信息化觀察網

摘要：數據作為國網數字化轉型的核心資源，只有在流動中方能發(fā)揮更高的價值和作用；正如同流淌于國網龐大身軀中的血液，通暢的血液循環(huán)是軀體保持活力的關鍵。因此，在保障國網數據安全的前提下進行開放、共享，對于國網數字化轉型建設工作至關重要。在此背景下，安華金和圍繞“數字國網”概念，針對國網各業(yè)務系統(tǒng)中的核心數據資產進行保護，圍繞數據全生命周期開展數據安全建設工作，致力于解決國網數字化轉型過程中的安全問題，助力提升數據價值，讓數據使用自由而安全！

一、案例背景：

近年來，國家電網公司堅持以新的發(fā)展理念為引領、以技術創(chuàng)新為驅動、以信息網絡為基礎，面向更高質量的發(fā)展需要，逐步建設數據轉型、智能升級、融合創(chuàng)新等服務的基礎設施體系。與此同時，電力企業(yè)在數字化轉型過程中也面臨著新技術、新業(yè)務帶來的各式安全挑戰(zhàn)，以及管理、運營、技術、系統(tǒng)等方面諸多亟待解決的安全問題。

數據作為國網數字化轉型的核心資源，只有在流動中方能發(fā)揮更高的價值和作用；正如同流淌于國網龐大身軀中的血液，通暢的血液循環(huán)是軀體保持活力的關鍵。因此，在保障國網數據安全的前提下進行開放、共享，對于國網數字化轉型建設工作至關重要。在此背景下，安華金和圍繞“數字國網”概念，針對國網各業(yè)務系統(tǒng)中的核心數據資產進行保護，圍繞數據全生命周期開展數據安全建設工作，致力于解決國網數字化轉型過程中的安全問題，助力提升數據價值，讓數據使用自由而安全！

二、案例概述：

1、數據集中管理化

業(yè)務域、管理域、網絡域等各類數據集中存儲，一旦發(fā)生安全事件則會波及海量客戶敏感信息及公司數據資產的安全。

2、基礎設施虛擬化

數據庫多部署于云環(huán)境中，由于存儲、計算的多層虛擬化，帶來了數據管理權與所有權分離、安全邊界模糊等新問題。

3、平臺組件開源化

數據平臺多使用Hadoop、Hive以及第三方組件等開源軟件，這些軟件的設計初衷是為了高效進行數據處理，系統(tǒng)性的安全功能相對缺乏，安全防護能力遠遠滯后于業(yè)務的發(fā)展。

4、敏感數據共享化

敏感數據跨部門、跨系統(tǒng)留存，任何一個過程或者安全防護措施不到位，都會導致數據泄露，造成“一點突破、全網皆失”的嚴重后果。

5、核心數據開放化

數據對外共享過程中，數據價值也不斷增大，一旦發(fā)生安全事件，將對企業(yè)聲譽、公司利益以及用戶隱私產生重大損失及負面影響。

三、安全技術應用情況：

1、數據采集階段

（1）厘清海量數據資產隨著數據環(huán)境日益復雜化，相關政策法規(guī)陸續(xù)出臺，以及數據安全風險愈演愈烈，核心數據的安全受到越來越多的關注，準確、穩(wěn)定、可靠的數據資產管理變得更加重要。在數據資產梳理的過程中，不僅需要明確核心數據被如何存儲，還需要明確數據正在被哪些部門、系統(tǒng)、人員使用，以及數據是被如何使用的。為全面了解數據存儲及系統(tǒng)使用情況，往往需要借助自動化工具加以實現。

通過快速準確地梳理資產，能夠從海量數據中快速發(fā)現核心數據，定位核心數據的存儲與分布情況、統(tǒng)計核心數據的量級、追蹤核心數據的使用情況，并根據配置的安全管理規(guī)則，呈現系統(tǒng)化的數據總覽圖，以確保用戶能夠實時了解數據資產的安全狀態(tài)。

（2）明確敏感數據屬性掌握敏感數據在數據庫中的分布情況，是實現數據分類管控的基礎。

通過對敏感數據進行梳理，實現對敏感數據類型的統(tǒng)計分析、敏感數據特征的建模管理、敏感數據量級的計算、敏感數據所屬業(yè)務系統(tǒng)及部門備案核實管理，繼而確定敏感數據的綜合屬性，以幫助用戶有針對性地制定安全管控策略，例如：對內部運維人員訪問敏感數據實現安全管控措施，在數據共享中實現敏感信息去標識化，以及對數據的存儲實現透明加解密等。

2、數據存儲/傳輸階段

數據庫的底層存儲實際上是未經加密處理的，數據文件、備份磁帶的丟失都存在重大泄密風險。目前，諸如Aul、MyDul等成熟、免費的解析軟件，均可對明文存儲的數據文件直接進行分析，并輸出清晰的、結構化的數據。

通過對數據進行適當的存儲加密，從根本上保障數據安全，即便有人試圖反向解析數據文件，得到的仍是經過加密的亂碼，從而有效避免在內部人員合法登錄后或外部人員非法入侵后，通過拷貝數據文件等方式導致的數據泄露風險。

3、數據處理階段

業(yè)務人員、系統(tǒng)維護人員、外包人員、開發(fā)人員等，擁有直接訪問數據庫的權限，他們有意或無意的高危操作都可能對數據庫及數據安全造成威脅。

通過數據庫協(xié)議解析與控制技術，以及豐富的安全策略，如攔截和阻斷等控制類策略，以及記錄、告警等審計類策略；針對高危操作及時進行攔截和阻斷，主動、實時、全面保障數據庫及數據安全免受數據庫漏洞、應用側及運維側高危、惡意訪問等導致的敏感數據泄露、篡改、損壞等威脅。

4、數據共享階段

（1）數據共享脫敏在使用隱私數據時，應確保相關數據是低成本、高效率、安全可控的；降低敏感數據被非法使用、獲取的可能性；避免對敏感數據非必要的訪問或復制；降低業(yè)務風險，在保留業(yè)務數據有效性的同時，隱藏其中的敏感信息等。

通過數據仿真脫敏技術，保證脫敏后的數據能夠準確反映原始數據的業(yè)務屬性和分布特征，例如：用電賬戶、用電地址、用電量、用電單位等信息在脫敏后仍然具有可讀性；同時，脫敏后的數據還應符合業(yè)務系統(tǒng)的數據規(guī)則，即能夠通過業(yè)務系統(tǒng)的數據有效性校驗，例如：身份證號和銀行卡號的校驗碼、生日數據的區(qū)間、年齡與出生日期相匹配等。

（2）數據分發(fā)水印伴隨海量數據的流轉使用，過程中的數據共享與交換需求也在持續(xù)增長，如果不采取有效的安全控制與版權保護措施，將會給攻擊者以可乘之機。與此同時，如果缺乏對數據庫完整性驗證的有效措施，一旦發(fā)生數據泄露，后果將難以預估。

通過數據水印溯源技術，可根據數據文件的完整度與水印信息痕跡來檢測水印是否存在，并快速識別水印標記的信息（如數據源地址、分發(fā)單位、負責人、分發(fā)時間等），從而對數據泄露事件實現精準定位與溯源追責。

5、數據全生命周期

貫穿國網數據流轉、使用的全生命周期及不同的使用場景，通過數據庫審計技術實現對數據訪問行為與數據流轉過程的全面監(jiān)測。

通過精確的協(xié)議分析、完全的SQL解析以及參數化匹配、長語句解析、多語句解析、100%應用關聯等技術，對數據庫行為進行周期性對比，幫助用戶快速定位異常點及異常行為。同時，憑借豐富的檢索能力，多重鉆取、分析，從而準確追溯風險源頭。

四、客戶反饋效果：

圍繞數據全生命周期，持續(xù)開展數據安全建設工作，不斷夯實數字化轉型基礎。在國網數字化轉型及相關數據安全建設過程中，遵循“最小化”數據保護原則與“最大化”數據監(jiān)控標準，確保數據在安全的基礎之得以充分共享、使用，從而發(fā)揮更多、更大的價值和作用，實現互聯網式的“雙向交互、平等共享與服務增值”。

早在2013年，安華金和就啟動了以“國家電網”為代表的電力數據安全治理實踐活動！經過八年實踐“墾荒”，安華金和持續(xù)深入了解客戶需求、熟悉客戶場景，并于2017年正式組建國網團隊，專注于幫助國網客戶在滿足國家、行業(yè)政策法規(guī)要求的同時，對自身所掌握的電力數據進行充分、高效、安全的流轉與利用，實現業(yè)務快速發(fā)展與數據安全保障的平衡。

截至目前，包括“數據庫安全評估系統(tǒng)、數據庫安全審計系統(tǒng)、數據庫安全防護系統(tǒng)、數據脫敏系統(tǒng)、數據庫加密系統(tǒng)、數據資產梳理系統(tǒng)”等在內的安華金和數據安全系列產品已覆蓋國家電網20+省公司及直屬單位，并在數據安全咨詢服務、治理服務以及防御體系建設等領域具有成熟的項目建設成功經驗與產品技術領先優(yōu)勢！

在國網推進數字化轉型與數據安全體系建設的過程中，安華金和采取適合、有效、穩(wěn)定、可靠的技術手段，通過構筑全面、完整、系統(tǒng)的數據安全防護體系，助力國家電網共建網絡安全“智能聯動防御生態(tài)圈”，打造更靈活、更高效、更具競爭力的電網新形態(tài)，讓電力數據的使用自由而安全！