產業安全專家談丨政務上雲，如何做好資料安全保護？

大資料、雲端計算的加持下，數字政務將迎來哪些新的安全“攔路虎”？密碼技術的應用在其中起到怎樣的重要作用？

騰訊安全聯合雷鋒網、雲+社群打造的「產業安全專家談」第三期來了！本期的嘉賓是騰訊安全雲鼎實驗室副總監李濱。李濱不僅是中國首位獲得CCSP認證的安全專家，更是一個多面手，在雲安全、資料安全、作業系統核心和SOC安全、區塊鏈、安全管理、應急響應等領域都擁有豐富的管理經驗和專業技術。而他今天帶來的分享就是時下產業網際網路中最受關注的數字政務的安全。

網際網路飛速發展的今天，“上雲”已經不是什麼新鮮詞了。然而，政府業務搭上這條上雲“快車道”是著實不易。

試想一下：如果你花大價錢換了輛超跑，如果要第一次將它開上高速，試問第一步應該做什麼？顯然，不是踩油門，而是繫好安全帶。其中原因用四個字概括，就是：安全第一。

同理，在大資料、雲端計算這些“高配元件”的加持下，政府數字化升級不斷深化，政務上雲也讓政府的辦事效率更上一層樓。安全保障的等級是否跟得上亦是衡量其能否“安全行駛”的重要標準。

現階段，伴隨著政府數字化轉型升級、政務上雲成為大趨勢，各地政府對於數字政務安全的重視程度只增不減。然而，要想確實搭上這條資訊“快車道”，其關鍵在於解決數字政務落地的安全風險。

數字政務利用雲端計算、大資料等新型技術和手段提高資訊流轉的效率，打通原來各個孤立的數字孤島，通過各個系統的資料互通以及共享，提高整個系統執行的效率，這是數字政務系統發展的趨勢。

那麼，在大資料、雲端計算的加持下，數字政務在提升效率的同時又將迎來哪些新的安全“攔路虎”？密碼技術的應用在其中起到怎樣的重要作用？

來，跟李老師一起看看都是哪些攔路虎

1

保障數字政務系統安全面臨哪些挑戰？

李濱：在新的數字政務應用中，雲端計算等基礎設施的安全變得更加重要。因為大家會廣泛地使用雲，可能在一個雲平臺上面會集中執行多個部門的不同事務處理平臺，所以雲基礎設施的安全，會影響到在之上執行的數字政務系統的整體安全。

另外像在雲上面，由於大家資料互通和共享，更多的用大資料去進行的分析和處理，所以對於資料和隱私的保護會更重要。

2

數字政務系統的搭建和管理存在哪些問題，騰訊安全提出了怎樣的解決方案？

李濱：數字政務的最大安全風險在於基礎設施安全、安全管理、和資料安全，針對這些關鍵風險面，騰訊安全提出了“一個基礎底座，兩個安全中臺”的整體政務安全解決方案，分別從政務雲基礎設施安全、雲平臺安全管理中臺和雲資料安全中臺三個方面解決數字政務的核心安全難題。 

以“雲資料安全中臺”為例，為了適應政務雲端計算的廣泛應用以及大資料的一些基礎設施的建立，騰訊安全推出了雲資料安全中臺以及配套的系列產品。

其目的是把整個資訊系統中會使用到的各類密碼技術，以服務化的方式結合到雲端計算裡面，以雲平臺原生能力的形式來輸出給使用者，以此解決上述三難的問題。

這套方案以簡單透明的方式，用最小成本幫助數字政務系統便捷的實現對現有業務的密碼應用進行合規化改造，極簡的構建雲資料保護方案。

3

從安全形度談談如何保障數字政務系統的易用性？

李濱：上面提到，密碼技術涉及到大量的升級改造的過程，這個難度很大。易用性是指在系統底層降低政務系統開發和改造的成本，順著這個思路，騰訊安全提供加密API和SDK服務，使用者可以輕鬆的在各個業務環節中嵌入合規的加密及密碼技術

當需要呼叫資料時，使用與雲平臺本身的基礎產品無縫結合的方式來實現透明加密。如果要對資料儲存進行加密的時候，直接使用雲上的資料，就相當於只需開啟一個配置開關，而不是重新做配置。

對於必須要改造的資料程式碼（比如不同資料之間通過網路互聯），會提供簡單的SDK而無需修改程式碼。

對於資料庫加密的場景，既可以通過直接呼叫雲資料庫和平臺的透明加密能力，無需修改應用程式碼及透明實現高強度的資料保護，也可以通過相應的中介軟體即可通過幾行程式碼的修改實現透明加密（傳統方式會可能會需要重寫大量程式碼）。

4

國家政策對於密碼技術的推廣以及數字政務系統的落地起到哪些推動作用？

李濱：政府行業資料安全建設的首要是合規，合規是安全資料構架的基礎。

典型的法律及行政規章包括《網路安全法》、《密碼法》、網路安全等級保護2.0、關於加強黨政部門雲端計算服務網路安全管理的意見、基於雲端計算的電子政務公共平臺頂層設計指南、電子政務電子認證服務管理辦法（試行）、《資料安全管理辦法（徵求意見稿）》等。

按照等級保護標準，將資訊系統的安全等級一共分為5個級別，每一個級別都包括幾十至數百項保護要求，以此來評定政務系統在各個方面的安全是否達到要求。

數字政務系統的資訊保安針對不同的應用場景需要注意的安全事項覆蓋面很廣。因此，數字政務安全並非只是從技術角度來判斷，更是開發、建設和管理的整套體系化流程的安全保障。

5

雲資料安全中臺是基於雲原生提供資料安全能力的平臺，為什麼實現資料安全的全生命週期覆蓋如此重要？

李濱：資料安全問題應該從資料全生命週期的角度去考慮。

在資料的生產錄入與上傳過程中，相關應用可能會遇到身份冒用的風險；在傳輸過程中，未妥善加密的資料面臨著被黑客挾持等外部威脅。

海量資料上傳歸集到大資料平臺後，對資料進行儲存、處理、分析等操作過程中，可能會面對拖庫、撞庫、誤操作等大資料平臺風險。

處理完的資料，會流向各類辦公人員，該環節也可能發生人員洩密，敏感資料失控外傳等內部洩密問題。

應對這些安全隱患首先要提高防護技術水來應對資料流每個環節上的風險；其次要通過統一的治理平臺，串聯其孤立的單點防護能力，掃除防護間的盲區，實現資料的持續治理；最後資料安全問題不光是技術問題還是管理問題，需要一套行之有效的資料管理策略。

（資料全生命週期安全風險）

6

圍繞政務安全的業務來談談騰訊安全的計劃

李濱：針對數字政務領域，騰訊目前圍繞著一個底座兩個中臺的概念來做推進。

一個底座，是指打造牢不可破的政務雲基礎設施的安全；兩個中臺，第一個是指在保證雲基礎設施安全的基礎上通過雲資料安全中臺保證雲上所有資料全生命週期的安全；第二個是雲安全運營的中臺，來保證政務雲上發生的所有安全事件、合規的狀況、漏洞風險的管理，從安全管理的角度把控全域性。

（騰訊雲資料安全中臺架構圖）

此外，在資料審計方面，我們重點強化：資料資產感知、資料安全治理、聯防聯控。將資料和日誌資訊通過AI分析感知異常，實現各孤立安全防護節點的聯動與整合。最終助力企業構建服務、指揮、防護一體化資料安全綜合治理體系。