AI+安全
數據安全
數據基礎設施
態勢感知
云安全
基礎安全
終端安全
商用密碼
軟件供應鏈安全
網絡空間靶場
工業互聯網安全
物聯網安全
安全托管服務
運營管理服務
公司
政務行業數據安全體系化建設探索與實踐
安恒信息安全咨詢講武堂
講武堂,帶兵者研究武學之所。今設“安恒信息安全咨詢講武堂”,與圈內人士共同聚焦、分享安全咨詢領域的心得體會與實踐經驗。
本期聚焦政務行業數據安全建設痛點,提出體系化實踐路徑,歡迎大家文末留言探討。
前言
2022年4月19日,中央全面深化改革委員會第二十五次會議審議通過了《關于加強數字政府建設的指導意見》,強調把數字技術廣泛應用于政府管理服務,推動政府數字化、智能化運行,為推進國家治理體系和治理能力現代化提供有力支撐。2022年9月13日,國務院辦公廳印發《全國一體化政務大數據體系建設指南》,強調要加強數據匯聚融合、共享開放和開發利用,促進數據依法有序流動。由此可見,數字化時代,數據的依法有效利用和共享,是數字政府建設的關鍵。
據以往政府數據安全實踐表明,接觸到數據團隊較多、數據流程復雜、安全風險較大是其顯著特點。所以如何在復雜權責背景下確保政務數據共享流通的合法合規,面臨各類風險威脅時確保數據安全保護能力持續有效,是政務行業亟待解決的問題。
一、政務行業數據安全防護思路
隨著數字政府的建設和深化改革,數據量激增,數據調用常態化,數據處理活動變得頻繁,數據遍布各組件、系統、終端等,以網絡和系統為中心和邊界的防護思路已無法滿足當下數據安全需求,無法從數據價值、數據類型以及業務關系的角度對數據資產進行梳理。以數據為中心的數據安全保護思路成為解決數據安全風險的關鍵,從數據生產、存儲、確權、流通等全生命周期考慮,梳理數據流轉節點,并基于流轉過程發現風險、解決風險是有力的防護手段。
政務行業數據具有監管要求嚴格、風險點位多、流動及應用場景復雜等特點,以往單一依賴合規、單點安全工具安全建設思路無法全面保障政務數據的安全性。采用安全咨詢規劃視角,切實進行數據安全管理、技術、運營體系化建設,是政務行業數據安全防護的必經之路。
二、政務行業數據安全建設痛點分析研究
Part.1
數據安全建設職責劃分不清,
呈現“九龍治水”的特點。
政務大數據局(政務服務數據管理局)內部劃分出數據資源部以及網絡安全部門,數據資源部門的主要職責是政務數據的管理,包括數據的采集、匯聚分析、共享管理等,網絡安全部門的主要職責是基礎網絡環境的安全保障建設,但數據安全的職責卻并不清晰,原因有二:其一是數據安全與業務結合緊密,與傳統網絡安全建設差距較大;其二是數據安全是數據治理的一部分,但又是網絡安全的一部分,網絡環境存在風險仍可導致數據風險。所以數據資源部開展數據治理工作,網絡安全部門開展數據安全工作,兩者之間存在不同程度的重復建設問題。
Part.2
數據分類分級實踐難落地,
如何落實防護保障不明晰。
數據分類分級從國家到行業已發布相關的標準指南,但數據分類分級標準都停留頂層設計和框架階段,對不同的業務場景的實踐落地缺乏細則指導,分類分級是在平臺上落地還是通過第三方工具落地難抉擇,分類分級之后如何落實防護保障不明晰。
Part.3
各應用開發商的開發標準不一,
導致在業務系統層面存在很大的安全問題
數據是依托于網絡環境和業務應用流通的,所以數據與業務應用結合較為緊密,但政務行業的業務系統均是委托第三方開發業務,各業務開發商對安全層面的考慮各不相同,所以存在不同程度的安全風險。同時,各業務系統大多數為業務協同及數據共享做設計,主要以開放API接口的方式進行數據和業務的調用,業務邏輯更為復雜,存在的安全風險就更大。
三、政務行業數據安全體系化建設路徑探索和實踐
基于以上的市場需求轉變以及行業痛點分析,安恒信息結合以往政務行業的項目經驗,針對數據安全的體系化建設給出以下實踐方案:
1、明確權責劃分
以政務大數據局為例,明確網信部門與大數據局的職責劃分,明確數據資源管理部門與網絡安全部門的職責劃分,根據首席數據官的設立,在數字政府建設安全小組,政務數據安全的職責在大數據局,同時數據資源管理部門與網絡安全部門明確分工,針對不同的業務工作梳理角色矩陣,建立細粒度的職責劃分。
2、數據安全合規評估
政務行業數據體量大,且數據敏感程度較高,所以開展數據安全工作需要以咨詢的角度切入,開展數據安全評估,基于評估的結果進行數據安全體系化規劃,此路徑經實踐檢驗,科學有效,可操作性強。數據安全合規評估以業務系統為單位,確定合規評估的范圍,明確合規評估的依據,形成合規指標,開展差距分析,并形成合規評估報告。
3、開展數據分類分級工作
分類分級是數據全流程動態保護的基本前提,需要建立《政務數據分類分級指南》,基于《政務數據分類分級指南》的要求,多視角開展數據定級工作,在政務共享平臺以數據共享的視角開展定級,例如“公開、有條件申請、審批通過可看……”等,同時基于安全防護的角度定級,不同級別的數據在存儲、傳輸、共享等流程中需要采取加密、脫敏等措施。
4、數據安全體系化建設
根據分類分級的結果,不同級別的數據,采取不同的防護手段,通過全面了解數據安全威脅,建立數據安全解決方案,數據安全運營能力建設,實現數據安全運營流程化、集中化。同時,數據安全治理需要數據安全管理方建立管理能力和運營監管能力,數據安全運營方建立日常運營(監測和管理)能力,數據作業方建立監測和防護能力,從而構建運營體系、管理體系、技術體系相輔相成的行之有效的數據安全治理體系。
在管理制度建設層面,在考慮建設數據安全制度的同時,需要考慮客戶已有的網絡安全制度,充分考慮與現有的網絡安全管理制度的融合。
在數據安全技術管控層面,基于數據業務流程與具體應用場景對不同級別的數據進行針對性技術防護。采取數據傳輸加密、存儲加密、脫敏、水印、訪問控制、審計、API接口鑒權及監控等技術措施,全面覆蓋數據全生命周期過程。
在數據安全運營建設層面,建立數據安全運營“團隊+機制+工具+服務”的數據安全運營體系,運營是數據安全建設最重要的一步,管理體系和技術體系是否能更好地落地依托于運營體系的建設,通過數據安全運營實現持續化的運營落地,形成閉環優化的機制。
總結
summary
對于政務行業,數據驅動政務業務發展是數字經濟時代的顯著特征,實現數據開發利用和安全合規的平衡是個重要問題,同時有規劃地逐步構建數據安全能力,使得數據安全治理與數字經濟的發展相輔相成,才是正確的數據安全治理之道。
