基于安全標簽的自動分級數據安全防護方案

劉冬蘭，張 昊，張方哲，王 睿，王小亮

（1.國網山東省電力公司電力科學研究院，山東 濟南 250003；2.國網山東省電力公司濰坊供電公司，山東 濰坊 261000）

0 引言

隨著企業信息化的飛速發展，如今數據成為企業非常重要的資產，保護好企業的數據資產成為非常重要的一項工作。電力行業是國民經濟的基礎產業，是國民經濟發展和人民生活極其重要的基礎設施之一［1-3］。在實際生產應用場景中，數據面臨著眾多安全風險，數據泄露事件逐漸增多。僅以2020 年為例，1月電信超2億條用戶信息被賣、3月5.38億新浪微博用戶數據出現在暗網，5 月建設銀行泄露5 萬條客戶信息，11 月圓通速遞泄露40 萬條公民信息，根據IBM 公布的《2020 年數據泄露成本報告》，企業平均以386萬美元為數據泄露買單。諸如此類數據安全事件層出不窮，不難看出數據安全形勢依然嚴峻，數據價值越高，受到的安全威脅越大，因此世界各國都在加強網絡及數據安全合規監管，處罰力度也越來越大，歐盟的《通用數據保護條例》處罰額度更是可達企業全球營業額的4%，網絡安全法及其司法解釋從法律上明確了數據安全法律依據和后果，數據安全法和個人信息保護法也均已形成草案。

經過多年的信息化建設，國家電網有限公司信息系統已全面覆蓋電網建設、電網檢修運行、營銷服務、安全生產等業務領域，有力支撐著公司的核心業務，但仍存在一些突出問題。其一，在能源互聯網建設發展過程中，各業務系統數據逐漸向數據中臺轉移，數據中心模式下海量數據的集中存儲帶來的數據泄露風險隨之加大，在缺乏有效數據安全管理工具的背景下，數據存儲、傳輸、共享等各個環節都面臨安全威脅，特別是新技術帶來的風險尚不明確［4-6］。其二，網絡安全形勢嚴峻，信息系統不斷出現了很多新型的oday 漏洞，挖掘分析過程中很容易造成隱私數據泄露，各業務系統面臨的安全威脅也不斷增多［7-10］。其三，業務系統數據未按照分類分級標準實施，缺乏針對電網的數據全生命周期差異化防護。因此，數據如何實現自動分級安全防護顯得相當重要。

提出一種基于安全標簽的自動分級數據安全防護方案。以數據為安全防護目標，依據國家電網公司數據安全分級保護要求，通過分級標簽的形式對資產進行標識，制定電力數據“完全公開、內部公開、受限訪問”三級管控原則，制定能源大數據分級模型，明確數據風險控制點和安全控制措施。圍繞數據采集、傳輸、存儲、處理、交換、銷毀等全生命周期，根據數據的重要性制定細粒度、差異化的安全防護策略，并在國網山東省電力公司濰坊壽光能源大數據中心進行試點應用。通過設計實現數據安全智能管控平臺和大數據安全防護系統，進行自動數據資產發現、數據分級管理和數據資產可視化，通過代理模式實現非介入式數據安全管控，對信息系統、設備和用戶的數據訪問進行身份鑒別、訪問控制和脫敏脫密處理，實現數據全過程安全防護。

1 安全防護相關工作

隨著公司各專業對數據共享應用需求不斷增長，數據的應用范圍和使用人員越來越多，面臨的數據安全風險隨之增長，數據安全防護措施的不健全、不完備逐漸成為制約數據共享、數據應用的短板。同時，國家近期出臺多項數據安全的管理規定和技術標準，有必要進一步加強數據安全，促進數據開放共享、數據價值變現。為完善公司數據安全防護體系，國網山東省電力公司從2019 年開始研究數據安全分級防護機制，牽頭編制國網公司技術標準《電力物聯網數據安全分級保護要求》，編制《數據安全管理辦法》、《數據安全分類分級保護指南》等規范。2020年國網山東省電力公司著手建設數據安全防護技術體系，加強數據分級管理，細化訪問控制以及數據脫敏脫密等防護措施，在濰坊壽光能源大數據中心試點應用大數據安全防護平臺，實現對能源大數據采集、存儲、傳輸等全過程安全防護。

目前，業界的數據安全防護相關技術主要包括數據安全風險分析、數據脫敏技術及數據防泄露技術等［11-12］，國內外網絡安全防護及數據防泄露技術已有一定的發展［13-23］。陳馳等人［13］通過將加解密、防泄漏等不同安全工具集成聯動，實現了對數據安全管控。趙勇等人［14］設計了一種信息泄露防御模型，通過構建虛擬涉密網絡實現了內網敏感數據泄露。另外，很多行業結合企業數據安全防護需求，對數據安全防護體系開展了大量的研究［15-23］。綜合國網山東省電力公司數據安全防護研究現狀來看，在數據資產保護方面還存在以下問題。

在數據管理方面，缺乏適用于能源大數據的數據分級管理機制。國家電網有限公司制定了電力數據負面清單，明確了電網數據的共享分級原則。但是，能源大數據接入了大量政府數據、其他能源單位數據，無法照搬該標準進行分類分級，亟須參考電網數據分級原則，制定能源大數據的共享負面清單，明確安全防護策略。

在數據保護方面，一是缺乏統一的身份鑒別機制。能源大數據中心的數據來自多個源頭，開放對象有多種主體，包括政府、企事業單位甚至個人等。需要建立統一的身份鑒別機制，對數據交換的不同系統、服務、設備等進行統一的認證和數據授權。二是缺乏細粒度訪問控制。目前大數據平臺安全訪問控制主要分為網絡層和應用層，網絡層基于防火墻控制，應用層基于數據庫賬號控制，多個系統或者工具可能使用相同的賬號訪問數據庫，缺少端到端的細粒度訪問控制。三是缺少脫敏脫密防護措施。數據共享交換和使用過程的脫敏脫密需要人工介入，缺少公用的動態脫敏脫密措施，靜態脫敏脫密措施不足以支持數據在線傳輸保密需求，加大了挖掘分析中隱私數據泄露風險。

在安全審計溯源方面，一是缺乏細粒度審計。數據交互審計依賴各系統的業務日志和數據庫日志，缺少統一的管控系統記錄數據存儲、傳輸、使用等全過程日志，無法進行細粒度的關聯分析和安全審計，不利于及時發現數據安全風險。二是無法對數據溯源。缺少統一的管控系統記錄數據存儲、傳輸、使用等全過程日志，無法完整追蹤數據流轉的各環節和責任人，無法支持數據安全事件的追蹤溯源和隱患排查。

2 基于安全標簽的自動分級數據安全防護方案

2.1 大數據安全防護系統設計

大數據安全防護系統實現對企業數據進行有效安全防護，實現企業敏感數據的加密、脫敏保護、行為審計、風險預警等能力。大數據安全防護系統部署于數據庫與應用系統之間，在系統防護層面可實現數據脫敏、數據防泄露、訪問控制、數據加密等保護措施，可通過查詢數據的分類分級標簽，并在表或字段上設定數據分級安全策略，進一步實現按數據分級保護。

大數據安全防護系統包括適配層、防護層、管理層，總體架構如圖1所示，部署架構如圖2所示。

圖1 大數據安全防護系統功能架構

圖2 大數據安全防護系統部署架構

適配層為大數據安全防護系統提供接入接口，支持HIVE、HDFS等典型Hadoop組件。

防護層是大數據安全防護平臺的核心，實現對數據進行加密、脫敏、防泄露、審計等功能，實現對企業數據的安全防護。

2.2 數據安全智能管控平臺設計

數據安全智能管控平臺通過對敏感數據進行分類分級管控，有效監控敏感數據的流向。

數據安全智能管控平臺包括數據采集層（數據管控層）、存儲處理層、數據分析層、數據安全應用層，總體架構如圖3所示。

圖3 數據安全智能管理平臺總體架構

數據采集層是提供數據安全智能管控平臺的數據源，包括數據資產發現、數據風險監測、數據流量審計、第三方導入等功能。

存儲處理層實現對采集層采集到的數據進行存儲及預處理，包括對數據進行標準化處理，對重復數據進行去重，對確實數據進行補全等操作，為數據挖掘分析提供標準化的數據，從而為數據安全智能管控平臺提供數據支撐。

數據分析層實現對數據全生命周期使用過程提供全面的數據支撐，包括數據安全事件分析、數據風險分析、用戶行為分析等功能，可實時監控數據的流轉過程，實現數據的全方位鏈路追蹤。

數據安全應用是企業對數據的上層業務應用，包括數據資產態勢、數據風險態勢、數據安全管控、數據安全運營等功能。

2.3 數據分級方法及數據保護策略制定

在制定基于標簽的分級策略前，需要定義實體標簽，包括用戶標簽、數據標簽、賬號標簽、應用標簽、設施標簽等。標簽又可以包括多個屬性字段，例如，用戶標簽又可以包括用戶ID、工號、姓名、性別、郵箱、部門、職位等信息；數據標簽可包括數據ID、數據名、數據大小、數據所有者、數據使用者、數據類型、數據密級、保密期限等。

基于安全標簽的自動分級數據安全防護技術方案中，數據分級是很重要的首要基礎步驟。首先通過梳理數據資產，摸清數據家底，明確存在的數據安全風險；然后結合電力數據分級規范以及數據共享負面清單，明確能源大數據中心數據安全分級（完全公開、內部公開、受限訪問3 級），其中完全公開是指對內對外都可以公開是數據，內部公開是指對公司內部可以公開但是不能對外部公開，受限訪問是指對內對外都不能公開需要申請才能訪問的數據，圖4是基于標簽的數據安全分級示例。隨后，根據每一級別數據的安全防護需求，制定相應的加密、脫敏、訪問控制等安全防護策略；最后通過利用數據安全分級標簽，落地數據全過程安全防護策略，實現對能源大數據中心數據的差異化安全防護。圖5 是根據數據安全三級標簽制定的數據保護策略，針對不同的數據級別，從數據加密、脫敏、防泄露、標識標簽、備份容災、鑒別授權、記錄審計方面制定了相應的數據保護策略。

圖4 數據安全分級示例

圖5 數據保護策略制定方法

2.4 基于標簽技術的數據安全防護

2.4.1 基于數據標簽的授權控制過程

基于數據標簽的授權控制過程如圖6 所示，基于安全元數據信息，通過數據標簽技術將數據與其分類、密級、共享范圍等安全控制信息相結合。在數據的共享、發布、使用過程中，可基于標簽屬性進行細粒度的授權、控制，較傳統的基于網絡通信協議、接口及應用協議的方式能達到更符合數據中臺需求的控制效果。

圖6 基于數據標簽技術的數據授權控制過程

2.4.2 基于數據安全標簽的統一安全策略流程

基于數據安全標簽的統一安全策略流程如圖7所示，基于數據分類分級定義數據全生命周期的數據安全策略，實現特定類型、級別的數據只能被特定級別范圍的組織（人員）、應用使用，只能在特定級別范圍的設備上存儲或流轉。

圖7 基于數據安全標簽的統一安全策略流程

通過以成熟的標簽技術為基礎，對業務系統中的數據進行標簽的生成及識別，以驗證數據標簽技術的應用可行性。

2.4.3 基于安全標簽的自動分級數據安全防護架構設計

由于傳統典型業務系統面臨的風險主要包括未進行數據分類分級不滿足合規性要求，缺乏細粒度的訪問控制及全流程審計、數據溯源困難等。提出的基于安全標簽的自動分級數據安全防護架構中，在傳統業務應用服務器和數據平臺之間增加部署了大數據安全防護系統及數據安全智能管控平臺。系統采用的物理部署如圖8所示。

圖8 物理部署

基于安全標簽的自動分級數據安全防護架構如圖9 所示。數據安全智能管控平臺通過下發標簽策略至大數據安全防護系統，大數據安全防護系統通過掃描進行數據發現，并根據定義好的分級要求自動化為數據打上安全分級標簽；對訪問能源大數據的用戶、應用提供統一賬戶管理、統一訪問授權。針對系統中的敏感數據，大數據安全防護系統可對敏感數據進行加解密及脫敏防護，當敏感數據流出系統時，會自動對非法行為進行檢測并阻止，防止重要數據信息泄露，實現了基于數據安全標準的分級數據防護。

圖9 基于安全標簽的自動分級數據安全防護架構圖

3 實驗及具體應用

考慮到電網數據應用的豐富性，深入研究了基于安全標簽的自動數據分級數據安全防護技術，并將其技術應用到國網山東省電力公司濰坊壽光能源大數據中心進行數據安全防護試點驗證。通過從數據訪問控制、數據脫敏、數據加密等方面對能源大數據中心的業務系統數據進行了數據安全防護驗證，實現數據全過程全方位的安全防護。

3.1 壽光能源大數據中心數據安全防護平臺總體部署架構

在國網山東省電力公司濰坊壽光能源大數據中心進行數據安全分級防護驗證實驗中，通過在能源大數據中心Hive 數據分級和管控功能展示基礎上，將針對壽光的全量MySQL/Hive 數據進行分級梳理，引入數據指紋識別，并收集相應數據，達到全面的方案化落地。數據安全防護平臺總體部署架構如圖10所示。

圖10 數據安全防護平臺總體部署架構

實驗通過針對濰坊壽光能源大數據中心各級數據制定加密、數據脫敏、追蹤溯源、防泄露等安全策略，在壽光能源大數據中心開展數據安全分級防護落地應用，實現對外部能源數據、本地數字產品結果數據和電網數據的全面安全防護，確保在數據分析、共享交換時嚴格落實數據分級保護要求，數據安全可控、能控和在控。

3.2 數據訪問控制驗證情況

大數據安全防護系統對傳統數據庫和大數據平臺組件的訪問行為，主要從賬號管理、認證管理、授權管理、日志審計4 個維度進行相應的訪問控制。通過在安全管控平臺中對賬號、授權關系和審計日志等進行集中管理，采用Kerberos 認證方式，大數據安全防護系統負責進行賬號創建，同步至Kerberos 認證服務器用于進行訪問認證。

系統能夠實現數據訪問的單點認證服務，用戶通過業務系統、管理人員對大數據系統的所有操作均由大數據安全防護系統轉發給實際大數據系統。通過定義數據標簽制定分級策略，設定訪問控制分級策略。大數據安全防護系統結合數據訪問策略對用戶的請求進行分析，并選擇放行、阻斷、審計等操作。實驗中，圖11 展示的是合法授權用戶可以正常訪問明文數據，圖12 展示的是平臺執行訪問控制策略后，未授權用戶不允許訪問“受限訪問和內部公開數據”級別數據。

圖11 合法用戶正常訪問受限數據

圖12 非法用戶無法訪問受限數據

3.3 數據脫敏實驗驗證情況

能源大數據中心主要業務是通過對大量數據進行挖掘、分析之后形成有價值的、敏感度較高的數據，再通過協議或接口提供給其他組件、用戶、應用調用。從敏感數據安全保護的視角分析，首先對敏感數據訪問進行用戶鑒權才能提供訪問，另外還需對敏感數據進行細粒度脫敏，最小粒度應為字段級別。從而可保證用戶按需、按權限訪問到特定數據。

大數據安全防護系統具有動態和靜態脫敏兩種方式。動態脫敏功能根據不太的訪問用戶及權限，在線返回不同的數據。動態脫敏功能通過系統設定的負面清單自動發現需要脫敏的數據。針對不同來源的敏感數據可采用不同的訪問策略，利用系統設定的脫敏算法和脫敏規則，可靈活實現差異化的脫敏。圖13 展示的是數據脫敏之前授權用戶可以查看原始內容，均是真實數據。圖14 展示的是執行脫敏策略后，顯示的都是仿真數據。

圖13 脫敏前數據

圖14 脫敏后數據

3.4 數據加解密驗證情況

能源大數據中心接入多個外部單位數據，針對敏感數據或者根據數據所屬單位要求進行加密存儲，保證數據被安全存儲，只有合法用戶才能訪問到明文數據。大數據安全防護平臺具備數據透明加密功能，通過利用SM4等國密算法，對各種非結構化和結構化的數據進行加解密。圖15 展示的是加密前數據都是明文數據；圖16 展示的是制定數據分級加解密策略后，數據顯示了一串加密字符。

圖15 加密前數據

圖16 加密后數據

4 結語

針對電網企業數據安全防護問題，基于數據安全標簽設計并實現了一套數據安全自動分級防護工具，包括數據安全智能管控平臺和大數據防護系統兩個子系統。該工具具備數據資產視圖、自動數據資產發現、數據分級分類管理、數據標簽管理等多種功能，提供自動化的分類分級服務，實現了對電網企業數據進行自動打標簽及分類分級安全管理。目前，基于安全標簽的自動分級數據安全防護平臺已經國網山東省電力公司濰坊壽光供電公司能源大數據中心實施運行，取得了良好的應用效果。平臺實現了對濰坊壽光能源大數據中心導出的各類測試業務數據進行自動分級和標注，通過人工對300 多張表中的14張表進行核對抽查，分級標注準確率達到90%，再調整系統匹配參數后，準確率達到100%。在安全可控的情況下，實現各應用系統數據在數據中心內部與外部的安全流轉和共享，實現數據全生命周期的可信、可管、可控、可追溯的目標。