一、行業背景

隨著能源創新驅動戰略實施,科技類商業秘密已成為能源企業重要的無形資產,但是基于環境開放、人員流動及利益驅動等各種因素影響,相關科技成果報告、關鍵技術信息、重要實驗數據等商業秘密信息極易發生泄密,對企業核心競爭力及合法權益帶來損害,包括外部市場流失、信譽度下降、核心技術復制、法律糾紛和經濟賠償等,甚至影響國家經濟發展穩定。做好科技類商業秘密保護,必須結合企業實際,將保密制度、科研業務流程以及法律支撐保障“三要素”相結合,將人防、技防以及崗位制度管理“三環節”相融合,利于科研,便于保密,實現“依規管密,依技防密,依法治密”,全力助推能源企業高質量可持續發展。

與此同時,國家在保障敏感數據安全方面積極制定相關法律法規。《網絡安全法》、《中央企業商業秘密安全保護技術指引》、《電力行業網絡與信息安全管理辦法》等等,都在對能源企業開展數據安全保護提出更高、更嚴的要求。一方面,能源企業需要通過不斷挖掘數據價值以支撐自身服務質量、工作效率和發展需要;另一方面,又要保證數據在復雜的場景、系統之間被安全、合理的訪問和使用。

 

二、能源石化數據安全風險分析

1) 敏感數據管理不足,沒有良好的數據梳理;

2) 風險行為監控不足,企業龐大造成的日常越權訪問、下載和篡改數據等違規操作難以定位和發現;

3) 運維人員不按操作規范或既定方案進行數據庫運維操作、非法導出敏感數據、數據庫操作行為沒有細粒度的審計記錄等。

4) 工作資料的存儲和傳輸為明文傳輸、容易產生數據泄露、篡改。

 

三、解決方案

通過億賽通數據泄露防護系統的完善,對通過網絡和終端傳輸的敏感數據進行監控審計,對內部人員的無意泄露進行警示及提醒,并進行主動響應及處理,防止敏感數據的主動和被動泄密,維護企業數據信息安全,同時存儲在終端的敏感數據通過加密處理,確保了數據本身的安全性。



通過億賽通數據庫安全防護系統的完善,利用技術手段強化系統運維的管控,內部所有員工對能夠對數據庫的訪問及其他操作行為進行細粒度審計與分析,從而全程監控、記錄包括非法訪問、數據庫違規操作、數據批量導出或篡改在內的一系列風險行為,實現對所有數據訪問行為進行審計記錄,然后通過數據分析技術結合能源企業數據操作審計典型策略要求,對風險行為進行挖掘和預警,并在安全事件發生后,做到準確、高效的溯源定責。


 

四、方案收益

1.安全性收益

基于“依規管密,依技防密,依法治密”的原則,完善推廣數據安全的管理意識,系統建立能源企業商業秘密管理與防護體系,實現商業秘密數據的有效管理和保護,有效保障商密數據資產的安全可控。

2.管理性收益

對于能源企業而言,應在確保不影響正常開展運維工作的前提下,建立數據庫運維操作的審批機制和技術措施。通過數據庫運維管理系統對所有涉及敏感數據的操作進行限制,強化對數據庫運維操作的監管力度,及時阻斷越權操作行為的發生,令運維工作實際操作與計劃操作保持一致。