看全國用電量最大省份的電力公司 如何保障數據安全?
釋出日期:2021-06-08 作者:奇安信
“電力數據是‘金礦’,要交換和流轉才能創造更大價值,但這個過程面臨的安全風險是最為複雜的。從外部的釣魚攻擊、勒索軟件、蠕蟲木馬,到內部的非授權訪問、U盤外拷、郵件外發等行為,都可能導致敏感數據的泄露,造成巨大損失。”國家電網山東省電力公司(簡稱:山東電力)互聯網部副主任王勇這樣談到。
經濟要發展,電力須先行。電網作為國家關鍵基礎設施的重要組成部分,其安全性和可靠性需要進行重點保障。
近年來,隨着電力企業數字化轉型的深入推進,大、雲、物、移、智、鏈等數字技術被廣泛應用,電力企業的信息化水平進一步提高,電網安全和服務水平得到大幅提升,但新技術深化應用的同時也帶來新的安全隱患,其中數據安全面臨的挑戰尤其嚴峻。
圖 國網山東電力網絡監測響應與指揮調度中心
國網山東電力服務的電力客户大約4915萬,全省2020年用電量約6940億千瓦時,位居全國第一。
為了應對新的安全形勢,更好保障電網安全運行,從2018年開始,國網山東省電力公司構建了以“四梁八柱”為核心框架的網絡安全防護體系。
尤其在數據安全防護方面採用零信任安全解決方案,構建了“沒有授權進不去,未經許可拿不走、數據泄密賴不掉”的全過程數據安全防護體系。
電力數據是“金礦” 安全挑戰迫在眉睫
農業社會,經濟發展的決定因素是土地和勞動力;工業時代,資本、技術等成為核心生產要素;而在數字經濟時代,數據成為推動經濟增長的核心力量,被中央明確為“第五大生產要素”。
近年來,數據安全事件頻發。公開數據顯示,2020年全球數據泄漏的記錄達到310億條,超過了過去15年的總和。今年的數據泄露可能會更嚴重,就在3月份,國際外匯交易平台FBS超過160億條用户信息遭到泄露,全球數百萬客户受到影響。不久前,由於軟件供應鏈被攻擊,多個日本政府部門敏感數據泄露,包括參與東京奧運會網絡安全演習的約90家組織安全管理人員的個人信息被泄露。
“電力大數據好比是一座‘金礦’,有人想從中‘淘金’,有人想往裏‘灌沙子’,無論是開採利用,還是流轉傳輸,都會引發各種安全事件。”王勇表示。對於山東電力的數據特點,王勇歸納了三個方面:
首先是規模大:電力企業存儲的電網數據量巨大。以山東電力為例,電網運行每天產生的數據超過2TB,其中還不包含視頻、圖像等非結構化數據。
其次是種類多:電網數據既包含電網運行產生的實時數據,又包含企業經營產生的業務數據。既有結構化數據、非結構化數據又有采集量測類數據。
第三是價值高:電力數據準確而及時,通過電力數據可以為經濟(比如電力看經濟)、民生(比如住宅空置率分析、電力旅遊發展指數、精準扶貧成效評估)、產業發展(比如小微企業復產分析)、徵信(企業電力信用評級)等宏觀分析提供有效數據支持。
“由於電力行業數據規模大、價值高等特徵,很容易成為攻擊者目標。電力企業信息安全尤其是電網數據安全防護日益成為企業、政府乃至整個社會關注的焦點。山東電力將網絡安全與人身安全、電網安全、設備安全一起列為公司四大安全,進行重點保障。”王勇表示。
“四梁八柱”為整體框架 四步完成“零信任”建設
“數據安全防護工作需要做到知己知彼,電網數據面臨的安全威脅主要來自內部和外部兩個方面。”
王勇談到,從外部來看,由於電力高價值的特性,導致電力公司面臨的外部攻擊居高不下,每天互聯網出口監測到的外部攻擊平均超過15000次;從內部來看,隨着社會工程學等攻擊逐年增加,數據泄密風險與日俱增。根據業內有關調查數據顯示,在涉及用户個人隱私的泄密事件中,內部泄密比例高達2/3。
為了應對新的安全形勢,更好保障電網安全運行,山東電力構建了以“四梁八柱”為核心框架的網絡安全體系。
圖 “四梁八柱”網絡安全框架
四梁包括管理、技防、運營、隊伍等四個方面;而八柱則包含數據、終端、系統、工控、研發、運行、作業、攻防八個細分場景的安全。
四梁為橫,構建安全上層建築;八柱為縱,築牢網絡安全之基。
其中,數據作為安全防護的重中之重,結合內外部數據安全威脅,山東電力提出了以保障數據安全為核心,採用零信任及縱深防禦的安全理念,構建“沒有授權進不去,未經許可拿不走、數據泄密賴不掉”的全過程數據安全防護體系的數據安全防護建設目標。
在項目實施方面,山東電力通過與奇安信集團合作,引入其零信任安全解決方案構建數據安全防護體系,主要針對數據中心的業務入口和數據接口進行匯聚、收斂,綜合引用了軟件定義邊界、身份安全、API安全、終端安全等相關技術,形成一個整體的解決方案。
在項目建設中,山東電力與奇安信基於對電力系統及其網絡安全態勢的評估,將數據安全建設按照以下四個層次進行開展:
首先是實施數據分級分類,以數據分級分類結果作為數據安全防護的主要依據,明確防護重點。
山東電力通過制定《電網企業數據安全分類分級指南》對數據進行分級分類,按照數據的重要程度分為1-4四級,按照數據敏感性分為公共、企業、個人三類,以數據分級分類結果作為安全防護的依據。
第二是構建零信任數據安全訪問平台,利用技術手段實現數據訪問控制,強化數據訪問過程管控。
其中包括利用可信應用代理,進行基於用户和終端風險的應用訪問控制;利用可信API代理進行基於數據訪問風險的接口訪問控制,滿足數據中台+微應用新形勢下的動態可信訪問控制要求。
圖 零信任安全訪問平台
第三是夯實數據訪問的可信環境,將身份認證貫穿數據訪問全程,實現訪問數據的人員可信和設備可信。
在人員可信層面,實現基於動態令牌的多因子身份認證,減少賬户冒用風險,保證數據訪問過程人員可信。在設備可信方面,利用可信環境感知客户端構建終端安全狀態評估能力,當用户終端出現風險事件(如感染木馬、開啓錄屏等)時,零信任體系實時阻斷此終端對敏感數據的訪問。
最後是完善數據泄露事後應急機制,利用數字水印與日誌分析,實現數據泄露追蹤溯源。
通過部署數據防泄漏工具,阻止通過即時通訊、U盤、郵件、打印機等方式導出敏感信息的行為;即便是拍照外發,也可以通過暗水印技術找到泄露源頭。與此同時,將訪問控制日誌、應用訪問流量與終端DLP日誌彙總關聯分析,追蹤數據泄密鏈路,確定泄密數據範圍,溯源泄密人員。
讓數據流轉可查可控 內外兼防構築安全防線
據國網山東省電力公司互聯網部建設運行技術處網絡安全專責陳劍飛介紹,零信任體系經過公司一年多的運行,取得了如下的效果。
在訪問控制方面,通過用户訪問持續評估,實現安全風險聯防聯控。
零信任的全面身份化原則,打破了傳統基於網絡邊界、分區分域的防護理念,適應電網信息化當前發展實際,尤其是微應用場景下邊界模糊的環境。
零信任數據安全防護體系基於用户身份、終端身份、應用身份和接口身份執行訪問控制,讓數據流轉過程中每一個環節都可查可控,使數據流轉更安全更可信。
在防內鬼方面,通過零信任體系對內形成強大震懾,有效防範內部人泄密。
根據威瑞森發佈《2021年數據泄露調查報告》稱,61%的數據泄露與憑證數據有關,85% 的違規行為與人為因素有關。
通過和奇安信合作的零信任數據安全防護體系實施,尤其是離線多因子身份認證和終端可信環境感知的知識普及,大大提高了山東電力全員安全意識。尤其是公司員工防泄密、防社工意識大大加強,起到了防患於未然的效果。
在協同聯動方面,對外形成協同聯動,共同打擊犯罪。
當前網絡攻擊犯罪的情況愈演愈烈,山東電力形成了與網信辦、公安廳協同聯動的工作機制,在上合組織峯會等歷次重大活動的網絡安全保障工作中取得了較好成績。
零信任作為一個架構級解決方案,工程實施是否會很複雜?是否需要業務做較多改造呢?
陳劍飛表示,得益於奇安信零信任解決方案良好的業務適配能力,在整個適配過程中,業務和現有身份認證基礎設施幾乎沒有做任何改造就完成了對接,這大大增強了後續場景推廣應用的信心。
數據安全的防護只有起點 沒有終點
“網絡安全的本質是人與人的對抗,數據安全的防護只有起點沒有終點。”王勇談到。
自從實施零信任體系以來,山東電力從邊、端兩個維度有效完成了敏感數據流轉、存儲和外發的識別和管控,未發生數據安全事件,有效保護了電網數據安全。
對於未來,王勇表示,山東電力將踐行人民電業為人民的企業使命,保障電網安全可靠運行,確保數據安全。一方面,將通過人工智能技術加大對異常行為的智能分析,實現策略自動優化和風險提前預警;另一方面,將加大零信任體系與中台的全面融合,實現數據的內生安全防護。