论文部分内容阅读
摘要:当前,越来越多的智能电网业务系统中广泛采用移动智能终端进行数据通信和交换,如何保证移动智能终端中的机密数据在产生、傳输、存储和销毁的全生命周期中不会遭到泄露,已成为国家电网公司信息化建设过程中的迫切需求和需要思考的问题。与此同时,电网信息化建设中涉及越来越多的非结构化数据,贯穿于发、输、变、配、用及调度所有环节,几乎存在于电网所有信息化业务应用中。因此,非结构化数据内容的可控、可审和无泄漏对电网信息化建设至关重要。由于防范措施不够全面,目前敏感非结构化数据在存储、传输和使用过程中还存在大量的泄漏风险,因此,迫切需要加强对非结构化数据的防泄漏保护。
关键词:电网信息化建设;数据防泄漏技术;应用规划
中图分类号:TM76文献标识码:A
1数据防泄漏技术概念和分类
数据泄密防护(Data Leak Prevention,DLP)是通过一定的技术手段和保障措施,防止企业的指定数据或信息资产以违反安全策略规定的形式流出企业的一种策略。DLP技术不仅可以保证在网络中传输的各类敏感数据不被泄露,而且还保护存储和使用中的各类敏感数据的安全。它是版权管理的一种变体,且常被企业用来进行更大范围的数据防护。版权管理倾向于将一些文档和文件类型进行打包,以便对其进行保护;而DLP更注重对企业的网关进行保护和监控。数据防泄漏本身并非新兴概念,面向数据的安全防护技术在多年前就已成为信息安全领域所关注的重要课题。为了保证数据的保密性、完整性和可用性,信息安全学术界和产业界提出诸多的技术方案和解决思路,从不同的角度来解决敏感数据防泄漏问题。目前在数据防泄漏领域中,使用较为广泛的主流技术以控制类、加密类、过滤类、虚拟类及标记类为主要代表。
2主要泄密行为
2.1无意泄密
如不知道磁盘或移动硬盘上剩磁是可以还原并提取的,将以往存储过机密信息的磁盘流出或报废前不作任何技术处理,因而造成泄密。不知道连接互联网的计算机,极易造成本地磁盘数据和文件被黑客窃取,网络管理者并没有高安全意识。违反规定把用于处理秘密信息的计算机,同时作为上INTERNET的机器。使用INTERNET传递国家秘密信息等。
2.2故意泄密
情报机构通常会采用金钱、社情等手段引诱和收买内部人员,窃取内部秘密信息并传递出去。特别是对于容易接触机密数据的程序员、系统管理员,一旦被策反,就可以很容易得到计算机系统软件保密措施,获得使用计算机的口令或密钥,从而打入计算机网络,窃取信息系统、数据库内的重要秘密;操作员被收买,就可以把计算机保密系统的文件、资料向外提供。维修人员被威胁引诱,就可利用维修计算机或接近计算机终端的机会,更改程序,装置窃听器、后门、木马等。
3发展电网信息化建设数据防泄漏工程的重要意义
电网信息库的数据出现了泄露情况会给电力公司造成很大的经济损失,同时公司的名誉也会受到影响。所以,在创建电网信息化期间,一定要做好对相关公司信息数据库的保护工作。如果具有了完善的数据信息防泄露模式,相关工作者一旦发生工作上的失误,电力信息的警报系统就会马上报警,避免了严重问题的发生。在电力系统里,计算机不但能够起到辅助效果,而且还可以与自动化技术进行完美融合。在电力系统中运用数字电路以后,电力自动化系统能够得到有效监控。如果采用远程监控的形式,相关工作者要掌握好网络流量的具体情况,网络流量如果存在瞬时峰值,则一定要予以重视。在建设电网信息化期间,创建一个完善的电网信息防泄漏方式,对数据泄露的程度进行有效评估,能够在泄露情况出现之后,及时找到解决措施,从而把信息泄露所造成的损失降到最低。
4电网数据防泄漏体系框架
整个数据防泄漏的体系结构主要分为访问层、防护层和对象层,对象层包含了可以存放各类智能电网和SG-ERP业务系统相关敏感数据的终端设备、文件服务器和数据库等;防护层根据所采用的不同技术包括了文件过滤驱动防护、标记和策略防护和虚拟化防护技术。
1)文件过滤驱动防护通过在文件系统中增加文件过滤驱动,配合访问控制和安全策略对敏感数据进行保护。文件过滤驱动主要实现对文件操作的实时监控,拦截对文件操作的请求消息,使消息在到达文件系统驱动层之前能够被提前处理,从而阻断对敏感数据文件的操作行为。2)使用标记和策略技术的数据防泄漏防护技术采用对敏感数据标记的方式,不同的标记配合不同的数据防泄漏策略,通过制定全面灵活的标记和策略来对敏感数据进行防护。3)采用虚拟化技术在终端上虚拟多个逻辑隔离的软件运行环境,从而在操作系统原有的内核态与应用态软件进程之间形成一个虚拟层,可有效地实现数据的隔离,以达到防止数据泄漏的目的。数据防泄漏方案在设计时需要综合使用文件过滤驱动、标记和策略、虚拟化3种技术。其中文件过滤驱动通过文件操作过程的控制和文件本身的透明加解密实现文件传输的泄露保护;标记和策略通过使用标记来对敏感数据文件进行标识,并配合相应的防泄漏策略来实行敏感数据防泄漏;虚拟化则是通过操作系统虚拟化技术,在单台主机上使用安全工作环境来有效防范用户的主动泄密行为。
5电网数据防泄漏方案的选择
当前,信息安全领域也提出了很多能够从不同的角度进行安全防护的方案,在这众多的备选方案当中使用最为广泛的安全方案包括:透明加密的防漏方式、控制的数据防泄漏、通过过滤关键字进行的数据安全检测、对数据进行标记的防泄漏等等防泄漏手段。在这些手段当中,控制数据防泄漏方式所使用的端口技术,要依靠端口控制技术以及对协议进行控制和应用控制技术。通过过滤关键词进行的数据防护,主要通过对中文传输方式进行监测,提取出传输数据当中的敏感词汇,之后对这些敏感词汇进行阻隔处理,从而防止网络出现泄密情况时,这些比较敏感的词汇也会被人盗取。配合策略通过监测管理以及数据传输时的敏感数据进行安全防护;利用虚拟化防护手段进行安全防护的硬件或者软件操作,能够在虚拟层面进行安全防护工作的有效开展,从而更好的对数据进行安全防护。
通过全面化的了解,能够对电网信息建设工作当中的各种数据问题进行有效的监测和检查,其具体步骤如下:
(1)明确电网信息化建设过程中所需要进行防护的重点目标,从而对其中所包含的重点数据进行有效的辨别和保护,从而形成具有系统性特征的保护模式。之后开始实施各种保护措施。(2)确定电网信息系统当中所包含的数据种类,这对于整体的系统建设十分重要。(3)将业务数据进行分类,以其结果做为基础,分类访问权,并将访问权利用矩阵的形式进行有效排列。第四,对电网当中的业务数据进行分类之后,要对其结果进行进一步的分析和研究。第五,对电网的业务输出形式进行有效分析,从而利用有效管理方法,更好的提高输出效果。
在上述工作全部完成之后,要对数据防泄漏方案进行有效的分析,并加以解决。当前市场上非常有效的,能够提供安全防护的方案主要包含:对数据内容进行深度分析、将可能造成数据泄露的途径进行全部覆盖,电网企业在进行方案选择时,必须要根据自身实际情况进行有效辨别,从而选择出更加适合自己的方案。
结语
电网信息库的数据泄露会给电力公司造成很大的经济损失,同时公司的名誉也会受到影响,而想要做好数据防泄漏工作,一定要深化电力企业的数据资评估、创建完善的预警监测机制,同时还要做好指标管理和线损统计分析。因此在今后的工作中,相关工作者一定要通过认真研究,进一步完善数据防泄漏技术,加快电网信息化建设。
参考文献
[1]刘玉婷,路劲,莹璐,吴晟,黄家强.电网业务数据防泄漏平台建设[J].机电信息,2015(15):14-15+17.
[2]刘玉婷,周靖,苏永东,徐浩平.基于业务流程数据敏感级别的电网企业数据安全研究[J].机电工程技术,2015,44(05):48-51.
[3]陈红.技术和管理双重防御的电网敏感数据全面防御体系研究[J].电力信息与通信技术,2016,14(09):42-45.
关键词:电网信息化建设;数据防泄漏技术;应用规划
中图分类号:TM76文献标识码:A
1数据防泄漏技术概念和分类
数据泄密防护(Data Leak Prevention,DLP)是通过一定的技术手段和保障措施,防止企业的指定数据或信息资产以违反安全策略规定的形式流出企业的一种策略。DLP技术不仅可以保证在网络中传输的各类敏感数据不被泄露,而且还保护存储和使用中的各类敏感数据的安全。它是版权管理的一种变体,且常被企业用来进行更大范围的数据防护。版权管理倾向于将一些文档和文件类型进行打包,以便对其进行保护;而DLP更注重对企业的网关进行保护和监控。数据防泄漏本身并非新兴概念,面向数据的安全防护技术在多年前就已成为信息安全领域所关注的重要课题。为了保证数据的保密性、完整性和可用性,信息安全学术界和产业界提出诸多的技术方案和解决思路,从不同的角度来解决敏感数据防泄漏问题。目前在数据防泄漏领域中,使用较为广泛的主流技术以控制类、加密类、过滤类、虚拟类及标记类为主要代表。
2主要泄密行为
2.1无意泄密
如不知道磁盘或移动硬盘上剩磁是可以还原并提取的,将以往存储过机密信息的磁盘流出或报废前不作任何技术处理,因而造成泄密。不知道连接互联网的计算机,极易造成本地磁盘数据和文件被黑客窃取,网络管理者并没有高安全意识。违反规定把用于处理秘密信息的计算机,同时作为上INTERNET的机器。使用INTERNET传递国家秘密信息等。
2.2故意泄密
情报机构通常会采用金钱、社情等手段引诱和收买内部人员,窃取内部秘密信息并传递出去。特别是对于容易接触机密数据的程序员、系统管理员,一旦被策反,就可以很容易得到计算机系统软件保密措施,获得使用计算机的口令或密钥,从而打入计算机网络,窃取信息系统、数据库内的重要秘密;操作员被收买,就可以把计算机保密系统的文件、资料向外提供。维修人员被威胁引诱,就可利用维修计算机或接近计算机终端的机会,更改程序,装置窃听器、后门、木马等。
3发展电网信息化建设数据防泄漏工程的重要意义
电网信息库的数据出现了泄露情况会给电力公司造成很大的经济损失,同时公司的名誉也会受到影响。所以,在创建电网信息化期间,一定要做好对相关公司信息数据库的保护工作。如果具有了完善的数据信息防泄露模式,相关工作者一旦发生工作上的失误,电力信息的警报系统就会马上报警,避免了严重问题的发生。在电力系统里,计算机不但能够起到辅助效果,而且还可以与自动化技术进行完美融合。在电力系统中运用数字电路以后,电力自动化系统能够得到有效监控。如果采用远程监控的形式,相关工作者要掌握好网络流量的具体情况,网络流量如果存在瞬时峰值,则一定要予以重视。在建设电网信息化期间,创建一个完善的电网信息防泄漏方式,对数据泄露的程度进行有效评估,能够在泄露情况出现之后,及时找到解决措施,从而把信息泄露所造成的损失降到最低。
4电网数据防泄漏体系框架
整个数据防泄漏的体系结构主要分为访问层、防护层和对象层,对象层包含了可以存放各类智能电网和SG-ERP业务系统相关敏感数据的终端设备、文件服务器和数据库等;防护层根据所采用的不同技术包括了文件过滤驱动防护、标记和策略防护和虚拟化防护技术。
1)文件过滤驱动防护通过在文件系统中增加文件过滤驱动,配合访问控制和安全策略对敏感数据进行保护。文件过滤驱动主要实现对文件操作的实时监控,拦截对文件操作的请求消息,使消息在到达文件系统驱动层之前能够被提前处理,从而阻断对敏感数据文件的操作行为。2)使用标记和策略技术的数据防泄漏防护技术采用对敏感数据标记的方式,不同的标记配合不同的数据防泄漏策略,通过制定全面灵活的标记和策略来对敏感数据进行防护。3)采用虚拟化技术在终端上虚拟多个逻辑隔离的软件运行环境,从而在操作系统原有的内核态与应用态软件进程之间形成一个虚拟层,可有效地实现数据的隔离,以达到防止数据泄漏的目的。数据防泄漏方案在设计时需要综合使用文件过滤驱动、标记和策略、虚拟化3种技术。其中文件过滤驱动通过文件操作过程的控制和文件本身的透明加解密实现文件传输的泄露保护;标记和策略通过使用标记来对敏感数据文件进行标识,并配合相应的防泄漏策略来实行敏感数据防泄漏;虚拟化则是通过操作系统虚拟化技术,在单台主机上使用安全工作环境来有效防范用户的主动泄密行为。
5电网数据防泄漏方案的选择
当前,信息安全领域也提出了很多能够从不同的角度进行安全防护的方案,在这众多的备选方案当中使用最为广泛的安全方案包括:透明加密的防漏方式、控制的数据防泄漏、通过过滤关键字进行的数据安全检测、对数据进行标记的防泄漏等等防泄漏手段。在这些手段当中,控制数据防泄漏方式所使用的端口技术,要依靠端口控制技术以及对协议进行控制和应用控制技术。通过过滤关键词进行的数据防护,主要通过对中文传输方式进行监测,提取出传输数据当中的敏感词汇,之后对这些敏感词汇进行阻隔处理,从而防止网络出现泄密情况时,这些比较敏感的词汇也会被人盗取。配合策略通过监测管理以及数据传输时的敏感数据进行安全防护;利用虚拟化防护手段进行安全防护的硬件或者软件操作,能够在虚拟层面进行安全防护工作的有效开展,从而更好的对数据进行安全防护。
通过全面化的了解,能够对电网信息建设工作当中的各种数据问题进行有效的监测和检查,其具体步骤如下:
(1)明确电网信息化建设过程中所需要进行防护的重点目标,从而对其中所包含的重点数据进行有效的辨别和保护,从而形成具有系统性特征的保护模式。之后开始实施各种保护措施。(2)确定电网信息系统当中所包含的数据种类,这对于整体的系统建设十分重要。(3)将业务数据进行分类,以其结果做为基础,分类访问权,并将访问权利用矩阵的形式进行有效排列。第四,对电网当中的业务数据进行分类之后,要对其结果进行进一步的分析和研究。第五,对电网的业务输出形式进行有效分析,从而利用有效管理方法,更好的提高输出效果。
在上述工作全部完成之后,要对数据防泄漏方案进行有效的分析,并加以解决。当前市场上非常有效的,能够提供安全防护的方案主要包含:对数据内容进行深度分析、将可能造成数据泄露的途径进行全部覆盖,电网企业在进行方案选择时,必须要根据自身实际情况进行有效辨别,从而选择出更加适合自己的方案。
结语
电网信息库的数据泄露会给电力公司造成很大的经济损失,同时公司的名誉也会受到影响,而想要做好数据防泄漏工作,一定要深化电力企业的数据资评估、创建完善的预警监测机制,同时还要做好指标管理和线损统计分析。因此在今后的工作中,相关工作者一定要通过认真研究,进一步完善数据防泄漏技术,加快电网信息化建设。
参考文献
[1]刘玉婷,路劲,莹璐,吴晟,黄家强.电网业务数据防泄漏平台建设[J].机电信息,2015(15):14-15+17.
[2]刘玉婷,周靖,苏永东,徐浩平.基于业务流程数据敏感级别的电网企业数据安全研究[J].机电工程技术,2015,44(05):48-51.
[3]陈红.技术和管理双重防御的电网敏感数据全面防御体系研究[J].电力信息与通信技术,2016,14(09):42-45.