2021电力物联网数据安全分级保护要求
电 力 物 联 网 数 据 安 全 分 级 保 护 要 求 II 目 次 前 言 II 1 范围1 2 规范性引用文件1 3 术语和定义1 4 缩略语2 5 电力物联网数据安全级别划分2 5.1 数据安全级别划分原则2 5.2 数据安全级别划分2 5.3 数据安全级别变更3 5.4 数据安全分级防护原则3 6 数据全生命周期安全要求3 6.1 数据采集安全要求3 6.2 数据传输安全要求4 6.3 数据存储安全要求5 6.4 数据处理安全要求5 6.5 数据交换安全要求6 6.6 数据销毁安全要求8 编制说明 .9 1 电力物联网数据安全分级保护要求 1 范围 本标准规定了国家电网有限公司非涉及国家秘密的电力物联网电子数据安全级别划分以及各级数 据从数据采集、传输、存储、处理、交换、销毁等全生命周期各环节安全要求。 本标准适用于指导国家电网有限公司电力物联网数据全生命周期安全分级防护。 2 规范性引用文件 下 列 文 件 对 于 本 文 件 的 应 用 是 必 不 可 少 的 。 凡 是 注 日 期 的 引 用 文 件 , 仅 注 日 期 的 版 本 适 用 于 本 文 件 。 凡 是 不 注 日 期 的 引 用 文 件 , 其 最 新 版 本 ( 包 括 所 有 的 修 改 单 ) 适 用 于 本 文 件 。 GB/T 25069 信息安全技术 术语 GB/T 37044 信息安全技术 物联网安全参考模型及通用要求 DL/T 1757 电子数据恢复和销毁技术要求规定 Q/GDW 1937 国家电网公司非国家秘密电子数据销毁、清除和恢复技术要求 Q/GDW 12098—2021 电力物联网术语 3 术语和定义 GB/T 25069和Q/GDW 12098—2021界定的以及下列术语和定义适用于本文件。 3.1 物联网终端 IoT terminal 一 种 能 够 对 电 网 对 象 或 环 境 的 状 态 进 行 测 量 、 感 知 , 并 具 有 简 单 数 据 处 理 、 通 信 、 人 机 交 互 等 全 部 或 部 分 功 能 的 信 息 通 信 设 备 。 物 联 网 终 端 设 备 属 于 感 知 层 设 备 , 包 括 智 能 传 感 器 、 智 能 业 务 终 端 、 智 能 设 备 等 。 3.2 数据全生命周期 data life cycle 数 据 从 产 生 , 经 过 数 据 采 集 、 数 据 传 输 、 数 据 存 储 、 数 据 处 理 ( 包 括 处 理 、 分 析 、 使 用 ) , 数据交 换, 直至数据销毁等各种生存形态的演变过程。 3.3 数据脱敏 data desensitization 通过一系列数据处理方法对原始数据进行处理以屏蔽敏感数据的一种数据保护方法。 3.4 数据交换 data exchange 2 为 满 足 不 同 平 台 或 应 用 间 数 据 资 源 的 传 送 和 处 理 需 要 , 依 据 一 定 的 原 则 , 采 取 相 应 的 技 术 , 实 现 不 同 平 台 和 应 用 间 数 据 资 源 的 流 动 过 程 。 3.5 商密数据 business secret data 为公司所有、且不为公众所知悉,具有实际或潜在的商业价值的技术信息和经营信息。 3.6 企业重要数据 important enterprise data 在 公 司 经 营 管 理 过 程 中 产 生 的 不 涉 及 商 业 秘 密 , 但 与 公 司 利 益 密 切 相 关 的 且 存 在 一 定 的 社 会 影 响 的 数 据 。 3.7 一般数据 general data 除商密数据和企业重要数据之外,公司在生产经营管理过程中产生的数据。 4 缩略语 下列缩略语适用于本文件。 SG-CIM:国家电网公司公共信息模型(State Grid Common Information Model) 5 电力物联网数据安全级别划分 5.1 数据安全级别划分原则 数据安全级别划分应遵循以下原则: a) 依从性原则:数据级别划分应满足相关法律、法规及监管要求; b) 隐私保护优先原则:数据泄露对客户隐私保障影响越大的级别应越高; c) 业 务 保 障 ( 可 用 性 )原则:应在保障数据安全同时,最大限度保障相关业务及应用的正常运 行和效率; d) 就高原则:不同级别的数据被同时处理、应用时,原则上应按照其中级别最高的要求来实施 保护,多个级别数据关联程度较高时,应采用组合内级别最高的要求来实施保护。 5.2 数据安全级别划分 国家电网有限公司数据资产以SG-CIM为基准,依据数据重要性、敏感性进行安全分级,并实行差 异 化 防 护 , 主 要 划 分 为 商 密 数 据 、 企 业 重 要 数 据 、 一 般 数 据 ; 推 荐 在 数 据 共 享 等 环 节 , 结 合 公 司 数 据 共 享 负 面 清 单 开 展 。 数 据 安 全 分 级 如 表 1所 示 。 3 表 1 数据安全分级示例表 数据安全分级 说明 商密数据 为公司所有、且不为公众所知悉,具有实际或潜在的商业价值的技术信息和经营信息。 企业重要数据 在公司经营管理过程中产生的不涉及商业秘密,但与公司利益密切相关的且存在一定的社会影响的数据。 一般数据 除 商 密 数 据 和 企 业 重 要 数 据 之 外 , 公 司 在 生 产 经 营 管 理 过 程 中 产 生 的 数 据 。 5.3 数据安全级别变更 数据安全级别变更应遵循以下原则: a) 一般数据经过整合、关联之后,可转化为企业重要数据; b) 单次请求处理的一般数据规模超过一定的数量,其数据安全管控等级可上升一级; c) 企业重要数据可经过数据脱敏处理后转换为一般数据; d) 随着时间的变化,数据安全级别可能会发生变化,宜定期进行再评估; e) 不同时序阶段,数据安全级别可发生变化; f) 空间的变化,可引起数据安全级别的变化。 5.4 数据安全分级防护原则 数据安全分级防护应遵循以下原则: a) 电力物联网数据全生命周期安全要求分为基本要求和增强要求两类: 1) 对 于 一 般 数 据 应 满 足 基 本 要 求 ; 2) 企业重要数据应在满足基本要求的前提下,同时满足增强要求。 b) 商密数据按照国家、公司相关要求执行防护。 6 数据全生命周期安全要求 6.1 数据采集安全要求 6.1.1 基本要求 基本要求包括: a) 应 明 确 数 据 的 获 取 源 、 收 集 范 围 、 方 式 和 频 度 , 确 保 数 据 采 集 和 获 取 仅 为 业 务 所 需 的 数 据 最 小 集 ; b) 不应采集与业务需求无关的数据,不得泄露、篡改、损毁收集的数据; c) 宜规范数据采集的渠道、数据格式和流程; 4 d) 应明确采集数据的安全级别; e) 应规范数据清理、转换和加载操作安全管理; f) 物联网终端宜为其采集的数据生成完整性证据(如校验码、消息摘要、数字签名等)。 6.1.2 增强要求 增强要求应符合下述要求: a) 采取必要的安全技术手段和管控措施,对采集到数据进行完整性、真实性和一致性校验; b) 跟踪记录数据收集获取过程,确保数据收集过程的可追溯性; c) 采取必要的安全技术手段和管控措施,保证企业重要数据不被泄露; d) 规范数据采集的渠道、数据格式和流程; e) 当企业重要数据在预处理、清洗、转换和加载过程中产生问题时,能有效恢复。 6.2 数据传输安全要求 6.2.1 传输保密性 6.2.1.1 基本要求 基本要求包括: a) 应结合数据传输场景,选用满足数据安全传输需求的传输通道类型接入公司网络; b) 建立数据传输通道前,应对物联网终端进行身份鉴别和认证; c) 建立数据传输通道时,宜采用密码技术或其他保护措施,确保数据传输通道安全; d) 对一般数据,可采用具有一定强度的加密算法或其他措施对信息进行加密; e) 边缘物联代理设备与物联管理平台之间应采用基于国家密码主管部门认可的密码算法,实现 数据流的加密。 6.2.1.2 增强要求 增强要求包括: a) 建立数据传输通道前,宜对传输两端的身份进行双向鉴别和认证; b) 建立数据传输通道时,应采用国家密码主管部门认可的密码技术保证数据传输通道安全; c) 对企业重要数据,宜采用国家密码主管部门认可的密码技术保证传输过程中的数据保密性和 抗抵赖性; d) 对企业重要数据,必要时可采用专用传输协议或安全传输协议服务,避免来自基于协议的攻 击破坏保密性; e) 需要时,对数据传输双方身份进行隐私保护,应采用数据脱敏算法等进行敏感信息保护。 6.2.2 传输完整性 6.2.2.1 基本要求 基本要求应符合下述要求: a) 采用数据完整性校验机制,对一般数据进行传输完整性保护; b) 具有通信延时和中断处理功能,配合物联网终端进行完整性保证。 6.2.2.2 增强要求 增强要求包括: 5 a) 对企业重要数据,应采用国家密码主管部门认可的密码技术保证传输过程中的完整性; b) 在检测到完整性遭到破坏时,应采取措施来恢复或重新获取数据。 6.2.3 传输可用性 6.2.3.1 基本要求 基本要求包括: a) 数据中宜包含时间标识等时间信息,以识别历史数据或超出时限的数据; b) 应建立容错机制,当数据存在可接受的误差时,保障系统正常运行。 6.2.3.2 增强要求 增强要求包括: a) 数据中应包含时间标识,并采用加密技术保护时间标识字段; b) 在检测到传输数据不可用时,应有重载机制保证数据的正常获取; c) 应建立数据传输链路冗余机制,保证数据传输可靠性和网络传输服务可用性; d) 应充分利用传输通道的容错和服务质量等能力,保证实时性要求高的企业重要数据优先传输。 6.3 数据存储安全要求 6.3.1 基本要求 基本要求包括: a) 一般数据可存储于互联网大区和管理信息大区; b) 企业重要数据按需经过数据脱敏处理后,可转换为一般数据长期存储于互联网大区; c) 应根据数据安全级别和敏感程度建立数据访问授权机制,制定用户身份标识策略、数据访问 控制策略、权限分配及相关操作策略等,规避对存储数据的未授权访问风险; d) 应通过执行定期的数据复制、备份和恢复,实现对存储数据的冗余性管理,保护数据的可用 性。 6.3.2 增强要求 增强要求包括: a) 企业重要数据应主要存储于管理信息大区,可根据需要并遵循最小化原则短期存储于互联网 大区; b) 企业重要数据存储时,宜采用国家密码主管部门认可的密码技术保证存储过程中的完整性和 保密性; c) 对企业重要数据,应具有完整性检测机制和恢复机制,能够发现数据存储阶段造成的企业重 要 数 据 损 坏 和 丢 失 , 并 定 期 检 查 备 份 数 据 的 完 整 性 , 保 证 在 检 测 到 数 据 完 整 性 受 到 破 坏 时 采 取 必 要 的 恢 复 措 施 ; d) 物联网终端应保留最少的个人敏感数据,并限制数据存储量和保留时间,禁止本地明文存储 支付密码等客户信息数据; e) 应通过权限控制等措施做好存储企业重要数据的安全防护; f) 宜将去标识化后的数据与可用于恢复识别个人的信息分开存储。 6.4 数据处理安全要求 6.4.1 基本要求 6 基本要求应符合下述要求: a) 建立数据使用的内部责任制度,保证在采集公示的目的和范围内对受保护的数据进行使用和 分析处理; b) 依据数据使用目的建立相应强度或粒度的访问控制机制,限定用户可访问数据范围; c) 加强数据处理过程中防泄露措施,防止数据处理过程中的调试信息、日志记录、不受控制输 出等受保护的敏感信息泄露; d) 明确数据分析安全审核流程,对数据分析的数据源、数据分析需求、分析逻辑进行审核,确 保数据分析目的、分析操作等的正当性; e) 建立数据分析结果输出的安全审查机制和授权控制机制,并采取必要的技术手段和管控措施 保证共享数据分析结果不泄露企业重要数据信息。 6.4.2 增强要求 增强要求包括: a) 应采用信息化技术或机制加强对企业重要数据处理、分析、使用异常行为的识别、监控和预 警; b) 明确数据分析、使用的评估制度,企业重要数据的分析、使用应先进行安全影响评估; c) 个人敏感信息的分析、使用应避免精确定位到特定个人,避免信用、资产和健康等敏感数据; d) 应对企业重要数据处理、分析、使用过程中的数据操作进行记录,通过日志审计进行分析溯 源及追责; e) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等; f) 应结合企业重要数据处理、分析、使用过程中的应用场景选择恰当的数据脱敏技术措施; g) 数据分析产生的结果,涉及企业重要数据的,应采取相应的管控措施; h) 应采取相应措施保障数据处理、分析、使用过程中不泄露企业重要数据。 6.5 数据交换安全要求 6.5.1 数据导入导出 6.5.1.1 基本要求 基本要求包括: a) 应结合业务需求和数据分级明确数据导入导出策略,严格安全评估及授权审批流程; b) 应对导入导出用户或终端进行身份鉴别、权限控制,保证身份可信及操作可审计; c) 在导入导出完成后应及时对操作过程中产生的缓存或者临时数据进行擦除或销毁,且保证不 可被恢复。 6.5.1.2 增强要求 增强要求包括: a) 应采取多因素鉴别技术对数据导入导出操作人员进行身份鉴别; b) 应采取监测手段对数据导入导出接口进行监测,确保数据导入导出过程安全可控; c) 当数据脱离公司网络环境对外提供时,应结合业务需求实施数据脱敏并添加数字水印。 6.5.2 数据获取 6.5.2.1 基本要求 7 基本要求包括: a) 获取数据前,审查数据来源合法性,并记录相关流程; b) 明确提供数据的类型、规模、重要级别、使用周期等内容,分级获取相关数据; c) 获取数据时,应明确双方数据安全保护职责,确保发生数据安全事件时,可理清相关安全责 任; d) 数据获取应采用安全的方式,优先选用安全接口,强化接口间认证授权管控; e) 应对数据获取过程进行监控和记录,确保数据获取过程可溯源、可审计。 6.5.2.2 增强要求 增强要求包括: a) 获取数据时应履行必要的审批手续,并对获取数据进行评估和验证; b) 应加强对获取数据的人员或终端的身份鉴别、权限控制,确保获取操作安全可控。 6.5.3 数据共享 6.5.3.1 基本要求 基本要求包括: a) 应开展共享数据业务背景调研,审核共享数据需求、内容,确认属于满足数据共享场景最小 需求范围,并采取严格的数据提供审批流程并备案; b) 应以书面形式约定数据共享双方的责任、权限、共享时间周期、安全管控措施等内容; c) 共享数据使用者应提供相应的安全能力证明,并向相关数据的上一级管理单位通报共享目的; d) 应优先采用接口形式外发数据,加强接口间身份认证,安全检查以及植入数据脱敏、溯源等 其他安全保护措施; e) 应详细记录数据共享过程,并采用安全审计措施,完整保存审计记录至数据共享周期结束一 年以上; f) 涉及数据跨境传输的,应严格执行国家数据安全跨境传输审批和保护要求。 6.5.3.2 增强要求 增强要求包括: a) 公司内部共享数据应按负面清单要求执行; b) 宜提供统一途径(统一平台、统一出口、统一模型等)对企业重要数据进行共享; c) 宜采用标准化数据共享格式,确保高效获取共享数据; d) 应定期评估数据共享机制、服务组件和共享通道的安全性; e) 应采用数据加密、脱敏、溯源、安全通道等措施防止数据共享过程中企业重要数据泄露; f) 应实时监控共享数据及数据共享服务过程,确保共享数据符合相关约定。 6.5.4 数据发布 6.5.4.1 基本要求 基本要求应符合下述要求: a) 建立数据公开发布的审核及备案制度,严格审核数据发布业务符合相关法律法规要求,并及 时备案; b) 明确数据公开内容、使用范围及规范,发布者与使用者权利和义务; c) 建立数据公开发布事件应急处理流程,包括快速有效的应急处置措施; 8 d) 指定专人负责数据公开发布,并对发布人员进行安全培训; e) 定期审查公开发布的数据,确保数据发布合规性。 6.5.4.2 增强要求 增强要求包括: a) 应建立数据发布接口及发布格式规范,如提供机器可读的可扩展标记语言格式; b) 可建立数据公开数据库,根据数据级别和用户级别开放相应权限。 6.6 数据销毁安全要求 基本要求包括: a) 应结合国家法律法规及公司要求,明确数据擦除与销毁工作责任,执行公司数据擦除与销毁 策略和管理制度; b) 应遵照 Q/GDW 1937的要求进行数据和文件的归档和销毁; c) 应确保存储过企业重要数据的各类存储介质在报废、返厂维修、内部再利用等转作他用之前, 依 据 Q/GDW 1937与DL/T 1757规定,采用符合标准的设备及方法对存储介质进行有效处理,并 做记录; d) 数据擦除与销毁工具或设备应具有国家权威认证机构的认证; e) 在使用数据擦除与销毁工具或设备过程中应严格遵守操作规范,并由专人操作并监督; f) 对于本单位无法通过常规技术手段进行电子数据恢复、擦除与销毁的情况,可委托公司信息 安全实验室或具有相关类别国家权威机构认证的机构处理。 9