平台建设使数据安全高效运维

  • 安策数据加密保护-数据安全运营平台赋能政府数据安全建设

    2022年4月19日,习近平总书记主持召开中央全面深化改革委员会第二十五次会议,审议通过了《关于加强数字政府建设的指导意见》,强调要全面实施网络强国战略,广泛应用数字技术进行政府管理服务,促进政府的数字化、智能化运作。为促进国家治理体系和治理能力现代化提供有力支持。其中,数据利用是数字政府建设的核心关键。因此,国家出台了一系列法律法规来指导电子政务的安全建设。

    01.背景

    为了积极适应数字信息技术的快速发展,解决部门信息问题“孤岛”和数据“烟囱”问题,加快推进“互联网+电子政务”,建设“数字政务”在省政府办公厅大数据和电子政务管理职责的基础上,建立省政务大数据中心。

    数据通过集成的大数据平台逐渐从各委员会和局收集,收集的数据通过治理,处理后数据价值最大化。政府数据中心划分:从直接关联单位的前区域使用ETL数据提取到数据中心的前端数据库,通过中心的前端数据库收集到原始数据库,根据原始数据库的数据清理、数据转换等数据管理工作,形成各种主题数据库、专题数据库等标准数据库。结合公共服务开放平台和各直接关联单位所需的数据类型,提供相应的接口服务或数据共享服务。

    在此过程中,可以访问数据的多个团队包括数据收集团队、数据管理团队、数据开放团队等。然而,数据安全的建设需要由每个业务团队同时建设。如何确保数据安全能力的合法性和合规性,确保安全能力的持续价值,确保数据处于有效保护和合法使用的状态,并有能力确保持续的安全状态,是用户需要解决的紧迫问题。

    02.应用标准

    GB/T39477-2020《信息安全技术政府信息共享数据安全技术要求》

    2.政府数据安全保护总体设计:综合多维安全风险考虑,政府场景数据安全建设需求,由于传统网络安全产品或解决方案难以应对,需要识别各种风险,结合当前安全领域从识别到保护,从感知到响应,从审计到监控,覆盖政府大数据平台、政府大数据应用、政府共享交换数字政府集成平台建立一套系统的技术解决方案。

    3.政府数据安全保护的关键能力:数据库基本安全能力、敏感数据管理能力、数据安全风险控制能力、数据安全运行管理能力

    4政府数据安全保护核心技术:数据脱敏技术、用户实体行为分析技术、数据库透明加解密技术

    GBT37973-2019信息安全技术大数据安全管理指南

    4.1大数据安全管理目标:在确保数据安全的同时,组织实现大数据价值。

    a)符合法律、法规、标准等个人信息保护和数据保护的要求;

    b)满足大数据相关方的数据保护要求;

    c)数据安全风险控制是通过技术和管理手段来保证的。

    4.2大数据安全管理的主要内容:

    a)明确数据安全要求

    b)数据分类

    c)明确大数据活动的安全要求

    d)评估大数据安全风险

    03.用户痛点

    根据法律要求,某省大数据局委托第三方处理电子政务数据,“国家机关应当通过严格的审批程序,委托他人建设、维护电子政务系统、存储和处理政务数据,并监督受托人履行相应的数据安全保护义务”。鉴于数据接触者多,数据流使用场景复杂,安全防护面临以下四个痛点:

    首先,海量数据缺乏完整的政府数据分类标准,无法区分重要数据,数据安全建设缺乏抓手。

    二是网络现状复杂,缺乏从数据使用数据使用的角度对访问行为进行监控、管理、拦截的技术手段。

    第三,由于缺乏统一的控制手段和可视化的综合管理平台,数据管理者的数据安全风险带来诸多不便和障碍。

    第四,数据安全建设缺乏规范化、持续运行来应对业务系统变化、数据安全需求变化、技术能力变化带来的新挑战。

    04.安全对策

    依据IPDR数据安全管理的理念是建立一套从资产分类、数据分类和分类、安全策略管理、数据流监控和保护、持续风险分析到响应处置的动态闭环控制系统。

    1)数据分类和分类

    根据数据分类和分类要求,梳理和检查集成大数据平台中的新数据、变更数据的数据库资产和数据库账户的权限。同时,梳理重要数据库的敏感数据分布,汇总敏感数据访问操作,形成数据资产清单,全面掌握数据资产,清楚了解重要数据库的访问和风险。结合政府数据分类指南,对数据分类进行标记或变更,不断跟踪数据分类情况,根据数据分类结果动态调整安全监控和保护策略。

    2)数据安全监控和保护

    通过构建数据安全监控能力、安全保护能力、安全运行维护能力、安全加密能力、安全可追溯性能力、安全脱敏能力,形成一个完整的数据安全保护能力框架。从数据收集到数据共享和开放,整个数据安全保护涵盖了数据收集、数据处理、数据操作和维护、数据测试、数据开放等多个环节。

    为了实现数据安全事件,确定安全风险的先决条件是监控所有数据流和数据使用。通过数据监控节点,监控数据交互、数据流、访问源等要素,并将数据交互过程中涉及的访问行为与安全策略相匹配,以确定是否存在非法行为。

    对于监控的非法操作,通过安全防护探头过滤动作;对于数据运维人员的操作,通过安全运维探头对权限控制和高风险操作进行流程审批,通过加密探头对数据分类后的重要数据进行加密保护;通过数据安全评估探头对数据进行连续分类和分级标记,通过数据安全分发探头实现数据分发安全。

    3)统一运营

    通过构建数据安全控制平台,形成数据安全控制平台“数据资产管理、规范和战略管理、风险事件监控、风险情况分析”实现数据安全的四大核心能力“统一操作,集中控制”提高数据安全技术支持能力。

    来源:安策信息、SafePloy安策 | 关键词:网络安全  安全数据  数据安全平台  数据安全运营   | 受欢迎指数(

与我们一起实践安全的客户代表


Previous Next