0 引言

隨著國家電網(wǎng)公司信息化建設(shè)不斷深入,國網(wǎng)四川電力也在運(yùn)營監(jiān)控、運(yùn)行檢修、營銷客服、電網(wǎng)調(diào)度、基礎(chǔ)設(shè)施運(yùn)維等業(yè)務(wù)領(lǐng)域積累了海量數(shù)據(jù),并作為公司重要資產(chǎn)進(jìn)行管理。前期,經(jīng)過一體化信息平臺(tái)、數(shù)據(jù)中心深化應(yīng)用等項(xiàng)目的實(shí)施,國網(wǎng)四川電力搭建了省公司級(jí)的數(shù)據(jù)中心軟硬件平臺(tái),支撐了數(shù)據(jù)橫向共享與縱向貫通,并將松、緊耦合業(yè)務(wù)主題分析功能集成,一定程度上支撐了數(shù)據(jù)管理、共享、分析等方面的工作。雖然公司在數(shù)據(jù)資源建設(shè)、管理及規(guī)章制度完善方面工作取得了一定成果,但隨著全業(yè)務(wù)統(tǒng)一數(shù)據(jù)中心數(shù)據(jù)分析域的建設(shè),以及電網(wǎng)調(diào)度生產(chǎn)、營銷客服、安全監(jiān)察、基建應(yīng)急等業(yè)務(wù)對(duì)數(shù)據(jù)存儲(chǔ)、融合、特定場景發(fā)布、數(shù)據(jù)資產(chǎn)提取的定制化需求逐步增長,公司傳統(tǒng)數(shù)據(jù)資產(chǎn)的管控方法及價(jià)值挖掘體系建設(shè)面臨諸多挑戰(zhàn)。雖然對(duì)數(shù)據(jù)資產(chǎn)價(jià)值的挖掘能夠?yàn)楣景l(fā)展帶來新的助力,但高收益必然伴隨著高風(fēng)險(xiǎn),一旦業(yè)務(wù)數(shù)據(jù)丟失、損壞或泄露,很有可能對(duì)公司正常的生產(chǎn)經(jīng)營活動(dòng)帶來負(fù)面影響,甚至造成重大經(jīng)濟(jì)損失。

當(dāng)前,國家電網(wǎng)公司的信息化建設(shè)已經(jīng)從面向單個(gè)業(yè)務(wù)領(lǐng)域、獨(dú)立業(yè)務(wù)需求的系統(tǒng)開發(fā)層面逐步過渡到數(shù)據(jù)融合、價(jià)值挖掘、大數(shù)據(jù)、云計(jì)算及數(shù)據(jù)綜合治理領(lǐng)域,而上述領(lǐng)域均依賴于有效、準(zhǔn)確、安全且高效的數(shù)據(jù)資產(chǎn)管理體系。數(shù)據(jù)資產(chǎn)的安全管理是公司面臨新形勢下的市場競爭、國企改革轉(zhuǎn)型、提升公司運(yùn)行效率的核心工作之一。對(duì)業(yè)務(wù)數(shù)據(jù)及由其衍生的信息系統(tǒng)運(yùn)行數(shù)據(jù),需要一套完整、可靠且可執(zhí)行的安全管理體系加以規(guī)范,從而更好地防范可能出現(xiàn)的數(shù)據(jù)安全風(fēng)險(xiǎn),支撐日益增長的數(shù)據(jù)、業(yè)務(wù)和價(jià)值挖掘需求。

 1 數(shù)據(jù)資產(chǎn)安全管理體系架構(gòu)

一般而言,數(shù)據(jù)安全包含3個(gè)要素,即數(shù)據(jù)的完整性（Integrity）、保密性（Confidentiality）和可用性（Availability）^[1]。其中,數(shù)據(jù)完整性是指在傳輸、存儲(chǔ)信息或數(shù)據(jù)的過程中,確保數(shù)據(jù)不被未授權(quán)的篡改或在篡改后能夠被迅速發(fā)現(xiàn);數(shù)據(jù)保密性是指保證數(shù)據(jù)為授權(quán)者享用而不泄漏給未經(jīng)授權(quán)者;數(shù)據(jù)可用性則是指保證信息和信息系統(tǒng)隨時(shí)為授權(quán)者提供服務(wù),保證合法用戶對(duì)數(shù)據(jù)的使用不會(huì)被不合理地拒絕。由此,數(shù)據(jù)安全管理體系的重點(diǎn)考慮目標(biāo)是如何建立具備可執(zhí)行性的數(shù)據(jù)使用授權(quán)體系,以及如何防止數(shù)據(jù)的泄露、篡改和破壞。

上述目標(biāo)必須納入數(shù)據(jù)資產(chǎn)安全管理體系中,在職責(zé)明確、分級(jí)明晰的框架指導(dǎo)下,才能最大程度地發(fā)揮其約束作用。尤其是,要做到數(shù)據(jù)資產(chǎn)的安全管理,必須在數(shù)據(jù)分類分級(jí)機(jī)制、數(shù)據(jù)全生命周期管理（Data Life Cycle Management,DLCM）、數(shù)據(jù)使用授權(quán)體系規(guī)范管理的前提下,由相關(guān)人員在權(quán)限范圍內(nèi)對(duì)數(shù)據(jù)進(jìn)行訪問及提取應(yīng)用,其整體構(gòu)成如圖1所示。由此,數(shù)據(jù)資產(chǎn)安全管理體系可由數(shù)據(jù)安全管理制度、人員與權(quán)限控制、安全管理策略3部分構(gòu)成。

圖1 DLCM管理體系構(gòu)成Fig.1 Structure of DLCM management system

1.1 數(shù)據(jù)安全管理制度

國家電網(wǎng)公司在數(shù)據(jù)安全管理方面起步相對(duì)較早,先后發(fā)布了多部與數(shù)據(jù)安全管理有關(guān)的規(guī)章制度。國網(wǎng)四川電力在充分領(lǐng)會(huì)國家電網(wǎng)公司相關(guān)規(guī)章制度的基礎(chǔ)上,根據(jù)省公司工作的實(shí)際情況,先后制定了有針對(duì)性的落地方案。國家電網(wǎng)公司發(fā)布的規(guī)章制度規(guī)定了數(shù)據(jù)安全管理原則,省公司層面在原則的指引下制定了處于操作落地層面的具體管理規(guī)程,兩者共同構(gòu)成了數(shù)據(jù)安全管理體系的制度基礎(chǔ)。國家電網(wǎng)公司標(biāo)準(zhǔn)規(guī)范以《國家電網(wǎng)公司數(shù)據(jù)基礎(chǔ)運(yùn)維工作規(guī)范（2017版）》（信通運(yùn)行〔2017〕38號(hào)）^[2]為典型,一方面規(guī)定了數(shù)據(jù)安全管理的作用對(duì)象和作用范圍,另一方面也明確了不同部門和角色的權(quán)利和責(zé)任,提出了數(shù)據(jù)相關(guān)工作的基本要求。該工作規(guī)范不解決數(shù)據(jù)資產(chǎn)安全管理落地的具體流程及操作方法,而是由省公司層面的管理規(guī)程來完成,如數(shù)據(jù)接入、使用、導(dǎo)入導(dǎo)出、分級(jí)、銷毀等。與省公司管理規(guī)程共同起作用的是根據(jù)具體工作要求和實(shí)際情況制定的、在數(shù)據(jù)基礎(chǔ)運(yùn)維單位內(nèi)部執(zhí)行的數(shù)據(jù)安全管理流程。

1.2 人員與權(quán)限控制

數(shù)據(jù)資產(chǎn)^[3]的獲取及訪問通常限定在公司內(nèi)部,但也有部分情況會(huì)涉及外部單位。公司內(nèi)部人員與權(quán)限控制對(duì)象包括公司領(lǐng)導(dǎo)、數(shù)據(jù)資產(chǎn)歸口管理部門（運(yùn)監(jiān)中心）、數(shù)據(jù)資產(chǎn)運(yùn)維部門（信通公司、客服中心等）、數(shù)據(jù)資產(chǎn)業(yè)務(wù)主管部門（省公司各業(yè)務(wù)部門）、數(shù)據(jù)資產(chǎn)使用部門（系統(tǒng)建設(shè)及運(yùn)維管理部門、廠商）等;而外部單位通常包括行業(yè)監(jiān)管機(jī)構(gòu)、合作單位等。不同角色對(duì)象的權(quán)限及數(shù)據(jù)安全責(zé)任不同,需要在數(shù)據(jù)分級(jí)和脫敏的基礎(chǔ)上,對(duì)其開通不同的權(quán)限。

1.3 安全管理策略

數(shù)據(jù)安全管理策略本質(zhì)上作用于數(shù)據(jù)資產(chǎn)全生命周期管理的全過程,主要包含需求、產(chǎn)生（采集、加工）、使用（傳輸、存儲(chǔ)）及銷毀。而數(shù)據(jù)的使用階段則主要包含審計(jì)、分析決策、測試及研發(fā)、災(zāi)備、復(fù)制拷貝、網(wǎng)絡(luò)傳輸、保存、歸檔、備份等。針對(duì)不同的階段,需要采用不同的安全策略。

 2 數(shù)據(jù)資產(chǎn)安全管理體系構(gòu)建

根據(jù)上述體系框架的必備要素,數(shù)據(jù)資產(chǎn)安全管理體系重點(diǎn)從3個(gè)方面開展工作。

2.1 數(shù)據(jù)資產(chǎn)分類分級(jí)

國網(wǎng)四川電力作為省級(jí)電力公司,由包括運(yùn)檢、營銷、調(diào)度等多個(gè)業(yè)務(wù)部門組成,每個(gè)部門都有一定數(shù)量的業(yè)務(wù)系統(tǒng),服務(wù)大量客戶并持續(xù)產(chǎn)生海量數(shù)據(jù),業(yè)務(wù)邏輯、需求和數(shù)據(jù)的多樣性均是高度復(fù)雜的,亟需進(jìn)行分類分級(jí)管理。

原則上,數(shù)據(jù)資產(chǎn)的分類及分級(jí)由業(yè)務(wù)部門決定^[4],因此維度不會(huì)局限在IT層面,如數(shù)據(jù)形態(tài)、存儲(chǔ)地點(diǎn)、生成時(shí)間等,而是從業(yè)務(wù)需求的角度出發(fā),對(duì)需要保護(hù)的數(shù)據(jù)分類分級(jí)。例如,營銷部可能關(guān)注用電客戶信息、賬戶信息等,運(yùn)檢部可能關(guān)注一次、二次設(shè)備負(fù)載、線路停電信息等。可見,業(yè)務(wù)條線將是數(shù)據(jù)資產(chǎn)分類分級(jí)的優(yōu)先角度^[5]。在此基礎(chǔ)上,來自同一個(gè)業(yè)務(wù)條線的數(shù)據(jù)在處于數(shù)據(jù)庫存儲(chǔ)、導(dǎo)出文件存儲(chǔ)或?qū)嶓w文件存儲(chǔ)時(shí),其安全管理方式方法也勢必發(fā)生改變,因此,數(shù)據(jù)的形態(tài)也將是分類分級(jí)的輔助角度之一。

按照國家電網(wǎng)公司統(tǒng)一發(fā)布的統(tǒng)一數(shù)據(jù)模型（SG-CIM3.0）,數(shù)據(jù)的分類應(yīng)當(dāng)是自上而下進(jìn)行的^[6-7],以業(yè)務(wù)條線為基礎(chǔ),使用面向?qū)ο蟮慕＜夹g(shù)定義,圍繞“人員組織、財(cái)務(wù)、物資、資產(chǎn)、電網(wǎng)、項(xiàng)目和客戶”7個(gè)核心專業(yè)以統(tǒng)一建模語言^[8]進(jìn)行表達(dá),目標(biāo)是對(duì)公司全業(yè)務(wù)范圍內(nèi)的業(yè)務(wù)對(duì)象進(jìn)行抽象從而以信息模型的形式進(jìn)行描述。與此同時(shí),考慮各省公司個(gè)性化需求和情況,必然存在部分統(tǒng)一信息模型中未涵蓋的、但存在具體需求的數(shù)據(jù)。針對(duì)這種情況,本文設(shè)計(jì)了一種自下而上的分類方法作為模型的有機(jī)補(bǔ)充。按照上述分類角度和方法,國網(wǎng)四川電力數(shù)據(jù)項(xiàng)分類分級(jí)的參考示例見表1所列。

表1 數(shù)據(jù)項(xiàng)分類分級(jí)參考示例Tab.1 InstanceS of data classification

2.2 數(shù)據(jù)資產(chǎn)安全標(biāo)準(zhǔn)設(shè)計(jì)

在此基礎(chǔ)上,通過建立安全分級(jí)標(biāo)準(zhǔn)并落地執(zhí)行,同時(shí)滿足國家標(biāo)準(zhǔn)及國家電網(wǎng)公司行業(yè)標(biāo)準(zhǔn)要求,通過定制化安全策略和管理流程,能夠有效地保障數(shù)據(jù)資產(chǎn)的完整性和保密性。

2.2.1 數(shù)據(jù)資產(chǎn)保密性定級(jí)方法

通常而言,孤立的一條數(shù)據(jù)或數(shù)條數(shù)據(jù)無法滿足實(shí)際業(yè)務(wù)需要,特別是在面對(duì)現(xiàn)在國家電網(wǎng)公司“打破數(shù)據(jù)壁壘,挖掘數(shù)據(jù)潛力”的需求前提下,更是如此。當(dāng)數(shù)據(jù)牽涉到不同業(yè)務(wù)領(lǐng)域、由不同業(yè)務(wù)部門管理、且需要協(xié)同工作時(shí),對(duì)組合型數(shù)據(jù)資產(chǎn)的保密定級(jí)就需要形成一套有效的定級(jí)方法,從而保證數(shù)據(jù)資產(chǎn)的安全性。上一章節(jié)中的保密等級(jí),即是單個(gè)數(shù)據(jù)項(xiàng)的定級(jí)結(jié)果,結(jié)合每一項(xiàng)數(shù)據(jù)項(xiàng)的定級(jí)結(jié)果,通過一定的規(guī)則,就可以對(duì)組合型數(shù)據(jù)定級(jí)。事實(shí)上,單個(gè)數(shù)據(jù)項(xiàng)的定級(jí)相對(duì)較為簡單,通常是在數(shù)據(jù)可公開的維度上進(jìn)行度量,其數(shù)據(jù)項(xiàng)保密分級(jí)定義見表 2所列。

表2 數(shù)據(jù)項(xiàng)保密分級(jí)定義Tab.2 The definition of data secrecy classification

根據(jù)上述分類定義,可由公司各業(yè)務(wù)部門牽頭,聯(lián)絡(luò)相關(guān)信息系統(tǒng)運(yùn)維單位,共同從業(yè)務(wù)和技術(shù)上對(duì)單一數(shù)據(jù)項(xiàng)分類進(jìn)行保密等級(jí)賦值,隨后依據(jù)表3的規(guī)則衍生出組合型數(shù)據(jù)資產(chǎn)的保密等級(jí)。

表3 數(shù)據(jù)項(xiàng)定級(jí)規(guī)則Tab.3 Data classification rule

2.2.2 數(shù)據(jù)資產(chǎn)脫敏方法

數(shù)據(jù)脫敏是指從原始環(huán)境向目標(biāo)環(huán)境進(jìn)行敏感數(shù)據(jù)交換的過程中,通過一定方法消除原始環(huán)境數(shù)據(jù)中的敏感信息,并保留目標(biāo)環(huán)境業(yè)務(wù)所需的數(shù)據(jù)特征或內(nèi)容的數(shù)據(jù)處理過程^[9-10]。數(shù)據(jù)資產(chǎn)脫敏不僅要確保敏感信息被去除,還需要盡可能平衡脫敏所花費(fèi)的代價(jià)、使用方的業(yè)務(wù)需求等多個(gè)因素。因此,為了確保數(shù)據(jù)脫敏的過程、代價(jià)可控,得到的結(jié)果正確且滿足業(yè)務(wù)需要,在實(shí)施數(shù)據(jù)脫敏時(shí),應(yīng)從技術(shù)和管理兩方面出發(fā),符合有效性、真實(shí)性、高效性、穩(wěn)定性及可配置性等基本原則,主要包括制定數(shù)據(jù)脫敏規(guī)程、發(fā)現(xiàn)敏感數(shù)據(jù)、定義脫敏規(guī)則、執(zhí)行脫敏工作和驗(yàn)證脫敏成效等步驟。

制定數(shù)據(jù)脫敏規(guī)程的環(huán)節(jié)中,除按照前文所述對(duì)數(shù)據(jù)項(xiàng)進(jìn)行分類分級(jí)外,需明確對(duì)各類、各級(jí)別數(shù)據(jù)相應(yīng)的安全管控機(jī)制^[11],在數(shù)據(jù)脫敏工具的運(yùn)維管理制度中納入對(duì)數(shù)據(jù)脫敏工具的系統(tǒng)安全檢測,以保證數(shù)據(jù)脫敏工具自身的安全性。此外,需要定期對(duì)數(shù)據(jù)脫敏工作的相關(guān)方,如數(shù)據(jù)管理方、數(shù)據(jù)使用方、脫敏工具運(yùn)維方,開展針對(duì)相關(guān)制度的培訓(xùn)工作,以提升全員的規(guī)范化意識(shí)。

發(fā)現(xiàn)敏感數(shù)據(jù)環(huán)節(jié)中,需定義工作開展的范圍,固化常用的敏感數(shù)據(jù)發(fā)現(xiàn)規(guī)則,對(duì)數(shù)據(jù)項(xiàng)進(jìn)行精確匹配,啟用擴(kuò)展機(jī)制,可根據(jù)業(yè)務(wù)需要自定義敏感數(shù)據(jù)的發(fā)現(xiàn)邏輯。

定義脫敏規(guī)則環(huán)節(jié)中,需對(duì)已識(shí)別出的敏感數(shù)據(jù)執(zhí)行生命周期（產(chǎn)生、采集、使用、交換、銷毀）流程的梳理^[12],明確在生命周期各階段,用戶對(duì)數(shù)據(jù)的訪問需求和當(dāng)前的權(quán)限設(shè)置情況,分析整理出存在數(shù)據(jù)脫敏需求的業(yè)務(wù)場景。同時(shí),在“最小夠用”的原則下明確待脫敏的數(shù)據(jù)內(nèi)容、符合業(yè)務(wù)需求的脫敏方式,以及該業(yè)務(wù)的服務(wù)水平方面的要求,以便于脫敏規(guī)則的制定。

上述流程完成后,即可執(zhí)行脫敏工作并驗(yàn)證成效,通過收集、整理數(shù)據(jù)脫敏工作執(zhí)行的數(shù)據(jù),例如相關(guān)監(jiān)控?cái)?shù)據(jù)、審計(jì)數(shù)據(jù),對(duì)數(shù)據(jù)脫敏的前期工作開展情況進(jìn)行反饋,從而優(yōu)化相關(guān)規(guī)程、明確數(shù)據(jù)脫敏過程中應(yīng)關(guān)注的事項(xiàng)。

2.3 數(shù)據(jù)資產(chǎn)全生命周期安全管理要求

2.3.1 技術(shù)策略

參照國家電網(wǎng)公司分區(qū)分域的要求,在數(shù)據(jù)資產(chǎn)全生命周期安全管理方面也應(yīng)通過相應(yīng)的技術(shù)手段對(duì)其進(jìn)行管理。網(wǎng)絡(luò)上,將測試系統(tǒng)、正式在運(yùn)系統(tǒng)、試運(yùn)行系統(tǒng)等隔離開,通過不同的邏輯域進(jìn)行安全隔離,并通過不同的技術(shù)手段進(jìn)行安全策略。對(duì)于五級(jí)以上的數(shù)據(jù)在全生命周期管理中均需采取相應(yīng)的加密技術(shù)^[13],利用統(tǒng)一權(quán)限等賬戶密碼管理系統(tǒng),建立有效的用戶身份認(rèn)證和權(quán)限控制流程,同時(shí)利用系統(tǒng)日志、審計(jì)系統(tǒng)等實(shí)現(xiàn)數(shù)據(jù)流轉(zhuǎn)全過程可審計(jì)、可追溯,及時(shí)發(fā)現(xiàn)可疑操作。此外,利用前文提到的數(shù)據(jù)脫敏手段,在保留業(yè)務(wù)含義的基礎(chǔ)上避免真實(shí)數(shù)據(jù)泄露,在數(shù)據(jù)資產(chǎn)生命周期的末期,采用適當(dāng)?shù)募夹g(shù)對(duì)其進(jìn)行銷毀。

2.3.2 管理策略

以《國家電網(wǎng)公司數(shù)據(jù)基礎(chǔ)運(yùn)維規(guī)范》為基礎(chǔ),建立本地化數(shù)據(jù)安全管理制度及管理流程^[14-15],消除數(shù)據(jù)安全死角,提升數(shù)據(jù)安全保障能力。主要措施包括：

1）對(duì)數(shù)據(jù)全生命周期管理過程中各角色進(jìn)行全面定義,并賦予相應(yīng)的管理權(quán)限,承擔(dān)相應(yīng)的管理職責(zé);

2）對(duì)數(shù)據(jù)全生命周期管理過程中各保密等級(jí)的數(shù)據(jù)資產(chǎn)定制化保密控制策略;

3）明確數(shù)據(jù)全生命周期管理過程中各項(xiàng)數(shù)據(jù)所處狀態(tài)的邊界（如歸檔及備份等）,以便對(duì)其實(shí)施不同層面和規(guī)格的管理要求。

2.3.3 制度體系的建立

上述技術(shù)及管理策略能夠從日常工作2個(gè)方面分別對(duì)數(shù)據(jù)安全進(jìn)行管控和保障。為使數(shù)據(jù)安全管理工作成體系,其標(biāo)準(zhǔn)化工作及相關(guān)指導(dǎo)規(guī)章制定必不可少。通過細(xì)化各項(xiàng)工作,利用前文所述各項(xiàng)工作的成果,能夠相對(duì)較容易地建立指導(dǎo)國網(wǎng)四川電力的上層管理規(guī)范,從而系統(tǒng)化地對(duì)數(shù)據(jù)安全進(jìn)行管理,做到數(shù)據(jù)安全的有法可依。

 3 結(jié)語

數(shù)據(jù)安全是公司信息化建設(shè)深入到一定程度所必須面對(duì)的一項(xiàng)問題,也是未來公司發(fā)展壯大、面向電力市場競爭新形勢下對(duì)數(shù)據(jù)資產(chǎn)價(jià)值挖掘的現(xiàn)實(shí)需要,其管理體系的建立關(guān)乎公司未來的發(fā)展。國網(wǎng)四川電力數(shù)據(jù)基礎(chǔ)運(yùn)維、數(shù)據(jù)價(jià)值挖掘工作開展相對(duì)較晚,與之配套的數(shù)據(jù)安全管理體系研究相對(duì)欠缺。隨著公司對(duì)數(shù)據(jù)資產(chǎn)的重視,以及信息化水平的快速提高,無論是國家網(wǎng)絡(luò)安全法實(shí)施的外部環(huán)境,還是電力企業(yè)經(jīng)營管理的內(nèi)在要求,都使得加強(qiáng)數(shù)據(jù)資產(chǎn)的安全管理成為一項(xiàng)迫在眉睫的任務(wù)。本文提出了一項(xiàng)基于管理流程和技術(shù)手段的數(shù)據(jù)安全管理體系構(gòu)建方法,能夠顯著提升公司數(shù)據(jù)安全全生命周期管理水平,降低數(shù)據(jù)安全風(fēng)險(xiǎn),為公司數(shù)據(jù)資產(chǎn)價(jià)值挖掘提供穩(wěn)固支撐。