進入數(shù)字經(jīng)濟時代,數(shù)據(jù)成為關(guān)鍵生產(chǎn)要素,數(shù)據(jù)價值日益凸顯,數(shù)據(jù)安全事件日益頻發(fā),對政府、企業(yè)組織及個人在政治經(jīng)濟生活等各方面造成巨大的損害。政府部門擁有海量數(shù)據(jù)資源,政務(wù)數(shù)據(jù)安全保障成為一個必選項,如何全方位構(gòu)筑數(shù)據(jù)安全,為數(shù)字經(jīng)濟保駕護航,也已被提升到了國家戰(zhàn)略高度。
2021年9月1日實施的《數(shù)據(jù)安全法》規(guī)定:
1.對政務(wù)數(shù)據(jù)的“安全與開放”作出規(guī)定,明確了國家機關(guān)相關(guān)行為規(guī)范,包括“在法定職責(zé)內(nèi)收集使用數(shù)據(jù),……數(shù)據(jù)依法保密”(第三十八條);
2.“建立健全數(shù)據(jù)安全管理制度,落實數(shù)據(jù)安全保護責(zé)任,保障政務(wù)數(shù)據(jù)安全”(第三十九條);
3.“國家制定政務(wù)數(shù)據(jù)開放目錄,構(gòu)建統(tǒng)一規(guī)范、互聯(lián)互通、安全可控的政務(wù)數(shù)據(jù)開放平臺”(第四十二條)。
2021年11月1日實施的《個人信息保護法》針對個人信息數(shù)據(jù)安全防護以專門章節(jié)對國家機關(guān)處理個人信息做了特別規(guī)定。同時,各省市出臺的標準、規(guī)范等針對個人數(shù)據(jù)、公共數(shù)據(jù)等數(shù)據(jù)收集、加工、共享、開放、交易、應(yīng)用等數(shù)據(jù)安全要求,以及政務(wù)服務(wù)數(shù)據(jù)管理部門的數(shù)據(jù)安全職責(zé)也作了更詳細的規(guī)定與要求。
· 需求與挑戰(zhàn)
政務(wù)大數(shù)據(jù)中心集中存儲著大量個人隱私數(shù)據(jù)、敏感數(shù)據(jù)、機密數(shù)據(jù)以及分析后的價值成果數(shù)據(jù)等。典型政務(wù)數(shù)據(jù)中心業(yè)務(wù)應(yīng)用平臺架構(gòu)參考如下:
從數(shù)據(jù)全生命周期角度,從管理、制度規(guī)范、技術(shù)等維度,政務(wù)大數(shù)據(jù)中心數(shù)據(jù)安全治理主要關(guān)注需求點參考如下:
為滿足數(shù)據(jù)安全防護需求,構(gòu)建政務(wù)大數(shù)據(jù)中心數(shù)據(jù)安全治理體系主要面臨以下幾個方面挑戰(zhàn):
1)待建立健全數(shù)據(jù)安全組織,明確或完善數(shù)據(jù)安全崗位及責(zé)任,明確或完善數(shù)據(jù)安全建設(shè)戰(zhàn)略目標與規(guī)劃,持續(xù)有計劃有步驟的實施;
2)待建立健全完整清晰的制度流程規(guī)范,使數(shù)據(jù)安全建設(shè)執(zhí)行與監(jiān)管做到有據(jù)可依;
3)待構(gòu)建覆蓋全數(shù)據(jù)形態(tài)、全數(shù)據(jù)生命周期、全流通環(huán)節(jié)數(shù)據(jù)安全場景的統(tǒng)一的技術(shù)防護體系,避免產(chǎn)品堆疊、重復(fù)建設(shè)、產(chǎn)品割裂、無法聯(lián)動、無法合成作戰(zhàn)的問題;
4)數(shù)據(jù)安全人員安全意識及安全能力待提升。
· 數(shù)據(jù)安全治理體系建設(shè)
01.現(xiàn)狀梳理
通過現(xiàn)場問答、問卷、技術(shù)工具(數(shù)據(jù)資產(chǎn)梳理與分類分級、漏洞掃描與分析工具等)對數(shù)據(jù)安全現(xiàn)狀進行梳理。
通過現(xiàn)場問答、問卷調(diào)查等,獲取網(wǎng)絡(luò)拓撲、網(wǎng)絡(luò)安全區(qū)域、安全設(shè)備情況、應(yīng)用系統(tǒng)情況、業(yè)務(wù)數(shù)據(jù)使用情況、開發(fā)運維安全情況、大數(shù)據(jù)平臺、數(shù)據(jù)庫、數(shù)據(jù)流向、制度文檔規(guī)范等信息化建設(shè)及安全建設(shè)現(xiàn)狀。
通過工具,如采用資產(chǎn)梳理及分類分級工具進行數(shù)據(jù)資產(chǎn)梳理,完成對數(shù)據(jù)資產(chǎn)全面細粒度的梳理與掌控:
通過工具發(fā)現(xiàn)安全風(fēng)險問題(如:密碼明文傳輸?shù)龋?/span>
02.風(fēng)險評估
參考《信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型》數(shù)據(jù)安全過程域體系,并基于政務(wù)大數(shù)據(jù)中心實際情況構(gòu)建數(shù)據(jù)安全指標評估體系,進行定性及定量數(shù)據(jù)安全風(fēng)險分析評估,為數(shù)據(jù)安全方案規(guī)劃建設(shè)提供依據(jù)。
數(shù)據(jù)安全過程域體系:
安全域評估參考示例如下:
數(shù)據(jù)安全指標評估體系,參考示例如下:
03.差距分析
分析當前數(shù)據(jù)安全治理體系建設(shè)與目標的差距,如可參考《信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型》能力成熟度等級3“充分定義”級要求為基線,識別與目標3級的差距,指導(dǎo)后續(xù)數(shù)據(jù)安全能力建設(shè),參考如下圖:
04.方案建設(shè)
通過規(guī)劃數(shù)據(jù)安全組織管理體系架構(gòu),制定制度流程規(guī)范體系,建設(shè)數(shù)據(jù)安全技術(shù)防護體系,數(shù)據(jù)安全運營平臺等,進行全生命周期數(shù)據(jù)安全治理體系構(gòu)建。
05.組織管理體系建設(shè)
建立相互促進、相互監(jiān)督的數(shù)據(jù)安全管理機制與組織機構(gòu),明確崗位人員職責(zé)與能力等。組織管理體系參考示例如下:
06.制度流程體系建設(shè)
制定數(shù)據(jù)安全相關(guān)體系文檔,包括不限于明確數(shù)據(jù)全生命周期管理要求,訪問權(quán)限管理,安全人員管理,合作方管理,安全應(yīng)急響應(yīng),安全風(fēng)險評估,安全教育培訓(xùn)等。制度流程體系參考示例如下:
07.技術(shù)防護體系建設(shè)
通過構(gòu)建覆蓋采集、傳輸、存儲、處理、共享、銷毀等數(shù)據(jù)全生命周期的技術(shù)能力防護體系,保障數(shù)據(jù)安全管理意圖可以充分體現(xiàn),保障政務(wù)大數(shù)據(jù)中心的數(shù)據(jù)安全。技術(shù)防護體系建設(shè)參考示例如下:
08.數(shù)據(jù)安全運營平臺建設(shè)
通過數(shù)據(jù)安全運營平臺建設(shè),實現(xiàn)統(tǒng)一的數(shù)據(jù)安全運營監(jiān)控,數(shù)據(jù)資產(chǎn)態(tài)勢、安全風(fēng)險態(tài)勢、健康態(tài)勢、脆弱性態(tài)勢、數(shù)據(jù)流動、數(shù)據(jù)分布等實時感知呈現(xiàn),實現(xiàn)事件分析與挖掘,風(fēng)險趨勢預(yù)測,智能預(yù)警,應(yīng)急響應(yīng),聯(lián)防聯(lián)控等,參考示例如下:
09.持續(xù)優(yōu)化
數(shù)據(jù)安全治理體系建設(shè)是一個復(fù)雜的系統(tǒng)化工程,需要根據(jù)實際情況不斷的進行修正、持續(xù)優(yōu)化,如持續(xù)進行組織安全職責(zé)的細化與完善,數(shù)據(jù)安全標準、規(guī)范及指南等修訂,人員數(shù)據(jù)安全意識與能力持續(xù)提升,數(shù)據(jù)安全技術(shù)防護體系升級與更新?lián)Q代等,保障數(shù)據(jù)安全管控措施的持續(xù)有效性。
· 客戶價值
全面性:進行全面的數(shù)據(jù)資產(chǎn)梳理及數(shù)據(jù)安全風(fēng)險評估,為用戶建立完善的數(shù)據(jù)安全管理體系,完善的制度流程規(guī)范體系,提高數(shù)據(jù)安全治理能力。
統(tǒng)一性:構(gòu)建統(tǒng)一的聯(lián)動聯(lián)防、合成作戰(zhàn)的數(shù)據(jù)安全防控體系,可應(yīng)對更加復(fù)雜的數(shù)據(jù)安全威脅及問題,提升數(shù)據(jù)安全防控能力。
智能化:構(gòu)建一套AI分析與自學(xué)習(xí)智能化防護系統(tǒng),能夠快速對數(shù)據(jù)安全問題進行學(xué)習(xí)建模,行為預(yù)判,提高數(shù)據(jù)安全防護工作效果。
可視化:提供全方位的數(shù)據(jù)安全運營可視化能力,實現(xiàn)風(fēng)險行為的快速識別與定位。
開放性:方案具備靈活開放的平臺架構(gòu)設(shè)計,可利舊,可接入第三方廠商數(shù)據(jù)安全產(chǎn)品。
