五月婷婷婷之激情综合-亚洲国产香蕉视频欧美-国产蜜臀av在线一区尤物-日韩精品乱码久久久久

數(shù)字經(jīng)濟(jì)的安全基石

公司

首頁 > 關(guān)于我們 > 安恒動態(tài) > 2022 > 正文

政務(wù)行業(yè)數(shù)據(jù)安全體系化建設(shè)探索與實(shí)踐

閱讀量:文章來源:安恒信息



安恒信息安全咨詢講武堂


講武堂,帶兵者研究武學(xué)之所。今設(shè)“安恒信息安全咨詢講武堂”,與圈內(nèi)人士共同聚焦、分享安全咨詢領(lǐng)域的心得體會與實(shí)踐經(jīng)驗。

本期聚焦政務(wù)行業(yè)數(shù)據(jù)安全建設(shè)痛點(diǎn),提出體系化實(shí)踐路徑,歡迎大家文末留言探討。


前言


2022年4月19日,中央全面深化改革委員會第二十五次會議審議通過了《關(guān)于加強(qiáng)數(shù)字政府建設(shè)的指導(dǎo)意見》,強(qiáng)調(diào)把數(shù)字技術(shù)廣泛應(yīng)用于政府管理服務(wù),推動政府?dāng)?shù)字化、智能化運(yùn)行,為推進(jìn)國家治理體系和治理能力現(xiàn)代化提供有力支撐。2022年9月13日,國務(wù)院辦公廳印發(fā)《全國一體化政務(wù)大數(shù)據(jù)體系建設(shè)指南》,強(qiáng)調(diào)要加強(qiáng)數(shù)據(jù)匯聚融合、共享開放和開發(fā)利用,促進(jìn)數(shù)據(jù)依法有序流動。由此可見,數(shù)字化時代,數(shù)據(jù)的依法有效利用和共享,是數(shù)字政府建設(shè)的關(guān)鍵。

據(jù)以往政府?dāng)?shù)據(jù)安全實(shí)踐表明,接觸到數(shù)據(jù)團(tuán)隊較多、數(shù)據(jù)流程復(fù)雜、安全風(fēng)險較大是其顯著特點(diǎn)。所以如何在復(fù)雜權(quán)責(zé)背景下確保政務(wù)數(shù)據(jù)共享流通的合法合規(guī),面臨各類風(fēng)險威脅時確保數(shù)據(jù)安全保護(hù)能力持續(xù)有效,是政務(wù)行業(yè)亟待解決的問題。






一、政務(wù)行業(yè)數(shù)據(jù)安全防護(hù)思路


隨著數(shù)字政府的建設(shè)和深化改革,數(shù)據(jù)量激增,數(shù)據(jù)調(diào)用常態(tài)化,數(shù)據(jù)處理活動變得頻繁,數(shù)據(jù)遍布各組件、系統(tǒng)、終端等,以網(wǎng)絡(luò)和系統(tǒng)為中心和邊界的防護(hù)思路已無法滿足當(dāng)下數(shù)據(jù)安全需求,無法從數(shù)據(jù)價值、數(shù)據(jù)類型以及業(yè)務(wù)關(guān)系的角度對數(shù)據(jù)資產(chǎn)進(jìn)行梳理。以數(shù)據(jù)為中心的數(shù)據(jù)安全保護(hù)思路成為解決數(shù)據(jù)安全風(fēng)險的關(guān)鍵,從數(shù)據(jù)生產(chǎn)、存儲、確權(quán)、流通等全生命周期考慮,梳理數(shù)據(jù)流轉(zhuǎn)節(jié)點(diǎn),并基于流轉(zhuǎn)過程發(fā)現(xiàn)風(fēng)險、解決風(fēng)險是有力的防護(hù)手段。

政務(wù)行業(yè)數(shù)據(jù)具有監(jiān)管要求嚴(yán)格、風(fēng)險點(diǎn)位多、流動及應(yīng)用場景復(fù)雜等特點(diǎn),以往單一依賴合規(guī)、單點(diǎn)安全工具安全建設(shè)思路無法全面保障政務(wù)數(shù)據(jù)的安全性。采用安全咨詢規(guī)劃視角,切實(shí)進(jìn)行數(shù)據(jù)安全管理、技術(shù)、運(yùn)營體系化建設(shè),是政務(wù)行業(yè)數(shù)據(jù)安全防護(hù)的必經(jīng)之路。






二、政務(wù)行業(yè)數(shù)據(jù)安全建設(shè)痛點(diǎn)分析研究


Part.1

數(shù)據(jù)安全建設(shè)職責(zé)劃分不清,

呈現(xiàn)“九龍治水”的特點(diǎn)。


政務(wù)大數(shù)據(jù)局(政務(wù)服務(wù)數(shù)據(jù)管理局)內(nèi)部劃分出數(shù)據(jù)資源部以及網(wǎng)絡(luò)安全部門,數(shù)據(jù)資源部門的主要職責(zé)是政務(wù)數(shù)據(jù)的管理,包括數(shù)據(jù)的采集、匯聚分析、共享管理等,網(wǎng)絡(luò)安全部門的主要職責(zé)是基礎(chǔ)網(wǎng)絡(luò)環(huán)境的安全保障建設(shè),但數(shù)據(jù)安全的職責(zé)卻并不清晰,原因有二:其一是數(shù)據(jù)安全與業(yè)務(wù)結(jié)合緊密,與傳統(tǒng)網(wǎng)絡(luò)安全建設(shè)差距較大;其二是數(shù)據(jù)安全是數(shù)據(jù)治理的一部分,但又是網(wǎng)絡(luò)安全的一部分,網(wǎng)絡(luò)環(huán)境存在風(fēng)險仍可導(dǎo)致數(shù)據(jù)風(fēng)險。所以數(shù)據(jù)資源部開展數(shù)據(jù)治理工作,網(wǎng)絡(luò)安全部門開展數(shù)據(jù)安全工作,兩者之間存在不同程度的重復(fù)建設(shè)問題。


Part.2

數(shù)據(jù)分類分級實(shí)踐難落地,

如何落實(shí)防護(hù)保障不明晰。


數(shù)據(jù)分類分級從國家到行業(yè)已發(fā)布相關(guān)的標(biāo)準(zhǔn)指南,但數(shù)據(jù)分類分級標(biāo)準(zhǔn)都停留頂層設(shè)計和框架階段,對不同的業(yè)務(wù)場景的實(shí)踐落地缺乏細(xì)則指導(dǎo),分類分級是在平臺上落地還是通過第三方工具落地難抉擇,分類分級之后如何落實(shí)防護(hù)保障不明晰。


Part.3

各應(yīng)用開發(fā)商的開發(fā)標(biāo)準(zhǔn)不一,

導(dǎo)致在業(yè)務(wù)系統(tǒng)層面存在很大的安全問題


數(shù)據(jù)是依托于網(wǎng)絡(luò)環(huán)境和業(yè)務(wù)應(yīng)用流通的,所以數(shù)據(jù)與業(yè)務(wù)應(yīng)用結(jié)合較為緊密,但政務(wù)行業(yè)的業(yè)務(wù)系統(tǒng)均是委托第三方開發(fā)業(yè)務(wù),各業(yè)務(wù)開發(fā)商對安全層面的考慮各不相同,所以存在不同程度的安全風(fēng)險。同時,各業(yè)務(wù)系統(tǒng)大多數(shù)為業(yè)務(wù)協(xié)同及數(shù)據(jù)共享做設(shè)計,主要以開放API接口的方式進(jìn)行數(shù)據(jù)和業(yè)務(wù)的調(diào)用,業(yè)務(wù)邏輯更為復(fù)雜,存在的安全風(fēng)險就更大。






三、政務(wù)行業(yè)數(shù)據(jù)安全體系化建設(shè)路徑探索和實(shí)踐


基于以上的市場需求轉(zhuǎn)變以及行業(yè)痛點(diǎn)分析,安恒信息結(jié)合以往政務(wù)行業(yè)的項目經(jīng)驗,針對數(shù)據(jù)安全的體系化建設(shè)給出以下實(shí)踐方案:



1、明確權(quán)責(zé)劃分

以政務(wù)大數(shù)據(jù)局為例,明確網(wǎng)信部門與大數(shù)據(jù)局的職責(zé)劃分,明確數(shù)據(jù)資源管理部門與網(wǎng)絡(luò)安全部門的職責(zé)劃分,根據(jù)首席數(shù)據(jù)官的設(shè)立,在數(shù)字政府建設(shè)安全小組,政務(wù)數(shù)據(jù)安全的職責(zé)在大數(shù)據(jù)局,同時數(shù)據(jù)資源管理部門與網(wǎng)絡(luò)安全部門明確分工,針對不同的業(yè)務(wù)工作梳理角色矩陣,建立細(xì)粒度的職責(zé)劃分。

2、數(shù)據(jù)安全合規(guī)評估

政務(wù)行業(yè)數(shù)據(jù)體量大,且數(shù)據(jù)敏感程度較高,所以開展數(shù)據(jù)安全工作需要以咨詢的角度切入,開展數(shù)據(jù)安全評估,基于評估的結(jié)果進(jìn)行數(shù)據(jù)安全體系化規(guī)劃,此路徑經(jīng)實(shí)踐檢驗,科學(xué)有效,可操作性強(qiáng)。數(shù)據(jù)安全合規(guī)評估以業(yè)務(wù)系統(tǒng)為單位,確定合規(guī)評估的范圍,明確合規(guī)評估的依據(jù),形成合規(guī)指標(biāo),開展差距分析,并形成合規(guī)評估報告。


3、開展數(shù)據(jù)分類分級工作

分類分級是數(shù)據(jù)全流程動態(tài)保護(hù)的基本前提,需要建立《政務(wù)數(shù)據(jù)分類分級指南》,基于《政務(wù)數(shù)據(jù)分類分級指南》的要求,多視角開展數(shù)據(jù)定級工作,在政務(wù)共享平臺以數(shù)據(jù)共享的視角開展定級,例如“公開、有條件申請、審批通過可看……”等,同時基于安全防護(hù)的角度定級,不同級別的數(shù)據(jù)在存儲、傳輸、共享等流程中需要采取加密、脫敏等措施。

4、數(shù)據(jù)安全體系化建設(shè)

根據(jù)分類分級的結(jié)果,不同級別的數(shù)據(jù),采取不同的防護(hù)手段,通過全面了解數(shù)據(jù)安全威脅,建立數(shù)據(jù)安全解決方案,數(shù)據(jù)安全運(yùn)營能力建設(shè),實(shí)現(xiàn)數(shù)據(jù)安全運(yùn)營流程化、集中化。同時,數(shù)據(jù)安全治理需要數(shù)據(jù)安全管理方建立管理能力和運(yùn)營監(jiān)管能力,數(shù)據(jù)安全運(yùn)營方建立日常運(yùn)營(監(jiān)測和管理)能力,數(shù)據(jù)作業(yè)方建立監(jiān)測和防護(hù)能力,從而構(gòu)建運(yùn)營體系、管理體系、技術(shù)體系相輔相成的行之有效的數(shù)據(jù)安全治理體系。


在管理制度建設(shè)層面,在考慮建設(shè)數(shù)據(jù)安全制度的同時,需要考慮客戶已有的網(wǎng)絡(luò)安全制度,充分考慮與現(xiàn)有的網(wǎng)絡(luò)安全管理制度的融合。

在數(shù)據(jù)安全技術(shù)管控層面,基于數(shù)據(jù)業(yè)務(wù)流程與具體應(yīng)用場景對不同級別的數(shù)據(jù)進(jìn)行針對性技術(shù)防護(hù)。采取數(shù)據(jù)傳輸加密、存儲加密、脫敏、水印、訪問控制、審計、API接口鑒權(quán)及監(jiān)控等技術(shù)措施,全面覆蓋數(shù)據(jù)全生命周期過程。

在數(shù)據(jù)安全運(yùn)營建設(shè)層面,建立數(shù)據(jù)安全運(yùn)營“團(tuán)隊+機(jī)制+工具+服務(wù)”的數(shù)據(jù)安全運(yùn)營體系,運(yùn)營是數(shù)據(jù)安全建設(shè)最重要的一步,管理體系和技術(shù)體系是否能更好地落地依托于運(yùn)營體系的建設(shè),通過數(shù)據(jù)安全運(yùn)營實(shí)現(xiàn)持續(xù)化的運(yùn)營落地,形成閉環(huán)優(yōu)化的機(jī)制。



總結(jié)

summary

對于政務(wù)行業(yè),數(shù)據(jù)驅(qū)動政務(wù)業(yè)務(wù)發(fā)展是數(shù)字經(jīng)濟(jì)時代的顯著特征,實(shí)現(xiàn)數(shù)據(jù)開發(fā)利用和安全合規(guī)的平衡是個重要問題,同時有規(guī)劃地逐步構(gòu)建數(shù)據(jù)安全能力,使得數(shù)據(jù)安全治理與數(shù)字經(jīng)濟(jì)的發(fā)展相輔相成,才是正確的數(shù)據(jù)安全治理之道。



關(guān)閉

客服在線咨詢?nèi)肟?,期待與您交流

線上咨詢
聯(lián)系我們

咨詢電話:400-6059-110

產(chǎn)品試用

即刻預(yù)約免費(fèi)試用,我們將在24小時內(nèi)聯(lián)系您

微信咨詢
安恒信息聯(lián)系方式