公司

首頁 > 關(guān)于我們 > 安恒動態(tài) > 2022 > 正文

政務(wù)行業(yè)數(shù)據(jù)安全體系化建設(shè)探索與實踐

閱讀量：次 文章來源：安恒信息

安恒信息安全咨詢講武堂

講武堂，帶兵者研究武學(xué)之所。今設(shè)“安恒信息安全咨詢講武堂”，與圈內(nèi)人士共同聚焦、分享安全咨詢領(lǐng)域的心得體會與實踐經(jīng)驗。

本期聚焦政務(wù)行業(yè)數(shù)據(jù)安全建設(shè)痛點，提出體系化實踐路徑，歡迎大家文末留言探討。

前言

2022年4月19日，中央全面深化改革委員會第二十五次會議審議通過了《關(guān)于加強數(shù)字政府建設(shè)的指導(dǎo)意見》，強調(diào)把數(shù)字技術(shù)廣泛應(yīng)用于政府管理服務(wù)，推動政府?dāng)?shù)字化、智能化運行，為推進(jìn)國家治理體系和治理能力現(xiàn)代化提供有力支撐。2022年9月13日，國務(wù)院辦公廳印發(fā)《全國一體化政務(wù)大數(shù)據(jù)體系建設(shè)指南》，強調(diào)要加強數(shù)據(jù)匯聚融合、共享開放和開發(fā)利用，促進(jìn)數(shù)據(jù)依法有序流動。由此可見，數(shù)字化時代，數(shù)據(jù)的依法有效利用和共享，是數(shù)字政府建設(shè)的關(guān)鍵。

據(jù)以往政府?dāng)?shù)據(jù)安全實踐表明，接觸到數(shù)據(jù)團隊較多、數(shù)據(jù)流程復(fù)雜、安全風(fēng)險較大是其顯著特點。所以如何在復(fù)雜權(quán)責(zé)背景下確保政務(wù)數(shù)據(jù)共享流通的合法合規(guī)，面臨各類風(fēng)險威脅時確保數(shù)據(jù)安全保護能力持續(xù)有效，是政務(wù)行業(yè)亟待解決的問題。

一、政務(wù)行業(yè)數(shù)據(jù)安全防護思路

隨著數(shù)字政府的建設(shè)和深化改革，數(shù)據(jù)量激增，數(shù)據(jù)調(diào)用常態(tài)化，數(shù)據(jù)處理活動變得頻繁，數(shù)據(jù)遍布各組件、系統(tǒng)、終端等，以網(wǎng)絡(luò)和系統(tǒng)為中心和邊界的防護思路已無法滿足當(dāng)下數(shù)據(jù)安全需求，無法從數(shù)據(jù)價值、數(shù)據(jù)類型以及業(yè)務(wù)關(guān)系的角度對數(shù)據(jù)資產(chǎn)進(jìn)行梳理。以數(shù)據(jù)為中心的數(shù)據(jù)安全保護思路成為解決數(shù)據(jù)安全風(fēng)險的關(guān)鍵，從數(shù)據(jù)生產(chǎn)、存儲、確權(quán)、流通等全生命周期考慮，梳理數(shù)據(jù)流轉(zhuǎn)節(jié)點，并基于流轉(zhuǎn)過程發(fā)現(xiàn)風(fēng)險、解決風(fēng)險是有力的防護手段。

政務(wù)行業(yè)數(shù)據(jù)具有監(jiān)管要求嚴(yán)格、風(fēng)險點位多、流動及應(yīng)用場景復(fù)雜等特點，以往單一依賴合規(guī)、單點安全工具安全建設(shè)思路無法全面保障政務(wù)數(shù)據(jù)的安全性。采用安全咨詢規(guī)劃視角，切實進(jìn)行數(shù)據(jù)安全管理、技術(shù)、運營體系化建設(shè)，是政務(wù)行業(yè)數(shù)據(jù)安全防護的必經(jīng)之路。

二、政務(wù)行業(yè)數(shù)據(jù)安全建設(shè)痛點分析研究

Part.1

數(shù)據(jù)安全建設(shè)職責(zé)劃分不清，

呈現(xiàn)“九龍治水”的特點。

政務(wù)大數(shù)據(jù)局（政務(wù)服務(wù)數(shù)據(jù)管理局）內(nèi)部劃分出數(shù)據(jù)資源部以及網(wǎng)絡(luò)安全部門，數(shù)據(jù)資源部門的主要職責(zé)是政務(wù)數(shù)據(jù)的管理，包括數(shù)據(jù)的采集、匯聚分析、共享管理等，網(wǎng)絡(luò)安全部門的主要職責(zé)是基礎(chǔ)網(wǎng)絡(luò)環(huán)境的安全保障建設(shè)，但數(shù)據(jù)安全的職責(zé)卻并不清晰，原因有二：其一是數(shù)據(jù)安全與業(yè)務(wù)結(jié)合緊密，與傳統(tǒng)網(wǎng)絡(luò)安全建設(shè)差距較大；其二是數(shù)據(jù)安全是數(shù)據(jù)治理的一部分，但又是網(wǎng)絡(luò)安全的一部分，網(wǎng)絡(luò)環(huán)境存在風(fēng)險仍可導(dǎo)致數(shù)據(jù)風(fēng)險。所以數(shù)據(jù)資源部開展數(shù)據(jù)治理工作，網(wǎng)絡(luò)安全部門開展數(shù)據(jù)安全工作，兩者之間存在不同程度的重復(fù)建設(shè)問題。

Part.2

數(shù)據(jù)分類分級實踐難落地，

如何落實防護保障不明晰。

數(shù)據(jù)分類分級從國家到行業(yè)已發(fā)布相關(guān)的標(biāo)準(zhǔn)指南，但數(shù)據(jù)分類分級標(biāo)準(zhǔn)都停留頂層設(shè)計和框架階段，對不同的業(yè)務(wù)場景的實踐落地缺乏細(xì)則指導(dǎo)，分類分級是在平臺上落地還是通過第三方工具落地難抉擇，分類分級之后如何落實防護保障不明晰。

Part.3

各應(yīng)用開發(fā)商的開發(fā)標(biāo)準(zhǔn)不一，

導(dǎo)致在業(yè)務(wù)系統(tǒng)層面存在很大的安全問題

數(shù)據(jù)是依托于網(wǎng)絡(luò)環(huán)境和業(yè)務(wù)應(yīng)用流通的，所以數(shù)據(jù)與業(yè)務(wù)應(yīng)用結(jié)合較為緊密，但政務(wù)行業(yè)的業(yè)務(wù)系統(tǒng)均是委托第三方開發(fā)業(yè)務(wù)，各業(yè)務(wù)開發(fā)商對安全層面的考慮各不相同，所以存在不同程度的安全風(fēng)險。同時，各業(yè)務(wù)系統(tǒng)大多數(shù)為業(yè)務(wù)協(xié)同及數(shù)據(jù)共享做設(shè)計，主要以開放API接口的方式進(jìn)行數(shù)據(jù)和業(yè)務(wù)的調(diào)用，業(yè)務(wù)邏輯更為復(fù)雜，存在的安全風(fēng)險就更大。

三、政務(wù)行業(yè)數(shù)據(jù)安全體系化建設(shè)路徑探索和實踐

基于以上的市場需求轉(zhuǎn)變以及行業(yè)痛點分析，安恒信息結(jié)合以往政務(wù)行業(yè)的項目經(jīng)驗，針對數(shù)據(jù)安全的體系化建設(shè)給出以下實踐方案：

1、明確權(quán)責(zé)劃分

以政務(wù)大數(shù)據(jù)局為例，明確網(wǎng)信部門與大數(shù)據(jù)局的職責(zé)劃分，明確數(shù)據(jù)資源管理部門與網(wǎng)絡(luò)安全部門的職責(zé)劃分，根據(jù)首席數(shù)據(jù)官的設(shè)立，在數(shù)字政府建設(shè)安全小組，政務(wù)數(shù)據(jù)安全的職責(zé)在大數(shù)據(jù)局，同時數(shù)據(jù)資源管理部門與網(wǎng)絡(luò)安全部門明確分工，針對不同的業(yè)務(wù)工作梳理角色矩陣，建立細(xì)粒度的職責(zé)劃分。

2、數(shù)據(jù)安全合規(guī)評估

政務(wù)行業(yè)數(shù)據(jù)體量大，且數(shù)據(jù)敏感程度較高，所以開展數(shù)據(jù)安全工作需要以咨詢的角度切入，開展數(shù)據(jù)安全評估，基于評估的結(jié)果進(jìn)行數(shù)據(jù)安全體系化規(guī)劃，此路徑經(jīng)實踐檢驗，科學(xué)有效，可操作性強。數(shù)據(jù)安全合規(guī)評估以業(yè)務(wù)系統(tǒng)為單位，確定合規(guī)評估的范圍，明確合規(guī)評估的依據(jù)，形成合規(guī)指標(biāo)，開展差距分析，并形成合規(guī)評估報告。

3、開展數(shù)據(jù)分類分級工作

分類分級是數(shù)據(jù)全流程動態(tài)保護的基本前提，需要建立《政務(wù)數(shù)據(jù)分類分級指南》，基于《政務(wù)數(shù)據(jù)分類分級指南》的要求，多視角開展數(shù)據(jù)定級工作，在政務(wù)共享平臺以數(shù)據(jù)共享的視角開展定級，例如“公開、有條件申請、審批通過可看……”等，同時基于安全防護的角度定級，不同級別的數(shù)據(jù)在存儲、傳輸、共享等流程中需要采取加密、脫敏等措施。

4、數(shù)據(jù)安全體系化建設(shè)

根據(jù)分類分級的結(jié)果，不同級別的數(shù)據(jù)，采取不同的防護手段，通過全面了解數(shù)據(jù)安全威脅，建立數(shù)據(jù)安全解決方案，數(shù)據(jù)安全運營能力建設(shè)，實現(xiàn)數(shù)據(jù)安全運營流程化、集中化。同時，數(shù)據(jù)安全治理需要數(shù)據(jù)安全管理方建立管理能力和運營監(jiān)管能力，數(shù)據(jù)安全運營方建立日常運營(監(jiān)測和管理)能力，數(shù)據(jù)作業(yè)方建立監(jiān)測和防護能力，從而構(gòu)建運營體系、管理體系、技術(shù)體系相輔相成的行之有效的數(shù)據(jù)安全治理體系。

在管理制度建設(shè)層面，在考慮建設(shè)數(shù)據(jù)安全制度的同時，需要考慮客戶已有的網(wǎng)絡(luò)安全制度，充分考慮與現(xiàn)有的網(wǎng)絡(luò)安全管理制度的融合。

在數(shù)據(jù)安全技術(shù)管控層面，基于數(shù)據(jù)業(yè)務(wù)流程與具體應(yīng)用場景對不同級別的數(shù)據(jù)進(jìn)行針對性技術(shù)防護。采取數(shù)據(jù)傳輸加密、存儲加密、脫敏、水印、訪問控制、審計、API接口鑒權(quán)及監(jiān)控等技術(shù)措施，全面覆蓋數(shù)據(jù)全生命周期過程。

在數(shù)據(jù)安全運營建設(shè)層面，建立數(shù)據(jù)安全運營“團隊+機制+工具+服務(wù)”的數(shù)據(jù)安全運營體系，運營是數(shù)據(jù)安全建設(shè)最重要的一步，管理體系和技術(shù)體系是否能更好地落地依托于運營體系的建設(shè)，通過數(shù)據(jù)安全運營實現(xiàn)持續(xù)化的運營落地，形成閉環(huán)優(yōu)化的機制。

總結(jié)

summary

對于政務(wù)行業(yè)，數(shù)據(jù)驅(qū)動政務(wù)業(yè)務(wù)發(fā)展是數(shù)字經(jīng)濟時代的顯著特征，實現(xiàn)數(shù)據(jù)開發(fā)利用和安全合規(guī)的平衡是個重要問題，同時有規(guī)劃地逐步構(gòu)建數(shù)據(jù)安全能力，使得數(shù)據(jù)安全治理與數(shù)字經(jīng)濟的發(fā)展相輔相成，才是正確的數(shù)據(jù)安全治理之道。

關(guān)閉

數(shù)據(jù)安全

AI智能體專區(qū)

AI智能體專區(qū)

告警研判和降噪智能體

安全運營咨詢服務(wù)智能體

惡意郵件研判智能體

數(shù)據(jù)分類分級智能體

API安全智能體

自動化滲透測試智能體

終端數(shù)據(jù)防泄漏智能體

惡意軟件檢測智能體

數(shù)據(jù)安全咨詢服務(wù)智能體

核心安全產(chǎn)品

場景解決方案

Saas產(chǎn)品訂閱專區(qū)

熱門產(chǎn)品推薦

安恒數(shù)盾數(shù)據(jù)安全管控平臺最熱

數(shù)據(jù)庫審計與風(fēng)險控制系統(tǒng)推薦

明御防火墻最熱

AI時代網(wǎng)絡(luò)安全產(chǎn)業(yè)人才發(fā)展報告

AI安服數(shù)字員工

AI安服數(shù)字員工

AI滲透測試

AI應(yīng)急響應(yīng)

AI安全咨詢

AI代碼審計

AI數(shù)字安全教師

AI+安全服務(wù)

AI+ 安全服務(wù)

一切產(chǎn)品皆資源，一切資源皆服務(wù)

行業(yè)解決方案>

技術(shù)解決方案>

安全意識教育解決方案>

公司

政務(wù)行業(yè)數(shù)據(jù)安全體系化建設(shè)探索與實踐

相關(guān)推薦

告警研判和
降噪智能體

安全運營咨詢
服務(wù)智能體

惡意郵件研判
智能體

數(shù)據(jù)分類
分級智能體

API安全
智能體

自動化滲透
測試智能體

終端數(shù)據(jù)防
泄漏智能體

惡意軟件檢
測智能體

數(shù)據(jù)安全咨詢
服務(wù)智能體

AI數(shù)字
安全教師