公司

首頁 > 關(guān)于我們 > 安恒動態(tài) > 2022 > 正文

政務(wù)行業(yè)數(shù)據(jù)安全體系化建設(shè)探索與實(shí)踐

閱讀量：次 文章來源：安恒信息

安恒信息安全咨詢講武堂

講武堂，帶兵者研究武學(xué)之所。今設(shè)“安恒信息安全咨詢講武堂”，與圈內(nèi)人士共同聚焦、分享安全咨詢領(lǐng)域的心得體會與實(shí)踐經(jīng)驗。

本期聚焦政務(wù)行業(yè)數(shù)據(jù)安全建設(shè)痛點(diǎn)，提出體系化實(shí)踐路徑，歡迎大家文末留言探討。

前言

2022年4月19日，中央全面深化改革委員會第二十五次會議審議通過了《關(guān)于加強(qiáng)數(shù)字政府建設(shè)的指導(dǎo)意見》，強(qiáng)調(diào)把數(shù)字技術(shù)廣泛應(yīng)用于政府管理服務(wù)，推動政府?dāng)?shù)字化、智能化運(yùn)行，為推進(jìn)國家治理體系和治理能力現(xiàn)代化提供有力支撐。2022年9月13日，國務(wù)院辦公廳印發(fā)《全國一體化政務(wù)大數(shù)據(jù)體系建設(shè)指南》，強(qiáng)調(diào)要加強(qiáng)數(shù)據(jù)匯聚融合、共享開放和開發(fā)利用，促進(jìn)數(shù)據(jù)依法有序流動。由此可見，數(shù)字化時代，數(shù)據(jù)的依法有效利用和共享，是數(shù)字政府建設(shè)的關(guān)鍵。

據(jù)以往政府?dāng)?shù)據(jù)安全實(shí)踐表明，接觸到數(shù)據(jù)團(tuán)隊較多、數(shù)據(jù)流程復(fù)雜、安全風(fēng)險較大是其顯著特點(diǎn)。所以如何在復(fù)雜權(quán)責(zé)背景下確保政務(wù)數(shù)據(jù)共享流通的合法合規(guī)，面臨各類風(fēng)險威脅時確保數(shù)據(jù)安全保護(hù)能力持續(xù)有效，是政務(wù)行業(yè)亟待解決的問題。

一、政務(wù)行業(yè)數(shù)據(jù)安全防護(hù)思路

隨著數(shù)字政府的建設(shè)和深化改革，數(shù)據(jù)量激增，數(shù)據(jù)調(diào)用常態(tài)化，數(shù)據(jù)處理活動變得頻繁，數(shù)據(jù)遍布各組件、系統(tǒng)、終端等，以網(wǎng)絡(luò)和系統(tǒng)為中心和邊界的防護(hù)思路已無法滿足當(dāng)下數(shù)據(jù)安全需求，無法從數(shù)據(jù)價值、數(shù)據(jù)類型以及業(yè)務(wù)關(guān)系的角度對數(shù)據(jù)資產(chǎn)進(jìn)行梳理。以數(shù)據(jù)為中心的數(shù)據(jù)安全保護(hù)思路成為解決數(shù)據(jù)安全風(fēng)險的關(guān)鍵，從數(shù)據(jù)生產(chǎn)、存儲、確權(quán)、流通等全生命周期考慮，梳理數(shù)據(jù)流轉(zhuǎn)節(jié)點(diǎn)，并基于流轉(zhuǎn)過程發(fā)現(xiàn)風(fēng)險、解決風(fēng)險是有力的防護(hù)手段。

政務(wù)行業(yè)數(shù)據(jù)具有監(jiān)管要求嚴(yán)格、風(fēng)險點(diǎn)位多、流動及應(yīng)用場景復(fù)雜等特點(diǎn)，以往單一依賴合規(guī)、單點(diǎn)安全工具安全建設(shè)思路無法全面保障政務(wù)數(shù)據(jù)的安全性。采用安全咨詢規(guī)劃視角，切實(shí)進(jìn)行數(shù)據(jù)安全管理、技術(shù)、運(yùn)營體系化建設(shè)，是政務(wù)行業(yè)數(shù)據(jù)安全防護(hù)的必經(jīng)之路。

二、政務(wù)行業(yè)數(shù)據(jù)安全建設(shè)痛點(diǎn)分析研究

Part.1

數(shù)據(jù)安全建設(shè)職責(zé)劃分不清，

呈現(xiàn)“九龍治水”的特點(diǎn)。

政務(wù)大數(shù)據(jù)局（政務(wù)服務(wù)數(shù)據(jù)管理局）內(nèi)部劃分出數(shù)據(jù)資源部以及網(wǎng)絡(luò)安全部門，數(shù)據(jù)資源部門的主要職責(zé)是政務(wù)數(shù)據(jù)的管理，包括數(shù)據(jù)的采集、匯聚分析、共享管理等，網(wǎng)絡(luò)安全部門的主要職責(zé)是基礎(chǔ)網(wǎng)絡(luò)環(huán)境的安全保障建設(shè)，但數(shù)據(jù)安全的職責(zé)卻并不清晰，原因有二：其一是數(shù)據(jù)安全與業(yè)務(wù)結(jié)合緊密，與傳統(tǒng)網(wǎng)絡(luò)安全建設(shè)差距較大；其二是數(shù)據(jù)安全是數(shù)據(jù)治理的一部分，但又是網(wǎng)絡(luò)安全的一部分，網(wǎng)絡(luò)環(huán)境存在風(fēng)險仍可導(dǎo)致數(shù)據(jù)風(fēng)險。所以數(shù)據(jù)資源部開展數(shù)據(jù)治理工作，網(wǎng)絡(luò)安全部門開展數(shù)據(jù)安全工作，兩者之間存在不同程度的重復(fù)建設(shè)問題。

Part.2

數(shù)據(jù)分類分級實(shí)踐難落地，

如何落實(shí)防護(hù)保障不明晰。

數(shù)據(jù)分類分級從國家到行業(yè)已發(fā)布相關(guān)的標(biāo)準(zhǔn)指南，但數(shù)據(jù)分類分級標(biāo)準(zhǔn)都停留頂層設(shè)計和框架階段，對不同的業(yè)務(wù)場景的實(shí)踐落地缺乏細(xì)則指導(dǎo)，分類分級是在平臺上落地還是通過第三方工具落地難抉擇，分類分級之后如何落實(shí)防護(hù)保障不明晰。

Part.3

各應(yīng)用開發(fā)商的開發(fā)標(biāo)準(zhǔn)不一，

導(dǎo)致在業(yè)務(wù)系統(tǒng)層面存在很大的安全問題

數(shù)據(jù)是依托于網(wǎng)絡(luò)環(huán)境和業(yè)務(wù)應(yīng)用流通的，所以數(shù)據(jù)與業(yè)務(wù)應(yīng)用結(jié)合較為緊密，但政務(wù)行業(yè)的業(yè)務(wù)系統(tǒng)均是委托第三方開發(fā)業(yè)務(wù)，各業(yè)務(wù)開發(fā)商對安全層面的考慮各不相同，所以存在不同程度的安全風(fēng)險。同時，各業(yè)務(wù)系統(tǒng)大多數(shù)為業(yè)務(wù)協(xié)同及數(shù)據(jù)共享做設(shè)計，主要以開放API接口的方式進(jìn)行數(shù)據(jù)和業(yè)務(wù)的調(diào)用，業(yè)務(wù)邏輯更為復(fù)雜，存在的安全風(fēng)險就更大。

三、政務(wù)行業(yè)數(shù)據(jù)安全體系化建設(shè)路徑探索和實(shí)踐

基于以上的市場需求轉(zhuǎn)變以及行業(yè)痛點(diǎn)分析，安恒信息結(jié)合以往政務(wù)行業(yè)的項目經(jīng)驗，針對數(shù)據(jù)安全的體系化建設(shè)給出以下實(shí)踐方案：

1、明確權(quán)責(zé)劃分

以政務(wù)大數(shù)據(jù)局為例，明確網(wǎng)信部門與大數(shù)據(jù)局的職責(zé)劃分，明確數(shù)據(jù)資源管理部門與網(wǎng)絡(luò)安全部門的職責(zé)劃分，根據(jù)首席數(shù)據(jù)官的設(shè)立，在數(shù)字政府建設(shè)安全小組，政務(wù)數(shù)據(jù)安全的職責(zé)在大數(shù)據(jù)局，同時數(shù)據(jù)資源管理部門與網(wǎng)絡(luò)安全部門明確分工，針對不同的業(yè)務(wù)工作梳理角色矩陣，建立細(xì)粒度的職責(zé)劃分。

2、數(shù)據(jù)安全合規(guī)評估

政務(wù)行業(yè)數(shù)據(jù)體量大，且數(shù)據(jù)敏感程度較高，所以開展數(shù)據(jù)安全工作需要以咨詢的角度切入，開展數(shù)據(jù)安全評估，基于評估的結(jié)果進(jìn)行數(shù)據(jù)安全體系化規(guī)劃，此路徑經(jīng)實(shí)踐檢驗，科學(xué)有效，可操作性強(qiáng)。數(shù)據(jù)安全合規(guī)評估以業(yè)務(wù)系統(tǒng)為單位，確定合規(guī)評估的范圍，明確合規(guī)評估的依據(jù)，形成合規(guī)指標(biāo)，開展差距分析，并形成合規(guī)評估報告。

3、開展數(shù)據(jù)分類分級工作

分類分級是數(shù)據(jù)全流程動態(tài)保護(hù)的基本前提，需要建立《政務(wù)數(shù)據(jù)分類分級指南》，基于《政務(wù)數(shù)據(jù)分類分級指南》的要求，多視角開展數(shù)據(jù)定級工作，在政務(wù)共享平臺以數(shù)據(jù)共享的視角開展定級，例如“公開、有條件申請、審批通過可看……”等，同時基于安全防護(hù)的角度定級，不同級別的數(shù)據(jù)在存儲、傳輸、共享等流程中需要采取加密、脫敏等措施。

4、數(shù)據(jù)安全體系化建設(shè)

根據(jù)分類分級的結(jié)果，不同級別的數(shù)據(jù)，采取不同的防護(hù)手段，通過全面了解數(shù)據(jù)安全威脅，建立數(shù)據(jù)安全解決方案，數(shù)據(jù)安全運(yùn)營能力建設(shè)，實(shí)現(xiàn)數(shù)據(jù)安全運(yùn)營流程化、集中化。同時，數(shù)據(jù)安全治理需要數(shù)據(jù)安全管理方建立管理能力和運(yùn)營監(jiān)管能力，數(shù)據(jù)安全運(yùn)營方建立日常運(yùn)營(監(jiān)測和管理)能力，數(shù)據(jù)作業(yè)方建立監(jiān)測和防護(hù)能力，從而構(gòu)建運(yùn)營體系、管理體系、技術(shù)體系相輔相成的行之有效的數(shù)據(jù)安全治理體系。

在管理制度建設(shè)層面，在考慮建設(shè)數(shù)據(jù)安全制度的同時，需要考慮客戶已有的網(wǎng)絡(luò)安全制度，充分考慮與現(xiàn)有的網(wǎng)絡(luò)安全管理制度的融合。

在數(shù)據(jù)安全技術(shù)管控層面，基于數(shù)據(jù)業(yè)務(wù)流程與具體應(yīng)用場景對不同級別的數(shù)據(jù)進(jìn)行針對性技術(shù)防護(hù)。采取數(shù)據(jù)傳輸加密、存儲加密、脫敏、水印、訪問控制、審計、API接口鑒權(quán)及監(jiān)控等技術(shù)措施，全面覆蓋數(shù)據(jù)全生命周期過程。

在數(shù)據(jù)安全運(yùn)營建設(shè)層面，建立數(shù)據(jù)安全運(yùn)營“團(tuán)隊+機(jī)制+工具+服務(wù)”的數(shù)據(jù)安全運(yùn)營體系，運(yùn)營是數(shù)據(jù)安全建設(shè)最重要的一步，管理體系和技術(shù)體系是否能更好地落地依托于運(yùn)營體系的建設(shè)，通過數(shù)據(jù)安全運(yùn)營實(shí)現(xiàn)持續(xù)化的運(yùn)營落地，形成閉環(huán)優(yōu)化的機(jī)制。

總結(jié)

summary

對于政務(wù)行業(yè)，數(shù)據(jù)驅(qū)動政務(wù)業(yè)務(wù)發(fā)展是數(shù)字經(jīng)濟(jì)時代的顯著特征，實(shí)現(xiàn)數(shù)據(jù)開發(fā)利用和安全合規(guī)的平衡是個重要問題，同時有規(guī)劃地逐步構(gòu)建數(shù)據(jù)安全能力，使得數(shù)據(jù)安全治理與數(shù)字經(jīng)濟(jì)的發(fā)展相輔相成，才是正確的數(shù)據(jù)安全治理之道。

關(guān)閉

數(shù)據(jù)安全

AI+安全>

數(shù)據(jù)安全>

數(shù)據(jù)基礎(chǔ)設(shè)施>

態(tài)勢感知>

云安全>

基礎(chǔ)安全>

終端安全>

商用密碼>

軟件供應(yīng)鏈安全>

網(wǎng)絡(luò)空間靶場>

工業(yè)互聯(lián)網(wǎng)安全>