2019年是我國(guó)電子政務(wù)建設(shè)非常重要的一年,營(yíng)商環(huán)境排名躍居全球第31位,全國(guó)一體化政務(wù)服務(wù)體系基本形成,數(shù)據(jù)交換和信息共享發(fā)揮了重要作用。十九屆四中全會(huì)提出推進(jìn)數(shù)字政府建設(shè),加強(qiáng)數(shù)據(jù)有序共享,依法保護(hù)個(gè)人信息。
今天,讓我們一起看下2020年政務(wù)數(shù)據(jù)安全應(yīng)該如何建設(shè)。
1
政務(wù)數(shù)據(jù)安全挑戰(zhàn)
在數(shù)字政府建設(shè)過(guò)程中,利用政務(wù)數(shù)據(jù)交換和信息共享,一方面消除了各委辦局的信息孤島,讓企業(yè)和市民只需提交一次材料就可以辦結(jié)一項(xiàng)事情;另一方面可以核對(duì)低保人群身份的有效性,發(fā)現(xiàn)和查處逃稅等稅收違法行為,為政府提供決策支持。
然而,海量數(shù)據(jù)交換和信息共享也為數(shù)據(jù)安全提出了新的挑戰(zhàn)。以某省數(shù)據(jù)開(kāi)放為例,該平臺(tái)已經(jīng)開(kāi)放45個(gè)省級(jí)單位和1197個(gè)數(shù)據(jù)集(含602個(gè)API接口),訪問(wèn)次數(shù)達(dá)到442652次、下載調(diào)用次數(shù)1577736次。首先是如何為不同部門(mén)和不同行業(yè)的海量數(shù)據(jù)建立統(tǒng)一的安全規(guī)范,明確數(shù)據(jù)分類(lèi)分級(jí),以及規(guī)定數(shù)據(jù)的開(kāi)放范圍和開(kāi)放力度;其次就是如何能夠在海量數(shù)據(jù)交換和信息共享的過(guò)程中,及時(shí)發(fā)現(xiàn)和解決安全隱患,保障關(guān)鍵業(yè)務(wù)的正常運(yùn)行。
2
政務(wù)數(shù)據(jù)安全的核心
目前,各級(jí)政府正在利用大數(shù)據(jù)技術(shù)進(jìn)行智慧治理,提高決策支持能力和個(gè)性化服務(wù)能力。這為政務(wù)數(shù)據(jù)安全提供了新的思路,我們可以借鑒政府治理,以數(shù)據(jù)分析驅(qū)動(dòng)政務(wù)數(shù)據(jù)安全,建設(shè)與數(shù)字政府相匹配的政務(wù)數(shù)據(jù)安全體系。
該體系以數(shù)據(jù)安全智能分析平臺(tái)為核心,利用大數(shù)據(jù)分析技術(shù)對(duì)安全數(shù)據(jù)(安全設(shè)備所產(chǎn)生的安全數(shù)據(jù)和威脅情報(bào))進(jìn)行關(guān)聯(lián)分析和行為分析,發(fā)現(xiàn)當(dāng)下的安全風(fēng)險(xiǎn),以及預(yù)測(cè)未來(lái)的安全趨勢(shì),最終通過(guò)可視化手段,將安全風(fēng)險(xiǎn)直觀的展示出來(lái),幫助安全管理人員進(jìn)行安全決策和響應(yīng),實(shí)現(xiàn)政務(wù)數(shù)據(jù)安全治理。
3
政務(wù)數(shù)據(jù)安全的關(guān)鍵能力
為了對(duì)海量的政務(wù)數(shù)據(jù)交換和信息共享進(jìn)行端到端監(jiān)控,政務(wù)數(shù)據(jù)安全體系應(yīng)重點(diǎn)建設(shè)以下三個(gè)關(guān)鍵能力。
數(shù)據(jù)快速發(fā)現(xiàn)能力
如前所述,在政務(wù)處理過(guò)程中,每天產(chǎn)生大量公共信息和個(gè)人隱私數(shù)據(jù),應(yīng)能夠利用自動(dòng)化的工具和技術(shù),快速的識(shí)別和發(fā)現(xiàn)這些重要數(shù)據(jù),才能發(fā)現(xiàn)與之相應(yīng)的安全風(fēng)險(xiǎn)。
數(shù)據(jù)風(fēng)險(xiǎn)識(shí)別能力
針對(duì)發(fā)現(xiàn)的重要數(shù)據(jù),利用大數(shù)據(jù)分析能力,建立重要數(shù)據(jù)分布和使用情況,掌握數(shù)據(jù)所在資產(chǎn)的狀態(tài),這些數(shù)據(jù)被哪些應(yīng)用和人員使用,如何使用。通過(guò)進(jìn)一步挖掘,結(jié)合網(wǎng)絡(luò)流量分析、用戶(hù)行為分析等專(zhuān)業(yè)安全模型,建立數(shù)據(jù)訪問(wèn)基線,發(fā)現(xiàn)資產(chǎn)脆弱性、違規(guī)使用和數(shù)據(jù)泄露等風(fēng)險(xiǎn)。
數(shù)據(jù)安全處置能力
基于識(shí)別的安全風(fēng)險(xiǎn),應(yīng)具備提出應(yīng)對(duì)措施和及時(shí)處置的能力,而且該過(guò)程應(yīng)該盡可能的規(guī)范化和自動(dòng)化,以及適配不同的環(huán)境和能力。例如當(dāng)發(fā)現(xiàn)一個(gè)重要數(shù)據(jù)被非法利用,則利用針對(duì)該風(fēng)險(xiǎn)的自動(dòng)化處置工具,啟動(dòng)適當(dāng)?shù)氖录僮?,讓相?yīng)的安全能力去執(zhí)行。
4
政務(wù)數(shù)據(jù)安全的實(shí)施路徑
政務(wù)數(shù)據(jù)安全建設(shè)應(yīng)從頂層設(shè)計(jì)出發(fā),遵循“知、識(shí)、控、察、行”的路徑,逐步建設(shè)以數(shù)據(jù)安全智能分析平臺(tái)為核心的政務(wù)數(shù)據(jù)安全治理體系,確保政務(wù)業(yè)務(wù)安全運(yùn)行。
知
梳理政務(wù)業(yè)務(wù)和數(shù)據(jù):建立由各級(jí)政務(wù)數(shù)據(jù)管理部門(mén)牽頭,成立橫跨業(yè)務(wù)部門(mén)和IT部門(mén)的管理架構(gòu),制定數(shù)據(jù)安全治理制度和規(guī)范,并嚴(yán)格執(zhí)行,內(nèi)容涵蓋數(shù)據(jù)安全策略、目標(biāo)和數(shù)據(jù)分類(lèi)分級(jí)的原則等。
識(shí)
識(shí)別重要數(shù)據(jù)和風(fēng)險(xiǎn):依據(jù)數(shù)據(jù)分級(jí)分類(lèi)原則,掃描和發(fā)現(xiàn)的各類(lèi)公共信息和個(gè)人隱私數(shù)據(jù),并對(duì)發(fā)現(xiàn)的公共信息和個(gè)人隱私數(shù)據(jù),進(jìn)行數(shù)據(jù)分類(lèi)和數(shù)據(jù)分級(jí),以及識(shí)別數(shù)據(jù)的安全風(fēng)險(xiǎn)。
控
建立政務(wù)數(shù)據(jù)安全防護(hù):根據(jù)已定義安全級(jí)別和發(fā)現(xiàn)的安全風(fēng)險(xiǎn),在各類(lèi)公共信息和個(gè)人隱私數(shù)據(jù)的采集、處理、交換和共享等環(huán)節(jié),部署相應(yīng)的安全能力,并利用智能安全運(yùn)營(yíng)平臺(tái)進(jìn)行統(tǒng)一管理,實(shí)現(xiàn)協(xié)同、統(tǒng)一和縱深的安全防護(hù)。
察
持續(xù)政務(wù)數(shù)據(jù)安全監(jiān)察:基于數(shù)據(jù)安全智能分析平臺(tái),建立數(shù)據(jù)安全態(tài)勢(shì),幫助安全人員直觀的了解重要數(shù)據(jù)的分布、哪些重要數(shù)據(jù)經(jīng)常被訪問(wèn)、被誰(shuí)訪問(wèn)和訪問(wèn)途徑,以及為安全運(yùn)營(yíng)提供支持。
行
持續(xù)政務(wù)數(shù)據(jù)安全運(yùn)營(yíng):根據(jù)政務(wù)業(yè)務(wù)情況,建立安全運(yùn)營(yíng)體系,對(duì)發(fā)現(xiàn)的重要事件進(jìn)行一鍵處置,重大威脅應(yīng)急響應(yīng)和預(yù)警,并持續(xù)對(duì)政務(wù)系統(tǒng)內(nèi)資產(chǎn)、脆弱性和安全防護(hù)能力進(jìn)行管理和優(yōu)化,最終實(shí)現(xiàn)自適應(yīng)的安全治理。
我國(guó)政府利用云計(jì)算和大數(shù)據(jù)等技術(shù)為數(shù)字政府建設(shè)賦能,政務(wù)數(shù)據(jù)安全建設(shè)也應(yīng)借助大數(shù)據(jù)技術(shù)和專(zhuān)業(yè)化安全能力,實(shí)現(xiàn)各類(lèi)公共信息和個(gè)人隱私數(shù)據(jù)的端到端防護(hù),保障政務(wù)業(yè)務(wù)安全和合規(guī)的運(yùn)行,助力數(shù)字政府建設(shè)。