电力企业信息化建设中数据防泄漏技术的应用
时间:2020-09-15 07:56:39 来源:达达文档网 本文已影响 人 
打开文本图片集
摘要
当前,伴随着我国电力信息化建设的持续深入,信息化技术已然在硕大的电力系统中“生根发芽”、“广结硕果”,现已逐步迈入信息化建设发展的第四阶段。而信息数据作为电力信息化建设之中的重要构成,其安全性不容忽视。因此,需以完善的管控体制,应用各类先进技术与管理方式,谨防数据信息被不法分子所窃取、修改,造成不可佑量的重大经济损失以及严重的社会影响。基于此,本文笔者结合自身多年的电力信息数据防泄漏工作经验,针对当前电力企业数据信息方面所面临的种种威胁,与当下的数据信息防泄漏现状展开剖析,并探讨了数据信息防泄漏技术在电力企业信息化建设之中的有效应用,以及电力企业数据信息防泄漏方案的选择。旨在为数据信息防泄漏技术在我国电力信息化建设之中的更好应用与不断发展,贡献出自己的绵薄之力,为我国电力系统的安全、稳健发展做出贡献。
【关键词】电力企业 电力信息化 数据防泄漏技术
1 电力企业信息数据面临的威胁及防泄漏现状
1.1 电力企业信息数据面临的威胁
(1)内部人员存在不规范操作行为,例如在办公电脑及内部网络,私自接入个人移动存储设备拷贝关键数据,并在外网使用该存储设备,致使数据外泄;或者用内网终端私自连接外网,致使网络黑客有机可乘,并通过网络攻击或病毒入侵的形式获取数据信息。
(2)工作人员网络安全意识差,致使企业内部系统的管理员用户名及密码被系统第三方开发或运维人员所盗取,并非法进入企业内部系统盗取重要信息数据;或是在内部办公设备发生故障送修时,未对硬盘内重要数据进行加密处理,致使硬盘内的重要数据信息被盗取;还有些员工由于浏览非正常网站,被植入木马病毒,致使恶意程序不断发送大量请求影响宽带的响应速度。另外,企业内部OA、ERP等应用系统的重要数据信息未设置传送密钥,致使数据的整个传送过程暴露于互联网,极易导致重要数据被不法分子非法截获,造成数据泄露。此外,由于内网信息量大、信息资源多,如若对重要数据仅采用数据加密进行防护,不仅保护形式单一,而且极易在用户权限发生改变时加大管理工作量,很容易形成泄露漏洞。
1.2 电力企业数据防泄漏现状
(1)在电力信息化建设过程中,数据防泄漏技术缺少针对性的策略标准及解决方案,在进行数据安全防护时,数据防泄漏技术的防护策略过于简单、功能单一,经常出现误报、漏报等现象。
(2)现有许多数据防泄漏技术方案的部署,常常脱离了企业实际,与企业业务流程联系不紧密,在发生数据泄露事件后统计分类过于集中,致使在查找具体泄露数据的源头时无从下手。如果有大量泄露事件积累,也就无法确定泄露风险较大的业务流程点,因此,很难做到及时把控。
(3)大型电力企业通常包含多个数据防泄漏系统,多个系统之间独立运行,因此,对于数据泄露事件日志,无法及时进行总结归纳,管理十分不便。
2 电力信息化建设中数据防泄漏技术的应用
2.1 数据防泄漏技术
数据泄露防护(Data Leak Prevention,DLP)作为目前最重要的数据信息安全保护技术,其主要通过应用一定的技术措施,并结合企业具体情况制定的数据信息安全防護方案,以防止企业内重要数据信息以不符合安全策略规定的方式流出企业。DLP可以有效确保存储使用以及网络传输中敏感数据的安全,避免发生不可挽回的泄露事件。
在电力企业信息化建设中,DLP技术作为一种已经兴起多年的数据安全防护技术,通过重点保护与监控企业网关,以有效保护大范围内的数据信息不会发生泄露,确保大量数据信息的安全,保证敏感数据信息的安全性、保密性、可用性。为从多个角度、多个层面,全面解决企业数据信息的泄露问题,相关研究人员分析总结出了多种技术方案,目前使用较为广泛的主流防护技术总结如下。
2.1.1 加密类技术
在数据信息安全防护中,加密类技术主要包括如下几个方面:
(1)文件级加密技术。“透明加解密”是目前较为新型的文件级加密技术,其主要是建立应用程序的进程与相关文件之间的关联以实现文件加密的目的,主要通过在操作系统底层应用内核级文件过滤驱动对文件进行处理,加解密过程实现透明化。
(2)磁盘级加密技术。磁盘加密代表以WindowsVista中集成的BitLocker为主,单一的磁盘加密只能用于被动泄密防护,无法对网络及主动泄密进行防护。
(3)硬件级加密技术。硬件级加密以希捷“DriveTrust”技术为主,DriveTrust技术是通过在硬盘中设置相应的安全防护,从而有效避免相关存储数据在未经授权的情况下被非法访问。该类防护技术与磁盘级加密技术的弊端,是无法避免通过计算机网络或其他途径的主动泄密。
(4)网络级加密技术。该防护技术无法保护通过存储介质传递的数据安全,因此通常结合其他加解密技术,共同确保数据在传输过程中的安全,按照实现层次主要包括以下几类网络层IPSecVPN、应用层SSLVPN、专用IP数据包格式变换等。
2.1.2 控制类技术
控制类数据防泄漏技术主要是通过端口控制、软件控制、协议控制以及应用程序控制等技术,实现对计算机各种端口与应用系统的安全防护。该种技术对数据的存储不做加密保护,主要对数据传输过程中的合法性进行控制,因此,一旦存储设备出现丢失或被盗,就会导致数据出现被动泄露。同时,由于数据传输途径的多样性,极易导致单一的控制类技术出现漏洞,所以,控制类防泄漏技术通常与其他防泄漏技术结合使用。
2.1.3 过滤类技术
过滤类技术主要是在网关处安装内容过滤设备,该设备可以对计算机网络中HTTP、POP3、FTP、即时通讯等常见的网络协议进行分析、过滤,并对传输文件中包含敏感字段的内容进行识别,然后及时对这些文件进行阻断,防止其通过网络传输或移动存储等途径发生泄露。
2.1.4 数字标识类技术
数字标识主要由静态特征标识、密级标识、权限标识及文件唯一ID等内容组成。数字标识类防泄漏技术主要是通过将数字标识嵌入敏感信息文件,以此为每个敏感文件打上不同的数字标识,文件在网络进行传输时,结合策略管理可以对敏感文件进行有效识别,从而达到防止数据信息泄露的目的。
2.1.5 虚拟化技术
虚拟化技术主要是以Vmware为代表的硬件抽象层、操作系统层以及应用层等层面的虚拟化。其主要通过在以上几个层面构建虚拟化的安全工作环境,从而有效隔离数据,对敏感数据信息进行安全保护,以避免发生数据泄露的情况。
2.2 电力企业数据防泄漏体系框架
电力企业信息化建设中,一旦发生数据泄露风险,涉及规模之大、信息量之多,将会导致十分严重的后果。因此,为妥善解决企业重要数据信息潜在的泄露风险,合理的电网数据防泄漏体系架构十分重要。文章以数据防泄漏技术原理为基础,介紹了由访问层、防护层和对象层组成的数据防泄漏体系框架,其中,防护层通常包含多种防护技术方案,以文件系统过滤驱动防护、数据标识与策略防护、虚拟化技术防护为主,对象层主要包括能够存放各类智能电网以及SG-ERP业务系统相关敏感数据的终端设备、文件服务器和数据库等。图1所示为数据库防泄漏体系框架示意图,防泄漏技术方案中的安全防护措施主要包括:文件过滤驱动防护、标识与策略技术防护、虚拟化技术防护等。
(1)文件过滤驱动防护主要是将文件过滤驱动添加到文件系统中,然后配合访问控制、透明加解密以及实时监控等安全策略进行数据防护。文件过滤驱动能够实时监控对文件系统的相关操作,然后对相关操作请求进行拦截,在操作请求未到达文件系统驱动层前便进行提前处理,并对敏感数据文件的非法操作行为进行阻止,从而达到数据防泄漏的目的。
(2)标识与策略防护主要是对敏感数据信息进行标识,并根据标识方式合理搭配不同的防泄漏策略,通过具有针对性、全面性的标识与策略防护,实现对敏感数据的保护。
(3)借助虚拟化技术在终端创建出多个逻辑隔离的、安全的软件运行环境,从而在操作系统原有的内核核心态与应用态软件进程之间形成一个虚拟层,隔离数据并防止数据泄露。
在设计防泄漏方案时,通常需要几种防护技术综合使用,常见的以文件过滤驱动、标识与策略、虚拟化技术结合的防泄漏方案为主。其中,文件过滤驱动通过拦截文件系统操作请求以及透明加解密技术,实现对传输过程的防护;标识与策略通过标识敏感文件,结合数据防护策略达到数据防泄漏目的;虚拟化技术是通过创建虚拟运行环境,隔离数据以防止主动泄密的情况。
3 电力企业数据防泄漏方案的选择
3.1 数据防泄漏技术对比
数据防泄漏技术特性对比如表1所示。
无论哪种防泄漏技术都有其优势与不足之处,尤其在防护强度、防护内容以及应用程序的兼容性等方面还存在许多有待改进之处,致使至今仍无较为全面防护的数据防泄漏技术。因此,用户必须结合自身企业实际情况,通过结合使用多种防泄漏技术,实现对敏感数据信息的安全保护。
3.2 数据防泄漏技术方案的选择
在进行数据防泄漏方案选择时,应首先对电力企业信息化建设中数据安全防护需求进行调研分析,然后以此为基础细致查找与分析所有可能发生数据泄露的途径。整个泄露途径查找的过程主要包含以下内容:
(1)调查电力信息化建设中哪些敏感数据信息需要进行防泄漏保护,要实现怎样的防泄漏目标,要进行怎样的防泄漏保护;
(2)对电力信息系统的各个业务数据进行分类;
(3)按照业务数据分类好的结果进行细致的分析,并进行访问权限的分类,最后得出具体的访问权限矩阵列表;
(4)对电力企业敏感数据的具体输出形式进行分析,并针对性的提出安全管控对策。
完成所有上述工作后,进入数据防泄漏方案的选择阶段。结合电力企业敏感数据信息的防泄漏要求,对移动终端的防泄漏技术,可在基于透明加解密的基础上,对移动智能终端的各个敏感业务数据做加解密处理,以实现数据的安全防护目标。对于电力企业非结构化数据中心,应结合其自身特点与实际需求,采用基于标识与策略的数据安全防护技术,首先对非结构化数据的敏感级别进行分类,然后划分敏感级别并做好数字标识,之后结合防泄漏策略保护敏感业务数据不会发生泄露。
4 结语
信息化程度的不断深入,使得电力企业的发展更加依赖于信息系统,这便在无形之中增加了发生数据泄露风险的可能。而如果是电力企业重要的核心数据发生泄露,不仅会导致严重的经济损失,而且极有可能导致国家敏感信息外泄。因此,明确电力企业敏感数据的保护需求,选择合理的数据防泄漏方案,确保数据在传输、存储以及销毁等各个环节不会发生外泄,保障电力企业发电、输电、变电、配电、用电以及调度等所有信息化建设环节的信息安全。
参考文献
[1]邹佳祥.企业数据防泄漏技术浅析[J].硅谷,2014(18):146-146,124.
[2]李克锐.电网信息化建设中数据防泄漏技术的应用探讨[J].环球市场,2016(25):165-166.
[3]蔡雨佳.敏感数据防泄漏技术研究与实现[D].北京邮电大学,2014.
[4]李瑾林,袁慧,董亮等.基于电网信息数据防泄密的研究[J].科技资讯,2015(09):19-20.
