前 言
当前,数据作为新型生产要素,促进着数字基础设施发展与产业迭代升级,推动着数字经济成为我国经济高质量发展的新引擎,与此同时,有力的数据安全保障和流动监管成为确保数据优势发挥的重要基础底座。
2021年上半年,国家“十四五规划”勾勒数字化发展蓝图,明确未来将高度关注“保障国家数据安全,加强个人信息保护”。2022年底出台的“数据二十条”,将维护国家数据安全、保护个人信息和商业秘密作为促进数据合规高效流通使用、赋能实体经济主线任务的前提。随后2023年初发布的《数字中国建设整体布局规划》,“数字安全屏障”作为数字中国建设整体框架的两大能力之一被提出。2023年10月,国家数据局揭牌,2024年1月出台“数据要素×”三年行动计划,坚持把安全贯穿数据要素价值创造和实现全过程,严守数据安全底线。
在如火如荼的数字化建设征程中,在统筹发展与安全的顶层规划下,各关键领域以及各地区的主管部门密集出台相关的数据条例与安全标准,有力落实上位法的监管要求,积极探索数字治理的中国方案。安全419将以各关键领域为维度,观察其在数字化建设大背景下数据安全的建设现状、监管要求、市场需求、难点及应对,以期为各行业的数据处理者带来一定的启发与有益的参考。
本期,我们走进政务领域。
数字政府建设迈进 数据汇聚共享引发安全隐患
随着国务院《关于加强数字政府建设的指导意见》发布以来,各级政府对数字政府建设全面深化,政府在履行职责的过程中产生或收集了大量信息,这些庞大的数据资源便是各种政务业务的基石。“一网通办”在给民众带来极大便利的同时,由于数据高度汇聚集中、广泛流转共享,并且面向社会开放和授权运营,安全隐患和风险也在陡然加剧。
一是大规模泄漏风险,政务数据汇聚及流转共享过程中,可能会被未授权人员或非法组织获取和利用,导致数据泄露;
二是数据恶意破坏风险,政务数据被恶意篡改、删除,或数据平台拒绝服务,造成重大数据资产损失以及政府公共服务失序;
三是数据违规使用风险,政务数据共享后,数据使用者误用数据,将数据用于不当用途,从而对数据主体造成不良影响;
四是个人信息保护不足风险,政务数据中包含大量的个人信息,部分数据面向社会开放前,未经过脱敏、截断、遮挡等处理,导致个人信息泄露。
近年来,关于政务数据安全相关的事件逐渐增多,人资社保、工商税务、专利信息等政务公开数据被批量爬取,并在互联网上泛滥,用于非正常的数据应用服务以及线下的非法数据售卖,或者经过干净分析、加工后对外提供有偿性服务。除上述情况以外,政府数据安全也面临数据安全责任难以清晰界定、网络攻击防范难度大、专业人才队伍不足等挑战。
政务数据安全备受重视 从国家到地方监管积极推进
政务数据体量巨大,不仅汇集了大量公民个人信息,更包含着众多国家秘密和不宜对外公开的内部工作信息,一旦发生数据安全风险,将使国家利益及人民群众的合法权益受到严重威胁。在数字政府建设进程中,数据安全问题日益受到重视。
《数据安全法》专章规定“政务数据安全与开放”;《全国一体化政务大数据体系建设指南》强调要加强数据汇聚融合、共享开放和开发利用,促进数据依法有序流动;《国务院关于加强数字政府建设的指导意见》进一步提出“构建数字政府全方位安全保障体系”,其中明确要求构建全方位、多层级、一体化安全防护体系,确保政务系统和数据安全管理边界清晰、职责明确、责任落实。
在国家法律规定和技术标准的基础上,各地方、各部门在公共数据管理、政务数据资源应用、数据共享与开放等相关配套立法中制定了更丰富的规则,为政务数据安全保障提供了更精细和具体的管理制度依据。
例如,《广东省公共数据管理办法》规定的公共数据共享数据库加密双备份要求,《浙江省公共数据条例》规定的设置数据安全管理岗位及管理岗位责任制,《湖北省政务数据资源应用与管理办法》规定的日志留存和数据溯源等安全防护措施,《山西省政务数据管理与应用办法》要求政务云服务提供方应当确保政务云数据安全等等。
政府机构数据安全体系建设将如何落地实践
上述规则为政务数据安全保障提供了层层递进的规范依据,政务数据安全保障的制度框架亦由此逐渐成型。政府机构在具体的数据安全建设体系落地实践中该怎么做呢?安全419选取了多家安全提供商针对政务领域的数据安全方案,为业界同仁带来参考和借鉴。
管理、技术、运营三位一体政务数据安全治理
针对《全国一体化政务大数据体系建设指南》中数据安全保障一体化建设要求和内容,启明星辰提出以业务、合规、安全策略为支撑,从管理、技术、运营三个方面构建数据安全治理体系。
管理体系
主要包括两大方面内容,通过组织机构的建立,有效建立政务数据共享协调机制,形成有效的运行管理机制,明确各级政务部门权限职责。通过管理制度标准的梳理,形成政务数据统一有效的标准化体系,各地区各部门产生政务数据按照相应的技术标准、管理规范进行统一管理。制定政务数据访问权限控制、异常风险识别、安全风险处置、行为审计、数据安全销毁、指标评估等数据安全管理规范等。
技术体系
包括数据安全治理管控平台(DSMP)和脱敏、加密、审计等相关能力组件。DSMP平台以数据、人为核心,对政务数据安全工作进行标准化、规范化、常态化管理,全面掌握政务数据资产分类、分级及分布情况,建立数据安全策略管控和数据安全策略编排调度集中管理能力,以数据、场景、能力多个维度落地政务数据全生命周期监控管理,有效监控政务数据流转路径和动态流向,实现数据分布、流转、访问过程中的风险识别和态势呈现,为数据安全的安全管控和数据的安全监控提供能力保障,为数据、业务安全运营提供技术能力支撑平台。
运营体系
通过运营体系提供专业的数据安全体系建设咨询服务、业务梳理服务、合规对标服务、数据资产梳理服务、数据安全分析服务、数据安全评估服务及数据安全运维服务等,不断调整管控策略细粒度,实现精准控制,全面分析并掌握政务数据运行的安全趋势,从而提升政务数据的安全能力及数据服务水平,形成一体化运营机制。
全国一体化政务大数据体系安全建设
根据全国一体化政务大数据体系中安全保障一体化相关内容要求,山石网科通过构建完善的数据安全体系助力全国一体化政务大数据平台形成数据安全管理闭环。
其指出,数据安全治理永远不是从零开始的,而是基于政务系统现有的安全能力建设现状,通过以数据为中心的视角,对现有的体系进行扩展以实现对数据的安全治理管控,围绕着数据全生命周期进行建设以提高数据安全保障能力,所以通过对数据安全愿景的制定,由数据安全管理层根据政务体系的战略目标以及实际业务情况具体讨论建设方式。
框架设计上,一是参考DSMM(数据安全成熟度模型),对政务系统在数据安全建设中的所有控制点进行评估,二是结合实际业务,根据其战略方针,更多从场景层面出发,满足数据安全的目标和愿景。结合上述双维驱动的数据安全建设思路,提出以“制度规范体系”、“技术防护体系”、“运营管理体系”为核心,“监督审计体系”、“应急响应体系”为支撑的数据安全治理五大体系架构。
其中通过制度规范体系建设,指引政务系统在技术防护体系中的构建方向,也指引着运营管理体系中的组织建设和人员能力建设的方向;同时,运营管理体系的建立也确保了制度规范体系的落地执行,和技术防护体系发挥实际作用;而技术防护体系作为关键工具,为制度规范体系和运营管理体系提供了实际的工具抓手。
尾 声
在数字时代,政务数据中汇集的信息可谓关系重大,深刻影响着公民的权益保障、社会的秩序维系乃至国家的正常运转。诚然,政务数据安全保障将面对动态演化的数据安全风险,其技术基础和制度体系都需要通时合变,因此欢迎更多在政务数据安全领域具有前瞻思考和成功实践的甲乙方与我们交流,为业界呈现丰富且有益的建设参考,在风险防控与价值挖掘之间取得更优的平衡。