踐行十四五規劃“加快數字化發展 建設數字中國”的重要篇章,各級政府也在加快推進政務服務數字化轉型。“數字政府”是建設“數字中國”的有機組成部分,是推動社會經濟高質量發展的重要引擎,因此,發力“數字化基建”也成了備受重視的關鍵舉措。
與此同時,資料安全能力的建設也變得愈發重要。《資料安全法》、《個人資訊保護法》兩法相繼落地實施,標誌著資料安全和資料利用正式納入國家治理體系。法律法規的完善,為政務數字化轉型帶來了哪些變化?佈局政務大資料平臺時,應當如何規劃資料安全能力?
踐行十四五規劃“加快數字化發展 建設數字中國”的重要篇章,各級政府也在加快推進政務服務數字化轉型。“數字政府”是建設“數字中國”的有機組成部分,是推動社會經濟高質量發展的重要引擎,因此,發力“數字化基建”也成了備受重視的關鍵舉措。
與此同時,資料安全能力的建設也變得愈發重要。《資料安全法》、《個人資訊保護法》兩法相繼落地實施,標誌著資料安全和資料利用正式納入國家治理體系。法律法規的完善,為政務數字化轉型帶來了哪些變化?佈局政務大資料平臺時,應當如何規劃資料安全能力?
本期「產業安全專家談」攜手資訊化觀察網,邀請到騰訊資料安全產線負責人崔卓,與我們一起聚焦政務大資料平臺,暢談資料安全的思考與實踐。
,時長12:08
Q1:法律法規的完善對現有資料安全能力、產品、技術提出哪些新的挑戰?安全廠商如何應對?
崔卓:《資料安全法》和《個人資訊保護法》的落地,對整個市場及安全廠商,起到極大的利好作用。在兩法規劃落地之前,監管單位、被監管單位以及安全能力的服務廠商,在解決資料安全問題時,主要依賴於《網路安全法》或等保等資料安全相關的條款內容,作為政策指導來開展工作。相對地,安全能力的建設是離散的,分佈在網路安全解決方案的各個環節或節點。兩法落地給我們新的指導,可以更加體系化地解決資料安全問題,做到有規劃、有實施、有檢查,並反哺資料安全能力建設的最佳化,更閉環地解決資料安全的問題。
對於當前整個行業而言,最大的挑戰是如何把分散、離散的安全能力進行有機整合,形成一個資料安全的保護網,縱深地去防禦解決資料安全問題。
Q2:法律法規的落地對哪些行業/型別的機構產生了顯著影響?
崔卓:主要是資料體量大、資料複雜、密度高、價值高的行業,資料洩露風險越大、資料洩露危害越大的行業,受到的影響越顯著。從另一個角度看,在《資料安全法》釋出時已經點名了一些行業:工業、健康、衛生、金融、科技等板塊,以及政府和政務行業。這些行業的資料,分佈流轉的情況更為複雜,造成的影響也會更加顯著。
Q3:政務行業使用者面臨哪些新的安全“攔路虎”?應如何構築安全防護能力?
崔卓:金融和政務行業對資料的應用和流轉領先於其他行業,很多地方政府都已建設了政務大資料平臺,對各部門資料進行統一的儲存、分析、處理、應用。資料流轉起來後,價值空間更大,新的風險也會產生。
政務行業資料安全的“攔路虎”,主要有兩類:
Q4:針對政務行業使用者,騰訊在資料安全層面的規劃是什麼?
崔卓:騰訊安全在規劃資料安全解決方案和能力的時候,中心思想是分層、解耦。整個資料安全解決方案分成三層:
第一層是資料安全服務,以安全諮詢、資料安全治理、運營服務的方式,幫助政府大資料局梳理資料資產,定義資料安全管理目標及風險容忍度,從各個維度幫助進行資料安全的規劃。
第二層是資料安全中心,起到承上啟下的作用。對上承接資料安全服務所需要的落地的工具,透過系統、技術,幫助客戶梳理資料資產;啟下是為我們的原子化的資料安全能力提供標準,提供統一管理的平臺。這樣既可以對資料安全能力進行集中的編排管控,也可以對資料安全策略進行統一的制定和分發,最後把各項資料安全能力的執行情況,防護情況以及相關日誌進行彙總,宏觀地發現資料安全整體的風險,並進行相應處置。
第三層是資料安全能力,也即是前面提到“解耦”,把所有的資料能力原子化、標準化。它可以獨立部署,發揮相應的作用,也可以靠資料安全中心結織成網,基於統一的介面標準,對整個解決方案進行整合,提供縱深的防禦。
Q5:騰訊安全在護航政務大資料平臺的安全上有什麼優勢?
崔卓:為政務大資料平臺提供安全能力,這是騰訊安全的職責。騰訊既是政務大資料平臺的承建方,也是專業的安全廠商,具有雙方面的能力,因此,在研製政務大資料平臺的時候,就已經為大資料平臺注入了安全的元素和基因,政務大資料平臺建成後就自帶了大量的資料安全能力。此外,騰訊安全還可以在部署實施以後,結合特殊的場景要求,補充或彈性擴容安全能力。
Q6:聚焦政務安全業務,騰訊安全有哪些資料安全保護規劃?
崔卓:首要是夯實騰訊分層解耦的資料安全解決方案。在基礎上有三個方向的資源投入和探索:
第一,騰訊安全一直強調,資料流轉起來才會產生價值,必須保護動態流轉場景下的資料安全,因此,我們會在資料的交換、共享環節持續地投入資源;
第二,也是我們正在探索的方向,把資料安全的能力,透過SaaS化服務的方式,覆蓋混合雲場景,進行統一的資料安全管理;
第三,當前業內或者廠商主要把資源和精力投注在資料處理者上,我們想依託兩法,為資料的所有者也提供安全服務,讓他們能快速地瞭解和實行自己的權益。