一、行业背景
随着能源创新驱动战略实施,科技类商业秘密已成为能源企业重要的无形资产,但是基于环境开放、人员流动及利益驱动等各种因素影响,相关科技成果报告、关键技术信息、重要实验数据等商业秘密信息极易发生泄密,对企业核心竞争力及合法权益带来损害,包括外部市场流失、信誉度下降、核心技术复制、法律纠纷和经济赔偿等,甚至影响国家经济发展稳定。做好科技类商业秘密保护,必须结合企业实际,将保密制度、科研业务流程以及法律支撑保障“三要素”相结合,将人防、技防以及岗位制度管理“三环节”相融合,利于科研,便于保密,实现“依规管密,依技防密,依法治密”,全力助推能源企业高质量可持续发展。
与此同时,国家在保障敏感数据安全方面积极制定相关法律法规。《网络安全法》、《中央企业商业秘密安全保护技术指引》、《电力行业网络与信息安全管理办法》等等,都在对能源企业开展数据安全保护提出更高、更严的要求。一方面,能源企业需要通过不断挖掘数据价值以支撑自身服务质量、工作效率和发展需要;另一方面,又要保证数据在复杂的场景、系统之间被安全、合理的访问和使用。
二、能源石化数据安全风险分析
1) 敏感数据管理不足,没有良好的数据梳理;
2) 风险行为监控不足,企业庞大造成的日常越权访问、下载和篡改数据等违规操作难以定位和发现;
3) 运维人员不按操作规范或既定方案进行数据库运维操作、非法导出敏感数据、数据库操作行为没有细粒度的审计记录等。
4) 工作资料的存储和传输为明文传输、容易产生数据泄露、篡改。
三、解决方案
通过亿赛通数据泄露防护系统的完善,对通过网络和终端传输的敏感数据进行监控审计,对内部人员的无意泄露进行警示及提醒,并进行主动响应及处理,防止敏感数据的主动和被动泄密,维护企业数据信息安全,同时存储在终端的敏感数据通过加密处理,确保了数据本身的安全性。
通过亿赛通数据库安全防护系统的完善,利用技术手段强化系统运维的管控,内部所有员工对能够对数据库的访问及其他操作行为进行细粒度审计与分析,从而全程监控、记录包括非法访问、数据库违规操作、数据批量导出或篡改在内的一系列风险行为,实现对所有数据访问行为进行审计记录,然后通过数据分析技术结合能源企业数据操作审计典型策略要求,对风险行为进行挖掘和预警,并在安全事件发生后,做到准确、高效的溯源定责。
四、方案收益
1.安全性收益
基于“依规管密,依技防密,依法治密”的原则,完善推广数据安全的管理意识,系统建立能源企业商业秘密管理与防护体系,实现商业秘密数据的有效管理和保护,有效保障商密数据资产的安全可控。
2.管理性收益
对于能源企业而言,应在确保不影响正常开展运维工作的前提下,建立数据库运维操作的审批机制和技术措施。通过数据库运维管理系统对所有涉及敏感数据的操作进行限制,强化对数据库运维操作的监管力度,及时阻断越权操作行为的发生,令运维工作实际操作与计划操作保持一致。