四����、
政務(wù)數(shù)據(jù)共享開放安全管理措施與實(shí)踐
百分點(diǎn)科技結(jié)合當(dāng)前數(shù)據(jù)安全政策體系的建設(shè)情況���,在政務(wù)數(shù)據(jù)共享開放的數(shù)據(jù)安全管理領(lǐng)域與政府客戶共同探索����、實(shí)踐了安全管理長效機(jī)制����,打造了全方位管控政務(wù)數(shù)據(jù)共享開放安全的能力體系。
1. 明確政務(wù)數(shù)據(jù)權(quán)屬����,劃清安全責(zé)任邊界
在政務(wù)數(shù)據(jù)共享開放管理工作中���,首先要梳理清楚管理對象和數(shù)據(jù)權(quán)屬,明確數(shù)據(jù)的提供者�、使用者(又分為政務(wù)共享數(shù)據(jù)使用者、公共開放數(shù)據(jù)使用者)���、平臺建設(shè)單位���、平臺運(yùn)維單位、平臺運(yùn)營單位和平臺監(jiān)管單位等責(zé)任主體; 其次要結(jié)合本地相關(guān)政策����,參照“誰主管誰負(fù)責(zé)�����、誰運(yùn)行誰負(fù)責(zé)���、誰使用誰負(fù)責(zé)”的總體原則����,圍繞政務(wù)數(shù)據(jù)匯聚、存儲�、處理、傳輸�、共享、開放��、銷毀���、備份的全生命周期梳理相關(guān)角色����、權(quán)限�、人員等管理對象的安全責(zé)任邊界、責(zé)任范圍���、具體安全職責(zé)和工作內(nèi)容��。
2. 梳理共享開放范圍��,統(tǒng)一共享開放渠道
依照“以共享為常態(tài)����、不共享為例外”的原則,梳理共享開放范圍��,編制各政府部門的“三清單”�,即責(zé)任清單(各部門所擁有的政務(wù)信息資源)、需求清單(對其他部門的數(shù)據(jù)共享需求����、共享方式,應(yīng)用場景)和負(fù)面清單(各部門認(rèn)為不宜提供給其他政務(wù)部門共享使用的信息資源�,必須有法律、行政法規(guī)����、部委規(guī)章或黨中央國務(wù)院政策依據(jù))。由平臺建設(shè)單位輔助各政府部門按照《政務(wù)信息資源目錄編制目錄》(發(fā)改技[2017]1271號)編制����、優(yōu)化政務(wù)信息資源目錄,明確數(shù)據(jù)共享屬性和共享范圍�,并動態(tài)維護(hù)更新����,保證數(shù)據(jù)共享質(zhì)量和時效性。梳理工作完成之后���,凡是因各部門預(yù)期未報(bào)原因而未列入“三清單”之內(nèi)的���,原則上不再予以協(xié)調(diào)�。
明確共享開放的統(tǒng)一工作平臺和渠道����,原則上只能通過共享交換平臺和數(shù)據(jù)開放平臺(含政務(wù)數(shù)據(jù)共享和公共數(shù)據(jù)開放)進(jìn)行,擅自通過其他方式進(jìn)行數(shù)據(jù)共享及開放�����,需承擔(dān)相關(guān)責(zé)任; 其次要確定共享開放的范圍��,明確共享開放數(shù)據(jù)邊界�����,將數(shù)據(jù)劃分為無條件共享����、有條件共享和不予共享3類;再次對于涉及敏感數(shù)據(jù)共享的情況���,還應(yīng)當(dāng)采用脫敏�、加密等方式保障數(shù)據(jù)安全; 最后還可結(jié)合本地實(shí)際,統(tǒng)籌規(guī)劃�,分期分批進(jìn)行開放,先對部分?jǐn)?shù)據(jù)進(jìn)行優(yōu)先試點(diǎn)開放��,比如有明確政策依據(jù)和數(shù)據(jù)來源的政務(wù)公開數(shù)據(jù)�����,以及一些與公眾密切相關(guān)的基礎(chǔ)數(shù)據(jù)����,再逐步放開其他數(shù)據(jù)的開放利用,在數(shù)據(jù)共享開放需求����、數(shù)據(jù)安全和隱私保護(hù)之間找到最佳平衡點(diǎn)。
3. 打造政企協(xié)同機(jī)制����,加強(qiáng)安全知識培訓(xùn)
百分點(diǎn)科技與參與新型智慧城市建設(shè)的信息化企業(yè)及政府部門保持密切聯(lián)系,形成一套政企聯(lián)動�����、企企聯(lián)動的協(xié)同機(jī)制���,保障數(shù)據(jù)安全管控流程的順暢運(yùn)轉(zhuǎn)�����。首先是對點(diǎn)聯(lián)系�,參與新型智慧城市建設(shè)的相關(guān)企業(yè)和政府部門都明確了一名工作聯(lián)絡(luò)員����,做到點(diǎn)對點(diǎn)聯(lián)系,確保有效對接�。其次是協(xié)同聯(lián)動,基于明確的數(shù)據(jù)權(quán)屬�、安全邊界、共享范圍�����、開放渠道等信息�,使用信息化手段,實(shí)現(xiàn)數(shù)據(jù)安全管控的流程化����、標(biāo)準(zhǔn)化。再次是定期培訓(xùn)�,配合政務(wù)數(shù)據(jù)主管部門每月/每季度以邀請上門交流����、召開座談會���、線下培訓(xùn)等方式了解掌握各參與企業(yè)在新型智慧城市建設(shè)中的實(shí)施進(jìn)度�、安全管控難題�,并提出具有普適性和針對性的工作方案,同時對相關(guān)工作人員開展數(shù)據(jù)安全知識培訓(xùn)��,加強(qiáng)安全保密意識�����,杜絕因違規(guī)操作導(dǎo)致的數(shù)據(jù)泄密風(fēng)險���。
4. 健全數(shù)據(jù)管控能力���,提升政務(wù)數(shù)據(jù)質(zhì)量
政務(wù)數(shù)據(jù)擁有良好的質(zhì)量,不僅可以降低后續(xù)融合應(yīng)用的成本����,促進(jìn)數(shù)據(jù)資源更好地開放利用,同時也是數(shù)據(jù)安全保障的基礎(chǔ)����。數(shù)據(jù)質(zhì)量要求政務(wù)數(shù)據(jù)保證信息的完整性����、準(zhǔn)確性��、及時性���、可用性和一致性,百分點(diǎn)科技構(gòu)建了政務(wù)數(shù)據(jù)全生命周期管理體系��,實(shí)現(xiàn)了對政務(wù)數(shù)據(jù)的長效運(yùn)營�,能夠有效提升數(shù)據(jù)質(zhì)量,保障數(shù)據(jù)的完整性���,確保對數(shù)據(jù)來源�����、數(shù)據(jù)權(quán)屬�、共享內(nèi)容�����、開放條件、數(shù)據(jù)質(zhì)量��、應(yīng)急處置等信息有完備而系統(tǒng)的管控能力���,同時對數(shù)據(jù)的流通使用進(jìn)行監(jiān)管�����,保障數(shù)據(jù)的流通安全可控;通過分析數(shù)據(jù)的血緣關(guān)系獲知數(shù)據(jù)的來源出處�,明確數(shù)據(jù)的數(shù)據(jù)歸屬�����,實(shí)現(xiàn)“一數(shù)一源”; 以前端應(yīng)用為牽引�����,以數(shù)據(jù)質(zhì)量報(bào)告抓手��,倒逼政府部門及時更新和修改提供的數(shù)據(jù)����,避免在匯集過程中產(chǎn)生交叉重復(fù)。
5. 實(shí)行數(shù)據(jù)分級分類,保障共享開放安全
目前��,我國尚未建立數(shù)據(jù)安全分級分類的標(biāo)準(zhǔn)規(guī)范����。對于安全等級不明確的數(shù)據(jù),數(shù)據(jù)安全保護(hù)措施不當(dāng)會出現(xiàn)數(shù)據(jù)安全保護(hù)強(qiáng)度不足導(dǎo)致數(shù)據(jù)泄露風(fēng)險�����,數(shù)據(jù)過度保護(hù)又會帶來數(shù)據(jù)共享困難����。所以�����,百分點(diǎn)科技結(jié)合多年服務(wù)政府客戶和企業(yè)客戶經(jīng)驗(yàn)���,結(jié)合政府客戶本地實(shí)際���,按照數(shù)據(jù)類型、泄露影響程度以及敏感程度(非敏感數(shù)據(jù)��、涉及用戶隱私數(shù)據(jù)���、涉及國家秘密數(shù)據(jù))��,制定分級分類標(biāo)準(zhǔn)��,對政務(wù)數(shù)據(jù)資源進(jìn)行先分類再分級����,并明確相應(yīng)的開放屬性、共享屬性和安全防護(hù)策略�,具體內(nèi)容如下:
在政務(wù)大數(shù)據(jù)的安全整體架構(gòu)中,根據(jù)數(shù)據(jù)的類別及等級對數(shù)據(jù)流生命周期過程進(jìn)行“矩陣式管控”�����,其對應(yīng)關(guān)系如下:
通過分級分類管理�,對數(shù)據(jù)進(jìn)行分級分域存儲,對數(shù)據(jù)訪問按照數(shù)據(jù)分級分類管理指南進(jìn)行顆?;臋?quán)限管理。
對敏感數(shù)據(jù)傳輸進(jìn)行加密保護(hù)�����,對涉及國家安全�����、社會公共利益、商業(yè)秘密��、個人信息和隱私數(shù)據(jù)的使用按照標(biāo)準(zhǔn)規(guī)范進(jìn)行脫敏脫密處理��,對各類數(shù)據(jù)重要操作實(shí)施流程審批��,對數(shù)據(jù)共享開放全生命周期進(jìn)行安全審計(jì)���,保證每個環(huán)節(jié)的安全和策略一致性���。脫敏方法及敏感數(shù)據(jù)示例如下:
6. 引入先進(jìn)技術(shù)經(jīng)驗(yàn)�,加強(qiáng)安全技術(shù)保障
技術(shù)手段是大數(shù)據(jù)安全管理的保障條件,傳統(tǒng)數(shù)據(jù)安全技術(shù)已無法滿足數(shù)據(jù)流轉(zhuǎn)與數(shù)據(jù)安全的雙重需求����,需要以網(wǎng)絡(luò)安全為基礎(chǔ)、以數(shù)據(jù)為中心�,以顆粒化權(quán)限管控為抓手�,輔以脫敏加密、分級分類�����、安全審計(jì)、行為追溯(區(qū)塊鏈)����、隱私計(jì)算等技術(shù)手段,搭建數(shù)據(jù)安全管理體系實(shí)現(xiàn)數(shù)據(jù)全周期(數(shù)據(jù)收集�、傳輸、存儲�、處理、共享���、開放等) 保障����。
百分點(diǎn)科技為政務(wù)數(shù)據(jù)共享開放提供了全生命周期技術(shù)支持��。
在數(shù)據(jù)存儲環(huán)節(jié),通過安全區(qū)域劃分�����,建立DMZ區(qū)��、數(shù)據(jù)加密區(qū)����,解決不同區(qū)域間存儲和邊界控制問題����,采用數(shù)據(jù)加密技術(shù)���、顆?��;L問控制和審批管理,防止數(shù)據(jù)泄露與非授權(quán)訪問�。
在數(shù)據(jù)采集、匯聚����、處理環(huán)節(jié),采用元數(shù)據(jù)管理��、數(shù)據(jù)標(biāo)準(zhǔn)管理�����、數(shù)據(jù)模型管理�����、數(shù)據(jù)質(zhì)量管控�����、數(shù)據(jù)治理等技術(shù)��,管控?cái)?shù)據(jù)質(zhì)量,形成數(shù)據(jù)資產(chǎn); 在數(shù)據(jù)傳輸環(huán)節(jié)�,采用數(shù)據(jù)加密、數(shù)據(jù)指紋等技術(shù)��,實(shí)現(xiàn)數(shù)據(jù)可追蹤可溯源; 在數(shù)據(jù)使用環(huán)節(jié)��,采用數(shù)據(jù)脫敏�����、脫密技術(shù)����,保障敏感數(shù)據(jù)的安全使用。
同時����,為解決多個機(jī)構(gòu)間數(shù)據(jù)共享和數(shù)據(jù)價值挖掘問題,通過搭建隱私計(jì)算服務(wù)平臺��,解決了在不共享原始數(shù)據(jù)前提下實(shí)現(xiàn)數(shù)據(jù)價值挖掘和流轉(zhuǎn)的技術(shù)手段。通過原始數(shù)據(jù)“去標(biāo)識化”�����,可信執(zhí)行環(huán)境搭建和能夠保護(hù)數(shù)據(jù)和模型隱私的智能計(jì)算技術(shù)(聯(lián)邦學(xué)習(xí))三個環(huán)節(jié)��,保證各政府部門數(shù)據(jù)和模型隱私���,實(shí)現(xiàn)數(shù)據(jù)“可用不可見”�����、“可算不可識”和“可用不可擁”����。
在數(shù)據(jù)全生命周期采用日志管理和用戶行為審計(jì)��,實(shí)現(xiàn)異常行為實(shí)時監(jiān)控��,防止數(shù)據(jù)泄露等安全事件發(fā)生���,全方面保障政務(wù)數(shù)據(jù)共享開放安全。
7. 建立風(fēng)險評估體系���,評估安全服務(wù)能力
百分點(diǎn)科技建立了貫穿政務(wù)數(shù)據(jù)共享開放全生命周期的數(shù)據(jù)安全風(fēng)險評估體系�。梳理出了匯聚、存儲���、處理����、傳輸�、共享、開放����、銷毀、備份等各環(huán)節(jié)的安全風(fēng)險點(diǎn)�,對各類風(fēng)險進(jìn)行量化分析(等級、百分比���、數(shù)值)��,形成風(fēng)險評估模型�,定期對數(shù)據(jù)安全風(fēng)險進(jìn)行評估���,防范數(shù)據(jù)安全隱患���,對可能的風(fēng)險進(jìn)行監(jiān)測預(yù)警��。
由政府?dāng)?shù)據(jù)主管部門牽頭����,引入具有相關(guān)資質(zhì)的第三方測評機(jī)構(gòu)開展安全保障能力和安全風(fēng)險評估��,對測評中發(fā)現(xiàn)的風(fēng)險事項(xiàng)限期整改��,提高政務(wù)數(shù)據(jù)共享開放工作質(zhì)量����,減少數(shù)據(jù)安全隱患。
8. 建立監(jiān)督管理機(jī)制�,形成安全管理閉環(huán)
百分點(diǎn)科技輔助政府客戶建立完善的監(jiān)督考評機(jī)制,確保政務(wù)數(shù)據(jù)共享開放的及時性�、有效性和安全性。
主管部門定期對系統(tǒng)接入量�、數(shù)據(jù)接入量、數(shù)據(jù)質(zhì)量�����、數(shù)據(jù)引用量���、安全告警量�����、安全評估等級等信息進(jìn)行匯總�,形成數(shù)據(jù)安全風(fēng)險評估報(bào)告�,并將政務(wù)數(shù)據(jù)共享、開放的數(shù)據(jù)質(zhì)量�、安全管理情況作為績效考核指標(biāo),要求各部門發(fā)布年度工作報(bào)告�����,主管部門按照考評機(jī)制對相關(guān)部門進(jìn)行考核���,動態(tài)監(jiān)管數(shù)據(jù)安全管理制度執(zhí)行情況����,形成安全管理閉環(huán)��,保障政務(wù)數(shù)據(jù)共享開放安全����。
結(jié)束語
本文從新型智慧城市建設(shè)面臨的數(shù)據(jù)安全挑戰(zhàn)出發(fā)���,結(jié)合百分點(diǎn)新型智慧城市實(shí)踐經(jīng)驗(yàn)分享了數(shù)據(jù)安全管理理念和技術(shù)手段。政務(wù)數(shù)據(jù)共享融合與開放應(yīng)用在創(chuàng)造新價值的同時�,也帶來了新的挑戰(zhàn)。一方面需要推進(jìn)數(shù)據(jù)開放利用; 另一方面數(shù)據(jù)安全是大數(shù)據(jù)發(fā)展的底線���。
百分點(diǎn)科技將積極與各政務(wù)管理部門一起完善頂層設(shè)計(jì)���,細(xì)化數(shù)據(jù)安全管理事項(xiàng),加強(qiáng)項(xiàng)目團(tuán)隊(duì)安全保密知識培訓(xùn)�����,切實(shí)有效地支撐政務(wù)信息化平臺的安全穩(wěn)定運(yùn)行�,做好政務(wù)數(shù)據(jù)安全管理工作,積極構(gòu)建政務(wù)數(shù)據(jù)健康發(fā)展的有利環(huán)境�����,推進(jìn)新型智慧城市的建設(shè)����,為大數(shù)據(jù)產(chǎn)業(yè)的健康發(fā)展貢獻(xiàn)一份力量。
來源:百分點(diǎn)
