電力監(jiān)控系統(tǒng)敏感數(shù)據(jù)存儲安全技術(shù)分析

吳金宇 蘇揚 江澤銘 易思瑤 張富川

（中國南方電網(wǎng)電力調(diào)度控制中心 廣東省廣州市 510623）

電力監(jiān)控系統(tǒng)主要作用是對其管轄范圍內(nèi)的電網(wǎng)進行集中監(jiān)控，收集電網(wǎng)各種資產(chǎn)和設(shè)備的運行和生產(chǎn)數(shù)據(jù)，并將其存儲在數(shù)據(jù)庫中。其中這些數(shù)據(jù)主要包括電網(wǎng)模型數(shù)據(jù)、發(fā)電計劃數(shù)據(jù)、關(guān)鍵負荷數(shù)據(jù)、設(shè)備控制數(shù)據(jù)和用戶管理數(shù)據(jù)等這些數(shù)據(jù)與電力安全生產(chǎn)有著密切的關(guān)系。然而，在數(shù)據(jù)存儲方面，只有極少部分關(guān)鍵數(shù)據(jù)被加密，例如管理用戶的關(guān)鍵數(shù)據(jù)，而其他重要的關(guān)鍵數(shù)據(jù)，例如設(shè)備模型數(shù)據(jù)、電力生產(chǎn)計劃數(shù)據(jù)、關(guān)鍵負荷數(shù)據(jù)、設(shè)備控制數(shù)據(jù)等仍以純文本形式存儲在數(shù)據(jù)庫中。隨著“重業(yè)務(wù)、輕安全”的發(fā)展思路，人員的數(shù)據(jù)安全防護意識薄弱，數(shù)據(jù)安全防護不到位，入侵者能夠很容易通過數(shù)據(jù)庫獲取到電網(wǎng)設(shè)備的關(guān)鍵模型數(shù)據(jù)、關(guān)鍵控制指令數(shù)據(jù)、關(guān)鍵負荷數(shù)據(jù)以及發(fā)電計劃數(shù)據(jù)等，造成電力系統(tǒng)的一些關(guān)鍵數(shù)據(jù)泄密事件，給發(fā)電帶來了嚴重的安全隱患。因此，本文對電力監(jiān)控系統(tǒng)中存儲關(guān)鍵數(shù)據(jù)的安全技術(shù)進行了研究和分析，以確保關(guān)鍵數(shù)據(jù)的安全，從而保證電力監(jiān)控系統(tǒng)的安全穩(wěn)定運行。

1 電力監(jiān)控系統(tǒng)數(shù)據(jù)現(xiàn)狀分類

電力監(jiān)控系統(tǒng)數(shù)據(jù)應(yīng)包括靜態(tài)模型參數(shù)數(shù)據(jù)、管理用戶數(shù)據(jù)、實時動態(tài)斷面數(shù)據(jù)和歷史數(shù)據(jù)。其中模型數(shù)據(jù)應(yīng)包括網(wǎng)格設(shè)備的模型數(shù)據(jù)和收集的模型數(shù)據(jù)；管理用戶數(shù)據(jù)主要指與用戶組、用戶和授權(quán)角色有關(guān)的數(shù)據(jù)；實時動態(tài)斷面數(shù)據(jù)包含聯(lián)絡(luò)線的有功、無功、電流數(shù)據(jù)，母線的電壓數(shù)據(jù)，負荷的有功、無功、電流數(shù)據(jù)，發(fā)電機的有功、無功出力數(shù)據(jù)，電容電抗器的無功數(shù)據(jù)，變壓器的檔位、溫度數(shù)據(jù)，以及負荷計劃、機組計劃數(shù)據(jù)等；歷史數(shù)據(jù)是指所有斷面數(shù)據(jù)在指定的間隔周期內(nèi)存儲到數(shù)據(jù)庫的數(shù)據(jù)。此外，還包含一些非模型數(shù)據(jù)，如報警描述數(shù)據(jù)、調(diào)度日志數(shù)據(jù)、軟件用戶手冊、功能技術(shù)規(guī)范等。

2 敏感數(shù)據(jù)管理與處理

敏感數(shù)據(jù)管理與處理本文中主要通過敏感數(shù)據(jù)分類、定級、脫敏等三個方面進行了研究與分析。

2.1 敏感數(shù)據(jù)分類

為了便于為敏感數(shù)據(jù)制定合理的數(shù)據(jù)安全策略，在掃描待識別的數(shù)據(jù)集并識別所有敏感數(shù)據(jù)后，有必要對電力監(jiān)測系統(tǒng)的數(shù)據(jù)資產(chǎn)進行分類。文中分別基于內(nèi)容和用戶對敏感數(shù)據(jù)分為以下兩類：

圖1：敏感數(shù)據(jù)定級別圖

（1）采用基于DLP的內(nèi)容匹配策略和算法，將數(shù)據(jù)分為公共數(shù)據(jù)、外部敏感數(shù)據(jù)、部門間內(nèi)部敏感數(shù)據(jù)、部門內(nèi)部敏感數(shù)據(jù)、極端敏感數(shù)據(jù)等。

（2）當(dāng)沒有明確的合規(guī)性指示時，采用基于用戶的分類；可以為用戶提供分類工具，根據(jù)實際情況對數(shù)據(jù)進行分類，如公開數(shù)據(jù)、僅供內(nèi)部使用的數(shù)據(jù)等。

2.2 敏感數(shù)據(jù)定級

為便于對敏感數(shù)據(jù)進行管理，需要對敏感數(shù)據(jù)進行定級，按照敏感級別的不同，采取不同管理措施。一般情況下，敏感數(shù)據(jù)定級別圖如1所示。

2.3 敏感數(shù)據(jù)脫敏

數(shù)據(jù)脫敏是指通過脫敏規(guī)則對某些敏感信息進行變形，以實現(xiàn)對敏感隱私數(shù)據(jù)的可靠性防護。當(dāng)涉及客戶安全數(shù)據(jù)或某些商業(yè)敏感數(shù)據(jù)時，實際數(shù)據(jù)會被轉(zhuǎn)換，并在不違反系統(tǒng)規(guī)則的情況下供測試使用。本文對敏感數(shù)據(jù)進行脫敏處理，主要基于采用脫敏國密算法對敏感數(shù)據(jù)進行加密/解密處理。國密算法是國家加密局制定的標(biāo)準(zhǔn)算法，包括對稱加密算法、非對稱加密算法以及雜湊算法等。

2.3.1 密鑰管理

在國密算法中，無論是對稱算法、非對稱算法還是雜湊算法，密鑰都必須參與算法的計算。因此，在信息安全領(lǐng)域，正確的密鑰管理是非常重要的。密鑰管理必須管理整個密鑰的生命周期，確保私鑰不被未經(jīng)授權(quán)的人訪問、使用、披露、修改和替換，并確保公鑰不被未經(jīng)授權(quán)的人修改和替換。當(dāng)前電力監(jiān)控系統(tǒng)中使用的雙因子登錄調(diào)度員密鑰存儲在USB閃存驅(qū)動器中，并由調(diào)度員存儲。當(dāng)您登錄或執(zhí)行系統(tǒng)操作時，系統(tǒng)會將其插入計算機中的USB閃存驅(qū)動器完成雙因子身份驗證。在存儲敏感數(shù)據(jù)的過程中，存儲本身是一種動態(tài)行為，關(guān)鍵數(shù)據(jù)實時存儲在庫中。因此，此過程不適用于使用USB閃存驅(qū)動器保存密鑰。

2.3.2 安全控件研究

對于密鑰敏感數(shù)據(jù)的存儲，原始數(shù)據(jù)通過加密算法進行處理，加密后的數(shù)據(jù)存儲在庫中，以確保密鑰敏感數(shù)據(jù)的機密性；從庫中讀取數(shù)據(jù)時，將通過解密算法進行處理，并恢復(fù)為原始存儲數(shù)據(jù)，以供其他授權(quán)應(yīng)用程序服務(wù)使用。開發(fā)統(tǒng)一的安全控件產(chǎn)品，提供統(tǒng)一的算法應(yīng)用，安全高效地存儲各種電力監(jiān)控系統(tǒng)應(yīng)用服務(wù)的敏感數(shù)據(jù)是解決當(dāng)前密鑰敏感數(shù)據(jù)加密存儲問題的一種快速有效的方法。作為安全控件產(chǎn)品必須保證自身的安全，首先必須混淆密鑰代碼，以防止代碼文件被反編譯和解碼；其次必須確保自身的安全，以避免被特洛伊木馬或其他病毒入侵。

3 敏感數(shù)據(jù)識別規(guī)則

對電力監(jiān)控系統(tǒng)的數(shù)據(jù)進行敏感識別研究，本文中主要采用人工指定與自定義規(guī)則自動識別相結(jié)合方式進行識別。其中人工指定方式用于對某些固定的數(shù)據(jù)實時進行敏感數(shù)據(jù)處理；自定義規(guī)則自動識別用于自動掃描數(shù)據(jù)庫表或文件，按照定義好的特征規(guī)則識別發(fā)現(xiàn)敏感數(shù)據(jù)。

3.1 人工指定

人工指定方式就是由用戶來指定那些數(shù)據(jù)為敏感數(shù)據(jù)。用戶可對電力監(jiān)控系統(tǒng)中某些類型一致的數(shù)據(jù)進行指定，這一類數(shù)據(jù)是關(guān)系到電力生產(chǎn)安全的數(shù)據(jù)，是結(jié)構(gòu)化的數(shù)據(jù)，這類數(shù)據(jù)的泄密能對電力安全生產(chǎn)產(chǎn)生直接影響。譬如管理用戶數(shù)據(jù)表中的用戶密鑰數(shù)據(jù)、采集模型中的控制點號數(shù)據(jù)、發(fā)電機組的計劃發(fā)電數(shù)據(jù)、關(guān)鍵負荷的負荷數(shù)據(jù)等，把這類數(shù)據(jù)定義為敏感數(shù)據(jù)，需要在存儲時進行脫敏處理。人工指定方式需要擴展自動化監(jiān)控系統(tǒng)的庫表，由人工在數(shù)據(jù)庫中對數(shù)據(jù)進行敏感性定義。目前調(diào)度自動化系統(tǒng)涵蓋了整個電網(wǎng)的數(shù)據(jù)，數(shù)據(jù)量龐大，需要耗費大量的人力來實現(xiàn)，效率較低；廠站自動化系統(tǒng)數(shù)據(jù)量較小，可采用人工指定的方式實現(xiàn)對敏感數(shù)據(jù)的識別定義。

3.2 規(guī)則自動識別

敏感數(shù)據(jù)通過規(guī)則自動識別，需要定義規(guī)則特征庫，通過規(guī)則特征庫中的特征關(guān)鍵詞與數(shù)據(jù)庫中的數(shù)據(jù)進行匹配，進而識別出敏感數(shù)據(jù)。規(guī)則特征庫實際上是一個詞庫字典，字典中定義敏感數(shù)據(jù)的特征關(guān)鍵字，通過掃描數(shù)據(jù)庫或文件中的數(shù)據(jù)進行特征匹配檢查來識別敏感數(shù)據(jù)。其中詞庫字典建立過程如下：

（1）首先，是預(yù)處理過程，對要進行識別的數(shù)據(jù)集進行訓(xùn)練并加以處理，提取出初步特征詞匯集；

（2）其次，是特征詞篩選過濾，對其中的沒有意義的特征詞，譬如虛詞、代詞等要進行刪除處理，最后得到更有意義、更具代表性的特征詞，一般采用“TF-IDF”加權(quán)重技術(shù)處理特征詞，一個詞在被處理時出現(xiàn)的次數(shù)越多，則表征這個詞很重要，其代表著其向量權(quán)重就越高，作為特征詞規(guī)則的價值就越大；

（3）最后，人工手動確定最佳特征詞。在建立和完善詞庫詞典后，對詞庫進行人工分類識別，進一步提取敏感詞；相關(guān)技術(shù)人員合理地檢查敏感詞和容易識別的數(shù)據(jù)，并收集和整理這些敏感詞和數(shù)據(jù)，形成敏感詞匯詞典。

3.3 敏感數(shù)據(jù)識別方法

3.3.1 人工指定識別方法

所謂人工指定識別敏感方法，實際上就是調(diào)度自動化系統(tǒng)管理人員或廠站自動化系統(tǒng)管理人員在系統(tǒng)數(shù)據(jù)庫表中識別數(shù)據(jù)敏感性，并完成數(shù)據(jù)敏感性的標(biāo)記。這種方法要求調(diào)度自動化系統(tǒng)和電站自動化系統(tǒng)擴展數(shù)據(jù)庫表結(jié)構(gòu)，并添加字段以識別數(shù)據(jù)敏感性。為此得出，人工指定方法雖然在原理上簡單易懂，也簡單易用，能準(zhǔn)確識別敏感數(shù)據(jù)，但維護工作量大，效率低。

3.3.2 規(guī)則的自動識別方法

識別過程主要使用分詞技術(shù)建立的敏感函數(shù)字典，使用敏感函數(shù)字典，并對從識別數(shù)據(jù)集中提取的特征詞進行相似性匹配。在匹配過程中，如果某類敏感詞的累積值過高，則該數(shù)據(jù)很可能是敏感數(shù)據(jù)。

3.3.3 詞典構(gòu)造方法

字典構(gòu)造方法是構(gòu)建一棵結(jié)果樹。具體方法是準(zhǔn)確找到根節(jié)點，將根節(jié)點作為一級節(jié)點，然后從根節(jié)點中找到葉節(jié)點。這樣，每個節(jié)點的級別逐漸增加，最終形成結(jié)果樹，從根節(jié)點到葉節(jié)點，每個節(jié)點的階段數(shù)將逐漸增加。除根節(jié)點外，每個節(jié)點對應(yīng)漢字的漢語拼音。每個關(guān)鍵字中的每個漢字都匹配一個葉節(jié)點的漢語拼音和兩個漢字之間的分隔符組成一個字符串，這與從根節(jié)點到葉節(jié)點的路徑中的漢語拼音和匹配的節(jié)點分隔符相同的字符串一致。如圖2字典構(gòu)法樹狀圖中以“有功總加”和“無功總加”進行介紹，第一級節(jié)點為“GUANG”，第二級為“ZHOU”，第三級為“YOU”和“WU”,第四級為“GONG”和“GONG”,第五級為“ZONG”和“ZONG”,第六級為“GONG”和“GONG”，最終在一顆結(jié)果樹上找到“有功總加”和“無功總加”。

圖2：字典構(gòu)造法樹狀圖

3.3.4 智能匹配法

智能匹配方法是逐行、逐列識別和匹配。讀取待識別數(shù)據(jù)集的數(shù)據(jù)后，識別每一行和每一列的數(shù)據(jù)。獲取所有要識別的數(shù)據(jù)記錄，然后識別每個要單獨識別的數(shù)據(jù)行。具體匹配方法如下：

從數(shù)據(jù)表中檢索到50行要識別的數(shù)據(jù)后，可以識別第一行和第一列的數(shù)據(jù)，以確定第一行不包括特征密鑰字典中的密鑰分詞，然后再識別第一行第二列的數(shù)據(jù)。假設(shè)特征密鑰字典中的密鑰分詞包含在第一行和第二列中，就表明第一行中所有列的數(shù)據(jù)都已識別，則特征特征密鑰字典中的密鑰分詞不包含在第一行的其他列中，第二列除外；此時，判斷第二行待識別數(shù)據(jù)的每一列是否包含特征密鑰字典中的密鑰分詞，進而假設(shè)第二行待識別數(shù)據(jù)的第五列僅包含特征密鑰字典中的密鑰分詞；假設(shè)要在其他行的所有列中標(biāo)識的數(shù)據(jù)不包括特征密鑰字典中的密鑰分詞，則整個數(shù)據(jù)表的第二列和第五列中包含的數(shù)據(jù)被確定為敏感數(shù)據(jù)。

綜上所述，智能適配方法必須在不需要人工參與的情況下掃描和檢查數(shù)據(jù)集中每一行和每一列的數(shù)據(jù)，但操作效率較低，適合于數(shù)據(jù)庫表的整體掃描。

3.3.5 敏感數(shù)據(jù)的高精度自動識別方法

目前，敏感數(shù)據(jù)的識別主要依靠字典匹配法和人工識別法，但這兩種方法都不能取得很好的效果，主要體現(xiàn)在：

3.3.5.1 識別率低

字典匹配識別法還是基于模式化匹配的方式，因此敏感數(shù)據(jù)的識別準(zhǔn)確度取決于數(shù)據(jù)字典的建立。當(dāng)特征數(shù)據(jù)字典不完整或特征數(shù)據(jù)字典建立不正確時，識別精度將降低，一些未識別的敏感數(shù)據(jù)將被忽略。

3.3.5.2 識別速度慢

面對大數(shù)據(jù)，人工處理的方式比機器識別耗時太長，而且人工處理方式對處理人員的專業(yè)素質(zhì)要求較高；

3.3.5.3 評定標(biāo)準(zhǔn)不統(tǒng)一

因為識別敏感數(shù)據(jù)的過程主要取決于人們的主觀判斷，不同的人對相同數(shù)據(jù)可能會有不同的評價標(biāo)準(zhǔn)，同一人在不同時間識別的結(jié)果依然也存在不同，這導(dǎo)致敏感數(shù)據(jù)識別結(jié)果的不同。

簡而言之，敏感數(shù)據(jù)的識別和分類是混淆業(yè)務(wù)數(shù)據(jù)安全管理的根本問題。迫切需要一種準(zhǔn)確有效的敏感數(shù)據(jù)分類和識別方法來識別和分類內(nèi)部數(shù)據(jù)。因此，本文提出了一種高精度的敏感數(shù)據(jù)自動識別方法，包括兩個階段：敏感樣本數(shù)據(jù)的采集和敏感數(shù)據(jù)的識別與分類。

（1）收集敏感數(shù)據(jù)的樣本數(shù)據(jù)：

在電力監(jiān)控系統(tǒng)中，數(shù)據(jù)庫中的結(jié)構(gòu)化數(shù)據(jù)和文件系統(tǒng)中的非結(jié)構(gòu)化數(shù)據(jù)被自動收集。樣本數(shù)據(jù)收集方法主要包括數(shù)據(jù)庫采集和工件數(shù)據(jù)采集。

數(shù)據(jù)庫采集。以特征字典表的形式收集原始數(shù)據(jù)信息，如數(shù)據(jù)表和數(shù)據(jù)字段的名稱、類型和注釋信息。

工件數(shù)據(jù)采集。確定文檔中文本的格式，并使用文檔中的自動分詞方法對文件中的內(nèi)容進行剪切和合并。對于一些特殊的文件類型，如票據(jù)文件，從文本模式識別中提取原始數(shù)據(jù)和示例。在收集原始數(shù)據(jù)和樣本后，對這些數(shù)據(jù)進行過濾和匯總，以消除數(shù)據(jù)中的“雜質(zhì)”，提高數(shù)據(jù)樣本的質(zhì)量，從而減少敏感數(shù)據(jù)識別和分類過程中的計算繁瑣性。

（2）敏感數(shù)據(jù)的識別和分類：

敏感數(shù)據(jù)的識別和分類是數(shù)據(jù)安全的關(guān)鍵所在。通過篩選不同類型的數(shù)據(jù)，可以識別和分類敏感數(shù)據(jù)，并對不同類型的數(shù)據(jù)進行分類保護。為了實現(xiàn)更準(zhǔn)確的數(shù)據(jù)識別方法，需要在原有的匹配特征詞典分析方法的基礎(chǔ)上，對敏感數(shù)據(jù)識別方法進行進一步優(yōu)化，通過語料庫準(zhǔn)備、文本預(yù)處理、分類處理、分類檢驗等四個步驟完成敏感數(shù)據(jù)的識別和分類。其中敏感數(shù)據(jù)識別和分類過程示意圖如圖3所示。

圖3：敏感數(shù)據(jù)識別與分類過程示意圖

詞庫創(chuàng)建。利用分詞技術(shù)對訓(xùn)練數(shù)據(jù)庫進行預(yù)處理，得到詞匯庫。在刪除詞匯庫中的無意義詞匯（如虛詞和代詞）后，將獲得一個有意義的詞匯庫。然后根據(jù)“TF-IDF”進行處理。當(dāng)一個詞在所有訓(xùn)練數(shù)據(jù)庫中出現(xiàn)得更頻繁時，該詞的重要性更大，這也表明該詞的向量權(quán)重更大，并且計算每個詞的向量權(quán)重以完成語料庫的建立。

敏感詞的特征獲取。獲取語料庫后，用戶手動定位并分類語料庫。這一過程主要取決于風(fēng)險評估師和公司人員，并選擇可以用敏感數(shù)據(jù)代表意義的，以形成敏感詞數(shù)據(jù)庫，包括匹配常用的敏感詞模式，敏感詞的分類和敏感詞的權(quán)重。

敏感特征詞組合。為了分類、識別和提取目標(biāo)的特征，分詞技術(shù)主要用于處理目標(biāo)數(shù)據(jù)。然后將提取的特征與敏感的同義詞表相結(jié)合。在記錄組合結(jié)果時，會顯示敏感詞的分類和權(quán)重。當(dāng)給定類別敏感詞的累積權(quán)重值較大時，目標(biāo)數(shù)據(jù)傾向于對該類別進行排序，并根據(jù)敏感詞的累積權(quán)重值從上到下進行排序。

評估敏感數(shù)據(jù)的識別質(zhì)量。識別和分類結(jié)果的評估主要包括兩部分：一是糾正錯誤的分類，主要是對敏感詞進行重新分類或建立多個敏感詞的對應(yīng)關(guān)系和分類；另一部分是對未識別詞進行分類和整合，進一步擴展敏感詞數(shù)據(jù)庫的內(nèi)容。

4 結(jié)束語

在電力監(jiān)控系統(tǒng)中，各類信息資產(chǎn)已成為電力企業(yè)的核心資產(chǎn)。因此，存儲敏感數(shù)據(jù)的安全技術(shù)是數(shù)據(jù)資產(chǎn)保護的第一要素。為此本文中基于電力監(jiān)控系統(tǒng)數(shù)據(jù)現(xiàn)狀，分別通過對敏感數(shù)據(jù)識別方法和處理方式等安全存儲技術(shù)進行了研究與分析，以確保電力監(jiān)控系統(tǒng)安全穩(wěn)定運行。