背景

数字经济发展速度之快、辐射范围之广、影响程度之深前所未有,数据逐步成为重组全球要素资源、重塑全球经济结构、改变全球竞争格局的关键力量。国家在《十四个五年规划和2035年远景目标纲要》等重要文件中,提出发展数字经济战略,统筹数据开发利用、隐私保护和公共安全,规范数据有序流通,保障数据安全。目前电子政务工程也在深入快速发展,我国各级政府纷纷以网络为平台实现业务自动化处理,但政务数据处理行为日趋复杂,数据资源急剧增长,流动及应用场景复杂多变……当前政务数据安全仍面临以下问题:数据资产管理困难、应用数据防护缺失、数据安全监测匮乏、数据流动复杂不明、数据安全运营能力薄弱。

方案目标

ACCPER框架4K(正常色).png

       政务数据安全解决方案整体可梳理归囊成“ACCPER数据安全能力框架”,以全面梳理为起点,以分级分类为基础,以数据管控和保护为核心,以监控预警和联动响应作为支撑,最终建立“数据安全运营”的全过程自适应安全保障能力,达到数据安全的可知、可管、可控、可防、可视、可查的安全目标。对数据资产的分布、流动进行态势呈现,对数据安全风险进行建模分析,对数据泄露、滥用、误用等情况进行追踪溯源,对数据流转关键节点进行防护。保障政务数据在安全合规的基础上,充分发挥其数据集中流转的优势,为社会创造更多价值。

方案内容

政务数据安全建设,应遵循统筹协调、分级保护、权责统一、安全可控的原则,以制度规范为指引,以技术防护为抓手,以运行管理为保障,主要关键点如下:

(一) 数据安全咨询

数据安全咨询是政务数据安全治理的先行工作,目标是构建数据安全体系,结合以往网络安全体系等保合规建设成果,充分依托现有成熟的网络安全管理组织及人员、网络安全管理制度及流程、运维保障机制,扩展以数据为中心,围绕数据处理活动场景的数据安全管理体系,明确数据内容安全管理的思路和定位,定义政务数据流通应用场景、构建符合监管合规要求。

(二) 全面梳理

 image.png

政务数据安全治理的核心工作是数据资产的全面盘点,针对政务数据资产混乱不清和数据流向复杂不明的问题,可采用网络扫描和流量分析的方式实现对组织内进行全网全域的数据资产测绘和数据监控。

摸清数据资产家底、搞明数据关联关系、提高资产可视化能力,指导政务数据分类分级的治理及监测、防护和运营。

(三) 分类分级

 image.png

数据分类分级是政务数据安全治理的基础也是核心,针对政务数据分级分类,可结合数据分类分级工具配合人工服务的方式进行工作开展,顶层上可参考如《GB/T 38667-2020信息技术—大数据—数据分类指南》、《DB52/T 1123-2016 政府数据 数据分类分级指南安全》等相关标准进行政务数据分类分级治理工作。

数据分类分级工作的目标是形成数据保护目录;满足数据安全保护、合规性、敏感数据管理三个目标,对数据进行不同类别和密级的划分,根据类别和密级制定不同管理和使用原则,对数据做到有差别和针对性的防护,对数据进行精细化的管理。

(四) 统一管控和安全防护

 image.png

针对政务数据账号管理不严、数据权限滥用和重要数据、核心数据缺乏保护问题,可以构建一体化的数据安全管控中心,实现以数据为中心的安全防护,相关安全策略可参考政务数据分类分级结果,利用一体化的数据安全管控中心针对不同敏感等级的数据构建不同的数据安全控制及防护策略,实现对高敏感数据有针对性的防护和监测。

针对数据账号管理采用统一的管理和准入方式,关联至个人、应用、部门的真实身份,针对不同人员的权限需求,可分配不同的账号权限,如:DDL、DML、动态脱敏等,实现对不同账号的管理和审计。

针对政务应用构建数据安全防护措施,如:数据加密、虚拟防护、环境感知等,通过相关技术手段规避政务应用数据安全风险。

(五) 数据安全监测

 image.png

针对数据风险监测不健全的问题,可以在构建的政务安全大数据平台的基础上,增强数据风险监测、分析和风险评估能力,针对高敏感数据进行重点监测和流转分析,构建全域敏感数据流转的感知能力。

以数据为中心,以安全大数据为基础开展数据安全风险监测,通过数据治理、风险建模等技术实现数据的智能安全和态势感知;分析关联如:API接口风险、数据资产风险、用户异常风险、数据泄露风险、日志关联风险及相关应用场景风险。

(六) 安全运营

 image.png

政务数据安全运营可结合数据安全管理平台技术能力,联动各孤立安全设备,面向全域数据提供全生命周期安全治理与运营能力,对资产、身份、风险进行集中式管控,实现数据安全风险的可视、可管、可控、可溯。

结合数据安全服务人员完成数据安全事件监测、数据安全溯源分析、数据安全巡检优化、数据安全风险评估等相关服务,构建数据安全整体的联动响应。