電力是國(guó)家重要基礎(chǔ)產(chǎn)業(yè),關(guān)乎一個(gè)國(guó)家的繁榮發(fā)展與社會(huì)穩(wěn)定。當(dāng)前,針對(duì)大數(shù)據(jù)的攻擊和數(shù)據(jù)泄露日益嚴(yán)重,國(guó)家相繼出臺(tái)了一系列數(shù)據(jù)安全法規(guī),以明確與規(guī)范大數(shù)據(jù)安全工作的相關(guān)要求,而這些潛在的數(shù)據(jù)威脅在電力相關(guān)行業(yè)中表現(xiàn)得更為明顯。
近日,國(guó)家能源局發(fā)布關(guān)于印發(fā)《電力安全生產(chǎn)“十四五”行動(dòng)計(jì)劃》的通知。提出了“十四五”是向“碳達(dá)峰”目標(biāo)邁進(jìn)的關(guān)鍵期和窗口期,強(qiáng)調(diào)要提高數(shù)據(jù)的可靠性和實(shí)用性以及大數(shù)據(jù)在電力可靠性管理中的應(yīng)用。
1電力行業(yè)的現(xiàn)狀及分析
1、真實(shí)性高,時(shí)序性強(qiáng),數(shù)據(jù)量大
電力系統(tǒng)在其數(shù)據(jù)采集、傳輸、存儲(chǔ)、處理、使用等全流程過(guò)程中持續(xù)生產(chǎn)著海量的數(shù)據(jù),由于其真實(shí)性高,時(shí)序性強(qiáng),數(shù)據(jù)量大的特點(diǎn),數(shù)據(jù)采集時(shí)的身份驗(yàn)證,傳輸時(shí)的數(shù)據(jù)加密,存儲(chǔ)時(shí)的數(shù)據(jù)加密,處理時(shí)的安全審計(jì),使用時(shí)的安全應(yīng)用和校驗(yàn),都是電力大數(shù)據(jù)中不可或缺的安全機(jī)制。同時(shí),在部分智能電網(wǎng)的數(shù)據(jù)中可能涉及到用戶(hù)的身份信息、實(shí)時(shí)數(shù)據(jù)等隱私內(nèi)容,如果不加以控制,且企業(yè)有采用第三方服務(wù)進(jìn)行外包數(shù)據(jù)處理,極易造成用戶(hù)隱私數(shù)據(jù)的泄漏。
2、風(fēng)險(xiǎn)行為監(jiān)控不足
電力企業(yè)規(guī)模龐大、系統(tǒng)繁雜、網(wǎng)絡(luò)復(fù)雜、業(yè)務(wù)特殊、人員眾多,日常工作中發(fā)生越權(quán)訪(fǎng)問(wèn)、下載或篡改數(shù)據(jù)等違規(guī)操作行為難以及時(shí)發(fā)現(xiàn)和定位,往往對(duì)內(nèi)部數(shù)據(jù)安全事件的預(yù)防和調(diào)查造成困擾;因此,需要加強(qiáng)對(duì)數(shù)據(jù)資產(chǎn)的細(xì)粒度審計(jì)監(jiān)控。
3、數(shù)據(jù)安全體系需優(yōu)化
電力行業(yè)數(shù)據(jù)安全治理體系需要進(jìn)一步優(yōu)化,需明確主管部門(mén)、用電單位、基礎(chǔ)設(shè)施運(yùn)營(yíng)單位等多方主體在保護(hù)電力數(shù)據(jù)安全方面權(quán)責(zé)義務(wù);另一方面多數(shù)省份的電力分公司還未明確制定相關(guān)的數(shù)據(jù)安全戰(zhàn)略規(guī)劃,數(shù)據(jù)安全治理的重視程度和治理深度不足、具體需求還有待挖掘,數(shù)據(jù)安全相關(guān)人才也缺乏。
2電力行業(yè)數(shù)據(jù)安全咨詢(xún)規(guī)劃體系設(shè)計(jì)
依據(jù)《數(shù)據(jù)安全能力成熟度模型》,從組織建設(shè)、制度流程、技術(shù)工具、人員能力四方面開(kāi)展數(shù)據(jù)安全防護(hù)體系建設(shè),為國(guó)網(wǎng)系統(tǒng)打造數(shù)據(jù)安全防護(hù)體系 。
1組織建設(shè)
成立牽頭組織,開(kāi)展集中工作,注重協(xié)同保障,明確各方職責(zé)。
2制度流程
開(kāi)展現(xiàn)有工作流程優(yōu)化及新增工作流程建設(shè),明確安全管理規(guī)范及安全責(zé)任矩陣。
3技術(shù)工具
打造數(shù)據(jù)安全支撐體系,覆蓋五大數(shù)據(jù)域,從采集、存儲(chǔ)、傳輸、處理、交換到銷(xiāo)毀全過(guò)程。
4人員能力
明確人員能力要求,開(kāi)展安全技能培訓(xùn),提升人員安全防護(hù)能力。
電力行業(yè)數(shù)據(jù)安全治理頂層設(shè)計(jì)框架
1、加強(qiáng)組織保障,注重工作協(xié)同明確工作職責(zé)
參照《信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型》中組織建設(shè)的相關(guān)要求,成立由省互聯(lián)網(wǎng)部牽頭、業(yè)務(wù)部門(mén)協(xié)同的數(shù)據(jù)安全提升專(zhuān)項(xiàng)工作組,下設(shè)頂層規(guī)劃組、業(yè)務(wù)支撐組、技術(shù)保障組,組織開(kāi)展常態(tài)化集中辦公,有效降低溝通成本、形成工作合力。制定數(shù)據(jù)安全專(zhuān)項(xiàng)提升行動(dòng)方案,建立“日整改、周提升、月評(píng)價(jià)”的工作機(jī)制,實(shí)行數(shù)據(jù)安全工作清單化管理,確保工作成效和問(wèn)題閉環(huán)管理。
數(shù)據(jù)安全管理工作遵循“責(zé)任明確、授權(quán)合理、流程規(guī)范、技管結(jié)合”的工作方針。按照“誰(shuí)主管誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé)、誰(shuí)使用誰(shuí)負(fù)責(zé)、誰(shuí)接入誰(shuí)負(fù)責(zé)”的原則,明確責(zé)任分工,確保責(zé)任到位。提升自動(dòng)化與智能化數(shù)據(jù)安全管控能力。
2、強(qiáng)化流程建設(shè),確保覆蓋到位
根據(jù)數(shù)據(jù)安全現(xiàn)狀盤(pán)點(diǎn)及安全評(píng)估結(jié)果,在現(xiàn)有工作流程上進(jìn)行優(yōu)化,并根據(jù)數(shù)據(jù)安全管理要求,新增相關(guān)管控流程,開(kāi)展流程規(guī)劃和制度實(shí)施。完成現(xiàn)有工作流程的優(yōu)化工作,并結(jié)合實(shí)際需求新增數(shù)據(jù)安全管控流程。
3、強(qiáng)化流程建設(shè),確保覆蓋到位
根據(jù)數(shù)據(jù)安全現(xiàn)狀盤(pán)點(diǎn)及安全評(píng)估結(jié)果,在現(xiàn)有工作流程上進(jìn)行優(yōu)化,并根據(jù)數(shù)據(jù)安全管理要求,新增相關(guān)管控流程,開(kāi)展流程規(guī)劃和制度實(shí)施。完成現(xiàn)有工作流程的優(yōu)化工作,并結(jié)合實(shí)際需求新增數(shù)據(jù)安全管控流程。
4、強(qiáng)化流程制定建設(shè),確保任務(wù)可執(zhí)行
貫徹電力“十四五”規(guī)劃發(fā)展方向,落實(shí)國(guó)網(wǎng)發(fā)展戰(zhàn)略,設(shè)定各省分公司的數(shù)據(jù)安全目標(biāo),根據(jù)內(nèi)外部環(huán)境,形成層次化、可執(zhí)行的制度文件。
5、開(kāi)展人員能力建設(shè),明確安全能力要求
人員是數(shù)據(jù)安全工作開(kāi)展的主要參與方,根據(jù)人員角色、崗位職責(zé),從安全意識(shí)培養(yǎng)、安全能力培訓(xùn)、安全能力考核三方面入手構(gòu)建相適應(yīng)的人才培養(yǎng)機(jī)制.最后還需加強(qiáng)內(nèi)部培訓(xùn)與專(zhuān)業(yè)機(jī)構(gòu)外訓(xùn)相結(jié)合的推進(jìn)策略。
須知能源無(wú)小事!電力是攸關(guān)國(guó)家安全、社會(huì)穩(wěn)定與經(jīng)濟(jì)發(fā)展的關(guān)鍵行業(yè),電力企業(yè)對(duì)數(shù)據(jù)安全的防護(hù)工作更加不容有失。數(shù)據(jù)安全咨詢(xún)?cè)u(píng)估能夠?yàn)殡娏ζ髽I(yè)及時(shí)發(fā)現(xiàn)數(shù)據(jù)安全存在問(wèn)題,指明發(fā)展方向,提升數(shù)據(jù)安全治理能力,助力國(guó)網(wǎng)企業(yè)鞏固數(shù)字化轉(zhuǎn)型之旅。
題-4.jpg)
