▲最佳實(shí)踐獎(jiǎng)
政務(wù)大數(shù)據(jù)安全建設(shè),難在哪里?
隨著數(shù)據(jù)快速觸及世界各個(gè)角落,由數(shù)據(jù)引發(fā)的安全風(fēng)險(xiǎn)也愈演越烈,數(shù)據(jù)泄漏事件不斷攀升����。2019年,全球數(shù)據(jù)泄露成本在過去5年中已上升12%,數(shù)據(jù)泄漏平均成本高達(dá)392萬美元。
政務(wù)大數(shù)據(jù)關(guān)系社會(huì)民生,數(shù)據(jù)流轉(zhuǎn)交換過程復(fù)雜,其數(shù)據(jù)安全保障難度更大:
1.數(shù)據(jù)資產(chǎn)規(guī)模大�、高度分散,難管理
政務(wù)數(shù)據(jù)資分散存儲(chǔ)在市各區(qū)縣、各部門的“孤島”上,部分業(yè)務(wù)數(shù)據(jù)零星的分布在各用戶終端設(shè)備上,其數(shù)據(jù)資產(chǎn)規(guī)模大��、高度分散,管理方式各不相同�。全局?jǐn)?shù)據(jù)資產(chǎn)模糊,導(dǎo)致決策者、數(shù)據(jù)資產(chǎn)管理部門����、信息安全與運(yùn)維部門無法從全局上掌握重要數(shù)據(jù)分布、業(yè)務(wù)數(shù)據(jù)的變化��、高價(jià)值數(shù)據(jù)使用情況��、數(shù)據(jù)與賬號(hào)及業(yè)務(wù)關(guān)聯(lián)等數(shù)據(jù)核心管理信息���。數(shù)據(jù)資產(chǎn)管理處于混沌狀態(tài),無法對(duì)數(shù)據(jù)資產(chǎn)進(jìn)行有效管理和有針對(duì)性的對(duì)高價(jià)值數(shù)據(jù)制定合適的安全防護(hù)策略。
2.數(shù)據(jù)生命周期內(nèi)重重風(fēng)險(xiǎn)
數(shù)據(jù)在采集�、傳輸、存儲(chǔ)����、處理、共享流轉(zhuǎn)等全生命周期的多個(gè)階段,面臨重重安全風(fēng)險(xiǎn)�。例如,政務(wù)大數(shù)據(jù)在各部門����、用戶處采集時(shí),面臨數(shù)據(jù)源偽造����、數(shù)據(jù)在前置機(jī)等環(huán)節(jié)泄露、數(shù)據(jù)中隱藏攻擊指令等風(fēng)險(xiǎn);在政務(wù)外網(wǎng)��、專網(wǎng)�、互聯(lián)網(wǎng)中傳輸時(shí),面臨傳輸數(shù)據(jù)監(jiān)聽泄密、中間人攻擊的風(fēng)險(xiǎn);數(shù)據(jù)在政務(wù)大數(shù)據(jù)平臺(tái)存儲(chǔ)時(shí),面臨著漏洞和基線配置安全隱患,導(dǎo)致內(nèi)部運(yùn)維����、外部開發(fā)人員竊取、破壞數(shù)據(jù)的風(fēng)險(xiǎn),以及外部攻擊入侵的風(fēng)險(xiǎn);在數(shù)據(jù)內(nèi)部使用和向外部共享階段,也存在內(nèi)部和第三方人員惡意操作�、數(shù)據(jù)調(diào)用接口濫用、數(shù)據(jù)共享外發(fā)泄密等風(fēng)險(xiǎn);數(shù)據(jù)銷毀階段,則面臨數(shù)據(jù)在內(nèi)存或硬盤中存在殘留,造成數(shù)據(jù)泄密的風(fēng)險(xiǎn)����。而這些風(fēng)險(xiǎn),極易導(dǎo)致含有關(guān)鍵業(yè)務(wù)數(shù)據(jù)和個(gè)人信息的政務(wù)大數(shù)據(jù)遭遇泄密、丟失�、破壞等事故。
3.數(shù)據(jù)安全建設(shè)碎片化
為了保障大數(shù)據(jù)資產(chǎn)和大數(shù)據(jù)系統(tǒng)的安全,傳統(tǒng)方法中,需要部署數(shù)據(jù)訪問控制�、脫敏、加密��、審計(jì)、脆弱性掃描�、敏感數(shù)據(jù)發(fā)現(xiàn)等多種硬件設(shè)備或軟件模塊。部署成本高,實(shí)施周期長,并且難以橫向擴(kuò)展�����。同時(shí),各數(shù)據(jù)安全設(shè)備��、模塊間,數(shù)據(jù)保護(hù)策略規(guī)則同步困難,日志難以集中分析,無法通過關(guān)聯(lián)分析發(fā)現(xiàn)潛在的數(shù)據(jù)安全問題,也不能對(duì)數(shù)據(jù)安全態(tài)勢(shì)進(jìn)行集中呈現(xiàn),無法為下一步數(shù)據(jù)安全建設(shè)提供支撐��。安全建設(shè)的碎片化,使得數(shù)據(jù)安全技術(shù)手段部署運(yùn)維困難,難以有效運(yùn)轉(zhuǎn),導(dǎo)致數(shù)據(jù)安全建設(shè)目標(biāo)難以達(dá)成��。
4.大數(shù)據(jù)共享交換缺乏規(guī)范,權(quán)責(zé)不清
大數(shù)據(jù)共享交換過程中,存在多方參與,共享交換過程中,各環(huán)節(jié)缺乏完備的數(shù)據(jù)安全防護(hù)�、審計(jì)、檢測(cè)����、溯源技術(shù)手段,以及統(tǒng)一的大數(shù)據(jù)安全標(biāo)準(zhǔn)規(guī)范,導(dǎo)致政務(wù)數(shù)據(jù)整合、共享���、利用中,數(shù)據(jù)提供方、數(shù)據(jù)采集共享方�����、數(shù)據(jù)使用方各方無法評(píng)估其他參與方的數(shù)據(jù)安全能力,致使數(shù)據(jù)提供方不敢提供數(shù)據(jù),數(shù)據(jù)采集共享方不敢接收、存儲(chǔ)��、共享數(shù)據(jù),數(shù)據(jù)使用方不敢調(diào)取���、使用數(shù)據(jù)�。進(jìn)而阻礙數(shù)據(jù)共享����、歸集進(jìn)程,影響智慧政務(wù)建設(shè)。
構(gòu)建政務(wù)大數(shù)據(jù)交換全生命周期安全
1.數(shù)據(jù)資產(chǎn)全面梳理評(píng)估
大數(shù)據(jù)安全始于大數(shù)據(jù)資產(chǎn)梳理�。大數(shù)據(jù)資產(chǎn)梳理是數(shù)據(jù)訪問控制、脫敏����、加密、追蹤審計(jì)等所有數(shù)據(jù)安全控制措施的基礎(chǔ)��。通過對(duì)數(shù)據(jù)資產(chǎn)的梳理,可以確定敏感性數(shù)據(jù)在系統(tǒng)內(nèi)部的分布��、確定敏感數(shù)據(jù)是如何被訪問的�、確定當(dāng)前的賬號(hào)和授權(quán)的狀況。根據(jù)本單位的數(shù)據(jù)價(jià)值和特征,梳理出本單位的核心數(shù)據(jù)資產(chǎn),對(duì)其分級(jí)分類,在此基礎(chǔ)之上針對(duì)數(shù)據(jù)的安全管理才能確定更加精細(xì)的措施�����。數(shù)據(jù)資產(chǎn)梳理主要包括數(shù)據(jù)靜態(tài)梳理、數(shù)據(jù)動(dòng)態(tài)梳理�、進(jìn)行數(shù)據(jù)安全分級(jí)、敏感數(shù)據(jù)識(shí)別等方面的工作����。
2.風(fēng)險(xiǎn)驅(qū)動(dòng)的大數(shù)據(jù)全生命周期安全防護(hù)
深入開展基于數(shù)據(jù)交換共享和業(yè)務(wù)系統(tǒng)應(yīng)用的全生命周期流程分析與策略梳理,利用差距分析方法與《數(shù)據(jù)安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》(GB/T22239-2008)、《數(shù)據(jù)安全技術(shù)云計(jì)算服務(wù)安全能力要求》(GB/T 31168-2014)�����、《數(shù)據(jù)安全技術(shù)大數(shù)據(jù)服務(wù)安全能力要求》(GB/T 35274-2017)等規(guī)范和標(biāo)準(zhǔn)進(jìn)行比對(duì)分析,確定大數(shù)據(jù)全生命周期每一階段安全風(fēng)險(xiǎn)�。針對(duì)安全風(fēng)險(xiǎn),對(duì)數(shù)據(jù)生命周期每一階段制定安全加固策略,利用數(shù)據(jù)分級(jí)分類、身份認(rèn)證��、訪問控制�����、數(shù)據(jù)庫安全審計(jì)�����、異常行為監(jiān)測(cè)預(yù)警���、數(shù)據(jù)加密�����、數(shù)據(jù)脫敏�、數(shù)據(jù)防泄漏等數(shù)據(jù)安全技術(shù)手段,來保證數(shù)據(jù)全生命周期的保密性�、完整性、可用性�����。
3.數(shù)據(jù)安全能力一體化交付和全局可視可控能力
針對(duì)傳統(tǒng)數(shù)據(jù)安全建設(shè)碎片化,建設(shè)實(shí)施時(shí)間長,成本和復(fù)雜度高,難以聯(lián)動(dòng)的痛點(diǎn),基于軟件定義安全理念,利用虛擬化技術(shù),將數(shù)據(jù)安全設(shè)備��、組件以軟件形式實(shí)現(xiàn),承載在一體化基礎(chǔ)平臺(tái)上�����。并通過數(shù)據(jù)安全資源管理編排平臺(tái),實(shí)現(xiàn)組件按需快速部署,自定義編排����。從而可以基于大數(shù)據(jù)安全需求,靈活構(gòu)建大數(shù)據(jù)安全保護(hù)體系,大大降低數(shù)據(jù)安全的交付實(shí)施難度和成本。并通過數(shù)據(jù)安全權(quán)限����、策略統(tǒng)一下發(fā),組件模塊日志集中關(guān)聯(lián),實(shí)現(xiàn)對(duì)數(shù)據(jù)安全控制手段的統(tǒng)一管理和數(shù)據(jù)安全態(tài)勢(shì)的統(tǒng)一呈現(xiàn)。最終從建設(shè)部署、交付運(yùn)維��、安全運(yùn)營多維度整合數(shù)據(jù)安全能力,滿足數(shù)據(jù)安全建設(shè)目標(biāo)��。
▲深信服XSec集成安全平臺(tái)具備快速編排能力
4.數(shù)據(jù)安全合規(guī)和共享交換權(quán)責(zé)劃分建設(shè)
按照國家網(wǎng)絡(luò)安全法和網(wǎng)絡(luò)安全等級(jí)保護(hù)制度等法律法規(guī)的要求,基于《數(shù)據(jù)安全管理辦法》(征求意見稿)����、《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》(GB/T 20984-2019)、《信息安全技術(shù) 云計(jì)算服務(wù)安全能力要求》(GB/T 31168-2014)�����、《信息安全技術(shù) 大數(shù)據(jù)服務(wù)安全能力要求》(GB/T 35274-2017)等政策標(biāo)準(zhǔn),完善電子政務(wù)的大數(shù)據(jù)安全保障體系,實(shí)現(xiàn)大數(shù)據(jù)交換平臺(tái)建設(shè)不低于網(wǎng)絡(luò)安全等級(jí)保護(hù)制度三級(jí)要求,數(shù)據(jù)運(yùn)行和管理的安全建設(shè)不低于數(shù)據(jù)安全能力成熟度模型三級(jí)要求的目標(biāo)�����。并基于大數(shù)據(jù)共享交換業(yè)務(wù)角色劃分和各方安全責(zé)任,制定大數(shù)據(jù)共享交換統(tǒng)一安全要求,定義大數(shù)據(jù)共享交換過程中各參與角色,根據(jù)業(yè)務(wù)角色劃分?jǐn)?shù)據(jù)安全權(quán)責(zé)義務(wù)�����。
▲深信服政務(wù)大數(shù)據(jù)安全建設(shè)方案
整體而言,深信服政務(wù)大數(shù)據(jù)安全建設(shè)方案,通過大數(shù)據(jù)安全一體機(jī),一體化承載多種數(shù)據(jù)安全組件,形成政務(wù)大數(shù)據(jù)全生命周期保護(hù)和數(shù)據(jù)安全可視可控能力�。同時(shí),建立健全的數(shù)據(jù)安全管理制度、數(shù)據(jù)安全合規(guī)制度和共享交換權(quán)責(zé)劃分,實(shí)現(xiàn)更加安全地大數(shù)據(jù)安全管理和交換�。
