近日,國務院辦公廳印發了《全國一體化政務大資料體系建設指南》(以下簡稱《建設指南》),正式拉開政務領域全國一體化大資料體系建設的序幕。該檔案的釋出,無疑將為我國資料安全產業注入強有力的新發展動能,引領我國資料安全產業全面助力構建新安全格局。
一、基本政策脈絡
“全國一體化政務大資料體系”是我國“全國一體化大資料中心”的有機組成部分,其建設發展具有清晰的戰略和政策脈絡。
從戰略層面看。黨的十八屆中央政治局第三十六次集體學習率先提出了“要建設全國一體化的國家大資料中心”的重大戰略目標;中央全面深化改革委員會第十七次會議對於“建立健全政務資料共享協調機制、加快推進資料有序共享”提出了總體要求。
從政策層面看。為切實落實推進“全國一體化大資料中心”戰略要求,國家自2020年以來,先後釋出了《關於加快構建全國一體化大資料中心協同創新體系的指導意見》、《全國一體化大資料中心協同創新體系算力樞紐實施方案》、《新型資料中心發展三年行動計劃(2021-2023年)》等重要政策檔案,並啟動了“東數西算”等重大工程。
可見,此次釋出《建設指南》是“全國一體化大資料中心”戰略體系的重要一環,與此前的相關戰略、政策體系一脈相承,而又因承載新時代對政務資料發展的要求,具有重要的時代特徵和豐富內涵。
二、《建設指南》安全保障要點分析
《建設指南》在第四章“主要任務”的第八部分,對全國一體化政務大資料體系的“安全保障一體化”要求進行了集中論述和明確。“安全保障一體化”建設內容涉及制度規範、技術保障、執行管理三部分,詳細內容要點分析如下。
健全資料安全制度規範
一是明確了資料安全制度規範的法律依據、重點方向和核心內容。明確了《中華人民共和國資料安全法》、《中華人民共和國個人資訊保護法》等法律法規是資料安全制度規範的主要法律依據;將“明確資料分類分級、安全審查等具體制度和要求”作為資料安全制度工作的重點方向;將“明確資料安全主體責任”、“釐清資料流轉全流程中各方權利義務和法律責任”作為資料安全制度工作的核心內容。
二是提出了健全工作責任制要求。圍繞資料全生命週期管理,以“人、資料、場景”關聯管理為核心,建立健全工作責任機制。
三是提出了建立並實施相關標準規範體系要求。指出了資料安全標準規範體系的核心構成,即:“政務資料訪問許可權控制、異常風險識別、安全風險處置、行為審計、資料安全銷燬、指標評估等”。還要求以推進開展“內部資料安全檢測與外部評估認證”,以促進資料安全管理規範的有效實施。
強化資訊保安技術保障體系
一是提出了技術防護的物件、手段、關鍵措施等要求。在防護物件上,以“重要資料、個人隱私、商業秘密資訊保護”為主要保護客體;在技術手段上,以“電子認證、資料加密”等為主要技術措施;在防護舉措上,要求以“防止資料篡改”、“推進資料脫敏使用”、“嚴格管控資料訪問行為”、“實現過程全記錄”和“精細化許可權管理”5類關鍵措施。
二是提出了加強資料安全常態化檢測和監測的要求。明確提出建設“資料安全態勢感知平臺”,用以挖掘感知各類威脅事件,並實現對高危操作的及時阻斷;同時,提出了培育貫徹“主動防禦”思想,以指導最佳化安全技術應用模式,提升安全防護監測的水平。
強化資料安全執行管理
一是提出了完善資料安全運維運營保障機制的要求。明確了資料運維運營保障機制的4個關鍵環節,即:資料安全風險資訊的獲取、分析、研判、預警。
二是提出了加強資料安全執行監管的目標、手段和關鍵措施要求。總體監管目標是:要實現“事前管審批、事中全留痕、事後可追溯”;主要監管手段是:資料使用申請合規性審查和白名單控制、最佳化態勢感知規則、全流程記錄等;關鍵保護措施包括:提高對資料異常使用行為的發現、溯源和處置能力,加強政務系統建設中的資料安全管理和資料應用健康穩定執行。
三、對產業發展的影響思考
政務資料對於資料安全產業而言,無論從其體量、規模,還是從其屬性、價值來看,都具有基礎性和導向性影響。因此,“全國一體化政務大資料體系”的建設和推進,對於促進資料安全產業的快速、持續發展具有極其關鍵的重要價值,體現在以下方面:
一是促進資料安全技術創新。《建設指南》目前已明確提出了構建以電子認證、資料加密為基礎的技術體系,對於從事網路和資料安全的企業而言,如何將現有相關技術與資料體系建設的不同場景、環境更緊密結合,以及進一步最佳化資料安全相關演算法規則,都提出了創新和深化的要求。
二是促進資料安全產品和方案體系完善。“全國一體化政務大資料體系”對安全保障建設提出了全週期、全流程的要求,其中必然存在某些環節,是當前資料安全產品和方案所未能充分或全面保障的。例如當前資料體系建設無法迴避的雲網路邊界接入隔離、審計溯源,彈性響應以及應用流量可信等領域,對資料安全相關產品、方案提出了較為緊迫的需求。
三是促進資料安全服務創新發展。《建設指南》已經明確提出了“主動防禦”要求,這充分說明傳統的“打補丁”式安全建設和運營思路已無法滿足新的安全需求,必須構建起聯結運營、管理、保障等多方協同發展的“一體化”運營服務保障,將諮詢規劃、安全建設、運維保障、培訓演練等融合式網路和資料安全服務。
四、綠盟科技在政務大資料體系資料安全建設方向的探索
《全國一體化政務大資料體系建設指南》的釋出實施,為資料安全產業發展吹響了新一輪衝鋒號角,綠盟科技作為網路和資料安全領先企業,在政務大資料體系資料安全方向做了諸多探索和實踐。
綠盟科技認為,隨著數字化政府建設的不斷深入,政務資料應用場景不斷豐富,在資料匯聚、資料共享、資料開放過程中,面臨包括資料超範圍濫用、流轉環境複雜、資料私自外發洩露、未授權違規留存、惡意攻擊、資料介面非法封裝、漏洞被利用等挑戰。
為應對以上挑戰,綠盟科技獨創“知、識、控、察、行”資料安全框架,綜合考慮政務大資料體系從管理組織架構、管理制度架構、技術架構、安全運營等維度需求,特推出綠盟政務大資料安全解決方案,為政務大資料體系從資料安全制度規範體系、資料安全技術防護體系到資料安全智慧運營體系提供一體化建設思路。
方案總體框架體系圍繞資料安全治理開展,建設資料安全管理體系、資料安全技術體系、資料安全運營體系,基於分類分級、資產管理、監控審計、應急管理、許可權管理、合規管理、風險管理等基礎安全能力,覆蓋從資料採集、傳輸、儲存、使用、交換、銷燬全生命週期安全保護,實現資料可信共享,智慧運營。
資料安全治理體系核心圍繞資料安全管理體系建設、資料安全技術體系建設、資料安全運營體系開展:
No.1資料安全管理體系建設
從管理組織架構、管理制度流程兩方面進行規劃和搭建。從宏觀的組織發展方針、組織戰略,中觀的管理制度規範,微觀的計劃報告表格日誌等同步建設。
No.2資料安全技術防護體系建設
結合敏感資料資產化管理的技術和資料運營服務貫穿輔助的加持手段,實現資料全生命週期的安全防護和風險感知。
No.3資料安全智慧運營體系
建立資料平臺安全風險預警機制,建立健全資料安全防護能力評估指標,推動資料安全管理工作可量化、可追溯、可評估。
綠盟科技作為網路和資料安全領先企業,深耕技術研發,先後推出了“智慧安全3.0”戰略體系、“T-ONE CLOUD”戰略、政務大資料安全解決方案及系列重磅產品和服務,獲得了各行業客戶的高度認可。我們將繼續秉持和發揚技術創新底蘊,為全國一體化政務大資料體系的建設發展持續貢獻力量。