2018年9月13日，國家能源局發布《關于加強電力行業網絡安全工作的指導意見》，內容全面覆蓋《網絡安全法》、《電力監管條例》及相關法律法規要求，對強化關鍵信息基礎設施安全保護、加強電力企業數據安全保護等方面提出了要求?！笆濉彪A段，電力行業的發展更肩負著全面建成小康社會與順利實現“兩個一百年”奮斗目標的歷史重任。

當今世界，能源行業的安全關乎一個國家的繁榮發展與社會穩定。而在我國，電力行業更是最早開始落實安全建設的領域。

電力企業面臨的安全與挑戰

近年來，大多數電力企業雖在持續加強信息安全建設，但由于自身網絡復雜、業務特殊、系統繁多等特性，依然面臨嚴峻的安全威脅與挑戰，而數據安全正是其中的重要一環。

置身互聯網、大數據的時代下，電力企業、尤其是規模巨大的電網公司，其業務的高效運轉越來越依賴于對數據的傳輸和使用。正因如此，電力企業的營銷、人資、財務、資產、協同、綜合等核心系統中也存儲著大量的業務往來、用戶隱私等重要敏感數據，如若發生盜用、泄露、篡改、刪除等安全事件，不僅會對電力企業自身的業務、信譽和經濟利益造成嚴重損害，甚至可能影響能源供應，導致社會恐慌，威脅國家安全。

與此同時，國家在保障敏感數據安全方面積極制定相關法律法規?！毒W絡安全法》、《中央企業商業秘密安全保護技術指引》、《電力行業網絡與信息安全管理辦法》等等，都在對電力企業開展數據安全保護提出更高、更嚴的要求。一方面，電力企業需要通過不斷挖掘數據價值以支撐自身服務質量、工作效率和發展需要；另一方面，又要保證數據在復雜的場景、系統之間被安全、合理的訪問和使用。很顯然，這不是一項輕輕松松就能夠實現的目標，需要電力企業看清問題所在，并有針對性的加以解決。

電力企業數據安全痛點威脅

1敏感數據管理不足

隨著電力行業信息化建設的持續推進，電力企業內部各部門以及跨組織、跨區域之間的電力數據傳輸與共享場景日漸普遍，需要通過對數據進行脫敏實現“用、護”結合。但是，部分電力企業仍存在采用腳本或人工脫敏的情況，脫敏規則也不統一，從而導致脫敏效率低下，以及脫敏后數據質量差、數據間關聯關系被破壞等一系列問題。

2風險行為監控不足

電力企業規模龐大、系統繁雜、人員眾多，日常工作中發生越權訪問、下載或篡改數據等違規操作行為難以及時發現和定位，往往對內部數據安全事件的預防和調查造成困擾；此外，根據國內風險評價機構調研情況顯示，逾兩成的電力企業數據庫處于直接暴露在互聯網中的風險狀態，且大多使用的版本十分陳舊，很多在新版本中已經得到修復的安全漏洞依然存在，甚至可能成為外部黑客入侵內網的跳板。

3數據庫運維管控不足

電力企業的網絡復雜、業務特殊、數據庫眾多，在運維專區中，通常是使用堡壘機來對運維人員進行管理，但這種管理方式在數據安全防護上存在一定問題：運維人員不按操作規范或既定方案進行數據庫運維操作、非法導出敏感數據、數據庫操作行為沒有細粒度的審計記錄等。

電力企業數據安全防護思路

1梳理與脫敏

在數據共享場景下，電力企業應完成對自身數據資產的系統梳理，并根據數據的敏感程度進行分級分類，制定出數據庫共享和分發的處理流程。同時，在執行數據共享的操作過程中，應遵循業務角色最小化原則，對數據進行有針對性的脫敏處理，做到安全、合理的使用數據。

考慮到電力企業的數據錯綜復雜，各業務數據流轉通道各不相同，應按照電力企業數據的分級分類標準，對存儲在內網以及臨時存儲在外網的數據進行發現及標記。在對數據進行跨部門共享或外發到政府部門時，應針對重要數據進行脫敏降級，確保數據接收方不會對數據內容進行二次擴散。

2審計與稽核

通過部署數據庫安全審計產品，電力企業能夠對數據庫的訪問及其他操作行為進行細粒度審計與分析，從而全程監控、記錄包括非法訪問、數據庫違規操作、數據批量導出或篡改在內的一系列風險行為，實現對所有數據訪問行為進行審計記錄，然后通過數據分析技術結合電力企業數據操作審計典型策略要求，對風險行為進行挖掘和預警，并在安全事件發生后，做到準確、高效的溯源定責。

3運維與管理

對于電力企業而言，應在確保不影響正常開展運維工作的前提下，建立數據庫運維操作的審批機制和技術措施。通過數據庫運維管理系統對所有涉及敏感數據的操作進行限制，強化對數據庫運維操作的監管力度，及時阻斷越權操作行為的發生，令運維工作實際操作與計劃操作保持一致。

為此，電力企業應對數據運維操作的關鍵動作進行劃分，將那些敏感操作梳理出來并默認禁止。當檢修期間確實存在數據運維需求時，通過發起運維審批流程，根據審批小組的審批意見，有序、安全的執行運維操作。