6月15日，國網山東省電力公司數據安全風險監(jiān)測系統(tǒng)正式運行已滿四個月，系統(tǒng)對山東電力數據中臺的訪問監(jiān)測達到530余萬次。該系統(tǒng)是國網山東電力構建數據全生命周期安全防護體系的重要成果。依托該系統(tǒng)，國網山東電力構建了電力數據安全監(jiān)測的新模式。

　　隨著電力系統(tǒng)的發(fā)展，電網原有的網絡安全架構隨業(yè)務重構發(fā)生顯著變化，對數據安全防護體系建設提出了更高的要求。從2021年起，國網山東電力緊跟外部形勢變化，依據國家法律法規(guī)要求，不斷完善數據管理風險防控和監(jiān)督保障，創(chuàng)新構建數據全生命周期安全防護體系，深度釋放電力大數據價值。

　　物理防范

　　把好數據安全防護第一關

　　業(yè)務數據的安全采集是實現電網數據安全精準化防護的第一關。

　　從2021年開始，在數據采集環(huán)節(jié)，國網山東電力推廣應用具有自主知識產權的新一代信息安全接入網關，持續(xù)增強采集終端的安全認證和監(jiān)測能力。今年年初，新型網關已在該公司用電信息采集、綜合能源服務、現場作業(yè)管控等業(yè)務場景中廣泛應用，解決了終端設備海量接入、采集數據爆炸式增長帶來的數據接入安全問題。該公司還利用安全準入控制探針等技術手段，配合網關嚴格管控物聯(lián)終端、桌面終端等數據采集主體，防范終端非法接入等風險，堅決杜絕終端和數據“帶病”入網。

　　為確保數據安全傳輸，杜絕數據被竊聽、篡改等風險，國網山東電力還依托信息安全接入網關，在內外網邊界設立無線公網安全接入專區(qū)，為日益增多的無線終端配置安全加密卡，并在加密卡中內置一一對應的國密數字證書，進一步從物理層面提高內外網數據傳輸通道的安全性。

　　“嚴謹的密鑰管理是數據傳輸的關鍵，對數據安全傳輸至關重要。今年春檢工作中，我們在變電站機房、檢測設備等終端之間部署即時協(xié)商加密密鑰，對傳輸數據進行加密，傳輸結束后及時銷毀密鑰，實現了‘一次一密’，最大限度確保了無線終端安全傳輸。”山東電力信通公司安全員王聰說。

　　為做好數據安全存儲，國網山東電力在企業(yè)數據中臺建設了靜態(tài)脫敏專區(qū)，將原始負面清單數據脫敏后單獨存儲，以兼顧數據合規(guī)監(jiān)管和數據使用的不同需求。同時，該公司強化數據存儲環(huán)節(jié)權限管控，按照人員角色、工作空間、數據類別等維度劃分數據權限和隔離范圍，建立隔離工作空間122個，實現了對不同安全等級數據的存儲空間隔離。

　　在線監(jiān)測

　　確保數據全鏈路應用安全

　　“數據安全風險監(jiān)測系統(tǒng)上線后，我們日常排查隱患更方便了，各項業(yè)務經營數據的儲存和使用也更安全了，實現了各類數據‘沒有權限看不到、看到數據拿不走、數據泄露可追溯’。”山東電力信通公司安全員于航介紹。

　　為強化數據全鏈路流轉安全防護，從2021年1月起，國網山東電力針對電力數據體量大、價值高、共享場景多等特點，依照“從不信任、持續(xù)評估、動態(tài)控制”的“零信任”理念，組織技術人員自主研發(fā)數據安全風險監(jiān)測系統(tǒng)。今年2月份上線后，系統(tǒng)實現了重要數據從貼源層到應用場景流轉全鏈路可視化監(jiān)測，支撐了500個云上微服務微應用數據流轉核查，確保數據流轉全鏈路“可知可信、可管可控”。

　　數據安全風險監(jiān)測系統(tǒng)從中臺用戶、數據服務、中臺數據相關業(yè)務系統(tǒng)等5個視角入手，參考數據訪問量、預警數量、中臺用戶權限3個維度，構建起數據量異常、非正常時間訪問、一賬號多用戶使用等13個數據風險預警模型。這些模型可動態(tài)分析數據流轉全鏈路中存在的安全風險，并根據風險等級進行排名，為數據安全風險分析提供輔助決策，確保及時發(fā)現并阻斷違規(guī)行為。同時，系統(tǒng)針對數據共享和數據使用過程中的數據泄露風險，綜合利用混淆標記、單條數據多點溯源等技術手段實現對泄露行為的反向追蹤溯源，降低風險，助力數據共享安全。

　　“新的監(jiān)測系統(tǒng)還設置了數據權限自動核查功能，能夠自動篩出數據權限不合理的賬號，改變了以往通過導出表格定期進行數據權限篩查的方式。”于航介紹，新系統(tǒng)能夠統(tǒng)一分析電網業(yè)務、日常辦公等系統(tǒng)與后臺的賬號數據權限，并對照內置的數據安全風險感知模型開展核查，解決了數據訪問權限不透明、易失控等難題，實現數據中臺全量賬戶數據權限的快速核查和監(jiān)測。

　　截至目前，該系統(tǒng)累計完成17.4萬余條中臺數據權限核查，涉及中臺賬號78個，累計核查收緊中臺數據權限981項。

　　協(xié)同處置

　　強化數據安全風險預警

　　沒有監(jiān)督的信任等于放任。從2021年開始，國網山東電力組織各業(yè)務部門和山東電科院信息安全實驗室業(yè)務骨干，按季度開展“業(yè)務場景+數據風險”技術督查。針對發(fā)現的內部高風險數據活動和外來攻擊，國網山東電力參照國家法律法規(guī)、內部制度標準及合同約定，制訂相應的應急防護預案與違規(guī)事件調查處置方案，確保在出現數據安全突發(fā)事件時能夠最大限度地化解風險、降低損失。截至目前，督查工作已發(fā)現并消除營銷、財務等專業(yè)場景數據安全隱患328項。

　　在做好數據安全風險預警及協(xié)同處置的基礎上，國網山東電力建立省市縣一體化的數據隱患整改機制，以風險發(fā)現、風險確認、風險消除為工作線條，常態(tài)化組織各單位開展數據安全隱患督查、確認和整改工作。該公司構建名為“紅箭行動”的模擬攻擊演練機制，精心挑選實戰(zhàn)能力優(yōu)秀的網絡安全紅隊隊員，以不打招呼、不限路徑的方式，每年4次不定期對所屬各單位在運系統(tǒng)、相關終端等進行定向攻擊測試，以檢驗各單位數據安全防護工作情況。2021年，“紅箭行動”發(fā)現重大隱患10余項、漏洞153個，相關隱患漏洞均被及時消除。

　　“除了內部深化數據安全協(xié)同監(jiān)管，我們還不斷加強與外部單位的數據安全協(xié)作，強化風險聯(lián)合處置。”國網山東電力數字化部五級職員陳劍飛介紹。2021年11月，國網山東電力與山東網信辦、公安廳等單位深度合作，建立政企數據安全協(xié)作機制，配合山東網信辦編制《山東省智慧城市網絡安全建設指南和評價規(guī)范》中的數據安全防護要求，完善數據失泄密聯(lián)合溯源流程，與政府部門聯(lián)合打擊數據竊取行為，織密數據對外“防護網”，獲得了相關部門的高度肯定。（任曉文 陳劍飛 張婕）