能源行業(yè)作為基礎(chǔ)民生行業(yè)，在國家致力于打造具備國際競爭力的數(shù)字產(chǎn)業(yè)集群戰(zhàn)略大背景下，越來越重視對能源數(shù)據(jù)的開發(fā)利用，在行業(yè)數(shù)字化轉(zhuǎn)型的關(guān)鍵時期，不僅要充分挖掘利用數(shù)據(jù)的價值，同時保障數(shù)據(jù)開發(fā)利用過程中的安全。

云集至作為新一代數(shù)據(jù)安全創(chuàng)新企業(yè)，在能源行業(yè)數(shù)據(jù)安全建設(shè)領(lǐng)域形成專業(yè)積累。本文將分享云集至協(xié)同某能源企業(yè)完成能源行業(yè)數(shù)據(jù)安全風(fēng)險評估服務(wù)最佳實(shí)踐，幫助能源用戶初步行程未來數(shù)據(jù)安全三年建設(shè)規(guī)劃。

政策合規(guī)驅(qū)動，真實(shí)需求牽引。某能源企業(yè)為滿足數(shù)據(jù)安全及個人信息保護(hù)法律法規(guī)和上級監(jiān)管部門相關(guān)要求，保障企業(yè)信息化和數(shù)字化發(fā)展的安全可靠，全面加強(qiáng)數(shù)據(jù)安全管理和個人信息保護(hù)管理，啟動數(shù)據(jù)安全風(fēng)險評估項目。實(shí)踐目標(biāo)有二：一是評估客戶個人信息保護(hù)方面存在的隱患和風(fēng)險，推動安全隱患和安全風(fēng)險整改，確保數(shù)據(jù)安全和個人信息保護(hù)風(fēng)險處在可接受的水平；二是全面加強(qiáng)集團(tuán)數(shù)據(jù)安全和個人信息保護(hù)，尤其是對客戶個人信息風(fēng)險的控制。

一、行業(yè)挑戰(zhàn)與破局

1、面向多方監(jiān)管

能源行業(yè)作為國家基礎(chǔ)民生行業(yè)，能源行業(yè)相關(guān)業(yè)務(wù)系統(tǒng)的數(shù)據(jù)安全將影響著千家萬戶生命財產(chǎn)安全和社會穩(wěn)定，故而公安部、工信部、網(wǎng)信部、發(fā)改委、能源局、自然資源部、應(yīng)急管理部、生態(tài)環(huán)境部等機(jī)構(gòu)均對其有不同維度、方向的監(jiān)管，為全面覆蓋不同監(jiān)管方對于個人信息安全保護(hù)要求，項目融合5個法律法規(guī)要求，4項標(biāo)準(zhǔn)規(guī)范。

法律法規(guī)依據(jù)包括：

• 2016年11月7日《中華人民共和國網(wǎng)絡(luò)安全法》
• 2021年6月10日《中華人民共和國數(shù)據(jù)安全法》
• 2021年8月20日《中華人民共和國個人信息保護(hù)法》
• 2021年7月30日《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》
• 2021年9月30日《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法（試行）》

標(biāo)準(zhǔn)規(guī)范包括：

• GB/T 20984-2022《信息安全技術(shù) 信息安全風(fēng)險評估規(guī)范》
• GB/T 37988-2019《信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》GB/T 35273-2020 《信息安全技術(shù) 個人信息安全規(guī)范》GB/T 39335-2020《信息安全技術(shù) 個人信息安全影響評估指南》

2、能源系統(tǒng)復(fù)雜

該能源企業(yè)涉及工業(yè)控制系統(tǒng)、金融核算系統(tǒng)、用戶管理系統(tǒng)、辦公系統(tǒng)等百余套應(yīng)用系統(tǒng)，同時客戶端涉及智能專用設(shè)備（如：智能電表、智能燃?xì)獗?/span>）、手機(jī)APP、微信小程序等多種終端，數(shù)據(jù)層面包括結(jié)構(gòu)化和非結(jié)構(gòu)化等等。云集至專家結(jié)合豐富的項目管理經(jīng)驗以及使用專業(yè)自研數(shù)據(jù)安全評估、數(shù)據(jù)梳理等相關(guān)工具，有效應(yīng)對能源行業(yè)系統(tǒng)復(fù)雜的特點(diǎn)，項目有條不紊的穩(wěn)步推進(jìn)，最終在6個月內(nèi)完成項目交付驗收。

3、多層級集團(tuán)架構(gòu)

該能源企業(yè)組織結(jié)構(gòu)涉及全國各地分子公司，為了快速掌握對客戶個人信息保護(hù)方面存在的隱患和風(fēng)險，項目采用逐層深入、以點(diǎn)帶面的思路，優(yōu)先針對集團(tuán)及各子公司所有業(yè)務(wù)系統(tǒng)的數(shù)據(jù)庫資產(chǎn)、數(shù)據(jù)資產(chǎn)進(jìn)行全面梳理，并形成資產(chǎn)差距分析表和分類分級框架；依據(jù)相關(guān)法律法規(guī)針對包含個人信息的所有應(yīng)用系統(tǒng)進(jìn)行進(jìn)一步訪談、檢查，針對客戶信息含量大、重要度高的四套應(yīng)用系統(tǒng)，從數(shù)據(jù)全生命周期角度進(jìn)行全面評估，映射出本能源企業(yè)關(guān)于個人信息保護(hù)的共性問題，從而針對性提供處置建議，配合整改規(guī)劃逐步提升整個企業(yè)數(shù)據(jù)安全防護(hù)水平。

圖 1逐層深入思路

二、評估流程與方法

1、流程設(shè)計

項目按照“資產(chǎn)梳理——現(xiàn)狀調(diào)研——風(fēng)險評估——評估報告”等四步流程開展風(fēng)險評估。

（1）資產(chǎn)梳理階段

目標(biāo)：完成該能源企業(yè)的數(shù)據(jù)資產(chǎn)摸底，以及敏感數(shù)據(jù)的分布情況。

（2）現(xiàn)狀調(diào)研階段

目標(biāo)：了解該能源企業(yè)組織、人員、管理、業(yè)務(wù)等方面的情況。

（3）風(fēng)險評估階段

目標(biāo)：依據(jù)前兩階段的輸出，完成對企業(yè)的合規(guī)對標(biāo)分析及能力差距分析。

（4）評估報告階段

目標(biāo)：整體輸出數(shù)據(jù)安全風(fēng)險評估報告，及風(fēng)險處置建議和安全建設(shè)規(guī)劃。

圖 2風(fēng)險評估流程

2、評估方法

項目采用人工服務(wù)+工具輔佐的方式方法開展風(fēng)險評估。通過部署云集至自研的專業(yè)數(shù)據(jù)梳理系統(tǒng)、數(shù)據(jù)安全脆弱性評估系統(tǒng)、數(shù)據(jù)流轉(zhuǎn)分析平臺、風(fēng)險可視化平臺等技術(shù)工具，結(jié)合數(shù)據(jù)安全服務(wù)專家現(xiàn)場訪談、旁站檢查、查閱資料等方法，以保障數(shù)據(jù)安全風(fēng)險評估的全面、客觀、清晰、準(zhǔn)確。

圖 3評估方法示意圖

云集數(shù)據(jù)資產(chǎn)梳理系統(tǒng)：梳理盤點(diǎn)網(wǎng)絡(luò)中存活的數(shù)據(jù)庫資產(chǎn)，同時經(jīng)過人工分析對比分析，可暴漏無人認(rèn)領(lǐng)的靜默資產(chǎn)；針對數(shù)據(jù)庫中的敏感數(shù)據(jù)進(jìn)行掃描，形成敏感數(shù)據(jù)臺賬；對數(shù)據(jù)庫中的賬戶進(jìn)行梳理。

數(shù)據(jù)安全脆弱性評估系統(tǒng)：用于掃描目標(biāo)主機(jī)、數(shù)據(jù)庫、APP等脆弱性，了解數(shù)據(jù)安全的潛在威脅。數(shù)據(jù)庫的脆弱性包括：高危漏洞、配置缺陷、弱口令賬戶、程序后門等。

云集數(shù)據(jù)流轉(zhuǎn)分析系統(tǒng)：解析數(shù)據(jù)流量，并自動繪制動態(tài)數(shù)據(jù)流轉(zhuǎn)示意圖，快速掌握數(shù)據(jù)從采集、傳輸、存儲、使用等流轉(zhuǎn)過程。

云集數(shù)據(jù)安全風(fēng)險可視化：將人工檢查分析評估服務(wù)的結(jié)果，和上述三個技術(shù)工具輸出結(jié)果整合、關(guān)聯(lián)，整體呈現(xiàn)數(shù)據(jù)安全風(fēng)險評估結(jié)果。

三、交付可視化評估成果

1、數(shù)據(jù)流轉(zhuǎn)風(fēng)險概況圖

結(jié)合能源行業(yè)系統(tǒng)的訪談?wù){(diào)研及專業(yè)工具關(guān)聯(lián)日志分析，最終匯出清晰的數(shù)據(jù)流轉(zhuǎn)地圖，并將實(shí)際存在的數(shù)據(jù)安全風(fēng)險問題對應(yīng)到數(shù)據(jù)流轉(zhuǎn)的各個階段，形成數(shù)據(jù)流轉(zhuǎn)風(fēng)險概況圖，能夠使業(yè)務(wù)人員、數(shù)據(jù)安全管理人員全局掌握日常業(yè)務(wù)生產(chǎn)中實(shí)際存在的數(shù)據(jù)安全風(fēng)險，以便采取有效的管控措施。如下圖所示：

圖 4數(shù)據(jù)流轉(zhuǎn)風(fēng)險概況

2、評估結(jié)果可視化

本項目結(jié)合專業(yè)數(shù)據(jù)安全服務(wù)工具，將風(fēng)險評估服務(wù)結(jié)果以可視化圖表形式展示出來，風(fēng)險分布、數(shù)據(jù)分布、數(shù)據(jù)流轉(zhuǎn)等一目了然，幫助數(shù)據(jù)安全管理人員快速理解和掌握評估結(jié)果，有效提升風(fēng)險評估服務(wù)質(zhì)量，同時為后續(xù)風(fēng)險處置一鍵對比整改效果奠定了基礎(chǔ)。評估結(jié)果可視化概況如下所示：

圖 5風(fēng)險評估可視化圖表

3、能力差距分析簡報

基于該能源企業(yè)數(shù)據(jù)安全能力建設(shè)現(xiàn)狀，從個人信息在數(shù)據(jù)生命周期角度分析，結(jié)合《個人信息安全規(guī)范》做差距性對比分析，個人信息保護(hù)在傳輸、存儲、使用維度能力較弱，通過能力差距分析簡報，數(shù)據(jù)安全管理人員可在傳輸、存儲、使用等維度重點(diǎn)投入數(shù)據(jù)安全能力建設(shè)。

圖 6能力差距分析

4、風(fēng)險類型分析簡報

將所有風(fēng)險問題歸類分析，發(fā)現(xiàn)存在明文傳輸，未加密存儲、操作權(quán)限分配不合理、操作行為審計不完善、數(shù)據(jù)使用未脫敏、數(shù)據(jù)離線下載、部分業(yè)務(wù)接口管理不嚴(yán)格、管理制度缺失等風(fēng)險，共發(fā)現(xiàn)風(fēng)險40個（高風(fēng)險15、中風(fēng)險22、低風(fēng)險3），通過全生命周期分析簡報能夠使合規(guī)審計人員、數(shù)據(jù)安全管理人員整體掌握風(fēng)險情況，方便對應(yīng)不同類別的風(fēng)險應(yīng)用不同的處置措施，詳細(xì)風(fēng)險分布如下圖：

圖 7風(fēng)險類型問題分布圖

部分具體風(fēng)險場景舉例：

（1）批量居民信息泄漏風(fēng)險

現(xiàn)狀描述：通過云集數(shù)據(jù)流轉(zhuǎn)分析系統(tǒng)發(fā)現(xiàn)超過200萬條的個人信息批量流出數(shù)據(jù)庫。

分析過程：云集至服務(wù)人員通過多方日志關(guān)聯(lián)分析形成完整鏈條匯總，在與用戶安全部門配合下定位風(fēng)險終端電腦。經(jīng)過多方核實(shí)確認(rèn)，當(dāng)天進(jìn)行了應(yīng)用系統(tǒng)整體升級，數(shù)據(jù)庫維護(hù)人員手工做數(shù)據(jù)完整備份。

風(fēng)險影響：此數(shù)據(jù)文件一旦泄漏出去將會造成非常嚴(yán)重的社會影響，同時將面臨個人信息保護(hù)法的違法處罰。

（2）應(yīng)用系統(tǒng)后臺訪問風(fēng)險

現(xiàn)狀描述：某關(guān)鍵應(yīng)用系統(tǒng)管理后臺完全暴露在互聯(lián)網(wǎng)環(huán)境，沒有對訪問人員進(jìn)行安全策略限制，第三方人員維護(hù)過程中用戶也不具備監(jiān)督條件，同時管理后臺未采用傳輸加密相關(guān)安全措施。

分析過程：經(jīng)訪談核實(shí)確認(rèn)，管理后臺暴漏在互聯(lián)網(wǎng)僅是為了方便第三方維護(hù)人員遠(yuǎn)程維護(hù)管理。

風(fēng)險影響：存在重要數(shù)據(jù)/客戶個人信息被泄漏的風(fēng)險，最高可導(dǎo)致城市上千萬居民個人信息或能源重要業(yè)務(wù)數(shù)據(jù)泄露。

四、能源用戶價值收益

通過本項目，該能源企業(yè)清晰地掌握了客戶個人信息保護(hù)方面存在的隱患和風(fēng)險，同時云集至依據(jù)該企業(yè)風(fēng)險評估報告，結(jié)合實(shí)際情況量身制定了“一三三數(shù)據(jù)安全框架”，圍繞“一個核心”建設(shè)“三大體系”，形成數(shù)據(jù)安全“三層效果”新格局，幫助用戶初步形成未來數(shù)據(jù)安全三年建設(shè)規(guī)劃。

一個核心：以保護(hù)能源企業(yè)“重要數(shù)據(jù)和個人信息安全”為核心。

三個體系：數(shù)據(jù)安全管理體系；數(shù)據(jù)安全技術(shù)體系；數(shù)據(jù)安全運(yùn)營體系。

三層效果：數(shù)據(jù)安全可管、可控、可持續(xù)。

圖 8數(shù)據(jù)安全體系建設(shè)