随着信息化不断发展，信息安全所面临的危险已渗透到电力企业生产、经营各个方面，企业对信息安全问题越来越重视。电力数据是要交换和流转才能创造更大价值，但这个过程面临的安全风险是最为复杂的。电力企业内部各业务数据在网络流转，一旦出现信息泄密或篡改数据的情况，将给企业造成难以估量的损失。电力企业网络时常遭受恶意攻击，在信息网络和高频率的网络攻击下，使电力企业信息安全的局势严峻。同时电力企业各种信息在业务流程的参与者之间流动，如果系统关键数据被窃取和篡改，信息系统的非正常停运和瘫痪，将会严重影响电力企业和电力系统的正常运行。其次，由于信息系统运维人员和业务系统的管理人员掌握这系统资源管理的最高权限，一旦操作出现安全问题将带来巨大的损失，因此对运维操作也提出了更大的要求。

为了落实《中华人民共和国数据安全法》、《中华人民共和国网络安全法》和按照《工业数据分类分级指南（试行）》《工业领域重要数据和核心数据识别规则（草案）》要求，以及国能安全〔2015〕36号《电力监控系统安全防护总体方案》等相关网络安全要求，构建电力行业工业领域数据安全管理体系，有效保障数据安全，推动数字经济高质量发展，建立行业标杆，本着对比事实、寻找差距，总体规划、分步实施，抓住数据安全最薄弱环节和防护的重点环节进行技术和管理升级创新的整体思路进行。

在我国现阶段，由于数据环境是随着业务发展动态变化的，数据在流动过程中各环节都可能面临不同的安全风险，依赖单一的安全根本无法解决。如在特定场景数据助力、共享环节中，数据访问控制技术能解决单一组织范围内的授权管理问题，却无法解决跨组织的数据流向追踪问题，导致无法实现对数据接收方的数据处理活动进行实时监控和识别，极易造成数据滥用风险。

为确保目标单位数据安全防护满足国家及行业监管要求。结合成熟的数据安全态势预警平台及相关安全产品的部署，实现数据安全的综合监测、预警、审计和接入防护等功能，及时发现外部攻击及内部非法操作，并进行应急响应。本方案从安全防护、运维服务两个层面进行整体数据安全建设：

安全防护层面，移动存储介质、主机安全防护类软件以及安全态势感知平台的建设保障企业重点信息系统的网络安全和数据安全，实现安全事件的预警、检测、响应、取证。按照“统一规划、分级部署、协同共享”的原则，建设形成多级互联互通的通报平台，构建覆盖全网的数据安全态势感知、安全监测和通报预警体系。

运营服务方面，移动存储介质、主机安全防护类软件等安全产品的部署，保障了系统运维人员和管理人员合法数据访问和应用，一定程度上杜绝了系统人为的关键数据窃取和篡改。

面对复杂多变的数据安全威胁，应以安全运营的理念落实，将技术、流程、人进行有机结合，根据数据安全态势、技术发展和业务流程等的不断变化演进式地完善数据安全体系建设。

(一)方案技术框架

针对电力行业信息安全现状和电力监控系统安全防护能力评估，建立基于发电生产核心控制系统数据内部流转安全防护与监控的解决方案，设计可覆盖全公司范围内的数据安全建设架构。

同时打造全公司数据安全态势感知平台，在每级节点上构成上下联动、多级协同的数据安全态势感知网络体系。同时又以每级平台为中心，逐级部署主机安全卫士软件、移动存储介质管控等安全管理设备，实现逐级监控、管理、上报等功能，对本层级数据安全现状进行实时监测、识别、分析等全方位的安全防护体系。

建立全公司数据安全防护体系架构图：

针对日益严峻的电力行业数据安全流转、安全防护与监控需求，本方案基于大数据及人工智能等技术，通过态势感知平台将各数据安全产品有机结合在一起，对企业各级节点进行全局统筹和协同响应，构建协同立体防御体系。同时，根据实时场景自适应决策响应，快速生成应急响应预案，主动将安全策略推送给全网关键安全设备。通过数据安全检测识别技术与威胁情报技术相结合，实时预警和响应安全事件，实现对外部威胁的主动发现。

安全态势感知平台是以数据安全全生命周期管理为核心，通过多维度量化指标，精准描述数据安全的实时风险及整体状况；利用海量数据分析引擎及模型实现对数据风险的主动发现、精准定位、智能研判、快速处置、严格审计，完成对数据安全保护工作的闭环处置流程，针对本方案的特有技术路线及主要产品功能如下：

（1）总体技术路线：

· 大数据安全态势分析技术

在传统数据分析的基础上，构建基于人工智能等分析技术的数据安全态势感知平台，基于大数据计算及存储模型支撑海量数据的实时及历史分析，建立安全威胁分析模型，实现从传统的静态特征匹配发现威胁到主动关联分析发现威胁，实现海量安全数据的检测，提升深度安全防护能力。

· 异构的安全数据采集与处理

通过多源异构安全数据，实现从被动防御到主动监测的数据集合的跨越，数据采集对象范围包括网络设备、安全设备的运行状态数据、网络流量数据、日志数据、资产数据、安全告警数据、威胁情报数据、业务数据等，进行内部、外部、情报相关安全数据的全面采集，使安全数据可以反映出所有时段、各个安全层面。

· 多维度数据安全态势可视化

通过态势感知平台多维监测，实现从被动防御到主动监测的跨越，建立主动防御体系，基于人工智能等技术，对大范围样本数据进行安全分析，并可视化呈现安全态势。可以非常直观地看到被攻击最频繁的区域、攻击类型分布及趋势、攻击源攻击目的和实时的攻击事件；用户的内网应用流量分布、内网用户访问流量模型和最新的告警信息。

（2）主要部署的安全产品功能、技术指标：

· 主机安全卫士，产品技术指标：

（1）扫描主机可执行文件，创建程序白名单，识别、阻止任何白名单外的数据程序运行。做到禁止白名单外恶意数据非法运行，针对性的制定防护策略，阻止恶意数据的执行与扩散。

（2）制定移动介质接入主机策略，允许、禁止设备如U盘、移动硬盘接入主机，有效的阻止数据泄漏和主机的病毒感染（与USB安全隔离装置产品联动，可以识别在USB安全隔离装置中注册过的U盘为“授权U盘”可以对授权U盘和普通U盘设置读写权限）。

（3）管理全部白名单，可对白名单库追加文件/目录。且对特定的目录和文件可以加入扫描例外，扫描例外的文件或数据受白名单策略管控。（用户可以自定义将不信任的数据加入扫描例外）

（4）根据系统策略，白名单外程序运行或禁用外设设备插入时，会产生相关告警信息，实时告警提示并产生详细告警记录。对各类数据运行、外设管控、用户操作等行为记录详细日志并支持导出功能，供工作人员做安全审计工作。

· USB存储介质管控，产品技术指标：

解决外部恶意威胁源通过USB存储介质带入到工控网络的风险隐患。该防护理念是从病毒入侵的源头出发，切断病毒入侵途径，通过独立的硬件隔离产品，实现外部数据到工控网络的数据摆渡，提供接入工控网络前的数据管控措施，提供对移动存储介质全生命周期安全管控。

USB安全隔离设备是我公司自主研发、国内首创的一款产品，该设备是USB存储设备和计算机之间数据安全交互的桥梁，创新性的采用外设杀毒技术，对USB移动存储设备数据传输过程进行病毒查杀隔离，可有效减少通过移动存储设备携带病毒对内网计算机的安全性造成威胁，保证数据快速、安全地传输到内网计算机。

产品技术指标：

（1）与主机安全防护卫士系统联动，利用硬件+软件防护技术为工控主机提供数据流转安全；

（2）单台防护设备可同时支持多个移动存储设备进行在线安全防护与审计监控，可自学习信息模式和行为特征，利用私有算法，自动生成全面的“白名单”检测规则，采用静态密码、身份认证卡、Google认证等多种方式保证管理员账号的安全；

（3）引擎自主可控，非信任的USB设备无法自动识别，人工授权确保安全，保障移动存储设备与受保护主机物理隔绝，阻断通过移动介质进行威胁传播的危害，严格的操作日志审计，详实记录移动存储设备接入后的执行动作、用户的登录和操作记录，供管理员进行日志审计和行为追溯，一定程度上杜绝数据被窃取的情况。

详见下图：

(二)方案创新能力

· 本案例亮点：

在数字经济发展过程中，工业领域已成为我国数字化转型发展的主阵地，也是数字经济发展的前沿，工业数据安全已成为工业数字化转型升级中的重要环节，是连接工业全要素、全产业链、全供应链和全价值链的新载体，也是推动产业基础高级化、产业链现代化的新引擎。电力企业在工业数字化转型中具有政治敏感性、经济重要性和身份特殊性，数据窃取等新型安全威胁层出不穷，因此成为大规模、高级持续性数据安全窃取的重要目标。本方案，有利于推进整个行业建立数据安全主动防御体系，同时，在数字化技术高速发展的同时，将数据安全提升到战略高度不仅可以保护企业资产的安全，而且可以创造新的价值。

数据安全建设技术示范作用主要为企业数据安全建设带来的技术能力提升及对业务发展过程中对新技术应⽤的安全保障。

（1）主动防御

采用大数据和人工智能分析技术、发现异常行为，快速了解数据安全风险和态势，主动监测，并以丰富多样的图表展示工业资产的安全状态。同时，针对数据安全威胁精确溯源，识别各种主流传播方式，根据传播路径可自动生成溯源报告，及时预报预警，实时构建弹性数据安全防御体系，避免、转移、降低数据安全面临的风险。

（2）纵深防御

依据电力行业特点，围绕工业数据流转状态进行智能分析，通过协同防护部署安全产品，实现多维度数据安全威胁追踪闭环。并以丰富多样的图表展示数据安全状态。多维度进行数据安全防护，提高企业数据安全主动防御能力，使企业具备“快速识别、快速溯源、快速恢复”的应急响应能力。

· 本案例创新点：

近年来，数据安全威胁正逐步由网络空间渗透至现实空间，从计算机攻击、数据窃取等网络空间行为演变为基础设施损坏、生产经营停止等现实破坏行为。

同时，我国工业数据安全自主可控的生态体系亟待建立，目前，我国对国外信息技术产品的依赖度较高，核心基础软硬件产品严重依赖进口。2017年，欧美跨国企业提升了核心技术的开放程度，国内信息技术产业曾出现新一轮引进式的自主创新热潮。随着中美贸易战的持续发酵，工业作为国民经济重要支撑领域，工业数据安全越来越成为工业转型升级的重中之重，我国也逐渐在构建工业数据安全技术创新方面达成共识。

本建设方案采用了大数据、人工智能算法、威胁情报等创新技术手段。实现海量数据计算的一个安全数据分析挖掘平台。同时，部署安全产品，结合数据安全态势感知平台为企业提供全面的数据安全态势感知能力，安全事件快速响应能力，安全事件溯源能力，以及未知攻击探测能力和威胁趋势预测能力。

（1）标准化的数据采集，数据采集类型多样化使得采集数据变得纷杂不一，难以分析处理。针对这一问题，数据安全态势感知平台进行标准化处理引擎的开发，能够清洗、归并、去重等多种类型的采集数据，输出统一格式，方便后续处理和用户查阅。

（2）内存级关联引擎，数据安全态势感知平台关联分析具备实时关联分析规则，提供实时监控；基线分析快速定位正常数据安全的基线并报告偏离行为。

（3）数据资产自动发现，借助流量分析、攻击事件分析等手段发现数据资产，并通过智能分析将其归并合适的业务系统和管理部门，或设置为未知疑似数据资产。

（4）趋势分析、行为分析，数据安全态势感知平台帮助用户了解在特定时间段内哪些数据访问出现的频率较高，哪些数据在特定时间段内有异常操作。进而对用户的行为数据进行预判，在某时间段内有非正常操作，可将此行为视为违规操作数据，进行风险告警并阻断。

（5）威胁事件追踪溯源，数据安全态势感知平台通过对用户操作的行为数据、趋势分析数据，并对用户操作的数据进行事中审计，当风险事件发生后，可通过事件关联数据分析，将用户操作的整个数据链进行还原回放，为事后追踪溯源提供可靠数据保障。

（6）威胁预警关联分析，提供多维度的数据安全威胁分析方法，内置多种数据安全分析场景规则，对采集的数据进行智能关联分析。及时发出告警信息，帮助用户快速、精准定位高威胁的数据安全事件。

（7）全方位数据安全态势展示，平台展示面向管理层和运维服务人员等的数据安全监测视图。视图全面支持全网数据安全态势大屏、数据防泄露态势大屏、数据库安全态势大屏等多种安全态势分析大屏，态势大屏通过丰富的可视化实时呈现企业当前的数据安全态势。

(三)技术应用效果

本建设方案的实施构建企业数据新安全体系，在电力行业环境下的数据安全态势感知平台，利用大数据、人工智能分析技术，结合安全产品部署，对数据安全态势信息进行关联分析、对数据挖掘和可视化展示，绘制重要数据和核心数据安全态势地图，为电力行业各项系统安全提供支持。

· 全网数据监控

为了有效监控数据风险状态，快速处置威胁及风险事件，系统基于云计算和智能分析技术进行微服务的自动部署和动态管理，对关键数据状态进行实时监控，对核心数据进行风险分析，能够快速生成威胁配置策略和任务工单，实现运维的响应和处置。

· 异常数据检测

基于动态数据的流量基线对异常数据进行检查，是提升数据安全的重要手段，通过分析主机访问、内网访问、互联网出口用户的访问以及用户主机的各种数据的传输，结合大数据和人工智能算法，准确找到用户与流量之间的数据基线关系，通过人工智能算法对潜在的数据异常行为进行挖掘和判断，确保安全合规和数据泄露防护的需求。

数据安全运维

聚焦企业各类数据的状态监控、性能监控、配置基线管理、运维告警和数据威胁预警，全面感知和监控全网数据使用状态和安全指数，通过对用户访问、操作的流转数据进行针对性分析，实现数据安全策略合规矩阵的可视化展示，为数据使用决策和联动响应提供可视化的呈现和简易化的操作。

本方案基于发电生产核心控制系统数据内部流转安全防护与监控解决方案应用于骨干网络出口和重要网络节点等场景，对网络流量状态进行严密监控，保障工程师站、操作员站以及服务器等主机的USB接口的安全防护措施，对U盘等移动存储进行数据存取的过程进行有效查杀；同时，部署主机安全防护类软件，实现终端进程的可信管理，只允许需要的数据业务运行，提高数据在使用过程中的安全性。及时预警网络攻击，保障重要信息系统数据安全。并通过安全管理平台、态势感知平台，有效支撑安全监控部门开展数据安全工作，实时掌握数据安全态势，达到有效建设目标。

通过数据安全态势感知平台对原始数据进行采集和监控，进行深度还原、存储、查询和分析，可以及时掌握重要信息系统相关数据安全威胁风险，及时识别数据滥用、数据泄漏等情况，及时发现数据安全事件线索，预报预警重大数据安全威胁，调查、防范和打击各类恶意行为，保障重要信息系统的数据安全。

一、本方案融合边缘计算、人工智能等技术，结合安全产品的部署，为各企业数据安全的跨越式发展提供了技术支撑，本方案以独特的电力行业及实体用户分析手段实现对数据安全防护关键环节的支撑：

（1）从全局性策略出发，以互联互通的安全技术为保障，以数据安全态势感知平台为管理支撑，辅以长期可靠的安全运维保障和规范化的安全管理，搭建出真正能够有效对抗威胁，保障应用的数据安全体系。

（2）采用数据资产发现、数据流动安全、数据内控安全、外部入侵安全等多种技术和措施，实现数据的可用性、完整性、保密性保护，并充分考虑各种技术的组合和功能的互补性，合理利用措施，保证数据安全的整体防护能力。

（3）对数据监控与保护，监控数据的行为态势，关联敏感业务数据与企业的互动，根据行为数据基线监测异常行为，提供数据安全威胁告警，形成动态的电力行业安全防护体系。

二、简化实施和运维方式，对外部或内部人员操作、访问进行严格管控，保障数据的窃取、篡改，降低了实施和运维难度和工作量。

三、工业数据安全目前已延伸至40个国民经济大类，数据内部流转安全防护与监控具有很强的通用性，已在电力、石油、智能制造等行业有成熟案例，有利于系统性推广，实现更大范围、更高水平、更深程度发展，形成了千姿百态的融合应用实践，根据本方案已推广的复制案例。

列举石油和智能制造行业的应用场景：

· 适应石油行业

随着石油行业生产系统建设的日趋完善，石油行业的数据安全问题给国家关键基础设施安全带来一定安全风险，结合本方案典型的应用场景，一方面实现数据安全可视化、监测、预警于一体的全新数据安全态势感知与管理能力。平台内置大数据存储和多种智能分析引擎，通过丰富的可视化展示窗口将数据安全态势呈现，帮助企业掌握数据安全态势。另一方面提升石油企业的数据安全管理防护能力之外还能满足公安部、网信办、能源局等相关监管机构的检查要求。

· 适应智能制造行业

随着《中国制造2025》的全面推进，智能制造生产对数据安全需求的不断升级，越来越多的智能制造自动化系统与企业网中运行的管理信息系统之间实现了互联、互通，甚至可以通过互联网、移动互联网等直接或间接地访问，导致从研发端、管理端、生产端任意一端都有可能实现对数据泄露的传播，面临数据安全风险进一步加大，结合本方案典型应用场景，在智能制造行业建设数据安全态势感知平台，采用大数据技术架构，采集并分析来自终端、网络、存储的各类数据，通过人工智能算法，探测发现威胁企业的数据安全事件，并提供完整追溯取证证据链，全面保障企业数据安全。