進入數字經濟時代,數據成為關鍵生產要素,數據價值日益凸顯,數據安全事件日益頻發,對政府、企業組織及個人在政治經濟生活等各方面造成巨大的損害。政府部門擁有海量數據資源,政務數據安全保障成為一個必選項,如何全方位構筑數據安全,為數字經濟保駕護航,也已被提升到了國家戰略高度。
2021年9月1日實施的《數據安全法》規定:
1.對政務數據的“安全與開放”作出規定,明確了國家機關相關行為規范,包括“在法定職責內收集使用數據,……數據依法保密”(第三十八條);
2.“建立健全數據安全管理制度,落實數據安全保護責任,保障政務數據安全”(第三十九條);
3.“國家制定政務數據開放目錄,構建統一規范、互聯互通、安全可控的政務數據開放平臺”(第四十二條)。
2021年11月1日實施的《個人信息保護法》針對個人信息數據安全防護以專門章節對國家機關處理個人信息做了特別規定。同時,各省市出臺的標準、規范等針對個人數據、公共數據等數據收集、加工、共享、開放、交易、應用等數據安全要求,以及政務服務數據管理部門的數據安全職責也作了更詳細的規定與要求。
· 需求與挑戰
政務大數據中心集中存儲著大量個人隱私數據、敏感數據、機密數據以及分析后的價值成果數據等。典型政務數據中心業務應用平臺架構參考如下:
從數據全生命周期角度,從管理、制度規范、技術等維度,政務大數據中心數據安全治理主要關注需求點參考如下:
為滿足數據安全防護需求,構建政務大數據中心數據安全治理體系主要面臨以下幾個方面挑戰:
1)待建立健全數據安全組織,明確或完善數據安全崗位及責任,明確或完善數據安全建設戰略目標與規劃,持續有計劃有步驟的實施;
2)待建立健全完整清晰的制度流程規范,使數據安全建設執行與監管做到有據可依;
3)待構建覆蓋全數據形態、全數據生命周期、全流通環節數據安全場景的統一的技術防護體系,避免產品堆疊、重復建設、產品割裂、無法聯動、無法合成作戰的問題;
4)數據安全人員安全意識及安全能力待提升。
· 數據安全治理體系建設
01.現狀梳理
通過現場問答、問卷、技術工具(數據資產梳理與分類分級、漏洞掃描與分析工具等)對數據安全現狀進行梳理。
通過現場問答、問卷調查等,獲取網絡拓撲、網絡安全區域、安全設備情況、應用系統情況、業務數據使用情況、開發運維安全情況、大數據平臺、數據庫、數據流向、制度文檔規范等信息化建設及安全建設現狀。
通過工具,如采用資產梳理及分類分級工具進行數據資產梳理,完成對數據資產全面細粒度的梳理與掌控:
通過工具發現安全風險問題(如:密碼明文傳輸等):
02.風險評估
參考《信息安全技術數據安全能力成熟度模型》數據安全過程域體系,并基于政務大數據中心實際情況構建數據安全指標評估體系,進行定性及定量數據安全風險分析評估,為數據安全方案規劃建設提供依據。
數據安全過程域體系:
安全域評估參考示例如下:
數據安全指標評估體系,參考示例如下:
03.差距分析
分析當前數據安全治理體系建設與目標的差距,如可參考《信息安全技術數據安全能力成熟度模型》能力成熟度等級3“充分定義”級要求為基線,識別與目標3級的差距,指導后續數據安全能力建設,參考如下圖:
04.方案建設
通過規劃數據安全組織管理體系架構,制定制度流程規范體系,建設數據安全技術防護體系,數據安全運營平臺等,進行全生命周期數據安全治理體系構建。
05.組織管理體系建設
建立相互促進、相互監督的數據安全管理機制與組織機構,明確崗位人員職責與能力等。組織管理體系參考示例如下:
06.制度流程體系建設
制定數據安全相關體系文檔,包括不限于明確數據全生命周期管理要求,訪問權限管理,安全人員管理,合作方管理,安全應急響應,安全風險評估,安全教育培訓等。制度流程體系參考示例如下:
07.技術防護體系建設
通過構建覆蓋采集、傳輸、存儲、處理、共享、銷毀等數據全生命周期的技術能力防護體系,保障數據安全管理意圖可以充分體現,保障政務大數據中心的數據安全。技術防護體系建設參考示例如下:
08.數據安全運營平臺建設
通過數據安全運營平臺建設,實現統一的數據安全運營監控,數據資產態勢、安全風險態勢、健康態勢、脆弱性態勢、數據流動、數據分布等實時感知呈現,實現事件分析與挖掘,風險趨勢預測,智能預警,應急響應,聯防聯控等,參考示例如下:
09.持續優化
數據安全治理體系建設是一個復雜的系統化工程,需要根據實際情況不斷的進行修正、持續優化,如持續進行組織安全職責的細化與完善,數據安全標準、規范及指南等修訂,人員數據安全意識與能力持續提升,數據安全技術防護體系升級與更新換代等,保障數據安全管控措施的持續有效性。
· 客戶價值
全面性:進行全面的數據資產梳理及數據安全風險評估,為用戶建立完善的數據安全管理體系,完善的制度流程規范體系,提高數據安全治理能力。
統一性:構建統一的聯動聯防、合成作戰的數據安全防控體系,可應對更加復雜的數據安全威脅及問題,提升數據安全防控能力。
智能化:構建一套AI分析與自學習智能化防護系統,能夠快速對數據安全問題進行學習建模,行為預判,提高數據安全防護工作效果。
可視化:提供全方位的數據安全運營可視化能力,實現風險行為的快速識別與定位。
開放性:方案具備靈活開放的平臺架構設計,可利舊,可接入第三方廠商數據安全產品。
