趙 磊 張 劍 王曉梅
(國網(wǎng)蘇州供電公司,江蘇 蘇州 215000)
隨著新一代信息技術(shù)發(fā)展,國家電網(wǎng)的數(shù)據(jù)價值有待加速挖掘,使電力數(shù)據(jù)普惠各行各業(yè)。然而,全球信息安全問題不斷的演化升級,新技術(shù)新應(yīng)用給國家安全帶來了很大挑戰(zhàn)[1]。因此,在數(shù)據(jù)共享訪問過程中,如何確保用戶的隱私和數(shù)據(jù)的安全是非常有必要研究的熱點問題。
目前,針對政務(wù)大數(shù)據(jù)的安全研究較多。國家信息中心羅海寧[2]針對政務(wù)數(shù)據(jù)共享提出“數(shù)據(jù)堡壘”的概念。吳迎[4]等針對政企大數(shù)據(jù)安全問題,從信息系統(tǒng)安全防護(hù)、數(shù)據(jù)全生命周期安全和數(shù)據(jù)應(yīng)用角色安全職責(zé)3個維度分析構(gòu)建了大數(shù)據(jù)安全保障體系。嚴(yán)少敏從增強數(shù)據(jù)安全治理規(guī)則的彈性、強化數(shù)據(jù)安全治理的技術(shù)方案、細(xì)化數(shù)據(jù)安全風(fēng)險治理的場景、提升社會各界對數(shù)據(jù)安全治理的參與度 4 個方面,分析了《個人信息安全規(guī)范》(修訂版)[3]。針對安全問題,2016 年第十二屆全國人民代表大會常務(wù)委員會通過《中華人民共和國網(wǎng)絡(luò)安全法》[4],2019 年正式發(fā)布了 GB/T 37988—2019《信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型》。標(biāo)準(zhǔn)的實施和數(shù)據(jù)共享的規(guī)范化為數(shù)據(jù)安全共享奠定了良好的基礎(chǔ)。
電力大數(shù)據(jù)涉及每個家庭和每個企業(yè),可以實時反映家庭和企業(yè)的運行狀態(tài)信息以及信用信息等,具有規(guī)模大、數(shù)據(jù)量多和覆蓋面廣等特點。因此,電力數(shù)據(jù)應(yīng)用需求大,數(shù)據(jù)的安全性尤為重要。研究者已經(jīng)對電力數(shù)據(jù)系統(tǒng)訪問的安全問題進(jìn)行了初步探索,包括基于 USB 令牌來對用戶信息讀取等確保用戶訪問安全[5],基于區(qū)域塊鏈支持用戶電力數(shù)據(jù)上鏈,確保電力數(shù)據(jù)存儲的安全性。這些都是從數(shù)據(jù)本身來確保安全,并沒有從管理機制上考慮相關(guān)問題。 為了能夠確保電力數(shù)據(jù)安全,該文重點從管理機制方面探討了電力大數(shù)據(jù)對外服務(wù)安全,并以國家電網(wǎng)蘇州供電公司為例,設(shè)計了一套電力數(shù)據(jù)對外服務(wù)的全過程管控流程,以便于加強電力數(shù)據(jù)對外服務(wù)的安全管控。
隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展,電力數(shù)據(jù)對外共享引起的數(shù)據(jù)泄密渠道日益增多, 竊密手段更加隱蔽,數(shù)據(jù)保密任務(wù)更加繁重,保密管理難度進(jìn)一步加大。新一代信息技術(shù)環(huán)境下保密管理工作面臨以下問題。
隨著信息化技術(shù)發(fā)展,竊密手段更加“高端”化、途徑更加隱蔽化。例如, 通過無線設(shè)備控制計算機,使得該計算機電力數(shù)據(jù)被遠(yuǎn)程接收和還原;各類竊密“木馬”可以通過 Email、移動設(shè)備植入電腦或網(wǎng)絡(luò),觸發(fā)后就可以從世界各地快速下載涉密電力數(shù)據(jù)。
由于電力數(shù)據(jù)剛剛開始提供對外服務(wù),開發(fā)工程師或者數(shù)據(jù)專員的保密意識不強,這導(dǎo)致電力公司對外提供數(shù)據(jù)服務(wù)接口的安全性較弱,例如接口防攻擊性能、數(shù)據(jù)加密和數(shù)據(jù)脫敏等方面考慮不周到。這可能導(dǎo)致電力企業(yè)對外提供數(shù)據(jù)對外服務(wù)的時候,引起竊密者關(guān)注,導(dǎo)致數(shù)據(jù)泄露。
在現(xiàn)有的電力保密管理制度中,電力數(shù)據(jù)保密專員缺乏,對保密制度和措施的更新緩慢,特別是電力數(shù)據(jù)的網(wǎng)絡(luò)應(yīng)用過程中的保密管理制度、保密安全規(guī)范等文件和措施缺少;對涉密電力數(shù)據(jù)、涉密電力數(shù)據(jù)應(yīng)用系統(tǒng)、涉密保存和傳輸電力數(shù)據(jù)等設(shè)施的保密防范意識薄弱,這些都給保密管理工作留下了漏洞和隱患。 因此,如何加強新一代信息技術(shù)環(huán)境下電力數(shù)據(jù)保密工作,采取有效的應(yīng)對措施,非常有必要。該文以蘇州供電公司為例,重點介紹了電力數(shù)據(jù)共享服務(wù)全過程監(jiān)管機制和對外服務(wù)流程規(guī)范,加強保密制度建設(shè)。
電力數(shù)據(jù)主要應(yīng)用于共享過程中,除了要采用接口安全測試、IP 許可等常規(guī)操作加強數(shù)據(jù)共享防范能力外,還需要對數(shù)據(jù)共享全過程進(jìn)行監(jiān)管。數(shù)據(jù)共享前,首先要對數(shù)據(jù)應(yīng)用需求進(jìn)行審查,在進(jìn)行數(shù)據(jù)脫敏處理后,通過數(shù)據(jù)的安全審查才能對外提供服務(wù)。 在數(shù)據(jù)對外提供服務(wù)后,仍然要進(jìn)行審計跟蹤,只有跟蹤審計過程中符合要求,才可以繼續(xù)對外提供服務(wù)。否則將停止對外服務(wù)。全過程管控流程如圖 1 所示。
國網(wǎng)江蘇省電力有限公司針對公司內(nèi)部對外提供數(shù)據(jù)服務(wù)制定了相關(guān)管理規(guī)定,為了加強在對外數(shù)據(jù)服務(wù)中的秘密數(shù)據(jù)管理,特別提出了加強保密管理, 蘇州供電公司進(jìn)行數(shù)據(jù)對外服務(wù)的需求受理、聯(lián)合審批、聯(lián)合備案、脫敏提供數(shù)據(jù)流程,具體內(nèi)容如圖2所示。相關(guān)措施如下。1)需求受理:業(yè)務(wù)部門接受外部數(shù)據(jù)需求申請,詳細(xì)了解對外提供數(shù)據(jù)的具體內(nèi)容、范圍、用途及數(shù)據(jù)需求方詳細(xì)信息,并按照保密要求進(jìn)行初審。 2)聯(lián)合審核:業(yè)務(wù)部門將需求提交給數(shù)據(jù)產(chǎn)生部門后,由數(shù)據(jù)產(chǎn)生部門聯(lián)合保密管理部門進(jìn)行審核,并提出審核意見,明確是否可以提供; 對不能提供的說明原因并回復(fù)給數(shù)據(jù)需求方,可以提供的首先審查需求是否包括公司企業(yè)秘密數(shù)據(jù),如果包括則必須與數(shù)據(jù)需求方進(jìn)行 保密協(xié)議的簽訂,而且還需要進(jìn)行標(biāo)密顯示數(shù)據(jù)對應(yīng)的密級;對外提 供的數(shù)據(jù)還需要判定是否涉及敏感信息,如果涉及則需要進(jìn)行脫敏處理。 3)聯(lián)合備案:業(yè)務(wù)部門向數(shù)據(jù)資產(chǎn)管理部門、保密管理部門報備對外數(shù)據(jù)提供情況,具體包括提供的具體內(nèi)容、范圍及相關(guān)協(xié)議,數(shù)據(jù)資產(chǎn)部門從歸口管理角度進(jìn)行把關(guān),對不符合要求的及時反饋業(yè)務(wù)部門。聯(lián)合備案既方便公司內(nèi)部保密工作管理,也給提供數(shù)據(jù)的部門或者人員進(jìn)行警醒;同時,也有利于分析電力數(shù)據(jù)的主要去向。 數(shù)據(jù)提供:經(jīng)資數(shù)據(jù)資產(chǎn)管理部門聯(lián)合保密管理部門備案確認(rèn)后,簽訂保密協(xié)議,由業(yè)務(wù)部門實施對外數(shù)據(jù)提供。
圖1 涉密數(shù)據(jù)全生命周期過程管控流程圖
圖2 對外提供數(shù)據(jù)審批流程
電力數(shù)據(jù)按照安全等級可以分為核心商密、普通商密和工作秘密三類密級的數(shù)據(jù)對外提供服務(wù)。在數(shù)據(jù)對外提供服務(wù)過程中,偶爾會由于使用者發(fā)生變化、使用范圍變化或者角色變化等,而導(dǎo)致對外提供數(shù)據(jù)不規(guī)范或者泄密。因此,有必要對正在對外提供數(shù)據(jù)服務(wù)進(jìn)行定期或者不定期審查。 根據(jù)備案情況,選擇在保密周期內(nèi)的核心商密和普通商密數(shù)據(jù),按計劃進(jìn)行動態(tài)跟蹤審計,定期跟蹤審計流程如圖 3 所示。在數(shù)據(jù)的動態(tài)日志記錄中對數(shù)據(jù)使用單位、使用時間和角色進(jìn)行審查,如果使用單位或者使用時間或角色存在不一致的情況,立即停止數(shù)據(jù)對外提供的服務(wù),并對數(shù)據(jù)提供單位和數(shù)據(jù)使用人所在單位(部門)下發(fā)對外提供涉密數(shù)據(jù)問題整改單,共同分析問題根源,跟蹤整改情況,直至問題整改結(jié)束。如果非主觀原因,根據(jù)需要重新恢復(fù)對外數(shù)據(jù)提供服務(wù)。否則,將終止對該單位提供數(shù)據(jù)服務(wù)。對于工作秘密數(shù)據(jù),主要是不定期地進(jìn)行動態(tài)跟蹤審計。
圖3 核心商密或普通商密數(shù)據(jù)對外提供服務(wù)追蹤審計流程
數(shù)據(jù)安全是電力部門提供數(shù)據(jù)對外服務(wù)的基礎(chǔ),該文重點圍繞電力數(shù)據(jù)對外提供服務(wù)存在的風(fēng)險,建立了電力數(shù)據(jù)保密管理機制,闡述了電力數(shù)據(jù)對外服務(wù)全生命周期管控流程,提升電力數(shù)據(jù)對外提供服務(wù)的管控力度,控制數(shù)據(jù)泄密事件發(fā)生。