劉 珊,楊 華,岳克明
(1.國網(wǎng)山西省電力公司電力科學研究院,山西 太原 030001;2.中國能源建設集團山西省電力勘探設計院有限公司,山西 太原 030001)
目前,信息傳遞已成為人們生活中必不可少的事物,例如,國內、外政治新聞和經(jīng)濟財政信息的傳遞方式改變著人們了解社會時事的方式。數(shù)據(jù)作為信息的一種載體,必然會產(chǎn)生海量的數(shù)據(jù)。大數(shù)據(jù)的進一步發(fā)展,促進我國計算機網(wǎng)絡技術向前邁進一大步,隨之帶來大數(shù)據(jù)在電力企業(yè)中的應用,為企業(yè)持續(xù)快速發(fā)展奠定良好的基礎[1-3]。
作為支撐國家經(jīng)濟發(fā)展的基礎性產(chǎn)業(yè),電力行業(yè)掌握著國家的電力命脈,隨著信息系統(tǒng)的多元化發(fā)展,其安全問題的嚴重程度也在不斷增長,另外,在信息系統(tǒng)的應用中,存在各種漏洞和后門,嚴重影響信息系統(tǒng)的正常使用,由此帶來許多信息安全問題。為應對嚴重的安全問題,信息安全方面的專家提出過一些基本的安全體系模型或者框架,但是,大部分基本的安全體系模型或者框架還處于理論研究和規(guī)劃階段,并沒有形成統(tǒng)一、明確的信息安全模型或者框架[4-6]。另外,大數(shù)據(jù)具有數(shù)據(jù)量大,復雜程度高等特點,與傳統(tǒng)的信息安全管理相比,它的安全標準和要求會更高。在電力行業(yè)中,大數(shù)據(jù)的管理與維護存在的問題,主要分為外部因素和內部因素[7-8]。
1.1.1 自然災害
自然災害,例如:地震、洪水、火災、雷雨電擊等,會造成計算機設備的硬件損壞,進而影響信息網(wǎng)絡安全運行。
1.1.2 病毒攻擊
病毒具有隱蔽性、破壞性和觸發(fā)性等特點,一臺中病毒的計算機,通過計算機上應用程序的觸發(fā),會自動釋放病毒,對大數(shù)據(jù)的信息安全造成巨大傷害。一般來說,病毒危害程度越大,對數(shù)據(jù)信息的破壞性越大。像震網(wǎng)病毒、熊貓燒香等病毒,曾經(jīng)對網(wǎng)絡或者系統(tǒng)造成影響。所以,病毒攻擊影響計算機網(wǎng)絡的安全運行。
1.1.3 黑客入侵
黑客入侵是一種人為破壞信息安全的行為,它的影響最為嚴重。黑客入侵有兩種方法:第一,對某些特定的數(shù)據(jù)信息進行攻擊或者毀壞,造成數(shù)據(jù)信息的缺失、失真等現(xiàn)象,稱為主動性攻擊行為;第二,在不影響計算機網(wǎng)絡正常運行的前提下,對數(shù)據(jù)信息截獲或者重放,稱為被動式攻擊行為。黑客入侵的行為會破壞數(shù)據(jù)信息,為計算機網(wǎng)絡的運行帶來安全隱患。
1.2.1 數(shù)據(jù)共享的不安全性
數(shù)據(jù)共享本來的目的是給人們的工作和生活帶來方便,但是某些不法分子利用資料數(shù)據(jù)的開放性,篡改或者倒賣數(shù)據(jù)信息,給企業(yè)的數(shù)據(jù)管理和維護帶來不便。
1.2.2 安全管理機制的不健全性
在快速發(fā)展的大數(shù)據(jù)環(huán)境下,管理者制定的本公司計算機網(wǎng)絡的管理制度未能考慮到方方面面,尤其對于含有大量數(shù)據(jù)信息的企業(yè),例如:電力行業(yè),教育行業(yè),政府部門等,若不進行嚴格管理,受到惡意攻擊后,給企業(yè)利益造成巨大的經(jīng)濟損失。
圖1表示影響大數(shù)據(jù)安全的內部、外部因素之間的關系,在大數(shù)據(jù)的環(huán)境背景下,保護大數(shù)據(jù)電力行業(yè)的信息資產(chǎn)安全十分重要。提升信息系統(tǒng)的精細化水平,增強信息安全的管理能力,構建基本的大數(shù)據(jù)信息安全體系模型是一條必經(jīng)之路。
圖1 影響大數(shù)據(jù)的內、外部因素之間的關系
在電力行業(yè)中,信息系統(tǒng)的管理應該從兩方面入手,一方面要抵御企業(yè)外部人員的惡意入侵;另一方面要防止企業(yè)內部人員的越權操作。這些內部威脅和外部威脅會引起嚴重的信息安全問題,給信息安全工作帶來嚴峻考驗,構建電力系統(tǒng)中信息安全的框架是迫切需要的。
根據(jù)目前電力行業(yè)面臨的狀況,本文構建出大數(shù)據(jù)安全體系框架,如圖2所示。大數(shù)據(jù)安全體系框架從制度管理和技術管理兩個維度入手,必須同時進行,絕不能忽略其中任何一個方面。第一個維度是制度管理,它分為接入安全管理和大數(shù)據(jù)安全管理。接入安全管理是從邊界防護、接口安全和可信安全等三個方面入手,它是保障大數(shù)據(jù)安全的基礎,與區(qū)域邊界緊密結合,通過安全策略的管理保證區(qū)域內資源的安全,且是經(jīng)過合法授權的;大數(shù)據(jù)安全管理是從數(shù)據(jù)采集、數(shù)據(jù)存儲和數(shù)據(jù)發(fā)布等三個方面入手,對于收集的數(shù)據(jù),采取一定的保密措施將其存儲在服務器上,在需要使用數(shù)據(jù)的時候再將其發(fā)布出來。第二個維度是技術管理,技術管理與制度管理相對應,也分為兩大部分,分別是接入安全技術和大數(shù)據(jù)安全技術。接入安全技術是從防火墻技術、防病毒網(wǎng)關技術和終端防護技術等三個方面入手,這些安全技術的采用可以有效地防御大部分的外部惡意威脅,是大數(shù)據(jù)防護的第一層保護傘,接入安全技術與區(qū)域邊界的防護密不可分;大數(shù)據(jù)安全技術是從訪問控制、數(shù)據(jù)加密和數(shù)據(jù)隔離等三個方面入手,主要是用于防御內部人員的惡意行為,需要根據(jù)員工工作崗位的內容和性質,開放相應的賬戶權限,防止員工的越權訪問。
圖2 大數(shù)據(jù)安全的體系框架
電力行業(yè)既是國家的基礎行業(yè),又是重要能源行業(yè),必須制定一整套方法體系來執(zhí)行大數(shù)據(jù)的安全保護。本文提出利用PDCA(plan,do,check,action)循環(huán)模型實施大數(shù)據(jù)安全體系,PDCA循環(huán)模型指的是計劃、執(zhí)行、檢查和糾正4個方面,它是項目管理中的通用模型,最早由休哈特提出,后來被美國的質量管理專家戴明博士進行深度挖掘,廣泛適用于項目管理。圖3是PDCA循環(huán)模型圖。
PDCA4個階段進行迭代循環(huán),當某一階段出現(xiàn)問題時,可以迭代循環(huán)進入此階段,直到此階段的工作滿足要求標準,即可進入下一階段的工作,每個階段完成不同的工作內容。下面詳細介紹每個階段要做的主要工作。
圖3 PDCA循環(huán)模型
a)計劃階段。這一階段工作的首要任務是制定大數(shù)據(jù)管理的體系框架,明確安全管理的范圍,安全責任專人負責;然后,通過安全管理啟動會等相關會議的召開,并結合電力行業(yè)的特點,制定出大數(shù)據(jù)安全管理體系的整體目標。
b)執(zhí)行階段。這一階段是大數(shù)據(jù)管理的核心環(huán)節(jié),利用訪問控制、數(shù)據(jù)加密等大數(shù)據(jù)安全技術對數(shù)據(jù)進行保護,并與既定的安全目標進行比對,確認大數(shù)據(jù)管理的安全級別是否達到制度標準和要求。
c)檢查階段。這一階段的主要工作是通過內部審核、外部審查、日常檢查等常規(guī)化檢查措施,檢查大數(shù)據(jù)安全管理是否達到安全管理標準,并分析是否符合法律法規(guī)的基本要求。
d)糾正階段。這一階段的主要工作是根據(jù)檢查階段得出的檢查表等檢查結果信息,逐個問題分析,找到錯誤點,進行糾錯和完善。
因此,大數(shù)據(jù)安全管理體系的實施是一個不斷迭代的過程,其目的是使電力行業(yè)的信息系統(tǒng)管理水平得到提高。在日常工作中,通過合理規(guī)劃、全面檢查、積極糾錯,才可以形成完整的、可靠的安全管理體系。只有以健全的安全管理體系為前提,才有利于實現(xiàn)大數(shù)據(jù)管理機制和技術機制的雙管齊下,才能實現(xiàn)大數(shù)據(jù)的有效防護[9]。
對大數(shù)據(jù)安全保護是整個信息安全防護的重中之重,本文提出將大數(shù)據(jù)管理機制和大數(shù)據(jù)安全技術機制結合起來,制定出大數(shù)據(jù)安全體系框架,并利用PDCA循環(huán)模型解決大數(shù)據(jù)安全工作的具體實施,才能保障電力行業(yè)的大數(shù)據(jù)信息安全,有利于國家信息安全發(fā)展的大局方向。