以數據安全問題為核心構建電力大數據安全保障體系

內蒙古電力（集團）有限責任公司信息通信分公司 于 斌 侯凱文 楊 煜

1 大數據技術在電力網絡信息網絡中的應用

近年來，隨著電力行業(yè)的發(fā)展方向逐漸向信息化、數字化、智能化轉變，導致電力行業(yè)數據安全的保護工作變得愈發(fā)重要，為電力信息的安全管理帶來了新的挑戰(zhàn)。大數據技術在電力行業(yè)的逐漸深入，不僅為電力信息和數據安全的防護帶來了新的發(fā)展方向，也令電力信息和數據安全防護技術更加全面和先進。圖1為國家電網大數據平臺數據接入與預處理框架。

圖1 國家電網大數據平臺數據接入與預處理框架

大數據技術在電力信息網絡中的應用價值主要體現在以下兩方面。

一是能實現動態(tài)安全防護。大數據技術破除了傳統(tǒng)防病毒軟件過于被動的弊端，可以在判定某系統(tǒng)或業(yè)務存在安全風險、發(fā)現用戶違規(guī)或異常行為時，立即反饋異常信息甚至自動處置，從而擴大安全管理的覆蓋面，實現已部署的安全系統(tǒng)軟硬件之間的聯動，并采取相應的管控措施，最大限度降低非法侵入系統(tǒng)后的損失，令電力信息安全防護系統(tǒng)更加全面。

二是信息和數據中，同時包含著海量的電力行業(yè)和用電客戶的相關數據，利用大數據技術可以將數據提取，形成有價值的信息，最終創(chuàng)造出經濟效益。如發(fā)電企業(yè)可以根據居民及工商業(yè)用電情況，動態(tài)調節(jié)發(fā)電量，在保證用戶正常使用電能的同時，在特定時間內降低發(fā)電量，節(jié)約成本；大工業(yè)用戶也可根據用電情況，選擇在用電低峰時生產，在節(jié)約電費的同時獲得更高效穩(wěn)定的電能[1]。

2 電力大數據存在的風險

從目前的整體應用效果看，大數據技術雖已經為電力信息網絡的安全防護取得了一定成績，創(chuàng)造了一定經濟效益，但目前該技術的發(fā)展和應用還處于初級階段，導致在管理上仍存在安全盲區(qū)，尤其是一些數據無法被合理利用，更沒有得到有效的安全防護，這樣不但影響了大數據技術在電力企業(yè)的應用范圍和成果，還使部分敏感數據面臨泄漏的風險。此外，大數據由于自身的技術特征，也給電力企業(yè)相關安全管理人員的工作增加了難度。

2.1 外部風險

根據國家及行業(yè)的相關規(guī)定，目前我國電力行業(yè)中的辦公網絡基本已實現雙網隔離狀態(tài)，即信息內網與互聯網分開使用，達到物理隔離的狀態(tài)，從而減少計算機病毒的感染。但內網計算機防病毒軟件更新相對較慢，因此在此期間就有可能導致保存有重要信息和數據的內網計算機被病毒入侵，并在信息內網迅速傳播，讓電力信息網絡阻塞，甚至企業(yè)運營過程中的一些重要信息和數據都會被破壞，從而帶來經濟上和企業(yè)管理上的大量損失。

而且隨著信息技術幾十年來不斷地發(fā)展和變革，也進一步導致病毒和惡意程序的多樣化，甚至出現“道高一尺、魔高一丈”的境地。特別是對于一些敏感和重要信息系統(tǒng)，由于無法斷網或重裝系統(tǒng)，導致已中毒的服務器無法徹底刪除病毒，這導致服務器和終端系統(tǒng)反復感染病毒，甚至出現某些重要數據遺失、核心信息被盜取的結果，給電力企業(yè)造成經濟損失同時，也有可能導致更加嚴重的政治和民生風險。

因此，大數據技術想要在電力信息和數據安全領域中發(fā)揮出應有效果，不僅取決于技術本身的發(fā)展情況，還取決于外部周邊技術的應用情況。傳統(tǒng)的信息安全技術可以提供一定的技術支撐（目前主要常見的攻擊手段也主要以病毒植入和惡意攻擊為主），但現階段較少有專門針對數據的安全防護技術，這對于數據安全和信息主權來說是潛在風險[2]。

2.2 應用過程中的風險

雖然我國電力系統(tǒng)經過多年的發(fā)展和變革，逐漸完成了信息化、數字化，并且正在朝著智能化發(fā)展，但由于各省區(qū)的經濟和技術發(fā)展差異較大，導致電力企業(yè)發(fā)展進程也存在較大差距。在珠三角、長三角等經濟發(fā)展較好、信息技術水平較高的地區(qū)，大數據技術應用效果就比較突出，而對應的經濟欠發(fā)達、信息技術應用水平一般的地區(qū)，大數據技術的應用效果就差一些。這就導致大數據技術在數據采集階段容易出現采集不完全的結果，是最終的數據存在較大的偏差，降低了通過大數據技術提升電力信息安全管理的效果。

同時，由于電力信息系統(tǒng)在運行過程中會形成海量的數據和產生巨大的流量，而部分網絡攻擊就暗藏其中，會使信息安全風險被放大。如較流行的分布式拒絕服務攻擊在進行攻擊時，產生的數據流量都屬于正常流量，服務器的防護系統(tǒng)很難做出正確判定，也無法做出阻攔行為，同時這些攻擊流量產生的垃圾數據混在正常數據中，也會對大數據系統(tǒng)最終形成的信息造成準確性的影響。

在大數據時代甚至人工智能時代全面到來之際，電力企業(yè)肩負著國家安全的重任，更需要重視其信息系統(tǒng)的安全防護工作，要明確目前電力信息網絡和數據所面臨的安全風險，認識到在技術應用過程中不斷產生的風險，找準切入點，根據企業(yè)的實際情況積極運用各種新技術，為信息系統(tǒng)提供更加安全的運行環(huán)境，為數據和信息提供更加安全的儲存環(huán)境。

2.3 人的風險

大數據技術管理建設團隊的整體業(yè)務水平和綜合素質，大概率決定了大數據技術是否能在電力企業(yè)的信息和數據安全管理中發(fā)揮出良好的效果，目前存在的主要問題，一是專業(yè)人員數量不足；二是質量不高。該問題出現的原因，首先由于大數據技術屬于新技術，盡管近年來各高校再積極培養(yǎng)相關專業(yè)人才，但從目前來看，人員總體數量依舊相對匱乏，存在較大的缺口；其次由于電力企業(yè)大多屬于國有企業(yè)，信息安全管理涉及的范圍較廣、流程煩瑣，工作較復雜，很多技術和管理人員對大數據技術了解得并不多，而且缺少周期性的培訓，存在漏洞和短板，使大數據技術在電力企業(yè)中的實際應用效果與設計預期存在較大差距。

同時，大數據技術下的電力信息系統(tǒng)在運行過程中需要人為操作，因此將有可能產生由于人為操作不當而引發(fā)的安全風險。如在配置服務器和數據庫時出現數據丟失或各信息系統(tǒng)與大數據接口探針發(fā)生故障，就會直接導致數據丟失或混亂，最終影響信息完整性和可用性的嚴重情況。

2.4 管理方面的風險

在電力企業(yè)日常運行過程中，已經在各領域、各環(huán)節(jié)制定了相應的標準和規(guī)范，國家層面和行業(yè)層面也有相應法律法規(guī)和實施標準。但在電力信息系統(tǒng)的實際運行中，卻發(fā)現一下人員的操作并沒有完全達到相關要求，尤其是一部分管理人員和技術人員在機房等敏感環(huán)境工作時，經常不按照相關的管理規(guī)定進行操作和施工，甚至可以隨意進出信息機房，導致諸多安全規(guī)程和操作規(guī)定淪為形式。

另外，相當一部分管理人員認為，大數據技術下的電力信息系統(tǒng)本身非常安全，而且除了授權人員外不會有其他人操作，因此并不需要進行全天監(jiān)控，這種安全管理意識的匱乏和防范意識的缺失會導致管理制度無法得到完全遵守，也會使相關系統(tǒng)暴露在非技術原因的安全風險下。特別是部分人員由于好奇或對系統(tǒng)不熟悉進行非正常操作，導致原本較成熟和智能的系統(tǒng)因非常低級的錯誤和失誤而造成安全事件和事故[3]。

3 電力大數據保障體系建設

3.1 戰(zhàn)略部署

雖然我國針對數據安全陸續(xù)出臺了法律法規(guī)，而且收獲了一定成效，但是還存在一些問題，需要引起注意。如根據統(tǒng)一的信息安全標準，數據安全軟件是當前評估數據安全的唯一衡量標準，這就導致電力企業(yè)只要安裝了相關軟件就符合了要求，而實際上這種手段是遠遠不夠的。建設電力大數據安全保障體系，就是根據數據安全行業(yè)發(fā)展現狀和本企業(yè)實際情況，從大數據技術設計時就引入安全管理意識，通過科學的管理和技術手段對大數據技術下的電力信息系統(tǒng)進行雙保險，最終使電力大數據的安全屬性得到保護，同時確保信息和數據的可用性和可靠性。

3.2 技術部署

大數據系統(tǒng)分為數據采集層、數據儲存層、數據分析層、數據調度層、數據同步層等，電力大數據系統(tǒng)建設的核心為數據采集層、數據儲存層和數據分析層。在設計數據采集層功能時，為了搭建更加安全的電力信息網絡系統(tǒng)架構，規(guī)劃建立電力大數據平臺時，就必須在具備安全可靠性的基礎上，為了更好地采集到已部署各信息系統(tǒng)的數據，盡可能統(tǒng)一采集要求和標準規(guī)范，同時需要依據網絡安全等級保護的相關要求進行設計，保證數據在傳輸過程中的可靠性和完整性。

在規(guī)劃拓撲結構時，采集層要對包括離線和實時數據，以及結構數據、半結構數據和非結構數據等各系統(tǒng)和各結構數據之間的關聯性進行重視，并對安全效果進行評估，從而保證數據的可用性、保密性。最后對所有采集到的數據進行優(yōu)化整合，在整合記錄后根據不同的數據類型和用途進行分類，形成有效信息。圖2為國家電網為大數據平臺部署示意圖。

圖2 國家電網大數據平臺部署示意圖[4]

在設計數據儲存層功能時，要確保電力大數據信息系統(tǒng)的數據和信息在存儲過程中不會出現泄漏、丟失、損壞情況，要做好數據備份，條件允許的企業(yè)最好在異地建立災備中心，實時備份和定期備份的數據要分別存儲。一旦發(fā)生緊急情況，備份數據要在最短時間內接入，為大數據系統(tǒng)正常運行提供保障，同時給維保人員的技術搶修爭取時間。

在設計數據分析層功能時，首先要根據系統(tǒng)所采集到的電力數據和信息的種類、大小、用途等內容來調整功能復雜度，即將系統(tǒng)的可用性排在首位，特別是系統(tǒng)在數據學習和特征檢測方面必須要算法最優(yōu)化，掌握其關鍵性的聚類分析過程，并在囊括統(tǒng)計分析和關聯分析過程后對于整個流程進行計算；同時，也要對分析層中所包含或可能引用的新技術進行冗余儲備，如要對數據進行學習和特征檢驗的機器學習技術預留空間或接口等，即保證系統(tǒng)的可擴展性。

其次為了盡可能完善和加快數據分析的效果和速度，在保證數據和系統(tǒng)達到完全關聯的同時，還要通過不斷優(yōu)化大數據計算算法，充分發(fā)揮數據分析層作為電力大數據系統(tǒng)核心的優(yōu)勢。在數據分析層的安全考慮上，要盡可能將此層封閉，對操作人員采取最小權限甚至零信任的授權模式，最大限度保證算法的純粹性。

綜上所述，將大數據技術引入到電力信息網絡中，不僅需要在系統(tǒng)設計時就要做好相關性設計，保證每一個環(huán)節(jié)都具有必要性，而非簡單的采購現成系統(tǒng)直接投入使用；還要在系統(tǒng)設計和建設的全過程中，考慮到針對行業(yè)特點的安全保障體系，在發(fā)展角度對大數據技術甚至更新的技術進行綜合考慮，尤其要以數據安全和可持續(xù)發(fā)展作為重要目標，保證大數據系統(tǒng)和數據安全；更要在明確安全意識的同時建立完善的管理制度，并由全員參與做好系統(tǒng)的安全保障工作，尤其要約束系統(tǒng)使用者和管理者行為，對于每個操作環(huán)節(jié)形成的日志進行妥善保存，時刻備查，從而更好地推動我國電力行業(yè)在數字化和智能化發(fā)展過程中的數據安全保障。