數(shù)據(jù)安全對于企業(yè)的重要性不言而喻，尤其對于關鍵基礎設施行業(yè)用戶，在數(shù)字化轉(zhuǎn)型的過程中，數(shù)據(jù)安全治理這道關是挑戰(zhàn)更是邁向轉(zhuǎn)型升級的必經(jīng)之路。近年來《關鍵信息基礎設施安全保護條例》《數(shù)據(jù)安全法》等法律法規(guī)的先后頒布與實施，更體現(xiàn)了國家對于數(shù)據(jù)安全的高度重視，監(jiān)管和違法懲處力度不斷加大，數(shù)據(jù)安全進入強監(jiān)管時代。

最近，亞信安全的數(shù)據(jù)安全團隊收到了一個電力行業(yè)用戶的需求，這是一家擁有火電廠、水電站、風電場等多發(fā)電設施的集團式發(fā)電企業(yè)。近年來在數(shù)字化升級到過程中，企業(yè)在很多領域應用了數(shù)字化的工具和新技術，收到了良好成效。

然而不同以往，大量關鍵數(shù)據(jù)、敏感信息的涌入，以及高合規(guī)性的要求給企業(yè)帶來了前所未有的挑戰(zhàn)。為應對數(shù)據(jù)安全風險，滿足安全監(jiān)管需求，該企業(yè)聯(lián)合亞信安全啟動了數(shù)據(jù)安全治理項目。

以理為先，規(guī)矩方圓，做好治理的第一步

圍繞“惠數(shù)”數(shù)據(jù)安全體系化建設的理念，亞信安全建議客戶先從數(shù)據(jù)分類分級做起，邁出數(shù)據(jù)安全體系化建設第一步，并以該企業(yè)電力生產(chǎn)監(jiān)控系統(tǒng)為先，梳理好數(shù)據(jù)資產(chǎn)，為安全治理開好頭。

理清敏感數(shù)據(jù)

該生產(chǎn)監(jiān)測系統(tǒng)包含各監(jiān)測點的電壓值和電流值、各機組控換動作等關鍵數(shù)據(jù)，以及各監(jiān)測終端及業(yè)務交互主機的IP地址、機組物理位置、人員聯(lián)系方式等敏感信息，各數(shù)據(jù)分布分散，調(diào)用關系復雜，現(xiàn)場專家均對這些特點逐一核實總結，為后續(xù)工作開展做好準備。

合規(guī)為原則

我方專家參考了相關標準，然后組織了該企業(yè)多個部門多次參會討論，梳理出共性和差異性，最終輸出了針對該企業(yè)的《數(shù)據(jù)分類分級規(guī)范》。

圖：數(shù)據(jù)分類定級工作流程

理清資產(chǎn)

在梳理資產(chǎn)之前先為客戶部署了由亞信安全自主研發(fā)的自動化數(shù)據(jù)分類分級系統(tǒng)-DC，通過自動掃描、分析加人工稽核的方式實現(xiàn)資產(chǎn)清點與分類分級。

規(guī)矩方圓

通過本項目，完成了對目標系統(tǒng)的數(shù)據(jù)資產(chǎn)清點工作，發(fā)現(xiàn)了無效數(shù)據(jù)、空字段值、空表、數(shù)據(jù)量異常等數(shù)據(jù)質(zhì)量問題及安全風險，最終輸出了《數(shù)據(jù)分類分級報告》及《數(shù)據(jù)資產(chǎn)清單》等成果；以下是部分成果展示。

成果展示

數(shù)據(jù)安全等級占比圖

各表敏感數(shù)據(jù)分布圖

疑似無效字段值的表分布圖