刘圣龙：兼顾电力大数据安全与发展

来源： 时间：2021-05-25 16:22

兼顾电力大数据安全与发展

——访国家电网有限公司大数据中心安全质量与合规部大数据安全处副处长刘圣龙

邓恢平

　　随着数字经济蓬勃发展，电力大数据应用日益活跃。近日，国家电网有限公司大数据中心安全质量与合规部大数据安全处副处长刘圣龙就国家不断加强个人信息保护和数据安全保护背景下如何做好电力大数据安全保护等问题接受《中国电力报》记者采访。

　　中国电力报：电力大数据主要包含哪些方面的数据？保障电力大数据安全有何重要意义？

　　刘圣龙：电力大数据包括营销、电网、物资、财务等数据，呈现数据量多、用户规模大、覆盖面广等特点。一旦数据被篡改、泄露或攻击，将会对电网生产、经营管理、用户服务，甚至国家安全及社会稳定造成极大的影响。

　　乌克兰国家电力系统被黑客攻击事件充分表明，通过网络攻击导致国家大规模断电成为可能。5月8日，美国最大天然气和柴油运输管道公司遭黑客攻击，甚至严峻到美国当局直接宣布进入国家紧急状态。由此可见，能源行业及电网企业网络和数据安全防护工作任重道远。

　　中国电力报：近年来，国网大数据中心在保护电力大数据安全方面开展了哪些工作？

　　刘圣龙：国网大数据中心从制度建设、保障能力提升和个人信息保护三个方面开展工作，保护电力大数据安全。

　　目前中心初步建立了数据安全保护机制，严格遵守《国家电网有限公司关于进一步规范数据安全工作的通知》等数据安全应用相关规定；完成不同安全级别数据的梳理，明确数据全生命周期的安全防护要求，并建立内部数据管控制度。编制数据中台安全防护方案，配置数据分级、敏感数据识别、脱敏等安全规则；对重要数据加密传输、加密存储，在数据使用环节遵循最小授权原则，结合业务场景采用脱敏、水印等手段实现差异化保护。明确个人数据接入使用合规要求、个人信息数据收集原则，对用户敏感信息进行脱敏处理，健全个人信息保护机制。

　　中国电力报：目前，电力大数据安全保护还存在哪些难点？该如何解决？

　　刘圣龙：难点主要体现为三方面：一是数据安全合规风险加大。我国数据安全法律法规要求不断完善，持续加大了对数据和个人信息安全的监管和处罚力度。数据安全合规工作需根据国家要求持续完善，避免滞后于国家政策要求，造成数据业务发展的法律风险。

　　二是数据安全管理机制不健全，人员数据安全保护意识薄弱。企业数据海量集中存储处理的方式，扩大了数据泄露暴露面，加大了数据外泄防控难度和数据安全管理要求。且数据业务开展过程中，“重业务、轻安全”思想普遍存在，人员数据安全保护意识薄弱，数据安全防护不到位，导致大规模数据泄露事件发生。

　　三是新技术应用使数据泄漏风险增加。数据挖掘、机器学习、人工智能等技术的发展使得大数据分析能力进一步提升，从碎片化、非敏感的数据中可以提取出敏感信息，海量数据的聚合甚至可以分析出涉及企业核心利益以及国家安全的信息。

　　面对上述问题，建议应健全安全管理机制。坚持“安全分区、分类分级、依法合规”的防护原则，以法规监管、业务需求、标准指引为出发点，统筹规划，构建覆盖组织、策略、流程和工具的安全管理体系，既防内又防外，对关键信息基础设施实施重点保护。

　　树立起法律红线的意识，推进安全合规机制建设。紧跟国家法律法规要求，深入贯彻《网络安全法》《数据安全法（草案）》《个人信息保护法（草案）》等法律法规要点，加强数据安全法律意识宣贯，培养法律法规红线意识。

　　建立数据安全技术服务能力，推进标准化统一管理。加快数据脱敏、水印溯源、态势感知等技术的应用，探索匿名化、多方安全计算等技术应用场景，逐步实现数据安全能力模块化、标准化；打通各级数据中心，贯通数据保护环节，形成一体化运作的数据安全防护体系；提升数据安全监测、攻防验证能力，持续完善数据安全技术和工具，实现对数据安全技术和工具的能力验证。

　　中国电力报：您认为应如何把握好电力大数据利用与保护的平衡？

　　刘圣龙：电力大数据利用是能源电力企业服务数字中国建设、推动数字经济发展的担当之举，是应对外部环境不确定性、推动提质增效的必由之路，是拓展新兴业务、打造增长新动能、培育可持续竞争力的迫切需要。

　　数据在利用过程中必然存在数据泄露风险，在《数据安全法（草案）》、《个人信息保护法（草案）》等国家法律法规明确要求下，对数据尤其是个人信息的保护万不可松懈。但是过于严苛的保护手段又会给数据的利用造成一定的障碍，导致电力大数据在业务创新应用过程中面临“不敢做”的境地。

　　所以，电力大数据的利用首先应在确保数据使用合规的前提下进行，其次应加强对机器学习、人工智能等数据开发过程中的数据安全保护技术的研究，提高数据安全保护能力，探索联邦学习、安全多方计算等安全技术在数据开放共享中的应用。

　　中国电力报：电力大数据业务的开展，会给电力网络安全保障带来哪些挑战？

　　刘圣龙：一是电力大数据业务的开展需要将海量数据集中存储分析，获得海量数据拥有更丰厚的获利，企业被黑客攻击的概率提高。二是电力大数据业务数据链条长、数据暴露面广，为黑客提供了更多攻击的机会。三是电力大数据业务开展需使用机器学习、人工智能等技术，该类技术存在的安全漏洞还在探索，安全防范策略还不成熟。

　　中国电力报：近几年频繁有泄露用户隐私信息事件发生，引发公众对信息过度采集的广泛担忧，您认为未来电力企业该如何避免这一问题发生，又该如何取得公众信任？

　　刘圣龙：电力大数据企业应采用信息最小化收集原则，不过度采集用户信息；信息收集时明确告知用户数据使用目的和范围。

　　另外，还应提高电力企业数据安全保护能力，做到不发生数据泄露事件；向用户加强数据安全保护工作的宣传，让用户了解我们对于数据安全保护的重视；提高用户对自身数据使用的参与度，用户信息的使用提前征求用户同意。

责任编辑：刘卓　 　 投稿邮箱：网上投稿