2020年,政务数据安全应该如何建设?
星期一, 二月 24, 2020
2019年是我国电子政务建设非常重要的一年,营商环境排名跃居全球第31位,全国一体化政务服务体系基本形成,数据交换和信息共享发挥了重要作用;十九届四中全会提出推进数字政府建设,加强数据有序共享,依法保护个人信息。
今天,让我们一起看下2020年政务数据安全应该如何建设。
1政务数据安全挑战
在数字政府建设过程中,利用政务数据交换和信息共享,一方面消除了各委办局的信息孤岛,让企业和市民只需提交一次材料就可以办结一项事情;另一方面可以核对低保人群身份的有效性,发现和查处逃税等税收违法行为,为政府提供决策支持。
然而,海量数据交换和信息共享也为数据安全提出了新的挑战。以某省数据开放为例,该平台已经开放45个省级单位和1197个数据集(含602个API接口),访问次数达到442652次、下载调用次数1577736次。首先是如何为不同部门和不同行业的海量数据建立统一的安全规范,明确数据分类分级,以及规定数据的开放范围和开放力度;其次就是如何能够在海量数据交换和信息共享的过程中,及时发现和解决安全隐患,保障关键业务的正常运行。
2政务数据安全的核心
目前,各级政府正在利用大数据技术进行智慧治理,提高决策支持能力和个性化服务能力。这为政务数据安全提供了新的思路,我们可以借鉴政府治理,以数据分析驱动政务数据安全,建设与数字政府相匹配的政务数据安全体系。
该体系以数据安全智能分析平台为核心,利用大数据分析技术对安全数据(安全设备所产生的安全数据和威胁情报)进行关联分析和行为分析,发现当下的安全风险,以及预测未来的安全趋势,最终通过可视化手段,将安全风险直观的展示出来,帮助安全管理人员进行安全决策和响应,实现政务数据安全治理。
3政务数据安全的关键能力
为了对海量的政务数据交换和信息共享进行端到端监控,政务数据安全体系应重点建设以下三个关键能力。
数据快速发现能力
如前所述,在政务处理过程中,每天产生大量公共信息和个人隐私数据,应能够利用自动化的工具和技术,快速的识别和发现这些重要数据,才能发现与之相应的安全风险。
数据风险识别能力
针对发现的重要数据,利用大数据分析能力,建立重要数据分布和使用情况,掌握数据所在资产的状态,这些数据被哪些应用和人员使用,如何使用。通过进一步挖掘,结合网络流量分析、用户行为分析等专业安全模型,建立数据访问基线,发现资产脆弱性、违规使用和数据泄露等风险。
数据安全处置能力
基于识别的安全风险,应具备提出应对措施和及时处置的能力,而且该过程应该尽可能的规范化和自动化,以及适配不同的环境和能力。例如当发现一个重要数据被非法利用,则利用针对该风险的自动化处置工具,启动适当的事件操作,让相应的安全能力去执行。
4政务数据安全的实施路径
政务数据安全建设应从顶层设计出发,遵循“知、识、控、察、行”的路径,逐步建设以数据安全智能分析平台为核心的政务数据安全治理体系,确保政务业务安全运行。
知
梳理政务业务和数据:建立由各级政务数据管理部门牵头,成立横跨业务部门和IT部门的管理架构,制定数据安全治理制度和规范,并严格执行,内容涵盖数据安全策略、目标和数据分类分级的原则等。
识
识别重要数据和风险:依据数据分级分类原则,扫描和发现的各类公共信息和个人隐私数据,并对发现的公共信息和个人隐私数据,进行数据分类和数据分级,以及识别数据的安全风险。
控
建立政务数据安全防护:根据已定义安全级别和发现的安全风险,在各类公共信息和个人隐私数据的采集、处理、交换和共享等环节,部署相应的安全能力,并利用智能安全运营平台进行统一管理,实现协同、统一和纵深的安全防护。
察
持续政务数据安全监察:基于数据安全智能分析平台,建立数据安全态势,帮助安全人员直观的了解重要数据的分布、哪些重要数据经常被访问、被谁访问和访问途径,以及为安全运营提供支持。
行
持续政务数据安全运营:根据政务业务情况,建立安全运营体系,对发现的重要事件进行一键处置,重大威胁应急响应和预警,并持续对政务系统内资产、脆弱性和安全防护能力进行管理和优化,最终实现自适应的安全治理。
我国政府利用云计算和大数据等技术为数字政府建设赋能,政务数据安全建设也应借助大数据技术和专业化安全能力,实现各类公共信息和个人隐私数据的端到端防护,保障政务业务安全和合规的运行,助力数字政府建设。
参考资料 ·
[1]http://theory.gmw.cn/2020-01/06/content_33457890.html
[2]http://data.zjzwfw.gov.cn/
[3] 《全球营商环境报告2020》.世界银行