電力行業(yè)數(shù)據(jù)安全 業(yè)務(wù)場景再復(fù)雜也要保障萬無一失
電力系統(tǒng)遭受攻擊造成的影響:社會生產(chǎn)癱瘓、交通癱瘓、人員傷亡、設(shè)備損壞、環(huán)境污染等。
正因?yàn)橐陨咸攸c(diǎn),讓我國電力行業(yè)信息安全建設(shè)在起步較早情景下,最先提出了“安全分區(qū)、專網(wǎng)專用、橫向隔離、縱向認(rèn)證”的行業(yè)要求。電力行業(yè)涉及發(fā)電、變電、輸電、配電、送電、售電等眾多環(huán)節(jié),業(yè)務(wù)場景非常復(fù)雜,但是電力無小事,電力行業(yè)的數(shù)據(jù)安全要確保萬無一失,是我們面臨的緊迫問題。
為何時(shí)常會被動(dòng)“挨打”?
電力數(shù)據(jù)主要有二大類。一類是電網(wǎng)運(yùn)行、設(shè)備檢測或監(jiān)測產(chǎn)生的大數(shù)據(jù),主要有能量管理系統(tǒng)、配網(wǎng)管理系統(tǒng)、廣域量測管理系統(tǒng)、電網(wǎng)調(diào)度管理系統(tǒng)、圖像監(jiān)控系統(tǒng)等;另一類是電力企業(yè)營銷產(chǎn)生的大數(shù)據(jù),如95598客戶服務(wù)系統(tǒng)、電能量計(jì)量系統(tǒng)、用電信息采集系統(tǒng)等。
電力大數(shù)據(jù)具有數(shù)據(jù)體量大、數(shù)據(jù)類型多、價(jià)值密度低、處理速度快的特點(diǎn),在大數(shù)據(jù)管理中主要存在以下幾個(gè)問題:
1、數(shù)據(jù)分類分級不明確
目前電力行業(yè)缺少對各類數(shù)據(jù)分類、定級的指導(dǎo)標(biāo)準(zhǔn)和治理工具,造成敏感數(shù)據(jù)定義不清、位置不明等情況,在數(shù)據(jù)管理時(shí)眉毛胡子一把抓,造成巨大的人力、物力和財(cái)力的浪費(fèi)。
2、用戶行為檢測不智能
3、數(shù)據(jù)流轉(zhuǎn)交換難管控
隨著電力大數(shù)據(jù)的廣泛應(yīng)用和云管平臺的建設(shè),在大數(shù)據(jù)共享、交換過程中,涉及到敏感數(shù)據(jù)和個(gè)人隱私數(shù)據(jù)的使用,缺乏相應(yīng)的大數(shù)據(jù)安全保障機(jī)制、數(shù)據(jù)信任體系和手段等,存在數(shù)據(jù)共享難、安全保障難等問題。
4、安全運(yùn)維監(jiān)管不到位
電力企業(yè)的應(yīng)用系統(tǒng)、業(yè)務(wù)系統(tǒng)、數(shù)據(jù)庫等IT系統(tǒng)多且復(fù)雜,有大量的外包及開發(fā)人員,系統(tǒng)運(yùn)維人員能力參次不齊,出現(xiàn)非法查詢、非法導(dǎo)出、誤刪除等違規(guī)行為,給數(shù)據(jù)安全帶來較大風(fēng)險(xiǎn)。
5、惡意行為攻擊難溯源
在日常安全運(yùn)營中,現(xiàn)有的技術(shù)和措施難以對攻擊行為進(jìn)行捕獲和分析,較難推測出攻擊者的意圖和動(dòng)機(jī)。由于防守方信息不對稱,導(dǎo)致在安全運(yùn)營中處于被動(dòng)挨打局面。
安全防護(hù)體系建設(shè)思路與方案
1、建設(shè)數(shù)據(jù)全生命周期安全風(fēng)險(xiǎn)管理的平臺
在總部或省公司信息管理大區(qū)部署數(shù)據(jù)風(fēng)險(xiǎn)管理平臺,實(shí)現(xiàn)對數(shù)據(jù)的分類、分級和標(biāo)識的自動(dòng)化處理。通過用戶實(shí)體行為的分析、用戶個(gè)人隱私數(shù)據(jù)的識別、數(shù)據(jù)防泄漏、數(shù)據(jù)防篡改、數(shù)據(jù)脫敏等一系列安全能力,實(shí)現(xiàn)對S6000系統(tǒng)的賦能和數(shù)據(jù)資產(chǎn)的動(dòng)態(tài)管理。做到多層次、智能化的安全防護(hù)。后續(xù)可陸續(xù)部署到生產(chǎn)管理大區(qū)。
2、部署基于機(jī)器學(xué)習(xí)的用戶實(shí)體行為分析系統(tǒng)(UEBA)
UEBA系統(tǒng)以用戶為中心,通過對系統(tǒng)日志、安全日志、網(wǎng)絡(luò)流量、威脅情報(bào)等數(shù)據(jù)進(jìn)行處理、分析和整合,完成用戶、實(shí)體、行為三要素關(guān)聯(lián),形成用戶的行為基線,通過用戶畫像和資產(chǎn)畫像,檢測出諸如賬號失陷、主機(jī)失陷、數(shù)據(jù)泄漏、權(quán)限濫用等風(fēng)險(xiǎn),發(fā)現(xiàn)網(wǎng)絡(luò)中周期長、頻率低、隱蔽強(qiáng)的安全事件,以極高的準(zhǔn)確率定位異常的用戶。
3、提升基于堡壘機(jī)的人員準(zhǔn)入和安全管控能力
在技術(shù)上要進(jìn)一步完善堡壘機(jī)的安裝部署,管理上要對堡壘機(jī)的策略進(jìn)行優(yōu)化,實(shí)行最小權(quán)限管理和進(jìn)行命令級別的權(quán)限控制,如禁止全盤執(zhí)行“rm-fr/”這樣的操作等。對管理員和運(yùn)維人員的權(quán)限進(jìn)行細(xì)粒度管理,進(jìn)行登記造冊,并定期檢查和優(yōu)化運(yùn)維人員的權(quán)限?;?qū)h(yuǎn)程運(yùn)維人員的IP、MAC地址進(jìn)行綁定,實(shí)現(xiàn)全程記錄和監(jiān)控,避免“刪庫跑路”的事件發(fā)生。尤其是即將離職人員,要及時(shí)收回或降低其管理權(quán)限。
4、完善欺騙式防御系統(tǒng)彌補(bǔ)傳統(tǒng)安全防護(hù)短板(蜜罐)
通過蜜罐系統(tǒng)對攻擊方進(jìn)行“欺騙”,達(dá)到反制的目的。布置一些作為誘餌的主機(jī)、網(wǎng)絡(luò)服務(wù)或者信息,誘使攻擊方對它們實(shí)施攻擊,實(shí)現(xiàn)對攻擊行為的捕獲和分析,來了解攻擊方所使用的工具與方法,以此推測攻擊意圖和動(dòng)機(jī),對其攻擊進(jìn)行溯源,甚至可以實(shí)施反擊。在合規(guī)層面,滿足《網(wǎng)絡(luò)安全法》中提出的“通過實(shí)戰(zhàn)攻防提升攻防實(shí)戰(zhàn)水平”的要求。
總結(jié)
面對電力行業(yè)數(shù)據(jù)體量大、類型多、防范難的特點(diǎn)。建議在管理方面健全現(xiàn)有制度、優(yōu)化管理流程、提升人員能力和做好常態(tài)化安全意識教育。在技術(shù)方面聚焦敏感數(shù)據(jù)保護(hù),通過數(shù)據(jù)風(fēng)險(xiǎn)管理、用戶實(shí)體行為分析、蜜罐等新安全技術(shù)的研究和部署,形成全面的數(shù)據(jù)安全管理防護(hù)體系。