信息化觀察網(wǎng)

以山石網(wǎng)科數(shù)據(jù)安全治理體系為牽引，通過專業(yè)數(shù)據(jù)安全防護(hù)措施，協(xié)助某省電網(wǎng)公司解決了能源數(shù)字化轉(zhuǎn)型過程中的數(shù)據(jù)安全問題，進(jìn)一步提高了能源系統(tǒng)的安全性、生產(chǎn)率和可持續(xù)性。

一、實施背景

數(shù)字化正成為引領(lǐng)中國經(jīng)濟高質(zhì)量發(fā)展的新引擎。在5G、云計算、物聯(lián)網(wǎng)、大數(shù)據(jù)、移動互聯(lián)、區(qū)塊鏈等新興科技的加持下，我國能源行業(yè)正進(jìn)行著一場數(shù)字化轉(zhuǎn)型升級的變革。作為承擔(dān)“西電東送”的主力軍，某省電網(wǎng)公司近年來一直在努力探索利用數(shù)字技術(shù)構(gòu)筑高效、清潔、經(jīng)濟的現(xiàn)代能源體系，提高能源系統(tǒng)的安全性、生產(chǎn)率和可持續(xù)性。

電力能源的數(shù)字化落地對企業(yè)網(wǎng)絡(luò)安全、信息安全提出了更高的要求。遠(yuǎn)程辦公、內(nèi)外業(yè)務(wù)協(xié)同、組織分支互聯(lián)等需求的變化，讓企業(yè)邊界逐漸泛化，極大的增加了企業(yè)安全防護(hù)風(fēng)險。過往粗放型的數(shù)據(jù)使用和管理體系已很難適應(yīng)當(dāng)下的數(shù)字化能源系統(tǒng)。如何防護(hù)敏感數(shù)據(jù)泄露，讓數(shù)字化建設(shè)與網(wǎng)絡(luò)安全保障雙強化，成為企業(yè)迫在眉睫的問題。

某省電網(wǎng)公司作為資產(chǎn)密集型企業(yè)，每年都有近百億資金需對外采購。某省電網(wǎng)物資有限公司作為該省電網(wǎng)公司專業(yè)化的采購代理服務(wù)單位和共享支撐服務(wù)平臺，承擔(dān)了公司全部省級采購任務(wù)，廉潔保密一直是工作重點，也一直在思考如何通過相關(guān)措施來建立組織內(nèi)部整體數(shù)據(jù)安全治理體系，有效支撐采購業(yè)務(wù)的核心資料的保密工作。

采購業(yè)務(wù)泄密風(fēng)險防控工作面臨“點多、面廣、戰(zhàn)線長、參與人員多”的情況，且涉密信息受到投標(biāo)人及利益相關(guān)方的高度關(guān)注，采購業(yè)務(wù)面臨內(nèi)外部利益訴求交織，泄密事件成為了“圍獵”與“被圍獵”之間的紐帶，公司的信息安全和廉潔從業(yè)安全面臨非常嚴(yán)峻的挑戰(zhàn)。僅依靠相關(guān)人員安全意識的提升和制度的完善，難以做到泄密事件的事前預(yù)防和事后追溯，必須依靠相應(yīng)的技術(shù)和管理手段，對采購業(yè)務(wù)領(lǐng)域涉密資料的全過程監(jiān)督和管控，才能有效開展保密工作。

同時，2021年6月10日第十三屆全國人民代表大會常務(wù)委員會第二十九次會議通過了《中華人民共和國數(shù)據(jù)安全法》，以提升國家數(shù)據(jù)安全的保障能力和數(shù)字經(jīng)濟的治理能力，也對數(shù)據(jù)保護(hù)工作提出了更高的要求。

二、實施目標(biāo)

某省電網(wǎng)公司希望通過整體數(shù)據(jù)安全治理建設(shè)，全面營造公平、公正、公開的營商環(huán)境，提升公司系統(tǒng)采購業(yè)務(wù)領(lǐng)域保密工作整體防護(hù)能力和效率，杜絕信息泄密事件，防控廉潔風(fēng)險。

三、建設(shè)內(nèi)容

數(shù)據(jù)進(jìn)行綜合安全治理的首要任務(wù)便是對數(shù)據(jù)資產(chǎn)現(xiàn)狀進(jìn)行清查摸底，通過多種方式來發(fā)現(xiàn)數(shù)據(jù)所有者、存儲位置、整體業(yè)務(wù)架構(gòu)等信息。因此首先需要對用戶進(jìn)行前期摸底調(diào)研：了解了組織關(guān)于數(shù)據(jù)安全治理的戰(zhàn)略方針，組織有哪些業(yè)務(wù)及相應(yīng)的業(yè)務(wù)系統(tǒng)，業(yè)務(wù)系統(tǒng)開放形式，訪問方式、交互方式，業(yè)務(wù)系統(tǒng)相關(guān)數(shù)據(jù)是否涉及個人隱私信息，數(shù)據(jù)存儲的形式、位置及訪問的方式，數(shù)據(jù)的重要性、影響范圍和影響程度，現(xiàn)有信息系統(tǒng)建設(shè)及數(shù)據(jù)安全建設(shè)情況等等；同時本次項目還參考了《數(shù)據(jù)安全法》中的相關(guān)法規(guī)，合法合規(guī)管控涉密資料的流轉(zhuǎn)。

其次，基于現(xiàn)行行業(yè)標(biāo)準(zhǔn)與安全實踐經(jīng)驗制定合理、有效的數(shù)據(jù)分類分級規(guī)則，對數(shù)據(jù)資產(chǎn)進(jìn)行全盤梳理，為實現(xiàn)“核心數(shù)據(jù)安全優(yōu)先，其余效率優(yōu)先”的差異化防護(hù)打下基礎(chǔ)。通過訪談方式、文件審核、查看系統(tǒng)、查看數(shù)據(jù)庫等方式，梳理現(xiàn)有電網(wǎng)公司數(shù)據(jù)覆蓋的數(shù)據(jù)范圍及預(yù)測未來可能覆蓋的數(shù)據(jù)范圍，形成數(shù)據(jù)目錄結(jié)構(gòu)；依據(jù)國家相關(guān)的法律法規(guī)及行業(yè)規(guī)范，考慮數(shù)據(jù)對國家安全、社會穩(wěn)定和公民安全的重要程度，結(jié)合其他政數(shù)局的項目經(jīng)驗，完成對電網(wǎng)公司的數(shù)據(jù)分類分級指導(dǎo)規(guī)范；依據(jù)數(shù)據(jù)分類分級指南，通過分類分級工具結(jié)合人工的方式，對電網(wǎng)公司的數(shù)據(jù)進(jìn)行標(biāo)簽管理，明確數(shù)據(jù)的類別級別；同時隨著政策變化和日常實際運營情況，及時對數(shù)據(jù)的分類分級指南、工具內(nèi)策略及時調(diào)整更新。

完成分級分類過程后，結(jié)合風(fēng)險評估和數(shù)據(jù)安全能力成熟度模型發(fā)現(xiàn)數(shù)據(jù)全生命周期安全管控能力方面的技術(shù)與管理的脆弱性及威脅性，從而發(fā)現(xiàn)自身數(shù)據(jù)安全問題和短板，明確數(shù)據(jù)安全保護(hù)需求，為數(shù)據(jù)安全治理的建設(shè)指明方向。

然后，基于現(xiàn)行行業(yè)標(biāo)準(zhǔn)與安全實踐檢驗，信息中心從某省電網(wǎng)公司內(nèi)部的數(shù)據(jù)全生命周期安全管控能力方面的技術(shù)與管理的脆弱性及威脅性入手，找出自身數(shù)據(jù)安全問題和短板，為下一步數(shù)據(jù)安全治理建設(shè)奠定了堅實基礎(chǔ)。

該項目現(xiàn)行的數(shù)據(jù)治理體系框架包含五個組成部分：以數(shù)據(jù)安全制度規(guī)范體系、數(shù)據(jù)安全運行管理體系、數(shù)據(jù)安全技術(shù)防護(hù)體系形成三維互鎖格局。制度規(guī)范體系包含頂層設(shè)計、流程制度和落地規(guī)范等，運行體系包含組織建設(shè)、團(tuán)隊管理以及人員能力，技術(shù)體系是實現(xiàn)安全能力的方案、平臺、工具等技術(shù)能力。再借助數(shù)據(jù)安全應(yīng)急響應(yīng)體系、數(shù)據(jù)安全監(jiān)督審計體系進(jìn)行有力支撐。

整個項目在體系化牽引下，遵循同步規(guī)劃、同步建設(shè)、同步運行的思想，有序落地數(shù)據(jù)安全防護(hù)措施，做到了有的放矢。

以首期項目中的技術(shù)防護(hù)建設(shè)方案為例，按照方案設(shè)計思路，現(xiàn)行部署了山石網(wǎng)科數(shù)據(jù)泄露防護(hù)系統(tǒng)。這套系統(tǒng)由兩部分組成：統(tǒng)一管理平臺和終端DLP。統(tǒng)一管理平臺部署在某省電網(wǎng)公司信息中心云平臺，實現(xiàn)數(shù)據(jù)梳理及分類分級，集中下策略規(guī)則，同時進(jìn)行敏感數(shù)據(jù)安全事件監(jiān)控、處理和統(tǒng)計分析；終端DLP則部署在某省電網(wǎng)公司信息中心與物物資公司內(nèi)各計算機終端，發(fā)現(xiàn)、識別、監(jiān)控終端中的敏感數(shù)據(jù)，對數(shù)據(jù)資產(chǎn)分布、敏感數(shù)據(jù)的違規(guī)存儲進(jìn)行展現(xiàn)，同時對敏感數(shù)據(jù)的違規(guī)使用、擴散等敏感行為進(jìn)行策略響應(yīng)控制。

系統(tǒng)使用后彌補了采購過程信息防泄密工作在技術(shù)層的不足之處；讓采購過程信息保密工作實現(xiàn)全方位的管控，從而大大降低泄密風(fēng)險。

數(shù)據(jù)泄露防護(hù)系統(tǒng)全面梳理和盤點某省電網(wǎng)公司組織內(nèi)數(shù)據(jù)資產(chǎn)，對數(shù)據(jù)全生命周期實施安全保障，集中化數(shù)據(jù)安全管控策略管理，有效監(jiān)測數(shù)據(jù)使用、流轉(zhuǎn)及共享過程中的安全態(tài)勢及風(fēng)險，提供了面向數(shù)據(jù)全生命周期及業(yè)務(wù)場景的數(shù)據(jù)安全治理解決方案。

具體來看，在敏感數(shù)據(jù)的管理規(guī)范上，項目借助數(shù)據(jù)泄露防護(hù)系統(tǒng)平臺，進(jìn)行數(shù)據(jù)的分類分級管理，如劃分為個人信息類數(shù)據(jù)、采購類數(shù)據(jù)、招投標(biāo)類數(shù)據(jù)等，基于數(shù)據(jù)類別進(jìn)行安全分級，如機密、秘密、絕密，對整體相關(guān)敏感文件進(jìn)行了梳理；同時與客戶的4A系統(tǒng)進(jìn)行對接，基于組織架構(gòu)和日常工作開展以及辦公相關(guān)系統(tǒng)的使用情況，基于用戶、用戶組進(jìn)行敏感數(shù)據(jù)的權(quán)限管控，定制化數(shù)據(jù)泄露防護(hù)策略，有效防范電網(wǎng)云盤上傳、電網(wǎng)內(nèi)部郵箱外發(fā)、U盤拷貝、文件打印、ELINK及其他社交軟件的外發(fā)、屏幕截圖、拍照等敏感數(shù)據(jù)泄露風(fēng)險。

四、實施效果

伴隨著數(shù)據(jù)安全專題建設(shè)方案的落地，我司為客戶采購業(yè)務(wù)領(lǐng)域保密工作提供了強有力的技術(shù)支撐，促進(jìn)了部門整體防護(hù)能力和規(guī)范管理水平不斷提升，彌補了采購過程信息防泄密工作在技術(shù)層的不足之處，讓采購過程信息保密工作實現(xiàn)全方位的管控，提高了采購業(yè)務(wù)人員的保密意識及責(zé)任落實，強化采購保密管理的剛性執(zhí)行，有效杜絕了采購業(yè)務(wù)信息失泄密事件的發(fā)生。

某省電網(wǎng)公司首期數(shù)據(jù)安全治理項目初步解決了數(shù)據(jù)體量大、覆蓋區(qū)域廣、應(yīng)用場景雜、持續(xù)治理難等難題，在電網(wǎng)招投標(biāo)領(lǐng)域起到了示范性作用，對于公司防泄密、廉潔風(fēng)險管控工作起到了重要的技術(shù)支撐，能夠?qū)Σ少徎顒訁⑴c人員形成有力震懾效應(yīng)，持續(xù)推動構(gòu)建“不敢腐、不能腐、不想腐”的長效機制，得到了公司供應(yīng)鏈部及物資公司領(lǐng)導(dǎo)的高度贊揚，具備在全國采購業(yè)務(wù)范圍推廣的重要價值。