數(shù)據(jù)顯示,截至2023年12月底�,全國一體化政務(wù)服務(wù)平臺已接入52個部門和32個地方,共上線6006個目錄��,掛接2.06萬資源,累計調(diào)用4847.07萬次服務(wù)���。截至2023年8月���,我國已有226個省級和城市的地方政府上線了數(shù)據(jù)開放平臺����,各地平臺無條件開放的可下載數(shù)據(jù)集容量從2019年的15億元增長到2023年的超480億元,5年間增長約32倍�����。
中國信息通信研究院日前發(fā)布的《數(shù)字政府一體化建設(shè)白皮書(2024年)》(以下簡稱《白皮書》)指出���,當(dāng)前�����,我國數(shù)字政府建設(shè)已全面呈現(xiàn)一體化發(fā)展態(tài)勢�。從政策沿革看,數(shù)字政府建設(shè)正從宏觀到微觀推進一體化建設(shè)布局��;從服務(wù)方式看�,政府?dāng)?shù)字履職應(yīng)用日益趨向一體化協(xié)同聯(lián)動;從數(shù)據(jù)資源看�,全國一體化政務(wù)大數(shù)據(jù)體系加快形成;從技術(shù)特征看�,數(shù)字技術(shù)全面賦能加速一體化融合;從底座建設(shè)看����,設(shè)施部署明顯趨向一體化共用格局。
在數(shù)字政府建設(shè)不斷提速的同時�,也要看清數(shù)據(jù)安全問題。
某國家級智慧中樞立足新發(fā)展階段�����、貫徹新發(fā)展理念�、構(gòu)建新發(fā)展格局,充分利用當(dāng)?shù)亍俺鞘谐X”建設(shè)成果����,運用大數(shù)據(jù)、云計算���、人工智能等新一代信息技術(shù)����,構(gòu)建以應(yīng)用中樞、數(shù)據(jù)中樞���、AI中樞����、共性平臺為核心的“一門戶��、三分中樞����、一平臺����、三體系”的智慧中樞,結(jié)合產(chǎn)業(yè)服務(wù)��、城市治理��、公共服務(wù)的業(yè)務(wù)應(yīng)用需求�����,深化數(shù)據(jù)資源利用,建設(shè)智慧新區(qū)應(yīng)用中樞��,統(tǒng)一提供共性技術(shù)�、業(yè)務(wù)協(xié)同能力,賦能各領(lǐng)域智慧應(yīng)用���。
然而����,在該國家級智慧中樞的數(shù)據(jù)應(yīng)用過程中�,存在著各種亟待解決的安全問題,主要體現(xiàn)在以下幾個方面:
● 沒有建立清晰的數(shù)據(jù)資產(chǎn)登記簿�,未明確敏感數(shù)據(jù)的分布情況;參與人員眾多��,賬號權(quán)限不明確���,缺乏對數(shù)據(jù)應(yīng)用場景的梳理����;
● 數(shù)據(jù)分類定級不統(tǒng)一���,缺乏統(tǒng)一標(biāo)準,缺乏基于分類分級的安全管控措施與防護策略;
● 流轉(zhuǎn)的數(shù)據(jù)量大���,被頻繁訪問���、使用和共享���,在管理與技術(shù)層面均對潛在的數(shù)據(jù)安全風(fēng)險缺乏清晰認識;
● 盡管部署了一系列數(shù)據(jù)安全產(chǎn)品��,但缺乏體系化的安全策略����,未能對智慧中樞的數(shù)據(jù)資產(chǎn)進行有效監(jiān)測與保護。
為解決某國家級智慧中樞在業(yè)務(wù)發(fā)展和安全之間的矛盾�,昂楷科技根據(jù)實際情況對數(shù)據(jù)資產(chǎn)進行全面的摸底調(diào)查����,梳理了數(shù)據(jù)資產(chǎn)清單;建立了統(tǒng)一的政務(wù)數(shù)據(jù)分類分級標(biāo)準�����,從數(shù)據(jù)的整個生命周期出發(fā)開展數(shù)據(jù)安全風(fēng)險評估,全面梳理各數(shù)據(jù)應(yīng)用場景存在的風(fēng)險�,并明確不同敏感級別數(shù)據(jù)的安全管控策略和措施�,構(gòu)建了不同場景下的數(shù)據(jù)安全管理與技術(shù)防護體系。
01 數(shù)據(jù)資產(chǎn)梳理:對智慧中樞數(shù)據(jù)資產(chǎn)全面摸底調(diào)查通過各種手段如資料收集����、文檔梳理、人員訪談����、工具梳理、核實驗證等方式全面梳理了數(shù)據(jù)資產(chǎn)���、敏感數(shù)據(jù)的存儲方式與位置�、數(shù)據(jù)庫賬號權(quán)限情況��,形成了清晰明了且完整的《數(shù)據(jù)資產(chǎn)清單》《數(shù)據(jù)庫賬戶及權(quán)限清單》和《敏感數(shù)據(jù)庫分布清單》��,為后續(xù)的數(shù)據(jù)分類分級工作開展提供基礎(chǔ)保障����。
02 數(shù)據(jù)分類分級:對智慧中樞數(shù)據(jù)資產(chǎn)進行“診斷分級”參考昂楷在政務(wù)數(shù)據(jù)分類分級上的最佳實踐經(jīng)驗,結(jié)合智慧中樞的業(yè)務(wù)特性和實際安全建設(shè)規(guī)劃�,制定了統(tǒng)一的數(shù)據(jù)分類分級指南����,并完成了數(shù)據(jù)分類分級標(biāo)識�����,形成了數(shù)據(jù)分類分級清單�����,為智慧中樞的數(shù)據(jù)安全分級防護提供了指導(dǎo)依據(jù)�����。
03 數(shù)據(jù)安全風(fēng)險評估:對智慧中樞數(shù)據(jù)資產(chǎn)及數(shù)據(jù)應(yīng)用場景全面“體檢”通過對數(shù)據(jù)資產(chǎn)的全面梳理和審核�,識別敏感資產(chǎn)的訪問狀況,對數(shù)據(jù)庫漏洞進行了掃描�,得出數(shù)據(jù)資產(chǎn)的綜合評估。同時�,結(jié)合業(yè)務(wù)流程,對數(shù)據(jù)處理活動和應(yīng)用場景展開梳理���,通過資產(chǎn)、威脅和脆弱性三要素的關(guān)聯(lián)分析��,評估各資產(chǎn)所面臨的安全風(fēng)險,形成了智慧中樞的重要資產(chǎn)清單�����、威脅清單�、脆弱性清單和風(fēng)險評估報告。
此次數(shù)據(jù)安全風(fēng)險評估對智慧中樞各數(shù)據(jù)安全隱患進行全面“體檢”��,為后續(xù)制定數(shù)據(jù)安全防護策略提供了依據(jù)�,同時本次實踐也為智慧中樞制定一份“自檢方案手冊”。
04 數(shù)據(jù)安全策略定制:對智慧中樞存在的數(shù)據(jù)安全“病患”“開方治療”根據(jù)綜合的數(shù)據(jù)分類分級和數(shù)據(jù)安全風(fēng)險評估結(jié)果����,構(gòu)建了一套四級層次的數(shù)據(jù)安全管理制度體系,即“一級方針與策略����、二級管理制度與辦法、三級管理流程與方案���、四級日志與表單”���。同時,基于現(xiàn)狀調(diào)研和評估結(jié)果,梳理智慧中樞的數(shù)據(jù)流轉(zhuǎn)圖�����,并制定與數(shù)據(jù)采集��、傳輸����、存儲、處理�����、交換以及銷毀相對應(yīng)的安全策略���,全面保障了智慧中樞的數(shù)據(jù)安全���。
某國家級智慧中樞的建設(shè)打破內(nèi)部的“數(shù)據(jù)壁壘”,連接了省市相關(guān)部門的系統(tǒng)通道���,實現(xiàn)了全區(qū)信息資源的全面歸集和整合���。而昂楷科技的數(shù)據(jù)安全體系化服務(wù)為新區(qū)數(shù)據(jù)價值的充分釋放��,產(chǎn)業(yè)發(fā)展���、城市治理和公共服務(wù)等領(lǐng)域數(shù)據(jù)應(yīng)用提供了全面的安全保障基礎(chǔ)�����!
