近日,國務院辦公廳印發了《全國一體化政務大數據體系建設指南》(以下簡稱《建設指南》),正式拉開政務領域全國一體化大數據體系建設的序幕。該文件的發布,無疑將為我國數據安全產業注入強有力的新發展動能,引領我國數據安全產業全面助力構建新安全格局。
基本政策脈絡
“全國一體化政務大數據體系”是我國“全國一體化大數據中心”的有機組成部分,其建設發展具有清晰的戰略和政策脈絡。
從戰略層面看。黨的十八屆中央政治局第三十六次集體學習率先提出了“要建設全國一體化的國家大數據中心”的重大戰略目標;中央全面深化改革委員會第十七次會議對于“建立健全政務數據共享協調機制、加快推進數據有序共享”提出了總體要求。
從政策層面看。為切實落實推進“全國一體化大數據中心”戰略要求,國家自2020年以來,先后發布了《關于加快構建全國一體化大數據中心協同創新體系的指導意見》、《全國一體化大數據中心協同創新體系算力樞紐實施方案》、《新型數據中心發展三年行動計劃(2021-2023年)》等重要政策文件,并啟動了“東數西算”等重大工程。
可見,此次發布《建設指南》是“全國一體化大數據中心”戰略體系的重要一環,與此前的相關戰略、政策體系一脈相承,而又因承載新時代對政務數據發展的要求,具有重要的時代特征和豐富內涵。
《建設指南》安全保障要點分析
《建設指南》在第四章“主要任務”的第八部分,對全國一體化政務大數據體系的“安全保障一體化”要求進行了集中論述和明確。“安全保障一體化”建設內容涉及制度規范、技術保障、運行管理三部分,詳細內容要點分析如下。
健全數據安全制度規范
一是明確了數據安全制度規范的法律依據、重點方向和核心內容。明確了《中華人民共和國數據安全法》、《中華人民共和國個人信息保護法》等法律法規是數據安全制度規范的主要法律依據;將“明確數據分類分級、安全審查等具體制度和要求”作為數據安全制度工作的重點方向;將“明確數據安全主體責任”、“厘清數據流轉全流程中各方權利義務和法律責任”作為數據安全制度工作的核心內容。
二是提出了健全工作責任制要求。圍繞數據全生命周期管理,以“人、數據、場景”關聯管理為核心,建立健全工作責任機制。
三是提出了建立并實施相關標準規范體系要求。指出了數據安全標準規范體系的核心構成,即:“政務數據訪問權限控制、異常風險識別、安全風險處置、行為審計、數據安全銷毀、指標評估等”。還要求以推進開展“內部數據安全檢測與外部評估認證”,以促進數據安全管理規范的有效實施。
強化信息安全技術保障體系
一是提出了技術防護的對象、手段、關鍵措施等要求。在防護對象上,以“重要數據、個人隱私、商業秘密信息保護”為主要保護客體;在技術手段上,以“電子認證、數據加密”等為主要技術措施;在防護舉措上,要求以“防止數據篡改”、“推進數據脫敏使用”、“嚴格管控數據訪問行為”、“實現過程全記錄”和“精細化權限管理”5類關鍵措施。
二是提出了加強數據安全常態化檢測和監測的要求。明確提出建設“數據安全態勢感知平臺”,用以挖掘感知各類威脅事件,并實現對高危操作的及時阻斷;同時,提出了培育貫徹“主動防御”思想,以指導優化安全技術應用模式,提升安全防護監測的水平。
強化數據安全運行管理
一是提出了完善數據安全運維運營保障機制的要求。明確了數據運維運營保障機制的4個關鍵環節,即:數據安全風險信息的獲取、分析、研判、預警。
二是提出了加強數據安全運行監管的目標、手段和關鍵措施要求。總體監管目標是:要實現“事前管審批、事中全留痕、事后可追溯”;主要監管手段是:數據使用申請合規性審查和白名單控制、優化態勢感知規則、全流程記錄等;關鍵保護措施包括:提高對數據異常使用行為的發現、溯源和處置能力,加強政務系統建設中的數據安全管理和數據應用健康穩定運行。
對產業發展的影響思考
政務數據對于數據安全產業而言,無論從其體量、規模,還是從其屬性、價值來看,都具有基礎性和導向性影響。因此,“全國一體化政務大數據體系”的建設和推進,對于促進數據安全產業的快速、持續發展具有極其關鍵的重要價值,體現在以下方面:
一是促進數據安全技術創新。《建設指南》目前已明確提出了構建以電子認證、數據加密為基礎的技術體系,對于從事網絡和數據安全的企業而言,如何將現有相關技術與數據體系建設的不同場景、環境更緊密結合,以及進一步優化數據安全相關算法規則,都提出了創新和深化的要求。
二是促進數據安全產品和方案體系完善。“全國一體化政務大數據體系”對安全保障建設提出了全周期、全流程的要求,其中必然存在某些環節,是當前數據安全產品和方案所未能充分或全面保障的。例如當前數據體系建設無法回避的云網絡邊界接入隔離、審計溯源,彈性響應以及應用流量可信等領域,對數據安全相關產品、方案提出了較為緊迫的需求。
三是促進數據安全服務創新發展。《建設指南》已經明確提出了“主動防御”要求,這充分說明傳統的“打補丁”式安全建設和運營思路已無法滿足新的安全需求,必須構建起聯結運營、管理、保障等多方協同發展的“一體化”運營服務保障,將咨詢規劃、安全建設、運維保障、培訓演練等融合式網絡和數據安全服務。
綠盟科技在政務大數據體系數據安全建設方向的探索
《全國一體化政務大數據體系建設指南》的發布實施,為數據安全產業發展吹響了新一輪沖鋒號角,綠盟科技作為網絡和數據安全領先企業,在政務大數據體系數據安全方向做了諸多探索和實踐。
綠盟科技認為,隨著數字化政府建設的不斷深入,政務數據應用場景不斷豐富,在數據匯聚、數據共享、數據開放過程中,面臨包括數據超范圍濫用、流轉環境復雜、數據私自外發泄露、未授權違規留存、惡意攻擊、數據接口非法封裝、漏洞被利用等挑戰。
為應對以上挑戰,綠盟科技獨創“知、識、控、察、行”數據安全框架,綜合考慮政務大數據體系從管理組織架構、管理制度架構、技術架構、安全運營等維度需求,特推出綠盟政務大數據安全解決方案,為政務大數據體系從數據安全制度規范體系、數據安全技術防護體系到數據安全智能運營體系提供一體化建設思路。
方案總體框架體系圍繞數據安全治理開展,建設數據安全管理體系、數據安全技術體系、數據安全運營體系,基于分類分級、資產管理、監控審計、應急管理、權限管理、合規管理、風險管理等基礎安全能力,覆蓋從數據采集、傳輸、存儲、使用、交換、銷毀全生命周期安全保護,實現數據可信共享,智能運營。
數據安全治理體系核心圍繞數據安全管理體系建設、數據安全技術體系建設、數據安全運營體系開展:
★ No.1數據安全管理體系建設
從管理組織架構、管理制度流程兩方面進行規劃和搭建。從宏觀的組織發展方針、組織戰略,中觀的管理制度規范,微觀的計劃報告表格日志等同步建設。
★ No.2數據安全技術防護體系建設
結合敏感數據資產化管理的技術和數據運營服務貫穿輔助的加持手段,實現數據全生命周期的安全防護和風險感知。
★ No.3數據安全智能運營體系
建立數據平臺安全風險預警機制,建立健全數據安全防護能力評估指標,推動數據安全管理工作可量化、可追溯、可評估。
綠盟科技作為網絡和數據安全領先企業,深耕技術研發,先后推出了“智慧安全3.0”戰略體系、“T-ONE CLOUD”戰略、政務大數據安全解決方案及系列重磅產品和服務,獲得了各行業客戶的高度認可。我們將繼續秉持和發揚技術創新底蘊,為全國一體化政務大數據體系的建設發展持續貢獻力量。
一顆小胡椒
中國信息安全
天融信
信息安全與通信保密雜志社
安全牛
中國信息安全
中國信息安全
中國網絡空間安全協會
奇安信集團
安全圈
關鍵基礎設施安全應急響應中心
一顆小胡椒
