聚焦安全挑戰
近年來,國家電網公司堅持以新的發展理念為引領、以技術創新為驅動、以信息網絡為基礎,面向更高質量的發展需要,逐步建設數據轉型、智能升級、融合創新等服務的基礎設施體系。與此同時,電力企業在數字化轉型過程中也面臨著新技術、新業務帶來的各式安全挑戰,以及管理、運營、技術、系統等方面諸多亟待解決的安全問題:
1、數據集中管理化
業務域、管理域、網絡域等各類數據集中存儲,一旦發生安全事件則會波及海量客戶敏感信息及公司數據資產的安全。
2、基礎設施虛擬化
數據庫多部署于云環境中,由于存儲、計算的多層虛擬化,帶來了數據管理權與所有權分離、安全邊界模糊等新問題。
3、平臺組件開源化
數據平臺多使用Hadoop、Hive以及第三方組件等開源軟件,這些軟件的設計初衷是為了高效進行數據處理,系統性的安全功能相對缺乏,安全防護能力遠遠滯后于業務的發展。
4、敏感數據共享化
敏感數據跨部門、跨系統留存,任何一個過程或者安全防護措施不到位,都會導致數據泄露,造成“一點突破、全網皆失”的嚴重后果。
5、核心數據開放化
數據對外共享過程中,數據價值也不斷增大,一旦發生安全事件,將對企業聲譽、公司利益以及用戶隱私產生重大損失及負面影響。
制定解決方案
數據作為國網數字化轉型的核心資源,只有在流動中方能發揮更高的價值和作用;正如同流淌于國網龐大身軀中的血液,通暢的血液循環是軀體保持活力的關鍵。因此,在保障國網數據安全的前提下進行開放、共享,對于國網數字化轉型建設工作至關重要。在此背景下,安華金和圍繞“數字國網”概念,針對國網各業務系統中的核心數據資產進行保護,圍繞數據全生命周期開展數據安全建設工作,致力于解決國網數字化轉型過程中的安全問題,助力提升數據價值,讓數據自由而安全的使用:
1、數據采集階段
(1)厘清海量數據資產
隨著數據環境日益復雜化,相關政策法規陸續出臺,以及數據安全風險愈演愈烈,核心數據的安全受到越來越多的關注,準確、穩定、可靠的數據資產管理變得更加重要。在數據資產梳理的過程中,不僅需要明確核心數據被如何存儲,還需要明確數據正在被哪些部門、系統、人員使用,以及數據是被如何使用的。為全面了解數據存儲及系統使用情況,往往需要借助自動化工具加以實現。
通過快速準確地梳理資產,能夠從海量數據中快速發現核心數據,定位核心數據的存儲與分布情況、統計核心數據的量級、追蹤核心數據的使用情況,并根據配置的安全管理規則,呈現系統化的數據總覽圖,以確保用戶能夠實時了解數據資產的安全狀態。
(2)明確敏感數據屬性
掌握敏感數據在數據庫中的分布情況,是實現數據分類管控的基礎。
通過對敏感數據進行梳理,實現對敏感數據類型的統計分析、敏感數據特征的建模管理、敏感數據量級的計算、敏感數據所屬業務系統及部門備案核實管理,繼而確定敏感數據的綜合屬性,以幫助用戶有針對性地制定安全管控策略,例如:對內部運維人員訪問敏感數據實現安全管控措施,在數據共享中實現敏感信息去標識化,以及對數據的存儲實現透明加解密等。
2、數據存儲/傳輸階段
數據庫的底層存儲實際上是未經加密處理的,數據文件、備份磁帶的丟失都存在重大泄密風險。目前,諸如 Aul、MyDul 等成熟、免費的解析軟件,均可對明文存儲的數據文件直接進行分析,并輸出清晰的、結構化的數據。
通過對數據進行適當的存儲加密,從根本上保障數據安全,即便有人試圖反向解析數據文件,得到的仍是經過加密的亂碼,從而有效避免在內部人員合法登錄后或外部人員非法入侵后,通過拷貝數據文件等方式導致的數據泄露風險。
3、數據處理階段
業務人員、系統維護人員、外包人員、開發人員等,擁有直接訪問數據庫的權限,他們有意或無意的高危操作都可能對數據庫及數據安全造成威脅。
通過數據庫協議解析與控制技術,以及豐富的安全策略,如攔截和阻斷等控制類策略,以及記錄、告警等審計類策略;針對高危操作及時進行攔截和阻斷,主動、實時、全面保障數據庫及數據安全免受數據庫漏洞、應用側及運維側高危、惡意訪問等導致的敏感數據泄露、篡改、損壞等威脅。
4、數據共享階段
(1)數據共享脫敏
在使用隱私數據時,應確保相關數據是低成本、高效率、安全可控的;降低敏感數據被非法使用、獲取的可能性;避免對敏感數據非必要的訪問或復制;降低業務風險,在保留業務數據有效性的同時,隱藏其中的敏感信息等。
通過數據仿真脫敏技術,保證脫敏后的數據能夠準確反映原始數據的業務屬性和分布特征,例如:用電賬戶、用電地址、用電量、用電單位等信息在脫敏后仍然具有可讀性;同時,脫敏后的數據還應符合業務系統的數據規則,即能夠通過業務系統的數據有效性校驗,例如:身份證號和銀行卡號的校驗碼、生日數據的區間、年齡與出生日期相匹配等。
(2)數據分發水印
伴隨海量數據的流轉使用,過程中的數據共享與交換需求也在持續增長,如果不采取有效的安全控制與版權保護措施,將會給攻擊者以可乘之機。與此同時,如果缺乏對數據庫完整性驗證的有效措施,一旦發生數據泄露,后果將難以預估。
通過數據水印溯源技術,可根據數據文件的完整度與水印信息痕跡來檢測水印是否存在,并快速識別水印標記的信息(如數據源地址、分發單位、負責人、分發時間等),從而對數據泄露事件實現精準定位與溯源追責。
5、數據全生命周期
貫穿國網數據流轉、使用的全生命周期及不同的使用場景,通過數據庫審計技術實現對數據訪問行為與數據流轉過程的全面監測。
通過精確的協議分析、完全的SQL解析以及參數化匹配、長語句解析、多語句解析、對數據庫行為進行周期性對比,幫助用戶快速定位異常點及異常行為。同時,憑借豐富的檢索能力,多重鉆取、分析,從而準確追溯風險源頭。
安全建設成效
圍繞數據全生命周期,持續開展數據安全建設工作,不斷夯實數字化轉型基礎。在國網數字化轉型及相關數據安全建設過程中,遵循“最小化”數據保護原則與“最大化”數據監控標準,確保數據在安全的基礎之得以充分共享、使用,從而發揮更多、更大的價值和作用,實現互聯網式的“雙向交互、平等共享與服務增值”。
早在2013年,安華金和就啟動了以“國家電網”為代表的電力數據安全治理實踐活動!經過八年實踐“墾荒”,安華金和持續深入了解客戶需求、熟悉客戶場景,并于2017年正式組建國網團隊,專注于幫助國網客戶在滿足國家、行業政策法規要求的同時,對自身所掌握的電力數據進行充分、高效、安全的流轉與利用,實現業務快速發展與數據安全保障的平衡。
截至目前,包括“數據庫安全評估系統、數據庫安全審計系統、數據庫安全防護系統、數據脫敏系統、數據庫加密系統、數據資產梳理系統”等在內的安華金和數據安全系列產品已覆蓋國家電網20+省公司及直屬單位,并在數據安全咨詢服務、治理服務以及防御體系建設等領域具有成熟的項目建設成功經驗與產品技術領先優勢!
在國網推進數字化轉型與數據安全體系建設的過程中,安華金和采取適合、有效、穩定、可靠的技術手段,通過構筑全面、完整、系統的數據安全防護體系,助力國家電網共建網絡安全“智能聯動防御生態圈”,打造更靈活、更高效、更具競爭力的電網新形態,讓電力數據的使用自由而安全!
產品咨詢:4000 258 365 
