0 引言
随着国家电网公司信息化建设不断深入,国网四川电力也在运营监控、运行检修、营销客服、电网调度、基础设施运维等业务领域积累了海量数据,并作为公司重要资产进行管理。前期,经过一体化信息平台、数据中心深化应用等项目的实施,国网四川电力搭建了省公司级的数据中心软硬件平台,支撑了数据横向共享与纵向贯通,并将松、紧耦合业务主题分析功能集成,一定程度上支撑了数据管理、共享、分析等方面的工作。虽然公司在数据资源建设、管理及规章制度完善方面工作取得了一定成果,但随着全业务统一数据中心数据分析域的建设,以及电网调度生产、营销客服、安全监察、基建应急等业务对数据存储、融合、特定场景发布、数据资产提取的定制化需求逐步增长,公司传统数据资产的管控方法及价值挖掘体系建设面临诸多挑战。虽然对数据资产价值的挖掘能够为公司发展带来新的助力,但高收益必然伴随着高风险,一旦业务数据丢失、损坏或泄露,很有可能对公司正常的生产经营活动带来负面影响,甚至造成重大经济损失。
当前,国家电网公司的信息化建设已经从面向单个业务领域、独立业务需求的系统开发层面逐步过渡到数据融合、价值挖掘、大数据、云计算及数据综合治理领域,而上述领域均依赖于有效、准确、安全且高效的数据资产管理体系。数据资产的安全管理是公司面临新形势下的市场竞争、国企改革转型、提升公司运行效率的核心工作之一。对业务数据及由其衍生的信息系统运行数据,需要一套完整、可靠且可执行的安全管理体系加以规范,从而更好地防范可能出现的数据安全风险,支撑日益增长的数据、业务和价值挖掘需求。
1 数据资产安全管理体系架构
一般而言,数据安全包含3个要素,即数据的完整性(Integrity)、保密性(Confidentiality)和可用性(Availability)[1]。其中,数据完整性是指在传输、存储信息或数据的过程中,确保数据不被未授权的篡改或在篡改后能够被迅速发现;数据保密性是指保证数据为授权者享用而不泄漏给未经授权者;数据可用性则是指保证信息和信息系统随时为授权者提供服务,保证合法用户对数据的使用不会被不合理地拒绝。由此,数据安全管理体系的重点考虑目标是如何建立具备可执行性的数据使用授权体系,以及如何防止数据的泄露、篡改和破坏。
上述目标必须纳入数据资产安全管理体系中,在职责明确、分级明晰的框架指导下,才能最大程度地发挥其约束作用。尤其是,要做到数据资产的安全管理,必须在数据分类分级机制、数据全生命周期管理(Data Life Cycle Management,DLCM)、数据使用授权体系规范管理的前提下,由相关人员在权限范围内对数据进行访问及提取应用,其整体构成如
1.1 数据安全管理制度
国家电网公司在数据安全管理方面起步相对较早,先后发布了多部与数据安全管理有关的规章制度。国网四川电力在充分领会国家电网公司相关规章制度的基础上,根据省公司工作的实际情况,先后制定了有针对性的落地方案。国家电网公司发布的规章制度规定了数据安全管理原则,省公司层面在原则的指引下制定了处于操作落地层面的具体管理规程,两者共同构成了数据安全管理体系的制度基础。国家电网公司标准规范以《国家电网公司数据基础运维工作规范(2017版)》(信通运行〔2017〕38号)[2]为典型,一方面规定了数据安全管理的作用对象和作用范围,另一方面也明确了不同部门和角色的权利和责任,提出了数据相关工作的基本要求。该工作规范不解决数据资产安全管理落地的具体流程及操作方法,而是由省公司层面的管理规程来完成,如数据接入、使用、导入导出、分级、销毁等。与省公司管理规程共同起作用的是根据具体工作要求和实际情况制定的、在数据基础运维单位内部执行的数据安全管理流程。
1.2 人员与权限控制
数据资产[3]的获取及访问通常限定在公司内部,但也有部分情况会涉及外部单位。公司内部人员与权限控制对象包括公司领导、数据资产归口管理部门(运监中心)、数据资产运维部门(信通公司、客服中心等)、数据资产业务主管部门(省公司各业务部门)、数据资产使用部门(系统建设及运维管理部门、厂商)等;而外部单位通常包括行业监管机构、合作单位等。不同角色对象的权限及数据安全责任不同,需要在数据分级和脱敏的基础上,对其开通不同的权限。
1.3 安全管理策略
数据安全管理策略本质上作用于数据资产全生命周期管理的全过程,主要包含需求、产生(采集、加工)、使用(传输、存储)及销毁。而数据的使用阶段则主要包含审计、分析决策、测试及研发、灾备、复制拷贝、网络传输、保存、归档、备份等。针对不同的阶段,需要采用不同的安全策略。
2 数据资产安全管理体系构建
根据上述体系框架的必备要素,数据资产安全管理体系重点从3个方面开展工作。
2.1 数据资产分类分级
国网四川电力作为省级电力公司,由包括运检、营销、调度等多个业务部门组成,每个部门都有一定数量的业务系统,服务大量客户并持续产生海量数据,业务逻辑、需求和数据的多样性均是高度复杂的,亟需进行分类分级管理。
原则上,数据资产的分类及分级由业务部门决定[4],因此维度不会局限在IT层面,如数据形态、存储地点、生成时间等,而是从业务需求的角度出发,对需要保护的数据分类分级。例如,营销部可能关注用电客户信息、账户信息等,运检部可能关注一次、二次设备负载、线路停电信息等。可见,业务条线将是数据资产分类分级的优先角度[5]。在此基础上,来自同一个业务条线的数据在处于数据库存储、导出文件存储或实体文件存储时,其安全管理方式方法也势必发生改变,因此,数据的形态也将是分类分级的辅助角度之一。
按照国家电网公司统一发布的统一数据模型(SG-CIM3.0),数据的分类应当是自上而下进行的[6-7],以业务条线为基础,使用面向对象的建模技术定义,围绕“人员组织、财务、物资、资产、电网、项目和客户”7个核心专业以统一建模语言[8]进行表达,目标是对公司全业务范围内的业务对象进行抽象从而以信息模型的形式进行描述。与此同时,考虑各省公司个性化需求和情况,必然存在部分统一信息模型中未涵盖的、但存在具体需求的数据。针对这种情况,本文设计了一种自下而上的分类方法作为模型的有机补充。按照上述分类角度和方法,国网四川电力数据项分类分级的参考示例见
2.2 数据资产安全标准设计
在此基础上,通过建立安全分级标准并落地执行,同时满足国家标准及国家电网公司行业标准要求,通过定制化安全策略和管理流程,能够有效地保障数据资产的完整性和保密性。
2.2.1 数据资产保密性定级方法
通常而言,孤立的一条数据或数条数据无法满足实际业务需要,特别是在面对现在国家电网公司“打破数据壁垒,挖掘数据潜力”的需求前提下,更是如此。当数据牵涉到不同业务领域、由不同业务部门管理、且需要协同工作时,对组合型数据资产的保密定级就需要形成一套有效的定级方法,从而保证数据资产的安全性。上一章节中的保密等级,即是单个数据项的定级结果,结合每一项数据项的定级结果,通过一定的规则,就可以对组合型数据定级。事实上,单个数据项的定级相对较为简单,通常是在数据可公开的维度上进行度量,其数据项保密分级定义见
根据上述分类定义,可由公司各业务部门牵头,联络相关信息系统运维单位,共同从业务和技术上对单一数据项分类进行保密等级赋值,随后依据
2.2.2 数据资产脱敏方法
数据脱敏是指从原始环境向目标环境进行敏感数据交换的过程中,通过一定方法消除原始环境数据中的敏感信息,并保留目标环境业务所需的数据特征或内容的数据处理过程[9-10]。数据资产脱敏不仅要确保敏感信息被去除,还需要尽可能平衡脱敏所花费的代价、使用方的业务需求等多个因素。因此,为了确保数据脱敏的过程、代价可控,得到的结果正确且满足业务需要,在实施数据脱敏时,应从技术和管理两方面出发,符合有效性、真实性、高效性、稳定性及可配置性等基本原则,主要包括制定数据脱敏规程、发现敏感数据、定义脱敏规则、执行脱敏工作和验证脱敏成效等步骤。
制定数据脱敏规程的环节中,除按照前文所述对数据项进行分类分级外,需明确对各类、各级别数据相应的安全管控机制[11],在数据脱敏工具的运维管理制度中纳入对数据脱敏工具的系统安全检测,以保证数据脱敏工具自身的安全性。此外,需要定期对数据脱敏工作的相关方,如数据管理方、数据使用方、脱敏工具运维方,开展针对相关制度的培训工作,以提升全员的规范化意识。
发现敏感数据环节中,需定义工作开展的范围,固化常用的敏感数据发现规则,对数据项进行精确匹配,启用扩展机制,可根据业务需要自定义敏感数据的发现逻辑。
定义脱敏规则环节中,需对已识别出的敏感数据执行生命周期(产生、采集、使用、交换、销毁)流程的梳理[12],明确在生命周期各阶段,用户对数据的访问需求和当前的权限设置情况,分析整理出存在数据脱敏需求的业务场景。同时,在“最小够用”的原则下明确待脱敏的数据内容、符合业务需求的脱敏方式,以及该业务的服务水平方面的要求,以便于脱敏规则的制定。
上述流程完成后,即可执行脱敏工作并验证成效,通过收集、整理数据脱敏工作执行的数据,例如相关监控数据、审计数据,对数据脱敏的前期工作开展情况进行反馈,从而优化相关规程、明确数据脱敏过程中应关注的事项。
2.3 数据资产全生命周期安全管理要求
2.3.1 技术策略
参照国家电网公司分区分域的要求,在数据资产全生命周期安全管理方面也应通过相应的技术手段对其进行管理。网络上,将测试系统、正式在运系统、试运行系统等隔离开,通过不同的逻辑域进行安全隔离,并通过不同的技术手段进行安全策略。对于五级以上的数据在全生命周期管理中均需采取相应的加密技术[13],利用统一权限等账户密码管理系统,建立有效的用户身份认证和权限控制流程,同时利用系统日志、审计系统等实现数据流转全过程可审计、可追溯,及时发现可疑操作。此外,利用前文提到的数据脱敏手段,在保留业务含义的基础上避免真实数据泄露,在数据资产生命周期的末期,采用适当的技术对其进行销毁。
2.3.2 管理策略
以《国家电网公司数据基础运维规范》为基础,建立本地化数据安全管理制度及管理流程[14-15],消除数据安全死角,提升数据安全保障能力。主要措施包括:
1)对数据全生命周期管理过程中各角色进行全面定义,并赋予相应的管理权限,承担相应的管理职责;
2)对数据全生命周期管理过程中各保密等级的数据资产定制化保密控制策略;
3)明确数据全生命周期管理过程中各项数据所处状态的边界(如归档及备份等),以便对其实施不同层面和规格的管理要求。
2.3.3 制度体系的建立
上述技术及管理策略能够从日常工作2个方面分别对数据安全进行管控和保障。为使数据安全管理工作成体系,其标准化工作及相关指导规章制定必不可少。通过细化各项工作,利用前文所述各项工作的成果,能够相对较容易地建立指导国网四川电力的上层管理规范,从而系统化地对数据安全进行管理,做到数据安全的有法可依。
3 结语
数据安全是公司信息化建设深入到一定程度所必须面对的一项问题,也是未来公司发展壮大、面向电力市场竞争新形势下对数据资产价值挖掘的现实需要,其管理体系的建立关乎公司未来的发展。国网四川电力数据基础运维、数据价值挖掘工作开展相对较晚,与之配套的数据安全管理体系研究相对欠缺。随着公司对数据资产的重视,以及信息化水平的快速提高,无论是国家网络安全法实施的外部环境,还是电力企业经营管理的内在要求,都使得加强数据资产的安全管理成为一项迫在眉睫的任务。本文提出了一项基于管理流程和技术手段的数据安全管理体系构建方法,能够显著提升公司数据安全全生命周期管理水平,降低数据安全风险,为公司数据资产价值挖掘提供稳固支撑。