政务云是构建数字政府和智慧城市的基础设施,提高政府创新治理能力的关键路径。在“十四五”规划“集约建设政务云平台和数据中心体系,推进政务信息系统云迁移”的背景下,政务云搭建和升级工作持续推进,以数据要素为核心的云上创新成为趋势。
与此同时,伴随《数据安全法》、《个人信息保护法》、《关键信息基础设施安全保护条例》相继出台,如何保护政务云的数据安全,也成为政务云建设升级过程中重点关注的问题和基础工作之一。
数据云上流动,新环境带来新挑战
政务云用于承载各级政务部门开展公共服务、社会管理的业务信息系统和数据,并满足跨部门业务协同、数据共享与交换等需求,不仅具有降低运维成本、避免资源重复投资弹性伸缩的优势,随着政务云将原有散落在各委办局的数据汇集,有效促进了各委办局之间的数据共享交换。
但应用系统和数据向云计算环境集中,数据从传统IT架构向云上迁移,各应用系统对政务数据的使用,以及政务数据共享交换,均是在政务云中“频繁流动”,这带来数据流转境况的颠覆性转变:
数据接触人员变化:从“数据的业务流程较短,接触人员少”到“数据业务流程变长,接触人员变多”;
数据流动的变化:从“原有场景下有限的数据流动”到“新场景下每天可达千万次的海量数据共享交换”;
安全域的变化:从“数据仅会在有限的安全域内被使用”到“随着几十到数百个部门的接入拉通,数据会跨越不同的安全域使用”;
数据存储的变化:从“原有场景下数据固化到各部门安全域中,存储分散”到“随着数据汇聚,大量数据集中存储”;
数据使用方的变化:从“数据的来源通常是数据的使用方”到“数据来源方和数据使用方可能不是同一方”。
新环境、新变化,数据安全防护的复杂度和难度大大增加,安全风险潜藏于数据各个阶段场景:
“
数据汇聚中:政务云自身安全控制措施着重于网络边界防护,数据安全建设较为离散,以数据为中心的安全防护及运营能力尚未健全;政务数据持续归集,缺乏有效分级保护方法与工具;多方复杂数据加工过程缺乏细粒度授权/审计机制;数据默认明文存储加剧数据泄露风险;
数据共享中:数据管理权与数据使用权分离;数据跨部门、跨域,安全策略不一致;不当授权或第三方滥用,缺乏有效监管跟踪;
数据开放中:数据开放接口安全机制不完备,缺乏有效的隐私/敏感数据控制保护机制。
”
新法落地实施,体系化建设是必须路径
政务云中数据安全关系到政务云能否提供安全可靠的服务交互,《网络安全法》、等保2.0以及《信息安全技术政务信息共享 数据安全技术要求》、《基于云计算的电子政务公共平台安全规范》、《政务云安全要求》等国家法律法规与标准均对政务云数据安全防护提出明确要求。
《数据安全法》、《个人信息保护法》、《关键信息基础设施安全保护条例》相继出台并逐步落地实施,更为政务数据安全更加体系化的建设提供指导意见和建设思路,比如:
《数据安全法》第五章“政务数据安全与开放”中专门针对政务数据开放、共享、使用提出相关要求。如:制定重要数据目录,数据分类分级;创建数据风险评估体系,评估安全保护能力;针对性实施安全技术保障,提升数据管控能力;完善风险监测预警和应急处置,实现安全管理闭环。
《关键信息基础设施安全保护条例》十二条“安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用。”第十四条规定“运营者应当设置专门安全管理机构”。第十五条规定“专门安全管理机构”需要“建立健全网络安全管理、评价考核制度,拟订关键信息基础设施安全保护计划”,“履行个人信息和数据安全保护责任,建立健全个人信息和数据安全保护制度”。
政策法规和标准体系建设步伐全面加快,政务数据与社会数据对接融合逐步加速,政务云建设需从信息系统迁移开始就要考虑应用系统和数据的安全问题, “长期规划、体系建设、防管结合”已成为实现云上全域数据安全治理,数据生命周期全链路管控的必须路径。
三位一体建设,云上数据安全全面保障
以《数据安全法》、《个人信息保护法》、《关键信息基础设施安全保护条例》等相关法律法规为标尺,以国家和地方相关标准和指南为理论指导,同时契合云计算的特点需求,美创科技针对政务云设计了一套体系化的数据安全建设方案,从数据安全治理咨询、数据安全建设、数据安全服务三方面,充分保障政务云数据安全。
上一条:在青岛,海信广场正携手美创寻找零售业数字化转型的安全密码
下一条:2021年世界互联网大会,美创科技发布全新产品——数创平台
浙公网安备 33010502006954号 
