11月8日,由中国信息协会信息安全专业委员会主办的首届中国数据安全与治理高峰论坛暨2019中国信息协会信息安全专业委员会年会在北京召开与应用”在大会“2019大数据安全优秀案例评选”中荣获最佳实践奖。该方案探讨电子政务如何实现数据安全共享与交换,建立健全大数据安全保障体系。
▲最佳实践奖
政府大数据安全建设的难点在哪里?
随着数据快速到达世界各个角落,数据带来的安全风险也在加剧,数据泄露事件不断上升。 2019 年,全球数据泄露成本在过去 5 年中上升了 12%电子政务安全高峰论坛,平均数据泄露成本高达 392 万美元。
政府大数据事关社会民生。数据传输和交换过程复杂,数据安全难度更大:
1.数据资产庞大、高度分散且难以管理
政务数据资产分散存储在市各区县、部门的“孤岛”上,部分业务数据零星地分散在各种用户终端设备上。数据资产规模大、分散度高、管理方式多样。全球数据资产模糊不清,导致决策者、数据资产管理部门、信息安全和运维部门无法掌握重要数据的分布、业务数据的变化、高价值数据的使用、数据和账户及业务协会等数据核心管理从全局角度的信息。数据资产管理处于混乱状态,无法对数据资产进行有效管理,对高价值数据制定合适的安全保护策略。
2.整个数据生命周期的风险
数据在采集、传输、存储、处理、共享流通等全生命周期的多个阶段都面临着诸多安全风险。例如,政府大数据在被各部门和用户采集时,面临数据源伪造、前端等环节数据泄露、数据中隐藏攻击指令等风险。传输数据中存在数据泄露和中间人攻击的风险;数据存储在政务大数据平台时,面临漏洞和基线配置等安全风险,导致内部运维风险、外部开发者窃取和破坏数据风险、外部攻击入侵风险;在数据内部使用和外部共享阶段,还存在内部和第三方人员恶意操作、滥用数据调用接口、数据共享外泄密等风险;在数据销毁阶段,数据保留在内存或硬盘中,导致数据泄露。泄漏的风险。这些风险很容易导致包含关键业务数据和个人信息的政府大数据泄露、丢失和破坏。
3.数据安全建设碎片化
为了保证大数据资产和大数据系统的安全,传统方法需要部署数据访问控制、脱敏、加密、审计、漏洞扫描、敏感数据发现等各种硬件设备或软件模块。部署成本高,实施周期长,难以横向扩展。同时,各种数据安全设备和模块之间的数据保护策略和规则难以同步,难以集中分析日志。无法通过关联分析发现潜在的数据安全问题,也无法集中呈现数据安全状况。提供支持。安全建设的碎片化,使得数据安全技术手段难以部署、运行和维护,难以有效运行,难以实现数据安全建设的目标。
4.大数据共享交换缺乏规范,权责不清
在大数据共享和交换的过程中,涉及方多方。在共享交换过程中,各环节缺乏完备的数据安全防护、审计、检测、溯源技术手段,以及统一的大数据安全标准。在共享和利用过程中电子政务安全高峰论坛,数据提供者、数据收集和共享方、数据使用者无法评估其他参与者的数据安全能力,从而数据提供者不敢提供数据,数据收集和共享方不敢接收、存储、并共享数据。 ,数据使用者不敢检索和使用数据。进而阻碍数据的共享和收集过程,影响智慧政务建设。
构建政府大数据交换全生命周期的安全
1.数据资产综合审核
大数据安全始于整理大数据资产。大数据资产的分类是数据访问控制、脱敏、加密、跟踪审计等一切数据安全控制措施的基础。通过对数据资产的梳理,可以确定敏感数据在系统内的分布情况,确定敏感数据的访问方式,确定当前的账户和授权状态。根据单位的数据价值和特点,梳理单位核心数据资产,进行分类分类。在此基础上,可以确定更精细的数据安全管理措施。数据资产排序主要包括数据静态排序、数据动态排序、数据安全分类、敏感数据识别等。
2.风险驱动的大数据生命周期安全防护
利用差距分析法和《数据安全技术信息系统安全等级保护基本要求》,以数据交换共享和业务系统应用为基础,进行全生命周期的深度流程分析和策略分析(GB/T22239-2008)、《数据安全技术云计算服务安全能力要求》(GB/T 31168-2014)、《数据安全技术大数据服务安全能力要求》(GB/ T 35274-2017)等 对比分析规范和标准,确定大数据生命周期各阶段的安全风险 针对安全风险,制定数据生命周期各阶段的安全加固策略,采用数据分类、身份认证、访问控制、数据库安全审计、异常行为监测预警、数据加密、数据脱敏、数据防泄露等数据安全技术手段,确保数据在整个生命周期内的机密性、完整性和可用性。
3.集成交付数据安全能力和全局可见性和可控性
针对传统数据安全建设碎片化、建设实施时间长、成本和复杂度高、联动困难等问题,基于软件定义安全的理念,利用虚拟化技术,对数据安全设备和组件进行以软件形式实现,承载集成基础平台。并且通过数据安全资源管理和编排平台,可以实现组件的快速按需部署和定制编排。这样就可以根据大数据安全需求灵活构建大数据安全防护体系,大大降低数据安全交付和实施的难度和成本。并通过数据安全权限和策略的统一分配,组件模块日志的集中关联,实现数据安全控制手段的统一管理和数据安全状况的统一呈现。最后,从建设部署、交付、运维、安全运营等多个维度整合数据安全能力,实现数据安全建设目标。
▲深信服XSec集成安全平台具备快速编排能力
4.数据安全合规与共享交换权责分工建设
根据国家网络安全法和网络安全等级保护制度等法律法规的要求,依据《数据安全管理办法》(征求意见稿)、《信息安全技术网络安全等级保护基本要求》 ”(GB/T 20984-2019),《信息安全技术云计算服务安全能力要求》(GB/T 31168-2014),《信息安全技术大数据服务安全能力要求》)( GB/T 35274-2017)等政策标准,完善电子政务大数据安全保障体系,实现大数据交换平台建设不低于国家三级要求网络安全等级保护体系,数据运营管理的安全建设不低于成熟的数据安全能力基于大数据共享交换业务角色划分以及各方的安全责任,制定统一的大数据共享交换安全要求,明确大数据共享交换过程中的各个参与角色,按照业务角色职责划分数据安全权限。
▲深信服政务大数据安全建设规划
综合来看,桑认为政务大数据安全建设方案,通过大数据安全一体机,整合多种数据安全组件,形成政务大数据全生命周期保障以及可视化和控制数据安全的能力。同时,建立完善的数据安全管理体系、数据安全合规体系,以及共享交换的权责分工,实现更安全的大数据安全管理与交换。
