政务云大数据安全建设(一)挑战和思路-k8凯发天生赢家

政务云大数据安全建设(一)挑战和思路
作者:安华金和 发布时间:2019-03-29

政务云大数据平台的打造,以数据为核心,以信息化提升数据化管理与服务能力,及时准确掌握社会经济发展情况,做到“用数据说话、用数据管理、用数据决策、用数据创新”,牢牢把握社会经济发展主动权和话语权。

然而,由于政务信息的高敏感度,国家对政务云的安全越来越重视,中央网信办明确要求“要对为党政部门提供云计算服务的服务商,参照有关网络安全国家标准,组织第三方机构进行网络安全审查”,鼓励重点行业优先采购和使用通过安全审查的服务商提供的云计算服务。通过技术手段和国家强制措施,政务云模式下的信息安全更有保障。

因此,政务云大数据平台的建设,要始终围绕“数据自由而安全的使用”这一业务目标。遵循数据安全治理体系框架,以内部或准内部人员为主要安全管控对象;以数据分级分类为基础,以数据合理、安全流动为目标;以数据使用过程的安全管理和技术支撑为手段,将安全产品技术和流程管理进行深度整合,建立合理有效的大数据管理与利用规范,此为大数据管理和利用的重中之重。

安华金和将以目前已经落地的某政务云大数据安全建设项目为例,带来完整的覆盖组织建立、制度规范以及技术支撑的数据安全治理框架下的政务云大数据安全建设方案。

安全挑战

1、内部人员违规使用

内部人员违规使用风险主要发生在数据运维人员、开发测试人员和高权限人员,虽然制定了相应的数据安全规范,但由于缺少监控措施,难免出现越权或多账号共用的现象,给数据泄漏造成很大隐患。

另外,不能排除内部人员为满足个人利益,进行违规查询、导出,甚至是修改数据行为,加之数据权限和使用范围未精细化管控,导致可以轻易对数据访问和使用。

2、数据资产安全管控

各电子政务系统缺乏对自身敏感数据状况的有效掌握,导致制度规范的制定不完善,技术手段执行针对性不强,总体数据安全能力无法得到有效提升。传统的数据共享与交互没有进行最小范围管控,增加了数据泄漏的概率,加之没有对共享和交互环节进行监控和审计,给黑客及不法人员提供了入口。

3、数据共享、交互安全

政务数据的共享和交互可分为内部和外部(包括监管机构、其它政务部门和第三方)两类,由于频度高、场景复杂、使用终端规模大,导致安全规范和技术手段混乱不清,数据安全工作压力巨大。当发生数据安全事件时,不能有效追溯。

4、数据安全能力提升

任何数据安全技术和制度都不能完全解决数据安全问题,需要不断完善和加固。另外,如果不能对“好人中的坏人”进行有效识别,对数据使用进行有效监控,未形成管控闭环,会导致现有制度规范和安全技术所能辐射的范围有限,只能解决当前问题。

建设思路

由于数据规模大、使用场景复杂、数据资产变化快,需要从顶层来设计数据安全体系,同时需要考虑落地性和可用性。为了实现整体提升数据安全能力的目标,需要从组织机构、制度规范、技术支撑三个维度进行设计。通过建设组织、制定制度规范、安全技术建设,做到心里有数、治理有方、监管有据。

27.jpg

1、组织机构

建立独立的数据安全管理机构,是建设数据安全体系的基本前提,数据安全并不应该由传统的安全部门负责,而是应各部门配合起来,整体提升数据安全能力。清晰明确的职责划分,可有效保障数据安全工作顺利开展。

28.jpg

                                                    图中红色部分代表必要角色,蓝色部分代表部门,灰色部分代表角色。

2、制度规范

完善的管理制度和规范是数据安全体系建设的核心内容,制度规范的建立需要从易用性和安全性两方面考虑,根据适用范围和适用对象不同,可分为技术类规范和管理类规范。管理类规范可包括:数据安全管理规范、数据分类分级规范、数据认责制度、数据共享规范、数据资产管理规范、数据维护管理规范;技术类规范有:数据脱敏规范、审计日志规范。

3、技术支撑

政务云大数据安全建设的技术支撑是要对数据使用场景进行分析,明确保护对象、控制对象和服务对象,并通过技术手段实现对保护对象的发现和细粒度梳理,结合制度规范,进行使用过程中的管控。通过对审计日志分析,不断完善策略和制度。这一部分也是保障整体方案建设得以实现落地的根本。

未完待续

敬请期待:政务云大数据安全建设(二)技术支撑

网站地图