正因?yàn)橐陨咸攸c(diǎn)，讓我國電力行業(yè)信息安全建設(shè)在起步較早情景下，最先提出了“安全分區(qū)、專網(wǎng)專用、橫向隔離、縱向認(rèn)證”的行業(yè)要求。電力行業(yè)涉及發(fā)電、變電、輸電、配電、送電、售電等眾多環(huán)節(jié)，業(yè)務(wù)場景非常復(fù)雜，但是電力無小事，電力行業(yè)的數(shù)據(jù)安全要確保萬無一失，是我們面臨的緊迫問題。

 

為何時(shí)常會被動(dòng)“挨打”？

 

電力數(shù)據(jù)主要有二大類。一類是電網(wǎng)運(yùn)行、設(shè)備檢測或監(jiān)測產(chǎn)生的大數(shù)據(jù)，主要有能量管理系統(tǒng)、配網(wǎng)管理系統(tǒng)、廣域量測管理系統(tǒng)、電網(wǎng)調(diào)度管理系統(tǒng)、圖像監(jiān)控系統(tǒng)等；另一類是電力企業(yè)營銷產(chǎn)生的大數(shù)據(jù)，如95598客戶服務(wù)系統(tǒng)、電能量計(jì)量系統(tǒng)、用電信息采集系統(tǒng)等。

 

 

電力大數(shù)據(jù)具有數(shù)據(jù)體量大、數(shù)據(jù)類型多、價(jià)值密度低、處理速度快的特點(diǎn)，在大數(shù)據(jù)管理中主要存在以下幾個(gè)問題：

 

1、數(shù)據(jù)分類分級不明確

 

目前電力行業(yè)缺少對各類數(shù)據(jù)分類、定級的指導(dǎo)標(biāo)準(zhǔn)和治理工具，造成敏感數(shù)據(jù)定義不清、位置不明等情況，在數(shù)據(jù)管理時(shí)眉毛胡子一把抓，造成巨大的人力、物力和財(cái)力的浪費(fèi)。

 

2、用戶行為檢測不智能

 

3、數(shù)據(jù)流轉(zhuǎn)交換難管控

 

隨著電力大數(shù)據(jù)的廣泛應(yīng)用和云管平臺的建設(shè)，在大數(shù)據(jù)共享、交換過程中，涉及到敏感數(shù)據(jù)和個(gè)人隱私數(shù)據(jù)的使用，缺乏相應(yīng)的大數(shù)據(jù)安全保障機(jī)制、數(shù)據(jù)信任體系和手段等，存在數(shù)據(jù)共享難、安全保障難等問題。

 

4、安全運(yùn)維監(jiān)管不到位

 

電力企業(yè)的應(yīng)用系統(tǒng)、業(yè)務(wù)系統(tǒng)、數(shù)據(jù)庫等IT系統(tǒng)多且復(fù)雜，有大量的外包及開發(fā)人員，系統(tǒng)運(yùn)維人員能力參次不齊，出現(xiàn)非法查詢、非法導(dǎo)出、誤刪除等違規(guī)行為，給數(shù)據(jù)安全帶來較大風(fēng)險(xiǎn)。

 

5、惡意行為攻擊難溯源

 

在日常安全運(yùn)營中，現(xiàn)有的技術(shù)和措施難以對攻擊行為進(jìn)行捕獲和分析，較難推測出攻擊者的意圖和動(dòng)機(jī)。由于防守方信息不對稱，導(dǎo)致在安全運(yùn)營中處于被動(dòng)挨打局面。

 

安全防護(hù)體系建設(shè)思路與方案

 

1、建設(shè)數(shù)據(jù)全生命周期安全風(fēng)險(xiǎn)管理的平臺

 

在總部或省公司信息管理大區(qū)部署數(shù)據(jù)風(fēng)險(xiǎn)管理平臺，實(shí)現(xiàn)對數(shù)據(jù)的分類、分級和標(biāo)識的自動(dòng)化處理。通過用戶實(shí)體行為的分析、用戶個(gè)人隱私數(shù)據(jù)的識別、數(shù)據(jù)防泄漏、數(shù)據(jù)防篡改、數(shù)據(jù)脫敏等一系列安全能力，實(shí)現(xiàn)對S6000系統(tǒng)的賦能和數(shù)據(jù)資產(chǎn)的動(dòng)態(tài)管理。做到多層次、智能化的安全防護(hù)。后續(xù)可陸續(xù)部署到生產(chǎn)管理大區(qū)。

 

 

2、部署基于機(jī)器學(xué)習(xí)的用戶實(shí)體行為分析系統(tǒng)（UEBA）

 

UEBA系統(tǒng)以用戶為中心，通過對系統(tǒng)日志、安全日志、網(wǎng)絡(luò)流量、威脅情報(bào)等數(shù)據(jù)進(jìn)行處理、分析和整合，完成用戶、實(shí)體、行為三要素關(guān)聯(lián)，形成用戶的行為基線，通過用戶畫像和資產(chǎn)畫像，檢測出諸如賬號失陷、主機(jī)失陷、數(shù)據(jù)泄漏、權(quán)限濫用等風(fēng)險(xiǎn)，發(fā)現(xiàn)網(wǎng)絡(luò)中周期長、頻率低、隱蔽強(qiáng)的安全事件，以極高的準(zhǔn)確率定位異常的用戶。

 

3、提升基于堡壘機(jī)的人員準(zhǔn)入和安全管控能力

 

在技術(shù)上要進(jìn)一步完善堡壘機(jī)的安裝部署，管理上要對堡壘機(jī)的策略進(jìn)行優(yōu)化，實(shí)行最小權(quán)限管理和進(jìn)行命令級別的權(quán)限控制，如禁止全盤執(zhí)行“rm-fr/”這樣的操作等。對管理員和運(yùn)維人員的權(quán)限進(jìn)行細(xì)粒度管理，進(jìn)行登記造冊，并定期檢查和優(yōu)化運(yùn)維人員的權(quán)限?；?qū)h(yuǎn)程運(yùn)維人員的IP、MAC地址進(jìn)行綁定，實(shí)現(xiàn)全程記錄和監(jiān)控，避免“刪庫跑路”的事件發(fā)生。尤其是即將離職人員，要及時(shí)收回或降低其管理權(quán)限。

 

4、完善欺騙式防御系統(tǒng)彌補(bǔ)傳統(tǒng)安全防護(hù)短板(蜜罐)

 

通過蜜罐系統(tǒng)對攻擊方進(jìn)行“欺騙”，達(dá)到反制的目的。布置一些作為誘餌的主機(jī)、網(wǎng)絡(luò)服務(wù)或者信息，誘使攻擊方對它們實(shí)施攻擊，實(shí)現(xiàn)對攻擊行為的捕獲和分析，來了解攻擊方所使用的工具與方法，以此推測攻擊意圖和動(dòng)機(jī)，對其攻擊進(jìn)行溯源，甚至可以實(shí)施反擊。在合規(guī)層面，滿足《網(wǎng)絡(luò)安全法》中提出的“通過實(shí)戰(zhàn)攻防提升攻防實(shí)戰(zhàn)水平”的要求。

 

總結(jié)

 

面對電力行業(yè)數(shù)據(jù)體量大、類型多、防范難的特點(diǎn)。建議在管理方面健全現(xiàn)有制度、優(yōu)化管理流程、提升人員能力和做好常態(tài)化安全意識教育。在技術(shù)方面聚焦敏感數(shù)據(jù)保護(hù)，通過數(shù)據(jù)風(fēng)險(xiǎn)管理、用戶實(shí)體行為分析、蜜罐等新安全技術(shù)的研究和部署，形成全面的數(shù)據(jù)安全管理防護(hù)體系。