0 引言

隨著國家電網(wǎng)公司信息化建設不斷深入,國網(wǎng)四川電力也在運營監(jiān)控、運行檢修、營銷客服、電網(wǎng)調度、基礎設施運維等業(yè)務領域積累了海量數(shù)據(jù),并作為公司重要資產進行管理。前期,經(jīng)過一體化信息平臺、數(shù)據(jù)中心深化應用等項目的實施,國網(wǎng)四川電力搭建了省公司級的數(shù)據(jù)中心軟硬件平臺,支撐了數(shù)據(jù)橫向共享與縱向貫通,并將松、緊耦合業(yè)務主題分析功能集成,一定程度上支撐了數(shù)據(jù)管理、共享、分析等方面的工作。雖然公司在數(shù)據(jù)資源建設、管理及規(guī)章制度完善方面工作取得了一定成果,但隨著全業(yè)務統(tǒng)一數(shù)據(jù)中心數(shù)據(jù)分析域的建設,以及電網(wǎng)調度生產、營銷客服、安全監(jiān)察、基建應急等業(yè)務對數(shù)據(jù)存儲、融合、特定場景發(fā)布、數(shù)據(jù)資產提取的定制化需求逐步增長,公司傳統(tǒng)數(shù)據(jù)資產的管控方法及價值挖掘體系建設面臨諸多挑戰(zhàn)。雖然對數(shù)據(jù)資產價值的挖掘能夠為公司發(fā)展帶來新的助力,但高收益必然伴隨著高風險,一旦業(yè)務數(shù)據(jù)丟失、損壞或泄露,很有可能對公司正常的生產經(jīng)營活動帶來負面影響,甚至造成重大經(jīng)濟損失。

當前,國家電網(wǎng)公司的信息化建設已經(jīng)從面向單個業(yè)務領域、獨立業(yè)務需求的系統(tǒng)開發(fā)層面逐步過渡到數(shù)據(jù)融合、價值挖掘、大數(shù)據(jù)、云計算及數(shù)據(jù)綜合治理領域,而上述領域均依賴于有效、準確、安全且高效的數(shù)據(jù)資產管理體系。數(shù)據(jù)資產的安全管理是公司面臨新形勢下的市場競爭、國企改革轉型、提升公司運行效率的核心工作之一。對業(yè)務數(shù)據(jù)及由其衍生的信息系統(tǒng)運行數(shù)據(jù),需要一套完整、可靠且可執(zhí)行的安全管理體系加以規(guī)范,從而更好地防范可能出現(xiàn)的數(shù)據(jù)安全風險,支撐日益增長的數(shù)據(jù)、業(yè)務和價值挖掘需求。

 1 數(shù)據(jù)資產安全管理體系架構

一般而言,數(shù)據(jù)安全包含3個要素,即數(shù)據(jù)的完整性（Integrity）、保密性（Confidentiality）和可用性（Availability）^[1]。其中,數(shù)據(jù)完整性是指在傳輸、存儲信息或數(shù)據(jù)的過程中,確保數(shù)據(jù)不被未授權的篡改或在篡改后能夠被迅速發(fā)現(xiàn);數(shù)據(jù)保密性是指保證數(shù)據(jù)為授權者享用而不泄漏給未經(jīng)授權者;數(shù)據(jù)可用性則是指保證信息和信息系統(tǒng)隨時為授權者提供服務,保證合法用戶對數(shù)據(jù)的使用不會被不合理地拒絕。由此,數(shù)據(jù)安全管理體系的重點考慮目標是如何建立具備可執(zhí)行性的數(shù)據(jù)使用授權體系,以及如何防止數(shù)據(jù)的泄露、篡改和破壞。

上述目標必須納入數(shù)據(jù)資產安全管理體系中,在職責明確、分級明晰的框架指導下,才能最大程度地發(fā)揮其約束作用。尤其是,要做到數(shù)據(jù)資產的安全管理,必須在數(shù)據(jù)分類分級機制、數(shù)據(jù)全生命周期管理（Data Life Cycle Management,DLCM）、數(shù)據(jù)使用授權體系規(guī)范管理的前提下,由相關人員在權限范圍內對數(shù)據(jù)進行訪問及提取應用,其整體構成如圖1所示。由此,數(shù)據(jù)資產安全管理體系可由數(shù)據(jù)安全管理制度、人員與權限控制、安全管理策略3部分構成。

圖1 DLCM管理體系構成Fig.1 Structure of DLCM management system

1.1 數(shù)據(jù)安全管理制度

國家電網(wǎng)公司在數(shù)據(jù)安全管理方面起步相對較早,先后發(fā)布了多部與數(shù)據(jù)安全管理有關的規(guī)章制度。國網(wǎng)四川電力在充分領會國家電網(wǎng)公司相關規(guī)章制度的基礎上,根據(jù)省公司工作的實際情況,先后制定了有針對性的落地方案。國家電網(wǎng)公司發(fā)布的規(guī)章制度規(guī)定了數(shù)據(jù)安全管理原則,省公司層面在原則的指引下制定了處于操作落地層面的具體管理規(guī)程,兩者共同構成了數(shù)據(jù)安全管理體系的制度基礎。國家電網(wǎng)公司標準規(guī)范以《國家電網(wǎng)公司數(shù)據(jù)基礎運維工作規(guī)范（2017版）》（信通運行〔2017〕38號）^[2]為典型,一方面規(guī)定了數(shù)據(jù)安全管理的作用對象和作用范圍,另一方面也明確了不同部門和角色的權利和責任,提出了數(shù)據(jù)相關工作的基本要求。該工作規(guī)范不解決數(shù)據(jù)資產安全管理落地的具體流程及操作方法,而是由省公司層面的管理規(guī)程來完成,如數(shù)據(jù)接入、使用、導入導出、分級、銷毀等。與省公司管理規(guī)程共同起作用的是根據(jù)具體工作要求和實際情況制定的、在數(shù)據(jù)基礎運維單位內部執(zhí)行的數(shù)據(jù)安全管理流程。

1.2 人員與權限控制

數(shù)據(jù)資產^[3]的獲取及訪問通常限定在公司內部,但也有部分情況會涉及外部單位。公司內部人員與權限控制對象包括公司領導、數(shù)據(jù)資產歸口管理部門（運監(jiān)中心）、數(shù)據(jù)資產運維部門（信通公司、客服中心等）、數(shù)據(jù)資產業(yè)務主管部門（省公司各業(yè)務部門）、數(shù)據(jù)資產使用部門（系統(tǒng)建設及運維管理部門、廠商）等;而外部單位通常包括行業(yè)監(jiān)管機構、合作單位等。不同角色對象的權限及數(shù)據(jù)安全責任不同,需要在數(shù)據(jù)分級和脫敏的基礎上,對其開通不同的權限。

1.3 安全管理策略

數(shù)據(jù)安全管理策略本質上作用于數(shù)據(jù)資產全生命周期管理的全過程,主要包含需求、產生（采集、加工）、使用（傳輸、存儲）及銷毀。而數(shù)據(jù)的使用階段則主要包含審計、分析決策、測試及研發(fā)、災備、復制拷貝、網(wǎng)絡傳輸、保存、歸檔、備份等。針對不同的階段,需要采用不同的安全策略。

 2 數(shù)據(jù)資產安全管理體系構建

根據(jù)上述體系框架的必備要素,數(shù)據(jù)資產安全管理體系重點從3個方面開展工作。

2.1 數(shù)據(jù)資產分類分級

國網(wǎng)四川電力作為省級電力公司,由包括運檢、營銷、調度等多個業(yè)務部門組成,每個部門都有一定數(shù)量的業(yè)務系統(tǒng),服務大量客戶并持續(xù)產生海量數(shù)據(jù),業(yè)務邏輯、需求和數(shù)據(jù)的多樣性均是高度復雜的,亟需進行分類分級管理。

原則上,數(shù)據(jù)資產的分類及分級由業(yè)務部門決定^[4],因此維度不會局限在IT層面,如數(shù)據(jù)形態(tài)、存儲地點、生成時間等,而是從業(yè)務需求的角度出發(fā),對需要保護的數(shù)據(jù)分類分級。例如,營銷部可能關注用電客戶信息、賬戶信息等,運檢部可能關注一次、二次設備負載、線路停電信息等。可見,業(yè)務條線將是數(shù)據(jù)資產分類分級的優(yōu)先角度^[5]。在此基礎上,來自同一個業(yè)務條線的數(shù)據(jù)在處于數(shù)據(jù)庫存儲、導出文件存儲或實體文件存儲時,其安全管理方式方法也勢必發(fā)生改變,因此,數(shù)據(jù)的形態(tài)也將是分類分級的輔助角度之一。

按照國家電網(wǎng)公司統(tǒng)一發(fā)布的統(tǒng)一數(shù)據(jù)模型（SG-CIM3.0）,數(shù)據(jù)的分類應當是自上而下進行的^[6-7],以業(yè)務條線為基礎,使用面向對象的建模技術定義,圍繞“人員組織、財務、物資、資產、電網(wǎng)、項目和客戶”7個核心專業(yè)以統(tǒng)一建模語言^[8]進行表達,目標是對公司全業(yè)務范圍內的業(yè)務對象進行抽象從而以信息模型的形式進行描述。與此同時,考慮各省公司個性化需求和情況,必然存在部分統(tǒng)一信息模型中未涵蓋的、但存在具體需求的數(shù)據(jù)。針對這種情況,本文設計了一種自下而上的分類方法作為模型的有機補充。按照上述分類角度和方法,國網(wǎng)四川電力數(shù)據(jù)項分類分級的參考示例見表1所列。

表1 數(shù)據(jù)項分類分級參考示例Tab.1 InstanceS of data classification

2.2 數(shù)據(jù)資產安全標準設計

在此基礎上,通過建立安全分級標準并落地執(zhí)行,同時滿足國家標準及國家電網(wǎng)公司行業(yè)標準要求,通過定制化安全策略和管理流程,能夠有效地保障數(shù)據(jù)資產的完整性和保密性。

2.2.1 數(shù)據(jù)資產保密性定級方法

通常而言,孤立的一條數(shù)據(jù)或數(shù)條數(shù)據(jù)無法滿足實際業(yè)務需要,特別是在面對現(xiàn)在國家電網(wǎng)公司“打破數(shù)據(jù)壁壘,挖掘數(shù)據(jù)潛力”的需求前提下,更是如此。當數(shù)據(jù)牽涉到不同業(yè)務領域、由不同業(yè)務部門管理、且需要協(xié)同工作時,對組合型數(shù)據(jù)資產的保密定級就需要形成一套有效的定級方法,從而保證數(shù)據(jù)資產的安全性。上一章節(jié)中的保密等級,即是單個數(shù)據(jù)項的定級結果,結合每一項數(shù)據(jù)項的定級結果,通過一定的規(guī)則,就可以對組合型數(shù)據(jù)定級。事實上,單個數(shù)據(jù)項的定級相對較為簡單,通常是在數(shù)據(jù)可公開的維度上進行度量,其數(shù)據(jù)項保密分級定義見表 2所列。

表2 數(shù)據(jù)項保密分級定義Tab.2 The definition of data secrecy classification

根據(jù)上述分類定義,可由公司各業(yè)務部門牽頭,聯(lián)絡相關信息系統(tǒng)運維單位,共同從業(yè)務和技術上對單一數(shù)據(jù)項分類進行保密等級賦值,隨后依據(jù)表3的規(guī)則衍生出組合型數(shù)據(jù)資產的保密等級。

表3 數(shù)據(jù)項定級規(guī)則Tab.3 Data classification rule

2.2.2 數(shù)據(jù)資產脫敏方法

數(shù)據(jù)脫敏是指從原始環(huán)境向目標環(huán)境進行敏感數(shù)據(jù)交換的過程中,通過一定方法消除原始環(huán)境數(shù)據(jù)中的敏感信息,并保留目標環(huán)境業(yè)務所需的數(shù)據(jù)特征或內容的數(shù)據(jù)處理過程^[9-10]。數(shù)據(jù)資產脫敏不僅要確保敏感信息被去除,還需要盡可能平衡脫敏所花費的代價、使用方的業(yè)務需求等多個因素。因此,為了確保數(shù)據(jù)脫敏的過程、代價可控,得到的結果正確且滿足業(yè)務需要,在實施數(shù)據(jù)脫敏時,應從技術和管理兩方面出發(fā),符合有效性、真實性、高效性、穩(wěn)定性及可配置性等基本原則,主要包括制定數(shù)據(jù)脫敏規(guī)程、發(fā)現(xiàn)敏感數(shù)據(jù)、定義脫敏規(guī)則、執(zhí)行脫敏工作和驗證脫敏成效等步驟。

制定數(shù)據(jù)脫敏規(guī)程的環(huán)節(jié)中,除按照前文所述對數(shù)據(jù)項進行分類分級外,需明確對各類、各級別數(shù)據(jù)相應的安全管控機制^[11],在數(shù)據(jù)脫敏工具的運維管理制度中納入對數(shù)據(jù)脫敏工具的系統(tǒng)安全檢測,以保證數(shù)據(jù)脫敏工具自身的安全性。此外,需要定期對數(shù)據(jù)脫敏工作的相關方,如數(shù)據(jù)管理方、數(shù)據(jù)使用方、脫敏工具運維方,開展針對相關制度的培訓工作,以提升全員的規(guī)范化意識。

發(fā)現(xiàn)敏感數(shù)據(jù)環(huán)節(jié)中,需定義工作開展的范圍,固化常用的敏感數(shù)據(jù)發(fā)現(xiàn)規(guī)則,對數(shù)據(jù)項進行精確匹配,啟用擴展機制,可根據(jù)業(yè)務需要自定義敏感數(shù)據(jù)的發(fā)現(xiàn)邏輯。

定義脫敏規(guī)則環(huán)節(jié)中,需對已識別出的敏感數(shù)據(jù)執(zhí)行生命周期（產生、采集、使用、交換、銷毀）流程的梳理^[12],明確在生命周期各階段,用戶對數(shù)據(jù)的訪問需求和當前的權限設置情況,分析整理出存在數(shù)據(jù)脫敏需求的業(yè)務場景。同時,在“最小夠用”的原則下明確待脫敏的數(shù)據(jù)內容、符合業(yè)務需求的脫敏方式,以及該業(yè)務的服務水平方面的要求,以便于脫敏規(guī)則的制定。

上述流程完成后,即可執(zhí)行脫敏工作并驗證成效,通過收集、整理數(shù)據(jù)脫敏工作執(zhí)行的數(shù)據(jù),例如相關監(jiān)控數(shù)據(jù)、審計數(shù)據(jù),對數(shù)據(jù)脫敏的前期工作開展情況進行反饋,從而優(yōu)化相關規(guī)程、明確數(shù)據(jù)脫敏過程中應關注的事項。

2.3 數(shù)據(jù)資產全生命周期安全管理要求

2.3.1 技術策略

參照國家電網(wǎng)公司分區(qū)分域的要求,在數(shù)據(jù)資產全生命周期安全管理方面也應通過相應的技術手段對其進行管理。網(wǎng)絡上,將測試系統(tǒng)、正式在運系統(tǒng)、試運行系統(tǒng)等隔離開,通過不同的邏輯域進行安全隔離,并通過不同的技術手段進行安全策略。對于五級以上的數(shù)據(jù)在全生命周期管理中均需采取相應的加密技術^[13],利用統(tǒng)一權限等賬戶密碼管理系統(tǒng),建立有效的用戶身份認證和權限控制流程,同時利用系統(tǒng)日志、審計系統(tǒng)等實現(xiàn)數(shù)據(jù)流轉全過程可審計、可追溯,及時發(fā)現(xiàn)可疑操作。此外,利用前文提到的數(shù)據(jù)脫敏手段,在保留業(yè)務含義的基礎上避免真實數(shù)據(jù)泄露,在數(shù)據(jù)資產生命周期的末期,采用適當?shù)募夹g對其進行銷毀。

2.3.2 管理策略

以《國家電網(wǎng)公司數(shù)據(jù)基礎運維規(guī)范》為基礎,建立本地化數(shù)據(jù)安全管理制度及管理流程^[14-15],消除數(shù)據(jù)安全死角,提升數(shù)據(jù)安全保障能力。主要措施包括：

1）對數(shù)據(jù)全生命周期管理過程中各角色進行全面定義,并賦予相應的管理權限,承擔相應的管理職責;

2）對數(shù)據(jù)全生命周期管理過程中各保密等級的數(shù)據(jù)資產定制化保密控制策略;

3）明確數(shù)據(jù)全生命周期管理過程中各項數(shù)據(jù)所處狀態(tài)的邊界（如歸檔及備份等）,以便對其實施不同層面和規(guī)格的管理要求。

2.3.3 制度體系的建立

上述技術及管理策略能夠從日常工作2個方面分別對數(shù)據(jù)安全進行管控和保障。為使數(shù)據(jù)安全管理工作成體系,其標準化工作及相關指導規(guī)章制定必不可少。通過細化各項工作,利用前文所述各項工作的成果,能夠相對較容易地建立指導國網(wǎng)四川電力的上層管理規(guī)范,從而系統(tǒng)化地對數(shù)據(jù)安全進行管理,做到數(shù)據(jù)安全的有法可依。

 3 結語

數(shù)據(jù)安全是公司信息化建設深入到一定程度所必須面對的一項問題,也是未來公司發(fā)展壯大、面向電力市場競爭新形勢下對數(shù)據(jù)資產價值挖掘的現(xiàn)實需要,其管理體系的建立關乎公司未來的發(fā)展。國網(wǎng)四川電力數(shù)據(jù)基礎運維、數(shù)據(jù)價值挖掘工作開展相對較晚,與之配套的數(shù)據(jù)安全管理體系研究相對欠缺。隨著公司對數(shù)據(jù)資產的重視,以及信息化水平的快速提高,無論是國家網(wǎng)絡安全法實施的外部環(huán)境,還是電力企業(yè)經(jīng)營管理的內在要求,都使得加強數(shù)據(jù)資產的安全管理成為一項迫在眉睫的任務。本文提出了一項基于管理流程和技術手段的數(shù)據(jù)安全管理體系構建方法,能夠顯著提升公司數(shù)據(jù)安全全生命周期管理水平,降低數(shù)據(jù)安全風險,為公司數(shù)據(jù)資產價值挖掘提供穩(wěn)固支撐。