正因?yàn)橐陨咸攸c(diǎn)，讓我國(guó)電力行業(yè)信息安全建設(shè)在起步較早情景下，最先提出了“安全分區(qū)、專(zhuān)網(wǎng)專(zhuān)用、橫向隔離、縱向認(rèn)證”的行業(yè)要求。電力行業(yè)涉及發(fā)電、變電、輸電、配電、送電、售電等眾多環(huán)節(jié)，業(yè)務(wù)場(chǎng)景非常復(fù)雜，但是電力無(wú)小事，電力行業(yè)的數(shù)據(jù)安全要確保萬(wàn)無(wú)一失，是我們面臨的緊迫問(wèn)題。

 

為何時(shí)常會(huì)被動(dòng)“挨打”？

 

電力數(shù)據(jù)主要有二大類(lèi)。一類(lèi)是電網(wǎng)運(yùn)行、設(shè)備檢測(cè)或監(jiān)測(cè)產(chǎn)生的大數(shù)據(jù)，主要有能量管理系統(tǒng)、配網(wǎng)管理系統(tǒng)、廣域量測(cè)管理系統(tǒng)、電網(wǎng)調(diào)度管理系統(tǒng)、圖像監(jiān)控系統(tǒng)等；另一類(lèi)是電力企業(yè)營(yíng)銷(xiāo)產(chǎn)生的大數(shù)據(jù)，如95598客戶(hù)服務(wù)系統(tǒng)、電能量計(jì)量系統(tǒng)、用電信息采集系統(tǒng)等。

 

 

電力大數(shù)據(jù)具有數(shù)據(jù)體量大、數(shù)據(jù)類(lèi)型多、價(jià)值密度低、處理速度快的特點(diǎn)，在大數(shù)據(jù)管理中主要存在以下幾個(gè)問(wèn)題：

 

1、數(shù)據(jù)分類(lèi)分級(jí)不明確

 

目前電力行業(yè)缺少對(duì)各類(lèi)數(shù)據(jù)分類(lèi)、定級(jí)的指導(dǎo)標(biāo)準(zhǔn)和治理工具，造成敏感數(shù)據(jù)定義不清、位置不明等情況，在數(shù)據(jù)管理時(shí)眉毛胡子一把抓，造成巨大的人力、物力和財(cái)力的浪費(fèi)。

 

2、用戶(hù)行為檢測(cè)不智能

 

3、數(shù)據(jù)流轉(zhuǎn)交換難管控

 

隨著電力大數(shù)據(jù)的廣泛應(yīng)用和云管平臺(tái)的建設(shè)，在大數(shù)據(jù)共享、交換過(guò)程中，涉及到敏感數(shù)據(jù)和個(gè)人隱私數(shù)據(jù)的使用，缺乏相應(yīng)的大數(shù)據(jù)安全保障機(jī)制、數(shù)據(jù)信任體系和手段等，存在數(shù)據(jù)共享難、安全保障難等問(wèn)題。

 

4、安全運(yùn)維監(jiān)管不到位

 

電力企業(yè)的應(yīng)用系統(tǒng)、業(yè)務(wù)系統(tǒng)、數(shù)據(jù)庫(kù)等IT系統(tǒng)多且復(fù)雜，有大量的外包及開(kāi)發(fā)人員，系統(tǒng)運(yùn)維人員能力參次不齊，出現(xiàn)非法查詢(xún)、非法導(dǎo)出、誤刪除等違規(guī)行為，給數(shù)據(jù)安全帶來(lái)較大風(fēng)險(xiǎn)。

 

5、惡意行為攻擊難溯源

 

在日常安全運(yùn)營(yíng)中，現(xiàn)有的技術(shù)和措施難以對(duì)攻擊行為進(jìn)行捕獲和分析，較難推測(cè)出攻擊者的意圖和動(dòng)機(jī)。由于防守方信息不對(duì)稱(chēng)，導(dǎo)致在安全運(yùn)營(yíng)中處于被動(dòng)挨打局面。

 

安全防護(hù)體系建設(shè)思路與方案

 

1、建設(shè)數(shù)據(jù)全生命周期安全風(fēng)險(xiǎn)管理的平臺(tái)

 

在總部或省公司信息管理大區(qū)部署數(shù)據(jù)風(fēng)險(xiǎn)管理平臺(tái)，實(shí)現(xiàn)對(duì)數(shù)據(jù)的分類(lèi)、分級(jí)和標(biāo)識(shí)的自動(dòng)化處理。通過(guò)用戶(hù)實(shí)體行為的分析、用戶(hù)個(gè)人隱私數(shù)據(jù)的識(shí)別、數(shù)據(jù)防泄漏、數(shù)據(jù)防篡改、數(shù)據(jù)脫敏等一系列安全能力，實(shí)現(xiàn)對(duì)S6000系統(tǒng)的賦能和數(shù)據(jù)資產(chǎn)的動(dòng)態(tài)管理。做到多層次、智能化的安全防護(hù)。后續(xù)可陸續(xù)部署到生產(chǎn)管理大區(qū)。

 

 

2、部署基于機(jī)器學(xué)習(xí)的用戶(hù)實(shí)體行為分析系統(tǒng)（UEBA）

 

UEBA系統(tǒng)以用戶(hù)為中心，通過(guò)對(duì)系統(tǒng)日志、安全日志、網(wǎng)絡(luò)流量、威脅情報(bào)等數(shù)據(jù)進(jìn)行處理、分析和整合，完成用戶(hù)、實(shí)體、行為三要素關(guān)聯(lián)，形成用戶(hù)的行為基線(xiàn)，通過(guò)用戶(hù)畫(huà)像和資產(chǎn)畫(huà)像，檢測(cè)出諸如賬號(hào)失陷、主機(jī)失陷、數(shù)據(jù)泄漏、權(quán)限濫用等風(fēng)險(xiǎn)，發(fā)現(xiàn)網(wǎng)絡(luò)中周期長(zhǎng)、頻率低、隱蔽強(qiáng)的安全事件，以極高的準(zhǔn)確率定位異常的用戶(hù)。

 

3、提升基于堡壘機(jī)的人員準(zhǔn)入和安全管控能力

 

在技術(shù)上要進(jìn)一步完善堡壘機(jī)的安裝部署，管理上要對(duì)堡壘機(jī)的策略進(jìn)行優(yōu)化，實(shí)行最小權(quán)限管理和進(jìn)行命令級(jí)別的權(quán)限控制，如禁止全盤(pán)執(zhí)行“rm-fr/”這樣的操作等。對(duì)管理員和運(yùn)維人員的權(quán)限進(jìn)行細(xì)粒度管理，進(jìn)行登記造冊(cè)，并定期檢查和優(yōu)化運(yùn)維人員的權(quán)限?；?qū)h(yuǎn)程運(yùn)維人員的IP、MAC地址進(jìn)行綁定，實(shí)現(xiàn)全程記錄和監(jiān)控，避免“刪庫(kù)跑路”的事件發(fā)生。尤其是即將離職人員，要及時(shí)收回或降低其管理權(quán)限。

 

4、完善欺騙式防御系統(tǒng)彌補(bǔ)傳統(tǒng)安全防護(hù)短板(蜜罐)

 

通過(guò)蜜罐系統(tǒng)對(duì)攻擊方進(jìn)行“欺騙”，達(dá)到反制的目的。布置一些作為誘餌的主機(jī)、網(wǎng)絡(luò)服務(wù)或者信息，誘使攻擊方對(duì)它們實(shí)施攻擊，實(shí)現(xiàn)對(duì)攻擊行為的捕獲和分析，來(lái)了解攻擊方所使用的工具與方法，以此推測(cè)攻擊意圖和動(dòng)機(jī)，對(duì)其攻擊進(jìn)行溯源，甚至可以實(shí)施反擊。在合規(guī)層面，滿(mǎn)足《網(wǎng)絡(luò)安全法》中提出的“通過(guò)實(shí)戰(zhàn)攻防提升攻防實(shí)戰(zhàn)水平”的要求。

 

總結(jié)

 

面對(duì)電力行業(yè)數(shù)據(jù)體量大、類(lèi)型多、防范難的特點(diǎn)。建議在管理方面健全現(xiàn)有制度、優(yōu)化管理流程、提升人員能力和做好常態(tài)化安全意識(shí)教育。在技術(shù)方面聚焦敏感數(shù)據(jù)保護(hù)，通過(guò)數(shù)據(jù)風(fēng)險(xiǎn)管理、用戶(hù)實(shí)體行為分析、蜜罐等新安全技術(shù)的研究和部署，形成全面的數(shù)據(jù)安全管理防護(hù)體系。