客户案例 | 智能电网时代,电网公司如何打赢网络安全保卫战?


 

助力电网公司数据安全治理建设项目

山石网科致力成为您优质可靠的伙伴

《岩谈》第5期——数据安全专刊

“码”上掌握,数安新风向

山石视点:在前几期“数安风向”专栏中,我们向大家详细阐释了体系框架、安全服务、支撑平台对实现全面、科学、可持续的数据安全治理的重要性。这一期,我们将通过某电网公司的项目案例来给大家介绍数据安全治理项目的实践,帮助大家更好地理解、借鉴实际项目建设中所积累的经验。

一、案例摘要

山石网科数据安全治理体系为牵引,通过专业数据安全防护措施,协助某省电网公司解决了能源数字化转型过程中的数据安全问题,进一步提高了能源系统的安全性、生产率和可持续性。

 

二、实施背景

数字化正成为引领中国经济高质量发展的新引擎。在 5G、云计算、物联网、大数据、移动互联、区块链等新兴科技的加持下,我国能源行业正进行着一场数字化转型升级的变革。作为承担“西电东送”的主力军,某省电网公司近年来一直在努力探索利用数字技术构筑高效、清洁、经济的现代能源体系,提高能源系统的安全性、生产率和可持续性。

电力能源的数字化落地对企业网络安全、信息安全提出了更高的要求。远程办公、内外业务协同、组织分支互联等需求的变化,让企业边界逐渐泛化,极大的增加了企业安全防护风险。过往粗放型的数据使用和管理体系已很难适应当下的数字化能源系统。如何防护敏感数据泄露,让数字化建设与网络安全保障双强化,成为企业迫在眉睫的问题。

某省电网公司作为资产密集型企业,每年都有近百亿资金需对外采购。某省电网物资有限公司作为该省电网公司专业化的采购代理服务单位和共享支撑服务平台,承担了公司全部省级采购任务,廉洁保密一直是工作重点,也一直在思考如何通过相关措施来建立组织内部整体数据安全治理体系,有效支撑采购业务的核心资料的保密工作。

采购业务泄密风险防控工作面临“点多、面广、战线长、参与人员多”的情况,且涉密信息受到投标人及利益相关方的高度关注,采购业务面临内外部利益诉求交织,泄密事件成为了“围猎”与“被围猎”之间的纽带,公司的信息安全和廉洁从业安全面临非常严峻的挑战。仅依靠相关人员安全意识的提升和制度的完善,难以做到泄密事件的事前预防和事后追溯,必须依靠相应的技术和管理手段,对采购业务领域涉密资料的全过程监督和管控,才能有效开展保密工作。                                                                                                                                                                                                           
同时,2021年6月10日第十三届全国人民代表大会常务委员会第二十九次会议通过了《中华人民共和国数据安全法》,以提升国家数据安全的保障能力和数字经济的治理能力,也对数据保护工作提出了更高的要求。

 

三、实施目标

某省电网公司希望通过整体数据安全治理建设,全面营造公平、公正、公开的营商环境,提升公司系统采购业务领域保密工作整体防护能力和效率,杜绝信息泄密事件,防控廉洁风险。

 

四、建设内容

数据进行综合安全治理的首要任务便是对数据资产现状进行清查摸底,通过多种方式来发现数据所有者、存储位置、整体业务架构等信息。因此首先需要对用户进行前期摸底调研:了解了组织关于数据安全治理的战略方针,组织有哪些业务及相应的业务系统,业务系统开放形式,访问方式、交互方式,业务系统相关数据是否涉及个人隐私信息,数据存储的形式、位置及访问的方式,数据的重要性、影响范围和影响程度,现有信息系统建设及数据安全建设情况等等;同时本次项目还参考了《数据安全法》中的相关法规,合法合规管控涉密资料的流转。

其次,基于现行行业标准与安全实践经验制定合理、有效的数据分类分级规则,对数据资产进行全盘梳理,为实现“核心数据安全优先,其余效率优先”的差异化防护打下基础。通过访谈方式、文件审核、查看系统、查看数据库等方式,梳理现有电网公司数据覆盖的数据范围及预测未来可能覆盖的数据范围,形成数据目录结构;依据国家相关的法律法规及行业规范,考虑数据对国家安全、社会稳定和公民安全的重要程度,结合其他政数局的项目经验,完成对电网公司的数据分类分级指导规范;依据数据分类分级指南,通过分类分级工具结合人工的方式,对电网公司的数据进行标签管理,明确数据的类别级别;同时随着政策变化和日常实际运营情况,及时对数据的分类分级指南、工具内策略及时调整更新。

完成分级分类过程后,结合风险评估和数据安全能力成熟度模型发现数据全生命周期安全管控能力方面的技术与管理的脆弱性及威胁性,从而发现自身数据安全问题和短板,明确数据安全保护需求,为数据安全治理的建设指明方向。

然后,基于现行行业标准与安全实践检验,信息中心从某省电网公司内部的数据全生命周期安全管控能力方面的技术与管理的脆弱性及威胁性入手,找出自身数据安全问题和短板,为下一步数据安全治理建设奠定了坚实基础。

该项目现行的数据治理体系框架包含五个组成部分:以数据安全制度规范体系、数据安全运行管理体系、数据安全技术防护体系形成三维互锁格局,制度规范体系包含顶层设计、流程制度和落地规范等,运行体系包含组织建设、团队管理以及人员能力,技术体系是实现安全能力的方案、平台、工具等技术能力;再借助数据安全应急响应体系、数据安全监督审计体系进行有力支撑。

整个项目在体系化牵引下,遵循同步规划、同步建设、同步运行的思想,有序落地数据安全防护措施,做到了有的放矢。

以首期项目中的技术防护建设方案为例,按照方案设计思路,现行部署了山石网科数据泄露防护系统。这套系统由两部分组成:统一管理平台和终端DLP。统一管理平台部署在某省电网公司信息中心云平台,实现数据梳理及分类分级,集中下策略规则,同时进行敏感数据安全事件监控、处理和统计分析;终端 DLP则部署在某省电网公司信息中心与物物资公司内各计算机终端,发现、识别、监控终端中的敏感数据,对数据资产分布、敏感数据的违规存储进行展现,同时对敏感数据的违规使用、扩散等敏感行为进行策略响应控制。

系统使用后弥补了采购过程信息防泄密工作在技术层的不足之处;让采购过程信息保密工作实现全方位的管控,从而大大降低泄密风险。

数据泄露防护系统全面梳理和盘点某省电网公司组织内数据资产,对数据全生命周期实施安全保障,集中化数据安全管控策略管理,有效监测数据使用、流转及共享过程中的安全态势及风险,提供了面向数据全生命周期及业务场景的数据安全治理解决方案。

具体来看,在敏感数据的管理规范上,项目借助数据泄露防护系统平台,进行数据的分类分级管理,如划分为个人信息类数据、采购类数据、招投标类数据等,基于数据类别进行安全分级,如机密、秘密、绝密,对整体相关敏感文件进行了梳理;同时与客户的4A系统进行对接,基于组织架构和日常工作开展以及办公相关系统的使用情况,基于用户、用户组进行敏感数据的权限管控,定制化数据泄露防护策略,有效防范电网云盘上传、电网内部邮箱外发、U盘拷贝、文件打印、ELINK及其他社交软件的外发、屏幕截图、拍照等敏感数据泄露风险。

图片
五、实施效果

伴随着数据安全专题建设方案的落地,我司为客户采购业务领域保密工作提供了强有力的技术支撑,促进了部门整体防护能力和规范管理水平不断提升,弥补了采购过程信息防泄密工作在技术层的不足之处,让采购过程信息保密工作实现全方位的管控,提高了采购业务人员的保密意识及责任落实,强化采购保密管理的刚性执行,有效杜绝了采购业务信息失泄密事件的发生。

某省电网公司首期数据安全治理项目初步解决了数据体量大、覆盖区域广、应用场景杂、持续治理难等难题,在电网招投标领域起到了示范性作用,对于公司防泄密、廉洁风险管控工作起到了重要的技术支撑,能够对采购活动参与人员形成有力震慑效应,持续推动构建“不敢腐、不能腐、不想腐”的长效机制,得到了公司供应链部及物资公司领导的高度赞扬,具备在全国采购业务范围推广的重要价值。