政務(wù)云大數(shù)據(jù)平臺的打造�����,以數(shù)據(jù)為核心,以信息化提升數(shù)據(jù)化管理與服務(wù)能力�����,及時準(zhǔn)確掌握社會經(jīng)濟(jì)發(fā)展情況����,做到“用數(shù)據(jù)說話���、用數(shù)據(jù)管理、用數(shù)據(jù)決策�����、用數(shù)據(jù)創(chuàng)新”��,牢牢把握社會經(jīng)濟(jì)發(fā)展主動權(quán)和話語權(quán)�。
然而,由于政務(wù)信息的高敏感度�,國家對政務(wù)云的安全越來越重視,中央網(wǎng)信辦明確要求“要對為黨政部門提供云計算服務(wù)的服務(wù)商�����,參照有關(guān)網(wǎng)絡(luò)安全國家標(biāo)準(zhǔn)��,組織第三方機(jī)構(gòu)進(jìn)行網(wǎng)絡(luò)安全審查”��,鼓勵重點行業(yè)優(yōu)先采購和使用通過安全審查的服務(wù)商提供的云計算服務(wù)。通過技術(shù)手段和國家強(qiáng)制措施����,政務(wù)云模式下的信息安全更有保障���。
因此���,政務(wù)云大數(shù)據(jù)平臺的建設(shè),要始終圍繞“數(shù)據(jù)自由而安全的使用”這一業(yè)務(wù)目標(biāo)��。遵循數(shù)據(jù)安全治理體系框架�����,以內(nèi)部或準(zhǔn)內(nèi)部人員為主要安全管控對象;以數(shù)據(jù)分級分類為基礎(chǔ)����,以數(shù)據(jù)合理、安全流動為目標(biāo)�;以數(shù)據(jù)使用過程的安全管理和技術(shù)支撐為手段����,將安全產(chǎn)品技術(shù)和流程管理進(jìn)行深度整合,建立合理有效的大數(shù)據(jù)管理與利用規(guī)范���,此為大數(shù)據(jù)管理和利用的重中之重�����。
安華金和將以目前已經(jīng)落地的某政務(wù)云大數(shù)據(jù)安全建設(shè)項目為例���,帶來完整的覆蓋組織建立、制度規(guī)范以及技術(shù)支撐的數(shù)據(jù)安全治理框架下的政務(wù)云大數(shù)據(jù)安全建設(shè)方案��。
安全挑戰(zhàn)
1����、內(nèi)部人員違規(guī)使用
內(nèi)部人員違規(guī)使用風(fēng)險主要發(fā)生在數(shù)據(jù)運維人員、開發(fā)測試人員和高權(quán)限人員�,雖然制定了相應(yīng)的數(shù)據(jù)安全規(guī)范�,但由于缺少監(jiān)控措施�����,難免出現(xiàn)越權(quán)或多賬號共用的現(xiàn)象����,給數(shù)據(jù)泄漏造成很大隱患。
另外���,不能排除內(nèi)部人員為滿足個人利益�����,進(jìn)行違規(guī)查詢、導(dǎo)出���,甚至是修改數(shù)據(jù)行為����,加之?dāng)?shù)據(jù)權(quán)限和使用范圍未精細(xì)化管控��,導(dǎo)致可以輕易對數(shù)據(jù)訪問和使用�。
2�����、數(shù)據(jù)資產(chǎn)安全管控
各電子政務(wù)系統(tǒng)缺乏對自身敏感數(shù)據(jù)狀況的有效掌握���,導(dǎo)致制度規(guī)范的制定不完善,技術(shù)手段執(zhí)行針對性不強(qiáng)��,總體數(shù)據(jù)安全能力無法得到有效提升�。傳統(tǒng)的數(shù)據(jù)共享與交互沒有進(jìn)行最小范圍管控,增加了數(shù)據(jù)泄漏的概率���,加之沒有對共享和交互環(huán)節(jié)進(jìn)行監(jiān)控和審計���,給黑客及不法人員提供了入口。
3���、數(shù)據(jù)共享�、交互安全
政務(wù)數(shù)據(jù)的共享和交互可分為內(nèi)部和外部(包括監(jiān)管機(jī)構(gòu)����、其它政務(wù)部門和第三方)兩類,由于頻度高����、場景復(fù)雜����、使用終端規(guī)模大����,導(dǎo)致安全規(guī)范和技術(shù)手段混亂不清,數(shù)據(jù)安全工作壓力巨大����。當(dāng)發(fā)生數(shù)據(jù)安全事件時,不能有效追溯�。
4、數(shù)據(jù)安全能力提升
任何數(shù)據(jù)安全技術(shù)和制度都不能完全解決數(shù)據(jù)安全問題����,需要不斷完善和加固。另外�,如果不能對“好人中的壞人”進(jìn)行有效識別��,對數(shù)據(jù)使用進(jìn)行有效監(jiān)控�����,未形成管控閉環(huán),會導(dǎo)致現(xiàn)有制度規(guī)范和安全技術(shù)所能輻射的范圍有限����,只能解決當(dāng)前問題。
建設(shè)思路
由于數(shù)據(jù)規(guī)模大��、使用場景復(fù)雜�����、數(shù)據(jù)資產(chǎn)變化快����,需要從頂層來設(shè)計數(shù)據(jù)安全體系,同時需要考慮落地性和可用性�����。為了實現(xiàn)整體提升數(shù)據(jù)安全能力的目標(biāo)���,需要從組織機(jī)構(gòu)����、制度規(guī)范、技術(shù)支撐三個維度進(jìn)行設(shè)計�。通過建設(shè)組織、制定制度規(guī)范���、安全技術(shù)建設(shè)���,做到心里有數(shù)、治理有方�����、監(jiān)管有據(jù)�。
1、組織機(jī)構(gòu)
建立獨立的數(shù)據(jù)安全管理機(jī)構(gòu)����,是建設(shè)數(shù)據(jù)安全體系的基本前提,數(shù)據(jù)安全并不應(yīng)該由傳統(tǒng)的安全部門負(fù)責(zé)�,而是應(yīng)各部門配合起來,整體提升數(shù)據(jù)安全能力��。清晰明確的職責(zé)劃分���,可有效保障數(shù)據(jù)安全工作順利開展。
圖中紅色部分代表必要角色,藍(lán)色部分代表部門����,灰色部分代表角色。
2�����、制度規(guī)范
完善的管理制度和規(guī)范是數(shù)據(jù)安全體系建設(shè)的核心內(nèi)容�,制度規(guī)范的建立需要從易用性和安全性兩方面考慮,根據(jù)適用范圍和適用對象不同��,可分為技術(shù)類規(guī)范和管理類規(guī)范�����。管理類規(guī)范可包括:數(shù)據(jù)安全管理規(guī)范����、數(shù)據(jù)分類分級規(guī)范、數(shù)據(jù)認(rèn)責(zé)制度�����、數(shù)據(jù)共享規(guī)范��、數(shù)據(jù)資產(chǎn)管理規(guī)范、數(shù)據(jù)維護(hù)管理規(guī)范�;技術(shù)類規(guī)范有:數(shù)據(jù)脫敏規(guī)范、審計日志規(guī)范�����。
3�、技術(shù)支撐
政務(wù)云大數(shù)據(jù)安全建設(shè)的技術(shù)支撐是要對數(shù)據(jù)使用場景進(jìn)行分析,明確保護(hù)對象����、控制對象和服務(wù)對象,并通過技術(shù)手段實現(xiàn)對保護(hù)對象的發(fā)現(xiàn)和細(xì)粒度梳理��,結(jié)合制度規(guī)范�����,進(jìn)行使用過程中的管控�。通過對審計日志分析,不斷完善策略和制度��。這一部分也是保障整體方案建設(shè)得以實現(xiàn)落地的根本�����。
未完待續(xù)
敬請期待:政務(wù)云大數(shù)據(jù)安全建設(shè)(二)技術(shù)支撐
產(chǎn)品咨詢:4000 258 365 
