当前,数字化转型的浪潮方兴未艾,政府、企业和各类社会组织的数字化转型成为这场变革的主要推手和前沿阵地。在政府数字化、网络化、智能化发展的同时,网络安全隐患和风险陡然加剧,众多信息系统从彼此孤立向数据互通、系统互联的全联全通方向发展,云计算、大数据等新兴信息技术及其服务模式的广泛普及应用所带来的新的安全挑战将持续存在于数字化改革的全过程。
数字化转型必须依赖于一个基本前提:安全。因此亟需开展数字化转型下的数据安全保障体系规划工作,站在总体国家安全观的高度整体规划设计安全保障体系,以“安全、合规、可控”为实现目标,构建立体化纵深防御体系,确保全行业数字化转型的健康高效。
一
政府数字化转型面临的主要安全挑战
1●新模式下的整体安全体系尚未健全
政府数字化转型依托数据共享交换实现信息资源集约化、服务化和标准化供给,各部门及企事业单位可实现业务需求的快速响应,有效降低了系统建设和运维管理成本。然而安全建设集约化和服务化能力却尚未形成,各部门及企事业单位在数据中台上构建自身业务应用时,仍需自行进行安全体系设计并完成相关安全产品的选型、购买、部署等工作,这种传统的安全建设模式需要较长建设周期,降低了业务上线的效率。
2●数据流动共享颠覆传统防护理念
数据共享交换为政府提高治理现代化水平、产业升级和创新提供了支撑。随着数据资源的归集治理,将不断催生出有价值的行业应用,引导政府和企业利用数据资源不断创新,数据在个人-政府-企业之间的流通中不断创造新的价值,实现数据驱动产业创新发展。数据共享和流通将成为刚性业务需求,原来相互隔离的业务将打破网络和安全边界走向融合,传统的基于边界隔离的围栏式安全保护方法将彻底不能满足数据流动下的安全防护需求,亟需构建新的安全防护体系。
3●复杂应用场景面临身份管理挑战
随着数字化改革、“最多跑一次”、“互联网+政务服务”为广大企业和市民提供便捷、高效、多样化的业务服务,整体业务环境将更加开放,业务生态将更加复杂,参与提供数据服务和应用服务的的角色也将更加多元。众多的应用给使用人员以及服务提供方带来了复杂的身份和权限管理问题,确保所有人员合法合规访问被授权的业务应用和数据资源成为挑战。一方面需要防范内部和服务提供方合法人员被数据的价值吸引而违规、违法的获取、处理和泄露数据;另一方面需要防范外部访问人员恶意的数据窃取和数据破坏行为。
4●实时在线应用要求安全服务效率更高
基于互联网和移动互联网的信息服务已经渗透到社会生活的方方面面,为广大民众和企业提供了全天候的智能化服务,并逐渐成为广大民众日常生活和工作不可或缺的重要帮手。因此数据中台及上层业务应用的稳定、高效运行成为了核心诉求,同时对安全性提出了更高的要求。要在最早的时间发现安全风险,要在最快的时间内进行通报预警,要在最短的时间内进行应急处置和追踪溯源,要最大程度降低安全事件对于业务运行的影响,因此对共享交换平台和业务应用的安全运营保障团队能力提出了更高的挑战。
二总体设计思路及框架
●
设计思路
保障政府数字化转型下的数据安全体系设计,应通过建立数据安全运营中心实现对全域的数据安全风险的监测、预警、通报和处置。设计思路如下:
1. 以数据安全治理为前提
数据安全治理是通过盘点资产、做好分类分级和风险治理,形成数据安全管理制度和规范约束。对数据资产进行安全摸底排查即通过系统扫描和人工方式对目标环境中数据资产分布情况进行梳理,形成数据资产清单,明确数据资产到底在哪里、数据资产权限管理状况,得到基础的数据资产清单和分布及管理现状,以便更加体系化地分析和设计数据资产涉及的角色和访问控制体系。
2. 以零信任体系为基础
美创科技零信任体系
零信任下的访问控制以动态的认证授权为设计原则,通过建立主体、客体、环境的属性库,设计以主体、客体和环境属性为依据的认证和授权策略,实现访问控制的动态管理,确保不同访问主体在不同的环境下可访问的数据也不同,实现对数据资源访问行为的精细化访问控制。
3. 以数据安全防护为核心
构建以数据为保护对象的安全防护体系,建立覆盖数据归集、传输、存储、处理、交换、销毁全生命周期的安全防护体系,加强数据采集、处理、交换、溯源等关键环节的保障能力建设,综合利用数据源验证、传输加密、加密存储、隐私保护、数据防泄漏、监管审计、追踪溯源、数据销毁等技术。
4. 以数据安全运营为保障
利用大数据、人工智能等技术,汇聚安全大数据形成安全数据分析中心,实时反馈的“数据安全态势”,从而快速有效的感知、预警、调度和处置安全风险,提高管理决策的科学性和精准性,提升管理效率和应急响应能力,有效实现风险控制与应急支撑。
●
设计框架
政府数字化转型安全总体设计以数据资源安全为核心,以政策法规及标准规范为指引,以安全组织与人员建设为支撑,通过建立安全运营中心实现对统一安全运营管理,总体框架如下图。
图 总体框架
政策法规及标准规范:围绕安全责任主体,实现对数据资源采集、汇聚、共享、开放和应用的法制化管理和标准化建设,让数据共享、应用、公开、保密等工作有法可依、有规可循,明确数据提供方、数据使用方、数据管理方、平台运营方、服务提供方的安全职责和义务。
安全组织与人员:明确各组织机构的职责与分工,建立跨部门、跨区域条块融合的联动工作机制,形成安全监测预警、信息通报和应急处置机制,制定安全应急预案,加强日常监测预警和联合应急演练,确保安全管理工作协同共治。
数据资源安全:以数据生命周期为指导,构建全栈式防护体系,同时基于多维属性的动态访问控制以及访问终端的有效管控,实现实体用户的可信接入和细粒度的访问控制。
安全运营中心:汇集全网安全数据,积聚数据综合采集、治理、分析、管理及运营能力,确保数据资源全程可知、可管、可控、可查。
本文对政府数字化转型中数据面临的主要安全挑战,以及数据安全体系总体设计思路及框架进行介绍,在下一篇文章中,将详细剖析安全政策法规及标准规范的建立健全,以及如何利用技术手段构建数据资源全生命周期安全体系,敬请关注美创资讯订阅号。
浙公网安备 33010502006954号 
