来源: 时间:2021-08-04 14:23
平衡好数据安全与利用的“天平”
电力数据安全合规管控平台推动能源电力数据安全合规利用
中国电力新闻网记者 邓恢平 通讯员 盛剑桥 杨如侠 李明
日前,我国关于数据安全的首部律法、数据领域的基础性法律——《数据安全法》已正式颁布,并将自今年9月1日起正式施行。随着数据安全法律法规体系的日臻完善,将有力推动我国数据的合法利用和安全保护。
国家电网有限公司作为关系国民经济命脉和国家能源安全的国有重点骨干企业,运营的数据体量大、类型多、敏感程度高,直接影响国家、社会及公民利益,数据安全责任重大,如何平衡好数据开发利用与数据安全成为电网企业面临的重要课题。
开展数据安全与保护探索实践
能源互联网广泛融合能源生产、传输、交易、消费等各环节数据,促进能源企业、政府、行业伙伴、供应商等上下游数据开放共享。能源互联网的发展,扩展了电力数据的应用场景、交互对象和交互渠道,使电力数据环境更加开放。
国网安徽省电力有限公司信息通信分公司运安中心副主任方圆在接受《中国电力报》记者采访时表示,为推动能源电力数据安全合规利用,安徽电力作为工业和信息化部2020年网络安全技术应用试点示范项目的授权单位之一,联合全球能源互联网研究院有限公司(简称“联研院”)、国网大数据中心、国网冀北电力等多家单位,按照《数据安全法》等国家数据安全要求以及能源互联网建设安全需求,扎实推进“面向流动共享的电力数据安全合规管控平台”项目试点示范。
据悉,该项目示范为期两年,目前在数据安全运维、数据安全使用、数据安全共享等场景实现了数据安全合规应用,并取得了一定的成效。
方圆介绍,进行试点示范的“电力数据安全合规管控平台”,以电力数据为核心,具备统一数据访问权限管理、敏捷高效的数据安全服务、基于场景编排的数据过程安全管控、数据安全全景视图等功能,实现“静态数据可知、数据使用可控、操作过程可审、泄露数据可溯”,保障能源电力数据开放共享、增值服务安全可靠,有力支撑国家电网有限公司数字化转型以及新型电力系统建设。
平台试点应用初见成效
以数据运维的项目试点示范成果为例,此前安徽电力数据运维人员对云上数据库进行运维和检修时,通过堡垒机直接操作、查询数据,堡垒机以事后审计为主,难以实现细粒度过程管控,存在使用真实账号甚至大权限账号登录后窃取或破坏数据的风险、无法根据运维需求实现对数据访问权限的控制(增删改查)、无法实现数据运维过程中对数据进行脱敏、无法对运维过程的违规使用和越权操作等行为进行记录等问题,数据合规风险较为突出。
通过电力数据安全合规管控平台试点示范应用,安徽电力完成了平台部署并率先在数据运维场景试点应用,目前已纳管10余套数据库服务器。构建了面向数据动静态管控的闭环机制,事前对运维操作安全研判、多级审批,一次申请分配一个虚拟账号,事中基于业务需要进行细粒度权限管控、敏感数据动态实时脱敏,事后形成一体化审计和追溯体系,理念创新成效显著,具有很好的示范作用。
在数据使用场景中,此前大多数据业务应用采用线下审批方式,流程审核不规范,过程材料管理难,如遇管理不善极易导致纸质材料丢失。通过电力数据安全合规管控平台试点示范应用,可以实现对数据使用流程审批的规范管理,改变原有数据使用线下审批方式,所有数据使用申请从合规管控工具上发起。涉及合规流程管控的所有过程统一记录并管理,方便安全管理人员日志审核和查阅。
在数据共享场景中,此前主要存在线下审批流程审核不规范,过程繁琐、数据中台不支持数据水印溯源,发生数据泄露时无法快速精准定位泄露渠道等问题。通过电力数据安全合规管控平台试点示范应用,可以实现数据共享流程审批的规范管理。充分利用合规管控工具的自动敏感数据识别、数据脱敏和数据水印能力对需共享数据进行全套保护操作,有效解决了共享场景安全合规问题。
方圆表示,数据安全已成为国家安全、网络安全的重要组成部分,后续安徽电力将深入贯彻《数据安全法》等国家数据安全要求,落实数据安全管理机构及职责、数据分类分级、数据安全风险评估、数据安全监测等工作。联合联研院等科研单位,协同探索电力数据保护新思路、新方法,促进电力数据安全合规管控平台在安徽电力多业务场景下的灵活适配和应用,强化多源数据协同的隐私保护,深化数据安全基础能力。
责任编辑:刘卓 投稿邮箱:网上投稿
地址:北京市丰台区南四环西路188号7区18号楼
邮编: 100070
Copyright©2011- All Rights Reserved.
中电传媒股份有限公司 中国电力新闻网 版权所有 未经授权 严禁转载