《全国一体化政务大数据体系建设指南》之数据安全产业影响分析和思考
近日,国务院办公厅印发了《全国一体化政务大数据体系建设指南》(以下简称《建设指南》),正式拉开政务领域全国一体化大数据体系建设的序幕。该文件的发布,无疑将为我国数据安全产业注入强有力的新发展动能,引领我国数据安全产业全面助力构建新安全格局。
基本政策脉络
“全国一体化政务大数据体系”是我国“全国一体化大数据中心”的有机组成部分,其建设发展具有清晰的战略和政策脉络。
从战略层面看。党的十八届中央政治局第三十六次集体学习率先提出了“要建设全国一体化的国家大数据中心”的重大战略目标;中央全面深化改革委员会第十七次会议对于“建立健全政务数据共享协调机制、加快推进数据有序共享”提出了总体要求。
从政策层面看。为切实落实推进“全国一体化大数据中心”战略要求,国家自2020年以来,先后发布了《关于加快构建全国一体化大数据中心协同创新体系的指导意见》、《全国一体化大数据中心协同创新体系算力枢纽实施方案》、《新型数据中心发展三年行动计划(2021-2023年)》等重要政策文件,并启动了“东数西算”等重大工程。
可见,此次发布《建设指南》是“全国一体化大数据中心”战略体系的重要一环,与此前的相关战略、政策体系一脉相承,而又因承载新时代对政务数据发展的要求,具有重要的时代特征和丰富内涵。
《建设指南》安全保障要点分析
《建设指南》在第四章“主要任务”的第八部分,对全国一体化政务大数据体系的“安全保障一体化”要求进行了集中论述和明确。“安全保障一体化”建设内容涉及制度规范、技术保障、运行管理三部分,详细内容要点分析如下。
健全数据安全制度规范
一是明确了数据安全制度规范的法律依据、重点方向和核心内容。明确了《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规是数据安全制度规范的主要法律依据;将“明确数据分类分级、安全审查等具体制度和要求”作为数据安全制度工作的重点方向;将“明确数据安全主体责任”、“厘清数据流转全流程中各方权利义务和法律责任”作为数据安全制度工作的核心内容。
二是提出了健全工作责任制要求。围绕数据全生命周期管理,以“人、数据、场景”关联管理为核心,建立健全工作责任机制。
三是提出了建立并实施相关标准规范体系要求。指出了数据安全标准规范体系的核心构成,即:“政务数据访问权限控制、异常风险识别、安全风险处置、行为审计、数据安全销毁、指标评估等”。还要求以推进开展“内部数据安全检测与外部评估认证”,以促进数据安全管理规范的有效实施。
强化信息安全技术保障体系
一是提出了技术防护的对象、手段、关键措施等要求。在防护对象上,以“重要数据、个人隐私、商业秘密信息保护”为主要保护客体;在技术手段上,以“电子认证、数据加密”等为主要技术措施;在防护举措上,要求以“防止数据篡改”、“推进数据脱敏使用”、“严格管控数据访问行为”、“实现过程全记录”和“精细化权限管理”5类关键措施。
二是提出了加强数据安全常态化检测和监测的要求。明确提出建设“数据安全态势感知平台”,用以挖掘感知各类威胁事件,并实现对高危操作的及时阻断;同时,提出了培育贯彻“主动防御”思想,以指导优化安全技术应用模式,提升安全防护监测的水平。
强化数据安全运行管理
一是提出了完善数据安全运维运营保障机制的要求。明确了数据运维运营保障机制的4个关键环节,即:数据安全风险信息的获取、分析、研判、预警。
二是提出了加强数据安全运行监管的目标、手段和关键措施要求。总体监管目标是:要实现“事前管审批、事中全留痕、事后可追溯”;主要监管手段是:数据使用申请合规性审查和白名单控制、优化态势感知规则、全流程记录等;关键保护措施包括:提高对数据异常使用行为的发现、溯源和处置能力,加强政务系统建设中的数据安全管理和数据应用健康稳定运行。
对产业发展的影响思考
政务数据对于数据安全产业而言,无论从其体量、规模,还是从其属性、价值来看,都具有基础性和导向性影响。因此,“全国一体化政务大数据体系”的建设和推进,对于促进数据安全产业的快速、持续发展具有极其关键的重要价值,体现在以下方面:
一是促进数据安全技术创新。《建设指南》目前已明确提出了构建以电子认证、数据加密为基础的技术体系,对于从事网络和数据安全的企业而言,如何将现有相关技术与数据体系建设的不同场景、环境更紧密结合,以及进一步优化数据安全相关算法规则,都提出了创新和深化的要求。
二是促进数据安全产品和方案体系完善。“全国一体化政务大数据体系”对安全保障建设提出了全周期、全流程的要求,其中必然存在某些环节,是当前数据安全产品和方案所未能充分或全面保障的。例如当前数据体系建设无法回避的云网络边界接入隔离、审计溯源,弹性响应以及应用流量可信等领域,对数据安全相关产品、方案提出了较为紧迫的需求。
三是促进数据安全服务创新发展。《建设指南》已经明确提出了“主动防御”要求,这充分说明传统的“打补丁”式安全建设和运营思路已无法满足新的安全需求,必须构建起联结运营、管理、保障等多方协同发展的“一体化”运营服务保障,将咨询规划、安全建设、运维保障、培训演练等融合式网络和数据安全服务。
绿盟科技在政务大数据体系数据安全建设方向的探索
《全国一体化政务大数据体系建设指南》的发布实施,为数据安全产业发展吹响了新一轮冲锋号角,绿盟科技作为网络和数据安全领先企业,在政务大数据体系数据安全方向做了诸多探索和实践。
绿盟科技认为,随着数字化政府建设的不断深入,政务数据应用场景不断丰富,在数据汇聚、数据共享、数据开放过程中,面临包括数据超范围滥用、流转环境复杂、数据私自外发泄露、未授权违规留存、恶意攻击、数据接口非法封装、漏洞被利用等挑战。
为应对以上挑战,绿盟科技独创“知、识、控、察、行”数据安全框架,综合考虑政务大数据体系从管理组织架构、管理制度架构、技术架构、安全运营等维度需求,特推出绿盟政务大数据安全解决方案,为政务大数据体系从数据安全制度规范体系、数据安全技术防护体系到数据安全智能运营体系提供一体化建设思路。
方案总体框架体系围绕数据安全治理开展,建设数据安全管理体系、数据安全技术体系、数据安全运营体系,基于分类分级、资产管理、监控审计、应急管理、权限管理、合规管理、风险管理等基础安全能力,覆盖从数据采集、传输、存储、使用、交换、销毁全生命周期安全保护,实现数据可信共享,智能运营。
数据安全治理体系核心围绕数据安全管理体系建设、数据安全技术体系建设、数据安全运营体系开展:
★ No.1数据安全管理体系建设
从管理组织架构、管理制度流程两方面进行规划和搭建。从宏观的组织发展方针、组织战略,中观的管理制度规范,微观的计划报告表格日志等同步建设。
★ No.2数据安全技术防护体系建设
结合敏感数据资产化管理的技术和数据运营服务贯穿辅助的加持手段,实现数据全生命周期的安全防护和风险感知。
★ No.3数据安全智能运营体系
建立数据平台安全风险预警机制,建立健全数据安全防护能力评估指标,推动数据安全管理工作可量化、可追溯、可评估。
绿盟科技作为网络和数据安全领先企业,深耕技术研发,先后推出了“智慧安全3.0”战略体系、“T-ONE CLOUD”战略、政务大数据安全解决方案及系列重磅产品和服务,获得了各行业客户的高度认可。我们将继续秉持和发扬技术创新底蕴,为全国一体化政务大数据体系的建设发展持续贡献力量。
