【51CTO.com原创稿件】在数字经济时代,数据已经成为生产力提升的重要手段。能源行业作为国民基础设施中的重要一环,也敏锐地捕捉到数据的价值,不断谋求创新发展,顺应数字时代的大潮。在前不久召开的安华金和承办的第三届中国数据安全治理高峰论坛上,51CTO记者就特别关注了数据安全治理能源行业论坛,四位业内资深专家也就如何保护能源行业数据、如何挖掘数据价值、如何开展数据安全治理工作等热点话题抛砖引玉,分享了自己的观点。
信息中心高级工程师叶世超博士:能源大数据的建设构想
叶世超表示,能源大数据建设的构想是在现实的政策基础、数据基础、工程基础上搭建起来的,需要考虑到行业实际应用中面临的问题,如信息资源共享利用水平不高、能源数据质量不高、大数据构建模式不完善等。
理论上来说,能源大数据建设要顺应国家号召,构建清洁、低碳、安全、高效的目标,以构建统一标准、统一架构、统一接口为重点,工作目标是要建设大数据的组织和技术支持体系。
“在技术上,需要先从研究课题来入手制订一些标准”他介绍到,具体可分为六步:一是设立一些科研型的先导;二是建立能源大数据的工作体系;三是利用标准规范体系的研究成果,建立能源大数据的指标和目录;四是搭建计算平台;五是企业通过合作模式构建能源大数据的业务模型;六是大数据的整个体系架构就初现雏形和大数据相关的运用工作。
黑龙江省电力科学研究院数据工程师尚方:国家电网数据恢复与销毁业务的分享
如果说叶世超是高屋建瓴地从宏观政策上对于能源行业的大数据发展给出了指导方向,那么尚方更多的则是从实际应用的角度分享了数据安全治理过程中的一些经验和总结。
尚方表示,对于大型企事业单位而言,数据恢复与销毁关系到国计民生的战略基础性数据,涉及亿万人民的生产生活,不容有失。以国家电网公司为例,业务数据丢失后要求进行数据恢复,要保障企业的正常运行,保证电网以及人们生产生活不被打断,如果介质淘汰或者介质损坏,需要去外面维修,必须先将原来的工作数据擦除,防止泄密,这也是保护企业和个人隐私。
经过调研,目前我国企事业单位在电子数据恢复销毁领域做得不错的通常有三类用户:首先国家保密机构,通常指金融、军工、军队、重要的科研院所等;其次是一些大型的涉密单位,他们有自己的常备人员,有更专业的设备,会对木马、病毒,包括外界存储介质做检测,而且这些单位的客户代表也是全程监督,保证没有外泄可能。一些企事业单位,他们有自己的管理规定,而且有比较雄厚的经济实力,一般由公司统一购买数据擦除和销毁的设备,把擦除和销毁的工作在内部完成。
尚方也给出了数据丢失和外泄的一些常见原因,如巡查不到位、个人不良使用习惯、企业信息运维不好、未经擦除即转用、报废流出、设备环境不满足条件、人员经验技术缺乏、责任心不足等等。
在中国电力行业,由于信息化程度比较靠前,国家政策明晰,所以各单位规范数据恢复和销毁工作还是非常规范的,管理经验、产品、装备相对于绝大多数企事业单位来说都更好。早在2011年11月,在国家电网的业务系统数据量还没有大量爆发前,长期工作在一线的领导和专家就前瞻性地提出要筹建专业的数据恢复销毁实验室,2012年5月,黑龙江省电力科学研究院前身的实验室从单纯为国网公司开展数据库和销毁工作,进一步的升级面向社会提供数据恢复的技术支持,以及司法鉴定业务。
尚方强调,数据恢复是保障电子数据可用性的一道技术屏障,是彰显司法公正、协助案件侦破的重要技术手段。数据擦除与销毁是保障敏感信息、敏感数据不外泄的有效方法,数据恢复与销毁技术是数据安全治理中关键环节。
全球能源互联网研究院数据安全项目负责人郭昊:电网企业数据安全探索
全球能源互联网研究院有限公司,前身是电网研究院,在2016年2月更名为全球能源互联网研究院,是国家电网公司的直属科研单位。
郭昊首先分析了数据安全的形势和态势,目前数据安全影响范围愈加广泛,数据泄露已经成为安全稳定风险源头,是当前网络安全面临的最主要威胁和企业面临的最重要的风险之一,内鬼窃取,内部人员操作失误已经成为数据泄露的三大主要原因。
接着郭昊分享了自己在安全审计方面的心得,他表示在实践中他们总结出三个比较清晰的审计思路,一是需要审计用户账户跨资源的数据操作,二是需要审计对敏感数据的操作,三是关键系统表的操作要进行审计。在与电力企业接触过程中,他们在防护、数据安全、违规操作、输出性能这四个方面展开了14个场景的审计,如多次登录失败,开展审计,数据操作、违规操作、数据库性能等。“数据安全审计效果应该满足三个标准,即应用操作合规性、行为操作合规性、SQL发现合规性。”
对于如何提升电力行业的数据安全核心能力,他建议首先可以广泛地与研究机构、前沿厂商合作,基于机器学习的电力业务进行实质性的研究,其次依托科技项目,深入开展在边缘物联网、边缘计算模块数据安全督察理论研究和安全防护技术的研究,持续做到面向电力企业提供数据安全服务。
北京安华金和架构师李航:电力行业数据安全思路与实施方法论
李航从安华金和实际服务国家电网多年的实践角度,分享了过去的服务经验和如何应对数据安全现状的一些经验。
据李航介绍,数据安全已经成为当下电力企业下一个风口,很多安全隐患都给电力行业的数字化建设带来挑战,如数据共享下的安全问题,数据资产的梳理,企业对暗数据的未知以及敏感数据的处理等等环节都比较怕薄弱。在国家电网的大数据环境中,数据的梳理工作是否到位?全量数据有多少?敏感数据在哪里?数据是否分级分类?数据被谁使用?……这一连串的问题恐怕清晰回答上来的用户并不多。
安华金和在实践过程中总结出一套行之有效的数据安全防护思路。李航将其称之为四个转变:一是由传统的数据资产的管理模糊化向数据资产管理清晰化的方式转变,二是从传统的被动式防御模式转化成主动的防御模式,三是由单点数据防护模式向全场景一体化联动模式转变,四是由静态的风险分析模式转化成动态的态势感觉的方式转变。
那么具体如何着手呢?李航透露,要做数据安全治理,要定义一些标准和政策进行数据梳理,并对数据进行分类授权,不同等级不同类别的数据,要采取不同的防护方式进行防护。第二步要对数据进行分类,安华金和建议以应用系统为单元进行数据分类,由于每个系统数据的属性和特性必定是不一样的,所以以数据的应用系统为单元进行分类更科学。第三步是共同参与,数据的分级分类不是信息化的部门或者安全部门才能主导的,因为做信息化的部门,做安全的部门不懂业务也不懂业务部门的相关数据,所以必须要有业务部门的参与。第四步是建立辅佐制度,为后续数据精准化的防护提供一些依据。
当然构建一套完整的数据安全治理体系绝非这么简单,还要考虑很多问题。李航举例道,在数据共享过程中,需要在进行数据脱敏的同时确保数据的可逆性、仿真度、关联性;在数据分发过程中,需要保障数据流传过程中每一个环节可追溯;在数据发放和交互的过程中,既要保障对方可以正常使用数据,还要确保数据不泄露和可追踪。
在记者看来,这四位专家分享了能源行业数据安全治理的宝贵经验和实践,事实上也给能源行业做好数据安全防护工作提供了许多有价值的参考。值得一提的是,安华金和作为数据安全治理峰会的承办方,其数据安全治理理念被越来越多的为政府与企业单位所认可,也获得了越来越多安全从业者的关注。未来,作为数据安全治理理念的倡导者,业界更希望看到,安华金和构建开放数据安全治理生态,助力我国信息安全保障。
【51CTO原创稿件,合作站点转载请注明原文作者和出处为51CTO.com】
