「安华金和」谈电力行业数字化转型与数据安全实践
作者:安华金和 发布时间:2021-03-11

微信图片_20210311145913 副本.jpg

聚焦安全挑战

近年来,国家电网公司坚持以新的发展理念为引领、以技术创新为驱动、以信息网络为基础,面向更高质量的发展需要,逐步建设数据转型、智能升级、融合创新等服务的基础设施体系。与此同时,电力企业在数字化转型过程中也面临着新技术、新业务带来的各式安全挑战,以及管理、运营、技术、系统等方面诸多亟待解决的安全问题

1、数据集中管理化

业务域、管理域、网络域等各类数据集中存储,一旦发生安全事件则会波及海量客户敏感信息及公司数据资产的安全。

2、基础设施虚拟化

数据库多部署于云环境中,由于存储、计算的多层虚拟化,带来了数据管理权与所有权分离、安全边界模糊等新问题。

3、平台组件开源化

数据平台多使用Hadoop、Hive以及第三方组件等开源软件,这些软件的设计初衷是为了高效进行数据处理,系统性的安全功能相对缺乏,安全防护能力远远滞后于业务的发展。

4、敏感数据共享化

敏感数据跨部门、跨系统留存,任何一个过程或者安全防护措施不到位,都会导致数据泄露,造成“一点突破、全网皆失”的严重后果。

5、核心数据开放化

数据对外共享过程中,数据价值也不断增大,一旦发生安全事件,将对企业声誉、公司利益以及用户隐私产生重大损失及负面影响。

制定解决方案

数据作为国网数字化转型的核心资源,只有在流动中方能发挥更高的价值和作用;正如同流淌于国网庞大身躯中的血液,通畅的血液循环是躯体保持活力的关键。因此,在保障国网数据安全的前提下进行开放、共享,对于国网数字化转型建设工作至关重要。在此背景下,安华金和围绕“数字国网”概念,针对国网各业务系统中的核心数据资产进行保护,围绕数据全生命周期开展数据安全建设工作,致力于解决国网数字化转型过程中的安全问题,助力提升数据价值,让数据自由而安全的使用:

1、数据采集阶段

(1)厘清海量数据资产

随着数据环境日益复杂化,相关政策法规陆续出台,以及数据安全风险愈演愈烈,核心数据的安全受到越来越多的关注,准确、稳定、可靠的数据资产管理变得更加重要。在数据资产梳理的过程中,不仅需要明确核心数据被如何存储,还需要明确数据正在被哪些部门、系统、人员使用,以及数据是被如何使用的。为全面了解数据存储及系统使用情况,往往需要借助自动化工具加以实现。

通过快速准确地梳理资产,能够从海量数据中快速发现核心数据,定位核心数据的存储与分布情况、统计核心数据的量级、追踪核心数据的使用情况,并根据配置的安全管理规则,呈现系统化的数据总览图,以确保用户能够实时了解数据资产的安全状态。

微信图片_20210311145931.jpg

(2)明确敏感数据属性

掌握敏感数据在数据库中的分布情况,是实现数据分类管控的基础。

通过对敏感数据进行梳理,实现对敏感数据类型的统计分析、敏感数据特征的建模管理、敏感数据量级的计算、敏感数据所属业务系统及部门备案核实管理,继而确定敏感数据的综合属性,以帮助用户有针对性地制定安全管控策略,例如:对内部运维人员访问敏感数据实现安全管控措施,在数据共享中实现敏感信息去标识化,以及对数据的存储实现透明加解密等。

1.jpg

2、数据存储/传输阶段

数据库的底层存储实际上是未经加密处理的,数据文件、备份磁带的丢失都存在重大泄密风险。目前,诸如 Aul、MyDul 等成熟、免费的解析软件,均可对明文存储的数据文件直接进行分析,并输出清晰的、结构化的数据。

通过对数据进行适当的存储加密,从根本上保障数据安全,即便有人试图反向解析数据文件,得到的仍是经过加密的乱码,从而有效避免在内部人员合法登录后或外部人员非法入侵后,通过拷贝数据文件等方式导致的数据泄露风险。

2.jpg

3、数据处理阶段

业务人员、系统维护人员、外包人员、开发人员等,拥有直接访问数据库的权限,他们有意或无意的高危操作都可能对数据库及数据安全造成威胁。

通过数据库协议解析与控制技术,以及丰富的安全策略,如拦截和阻断等控制类策略,以及记录、告警等审计类策略;针对高危操作及时进行拦截和阻断,主动、实时、全面保障数据库及数据安全免受数据库漏洞、应用侧及运维侧高危、恶意访问等导致的敏感数据泄露、篡改、损坏等威胁。

3.jpg

4、数据共享阶段

(1)数据共享脱敏

在使用隐私数据时,应确保相关数据是低成本、高效率、安全可控的;降低敏感数据被非法使用、获取的可能性;避免对敏感数据非必要的访问或复制;降低业务风险,在保留业务数据有效性的同时,隐藏其中的敏感信息等。

通过数据仿真脱敏技术,保证脱敏后的数据能够准确反映原始数据的业务属性和分布特征,例如:用电账户、用电地址、用电量、用电单位等信息在脱敏后仍然具有可读性;同时,脱敏后的数据还应符合业务系统的数据规则,即能够通过业务系统的数据有效性校验,例如:身份证号和银行卡号的校验码、生日数据的区间、年龄与出生日期相匹配等。

4.jpg

(2)数据分发水印

伴随海量数据的流转使用,过程中的数据共享与交换需求也在持续增长,如果不采取有效的安全控制与版权保护措施,将会给攻击者以可乘之机。与此同时,如果缺乏对数据库完整性验证的有效措施,一旦发生数据泄露,后果将难以预估。

通过数据水印溯源技术,可根据数据文件的完整度与水印信息痕迹来检测水印是否存在,并快速识别水印标记的信息(如数据源地址、分发单位、负责人、分发时间等),从而对数据泄露事件实现精准定位与溯源追责。

微信图片_20210311145955 副本.jpg

5、数据全生命周期

贯穿国网数据流转、使用的全生命周期及不同的使用场景,通过数据库审计技术实现对数据访问行为与数据流转过程的全面监测。

通过精确的协议分析、完全的SQL解析以及参数化匹配、长语句解析、多语句解析、100%应用关联等技术,对数据库行为进行周期性对比,帮助用户快速定位异常点及异常行为。同时,凭借丰富的检索能力,多重钻取、分析,从而准确追溯风险源头。

微信图片_20210311145959 副本.jpg

安全建设成效

围绕数据全生命周期,持续开展数据安全建设工作,不断夯实数字化转型基础。在国网数字化转型及相关数据安全建设过程中,遵循“最小化”数据保护原则与“最大化”数据监控标准,确保数据在安全的基础之得以充分共享、使用,从而发挥更多、更大的价值和作用,实现互联网式的“双向交互、平等共享与服务增值”。

早在2013年,安华金和就启动了以“国家电网”为代表的电力数据安全治理实践活动!经过八年实践“垦荒”,安华金和持续深入了解客户需求、熟悉客户场景,并于2017年正式组建国网团队,专注于帮助国网客户在满足国家、行业政策法规要求的同时,对自身所掌握的电力数据进行充分、高效、安全的流转与利用,实现业务快速发展与数据安全保障的平衡。

截至目前,包括“数据库安全评估系统数据库安全审计系统数据库安全防护系统数据脱敏系统数据库加密系统数据资产梳理系统”等在内的安华金和数据安全系列产品已覆盖国家电网20+省公司及直属单位,并在数据安全咨询服务、治理服务以及防御体系建设等领域具有成熟的项目建设成功经验与产品技术领先优势!

在国网推进数字化转型与数据安全体系建设的过程中,安华金和采取适合、有效、稳定、可靠的技术手段,通过构筑全面、完整、系统的数据安全防护体系,助力国家电网共建网络安全“智能联动防御生态圈”,打造更灵活、更高效、更具竞争力的电网新形态,让电力数据的使用自由而安全!