政務(wù)云大數(shù)據(jù)平臺(tái)的打造，以數(shù)據(jù)為核心，以信息化提升數(shù)據(jù)化管理與服務(wù)能力，及時(shí)準(zhǔn)確掌握社會(huì)經(jīng)濟(jì)發(fā)展情況，做到“用數(shù)據(jù)說(shuō)話、用數(shù)據(jù)管理、用數(shù)據(jù)決策、用數(shù)據(jù)創(chuàng)新”，牢牢把握社會(huì)經(jīng)濟(jì)發(fā)展主動(dòng)權(quán)和話語(yǔ)權(quán)。

然而，由于政務(wù)信息的高敏感度，國(guó)家對(duì)政務(wù)云的安全越來(lái)越重視，中央網(wǎng)信辦明確要求“要對(duì)為黨政部門(mén)提供云計(jì)算服務(wù)的服務(wù)商，參照有關(guān)網(wǎng)絡(luò)安全國(guó)家標(biāo)準(zhǔn)，組織第三方機(jī)構(gòu)進(jìn)行網(wǎng)絡(luò)安全審查”，鼓勵(lì)重點(diǎn)行業(yè)優(yōu)先采購(gòu)和使用通過(guò)安全審查的服務(wù)商提供的云計(jì)算服務(wù)。通過(guò)技術(shù)手段和國(guó)家強(qiáng)制措施，政務(wù)云模式下的信息安全更有保障。

因此，政務(wù)云大數(shù)據(jù)平臺(tái)的建設(shè)，要始終圍繞“數(shù)據(jù)自由而安全的使用”這一業(yè)務(wù)目標(biāo)。遵循數(shù)據(jù)安全治理體系框架，以內(nèi)部或準(zhǔn)內(nèi)部人員為主要安全管控對(duì)象；以數(shù)據(jù)分級(jí)分類為基礎(chǔ)，以數(shù)據(jù)合理、安全流動(dòng)為目標(biāo)；以數(shù)據(jù)使用過(guò)程的安全管理和技術(shù)支撐為手段，將安全產(chǎn)品技術(shù)和流程管理進(jìn)行深度整合，建立合理有效的大數(shù)據(jù)管理與利用規(guī)范，此為大數(shù)據(jù)管理和利用的重中之重。

918搏天堂將以目前已經(jīng)落地的某政務(wù)云大數(shù)據(jù)安全建設(shè)項(xiàng)目為例，帶來(lái)完整的覆蓋組織建立、制度規(guī)范以及技術(shù)支撐的數(shù)據(jù)安全治理框架下的政務(wù)云大數(shù)據(jù)安全建設(shè)方案。

安全挑戰(zhàn)

1、內(nèi)部人員違規(guī)使用

內(nèi)部人員違規(guī)使用風(fēng)險(xiǎn)主要發(fā)生在數(shù)據(jù)運(yùn)維人員、開(kāi)發(fā)測(cè)試人員和高權(quán)限人員，雖然制定了相應(yīng)的數(shù)據(jù)安全規(guī)范，但由于缺少監(jiān)控措施，難免出現(xiàn)越權(quán)或多賬號(hào)共用的現(xiàn)象，給數(shù)據(jù)泄漏造成很大隱患。

另外，不能排除內(nèi)部人員為滿足個(gè)人利益，進(jìn)行違規(guī)查詢、導(dǎo)出，甚至是修改數(shù)據(jù)行為，加之?dāng)?shù)據(jù)權(quán)限和使用范圍未精細(xì)化管控，導(dǎo)致可以輕易對(duì)數(shù)據(jù)訪問(wèn)和使用。

2、數(shù)據(jù)資產(chǎn)安全管控

各電子政務(wù)系統(tǒng)缺乏對(duì)自身敏感數(shù)據(jù)狀況的有效掌握，導(dǎo)致制度規(guī)范的制定不完善，技術(shù)手段執(zhí)行針對(duì)性不強(qiáng)，總體數(shù)據(jù)安全能力無(wú)法得到有效提升。傳統(tǒng)的數(shù)據(jù)共享與交互沒(méi)有進(jìn)行最小范圍管控，增加了數(shù)據(jù)泄漏的概率，加之沒(méi)有對(duì)共享和交互環(huán)節(jié)進(jìn)行監(jiān)控和審計(jì)，給黑客及不法人員提供了入口。

3、數(shù)據(jù)共享、交互安全

政務(wù)數(shù)據(jù)的共享和交互可分為內(nèi)部和外部（包括監(jiān)管機(jī)構(gòu)、其它政務(wù)部門(mén)和第三方）兩類，由于頻度高、場(chǎng)景復(fù)雜、使用終端規(guī)模大，導(dǎo)致安全規(guī)范和技術(shù)手段混亂不清，數(shù)據(jù)安全工作壓力巨大。當(dāng)發(fā)生數(shù)據(jù)安全事件時(shí)，不能有效追溯。

4、數(shù)據(jù)安全能力提升

任何數(shù)據(jù)安全技術(shù)和制度都不能完全解決數(shù)據(jù)安全問(wèn)題，需要不斷完善和加固。另外，如果不能對(duì)“好人中的壞人”進(jìn)行有效識(shí)別，對(duì)數(shù)據(jù)使用進(jìn)行有效監(jiān)控，未形成管控閉環(huán)，會(huì)導(dǎo)致現(xiàn)有制度規(guī)范和安全技術(shù)所能輻射的范圍有限，只能解決當(dāng)前問(wèn)題。

建設(shè)思路

由于數(shù)據(jù)規(guī)模大、使用場(chǎng)景復(fù)雜、數(shù)據(jù)資產(chǎn)變化快，需要從頂層來(lái)設(shè)計(jì)數(shù)據(jù)安全體系，同時(shí)需要考慮落地性和可用性。為了實(shí)現(xiàn)整體提升數(shù)據(jù)安全能力的目標(biāo)，需要從組織機(jī)構(gòu)、制度規(guī)范、技術(shù)支撐三個(gè)維度進(jìn)行設(shè)計(jì)。通過(guò)建設(shè)組織、制定制度規(guī)范、安全技術(shù)建設(shè)，做到心里有數(shù)、治理有方、監(jiān)管有據(jù)。

1、組織機(jī)構(gòu)

建立獨(dú)立的數(shù)據(jù)安全管理機(jī)構(gòu)，是建設(shè)數(shù)據(jù)安全體系的基本前提，數(shù)據(jù)安全并不應(yīng)該由傳統(tǒng)的安全部門(mén)負(fù)責(zé)，而是應(yīng)各部門(mén)配合起來(lái)，整體提升數(shù)據(jù)安全能力。清晰明確的職責(zé)劃分，可有效保障數(shù)據(jù)安全工作順利開(kāi)展。

                                                    圖中紅色部分代表必要角色，藍(lán)色部分代表部門(mén)，灰色部分代表角色。

2、制度規(guī)范

完善的管理制度和規(guī)范是數(shù)據(jù)安全體系建設(shè)的核心內(nèi)容，制度規(guī)范的建立需要從易用性和安全性兩方面考慮，根據(jù)適用范圍和適用對(duì)象不同，可分為技術(shù)類規(guī)范和管理類規(guī)范。管理類規(guī)范可包括：數(shù)據(jù)安全管理規(guī)范、數(shù)據(jù)分類分級(jí)規(guī)范、數(shù)據(jù)認(rèn)責(zé)制度、數(shù)據(jù)共享規(guī)范、數(shù)據(jù)資產(chǎn)管理規(guī)范、數(shù)據(jù)維護(hù)管理規(guī)范；技術(shù)類規(guī)范有：數(shù)據(jù)脫敏規(guī)范、審計(jì)日志規(guī)范。

3、技術(shù)支撐

政務(wù)云大數(shù)據(jù)安全建設(shè)的技術(shù)支撐是要對(duì)數(shù)據(jù)使用場(chǎng)景進(jìn)行分析，明確保護(hù)對(duì)象、控制對(duì)象和服務(wù)對(duì)象，并通過(guò)技術(shù)手段實(shí)現(xiàn)對(duì)保護(hù)對(duì)象的發(fā)現(xiàn)和細(xì)粒度梳理，結(jié)合制度規(guī)范，進(jìn)行使用過(guò)程中的管控。通過(guò)對(duì)審計(jì)日志分析，不斷完善策略和制度。這一部分也是保障整體方案建設(shè)得以實(shí)現(xiàn)落地的根本。

未完待續(xù)

敬請(qǐng)期待：政務(wù)云大數(shù)據(jù)安全建設(shè)（二）技術(shù)支撐