伴随着社会及经济数字化转型的深入,数字政府的建设要求也在逐步提高。十四五规划中更是提出了要加快建设数字经济、数字社会、数字政府的步伐,以数字化转型整体驱动生产方式、生活方式和治理方式变革,推进网络强国的建设的目标。
在提升政府数字化水平的过程中,各类信息技术将被广泛应用于政府管理服务和业务中,实现公共数据开放共享、推动政务信息化共建共用,提高决策科学性和服务效率。而《网络安全法》、《数据安全法》、《网络数据安全标准体系建设指南》以及《个人信息保护法》等一系列法规政策的出台,则对政务大数据平台数据资源全生命周期的保护提出了更明确的要求,需要切实保障政务信息资源在开发利用、分享交换等过程中的数据安全,建立统一规范、互联互通、安全可控的政务大数据开放共享平台,推动政务数据开放利用,共同营造开放、安全的数字新生态。
政务大数据平台安全合规建设要点与策略
要点1.数据分类分级管理
策略:根据业务属性及数据域模式进行划分,同时考虑数据特征、数据从属等共性关系,以及数据资产的关键属性、重要性及数据资产泄露对国民经济的影响程度,制定内部分级分类标准。构建数据安全管理平台的同时制作数据识别模型和规则,使数据资产安全管理平台获得分类分级能力;发现、监测系统中存储和流转的敏感数据。
要点2.全生命周期的数据安全管理
策略:基于数据视角,对数据的完整生命周期进行梳理,从数据生命周期的各个关键环节包括数据采集、存储、使用、共享、传输、销毁等,进行监测和防护,动态监控数据流向,确保数据全生命周期安全可控。
要点3.敏感数据的安全防护
策略:利用合规检查系统对服务器、数据库、应用系统、网络流量等进行敏感数据资产分布情况、涉密数据存储情况进行检测分析。梳理与发现单位敏感数据,清晰了解敏感数据总体安全流转状况并发现潜在的安全风险。同时,通过数据脱敏系统,将需要与第三方共享的数据进行去标识化处理,防止敏感内容的外泄。
要点4.规范内部数据使用
策略:从数据的流转和访问维度进行监控,对政务大数据平台的异常行为进行监测和判断,规范用户业务操作行为,避免因为不规范的操作造成数据的安全风险。
要点5.强化安全合规意识
策略:建立健全数据安全管理制度,定期对平台相关管理人员开展数据安全培训,加强重要数据和个人信息安全风险意识;让数据安全合规贯彻落实到日常工作中,减少安全事件发生,提升安全管理效率。
要点6.满足监管合规检测要求
策略:合规是安全防护中最重要的基础工作,加强对相关法律法规政策的学习,对标《网络安全法》、《数据安全法》等相关法律,利用平台的建设帮助识别安全合规风险,发现问题并及时修复,以满足监管部门要求的安全条件,确保政务大数据平台的安全合规。
政务大数据平台安全合规建设实践
实践背景:
数据资源管理局作为政务数据管理的核心单位,其政务大数据平台汇聚了各局委办单位的政务数据,这些数据又会被其他单位调用,数据安全问题成为重点工作之一。在《网络安全法》、《数据安全法》、《个人信息保护法》等相关政策的要求下,大数据平台要满足国家与行业数据安全合规性要求,实现全网数据安全的全面、统一、高效管控,解决敏感数据泄露问题,实现数据安全能力的不断扩展、强大,满足大数据平台长期、持续性数据安全需求。
业务需求:
基于当前数据环境多源多样化、复杂化的特点,各地数据资源管理局政务大数据平台会面临着以下数据安全风险:
1.缺乏有效的技术手段和防护策略,且无法防止内部人员滥用数据
2.在各业务部门数据归集之前,无法确认归集数据是否存在涉密、敏感数据,归集数据是否安全合规
3.无法感知敏感数据的流转和使用,因此也无法发现敏感数据的安全风险
4.缺乏对各应用部门调取数据的安全监控,存在非法人员调取数据或合法人员滥用数据风等风险
解决方案:
世平信息构建的数据安全统一管控平台,可通过归集前的合规检测与数据全生命周期各环节的数据安全管控,达到“事前发现、事中监控、事后处置”的数据安全合规要求,实现安全问题及时预警、安全风险提早规避的目标和效果。
方案主要包含以下几个方面:
安全统一管控
建设数据安全统一管控平台,实现合规检测与响应,满足数据资产管理和数据安全防护需求,构建整体数据安全防护体系。
归集数据合规检查
帮助数据资源管理局完成对单位归集数据交换前置库合规性检查,检测来自各委办局数据的合规性(有无涉密数据,有无涉政数据),确保归集至数管局数据为符合要求的合法、合规数据。
流转数据合规监控
可针对数据调用过程进行全程监控,避免非法人员获取或合规人员滥用数据;针对网络中传输的数据提供敏感内容识别、定位和实时预警。
方案价值:
帮助数据资源管理局满足“保密法”、《网络安全法》、《数据安全法》、等保2.0、《个人信息保护法》等相关政策合规性要求。
通过对数据从归集到调用的全程监控,有效降低数据滥用、数据有意/无意泄露的风险,建立起一道数据安全屏障。
安全事件统一汇总上报,结合平台内置的分析模型,对安全事件进行分析展示,并对数据安全进行预测和趋势分析,为决策者提供安全决策依据。