政務(wù)云大數(shù)據(jù)平臺(tái)的打造��,以數(shù)據(jù)為核心�,以信息化提升數(shù)據(jù)化管理與服務(wù)能力,及時(shí)準(zhǔn)確掌握社會(huì)經(jīng)濟(jì)發(fā)展情況��,做到“用數(shù)據(jù)說話���、用數(shù)據(jù)管理、用數(shù)據(jù)決策����、用數(shù)據(jù)創(chuàng)新”,牢牢把握社會(huì)經(jīng)濟(jì)發(fā)展主動(dòng)權(quán)和話語權(quán)�。
然而,由于政務(wù)信息的高敏感度��,國家對政務(wù)云的安全越來越重視�,中央網(wǎng)信辦明確要求“要對為黨政部門提供云計(jì)算服務(wù)的服務(wù)商,參照有關(guān)網(wǎng)絡(luò)安全國家標(biāo)準(zhǔn)��,組織第三方機(jī)構(gòu)進(jìn)行網(wǎng)絡(luò)安全審查”��,鼓勵(lì)重點(diǎn)行業(yè)優(yōu)先采購和使用通過安全審查的服務(wù)商提供的云計(jì)算服務(wù)�。通過技術(shù)手段和國家強(qiáng)制措施,政務(wù)云模式下的信息安全更有保障����。
因此���,政務(wù)云大數(shù)據(jù)平臺(tái)的建設(shè),要始終圍繞“數(shù)據(jù)自由而安全的使用”這一業(yè)務(wù)目標(biāo)�����。遵循數(shù)據(jù)安全治理體系框架��,以內(nèi)部或準(zhǔn)內(nèi)部人員為主要安全管控對象��;以數(shù)據(jù)分級分類為基礎(chǔ)��,以數(shù)據(jù)合理�����、安全流動(dòng)為目標(biāo)�;以數(shù)據(jù)使用過程的安全管理和技術(shù)支撐為手段,將安全產(chǎn)品技術(shù)和流程管理進(jìn)行深度整合��,建立合理有效的大數(shù)據(jù)管理與利用規(guī)范��,此為大數(shù)據(jù)管理和利用的重中之重����。
安華金和將以目前已經(jīng)落地的某政務(wù)云大數(shù)據(jù)安全建設(shè)項(xiàng)目為例�,帶來完整的覆蓋組織建立��、制度規(guī)范以及技術(shù)支撐的數(shù)據(jù)安全治理框架下的政務(wù)云大數(shù)據(jù)安全建設(shè)方案�。
安全挑戰(zhàn)
1、內(nèi)部人員違規(guī)使用
內(nèi)部人員違規(guī)使用風(fēng)險(xiǎn)主要發(fā)生在數(shù)據(jù)運(yùn)維人員����、開發(fā)測試人員和高權(quán)限人員�,雖然制定了相應(yīng)的數(shù)據(jù)安全規(guī)范,但由于缺少監(jiān)控措施����,難免出現(xiàn)越權(quán)或多賬號(hào)共用的現(xiàn)象,給數(shù)據(jù)泄漏造成很大隱患�����。
另外����,不能排除內(nèi)部人員為滿足個(gè)人利益,進(jìn)行違規(guī)查詢�����、導(dǎo)出,甚至是修改數(shù)據(jù)行為��,加之?dāng)?shù)據(jù)權(quán)限和使用范圍未精細(xì)化管控�����,導(dǎo)致可以輕易對數(shù)據(jù)訪問和使用�。
2、數(shù)據(jù)資產(chǎn)安全管控
各電子政務(wù)系統(tǒng)缺乏對自身敏感數(shù)據(jù)狀況的有效掌握�����,導(dǎo)致制度規(guī)范的制定不完善���,技術(shù)手段執(zhí)行針對性不強(qiáng)����,總體數(shù)據(jù)安全能力無法得到有效提升���。傳統(tǒng)的數(shù)據(jù)共享與交互沒有進(jìn)行最小范圍管控�����,增加了數(shù)據(jù)泄漏的概率�,加之沒有對共享和交互環(huán)節(jié)進(jìn)行監(jiān)控和審計(jì),給黑客及不法人員提供了入口�。
3、數(shù)據(jù)共享���、交互安全
政務(wù)數(shù)據(jù)的共享和交互可分為內(nèi)部和外部(包括監(jiān)管機(jī)構(gòu)���、其它政務(wù)部門和第三方)兩類,由于頻度高�����、場景復(fù)雜��、使用終端規(guī)模大�����,導(dǎo)致安全規(guī)范和技術(shù)手段混亂不清�,數(shù)據(jù)安全工作壓力巨大�����。當(dāng)發(fā)生數(shù)據(jù)安全事件時(shí),不能有效追溯�����。
4���、數(shù)據(jù)安全能力提升
任何數(shù)據(jù)安全技術(shù)和制度都不能完全解決數(shù)據(jù)安全問題�,需要不斷完善和加固�。另外,如果不能對“好人中的壞人”進(jìn)行有效識(shí)別���,對數(shù)據(jù)使用進(jìn)行有效監(jiān)控�,未形成管控閉環(huán)���,會(huì)導(dǎo)致現(xiàn)有制度規(guī)范和安全技術(shù)所能輻射的范圍有限����,只能解決當(dāng)前問題��。
建設(shè)思路
由于數(shù)據(jù)規(guī)模大�、使用場景復(fù)雜、數(shù)據(jù)資產(chǎn)變化快����,需要從頂層來設(shè)計(jì)數(shù)據(jù)安全體系�����,同時(shí)需要考慮落地性和可用性�����。為了實(shí)現(xiàn)整體提升數(shù)據(jù)安全能力的目標(biāo)�,需要從組織機(jī)構(gòu)����、制度規(guī)范、技術(shù)支撐三個(gè)維度進(jìn)行設(shè)計(jì)�。通過建設(shè)組織、制定制度規(guī)范���、安全技術(shù)建設(shè),做到心里有數(shù)���、治理有方�����、監(jiān)管有據(jù)���。
1�����、組織機(jī)構(gòu)
建立獨(dú)立的數(shù)據(jù)安全管理機(jī)構(gòu)���,是建設(shè)數(shù)據(jù)安全體系的基本前提,數(shù)據(jù)安全并不應(yīng)該由傳統(tǒng)的安全部門負(fù)責(zé)�����,而是應(yīng)各部門配合起來��,整體提升數(shù)據(jù)安全能力���。清晰明確的職責(zé)劃分�,可有效保障數(shù)據(jù)安全工作順利開展���。
圖中紅色部分代表必要角色�����,藍(lán)色部分代表部門�,灰色部分代表角色。
2���、制度規(guī)范
完善的管理制度和規(guī)范是數(shù)據(jù)安全體系建設(shè)的核心內(nèi)容�����,制度規(guī)范的建立需要從易用性和安全性兩方面考慮���,根據(jù)適用范圍和適用對象不同,可分為技術(shù)類規(guī)范和管理類規(guī)范�����。管理類規(guī)范可包括:數(shù)據(jù)安全管理規(guī)范�、數(shù)據(jù)分類分級規(guī)范、數(shù)據(jù)認(rèn)責(zé)制度�、數(shù)據(jù)共享規(guī)范、數(shù)據(jù)資產(chǎn)管理規(guī)范���、數(shù)據(jù)維護(hù)管理規(guī)范;技術(shù)類規(guī)范有:數(shù)據(jù)脫敏規(guī)范��、審計(jì)日志規(guī)范。
3�����、技術(shù)支撐
政務(wù)云大數(shù)據(jù)安全建設(shè)的技術(shù)支撐是要對數(shù)據(jù)使用場景進(jìn)行分析�����,明確保護(hù)對象���、控制對象和服務(wù)對象���,并通過技術(shù)手段實(shí)現(xiàn)對保護(hù)對象的發(fā)現(xiàn)和細(xì)粒度梳理,結(jié)合制度規(guī)范��,進(jìn)行使用過程中的管控����。通過對審計(jì)日志分析,不斷完善策略和制度�。這一部分也是保障整體方案建設(shè)得以實(shí)現(xiàn)落地的根本。
未完待續(xù)
敬請期待:政務(wù)云大數(shù)據(jù)安全建設(shè)(二)技術(shù)支撐
產(chǎn)品咨詢:4000 258 365 
