中文
政務(wù)大數據共享平臺建設如火如荼
個(gè)人信息、重要政務(wù)數據高度聚集 為完成“讓群眾少跑路”目標 該如何讓數據在安全可控下多跑路?
在“數字中國”發(fā)展戰略指導下,數據上升為國家新型生產(chǎn)要素,早已成為推動(dòng)國家經(jīng)濟質(zhì)量高速發(fā)展的新動(dòng)力。對數據的高質(zhì)量利用,是數據經(jīng)濟價(jià)值最大化的唯一途徑,同時(shí),數據作為國家重要戰略資源,與國家經(jīng)濟運轉、政府治理、公共服務(wù)、行業(yè)發(fā)展等方面密切相關(guān)。數據安全風(fēng)險日漸成為影響國家安全的重要因素,對數據的安全治理、確保數據在安全前提下高效利用是目前亟需解決的首要任務(wù)。
但由于政務(wù)數據具備的高敏感性、高聚集性、多樣性等特征,政府部門(mén)成為數據泄露、黑客攻擊的主要目標,據《中國政企機構數據安全風(fēng)險分析報告》(2022)顯示,當前階段國內數據安全應急響應處置事件政府部門(mén)穩居第一,占比全國總事件比例的22.4%。
2022年,上海網(wǎng)信辦發(fā)現,某科反公司在處理政務(wù)類(lèi)數據時(shí)違規操作,且未采取相應的技術(shù)措施和其他必要措施保障數據安全,導致數據存在泄露風(fēng)險。 國外安全研究團隊Cyble在日常安全監控中,發(fā)現疑似超2億中國公民信息在國外暗網(wǎng)論壇兜售,包括身份證、性別、姓名、出生日期、手機號、地址和郵編等記錄。 鎮江丹陽(yáng)警方成功偵破一起公安部督辦的侵犯公民個(gè)人信息案,涉及10多個(gè)省市,抓獲犯罪嫌疑人30名。該團伙采用境外聊天工具和區塊鏈虛擬貨幣收付款,共販賣(mài)個(gè)人信息6億余條,違法所得800余萬(wàn)元。 △近幾年政務(wù)數據安全事件
國家、政府、行業(yè)內不斷出臺相關(guān)法律法規以推動(dòng)政務(wù)數據安全建設。其中,2022年12月國務(wù)院辦公廳發(fā)布的《全國一體化政務(wù)大數據體系建設指南》總結指出:繼《中華人民共和國數據安全法》《中華人民共和國個(gè)人信息保護法》《關(guān)鍵信息基礎設施安全保護條例》等法律法規出臺后,亟需建立完善與政務(wù)數據安全配套的制度。
由此可見(jiàn),體系化的數據安全建設理念已逐步被提上日程,政務(wù)數據安全建設不再僅靠技術(shù)產(chǎn)品堆積防護,更需形成以組織、制度、技術(shù)、運營(yíng)等多維于一體的體系化防護思路。
基于十多年的積累,昂楷提出了“5個(gè)2+3+1”的數據安全體系建設理念:
“5個(gè)2”: “精準可視、安全可控“2個(gè)基本原則;堅持對數據安全采取”動(dòng)態(tài)測繪、持續管控“2大全局策略;利用 “大數據、人工智能”2大技術(shù)引擎;“聯(lián)防聯(lián)控、全息態(tài)勢感知”2大能力;平衡“安全與可靠、安全與業(yè)務(wù)”2大關(guān)系。 “3”: 覆蓋數據全生命周期、全數據形態(tài)、全流通環(huán)節的數據安全治理范圍 “1”: 以數據安全綜合治理平臺DSP為最終抓手,形成集約多種安全能力的數據安全運營(yíng)駕駛艙。
基于數據安全體系化建設理念,打造政務(wù)數據“進(jìn)不來(lái)、拿不走,看不到,改不了,跑不掉”的安全閉環(huán)體系架構。
結合省/市政務(wù)數據分類(lèi)分級指南,制定單位數據分類(lèi)分級規范、標準。利用數據分類(lèi)分級工具、API審計工具對全網(wǎng)數據資產(chǎn)、接口資產(chǎn)進(jìn)行梳理,形成全省/市“數據一本賬”,在精準可視的前提下,采取分級管控措施,重要、敏感政務(wù)數據重點(diǎn)管控。利用審計、脫敏、訪(fǎng)問(wèn)控制等技術(shù),對所有可接觸到政務(wù)數據的權限進(jìn)行統籌管控。此外,結合政務(wù)數據使用場(chǎng)景,定期進(jìn)行數據風(fēng)險梳理及評估,掌控全局數據安全風(fēng)險點(diǎn)。
當前政務(wù)大數據平臺存在多源交互的場(chǎng)景,除了要形成對這些交互通道的安全防護之外,數據安全防護已經(jīng)由單點(diǎn)防護,進(jìn)入平臺化、體系化防護階段,各能力單元形成協(xié)同的防護組合。數據安全綜合治理平臺,利用大數據、人工智能,打破數據安全孤島,達成數據安全態(tài)勢感知、 合成作戰、聯(lián)防聯(lián)控效果。
政務(wù)數據共享、使用規范中,要求對個(gè)人信息、敏感政務(wù)數據進(jìn)行去隱私化處理,在開(kāi)發(fā)、測試等環(huán)境下,可以通過(guò)脫敏技術(shù),生成仿真數據,如此既實(shí)現敏感隱私數據保護,又保證了開(kāi)發(fā)、測試效果;對數據存儲可采取加密技術(shù),確保用戶(hù)數據存儲安全。同時(shí),還可以加上水印信息,當發(fā)生數據泄漏事件之后,可以通過(guò)水印信息,快速定位到泄漏源頭,降低泄漏影響。
通過(guò)權限管控、訪(fǎng)問(wèn)控制、審計、加密、脫敏等技術(shù),強化政務(wù)數據使用權限管控力度,賦予不同角色以不同權限,訪(fǎng)問(wèn)敏感數據動(dòng)態(tài)脫敏,外發(fā)重要數據加密管控。
政務(wù)數據在共享時(shí),可以通過(guò)數據動(dòng)態(tài)水印溯源系統對數據表、重點(diǎn)接口進(jìn)行動(dòng)態(tài)水印加注,發(fā)生數據泄露的時(shí)候,可以提取水印信息,快速定位泄露源頭,同時(shí),數據水印信息可以作為數據所有者的依據,達到數據版權保護目的。
圍繞數據全生命周期、全數據形態(tài)、業(yè)務(wù)全流通環(huán)節,全面實(shí)現:
組織者--防得住:360°持續的數據安全保護,避免數據泄露事件發(fā)生,保障組織的業(yè)務(wù)連續性與聲譽(yù)。 管理者--看得清:全局掌握數據安全總體態(tài)勢、資產(chǎn)態(tài)勢、風(fēng)險態(tài)勢、健康態(tài)勢。 運營(yíng)者--控得牢:數據資產(chǎn)分布清晰、安全需求明確、安全風(fēng)險實(shí)時(shí)監測、安全事件快速處理。 使用者--用得順:數據權責相符,數據使用過(guò)程符合相關(guān)安全管理要求,安全、合規的使用數據。
大數據時(shí)代,數據作為一種重要的無(wú)形資產(chǎn),其安全治理越來(lái)越受到社會(huì )各界的重視。為秉承“扎扎實(shí)實(shí)做產(chǎn)品,踏踏實(shí)實(shí)搞服務(wù)”的企業(yè)價(jià)值觀(guān),昂楷將以持續保障數據安全為己任,不斷更新治理理念及技術(shù),全力協(xié)助數字政府”讓群眾少跑路“建設目標,讓數據在安全前提下”多跑路“,讓人們放心地享受大數據。
