上周,安華金和資深數據安全專家 沈震宇 先生應谷安學院、安全牛邀請,圍繞“政務云(大數據中心)數據安全治理建設”主題,面向廣大用戶進行直播分享,內容涵蓋政務云平臺數據開放共享的現狀、安全挑戰、應對策略與應用實踐。本期直播活動受到行業客戶廣泛好評,會中、會后與主講人互動不斷;考慮到因時間原因未能參與直播的客戶朋友們,安華金和特別提供完整直播視頻回放,精彩內容請點擊下方鏈接:
互聯網、大數據技術的高速發展與普及應用,為政府數字化轉型與管理模式變革創造了新契機;同時,國家十三五規劃要求打破信息壁壘和信息孤島,推動信息跨部門、跨層級共享共用。但在推動政務大數據共享的過程可以發現,原有的信息管理系統缺乏標準體系支撐,各部門采集的數據格式不統一、標準不一致;數據采集處理技術、應用平臺各異,數據庫接口不互通;體制制約著數據的共享,管理邊界不清晰、責任區分不明確,導致對數據的歸集、整合、清洗、比對在短時間內難以完成;而數據共享、數據維護所需要的經費支持不穩定,也增加了部門間數據共享的難度。安華金和資深數據安全專家沈震宇先生將以上難點概括為:管理難、監測難、防護難、追溯難。
針對政務數據開放共享中面臨的主要挑戰,沈震宇先生分享了針對政務云(大數據中心)數據安全治理建設的思路,即遵循數據安全治理框架體系標準,以內部或準內部人員為主要安全管控對象,平衡業務需求與安全風險;以分級分類為基礎,以數據合理、安全流動為目標,以數據使用過程的安全管理和技術支撐為手段,對數據安全產品的技術應用和管理流程進行深度整合,建設“用數據說話、用數據管理、用數據決策、用數據創新”的政務云大數據平臺,在保障數據安全的前提下,落實政務數據開放共享。具體建設可從組織保障、管理保障、技術保障三方面著手:
1、組織保障
充分保障政務云建設的順暢進行,首先需要建立明確的數據安全組織保障體系,涵蓋數據共享平臺所涉及的所有部門,做到職責對應。確立數據所有者、數據使用者、數據管理者,聯動管理層、業務部門、實施部門、安全部門、審計與合規部門的相關職責,確保有部門、有專人為數據安全管理工作切實負責。通過設置專門的數據安全治理機構,負責制定數據分級分類、安全保護、使用操作及監控管理的原則、策略、規范等:
· 針對管理部門:進行安全管理制度制定、安全檢查、技術導入、事件監控與處理等;
· 針對業務部門:進行人員安全管理、業務人員行為審計、業務合作方管理等;
· 針對運維部門:對內部及第三方運維人員的行為進行規范管理與審計等。
2、管理保障
為保障政務云大數據中心內重要敏感數據的安全,維護數據所有者的權利,明確利益相關者的責任和義務,應按照分類管理、分級防護、授權使用的原則,規范相關數據管理工作。制定數據安全治理制度、完善基礎管理流程、落地數據安全管理規范措施,形成并嚴格執行如《政務數據安全管理規范》、《政務大數據中心信息系統賬號安全管理規定》、《政務敏感數據管理規范》等規范制度要求。
3、技術保障
采用咨詢服務與技術工具相結合的方式,幫助政府機構將數據安全治理體系建設有效落地。
對政務信息進行數據分類,并按照安全級別對其進行敏感度識別。以某市政務云為例,安華金和幫助該客戶對66個接入單位的16大類主題信息資源,共涵蓋2000多個子目錄與40000+字段進行了梳理,相關工作遵照《政務信息資源目錄體系》、《政務信息資源目錄編制指南(試行)》等國家標準。
根據數據特征、數據樣本建立敏感數據識別模型,同時結合數據分類分級規則,通過主動掃描、流量分析、人工檢測相結合的方式,對數據庫、大數據平臺、后臺文件等進行發現,對其上所存儲的數據進行識別及自動分類分級,形成資源清單并備案,從而摸清敏感數據資產的分布情況,確定數據資產中的保護對象和范圍。
數據資產保護
通過對相關政務數據進行訪問控制,確保合法訪問通行、違規訪問攔截,避免敏感數據在使用過程中遭到泄露:
面對外包人員巡檢,建立數據訪問準入機制;針對數據庫行為操作,增強數據操作審批權限管理;針對敏感數據查看的權限管控,在不影響日常運維行為的前提下,對查詢結果中的隱私及敏感數據進行自動遮蔽返回;針對所有運維操作進行審計,按規則對疑似違規行為進行告警。
· 在開發測試環境下,將真實數據進行仿真模擬,數據脫敏后再用于測試及其他需求場景;
· 在數據共享交換區或查詢區,采用數據動態脫敏技術,將敏感數據擾亂,確保數據結果脫敏可用;
· 在數據分發過程中,先對分發源單位的數據添加水印和標簽再提供給第三方,從而確保數據在分發后能夠進行追溯;
· 核心存儲層面,可對重要數據進行加密,讓數據拿不走、看不見。
數據治理稽核
對數據流動、使用的全過程進行完整記錄和分析,并根據分析結果建立數據安全基線策略;同時,根據政務數據資產運營具體情況,搭建數據安全態勢感知平臺,保障數據資產情況在使用過程中也能夠清晰可見,通過可視化呈現實時掌握敏感數據的分布、流向及其使用者信息,及時發現并合理應對風險情況,提升對數據安全風險的感知與防護能力。
湖南省常德云計算中心,即是眾多政務云大數據中心的一個縮影。作為湖南省首個大規模、高技術標準的政務云中心,旨在實現政府組織內部以及跨部門之間數據的整合;通過對政府數據資源的集約化建設管理與有序開放共享,實現對數據價值的深入挖掘利用。在此過程中,客戶一直強調業務為先,安全之上,安華金和充分配合到客戶的政務云建設當中,協助常德市政府提升公共服務應用水平,帶動更多中小微企業快速發展,開創智慧城市建設新模式。
安華金和作為國內首家提出“數據安全治理理念”的數據安全廠商,在數據安全領域歷經十余年實踐沉淀,數據安全治理實踐也越來越多地應用于政府之外的更多行業領域。保障數據安全,共享數據價值,讓數據使用自由而安全~