电力大数据的数据保密技术研究

2018-05-08 08:22刘凯乐徐建兵郭乃网
电力与能源 2018年2期
关键词:租户数据安全保密

刘凯乐,徐建兵,龙 鹏,黄 林,郭乃网,陈 睿,罗 祾

(1. 国家电网公司,北京 100083;2. 国网上海市电力公司,上海 200122;3. 国网上海市电力公司电力科学研究院,上海 200437)

随着大数据、云计算、物联网、人工智能等各种新技术不断涌现,数据的融合、数据共享、数据挖掘、数据应用等大数据技术成为智慧城市发展的关键技术。电力行业作为我国基础的能源行业,其重要性不言而喻。随着近年来的电网改革,不断推进智能电网发展,各个电网实现智能化发展,在大数据时代也将发生急速增长。在电力领域,信息通信技术与电力生产以及企业经营管理的深度融合,导致电力数据的爆发性增长。中国的电力工业经过几十年的高速发展,随着新一代智能化电力系统建设的全面展开,已经成为了世界上最大规模关系国计民生的专业物联网。对于电力行业而言,电力大数据将贯穿未来电力工业生产及管理等各个环节,为电力发展注入新的活力,是中国电力工业在打造下一代电力工业系统过程中有效应对资源有限、环境压力等问题,实现厚积厚发、绿色可持续性发展的关键。

目前上海电力公司已经实现了电表、配变、配电变电站、配电开关站、电能质量等自动化和信息化的全覆盖,配网监控、配网生产、气象信息、电能质量、客户管理、新能源及电动汽车充换站监控等生产信息系统也已经建成,是国内最早建设综合数据平台的省级公司。为提高企业生产经营管理决策水平,国网上海市电力公司公司和复旦大学合作成立电力大数据实验室,通过分析城市地理、气象、环境、经济等因素对电力消费的影响机理,揭示用户用电行为偏好特征,预测清洁能源利用、能源市场供需、经济社会运行等趋势,力争在商业模式创新、能源数据产业孵化等方面实现突破,为电力公司运营、电网管理、客户服务提供全面支撑,也可广泛服务于行业关联特征分析、商圈景气预测、用户节电管理、宏观经济预测预警等多目标以及政府、企业、居民等多主体。

从美国“棱镜门”等一系列骇人听闻的事件中,我们必须认识到,大数据给我们带来无限正能量的同时,亦存在着资讯工具的“暗影效应”或“双刃剑效应”——大数据技术增加了保密的难度,加大了信息泄露的风险。大数据时代的互联网安全形势发生变化,信息安全上升为国家战略高度。为此,应实行更严格的保密分级制度,注重内部细节和末端管理。在分布式和开放的环境下,电力大数据由于涉及到众多电力用户的隐私和电网安全,对信息安全也提出了更高的要求。另一方面,由于电力大数据需要为众多单位和用户提供服务,大数据环境的边界保护显得非常重要,确保数据不会被随意拷贝和传播,因此针对大数据的安全防护技术和关键防护措施需要进一步加强,从目前的被动防御向多层次、主动防御转变。

1 大数据时代下的数据保密面临的风险

电力企业大数据时代下,由于电力企业涉及到的企业数据、用户隐私等越发重要,因此在大数据时代如何加强安全防护和保密措施显得更加重要。大数据时代的数据产生、传输以及处理和应用中存在着各种安全威胁。数据在传输过程中极易被窃听,尤其是对于一些关于电力行业的机密信息,若被不法分子窃听,那么非常容易出现电力行业危险事件。如智能电表自动收集大量数据,并回传给电力公司。这些数据包括很多用户隐私,而且能够从对这些数据的分析中得到用户的行为特点、使用了什么样的电器,甚至能够推断出什么时间家里没有人。这些隐私数据一旦泄露,会给用户带来很多困扰;如果是家中无人时间这样的数据泄露,可能会带来家中财产被盗这样的恶性事件。特别是如果关联到分析出用户的身份信息,甚至有可能对用户的人身安全构成威胁,极端情况下,可能上升到国家安全的层面。这种从信息安全问题,逐渐升级到财产安全、人身安全和国家安全的链式反应,是万物互联新形势下信息安全防范、数据保密的重点。因此电力行业在数据存储、传输的时候应该加强风险预估,尽可能将风险降到最低。大数据技术的快速发展导致传统的信息安全技术暴露出不足,但同时也促进了信息安全保密技术的发展。研究大数据背景下数据保密技术需要多种新技术相结合,例如物联网、云计算等技术,促进保密技术不断进步以适应社会发展的需要。

2 大数据时代下的数据保密技术研究

2.1 电力大数据安全体系框架

随着大数据的应用的拓展,对电力企业信息安全有了更高的挑战,传统的安全防护体系已经不能够满足当前的需求,而需要全新的安全架构技术,将大数据时代下的电力行业的安全风险纳入到日常防护之中。电力大数据实验室结合最新的大数据、以及数据安全技术,研究适合电力大数据管理的安全体系,设计了新的电力大数据安全体系框架,可以满足深度安全保障的需求。如图1所示。

图1 电力大数据的总体架构

电力大数据安全体系框架在保密制度和安全隔离技术自下而上分为四层:最底层为安全策略层,存储了关于文件、数据库和缓存数据的安全控制策略;第二层是安全策略执行引擎,在底层的安全策略下反馈上层用户的访问需求,实现用户对大数据平台的安全访问和数据获取;第三层是安全接口层,其中包括身份认证、授权管理和多租户管理三个接口组件,实现对访问层的安全接口;第四层是大数据组件层,是大数据的使用组件,用户通过这些组件可以访问、获取和分析电力大数据。

2.2 建立完善的保密管理制度

“保密管理三分靠技术,七分靠管理”。通过技术来保护大数据的安全必然重要,但管理是基石。电力大数据建设是一项有序的、动态的、可持续发展的系统工程,一套规范的运行机制和安全管理制度也至关重要。电力大数据实验室针对大数据分析和使用的管理要求开展了深入研究,制定了保密的管理机制和制度,从业务管理的角度对相关各方的责任、义务、权利和处罚措施进行规定,并作为大数据使用的安全管理制度,包括签订保密协议,设置兼职保密员专人负责项目保密工作,严格管理文件资料。由兼职保密员专人负责项目内部敏感资料的保存、借阅。项目不需存档的文件、资料、图纸等内部资料,集中交到兼职保密员处,统一监销。文件资料按要求归档,剩余资料清理后统一销毁。严格审核研究成果使用,设置专人专职开展实验室数据安全防护,定期开展保密检查。通过保密管理体系建设,保证大数据平台在统一的安全规范框架下运行,确保数据安全。

2.3 大数据的多租户安全管理技术

由于电力大数据汇集存储着大量电网重要数据和大量用户隐私信息,在一定程度上,为数据保密埋下了安全隐患。一旦安全机制不完善,可能会造成一些相关的敏感数据的泄露,甚至可能影响电力生产,产生严重的后果,这就要求大数据管理必需采取严格安全管理防范措施。在电力大数据的平台中,存在跨部门的数据的集成,有多个部门跨单位使用平台进行大数据分析的需求,因此多租户管理的安全管理非常重要。电力大数据试验室基于Yarn2.0和Hadoop2.7,研究开发了电力大数据的多租户管理技术,实现一套平台面向多个单位和租户的服务。具体功能包括租户资源管理,租户权限管理以及安全控制等模块,可以在大数据平台上直观便捷地进行多租户的管理配置。对不同的租户配置使用不同的CPU和内存资源池,使租户可以相对独立地开展工作;还可以通过优先级设置实现服务质量控制(QoS)。此外,还支持通过SQL配置和管理各租户磁盘空间,包括对数据空间和临时空间的配额、更改,从而便捷地对存储资源进行合理分配,管控和计费。

对于电力公司这种有很多部门以及下级单位企业,特别适合多租户管理模式,针对各租户的不同应用需求,通过统一的集群管理,基于本项目研发改进的YARN资源调度框架,可以动态创建和销毁集群,灵活部署业务,适合对非7×24不间断业务(例如周期性统计业务)动态部署。

此外,在资源隔离方面,改进的YARN支持对计算资源和内存资源的管理能力,避免占用内存资源多的Spark或Map/Reduce集群之间争抢内存资源。缺省模式下集群就是创建在YARN上,可以非常方便的动态创建和销毁Spark或者Map/Reduce集群。同时,通过YARN的资源隔离和配额管理,可以避免使用同一个Map/Reduce集群时出现的计算资源争抢现象,保证每项业务都能顺利完成。

与此同时,为了更好的利用平台计算资源,在申请资源配额后,如果当前用户的资源紧张或受限,可以动态调配其他用户的闲置资源加入,当其他用户使用时再归还。

同时,结合Kerberos实现YARN的资源申请,作业提交以及队列使用的权限管控,管理员通过管控界面,定义YARN中用户能够在哪些队列中提交作业,能申请资源的额度以及能提交作业的最大个数等,实现计算资源的用户权限管控。因此,对于分析类应用,可以充分使用改进版YARN的特性,实现分析集群的按需创建与销毁,从而实现数据、资源、计算能力的统一调度和规划。

2.4 敏感数据保护技术

电网作为关系国计民生的基础设施,其重要性不言而喻。电力大数据包含了电力生产大数据、运营管理的大数据和智能电网大数据,这些数据包括了发电、安全、检修、经营决策等电力生产经营各方面。一些敏感性数据更是直接关系企业的核心技术、用户的隐私,这些数据的保密显得尤为重要。对于敏感数据处理包括:警告处理、阻断处理、跟踪处理等几个层次,同时在数据处理的时候还需要加强各个数据平台环境之间的验证,实现大数据全方位多层次敏感数据保护处理。

对于多用户来说,用户不同允许读取的权限也不同,甚至对同一组数据读取的字段也有不同。严格控制用户的读取权限,可以将数据泄露的危险降到最低。为满足电力大数据分析环境细粒度安全控制的需求,电力大数据试验室研究开发了面向多级数据对象的安全控制技术。数据安全控制的数据对象从数据库/表/视图扩展到服务器,URI以及行和列的粒度。虽然数据表列的读取权限控制可以用视图来实现,但是对于多用户,在数据表数量巨大的情况,无法直接使用原先写的针对原表的查询语句。电力大数据试验室研发的安全控制技术可以对表的数据进行精确的行、列级权限读取控制。在多租户的情况下,可以保证

不同租户只能看到自身有权限读取的数据,而不会看到其他数据,确保精确有效的数据隔离。

3 结语

在当今大数据和互联网的时代,数据资源已经被公认为是和自然资源一样具有重要的价值,也是推动经济与社会发展的重要战略资源。大数据技术是推动企业实现数据驱动的关键,也是建设工业4.0的核心技术。电力大数据由于涉及到众多电力用户的隐私和电网安全,对信息安全和数据保密也提出了更高的要求。电力大数据实验室开发形成的“开放分布式环境下电力大数据分析安全防护系统”及相关的管理流程和制度,并已部署安装在相关单位。目前各系统使用正常,电力大数据分析业务顺利的展开,分别进行了数据质量、数据修改和分析模型等研究工作,并取得了初步成果。但是还有许多大数据安全的技术需要进一步研究,包括大数据的脱敏、加密和数据生命周期管理等。这些技术将在后续的研究工作中进一步深入研究,并集成到系统和方案中,进而在国网公司面向全国或面向其他行业进行推广。

参考文献:

[1]林大增,邵强. 电力数据采集及处理方法[J]. 科技风,2012(24):27-28.

[2]李熙春,姚伟刚,何志明.电力数据网络的应用与安全性[J]. 江苏电机工程,2008(3):51-53.

[3]赵云山,刘焕焕. 大数据技术在电力行业的应用研究[J]. 电信科学,2014(1):57-62.

[4]郭乃网, 苏运, 瞿海妮, 等. 电力行业的大数据安全防护研究[J]. 电力信息化,2016(4):101-104.

猜你喜欢
租户数据安全保密
多措并举筑牢安全保密防线
《信息安全与通信保密》征稿函
基于多租户隔离的云安全建设
云计算中基于用户隐私的数据安全保护方法
建立激励相容机制保护数据安全
大数据云计算环境下的数据安全
基于MVC模式的多租户portlet应用研究*
论中国共产党的保密观
大数据安全搜索与共享
保密