2023电力行业数据治理方案

电力数据安全治理方案20231.能源电力数字化发展历程能源电力信息化积累，呈现体量大类型多等特点信息化技术已广泛应用在电网生产运行管理的各环节，能源电力企业利用信息化技术促进经营管理精益高效、提升发展质量和效率，为电力系统正常运行控制、故障快速检测和响应提供了重要技术保障。随着能源电力企业发展信息化，信息化建设逐步实现主要业务从分散向集中、线下向线上、孤岛向集成的转变，在运信息系统较好地支撑各项生产经营管理活动，在网络、平台、用户、物资等领域应用中形成的海量数据，呈现“数据量大、数据类型多、敏感程度高”等特点。电力数据在发电、输电、变电、配电、用电等电力生产和电力服务的各环节正以前所未有的速度增长，比如在发电过程中，火电厂会产生水位、温度和变速风力等数据；在输电网下，各种开关1s1次。在这种高频率的记882条输电线路、1224座变电站、205436.7亿条，实现数据资源管理集约化以及2.2PB4TB，约为“十三五”100倍。电力大数据涉及多种类型的数据，包括结构化数据、半结构化数据和非结构化数据。随着电力行业中视频应用的不断增多，音视频等非结构化数据在电力数据中的占比进一步加大。此外，电力大数据应用过程中还存在着对行业内外能源数据、天气数据等多类型数据的大量关联分析需求，而这些都直接导致了电力数据类型的增加。电力大数据涉及到众多电力用户的隐私，如若发生盗用、泄露、篡改等安全事件，将会对电网生产、经营管理、用户服务，甚至国家安全及社会稳定造成极大的影响。夯实数字化发展基础，稳步推进企业数字化转型能源电力企业重点通过数字化推动电网智能化升级和企业数字化转型，推进全业务、全环节数字化转型，逐步实现“以信息系统建设为核心”向“以数据为核心”转变，支撑电网高效率运行、公司高质量发展、服务高品质供应。国家电网公司加快推进新型数字基础设施建设，夯实数字化发展基础。通过狠抓数据管理，建立跨部门、跨专业、跨领域的一体化数据资源体系，按照“应用”的思路，强实现“一次录入、共享应用”。强化“两级部署、多级应用”，建成北京、上海、陕西三地集中式27家省公司数据中心升级改造，实现核心业务数据统一接入、汇集、存储。推动数提供企业级共享服务，促进了各类业务运营和创新应用。南方电网公司推行“数字电网”战略，“将数据作为公司核心资产，提升数据分析能力和数据决策水平，做到精准增供扩销、有效节能降耗、严格管控成本”，出台了主数据、元数据和各类数据标准，开展数据治理和数据质量提升行动，制定了数据开放共享管理规范等，通过构建“安全集中管理平台”，完善“数据资产管理体系”等，夯实了公司数据底座支撑能力，为公司数字平台和云数一体的数据中心组成的“三平台一中心”全面支撑公司各业务域数据应用建设。电力大数据魅力凸显，助力国家企业治理现代化能源电力企业关系国家能源安全和国民经济命脉，坚决贯彻落实党中央关于建设网络强国、数字中国、智慧社会的战略部署，深入推进数字化转型和数字电网建设，通过数字技术与业务、管理深度融合，积极融入数字经济、服务数字社会、对接数字政府。“网上电网有力支撑各电压等级电网在线可视化诊断评价、智能规划和精准投资，基本实现“电网一张图、数构建多维精益管理体系，促进业务与财务深度融合，精准核算每个业务单元的投入产出效率。初步建成现代智慧供应链，实现物资业务全流程在线办理，推动智能采购电子化、数字物流网络化、全景质控可视化。积极开发“电力看环保”“电力看能效”“电力看‘双碳’”等一系列电力大数据产品，通过积极开展碳监测、服务环保治理、服务能源治理、助力政企协同等加强政企协同，服务政府决策和行业监管。国家电网公司深入贯彻网络强国战略和国家大数据战略，加大数字化技术在基层一线的应用，自主研发的自动飞行软件“智巡通”12种智能化、数字化作业模式，完成通道250%；积极引入人脸识别、实时监控、语音通信等新技术，积极对接“数字广东”建设，在客户服务、工程建设、信用数据等方面开展多项合作，与广东“数字政府”共享应用场景建设，解决免费电政策执行难问题，助力打赢脱贫攻坚战。全面服务粤港澳大湾区建设，推进大湾区“多表合一”“多网融合”，围绕电动汽车、微电网、客户整体能源解决方案等业务，构建综合能源服务平台。双碳目标驱动化革新，电力企业开启转型新征程作为电力行业的龙头企业，国家电网公司、南方电网公司等电力企业争当好主力、打好先锋，分别发布了碳达峰、碳中和行动方案，构建以新能源为主体的新型电力系统，紧紧围绕构建新型电智能化手段改造传统电网，加快推动电力系统变得更安全、更绿色、更高效、更友好。“双碳战略，202131“行动方案，18项重要举措，持续推进能源转型，加快构建清洁低碳、安全高效能源体系，持续推进碳减排，让实现“双碳”目标有了实际行动路径。构建以新能源为主体的新型电力系统，是以习近平同志为核心的党中央着眼加强生态文明建设、保障国家能源安全、实现可持续发展做出的一项重大部署，对我国能源电力转型发展具有重要的指导意义。新型电力系统建设过程中，数字技术与传统电力技术将深度融合，通过数字化、网络化、智能化手段为传统电力系统赋能，提升能源电力系统的生产力水平，对传统生产关系进行优化和调整，提升电网资源配置效率和智能互动水平，使电网更加安全、可靠、绿色、高效、智能。南方电网公司把服务碳达峰、碳中和目标作为重大政治责任和战略任务，秉承“绿色低碳，节能先行”原则，科学有序推进新型电力系统建设，促进电源更清洁、电网更节能、用能更低碳，助力推动经济社会发展全面绿色转型。通过数智赋能，抓实抓细减少能源产业链碳排放的“减法19项世界第一的♘1亿千瓦时。通过智能化大数据精准定0.51%1.566350100万辆家用汽车一年的碳排放量。积极过自主研发的能效管理系统，实现建筑及工业企业能源“看、管、控”的全生命周期管理，每年为客户节约电量超8000万千瓦时，年托管节电量同比增长5%。2.能源电力企业数据安全治理现状及挑战1. 能源电力行业数据安全现状积极加强数据安全治理战略布局《网络安全法》、《数据安全法》、《个人信息保护法》先后出台，电力行业全面落实数据安全建设与数据安全治理已成大势所趋。国家电网公司牢固树立安全发展理念，统筹发展和安全，坚决守牢安全底线，以法规监管、业务需求、标准指引为出发点，以“对内高效共享、对外安全开放”为目标，坚持“依法合规、分类确保方向正确、上下同欲、统筹规划，构建覆盖组织、策略、流程和工具的安全防护体系。“以数据驱动业务的战略部署，坚持“以安全保发展、以发展促安全”的网络安全观，将数据安全作为《南方电网公司“十四五”大数据发展专项规划》的重点任务之一，开展南方电网公司数据安全顶层规划，实现“管理规范、完善数据安全管理制度等工作。数据安全管理制度体系初步建立建立明确的数据安全治理执行机制是落实数据安全保障的基础，能源电力企业通过建立完善的数据安全管理组织体系、明确数据安全管理的指导方针、明确数据安全管理的内容及制度要求、确定各相关角色参与数据安全管理的阶段及流程、建立规范的数据安全管控标准规范等措施，初步形成了数据安全管理体系。国家电网公司印发《国家电网有限公司关于进一步规范数据安全工作的通知》、《国家电网有限公司关于进一步加强数据合规管理的通知》等数据安全相关规定，完成商业秘密、工作秘密和个人隐私数据、敏感事项等数据的梳理，明确数据全生命周期的安全防护要求，并建立内部数据管控制度；强化数据安全技术服务能力统一管理，推进数据安全能力标准化、规范化建设。南方电网公司持续加强数据安全管理工作，构建全业务场景下的数据安全监管体系，完善《南方电网公司数据安全管理办法》、《南方电网公司数据安全运营工作指引》、《数据安全总体要求技术规范》等数据安全管理制度，明确数据安全负责人和管理机构。积极开展数据分类分级管理，并采取不同安全防护策略进行存储、使用、加工、传输、提供、公开等数据流通全过程安全防护。2. 趋势及挑战1.2. 趋势及挑战1.数据安全法规发布与落地实施有差距《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信在此前提下，能源电力企业同时积极响应《工业和信息化领域数据安全管理办法（试行）》、《网探索构建数据安全治理工作机制国家电网公司、南方电网公司等电网企业紧跟国家法律法规要求，深入贯彻国家数据安全相关合理的管理措施和安全防护措施，形成一套科学、规范的数据资产管理与保护机制，在保证数据安全的基础上促进数据的开放共享。国家电网公司结合数据安全法律法规要求，建立健全数据分类分级、数据安全评估、数据安全5项工作机制。制定了适用于公司的数据分类分级原则，明确各类数据相应的类别和等级。制定公司安全防护审查规范，严格执行对安全防护设计、采购的网络定期对数据安全岗位相关人员开展数据安全培训，对全员开展数据安全意识培训，加强员工数据安全意识与能力。数据安全技术防护体系趋于完善针对“发输变配用”等环节的安全防护需求，国家电网公司、南方电网公司等电网企业积极开展数据安全防护技术研究。初步形成了利用基于国产密码算法的身份认证技术、量子密钥分发技术及区块链技术构建新一代电力数据安全防护策略。多方安全计算等技术应用场景，逐步实现数据安全能力模块化、标准化；打通各级数据中心，贯通数据保护环节，形成一体化运作的数据安全防护体系；提升数据安全监测、攻防验证能力，持续完善数据安全技术和工具，实现对数据安全技术和工具的能力验证。南方电网公司基于“中台化”的思路开展安全服务平台及有关数据安全组件建设，通过对外提为数字电网建设提供统一化、标准化的安全能力支撑，保障公司数据安全，有效指导后续其他网络安全服务中台化的工作，为“十四五”安全中台建设提供实践依据。络数据安全管理条例》（征求意见稿）、《网络安全等级保护条例》（征求意见稿）等相关法规、缺乏专门的数据安全配套制度规范指导企业落实法律法规要求。《数据安全法》中明确了要制定数据资源分类分级保护制度、重要数据目录制度、数据安全审查制度、数据交易管理制度、数据出口管制制度等一系列规章制度，但目前还尚未出台，亟需进一步研究制定。《信息安全等级保护管理办法》、《网络安全审查办法》等网络安全相关配套制度中虽然具有对于数据安全保护的相关指导要求，但相对较少也不具针对性，无法指导能源电力企业体系化地构建数据安全治理体系，提升数据安全保障能力。2.2.2.数据安全治理模式体系化运作有困难随着社会经济的不断发展，数据资产在企业或组织中的重要性不断提升。电力行业产生的电力数据存在着数据量大、涉及客户规模大、覆盖面广、动态性强、结构化明显等特点。数据安全关系电网生产、经营管理、客户服务，甚至国家安全及社会稳定，因此构建管理、技术、运营相融合的信息应用交付慢、核心数据防护薄弱等诸多的挑战。在管理层面，随着新能源电力行业的发展以及电力数据中心的建设，跨业务、跨系统的大数据应用需求增加，数据安全问题日益凸显，部分数据责任划分不明确，存在着缺乏溯源机制，缺乏有效的数据共享开放管理等问题。虽然电力企业在网络安全管理上建立了较为完备的网络安全防护体系，但是部分场站存在违规进行远程监控或者是远程运维的情况，面向数据本身的数据安全防护与面向数据载体的网络安全防护体系尚未形成有机融合，缺乏围绕数据生命周期流转过程的整体化防护管理能力。在技防层面，由于电力系统具备复杂性和多样化的特点，电力信息化安全系统的建设没有跟上其发展的脚步，目前电力企业的信息安全风险评估工作缺乏整体规划，不能与企业自身的信息安全系统建设进行有效融合。同时，很多电力企业备份恢复技术差，在出现意外时可能会丢失数据，无法进行数据恢复，从而造成巨大的损失。随着电力企业的不断发展，生产控制系统目前已转变为以工业以太网为控制基础的新型系统，但在实际运行中经常出现冒充、重放、篡改等现象，进而导致控制系统的信息安全受到了很大的破坏，还影响了电力管控系统信息之间的传输和共享。在人员层面，部分员工缺乏相关培训，安全防范意识薄弱。存在“重业务、轻安全”的思想，专业技术能力有所不足，在工作中没有形成定期修改设备密码的习惯，在企业电脑中连接与工作无复杂的系统网络结构使得运行维护所需要的技术资料内容和实际工作中存在不一致的情况，当系统出现异常时，工作人员不能在第一时间定位故障源头，增大了设备的风险控制难度。更有部分人员在商业利益的诱导下在管控系统中植入恶意的代码或是程序，不仅影响电力管控系统的信息安全，对电力系统的整体运行也产生了不利的影响。数据安全泄露事件趋势化上升有挑战数据时代，通过漏洞利用、防护绕过等手段侵入企业或组织的内部网络实现数据窃取或破坏的安全事件仍常有发生，但随着网络安全防护设施的普及和加强，明显增加了侵入内部网络的难度。伴生而来的新的攻击和外部数据安全威胁层出不穷，导致数据的窃取、篡改和非法使用等威胁。数据安全泄露事件逐年上升，对能源行业数据安全带来挑战。524日美国电信巨头Verizon2022年数据泄露调查报告202152582022年第二季度，数据泄露事5212起。其中，82的泄露事件涉及人为因素。而据国网福建省电力有限公司于202256.05万余6341福建电网遭受的网络攻击次数急速增长。221.9万余次，环比107620213月，能源巨头壳牌公司遭遇黑客攻击。攻击者利用了安全厂商Accellion的文件传输程序FTA的零日漏洞，访问了一些个人数据以及属于壳牌利益相关方和子公司的数据。黑客以公开壳牌公司的敏感数据相要挟，要求壳牌公司支付赎金。20214月，新英格兰地区最大的能源供应商Eversource遭遇大量数据泄露，此前客户的个人信息存储在一个不安全的云服务器上，使得用户的姓名、地址、电话号码、地址等个人信息被泄露。该问题主要源于该公司的云数据存储文件夹配置错误，使得任何人都可以访问其10(PII)、国民身份证号、PAN（税号）、工资信息等。此外，泄露数据还包含工程图纸、财务和银行记录以及客户信息。数据安全技术防护场景化衔接有难度数据安全治理的核心在于场景化安全。随着数据要素市场持续健全和深化，数据加工、共享、开放等应用场景不断丰富，数据交易、数据出境等数据运用新模式持续涌现，不同用户基于业务、在保证数据被正常使用的目标下，基于不同的使用场景特点制定相应的数据安全策略，实现场景化的数据安全治理，能及时发现不同场景下的数据风险暴露面，使数据安全治理更具针对性，从而实现数据使用自由而安全。作为我国基础性产业，电力行业场景配网设备数据量大，且种类繁多，随着配网设备逐步向设备生产管理系统中集成，数据规模也正逐步向PB级跨越。电力数据安全防护场景化主要面临着数据既是数据产业自身发展的主观需要，也是国家监管的客观要求。电力数据在其全周期包括发、输、在“数字新基建”加快发展的背景下，电力大数据业务快速发展，电力企业数据开放程度进一大多数电力企业虽在持续加强信息安全建设，但由于自身网络环境复杂、业务流程特殊、系统结构管理等各方面因素的限制，现阶段能源电力数据的应用场景十分有限。同时，电力企业在其企业内部及跨组织、跨区域之间的数据传输日渐增多，因此需要对数据进行脱敏，然而部门企业仍存在着人工脱敏的情况，脱敏规则也不一致，从而导致脱敏后的数据质量差。此外，根据国内风险评价机存在着很多安全漏洞，这些漏洞可能成为外部黑客入侵内网的跳板。电力企业数据安全技术防护场景化任重道远。3.能源电力企业数据安全治理总体思路治理目标以法规监管、业务需求、标准指引为出发点，构建覆盖组织、策略、流程和工具的数据安全治理体系，明确数据全生命周期安全防护和管控要求，制定典型数据处理活动安全防护策略，加强人员配合和人才队伍建设，促进能源企业数据的开发利用，保障业务的持续健康发展，确保数据安全与业务发展的双向促进。总体思路能源电力企业数据安全治理与风险防控工作仍处于起步阶段。应从健全安全管理机制、推进合规机制建设、提升安全技术服务能力及培养数据安全专家人才4个方面入手，开展数据安全治理和风险防控。健全安全管理机制，担起关键信息基础设施和数据安全保护责任推进安全管理制度建设；建立数据外发备案和数据安全应急响应机制，加强数据处理、使用、外发等安全评估，强化评估及责任追究，实现安全管理体系化、规范化和标准化。树立法律红线意识，推进安全合规机制建设深入分析数据安全案例，推进数据安全态势预警与案例分析通报建设；依法依规落实个人信息安全保护要求，合法合规获取、使用个人信息，规范数据采集、处理、交互等环节数据确权机制，实现数据来源合法、处理可控、去向溯源，避免侵犯客户个人隐私或违规获取客户个人信息。提升数据安全技术服务能力，开展标准化统一管理做好数据安全技术的顶层设计，夯实数据安全基础设施建设，提升数据安全防护水平，严防敏多方安全计算等应用场景，基于共享服务化的数据安全合规管控机制，形成一体化运作的数据安全防护体系。加强安全服务能力的开放调用、策略统一管理、风险统一研判，提升数据安全监测、攻防验证能力。培养数据安全人才队伍，筑牢安全防线建设数据安全专家队伍，强化数据安全人员履职能力和职业素养。促进数据安全管理部门与业务部技术创新、产业发展的良好生态。指导原则电力企业在开展数据安全治理工作之前，应首先明确数据安全治理的原则：以合规为驱动，充分了解各项法律法规、行业监管、地方政策，满足合规性要求的同时，兼顾业务实际发展状况，构建电力数据运用的合规管理体系，应当从整个数据生命周期的视角进行，形成符合自身特点和具有操作性的合规指南。以数据为中心，是电力数据安全工作的核心技术思想，是将数据的防窃取、防滥用、防误用作为主线，在数据的全生命周期内各个不同环节所涉及的信息系统、运行环境、业务场景和操作人员等作为围绕数据安全保护的支撑。拥有或使用数据的组织是承担数据安全责任的主体，是数据安全治理的基本单位。以业务为导向，围绕数据运维、业务访问、数据对外等典型业务场景构建数据安全能力，贴近业务层实施数据安全控制机制，形成全场景数据运营安全风险分析及防护体系。整体架构通过对能源电力企业数据安全治理工作进行分析和总结，以识别-保护-管理的数据安全模型为核心，面向各类数据用户和应用场景构建数据安全防护框架。图3-1电力行业数据安全治理顶层设计框架数据安全运营保障：数据安全运营及服务重点依托大数据中心的海量数据资源，利用大数据、人工智能等综合分析功能，提升大数据中心网络安全智能防御能力，同时形成业务风险监测预警、应急响应、安全审计、取证追责、安全评估以及风险管理等核心能力，对内对外提供安全服务。数据安全技术保障：重点开展数据全生命周期安全防护，建立覆盖数据和个人信息全环节的安全防护措施，综合利用数据分类分级、通道安全、数据加密、访问控制、数据防泄露等技术，与现有网络安全技术相结合，有效地提升数据全生命周期安全防护能力。组织与人员保障：依据数据安全法律法规要求，明确数据安全管理机构和数据安全负责人，成立牵头组织统筹开展数据安全治理工作，注重与业务部门协同保障。配备安全部门人员、业务部门安全专员等，依照数据安全管理制度落实管理措施和技术手段，协同开展数据安全保护工作。数据安全制度保障：在遵循《网络安全法》《数据安全法》《个人信息保护法》《密码法》《电子签名法》等法律要求的基础上，完善能源电力企业数据安全管理制度，健全数据分类分级、安全指导各类人员安全有序开展数据业务。能源电力数据安全典型做法构建数据安全防护体系，强化企业数据安全治理为应对能源电力数据面临的新挑战，防范数据泄露、篡改、破坏风险，能源电力企业积极统筹规划数据安全顶层设计，构建覆盖数据全生命周期、依法合规的数据安全防护体系，推进数据安全治理工作。国家电网公司以法规监管、业务需求、标准指引为出发点，统筹规划，以满足国家网络及数据安全法律法规和公司管理制度规范为基准，以保障业务和数据安全为核心，积极探索开展数据安全治理。通过建立权责明晰、分工合理、协同高效的数据安全管理组织体系，落实数据采集、传输、存储、处理、交换、销毁等全生命周期保护措施，规范数据分类分级，确定安全职责和权利，推进安全管理制度建设；建立数据外发备案和数据安全应急响应机制，加强数据处理、使用、外发等安全评估，强化评估及责任追究，实现安全管理体系化、规范化和标准化。通过明确数据安全治理总体战略，分析数据安全存在的风险，开展新型电力系统数据安全防护体系建设，从数据安全管理、技防、运营等方面开展体系设计，明确数据在采集、传输、存用等环节安全防控要点，加强网络与数据安全风险监测预警能力，为新型电力系统建设筑牢安全基石。采用零信任及纵深防御的安全理念，构建没有授权进不去，未经许可拿不走、数据泄密赖不掉的全过程数据安全防护体系的数据安全防护建设目标。构建零信任数据安全访问平台，利用技术手段实现数据访问控制，强化数据访问过程管控。其中包括利用可信应用代理，进行基于用户和终端风险的应用访问控制；利用可信API代理进行基于数据访问风险的接口访问控制，满足数据中台+微应用新形势下的动态可信访问控制要求。南方电网公司以组织业务战略及IT战略为基础，以南方电网数据电网建设方案为指导，以保障南方电网各项业务健康发展为目标，以解决现有及未来潜在数据安全风险为基础，在管理规范、原则明确的基础之上，通过建设数据安全技术防护体系，重点提升南方电网“4321”系统数据安全保护能力水平。从需求管理、执行机制、对象识别及策略设计四个维度出发进行设计，推动基于数据全生命周期的数据安全管控，联动数据安全支撑相关的组件、数据安全运营，构建数据安全防护体以数据安全保障为视角，从数据安全组织保障、数据安全制度保障、数据安全技术保障、数据安全4A统一身份管理平台、如下图：图4-1南方电网数据安全保护体系2. 规范公司数据处理活动，提升数据安全治理水平电力海量数据中不仅包括大量用户隐私信息，还涉及企业经营决策信息，甚至关系国计民生以及国家决策的重要信息。能源电力企业积极开展数据安全治理，通过完善安全管理机制、加强数据完善公司安全管理机制能源电力企业安全运行管理遵循“安全第一、预防为主”的指导思想，明确确保电网安全运行和电力可靠供应是公司履行政治责任、经济责任和社会责任的基本要求，认真贯彻落实党中央及国以设备安全和数据安全为管理主体，构建智能化电网安全运行管理体系，采用智能物联技术和大数据技术搭建电网智能化安全管控平台，持续提升设备状态管控能力和运行维护管理穿透力，不断提高电网安全、质量、效率和优质服务水平。电力企业在进行数据安全管理制度建设时，充分考虑制度的适用性和合理性。遵循企业信息安筑牢数据安全基础。重点重构安全管控流程梳理现有安全运行管理制度和标准，修订人工巡查及数据统计管理部分，新增数据采集、远程控制和智能分析等数字化管理手段，建立基于数据融合的安全运行管理制度，新增数据安全管理标准，从而建立体系严谨规范的安全管理制度标准。重构电网安全管控流程，增加数据监控节点和数据分析环节，业务流程更加精简高效。例如《某电网公司客服服务中心数据导出实施细则》重点提出了客服中心导出敏感数据并提供重点提出了某电网公司在全生命周期过程中应采取的技术措施以及管理办法。《国网营销部关于加强营销专业网络与信息安全管理的工作意见》重点提出了国网营销系统应提供加密、脱敏、访问控制等管控措施以及具体要求。《营销专业客户敏感信息脱敏规范》重点提出了国网营销系统的脱敏要求，以及具体的脱敏方法及规则要求。加强数据分类分级管理电力企业针对电力大数据的不同类别，如营销数据、用电数据、预警数据等按照重要程度分类管理，设置不同的安全风险等级，制订安全防范措施，最大限度降低用户用电信息泄露的隐患。通1-4按照数据敏感性分为公共、企业、个人三类，以数据分级分类结果作为安全防护的依据，梳理数据资产分类依据数据来源、内容和用途，数据资产分级按照数据价值、内容敏感程度、影响和分发范围不同，划分相应数据级别。经过数据分级分类，识别核心数据资产，投入更多资源精细化管理数（部门、系统、管理人员等）进行密级分类，将数据资产分级为公开、内部、敏感、机密等。例如中国南方电网公司重点针对公司数据安全防护工作中的数据分级分类过程，提出相应的分级、分类原则及方法，以帮助公司各级单位进行数据安全的合规分类、自主定级，其结果作为落实数据安全防护的基础依据。基于数据分类分级，规范提出了一、二、三级数据安全保护技术要求，关技术路线推荐，推荐技术路线为各业务场景提供参考。规范企业员工安全意识电力企业紧跟国家法律法规要求，深入贯彻《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等相关法律法规和政策要求，积极组织开展员工安全意识培训，让员工意识到数据的价值，充分认识自己工作中数据安全的重要性。通过加强数据安全法律意识宣贯，在数据业务发展中树立法律法规红线意识；深入分析数据安全案例，推进数据安全态势预警与案例分析通报建设；结合实际周期性地进行安全攻击演练，提高防范效果；依法依规落实个人信息安全保护要求，合法合规获取、使用个人信息，规范数据采集、处理、交互等环节数据确权机制，实现数据来源合法、处理可控、去向溯源，避免侵犯客户个人隐私或违规获取客户个人信息。同时基于数据治理组织构架，在合规或IT部门成立专业化数据安全团队，通过与数据治理组织（众）职责和权限，使数据安全任务有的放矢。灵活设计该组织的结构、规模和形式，协同多方部门积极参与数据安全管理过程。形成网络安全团队，实现网络安全和业务应用深度融合，推动网络安全复合型人才培养。电网企业还积极加强数据安全人才的引进和培养，以数据安全专家为骨干，结合律所合规、产业攻防方面人才，建设数据安全专家队伍，强化数据安全人员履职能力和职业素养。同时促进数据安全管理部门与业务部门融合，协同推进数据安全相关工作，强化数据安全责任落实，培养既懂业务又懂安全的专业人才；加强公司各单位数据安全人才队伍交流合作，建立常态沟通协助机制，形成数据安全专业人才培养、技术创新、产业发展的良好生态。3. 强化数据安全技防体系，提升数据安全保护能力当前，国家在加快建设数字中国和数字政府，发展数字经济，总体来讲是在建设一个数字化、网络化、智能化社会，打造数字化生态，这是一个复杂的系统工程。在这个复杂系统工程中，网络和数据安全极为重要。能源电力企业通过提升网络安全综合防护体系，确保数字电网安全稳定。强化系统平台本体安全能源电力企业遵循企业网络安全合规库和新一代网络安全防护相关技术标准，实现本体安全，实现与网络安全基础平台集成对接，筑牢网络安全基础。从管理制度、业务流程、安全技术、人员管控等多方面增强全域防御、纵深防御网络安全防护体系建设。全域防御管理体系方面，加快落实“同步”相关要求，加快对新型电力系统的技术审查，持续做好网络安全检测；强化网络安全专业运7×24小时值班，落实网络安全异常监测和应急防御技术体系方面，进一步梳理关键系统和设备的关键部件，提升自主可控水平；研究电力专用芯片及智能传感技术，物联感知及通信技术，数字电网平台及人工智能技术，形成“网络安全防护、“保障新型电力系统安全稳定运行。南方电网公司的安全服务平台（数据安全域）承接数据防泄露，数据审计，访问控制等数据安全工具功能，对数据安全组件策略及事件信息统一纳管，支撑数据发现、策略管控等多种数据安全场景落地；建立北向接口标准规范与数据安全管理系统建立接口连接，通过接收数据安全管理系统的业务策略申请，实现安全策略生成及下发，为数据安全管理系统提供安全支撑；建立南向接口标准规范用于注册数据安全相关的组件，可实现策略、事件、日志等内容的互通，为南网打造统一的数据安全防护策略平台，实现安全服务统一管理、防护设施集中管理、安全能力分配、组织管理等全局性、体系化的数据安全防护。201810月，国网辽宁电力建成嵌入式测控终端、移动作业终端、智能表计、可编程逻辑器件等四类终端的安全测评环境，具备终端固件系统及应用安全漏洞、恶意代码与基线配置的安全检测能力，以及专用通信协议安全性测试能力。针对入网的智能终端设备，信息安全实验室严格测试与风险评估，加强智能终端本体安全把关，进而保证电网的运行可靠性。加强数据安全风险管控“业5G等新技术在电网行业中发挥越来越重要的作用。5G、IPv6技术实现新能源及电力电子设备高速、实现可赋能生产管理和生产决策，新技术下的电力监控系统为支撑电网安全稳定运行，推进新能源及系统调节资源的可观、可测、可控能力体系建设提供技术基础。而新技术的网络安全内生隐患，如网络融合、传输安全、漏洞缺陷等，在与新型电力系统融合应用中将带来新的风险，因此需要加强网络安全技术管控。加强信息系统安全风险管控，要“治标”更要“治本”。国网辽宁电力认真落实《中华人民公升信息系统与通信网安全防护能力。2017年，国网辽宁电力的信息安全实验室申请获得了国家认可的信息安全风险评估三级资质，保障风险评估的有效性。在此基础上，2018～2019年，国网辽宁14家地市供电公司重要网络与信息系统开展信息安全风险评估，量化评估系统可能存在的风险，进一步为企业网络信息安全防护能力提供精准数据支持。深入落实安全隐患整改能源电力安全保供是经济社会稳定运行的基础保障，安全是电力平稳保供的重要基础，能源电力企业积极开展深层次风险隐患排查整改，履行好业务范围内的安全管理责任，健全预防机制，做好本专业本领域隐患排查。要做到有效预防信息系统故障，提前发现故障隐患十分重要。国网山东电力建立了横向到边、纵向到底的双维度巡检机制。“横向巡检”对各业务操作系统、中间件和数据库等基础软件开展统一管控监测，并在此基础上开展有针对性的专业技术巡检和性能优化，及时代码渗透测试，从细节上严格把控对外开放接口的安全。2022年，国网山东电力重点加强对重要系统、薄弱环节的运维保障，开展双维度巡检。该公司4000多次，整改隐患100多项，优化数据库备份100多套，重点加强对应急指挥系统等重要系统的保障工作，实现了业务系统安全稳定运行。夯实网络安全通用要求，提升数据安全防护水平随着电力业务不断向数字化、智能化转型，数据交互场景越来越多，电力信息系统也面临更多网络安全方面的挑战。严格落实国家关键信息基础设施保护责任，将网络安全与人身安全、电网安全、设备安全并列为国家电网公司“四大安全”，持续夯实网络安全通用要求，开展网络安全防护标准化顶层设计，形成安全基础能力、安全扩展能力和联防联动能力标准，利用识别、认证、授权、访问控制等安全防护利用安全应急、溯源取证、备份恢复等响应技术，实现各类安全威胁的动态响应处置，构建智能响应防线，保障终端、网络、端口、业务、数据安全。南方电网公司夯实网络安全通用要求，严格按照电力监控系统安全防护规定进行“安全分区、部署了网络数据防泄密系统，确保敏感数据对外不泄露。通过数据库脱敏系统确保数据交换安全。夯实关基网络安全基础电力通信网是现代电力系统的第二张实体物理网，是电力系统的重要基础设施，也是电网安全生产的重要组成部分。因此，夯实关基网络安全基础尤为的重要。2022年，国家电网公司完成了新型电力系统网络安全防护体系设计（征求意见稿），保障新型电力系统数字技术支撑体系安全。实施数据安全专项提升行动，开展“一排查、三提升、一治理”等五个方面重点工作，参照数据安全风4家单位推广应用统一密码服务平台，为能源电商数字化高质量发展保驾护航。与此同时，国家电网公司完成了多家单位网厂信息交互平台互联网大区迁改工作，减少了对外网络暴露面，支撑并网电厂安全接入，调度网厂交互的安全性、可靠性、稳定性进一步提升。推进4G/5G无线网络承载涉控业务测试验证，助力电网信息化、智能化和自动化技术升级。做好国家网络安全保障任务安全是发展的前提，发展是安全的保障。万物互联时代网络空间已经成为大国竞争的重要领域和重要工具，围绕关键信息基础设施安全的网络攻防已成为国家间战略博弈的重要领域和网络空间经过多年发展和努力，我国形成了以《网络安全法》为基础，《国家网络空间安全战略》《网络安人才培养、服务能力等方面重要工作。因此，一方面要高度重视网络安全，坚守底线思维，以安全为前提，强化红线意识，以安全为约束；另一方面要积极参与网络安全，维护网络安全是全社会共同责任，需要政府、企业、社会组织、广大网民共同参与，共筑网络安全防线。国家电网公司完成安全生产专项整治三年行动网络安全专项任务，半年排查风险隐患及相关问100公司调派安全专家赴重点保障单位驻场保障，红蓝队员基于“i国网”开展问题在线研判，阻断国内4000多万次，确保相关重要场馆电力信息系统安全稳定运行。深化全场景网络安全技防应用“等新技术的深度应用，将给电力企业及用电客户带来巨大损失，并有可能对社会稳定造成影响，甚至威胁国家安全。信息系统及企业网络是保障企业运转的关键基础设施。为有效应对多变、复杂的安全攻击威胁，深化全场景网络安全技防应用对新型电力系统至关重要。南方电网公司构建的信息安全运行监测预警系统(IOS系统)，已实现了全网管理信息区IT资源监控全覆盖，并入选国务院国资委中央企业“十三五”网络安全和信息化优秀案例；态势感知平台全防护能力；4A3020万供应商提供了登录认证服务；网络安全靶场被认定为国家级电力行业网络安全靶场，为公司红蓝军对抗提供了实战化练兵场地，全方位服务于国家能源网络安全大局。与此同时，国家电网公司深化全场景网络安全态势感知平台实战应用，将市级供电国家电网公省级电力公司上海、西安三地数据中心数据流量等资源，实现网络安全一体化监测；开展仿真环境网络安全防护“零关停100多套对外业务应用，“一标准+精准定制”转变，为国家电网公司数据共享提供安全保障；自主研发了软件供应链安全检测平台，对国家电网公司部分系统进行了检测，系统的平均代码原创率为37%，高于国内软件行业平均水平。提升网络安全攻防能力通过加强网络安全领域顶层设计，解决网络安全领域突出问题，夯实网络安全工作基础，我国网络电力系统已成为“网络战”的重要目标。电力系统网络安全风险可能引发电网大面积停电、发电机组停机及客户信息泄漏等风险。20151223号，乌克兰电网就曾因黑客攻击造成大停电。因此对我国而言，提升网络攻防能力有为的重要，并以此来夯实网络安全通用要求，提升数据安全防护水平。实现问题隐患动态清零。全面探索挂图作战研究与应用，发布多项网络安全风险预警，组织开展历史漏洞闭环整改复测，有效防范风险隐患。网络安全对抗的实质是人与人的对抗，国家电网公司聚集网络精英人才，强化网络安全人员队伍建设。20223月，国家电网公司印发关于加强数字化人才队伍建设的意见，部署推进公司数字化人才队伍建设。组织公司首席专家签订任务书，组建公司5“络安全在身边”在线讲座、网络安全知识全员答题等活动。完善数据安全运营机制，确保数据合理合规使用数据作为国网数字化转型的核心资源，只有在流动中方能发挥更高的价值和作用；正如同流淌于国网庞大身躯中的血液，通畅的血液循环是躯体保持活力的关键。因此，在保障国网数据安全的前提下进行开放、共享，对于数字化转型建设工作至关重要。构建数据安全运营工作机制南方电网初步建立数据安全监测告警、应急处置、风险评估等数据安全运营机制，依托数据安全能力管控服务平台，可视化展示敏感资产概览、数据库