實施《數據安全法》 為數字化發展保駕護航
數據安全的重要性
數字經濟日益成為國際競爭的制高點,數據安全治理、數據安全保護立法也成為大國競爭和爭奪數字經濟領先地位的重要標志。從全球范圍看,數據安全形勢日益嚴峻,損害個人隱私,攫取、破壞和濫用數據資源的事件時有發生,嚴重危害社會公共利益乃至國家安全。
近年來,我國數字經濟快速發展。相關數據顯示,2020年我國數字經濟規模已達39.2萬億元,居世界第二位。數字經濟已成為我國經濟增長的重要引擎。防范數據安全風險、構建數據安全保護體系、完善數據安全治理機制的重要性日益凸顯。
《數據安全法》的出臺至關重要
2021年9月1日正式實施的《中華人民共和國數據安全法》(以下簡稱《數據安全法》)是我國實施數據安全監督和管理的一部基礎法律。實施這部法律的根本目的是要提升國家數據安全的保障能力和數字經濟的治理能力。《數據安全法》與已實施的《網絡安全法》《密碼法》及同時實施的《個人信息法》相輔相成,共同構成了我國數據安全的法律保障體系,成為推動我國數字經濟持續健康發展的堅實的“防火墻”。
《數據安全法》是兼顧發展與安全,系統、全面的數據安全保護法律規范,進一步完善了我國在網絡與信息安全領域的法律法規體系,向世界展示了數據安全保護的“中國方案”。《數據安全法》不僅關注了與數據安全保護息息相關的重大問題,同時也闡明了數據安全與發展的關系,明確了未來數據治理的方向。
公司組織落實《數據安全法》相關要求
電力數據關系國計民生。國家電網有限公司高度重視數據安全,建立數據安全管理制度,組織開展安全教育培訓,明確了以國網互聯網部歸口管理、各業務部門專業管理、國網大數據中心支撐、各單位各司其職的數據安全管理職責。圍繞數據采集、傳輸、存儲、共享、對外提供等階段的工作,公司制訂相關安全管理要求,保障數據安全。其中,公司制訂的《互聯網業務數據安全架構典型設計》明確了電力物聯網環境下數據的存儲傳輸要求,針對性地提出了數據共享、處理等部分場景的基本安全原則,奠定了數據安全防護基礎。《國家電網有限公司用電客戶個人信息保護管理辦法》規定了公司在向用電客戶提供服務過程中對于個人信息的采集、傳輸、使用、共享和公開等環節的保護要求。《國家電網有限公司關于數據對外開放的指導意見》明確了公司數據對外開放策略和流程,其中數據開放流程主要包括需求受理、需求分析與審核、保密合規審核、數據歸口審核、簽訂合同、提供服務6個環節。
公司全面落實《數據安全法》要求,在數字化轉型進程中,堅持數據開放和數據安全并重,堅守數據合規底線,筑牢數據安全屏障,為建設具有中國特色國際領先的能源互聯網企業保駕護航。
公司展示網絡安全優秀實踐
2021年國家網絡安全宣傳周網絡安全博覽會重點呈現黨的十八大以來網絡安全領域取得的重大成就,展示網絡安全前沿技術、新型產品以及示范應用,形式豐富,針對性強,覆蓋面廣。
國家電網有限公司積極響應中央宣傳部、中央網信辦等的號召,在陜西西安主會場搭建關鍵信息基礎設施防護展廳,以能源互聯網全場景網絡安全防護策略(依法合規、開放可信、實戰對抗、聯動防御)為主線,圍繞“互動性、知識性、趣味性”原則,重點部署公司概況、依法合規、人才建設、自主裝備、聯動防御、密碼服務、公共服務、創新示范8個版塊,向公眾全方位展示網絡安全優秀實踐,同時開展網絡安全知識科普,利用“網上國網”APP、“電e寶”等送出2萬份紅包,提升用戶參與體驗。
公司扎實開展網絡安全各項工作
國家電網有限公司貫徹落實習近平總書記在全國網絡安全和信息化工作會議上的重要講話精神,認真履行國家關鍵信息基礎設施保護責任,高標站位,推動國家各項網絡安全要求落地,構筑全場景網絡安全防護體系,全力支撐構建以新能源為主體的新型電力系統,為美好生活充電,為美麗中國賦能。
加強統一領導,確保中央網絡安全政策扎實落地。認真貫徹落實《網絡安全法》《數據安全法》《關鍵信息基礎設施安全保護條例》等法律法規,強化網絡安全管理,充實各級網絡安全專職崗位,明確各業務部門管理職責。貫徹國家有關部委工作要求,完成電力行業“十四五”網絡安全行動計劃、電力行業網絡安全監督管理辦法等編寫修訂。切實落實國家安全生產決策部署,圓滿完成中國共產黨成立100周年大會、中國國際服務貿易交易會、第十四屆全國運動會等重要活動的供電及其相關網絡保障任務。加強網絡安全防護,有力支撐河南抗洪搶險、“煙花”臺風防汛和迎峰度夏保障工作。
建強防護體系,保障公司發展戰略目標落地。落實公司碳達峰、碳中和領導小組辦公會要求,組織開展新型電力系統網絡安全防護研究。依據《網絡安全法》等法律法規,圍繞能源互聯網安全防護需求,遵循“依法合規、開放可信、實戰對抗、聯動防御”的安全策略,構建全場景網絡安全防護體系。組織宣貫《數據安全法》,研究分析數據安全合規要點,推進數據對外交互防泄漏技術研究。建成兩級監測處置和預警聯動體系,深化全場景網絡安全態勢感知平臺應用,實現事件深度分析、全網態勢感知、預警聯動處置、在線實時響應,在感知層、網絡層、平臺層、應用層等推進公司安全監測、密碼認證、安全加固、數據保護、攻防對抗等能力建設,強化多源情報接入、兩級技防設施聯動、兩級作戰指揮能力。建立網絡安全“四統一”機制,形成綜合協同、資源共享、整體聯動、快速響應的技防體系。
鍛造尖端網絡安全隊伍,打造公司網絡安全平臺。按照“服役制、能進能出,能上能下”原則,開展公司級紅隊選拔,增選至198人,擴建1支尖兵部隊赤霄隊,在國家級網絡安全大賽中多次獲得團體和個人第一名;常態組織開展網絡安全實戰攻防演習,以關基系統、數據安全、新能源安全為標靶,磨礪網絡安全隊伍攻防能力,查找公司網絡安全漏洞,形成百余項成果報告。搭建電力行業態勢感知平臺,部署行業態勢感知平臺主站側系統,實現國家能源局與18家派出能源監管機構、19家安委會企業成員單位、31個省能源主管部門視頻會商,支撐行業內各單位開展在線監測、預警處置和全網聯動。
賦能新型電力系統建設,支撐數字化轉型安全需求。印發《智慧物聯體系安全防護方案》,明確物聯終端部署及安全接入要求。成立公司商用密碼管理中心,整合各專業數字證書系統,完成9家省級密碼服務平臺上線運行,制訂公司商用密碼總體要求和標準規范,累計簽發數字證書70萬張、電子印章11萬個,開展簽名驗簽服務157萬次。推進“雙芯單密”和新一代安全接入網關應用驗證,加快新一代安全接入網關多場景多業務聯調測試,實現營銷、配電、變電、安監等專業36類終端覆蓋,發放證書5萬余個。積極響應全國“安全生產月”活動,開展主題為“共建網絡安全環境,嚴守網絡安全底線”的網絡安全到基層活動;開展攻防演練,涉及5.3萬人次,排查整治隱患7094項。
公司網絡安全工作亮點
國網天津電力: 扎實推進網絡安全平戰結合一體化運營
聚焦平戰結合一體化的思考實踐,從管理、技術、隊伍建設三方面出實招、見實效。在管理方面,修訂特殊時期網絡安全保障規范,繪制網絡安全布防圖,開展網絡安全防護水平戰備評估,夯實資產、風險、能力基礎體系;在技術方面,實現主機加固、蜜罐、物聯終端行為分析等安全產品全覆蓋,完善S6000“可觀、可管、可控”功能,開展數據安全防護體系架構設計;在隊伍建設方面,多途徑開展網絡安全攻擊防范普及,繪制紅藍隊人才培養圖譜“網絡安全技能樹”,建立電力行業培訓基地,組織網絡安全隊隊員參加天津市“海河工匠杯”職業技能競賽,獲得個人第一名。
國網冀北電力:
打造冬奧網絡安全防護體系
充分總結歷年網絡安全保障經驗,提出“一套指揮體系、兩個工作清單、三級縱深防御、四方專業協同”的工作方針;建立冬奧網絡安全作戰指揮中心,負責各層級指揮協調工作,堅持“專業主導、單位主戰”;印發冬奧保障工作任務和應急預案清單,實現“網絡安全一場景一預案、運行安全一系統一預案”,確保各項工作按時有序推進;構建國網冀北電力有限公司、張家口供電公司、崇禮區供電公司三級縱深防御體系,層層設防,重點保障冬奧網絡系統安全;協同信息、調度、營銷、設備等專業力量,明確責任劃分,實現信息共享與整體聯動,合力打贏冬奧網絡安全保障攻堅戰。
國網山東電力:
加快建設新型互聯網大區安全防護體系
建設流量控制中心,部署流量控制智能網關,根據業務類型將互聯網大區重新劃分為公共服務域、對內服務域等8個安全域,確保網絡流量精準可控;建設身份管理中心,基于“零信任”理念,為每個用戶建立“行為身份證”,持續評估用戶的安全狀態,實現用戶行為安全可控;建設安全運營中心,依托S6000全場景態勢感知平臺,統計全省攻擊、病毒、漏洞等威脅情報,綜合分析整體安全態勢;編制省市一體聯防聯控監測值班標準,實現發生異常時發現、定位、預警、處置“4個3分鐘”,確保安全防護的可控、能控、在控。
國網湖北電力:
強化網絡安全體制機制建設
調整組織機構,率先設置專職首席網絡安全官,在湖北電力信通公司增設網絡安全中心,在地市供電公司增設網絡安全技術崗;強化人員支撐,省地公司兩級共增設網絡安全專職崗位73個,全面落實網絡安全7×24小時在線監測。落實每年網絡安全資金保障,確保相關經費在生產建設中單獨列支;從機構、人員、資金三方面發力,進一步夯實網絡安全工作基礎。5月份受國家能源局華中監管局委托,舉辦華中區域電力行業網絡安全攻防演練,獲得內外部專家、領導一致認可。
國網甘肅電力:
“雙管齊下”做好云平臺安全縱深防御
以實施“揭榜掛帥”重大項目為契機,協同地市公司及產業單位組建數字云柔性團隊,常態化開展云平臺安全能力學習交流及云平臺安全問題大調研、大排查、大整改活動,建立自上而下、統籌協調、分級負責的云平臺安全管理體系。同時,聚焦“國網云”安全防護痛點問題,綜合大數據分析和機器學習技術,創新建成集阿里云、華為云及傳統區域為一體的全場景多云安全態勢感知平臺,全景可視化展示“兩朵云”及傳統區域資源、安全威脅情況。
國網寧夏電力:
深化警企、政企網絡安全合作
依托省級網絡安全分析室、實驗室,協作參與自治區重大活動保障6次,開展黑產溯源反制、網絡安全事件分析等工作,并向公安機關提供漏洞預警及修復建議,實現跨行業情報共享及聯動處置;整合本單位網絡安全紅藍隊力量,與自治區網信辦建立網絡安全聯動機制,受邀參加自治區2021年國家網絡安全宣傳周開幕式,向自治區各廳局、各單位展示網絡安全應急演習與實戰攻防。
國網新疆電力:
全力打造實戰化網絡安全攻防體系
成立實體化的網絡安全中心,按照“平戰結合、全程全網、攻防一體”的原則,落實網絡安全7×24小時值班值守,建立常態化橫向協同、縱向聯動機制,做到網絡安全“統一監測、統一分析、統一預警”,形成一體化網絡安全防護體系;建立自動化監測手段,完成互聯網大區防護架構改造,劃分用戶上網區及對外服務區,提升安全監測精準度;開展跨區域網絡安全對抗演練,建立省間網絡安全聯防聯控機制。
國網電商公司:
五大法寶串接網絡安全防御鏈條
自主研發安全管理與漏洞免疫平臺,加強研發環節管控,避免引入不安全的第三方組件和建立不安全的應用程序編程接口;研制敏感文件泄露檢測工具,及時發現并預警源代碼及配置文件泄露等相關風險;打造星鎖自動化溯源系統,對網絡攻擊者進行精準畫像和主動反溯,提高溯源反制準確度和工作效率;建設網絡攻擊自動封禁平臺,有效應對極端大規模針對性攻擊,實現網絡攻擊自動處置;構建大數據風控系統,分析業務用戶行為特征,有效防控“薅羊毛”、營銷詐騙、盜號獲利等風險。以上五大法寶協同發力,構建網絡安全防御的完整鏈條。
國網大數據中心:
構建全方位數據安全防護體系
打造總部數據中臺安全風險監測預警微應用,對中臺內各類組件進行安全監測,實時發現數據異常操作行為風險并及時處置,有效促進數據中臺內各類數據業務安全有序開展;開展聯邦學習新技術研究,搭建聯邦學習計算平臺,建立電力數據安全協同機制,促進電力數據安全開放共享;開展《數據安全法》《個人信息保護法》等數據安全相關法律法規的解讀、宣貫、培訓工作,保障數據業務合法合規開展。
聯研院:
全面展示公司物聯安全體系建設成果
支撐公司2021年國家網絡安全宣傳周活動,展示公司物聯安全體系建設成果;承擔行業網絡安全頂層設計,在國家能源局和國網互聯網部的指導下,完成電力行業“十四五”網絡安全行動計劃編寫;提升公司邊界安全防護能力,編制互聯網大區“零信任”體系安全工作方案,開展新一代安全接入網關和信息網絡隔離裝置推廣應用,適配30余類終端,接入終端近10萬臺;打造公司高精尖攻防隊伍,開展公司攻防隊伍安全技能培訓,完成紅隊隊員能力圖譜繪制。
本版圖片由國網互聯網部提供
評論