一、案例背景:
伴随着新一代信息技术的飞速发展,大数据、人工智能等新兴技术深刻地影响着经济社会发展,以数字治理为核心特征的政府数字化转型成为核心议题。《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》提出,“加快建设数字经济、数字社会、数字政府,以数字化转型整体驱动生产方式、生活方式和治理方式变革”。数字化转型已成为我国各级政府积极顺应数字化潮流、把握数字化机遇、主动应对挑战的重要举措。
数字化转型离不开以数据为中心的管理平台和体系建设,各地各级政府陆续构建涵盖数据全生命周期的政务数据开放共享平台和数字治理框架,数据成为关键管理要素。与此同时,数据的安全利用是实现数据开放共享、推进数字化改革的基础和保障,要强化数据安全管理的重要性,关注国家秘密信息、政务数据、公民个人隐私等重要数据和敏感信息的保护。
此外,从国家相关法规体系建设层面,正式实施的《数据安全法》中明确提出推进电子政务建设,制定政务数据开放目录,及时、准确地公开政务数据。同时也明确要求开展数据处理活动应当建立健全全流程数据安全管理制度,履行数据安全保护义务。而国家标准《GB∕T 38664-2020 信息技术 大数据 政务数据开放共享》也提出了政务数据开放共享系统参考框架,其中对于安全保障,提出原则要求,要求遵循信息安全等级保护、个人信息安全等方面的国家标准。
如何贯彻《数据安全法》及相关国家标准,加强数据安全管理制度建设和技术创新引领,加快构建与数字化改革相匹配的数据安全保障体系,着力提升数据安全管理能力,筑牢数字化改革安全根基,在政务数据服务经济社会发展过程中保护数据安全,是各级政府十分关心的问题。
二、案例概述:
某区数据资源管理局作为区政务数据存储的核心单位,其中的城市大脑基础能力平台汇聚了区内数十家单位的办公平台数据,这些数据又会被其他单位调用。面对网络化的办公环境,现有的数据安全防护手段较为薄弱,只能通过人工审核与VLAN隔离的方式,缺少有效的技术手段和防护策略,且无法防止内部人员滥用数据。为此,世平信息协助数管局建设数据安全智能监测与防护系统,一方面在各单位数据归集前,先检查一遍在待归集的数据中是否存在涉密、涉政等数据,确保归集数据的合规;另一方面对区县各委办局主题应用调用数管局数据的合规性进行监控,实时发现非法人员数据获取或合法人员数据滥用等风险。
系统建设总体目标是保证数据归集、数据共享、数据应用不违规,不滥用。体现为:
1、对提供共享的数据按保密、公安要求进行合规性核查,避免大数据局所共享数据违规。
2、数据开放发布前的合规校验,避免敏感信息因人为等失误,违规暴露。
3、主题应用数据调用过程的全程监控,避免非法人员获取或合规人员滥用数据。
三、安全技术应用情况:
系统整体解决方案从上到下分为展示层、管理层/分析层、组件层、业务系统层。
a
Ø 展示层:对敏感数据整体安全态势进行可视化展示。
Ø 业务管理层:安全业务的管理操作,包括识别模型配置、判断规则定义、扫描/监控策略配置、任务管理等。业务管理层向执行组件层下发规则策略,同时将相关信息在大屏展示。
Ø 数据分析层:接收执行组件的信息,进行识别、分级、统计等处理,并将结果信息在大屏展示。
Ø 执行组件层:接收业务管理层下发的规则策略信息,以探针形式对业务系统进行存储数据扫描以及网络流量监控,并将扫描/监控信息反馈给数据分析层。
Ø 业务系统层:数据安全执行组件所扫描、监控的对象。
四、客户反馈效果:
系统上线以来,对保证数据共享/数据应用不违规,不滥用起到关键作用,取得良好成效。体现在:
1、对交换共享平台的数据进行准实时的检查,确认归集数据有无敏感信息;
2、对归集数据进行了敏感级别的识别,并进行直观呈现;
3、监控数据调用过程有无不宜开放共享的数据,确认数据调用内容的安全;对数据调用行为进行监控,及时识别并告警了调用过程中的异常情况(如异常时段访问、大数据量访问等),有效保证数据访问的安全。
另一方面,系统可与其他应用系统解耦,具有良好的推广性。除了在政务数据开放共享平台应用之外,可广泛部署于教育、民政、公安、交通、通信等政府部门的平台系统,也可应用于各类大型企业、互联网公司的平台系统,保障数据安全。