安华金和“数据安全运营平台”助力政务数据安全建设,筑牢数字政府安全防线
The following article is from CCIA数据安全工作委员会 Author 雷嘉宾
2022年4月19日,习近平总书记主持召开中央全面深化改革委员会第二十五次会议,审议通过《关于加强数字政府建设的指导意见》,强调要全面贯彻网络强国战略,把数字技术广泛应用于政府管理服务,推动政府数字化、智能化运行,为推进国家治理体系和治理能力现代化提供有力支撑。其中,数据利用是数字政府建设的核心关键,为此,国家陆续出台系列法律法规来指导、保障电子政务安全建设。
案例背景
在这个过程中能够接触到数据的多个团队涵盖数据收集团队、数据治理团队、数据开放团队等。然而数据安全的建设需要由各业务团队同时建设,如何保证数据安全能力合法合规,保证安全能力持续发挥价值,确保数据处于有效保护和合法利用的状态,并具备保障持续安全状态的能力,是用户亟待解决的问题。
此外,还需严格落实GB/T 39477-2020《信息安全技术 政务信息共享 数据安全技术要求》、GBT 37973-2019《信息安全技术 大数据安全管理指南》等多项行业标准。
用户痛点
某省大数据局对于电子政务数据的处理,是委托第三方进行的,依据法律要求,“国家机关委托他人建设、维护电子政务系统,存储、加工政务数据,应当经过严格的批准程序,并应当监督受托方履行相应的数据安全保护义务”。鉴于数据接触者较多,数据流转使用场景复杂,对海量的政务数据进行安全监测、安全防护面临以下四个痛点:
1
海量数据缺乏完整的政务数据分类分级标准,无法区分重要数据,数据安全建设缺少抓手。2
涉及的网络现状复杂,缺乏从数据使用的角度对访问行为监测,管理,阻断拦截技术手段。3
数据的存量,流转,策略管理,缺乏统一的管控手段及可视化的综合管理平台,对于数据管理者的数据安全风险工作会带来诸多不便和障碍。4
数据安全建设缺乏常态化、持久化的运营来应对业务系统变化、数据安全需求变化、技术能力更迭带来的新型挑战。安全对策
01
数据分类分级
02
数据安全监测与防护
03
统一运营
通过建设数据安全管控平台,形成“数据资产管理、规范和策略管理、风险事件监测、风险态势分析”四大核心能力,实现数据安全“统一运营、集中管控”,提升数据安全技术支撑保障能力。
具体实践
系统部署
数据安全防护节点部署在数据前置机到中心数据汇聚前置机,中心数据汇聚前置机到数据治理区域,数据治理区域到数据标准库,数据标准库到数据共享开放区域,通过防护节点,保证数据的流入和流出的安全性。
对于整个平台的运维人员接触数据,需要经过数据运维安全节点经过身份认证后,方可介入数据的流转过程中。
对于开发测试环境的数据,经过数据脱敏节点处理完成之后,方才允许流入测试环境。
而对于数据监测节点,则贯穿整个数据的流传和使用过程中,所有数据的操作都在安全监测节点的监控之下进行。
同时对于核心数据的安全,根据数据分类分级结果,对四级数据进行了加密存储的保障。
治理后的数据在进行与地市同步分发时,进行了水印处理,保障数据外发后的可溯源。
在整个数据安全基础监测及防护能力之上,则部署了基于大数据组件的安全运营平台,做到安全能力集中管控、安全事件集中处置、数据资产集中管理、安全防护协同工作。
建设步骤
方案实施过程遵循以下五个建设步骤:梳理评估阶段、制度建设、数据分类分级、技术管控、策略优化。
1
梳理评估阶段
通过数据安全运营平台对数据资产现状进行统一的资产梳理和数据安全风险评估。通过人工的方式对数据应用、数据安全现状、现有数据管理制度进行调研和摸底。结合政务资源共享目录,形成初步的数据分类分级规范,经过层层把关,最终形成数据分类分级标准,并将标准落地成相应的数据分类分级知识库导入安全运营平台。2
制度建设
基于前期调研的数据应用与数据安全管理制度,结合国家和省政府针对数据安全颁布的法律法规、安全指南,初步制定一系列的数据安全管理制度、关键数据安全管理流程等相关规范文件,并结合数据分类分级规范,将制定的流程,制度规范转化为相关的安全策略,将其导入数据安全运营平台中,形成数据安全管理策略。
3
数据分类分级
结合上述数据分类分级策略,数据安全管理策略,通过数据安全运营平台对一体化大数据平台涉及的所有数据资产进行初步的数据分类分级,并基于数据的分类分级策略和数据安全管控策略实施监测和管控,将数据安全基础监测及防护能力融入数据生命周期过程中,对数据的使用全程留痕,实现风险事件及时告警,违规动作有效阻断。
4
技术管控
以业务场景为出发点,基于数据资产备案及数据分类分级的结果,将数据安全能力嵌入数据业务过程中。伴随着技术管控的落地及基础的防护策略,来保障数据使用的合规安全。5
策略优化
通过数据安全管控平台对一体化大数据平台的数据资产展开运营工作,监控数据流转过程,定期输出分析报告及整改措施,跟进整改进度。同时对数据资产进行安全备案,根据备案情况形成数据安全基线。在平台运行过程中,适时调整安全策略,跟踪安全管理制度落地情况,持续修订制度文件,使数据安全能力伴随持续运营呈现稳固上升态势。
实践效果
建设“数据安全集中监测和管控、统一运营”的“数据安全运营管控平台”,实现数据安全技术+数据安全管理+数据安全运营的能力,形成闭环可持续的数据安全管理、服务、运营能力。
数据安全监测和防护能力
通过建设数据安全基础监测能力和数据安全基础防护能力,形成数据安全的基础能力。
数据安全集中管控
通过实现集中的数据资产管理、数据安全策略管理、数据安全事件监测与处置、数据风险分析能力,形成数据安全闭环管理。
数据安全运营
通过实现数据资产安全运营、数据安全策略运营、数据安全事件运营、数据安全风险运营等能力的建设,为数据安全提供信息化支撑手段。
通过上述能力实现了数据安全运营管控的效果:
1
以数据使用场景驱动的
数据安全能力建设
根据数据使用情况抽象出多个数据业务场景,再根据业务场景的数据交互方式,进一步抽象出对应业务场景需要何种数据安全措施来支撑和保障业务的安全,并分析出相关安全措施之间的先后依赖关系;继而梳理出对应业务场景的数据安全监测与防护工作业务流,并最终形成完整的数据安全场景化模块。
2
管控与运营并举,
以运营提高安全管控能效
从“资产、合规、事件、风险”四大视角施展运营手段,通过量化每个维度的数据安全管控建设指标,以明确改进和优化点等,从而不断丰富和提升数据安全建设的完整性与成熟度。
3
以工作台引导工作,
轻松化完成日常运营
数据安全的管理、运营与执行是一系列庞杂的工作过程,数据安全运营管控平台以日常运营工作台、待办事项工作台等可视化的方式,将日常运营工作规范化、流程化、指标化——以清晰的业务流程和数据统计,引导监管与执行人员“要做什么、先做什么、后做什么、怎么去做”等等,从而解决相关工作落地难的问题,在提高工作效率的同时,大大降低运营成本投入。
在数字政府建设中维护网络和数据安全,保护个人信息权益是政府、企业、社会组织、公民共同的责任,需要各方主体协同共治,共筑安全防线。未来,安华金和将会持续深耕政务安全领域,为政务数据打造坚实的安全防护体系,为数字政府安全建设作出更大贡献。
往期推荐
第37届中国计算机应用大会|安华金和:加快构建数据安全共享协同体系
安华金和数据安全协同平台入选“2022数据安全典型实践案例”