電力是國家重要基礎產(chǎn)業(yè)����,關乎一個國家的繁榮發(fā)展與社會穩(wěn)定�����。當前�����,針對大數(shù)據(jù)的攻擊和數(shù)據(jù)泄露日益嚴重,國家相繼出臺了一系列數(shù)據(jù)安全法規(guī)��,以明確與規(guī)范大數(shù)據(jù)安全工作的相關要求����,而這些潛在的數(shù)據(jù)威脅在電力相關行業(yè)中表現(xiàn)得更為明顯���。
近日���,國家能源局發(fā)布關于印發(fā)《電力安全生產(chǎn)“十四五”行動計劃》的通知��。提出了“十四五”是向“碳達峰”目標邁進的關鍵期和窗口期���,強調(diào)要提高數(shù)據(jù)的可靠性和實用性以及大數(shù)據(jù)在電力可靠性管理中的應用�。
1電力行業(yè)的現(xiàn)狀及分析
1、真實性高,時序性強,數(shù)據(jù)量大
電力系統(tǒng)在其數(shù)據(jù)采集����、傳輸�����、存儲、處理���、使用等全流程過程中持續(xù)生產(chǎn)著海量的數(shù)據(jù),由于其真實性高��,時序性強���,數(shù)據(jù)量大的特點����,數(shù)據(jù)采集時的身份驗證,傳輸時的數(shù)據(jù)加密�,存儲時的數(shù)據(jù)加密����,處理時的安全審計����,使用時的安全應用和校驗�,都是電力大數(shù)據(jù)中不可或缺的安全機制。同時�����,在部分智能電網(wǎng)的數(shù)據(jù)中可能涉及到用戶的身份信息��、實時數(shù)據(jù)等隱私內(nèi)容��,如果不加以控制,且企業(yè)有采用第三方服務進行外包數(shù)據(jù)處理,極易造成用戶隱私數(shù)據(jù)的泄漏。
2����、風險行為監(jiān)控不足
電力企業(yè)規(guī)模龐大��、系統(tǒng)繁雜、網(wǎng)絡復雜、業(yè)務特殊��、人員眾多�,日常工作中發(fā)生越權訪問、下載或篡改數(shù)據(jù)等違規(guī)操作行為難以及時發(fā)現(xiàn)和定位,往往對內(nèi)部數(shù)據(jù)安全事件的預防和調(diào)查造成困擾��;因此����,需要加強對數(shù)據(jù)資產(chǎn)的細粒度審計監(jiān)控。
3��、數(shù)據(jù)安全體系需優(yōu)化
電力行業(yè)數(shù)據(jù)安全治理體系需要進一步優(yōu)化��,需明確主管部門���、用電單位��、基礎設施運營單位等多方主體在保護電力數(shù)據(jù)安全方面權責義務�����;另一方面多數(shù)省份的電力分公司還未明確制定相關的數(shù)據(jù)安全戰(zhàn)略規(guī)劃���,數(shù)據(jù)安全治理的重視程度和治理深度不足����、具體需求還有待挖掘�,數(shù)據(jù)安全相關人才也缺乏。
2電力行業(yè)數(shù)據(jù)安全咨詢規(guī)劃體系設計
依據(jù)《數(shù)據(jù)安全能力成熟度模型》��,從組織建設�����、制度流程�����、技術工具�����、人員能力四方面開展數(shù)據(jù)安全防護體系建設,為國網(wǎng)系統(tǒng)打造數(shù)據(jù)安全防護體系 ��。
1組織建設
成立牽頭組織���,開展集中工作��,注重協(xié)同保障����,明確各方職責����。
2制度流程
開展現(xiàn)有工作流程優(yōu)化及新增工作流程建設���,明確安全管理規(guī)范及安全責任矩陣���。
3技術工具
打造數(shù)據(jù)安全支撐體系�����,覆蓋五大數(shù)據(jù)域�����,從采集、存儲���、傳輸、處理�����、交換到銷毀全過程�。
4人員能力
明確人員能力要求,開展安全技能培訓��,提升人員安全防護能力����。
電力行業(yè)數(shù)據(jù)安全治理頂層設計框架
1、加強組織保障,注重工作協(xié)同明確工作職責
參照《信息安全技術數(shù)據(jù)安全能力成熟度模型》中組織建設的相關要求���,成立由省互聯(lián)網(wǎng)部牽頭��、業(yè)務部門協(xié)同的數(shù)據(jù)安全提升專項工作組�����,下設頂層規(guī)劃組、業(yè)務支撐組、技術保障組,組織開展常態(tài)化集中辦公��,有效降低溝通成本�����、形成工作合力��。制定數(shù)據(jù)安全專項提升行動方案,建立“日整改、周提升�����、月評價”的工作機制�,實行數(shù)據(jù)安全工作清單化管理,確保工作成效和問題閉環(huán)管理。
數(shù)據(jù)安全管理工作遵循“責任明確���、授權合理、流程規(guī)范����、技管結(jié)合”的工作方針����。按照“誰主管誰負責、誰運營誰負責、誰使用誰負責���、誰接入誰負責”的原則,明確責任分工,確保責任到位����。提升自動化與智能化數(shù)據(jù)安全管控能力。
2、強化流程建設,確保覆蓋到位
根據(jù)數(shù)據(jù)安全現(xiàn)狀盤點及安全評估結(jié)果�,在現(xiàn)有工作流程上進行優(yōu)化���,并根據(jù)數(shù)據(jù)安全管理要求�����,新增相關管控流程,開展流程規(guī)劃和制度實施。完成現(xiàn)有工作流程的優(yōu)化工作�����,并結(jié)合實際需求新增數(shù)據(jù)安全管控流程�。
3、強化流程建設��,確保覆蓋到位
根據(jù)數(shù)據(jù)安全現(xiàn)狀盤點及安全評估結(jié)果�,在現(xiàn)有工作流程上進行優(yōu)化,并根據(jù)數(shù)據(jù)安全管理要求�����,新增相關管控流程�,開展流程規(guī)劃和制度實施。完成現(xiàn)有工作流程的優(yōu)化工作����,并結(jié)合實際需求新增數(shù)據(jù)安全管控流程�����。
4、強化流程制定建設,確保任務可執(zhí)行
貫徹電力“十四五”規(guī)劃發(fā)展方向,落實國網(wǎng)發(fā)展戰(zhàn)略,設定各省分公司的數(shù)據(jù)安全目標�,根據(jù)內(nèi)外部環(huán)境�,形成層次化�����、可執(zhí)行的制度文件。
5�、開展人員能力建設���,明確安全能力要求
人員是數(shù)據(jù)安全工作開展的主要參與方����,根據(jù)人員角色�、崗位職責,從安全意識培養(yǎng)��、安全能力培訓���、安全能力考核三方面入手構(gòu)建相適應的人才培養(yǎng)機制.最后還需加強內(nèi)部培訓與專業(yè)機構(gòu)外訓相結(jié)合的推進策略�。
須知能源無小事!電力是攸關國家安全�、社會穩(wěn)定與經(jīng)濟發(fā)展的關鍵行業(yè)����,電力企業(yè)對數(shù)據(jù)安全的防護工作更加不容有失�����。數(shù)據(jù)安全咨詢評估能夠為電力企業(yè)及時發(fā)現(xiàn)數(shù)據(jù)安全存在問題���,指明發(fā)展方向���,提升數(shù)據(jù)安全治理能力��,助力國網(wǎng)企業(yè)鞏固數(shù)字化轉(zhuǎn)型之旅���。
