【51CTO.com原創(chuàng)稿件】在數(shù)字經(jīng)濟(jì)時代，數(shù)據(jù)已經(jīng)成為生產(chǎn)力提升的重要手段。能源行業(yè)作為國民基礎(chǔ)設(shè)施中的重要一環(huán)，也敏銳地捕捉到數(shù)據(jù)的價值，不斷謀求創(chuàng)新發(fā)展，順應(yīng)數(shù)字時代的大潮。在前不久召開的安華金和承辦的第三屆中國數(shù)據(jù)安全治理高峰論壇上，51CTO記者就特別關(guān)注了數(shù)據(jù)安全治理能源行業(yè)論壇，四位業(yè)內(nèi)資深專家也就如何保護(hù)能源行業(yè)數(shù)據(jù)、如何挖掘數(shù)據(jù)價值、如何開展數(shù)據(jù)安全治理工作等熱點話題拋磚引玉，分享了自己的觀點。

　　信息中心高級工程師葉世超博士：能源大數(shù)據(jù)的建設(shè)構(gòu)想

[[264412]]

　　葉世超表示，能源大數(shù)據(jù)建設(shè)的構(gòu)想是在現(xiàn)實的政策基礎(chǔ)、數(shù)據(jù)基礎(chǔ)、工程基礎(chǔ)上搭建起來的，需要考慮到行業(yè)實際應(yīng)用中面臨的問題，如信息資源共享利用水平不高、能源數(shù)據(jù)質(zhì)量不高、大數(shù)據(jù)構(gòu)建模式不完善等。

　　理論上來說，能源大數(shù)據(jù)建設(shè)要順應(yīng)國家號召，構(gòu)建清潔、低碳、安全、高效的目標(biāo)，以構(gòu)建統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一架構(gòu)、統(tǒng)一接口為重點，工作目標(biāo)是要建設(shè)大數(shù)據(jù)的組織和技術(shù)支持體系。

　　“在技術(shù)上，需要先從研究課題來入手制訂一些標(biāo)準(zhǔn)”他介紹到，具體可分為六步：一是設(shè)立一些科研型的先導(dǎo);二是建立能源大數(shù)據(jù)的工作體系;三是利用標(biāo)準(zhǔn)規(guī)范體系的研究成果，建立能源大數(shù)據(jù)的指標(biāo)和目錄;四是搭建計算平臺;五是企業(yè)通過合作模式構(gòu)建能源大數(shù)據(jù)的業(yè)務(wù)模型;六是大數(shù)據(jù)的整個體系架構(gòu)就初現(xiàn)雛形和大數(shù)據(jù)相關(guān)的運用工作。

　　黑龍江省電力科學(xué)研究院數(shù)據(jù)工程師尚方：國家電網(wǎng)數(shù)據(jù)恢復(fù)與銷毀業(yè)務(wù)的分享

[[264413]]

　　如果說葉世超是高屋建瓴地從宏觀政策上對于能源行業(yè)的大數(shù)據(jù)發(fā)展給出了指導(dǎo)方向，那么尚方更多的則是從實際應(yīng)用的角度分享了數(shù)據(jù)安全治理過程中的一些經(jīng)驗和總結(jié)。

　　尚方表示，對于大型企事業(yè)單位而言，數(shù)據(jù)恢復(fù)與銷毀關(guān)系到國計民生的戰(zhàn)略基礎(chǔ)性數(shù)據(jù)，涉及億萬人民的生產(chǎn)生活，不容有失。以國家電網(wǎng)公司為例，業(yè)務(wù)數(shù)據(jù)丟失后要求進(jìn)行數(shù)據(jù)恢復(fù)，要保障企業(yè)的正常運行，保證電網(wǎng)以及人們生產(chǎn)生活不被打斷，如果介質(zhì)淘汰或者介質(zhì)損壞，需要去外面維修，必須先將原來的工作數(shù)據(jù)擦除，防止泄密，這也是保護(hù)企業(yè)和個人隱私。

　　經(jīng)過調(diào)研，目前我國企事業(yè)單位在電子數(shù)據(jù)恢復(fù)銷毀領(lǐng)域做得不錯的通常有三類用戶：首先國家保密機(jī)構(gòu)，通常指金融、軍工、軍隊、重要的科研院所等;其次是一些大型的涉密單位，他們有自己的常備人員，有更專業(yè)的設(shè)備，會對木馬、病毒，包括外界存儲介質(zhì)做檢測，而且這些單位的客戶代表也是全程監(jiān)督，保證沒有外泄可能。一些企事業(yè)單位，他們有自己的管理規(guī)定，而且有比較雄厚的經(jīng)濟(jì)實力，一般由公司統(tǒng)一購買數(shù)據(jù)擦除和銷毀的設(shè)備，把擦除和銷毀的工作在內(nèi)部完成。

　　尚方也給出了數(shù)據(jù)丟失和外泄的一些常見原因，如巡查不到位、個人不良使用習(xí)慣、企業(yè)信息運維不好、未經(jīng)擦除即轉(zhuǎn)用、報廢流出、設(shè)備環(huán)境不滿足條件、人員經(jīng)驗技術(shù)缺乏、責(zé)任心不足等等。

　　在中國電力行業(yè)，由于信息化程度比較靠前，國家政策明晰，所以各單位規(guī)范數(shù)據(jù)恢復(fù)和銷毀工作還是非常規(guī)范的，管理經(jīng)驗、產(chǎn)品、裝備相對于絕大多數(shù)企事業(yè)單位來說都更好。早在2011年11月，在國家電網(wǎng)的業(yè)務(wù)系統(tǒng)數(shù)據(jù)量還沒有大量爆發(fā)前，長期工作在一線的領(lǐng)導(dǎo)和專家就前瞻性地提出要籌建專業(yè)的數(shù)據(jù)恢復(fù)銷毀實驗室，2012年5月，黑龍江省電力科學(xué)研究院前身的實驗室從單純?yōu)閲W(wǎng)公司開展數(shù)據(jù)庫和銷毀工作，進(jìn)一步的升級面向社會提供數(shù)據(jù)恢復(fù)的技術(shù)支持，以及司法鑒定業(yè)務(wù)。

　　尚方強調(diào)，數(shù)據(jù)恢復(fù)是保障電子數(shù)據(jù)可用性的一道技術(shù)屏障，是彰顯司法公正、協(xié)助案件偵破的重要技術(shù)手段。數(shù)據(jù)擦除與銷毀是保障敏感信息、敏感數(shù)據(jù)不外泄的有效方法，數(shù)據(jù)恢復(fù)與銷毀技術(shù)是數(shù)據(jù)安全治理中關(guān)鍵環(huán)節(jié)。

　　全球能源互聯(lián)網(wǎng)研究院數(shù)據(jù)安全項目負(fù)責(zé)人郭昊：電網(wǎng)企業(yè)數(shù)據(jù)安全探索

[[264414]]

　　全球能源互聯(lián)網(wǎng)研究院有限公司，前身是電網(wǎng)研究院，在2016年2月更名為全球能源互聯(lián)網(wǎng)研究院，是國家電網(wǎng)公司的直屬科研單位。

　　郭昊首先分析了數(shù)據(jù)安全的形勢和態(tài)勢，目前數(shù)據(jù)安全影響范圍愈加廣泛，數(shù)據(jù)泄露已經(jīng)成為安全穩(wěn)定風(fēng)險源頭，是當(dāng)前網(wǎng)絡(luò)安全面臨的最主要威脅和企業(yè)面臨的最重要的風(fēng)險之一，內(nèi)鬼竊取，內(nèi)部人員操作失誤已經(jīng)成為數(shù)據(jù)泄露的三大主要原因。

　　接著郭昊分享了自己在安全審計方面的心得，他表示在實踐中他們總結(jié)出三個比較清晰的審計思路，一是需要審計用戶賬戶跨資源的數(shù)據(jù)操作，二是需要審計對敏感數(shù)據(jù)的操作，三是關(guān)鍵系統(tǒng)表的操作要進(jìn)行審計。在與電力企業(yè)接觸過程中，他們在防護(hù)、數(shù)據(jù)安全、違規(guī)操作、輸出性能這四個方面展開了14個場景的審計，如多次登錄失敗，開展審計，數(shù)據(jù)操作、違規(guī)操作、數(shù)據(jù)庫性能等。“數(shù)據(jù)安全審計效果應(yīng)該滿足三個標(biāo)準(zhǔn)，即應(yīng)用操作合規(guī)性、行為操作合規(guī)性、SQL發(fā)現(xiàn)合規(guī)性。”

　　對于如何提升電力行業(yè)的數(shù)據(jù)安全核心能力，他建議首先可以廣泛地與研究機(jī)構(gòu)、前沿廠商合作，基于機(jī)器學(xué)習(xí)的電力業(yè)務(wù)進(jìn)行實質(zhì)性的研究，其次依托科技項目，深入開展在邊緣物聯(lián)網(wǎng)、邊緣計算模塊數(shù)據(jù)安全督察理論研究和安全防護(hù)技術(shù)的研究，持續(xù)做到面向電力企業(yè)提供數(shù)據(jù)安全服務(wù)。

　　北京安華金和架構(gòu)師李航：電力行業(yè)數(shù)據(jù)安全思路與實施方法論

[[264415]]

　　李航從安華金和實際服務(wù)國家電網(wǎng)多年的實踐角度，分享了過去的服務(wù)經(jīng)驗和如何應(yīng)對數(shù)據(jù)安全現(xiàn)狀的一些經(jīng)驗。

　　據(jù)李航介紹，數(shù)據(jù)安全已經(jīng)成為當(dāng)下電力企業(yè)下一個風(fēng)口，很多安全隱患都給電力行業(yè)的數(shù)字化建設(shè)帶來挑戰(zhàn)，如數(shù)據(jù)共享下的安全問題，數(shù)據(jù)資產(chǎn)的梳理，企業(yè)對暗數(shù)據(jù)的未知以及敏感數(shù)據(jù)的處理等等環(huán)節(jié)都比較怕薄弱。在國家電網(wǎng)的大數(shù)據(jù)環(huán)境中，數(shù)據(jù)的梳理工作是否到位?全量數(shù)據(jù)有多少?敏感數(shù)據(jù)在哪里?數(shù)據(jù)是否分級分類?數(shù)據(jù)被誰使用?……這一連串的問題恐怕清晰回答上來的用戶并不多。

　　安華金和在實踐過程中總結(jié)出一套行之有效的數(shù)據(jù)安全防護(hù)思路。李航將其稱之為四個轉(zhuǎn)變：一是由傳統(tǒng)的數(shù)據(jù)資產(chǎn)的管理模糊化向數(shù)據(jù)資產(chǎn)管理清晰化的方式轉(zhuǎn)變，二是從傳統(tǒng)的被動式防御模式轉(zhuǎn)化成主動的防御模式，三是由單點數(shù)據(jù)防護(hù)模式向全場景一體化聯(lián)動模式轉(zhuǎn)變，四是由靜態(tài)的風(fēng)險分析模式轉(zhuǎn)化成動態(tài)的態(tài)勢感覺的方式轉(zhuǎn)變。

　　那么具體如何著手呢?李航透露，要做數(shù)據(jù)安全治理，要定義一些標(biāo)準(zhǔn)和政策進(jìn)行數(shù)據(jù)梳理，并對數(shù)據(jù)進(jìn)行分類授權(quán)，不同等級不同類別的數(shù)據(jù)，要采取不同的防護(hù)方式進(jìn)行防護(hù)。第二步要對數(shù)據(jù)進(jìn)行分類，安華金和建議以應(yīng)用系統(tǒng)為單元進(jìn)行數(shù)據(jù)分類，由于每個系統(tǒng)數(shù)據(jù)的屬性和特性必定是不一樣的，所以以數(shù)據(jù)的應(yīng)用系統(tǒng)為單元進(jìn)行分類更科學(xué)。第三步是共同參與，數(shù)據(jù)的分級分類不是信息化的部門或者安全部門才能主導(dǎo)的，因為做信息化的部門，做安全的部門不懂業(yè)務(wù)也不懂業(yè)務(wù)部門的相關(guān)數(shù)據(jù)，所以必須要有業(yè)務(wù)部門的參與。第四步是建立輔佐制度，為后續(xù)數(shù)據(jù)精準(zhǔn)化的防護(hù)提供一些依據(jù)。

　　當(dāng)然構(gòu)建一套完整的數(shù)據(jù)安全治理體系絕非這么簡單，還要考慮很多問題。李航舉例道，在數(shù)據(jù)共享過程中，需要在進(jìn)行數(shù)據(jù)脫敏的同時確保數(shù)據(jù)的可逆性、仿真度、關(guān)聯(lián)性;在數(shù)據(jù)分發(fā)過程中，需要保障數(shù)據(jù)流傳過程中每一個環(huán)節(jié)可追溯;在數(shù)據(jù)發(fā)放和交互的過程中，既要保障對方可以正常使用數(shù)據(jù)，還要確保數(shù)據(jù)不泄露和可追蹤。

　　在記者看來，這四位專家分享了能源行業(yè)數(shù)據(jù)安全治理的寶貴經(jīng)驗和實踐，事實上也給能源行業(yè)做好數(shù)據(jù)安全防護(hù)工作提供了許多有價值的參考。值得一提的是，安華金和作為數(shù)據(jù)安全治理峰會的承辦方，其數(shù)據(jù)安全治理理念被越來越多的為政府與企業(yè)單位所認(rèn)可，也獲得了越來越多安全從業(yè)者的關(guān)注。未來，作為數(shù)據(jù)安全治理理念的倡導(dǎo)者，業(yè)界更希望看到，安華金和構(gòu)建開放數(shù)據(jù)安全治理生態(tài)，助力我國信息安全保障。

【51CTO原創(chuàng)稿件，合作站點轉(zhuǎn)載請注明原文作者和出處為51CTO.com】