政務(wù)云大數(shù)據(jù)平臺的打造����,以數(shù)據(jù)為核心�����,以信息化提升數(shù)據(jù)化管理與服務(wù)能力��,及時準確掌握社會經(jīng)濟發(fā)展情況����,做到“用數(shù)據(jù)說話、用數(shù)據(jù)管理�、用數(shù)據(jù)決策、用數(shù)據(jù)創(chuàng)新”��,牢牢把握社會經(jīng)濟發(fā)展主動權(quán)和話語權(quán)����。
然而,由于政務(wù)信息的高敏感度�,國家對政務(wù)云的安全越來越重視,中央網(wǎng)信辦明確要求“要對為黨政部門提供云計算服務(wù)的服務(wù)商���,參照有關(guān)網(wǎng)絡(luò)安全國家標準��,組織第三方機構(gòu)進行網(wǎng)絡(luò)安全審查”���,鼓勵重點行業(yè)優(yōu)先采購和使用通過安全審查的服務(wù)商提供的云計算服務(wù)。通過技術(shù)手段和國家強制措施�,政務(wù)云模式下的信息安全更有保障。
因此�,政務(wù)云大數(shù)據(jù)平臺的建設(shè),要始終圍繞“數(shù)據(jù)自由而安全的使用”這一業(yè)務(wù)目標�����。遵循數(shù)據(jù)安全治理體系框架��,以內(nèi)部或準內(nèi)部人員為主要安全管控對象��;以數(shù)據(jù)分級分類為基礎(chǔ)����,以數(shù)據(jù)合理�����、安全流動為目標�;以數(shù)據(jù)使用過程的安全管理和技術(shù)支撐為手段���,將安全產(chǎn)品技術(shù)和流程管理進行深度整合�����,建立合理有效的大數(shù)據(jù)管理與利用規(guī)范��,此為大數(shù)據(jù)管理和利用的重中之重��。
安華金和將以目前已經(jīng)落地的某政務(wù)云大數(shù)據(jù)安全建設(shè)項目為例��,帶來完整的覆蓋組織建立���、制度規(guī)范以及技術(shù)支撐的數(shù)據(jù)安全治理框架下的政務(wù)云大數(shù)據(jù)安全建設(shè)方案。
安全挑戰(zhàn)
1�、內(nèi)部人員違規(guī)使用
內(nèi)部人員違規(guī)使用風險主要發(fā)生在數(shù)據(jù)運維人員、開發(fā)測試人員和高權(quán)限人員��,雖然制定了相應(yīng)的數(shù)據(jù)安全規(guī)范,但由于缺少監(jiān)控措施�����,難免出現(xiàn)越權(quán)或多賬號共用的現(xiàn)象����,給數(shù)據(jù)泄漏造成很大隱患�。
另外,不能排除內(nèi)部人員為滿足個人利益���,進行違規(guī)查詢���、導(dǎo)出,甚至是修改數(shù)據(jù)行為�,加之數(shù)據(jù)權(quán)限和使用范圍未精細化管控,導(dǎo)致可以輕易對數(shù)據(jù)訪問和使用���。
2�����、數(shù)據(jù)資產(chǎn)安全管控
各電子政務(wù)系統(tǒng)缺乏對自身敏感數(shù)據(jù)狀況的有效掌握�����,導(dǎo)致制度規(guī)范的制定不完善��,技術(shù)手段執(zhí)行針對性不強��,總體數(shù)據(jù)安全能力無法得到有效提升��。傳統(tǒng)的數(shù)據(jù)共享與交互沒有進行最小范圍管控���,增加了數(shù)據(jù)泄漏的概率���,加之沒有對共享和交互環(huán)節(jié)進行監(jiān)控和審計,給黑客及不法人員提供了入口�。
3、數(shù)據(jù)共享����、交互安全
政務(wù)數(shù)據(jù)的共享和交互可分為內(nèi)部和外部(包括監(jiān)管機構(gòu)、其它政務(wù)部門和第三方)兩類����,由于頻度高、場景復(fù)雜�、使用終端規(guī)模大��,導(dǎo)致安全規(guī)范和技術(shù)手段混亂不清��,數(shù)據(jù)安全工作壓力巨大�����。當發(fā)生數(shù)據(jù)安全事件時�����,不能有效追溯。
4��、數(shù)據(jù)安全能力提升
任何數(shù)據(jù)安全技術(shù)和制度都不能完全解決數(shù)據(jù)安全問題�,需要不斷完善和加固。另外����,如果不能對“好人中的壞人”進行有效識別,對數(shù)據(jù)使用進行有效監(jiān)控���,未形成管控閉環(huán)����,會導(dǎo)致現(xiàn)有制度規(guī)范和安全技術(shù)所能輻射的范圍有限,只能解決當前問題��。
建設(shè)思路
由于數(shù)據(jù)規(guī)模大��、使用場景復(fù)雜�、數(shù)據(jù)資產(chǎn)變化快,需要從頂層來設(shè)計數(shù)據(jù)安全體系��,同時需要考慮落地性和可用性�����。為了實現(xiàn)整體提升數(shù)據(jù)安全能力的目標�,需要從組織機構(gòu)、制度規(guī)范�����、技術(shù)支撐三個維度進行設(shè)計���。通過建設(shè)組織����、制定制度規(guī)范、安全技術(shù)建設(shè)����,做到心里有數(shù)、治理有方��、監(jiān)管有據(jù)�����。
1����、組織機構(gòu)
建立獨立的數(shù)據(jù)安全管理機構(gòu),是建設(shè)數(shù)據(jù)安全體系的基本前提��,數(shù)據(jù)安全并不應(yīng)該由傳統(tǒng)的安全部門負責��,而是應(yīng)各部門配合起來�,整體提升數(shù)據(jù)安全能力��。清晰明確的職責劃分���,可有效保障數(shù)據(jù)安全工作順利開展��。
圖中紅色部分代表必要角色�,藍色部分代表部門,灰色部分代表角色�。
2、制度規(guī)范
完善的管理制度和規(guī)范是數(shù)據(jù)安全體系建設(shè)的核心內(nèi)容����,制度規(guī)范的建立需要從易用性和安全性兩方面考慮,根據(jù)適用范圍和適用對象不同�����,可分為技術(shù)類規(guī)范和管理類規(guī)范��。管理類規(guī)范可包括:數(shù)據(jù)安全管理規(guī)范����、數(shù)據(jù)分類分級規(guī)范、數(shù)據(jù)認責制度����、數(shù)據(jù)共享規(guī)范、數(shù)據(jù)資產(chǎn)管理規(guī)范����、數(shù)據(jù)維護管理規(guī)范;技術(shù)類規(guī)范有:數(shù)據(jù)脫敏規(guī)范、審計日志規(guī)范�����。
3��、技術(shù)支撐
政務(wù)云大數(shù)據(jù)安全建設(shè)的技術(shù)支撐是要對數(shù)據(jù)使用場景進行分析�,明確保護對象、控制對象和服務(wù)對象�,并通過技術(shù)手段實現(xiàn)對保護對象的發(fā)現(xiàn)和細粒度梳理,結(jié)合制度規(guī)范��,進行使用過程中的管控�����。通過對審計日志分析����,不斷完善策略和制度��。這一部分也是保障整體方案建設(shè)得以實現(xiàn)落地的根本�����。
未完待續(xù)
敬請期待:政務(wù)云大數(shù)據(jù)安全建設(shè)(二)技術(shù)支撐
產(chǎn)品咨詢:4000 258 365 
