《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > “互聯(lián)網(wǎng)+政務(wù)服務(wù)”下的數(shù)據(jù)安全治理

“互聯(lián)網(wǎng)+政務(wù)服務(wù)”下的數(shù)據(jù)安全治理

2022-11-12
來源:安全牛

  為進(jìn)一步打破信息孤島、實(shí)現(xiàn)數(shù)據(jù)共享,助力“最多跑一次”改革和政府?dāng)?shù)字化轉(zhuǎn)型,各地政府紛紛成立大數(shù)據(jù)管理局,,積極推進(jìn)政務(wù)云建設(shè),實(shí)現(xiàn)政府信息系統(tǒng)整合共享,。

  但是,,隨著政務(wù)信息整合共享工作的開展,各委辦局?jǐn)?shù)據(jù)在不斷匯聚集中,,在這些匯聚集中的海量數(shù)據(jù)中不乏涉及國(guó)家安全,、經(jīng)濟(jì)發(fā)展與社會(huì)民生的重要、敏感及個(gè)人隱私數(shù)據(jù),。各種數(shù)據(jù)整合匯聚后,,會(huì)涉及數(shù)據(jù)發(fā)布、數(shù)據(jù)加載,、共享交換,、使用和銷毀等諸多環(huán)節(jié),任一環(huán)節(jié)都可能因技術(shù)或人為因素造成敏感信息的泄露,。

  數(shù)據(jù)安全問題已成為制約數(shù)據(jù)匯聚集中后數(shù)據(jù)開發(fā)利用,、價(jià)值挖掘的主要瓶頸。解決數(shù)據(jù)安全問題最根本的途徑,,就是對(duì)數(shù)據(jù)進(jìn)行有針對(duì)性的安全治理,。

  Part1 數(shù)據(jù)安全治理總體框架

  由于政府?dāng)?shù)據(jù)共享平臺(tái)具有數(shù)據(jù)規(guī)模龐大、使用場(chǎng)景復(fù)雜,、數(shù)據(jù)資產(chǎn)變化快等特點(diǎn),,在過去“一刀切”式的管理和防護(hù)模式下,防護(hù)粒度設(shè)定較粗,,存在一定的數(shù)據(jù)安全隱患,,因此需要從頂層設(shè)計(jì)數(shù)據(jù)安全體系。

  微信圖片_20221112152436.png

  △ 數(shù)據(jù)安全治理總體框架圖

  數(shù)據(jù)安全治理總體框架自上而下貫穿了決策層,、管理層,、執(zhí)行層到配合層以及監(jiān)督層等整個(gè)組織架構(gòu),,包含了從頂層戰(zhàn)略、政策總綱到管理制度,、流程規(guī)范等各層級(jí)的完整制度體系,,涉及到整體的技術(shù)規(guī)劃以及各項(xiàng)技術(shù)工具的落地實(shí)施。

  明朝萬達(dá)認(rèn)為:數(shù)據(jù)安全治理應(yīng)當(dāng)以數(shù)據(jù)資產(chǎn)的安全使用為愿景,,通過專業(yè)的數(shù)據(jù)安全治理團(tuán)隊(duì),、明確的數(shù)據(jù)安全治理策略和流程,從安全管理規(guī)范,、安全技術(shù)支撐,、安全持續(xù)運(yùn)營(yíng)三個(gè)領(lǐng)域協(xié)同,打造立體防御體系,,全方位保障數(shù)據(jù)全生命周期的安全,。

  Part2 數(shù)據(jù)安全治理建設(shè)流程

  數(shù)據(jù)安全治理是一個(gè)動(dòng)態(tài)、持續(xù)的過程,,所以在建設(shè)過程中,,不建議一下子把范圍及內(nèi)容圈得那么大,可以從小部分重要業(yè)務(wù)板塊開始梳理,,采取分步建設(shè),、持續(xù)迭代戰(zhàn)略。圍繞“評(píng)估服務(wù),、策略制定,、技術(shù)落地”三步走的思路進(jìn)行方案設(shè)計(jì)。

  微信圖片_20221112152438.png

  △ 建設(shè)流程圖,,包括6個(gè)實(shí)踐步驟

  數(shù)據(jù)安全治理建設(shè)共包括六個(gè)實(shí)踐步驟,,六個(gè)步驟形成完整的數(shù)據(jù)安全保護(hù)建設(shè)閉環(huán),建設(shè)流程是一個(gè)系統(tǒng)的,、持續(xù)的改進(jìn)過程,,該流程可以定期輪詢執(zhí)行,確保數(shù)據(jù)安全治理建設(shè)持續(xù)更新,,數(shù)據(jù)安全管理處于最佳狀態(tài),。

  01組織構(gòu)建

  在組織方面,從組織內(nèi)選派合適人員構(gòu)成一支由決策層(組織領(lǐng)導(dǎo)),、管理層(安全部門),、執(zhí)行層(業(yè)務(wù)部門)、監(jiān)督層(審計(jì)部門)構(gòu)成的負(fù)責(zé)推動(dòng)開展數(shù)據(jù)安全治理工作的團(tuán)隊(duì),。

  02數(shù)據(jù)資產(chǎn)梳理

  首先通過數(shù)據(jù)資產(chǎn)梳理工具對(duì)政府?dāng)?shù)據(jù)共享平臺(tái)上的數(shù)據(jù)資產(chǎn)進(jìn)行摸底,,對(duì)數(shù)據(jù)資產(chǎn)的業(yè)務(wù)屬性,使用情況,權(quán)限狀態(tài),,安全需求,,使用分布等進(jìn)行全面梳理,對(duì)于冗余,、不一致的數(shù)據(jù)進(jìn)行修正確認(rèn),,最終形成數(shù)據(jù)資產(chǎn)清單。

  03數(shù)據(jù)分類分級(jí)

  依據(jù)國(guó)家和省公共數(shù)據(jù)分類分級(jí)相關(guān)規(guī)定以及業(yè)務(wù)場(chǎng)景制定內(nèi)部的分類分級(jí)標(biāo)準(zhǔn),,并按照一定的策略和方法進(jìn)行分類和標(biāo)識(shí),,形成數(shù)據(jù)資產(chǎn)分類清單,明確數(shù)據(jù)安全主體責(zé)任及防護(hù)邊界,;在分類的基礎(chǔ)上,,綜合分析數(shù)據(jù)的保密性、完整性,、可用性和可控性等屬性遭到破壞后,,對(duì)國(guó)家安全、公眾權(quán)益,、個(gè)人隱私,、企業(yè)合法權(quán)益的危害程度,進(jìn)行數(shù)據(jù)的逐類定級(jí)和標(biāo)識(shí),。最終通過自動(dòng)化技術(shù),,將分類分級(jí)的專家經(jīng)驗(yàn)和方法固化為規(guī)則模型和識(shí)別引擎,,實(shí)現(xiàn)政務(wù)信息資源數(shù)據(jù)自動(dòng)化分類分級(jí),,大大提升了準(zhǔn)確率,并且降低了人力成本,。

  04風(fēng)險(xiǎn)評(píng)估,、差距分析

  對(duì)政務(wù)信息資源數(shù)據(jù)全生命周期的每一個(gè)環(huán)節(jié)所面臨的風(fēng)險(xiǎn)威脅進(jìn)行識(shí)別判定,進(jìn)而對(duì)每一個(gè)風(fēng)險(xiǎn)點(diǎn)進(jìn)行賦值計(jì)算最終輸出風(fēng)險(xiǎn)評(píng)估報(bào)告以及風(fēng)險(xiǎn)清單,;針對(duì)數(shù)據(jù)在采集,、傳輸、使用,、交換,、銷毀環(huán)節(jié)的安全防護(hù)要求,對(duì)比訪談和調(diào)研結(jié)果,,進(jìn)行評(píng)價(jià)對(duì)比,,找到當(dāng)前現(xiàn)狀與管控目標(biāo)間的差距,尤其是管控缺失項(xiàng)和薄弱項(xiàng),,并形成差距分析匯報(bào),。

  05安全管控策略

  根據(jù)數(shù)據(jù)分類分級(jí)結(jié)果,從管理,、流程和技術(shù)等方面,,制定基于數(shù)據(jù)安全視角的全生命周期數(shù)據(jù)安全管控策略,,管理方面包括不限于規(guī)范管理決策職責(zé)、規(guī)范日常維護(hù)職責(zé),、規(guī)范崗位人員職責(zé)等,;流程方面包括不限于制定數(shù)據(jù)安全管理整體機(jī)制流程安全管控策略、權(quán)限管理操作流程管控策略等,;技術(shù)方面包括不限于制定基礎(chǔ)架構(gòu)的整體安全支撐技術(shù),、加密、脫敏,、審計(jì),、水印、數(shù)據(jù)防泄漏等的管控策略,。

  06數(shù)據(jù)安全持續(xù)運(yùn)營(yíng)

  通過建設(shè)數(shù)據(jù)安全監(jiān)控與審計(jì)平臺(tái),,對(duì)現(xiàn)有的敏感數(shù)據(jù)在動(dòng)態(tài)使用流轉(zhuǎn)中的監(jiān)控、分析,、可視與統(tǒng)計(jì),,并基于UEBA行為分析模型識(shí)別數(shù)據(jù)的安全風(fēng)險(xiǎn),一旦過程中發(fā)現(xiàn)風(fēng)險(xiǎn)行為及時(shí)預(yù)警,,并針對(duì)風(fēng)險(xiǎn)施加動(dòng)態(tài)響應(yīng)及防護(hù)手段協(xié)同聯(lián)動(dòng),。通過優(yōu)化數(shù)據(jù)安全防護(hù)策略,進(jìn)而持續(xù)地提升數(shù)據(jù)安全防護(hù)能力,,達(dá)到數(shù)據(jù)安全治理的最佳實(shí)踐,。

  Part3 數(shù)據(jù)安全治理方案的價(jià)值

  數(shù)字化經(jīng)濟(jì)的到來,離不開數(shù)據(jù)的開放共享與有序使用,。數(shù)據(jù)安全廠商需要能夠幫助用戶確定本單位的數(shù)據(jù)安全分類分級(jí)管理制度,、標(biāo)準(zhǔn),協(xié)助用戶完成數(shù)據(jù)定權(quán)分級(jí),,提供基于數(shù)據(jù)分類分級(jí)后的安全防護(hù)方案設(shè)計(jì)和建設(shè)服務(wù),,提升平臺(tái)的數(shù)據(jù)安全防護(hù)能力,也為推動(dòng)各市直單位將更多數(shù)據(jù)共享至大數(shù)據(jù)共享平臺(tái)增添信心,。先進(jìn)的數(shù)據(jù)安全治理方案應(yīng)具備以下價(jià)值:

  符合合法合規(guī)要求

  滿足《政務(wù)信息共享數(shù)據(jù)安全技術(shù)要求》,、《政務(wù)信息資源目錄編制指南(試行)以及政務(wù)信息數(shù)據(jù)分類分級(jí)等相關(guān)政策法規(guī)要求。

  實(shí)現(xiàn)安全運(yùn)營(yíng)常態(tài)化

  通過人工+工具的方式高效率完成數(shù)據(jù)摸底,,持續(xù)掌握數(shù)據(jù)資產(chǎn)動(dòng)態(tài),;通過從數(shù)據(jù)視角的全生命周期風(fēng)險(xiǎn)分析,構(gòu)建統(tǒng)一的數(shù)據(jù)安全管控機(jī)制,;通過對(duì)敏感數(shù)據(jù)使用流轉(zhuǎn)監(jiān)控,,數(shù)據(jù)安全態(tài)勢(shì)感知,持續(xù)優(yōu)化安全策略和管理制度規(guī)范,實(shí)現(xiàn)數(shù)據(jù)安全常態(tài)化運(yùn)營(yíng),。

  符合合法合規(guī)要求推進(jìn)政務(wù)數(shù)據(jù)資源開發(fā)利用

  通過對(duì)海量數(shù)據(jù)的梳理及分類分級(jí),,做到對(duì)數(shù)據(jù)庫(kù)、數(shù)據(jù)資產(chǎn)分布及數(shù)據(jù)敏感級(jí)別情況的一目了然,,將有利于促進(jìn)數(shù)據(jù)在各單位間的開放共享,,進(jìn)一步挖掘數(shù)據(jù)價(jià)值,從而提升業(yè)務(wù)效益,。



更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<

二維碼.png


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問題,,請(qǐng)及時(shí)通過電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected]