行業應用 | 政務大資料平台資料安全合規建設之道

伴随着社會及經濟數字化轉型的深入，數字政府的建設要求也在逐漸提高。十四五規劃中更是提出了要加快建設數字經濟、數字社會、數字政府，以數字化轉型整體驅動生産方式、生活方式和治理方式變革，推進網絡強國的建設的目标。

在提升政府數字化水準的過程中，各類資訊技術将被廣泛應用于政府管理服務和業務中，實作公共資料開放共享、推動政務資訊化共建共用，提高決策科學性和服務效率。而《網絡安全法》、《資料安全法》、《網絡資料安全标準體系建設指南》以及《個人資訊保護法》等一系列法規政策的出台，則對政務大資料平台資料資源全生命周期的保護提出了更明确的要求，需要切實保障政務資訊資源在開發利用、分享交換等過程中的資料安全，建立統一規範、互聯互通、安全可控的政務大資料開放共享平台，推動政務資料利用共享，共同營造開放、安全的數字新生态。

政務大資料平台安全合規建設要點與政策

要點1：資料分類分級管理

政策：根據業務屬性及資料域模式進行劃分，同時考慮資料特征、資料從屬等共性關系，以及資料資産的關鍵屬性、重要性及資料資産洩露對國民經濟的影響程度，制定内部分級分類标準。建構資料安全管理平台的同時制作資料識别模型和規則，使資料資産安全管理平台獲得分類分級的能力；發現、監測系統中存儲和流轉的敏感資料。

要點2：全生命周期的資料安全管理

政策：基于資料視角，對資料的完整生命周期進行梳理，從資料生命周期的各個關鍵環節包括資料采集、存儲、使用、共享、傳輸、銷毀等，進行監測和防護，動态監控資料流向，確定資料全生命周期安全可控。

要點3：敏感資料的安全防護

政策：利用合規檢查系統對伺服器、資料庫、應用系統、網絡流量等進行敏感資料資産分布情況、涉密資料存儲情況檢測分析。梳理與發現機關敏感資料，清晰了解敏感資料總體安全流轉狀況并發現潛在的安全風險。同時，通過資料脫敏系統，将需要與第三方共享的資料進行去辨別化處理，防止敏感内容的外洩。

要點4：規範内部資料使用

政策：從資料的流轉和通路次元進行監控，對政務大資料平台的異常行為進行監測和判斷，規範使用者業務操作行為，避免因為不規範的操作造成資料的安全風險。

要點5：強化安全合規意識

政策：建立健全資料安全管理制度，定期對平台相關管理人員開展資料安全教育訓練，加強重要資料和個人資訊安全風險意識；讓資料安全合規貫徹落實到日常工作中，減少安全事件發生，提升安全管理效率。

要點6：滿足監管合規檢測要求

政策：合規是安全防護中最重要的基礎工作，加強對相關法律法規政策的學習，對标《網絡安全法》、《資料安全法》等相關法律，利用平台的建設幫助識别安全合規風險，發現問題并及時修複，以滿足監管部門要求的安全條件，確定政務大資料平台的安全合規。

政務大資料平台安全合規建設實踐

實踐背景

資料資源管理局作為政務資料管理的核心機關，其政務大資料平台彙聚了各局委辦機關的政務資料，這些資料又會被其他機關調用，資料安全問題成為重點工作之一。在《網絡安全法》、《資料安全法》、《個人資訊保護法》等相關政策的要求下，政務大資料平台要滿足國家與行業資料安全合規性要求，實作全網資料安全的全面、統一、高效管控，解決敏感資料洩露問題，實作資料安全能力的不斷擴充、強大，滿足大資料平台長期、持續性資料安全需求。

業務需求

基于目前資料環境多源多樣化、複雜化的特點，各地資料資源管理局政務大資料平台會面臨着以下資料安全風險：

1.缺乏有效的技術手段和防護政策，且無法防止内部人員濫用資料

2.在各業務部門資料歸集之前，無法确認歸集資料是否存在涉密、敏感資料，歸集資料是否安全合規

3.無法感覺敏感資料的流轉和使用，是以也無法發現敏感資料的安全風險

4.缺乏對各應用部門調取資料的安全監控，存在非法人員調取資料或合法人員濫用資料風等風險

解決方案

世平資訊建構的資料安全統一管控平台，可通過歸集前的合規檢測與資料全生命周期各環節的資料安全管控，達到“事前發現、事中監控、事後處置”的資料安全合規要求，實作安全問題及時預警、安全風險提早規避的目标和效果。

方案主要包含以下幾個方面：

Ø  安全統一管控

建設資料安全統一管控平台，實作合規檢測與響應，滿足資料資産管理和資料安全防護需求，建構整體資料安全防護體系。

Ø  歸集資料合規檢查

幫助資料資源管理局完成對機關歸集資料交換前置庫合規性檢查，檢測來自各委辦局資料的合規性（有無涉密資料，有無涉政資料），確定歸集至數管局資料為符合要求的合法、合規資料。

Ø  流轉資料合規監控

可針對資料調用過程進行全程監控，避免非法人員擷取或合規人員濫用資料；針對網絡中傳輸的資料提供敏感内容識别、定位和實時預警。

方案價值

l  滿足監管合規要求

幫助資料資源管理局滿足“保密法”、《網絡安全法》、《資料安全法》、等保2.0、《個人資訊保護法》等相關政策合規性要求。

l  敏感資料安全防護

通過對資料從歸集到調用的全程監控，有效降低資料濫用、資料有意/無意洩露的風險，建立起一道資料安全屏障。

l  提升綜合決策能力

安全事件統一彙總上報，結合平台内置的分析模型，對安全事件進行分析展示，并對資料安全進行預測和趨勢分析，為決策者提供安全決策依據。