政務(wù)大數(shù)據(jù)共享平臺建設(shè)如火如荼
個人信息、重要政務(wù)數(shù)據(jù)高度聚集
為完成“讓群眾少跑路”目標(biāo)
該如何讓數(shù)據(jù)在安全可控下多跑路?
在“數(shù)字中國”發(fā)展戰(zhàn)略指導(dǎo)下,數(shù)據(jù)上升為國家新型生產(chǎn)要素,早已成為推動國家經(jīng)濟質(zhì)量高速發(fā)展的新動力。對數(shù)據(jù)的高質(zhì)量利用,是數(shù)據(jù)經(jīng)濟價值最大化的唯一途徑,同時,數(shù)據(jù)作為國家重要戰(zhàn)略資源,與國家經(jīng)濟運轉(zhuǎn)、政府治理、公共服務(wù)、行業(yè)發(fā)展等方面密切相關(guān)。數(shù)據(jù)安全風(fēng)險日漸成為影響國家安全的重要因素,對數(shù)據(jù)的安全治理、確保數(shù)據(jù)在安全前提下高效利用是目前亟需解決的首要任務(wù)。
但由于政務(wù)數(shù)據(jù)具備的高敏感性、高聚集性、多樣性等特征,政府部門成為數(shù)據(jù)泄露、黑客攻擊的主要目標(biāo),據(jù)《中國政企機構(gòu)數(shù)據(jù)安全風(fēng)險分析報告》(2022)顯示,當(dāng)前階段國內(nèi)數(shù)據(jù)安全應(yīng)急響應(yīng)處置事件政府部門穩(wěn)居第一,占比全國總事件比例的22.4%。
2022年,上海網(wǎng)信辦發(fā)現(xiàn),某科反公司在處理政務(wù)類數(shù)據(jù)時違規(guī)操作,且未采取相應(yīng)的技術(shù)措施和其他必要措施保障數(shù)據(jù)安全,導(dǎo)致數(shù)據(jù)存在泄露風(fēng)險。
國外安全研究團隊Cyble在日常安全監(jiān)控中,發(fā)現(xiàn)疑似超2億中國公民信息在國外暗網(wǎng)論壇兜售,包括身份證、性別、姓名、出生日期、手機號、地址和郵編等記錄。
鎮(zhèn)江丹陽警方成功偵破一起公安部督辦的侵犯公民個人信息案,涉及10多個省市,抓獲犯罪嫌疑人30名。該團伙采用境外聊天工具和區(qū)塊鏈虛擬貨幣收付款,共販賣個人信息6億余條,違法所得800余萬元。
△近幾年政務(wù)數(shù)據(jù)安全事件
國家、政府、行業(yè)內(nèi)不斷出臺相關(guān)法律法規(guī)以推動政務(wù)數(shù)據(jù)安全建設(shè)。其中,2022年12月國務(wù)院辦公廳發(fā)布的《全國一體化政務(wù)大數(shù)據(jù)體系建設(shè)指南》總結(jié)指出:繼《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》等法律法規(guī)出臺后,亟需建立完善與政務(wù)數(shù)據(jù)安全配套的制度。
由此可見,體系化的數(shù)據(jù)安全建設(shè)理念已逐步被提上日程,政務(wù)數(shù)據(jù)安全建設(shè)不再僅靠技術(shù)產(chǎn)品堆積防護,更需形成以組織、制度、技術(shù)、運營等多維于一體的體系化防護思路。
基于十多年的積累,昂楷提出了“5個2+3+1”的數(shù)據(jù)安全體系建設(shè)理念:
“5個2”:
“精準(zhǔn)可視、安全可控“2個基本原則;堅持對數(shù)據(jù)安全采取”動態(tài)測繪、持續(xù)管控“2大全局策略;利用 “大數(shù)據(jù)、人工智能”2大技術(shù)引擎;“聯(lián)防聯(lián)控、全息態(tài)勢感知”2大能力;平衡“安全與可靠、安全與業(yè)務(wù)”2大關(guān)系。
“3”:
覆蓋數(shù)據(jù)全生命周期、全數(shù)據(jù)形態(tài)、全流通環(huán)節(jié)的數(shù)據(jù)安全治理范圍
“1”:
以數(shù)據(jù)安全綜合治理平臺DSP為最終抓手,形成集約多種安全能力的數(shù)據(jù)安全運營駕駛艙。
基于數(shù)據(jù)安全體系化建設(shè)理念,打造政務(wù)數(shù)據(jù)“進不來、拿不走,看不到,改不了,跑不掉”的安全閉環(huán)體系架構(gòu)。
結(jié)合省/市政務(wù)數(shù)據(jù)分類分級指南,制定單位數(shù)據(jù)分類分級規(guī)范、標(biāo)準(zhǔn)。利用數(shù)據(jù)分類分級工具、API審計工具對全網(wǎng)數(shù)據(jù)資產(chǎn)、接口資產(chǎn)進行梳理,形成全省/市“數(shù)據(jù)一本賬”,在精準(zhǔn)可視的前提下,采取分級管控措施,重要、敏感政務(wù)數(shù)據(jù)重點管控。利用審計、脫敏、訪問控制等技術(shù),對所有可接觸到政務(wù)數(shù)據(jù)的權(quán)限進行統(tǒng)籌管控。此外,結(jié)合政務(wù)數(shù)據(jù)使用場景,定期進行數(shù)據(jù)風(fēng)險梳理及評估,掌控全局?jǐn)?shù)據(jù)安全風(fēng)險點。
當(dāng)前政務(wù)大數(shù)據(jù)平臺存在多源交互的場景,除了要形成對這些交互通道的安全防護之外,數(shù)據(jù)安全防護已經(jīng)由單點防護,進入平臺化、體系化防護階段,各能力單元形成協(xié)同的防護組合。數(shù)據(jù)安全綜合治理平臺,利用大數(shù)據(jù)、人工智能,打破數(shù)據(jù)安全孤島,達成數(shù)據(jù)安全態(tài)勢感知、 合成作戰(zhàn)、聯(lián)防聯(lián)控效果。
政務(wù)數(shù)據(jù)共享、使用規(guī)范中,要求對個人信息、敏感政務(wù)數(shù)據(jù)進行去隱私化處理,在開發(fā)、測試等環(huán)境下,可以通過脫敏技術(shù),生成仿真數(shù)據(jù),如此既實現(xiàn)敏感隱私數(shù)據(jù)保護,又保證了開發(fā)、測試效果;對數(shù)據(jù)存儲可采取加密技術(shù),確保用戶數(shù)據(jù)存儲安全。同時,還可以加上水印信息,當(dāng)發(fā)生數(shù)據(jù)泄漏事件之后,可以通過水印信息,快速定位到泄漏源頭,降低泄漏影響。
通過權(quán)限管控、訪問控制、審計、加密、脫敏等技術(shù),強化政務(wù)數(shù)據(jù)使用權(quán)限管控力度,賦予不同角色以不同權(quán)限,訪問敏感數(shù)據(jù)動態(tài)脫敏,外發(fā)重要數(shù)據(jù)加密管控。
政務(wù)數(shù)據(jù)在共享時,可以通過數(shù)據(jù)動態(tài)水印溯源系統(tǒng)對數(shù)據(jù)表、重點接口進行動態(tài)水印加注,發(fā)生數(shù)據(jù)泄露的時候,可以提取水印信息,快速定位泄露源頭,同時,數(shù)據(jù)水印信息可以作為數(shù)據(jù)所有者的依據(jù),達到數(shù)據(jù)版權(quán)保護目的。
圍繞數(shù)據(jù)全生命周期、全數(shù)據(jù)形態(tài)、業(yè)務(wù)全流通環(huán)節(jié),全面實現(xiàn):
組織者--防得?。?60°持續(xù)的數(shù)據(jù)安全保護,避免數(shù)據(jù)泄露事件發(fā)生,保障組織的業(yè)務(wù)連續(xù)性與聲譽。
管理者--看得清:全局掌握數(shù)據(jù)安全總體態(tài)勢、資產(chǎn)態(tài)勢、風(fēng)險態(tài)勢、健康態(tài)勢。
運營者--控得牢:數(shù)據(jù)資產(chǎn)分布清晰、安全需求明確、安全風(fēng)險實時監(jiān)測、安全事件快速處理。
使用者--用得順:數(shù)據(jù)權(quán)責(zé)相符,數(shù)據(jù)使用過程符合相關(guān)安全管理要求,安全、合規(guī)的使用數(shù)據(jù)。
大數(shù)據(jù)時代,數(shù)據(jù)作為一種重要的無形資產(chǎn),其安全治理越來越受到社會各界的重視。為秉承“扎扎實實做產(chǎn)品,踏踏實實搞服務(wù)”的企業(yè)價值觀,昂楷將以持續(xù)保障數(shù)據(jù)安全為己任,不斷更新治理理念及技術(shù),全力協(xié)助數(shù)字政府”讓群眾少跑路“建設(shè)目標(biāo),讓數(shù)據(jù)在安全前提下”多跑路“,讓人們放心地享受大數(shù)據(jù)。