与挑战6月30日，上海某朵云泄露23T数据，售卖10BTC。形势与挑战7月10日，万豪国际泄露20G数据。形势与挑战2022年，全球网络安全威胁态势进入高度不确定的“黑天鹅时代”，企业数据安全和风险管理面临前所未有的挑战：数据安全和隐私保护的合规难度和成本不断加大地缘战争引发的网络战升级漏洞披露数量和利用速度屡创新高供应链和关键基础设施攻击进入“热战”疫情期间远程办公和数字化转型攻击面扩大勒索软件和网络钓鱼活跃度和复杂性不断提升面临挑战网络犯罪门槛降低环境、社会和治理(ESG)

给数据安全带来的新挑战。12345678数据安全作为网络安全防御体系的核心任务，目前正处在高速发展的初期，企业数据安全能力建设过程中，政策监管和市场宣传经常盖过了企业用户的真实声音。而企业作为数据安全技术和策略的实施主体，其数据安全现状、痛点、需求、经验的能见度偏低，行业内及跨行业知识和经验分享与交流不畅，这并不利于数据安全市场的健康发展。形势与挑战25%25%14%13%7%6%3%3%3%2%0%5%10%15%20%25%30%数据安全威胁71%58%56%56%52%52%50%41%41%41%3%0%20%10%40%30%50%60%70%80%数据安全痛点内部威胁(25%)和勒索软件(25%)是数据安全TOP2威胁，人员错误／远程办公/BYOD“

(第三名），疫情的反复和远程办公与BYOD

导致的攻击面扩大，进—步增加了人员（端点）相关风险。人员安全意识”是数据安全的主要痛点，企业安全团队面临的更大挑战是提升企业全体员工的安全素养，“特权账号”和“内部威胁”这两个排名前三的痛点也都与人员意识和“人的因素”有关。形势与挑战国网公司服务4.6亿电力客户，与电力、金融等行业存在广泛的数据交互。随着新型电力系统建设的发展，与政务、交通、石油、燃气等交互更加频繁，数据共享流动需求大幅增加，数据安全保障能力成为推动新型电力系统建设的重要支撑。形势与挑战传统网络隔离、数据加密等措施难以适应“开放共享”环境下的数据保护面临问题场景太多，碎片化措施如何应用？数据安全管理和技术措施脱节怎么办？谁在使用数据，是否合规？敏感数据在哪，分类分级怎么做？ONTENTSC目

录1形势与挑战2数据安全防护目标3数据安全防护体系探索数据安全防护目标合法合规可知分类分级可识使用流程可控数据风险可察管控提升可见关键需求目标可知-可识-可控-可察-可见识别分布明确保护提升合规加强意识安全使用减少违规洞察风险稽核监控明确职责治理落地遵循数据安全原则，以数据安全分级为基础，建立覆盖数据生命周期全过程的安全防护体系，并通过建立健全数据安全组织架构和明确信息系统运维环节中的数据安全需求，全面加强电力行业数据安全保护能力。数据安全防护目标当前国网公司建立了“三道防线”，通过采用分区分域、数据加密等措施，保障公司重要数据安全，随着新型电力系统建设发展，数据环境更加开放、数据流动更加频繁、交互对象更加复杂，主要采取以隔离为主的数据安全防护措施，严格限制各级数据在相关区域存储时间。安全区I安全区II二级域三级域二级域三级域生产控制大区管理信息大区互联网大区第三道防线第二道防线第一道防线电力专用横向单向安全隔离装置信息网络安全隔离装置防火墙配变终端专变终端计量现场作业终端营销移动作业终端智能电表集中器采集器充电桩自动交费POS机电力自主缴费终端……水气热 智能电表车载终端充电桩……移动应用社会大众用电单位……ONTENTSC目

录1形势与挑战2数据安全防护目标3数据安全防护体系探索数据安全防护体系探索1.确定组织架构2.数据分类分级3.制定数据安全策略4.管控使用与监控稽核建立数据安全技术架构建设数据安全组件持续监测评估安全审计监督整改建立治理团队分配管理职责制定原则数据分类数据定级基本权限划分限定使用场景制定安全策略和措施在数据安全战略的指导下，为确保数据处于有效保护和合法利用的状态，多个部门需协作实施一系列活动，包括建立数据安全治理团队，制定数据安全相关制度规范，构建数据安全技术体系，建设数据安全人才梯队等。数据安全防护体系探索数据治理委员会决策层管理层执行层XX中心XX中心分公司XX公司数据安全管理小组总部直属中心子公司X XX X子 子公 公司 司监督层审计部总部确定组织架构：建立由决策层、管理层、执行层、监督层组成的数据安全管理组织架构。由数据治理委员会担任公司数据安全管理工作的最高领导机构。数据安全工作实行统一领导下的分级管理、逐级负责制。数据安全防护体系探索数据分类分级：根据法律法规以及业务需求，明确企业内部的数据分类级原则及方法，并对数据进行标识以实现差异化的数据安全管理。数据安全防护体系探索数据分级保护策略：通过制定不同等级数据的安全保护策略，针对不同安全级别数据建立相应的访问控制、传输加密、数据脱敏、数据导出等安全管理和控制措施，实现数据安全保护精细化管理，充分保障不同安全级别的数据对保密性、完整性、可用性的需求。数据安全防护体系探索数据安全管理制度建立管理框架，优化管控流程，落实管控策略数据安全管理办法与细则数据访问基本权限数据安全管理办法数据安全职责矩阵划分权限厘清职责高阶策略生命周期安全管理制定职责事项确定职责边界数据安全控制基线业务数据使用规则生产数据提取要求确定控制领域制定控制手段和周期梳理提数渠道确定使用安全要求优化审批流程程全安确定提取过规则制定数据安全策略：数据安全相关制度流程从业务需求、风险控制需要，以及法律规合性要求等几个方面进行梳理，完善数据安全管理体系，建立数据全流程管控机制。明确关系人与数据使用权限管理控制策略技术控制策略生命周期安全管理基本要求根据公司内外关系人的划分及安全管理职责，制定数据资产访问控制表，明确各关系人对不同等级数据资产的访问权限。通过建立制度、流程等保障机制，从管理层面对数据资产安全进行控制。对不同安全登记的数据资产，实施不同的安全控制策略运用技术手段对数据资产进行安全监控。如建立数据传输、处理、存储过程中的数据加密技术，建立有效的用户身份认证和访问控制的流程，定期审查或实时监控系统和数据访问日志机制等。根据管理和技术安全控制策略，对数据资产在其生命周期各个阶段的运作流程，提出基本的安全管理要求。数据安全防护体系探索数据安全管控数据安全能力检测策略管控策略发现/分类分级规则敏感数据发现规则分类分级规则敏感数据扫描策略对外接口监控策略防护策略数据水印策略数据DLP策略数据脱敏策略数据审计策略安全服务平台数据管控能力数字水印数据库审计DLPAPI接口监控系统管理账号/权限/认证运行监测系统配置/备份API接口策略数据加密策略专项场景分析安全接口数据泄露风险分析数据安全一键处置数据自动发现能力与分类分级敏感数据发现探针

敏感数据流转监控探针文件系统/数据库系统/大数据系统/网络流量/应用前端/应用API接口/数据中台/…模糊化动态脱敏。。。静态脱敏数据加密安全销毁数据分类分级标准法律法规要求主管/监管要求集团监管要求企业管理要求数据消费违规分析数据安全态势大屏敏感数据分布态势数据安全合规评估数据安全现状评估数据安全风险展示重大涉敏数据资产访问路径呈现生命周期管控数据传输数据交换数据采集数据处理数据存储数据销毁敏感数据访问与消费建模模型定义模型学习模型调整规则/关联/统计/AI建模、机器学习数据安全管控效果数据安全处置跟踪数据安全应急响应数据安全告警与预警统一身份认证接口资产安全管理接口运维支撑接口OA对接接口分子公司对接接口能力开放与数据运营安全能力开放

安全数据共享安全规则输出数据地图违规阻断数据泄露场景数据审计场景数据生命周期场景安全事件追溯场景安全孪生场景数据安全防护体系探索制定分类分级规范明确数据对象敏感数据发现构建数据目录数据对象发现敏感数据构建数据目录识别安全风险位置信息标签信息数据流转下发管控策略输出检查报告数据库审计数据脱敏水印溯源数据分类分级分类规范分级规范管控原则数据库文件源文件服务器未脱敏数据未加密数据日志敏感信息数据安全风险周期性对比5W1H

• 敏感类型发现规则敏感数据发现：全面、快速、准确发现和定位敏感数据，构建持续更新的企业敏感数据分类分级目录。结合敏感数据目录识别和量化数据安全风险，驱动数据安全策略的落地，为数据安全工作推进提供抓手。数据安全防护体系探索水印溯源：通过优化数据对外分发流程，管控数据外发行为。通过事前敏感数据发现、添加数据标记、自动生成水印、外发行为审计、数据源追溯等功能，避免数据滥用导致时间无法追溯的问题，提高数据传递的安全性和可追溯能力。数据安全防护体系探索c)

结合实时安全漏洞资讯、错报等信息对态势感知平台的底层规则进行及时更新。b)

对数据接口、数据系统、数据设备等进行画像，通过算法模型检测内部潜在的安全风险和威胁，并进行可视化展示各类风险和数据流动态势。a)

在内部各个关键节点，通过安全设备、探针等检测相关信息，包括但不限于设备指纹