四、
政務(wù)數(shù)據(jù)共享開(kāi)放安全管理措施與實(shí)踐
百分點(diǎn)科技結(jié)合當(dāng)前數(shù)據(jù)安全政策體系的建設(shè)情況�,在政務(wù)數(shù)據(jù)共享開(kāi)放的數(shù)據(jù)安全管理領(lǐng)域與政府客戶共同探索���、實(shí)踐了安全管理長(zhǎng)效機(jī)制�,打造了全方位管控政務(wù)數(shù)據(jù)共享開(kāi)放安全的能力體系����。
1. 明確政務(wù)數(shù)據(jù)權(quán)屬,劃清安全責(zé)任邊界
在政務(wù)數(shù)據(jù)共享開(kāi)放管理工作中���,首先要梳理清楚管理對(duì)象和數(shù)據(jù)權(quán)屬�,明確數(shù)據(jù)的提供者����、使用者(又分為政務(wù)共享數(shù)據(jù)使用者、公共開(kāi)放數(shù)據(jù)使用者)��、平臺(tái)建設(shè)單位、平臺(tái)運(yùn)維單位�、平臺(tái)運(yùn)營(yíng)單位和平臺(tái)監(jiān)管單位等責(zé)任主體; 其次要結(jié)合本地相關(guān)政策,參照“誰(shuí)主管誰(shuí)負(fù)責(zé)���、誰(shuí)運(yùn)行誰(shuí)負(fù)責(zé)�、誰(shuí)使用誰(shuí)負(fù)責(zé)”的總體原則����,圍繞政務(wù)數(shù)據(jù)匯聚、存儲(chǔ)�����、處理��、傳輸���、共享����、開(kāi)放���、銷毀���、備份的全生命周期梳理相關(guān)角色��、權(quán)限����、人員等管理對(duì)象的安全責(zé)任邊界���、責(zé)任范圍���、具體安全職責(zé)和工作內(nèi)容��。
2. 梳理共享開(kāi)放范圍���,統(tǒng)一共享開(kāi)放渠道
依照“以共享為常態(tài)�、不共享為例外”的原則�����,梳理共享開(kāi)放范圍��,編制各政府部門的“三清單”�����,即責(zé)任清單(各部門所擁有的政務(wù)信息資源)、需求清單(對(duì)其他部門的數(shù)據(jù)共享需求��、共享方式��,應(yīng)用場(chǎng)景)和負(fù)面清單(各部門認(rèn)為不宜提供給其他政務(wù)部門共享使用的信息資源��,必須有法律����、行政法規(guī)、部委規(guī)章或黨中央國(guó)務(wù)院政策依據(jù))����。由平臺(tái)建設(shè)單位輔助各政府部門按照《政務(wù)信息資源目錄編制目錄》(發(fā)改技[2017]1271號(hào))編制、優(yōu)化政務(wù)信息資源目錄�����,明確數(shù)據(jù)共享屬性和共享范圍�,并動(dòng)態(tài)維護(hù)更新,保證數(shù)據(jù)共享質(zhì)量和時(shí)效性��。梳理工作完成之后,凡是因各部門預(yù)期未報(bào)原因而未列入“三清單”之內(nèi)的���,原則上不再予以協(xié)調(diào)�����。
明確共享開(kāi)放的統(tǒng)一工作平臺(tái)和渠道�,原則上只能通過(guò)共享交換平臺(tái)和數(shù)據(jù)開(kāi)放平臺(tái)(含政務(wù)數(shù)據(jù)共享和公共數(shù)據(jù)開(kāi)放)進(jìn)行����,擅自通過(guò)其他方式進(jìn)行數(shù)據(jù)共享及開(kāi)放,需承擔(dān)相關(guān)責(zé)任; 其次要確定共享開(kāi)放的范圍����,明確共享開(kāi)放數(shù)據(jù)邊界,將數(shù)據(jù)劃分為無(wú)條件共享���、有條件共享和不予共享3類;再次對(duì)于涉及敏感數(shù)據(jù)共享的情況�,還應(yīng)當(dāng)采用脫敏、加密等方式保障數(shù)據(jù)安全; 最后還可結(jié)合本地實(shí)際�,統(tǒng)籌規(guī)劃,分期分批進(jìn)行開(kāi)放���,先對(duì)部分?jǐn)?shù)據(jù)進(jìn)行優(yōu)先試點(diǎn)開(kāi)放����,比如有明確政策依據(jù)和數(shù)據(jù)來(lái)源的政務(wù)公開(kāi)數(shù)據(jù),以及一些與公眾密切相關(guān)的基礎(chǔ)數(shù)據(jù)��,再逐步放開(kāi)其他數(shù)據(jù)的開(kāi)放利用��,在數(shù)據(jù)共享開(kāi)放需求��、數(shù)據(jù)安全和隱私保護(hù)之間找到最佳平衡點(diǎn)���。
3. 打造政企協(xié)同機(jī)制���,加強(qiáng)安全知識(shí)培訓(xùn)
百分點(diǎn)科技與參與新型智慧城市建設(shè)的信息化企業(yè)及政府部門保持密切聯(lián)系,形成一套政企聯(lián)動(dòng)���、企企聯(lián)動(dòng)的協(xié)同機(jī)制��,保障數(shù)據(jù)安全管控流程的順暢運(yùn)轉(zhuǎn)�。首先是對(duì)點(diǎn)聯(lián)系��,參與新型智慧城市建設(shè)的相關(guān)企業(yè)和政府部門都明確了一名工作聯(lián)絡(luò)員��,做到點(diǎn)對(duì)點(diǎn)聯(lián)系,確保有效對(duì)接�����。其次是協(xié)同聯(lián)動(dòng)�,基于明確的數(shù)據(jù)權(quán)屬、安全邊界�、共享范圍、開(kāi)放渠道等信息�,使用信息化手段,實(shí)現(xiàn)數(shù)據(jù)安全管控的流程化�����、標(biāo)準(zhǔn)化����。再次是定期培訓(xùn),配合政務(wù)數(shù)據(jù)主管部門每月/每季度以邀請(qǐng)上門交流���、召開(kāi)座談會(huì)�����、線下培訓(xùn)等方式了解掌握各參與企業(yè)在新型智慧城市建設(shè)中的實(shí)施進(jìn)度、安全管控難題,并提出具有普適性和針對(duì)性的工作方案�,同時(shí)對(duì)相關(guān)工作人員開(kāi)展數(shù)據(jù)安全知識(shí)培訓(xùn),加強(qiáng)安全保密意識(shí)����,杜絕因違規(guī)操作導(dǎo)致的數(shù)據(jù)泄密風(fēng)險(xiǎn)。
4. 健全數(shù)據(jù)管控能力����,提升政務(wù)數(shù)據(jù)質(zhì)量
政務(wù)數(shù)據(jù)擁有良好的質(zhì)量,不僅可以降低后續(xù)融合應(yīng)用的成本�����,促進(jìn)數(shù)據(jù)資源更好地開(kāi)放利用����,同時(shí)也是數(shù)據(jù)安全保障的基礎(chǔ)。數(shù)據(jù)質(zhì)量要求政務(wù)數(shù)據(jù)保證信息的完整性���、準(zhǔn)確性�����、及時(shí)性��、可用性和一致性����,百分點(diǎn)科技構(gòu)建了政務(wù)數(shù)據(jù)全生命周期管理體系,實(shí)現(xiàn)了對(duì)政務(wù)數(shù)據(jù)的長(zhǎng)效運(yùn)營(yíng)�,能夠有效提升數(shù)據(jù)質(zhì)量,保障數(shù)據(jù)的完整性��,確保對(duì)數(shù)據(jù)來(lái)源����、數(shù)據(jù)權(quán)屬、共享內(nèi)容���、開(kāi)放條件�����、數(shù)據(jù)質(zhì)量��、應(yīng)急處置等信息有完備而系統(tǒng)的管控能力����,同時(shí)對(duì)數(shù)據(jù)的流通使用進(jìn)行監(jiān)管�����,保障數(shù)據(jù)的流通安全可控;通過(guò)分析數(shù)據(jù)的血緣關(guān)系獲知數(shù)據(jù)的來(lái)源出處����,明確數(shù)據(jù)的數(shù)據(jù)歸屬,實(shí)現(xiàn)“一數(shù)一源”; 以前端應(yīng)用為牽引�����,以數(shù)據(jù)質(zhì)量報(bào)告抓手���,倒逼政府部門及時(shí)更新和修改提供的數(shù)據(jù)�����,避免在匯集過(guò)程中產(chǎn)生交叉重復(fù)���。
5. 實(shí)行數(shù)據(jù)分級(jí)分類,保障共享開(kāi)放安全
目前�����,我國(guó)尚未建立數(shù)據(jù)安全分級(jí)分類的標(biāo)準(zhǔn)規(guī)范�����。對(duì)于安全等級(jí)不明確的數(shù)據(jù),數(shù)據(jù)安全保護(hù)措施不當(dāng)會(huì)出現(xiàn)數(shù)據(jù)安全保護(hù)強(qiáng)度不足導(dǎo)致數(shù)據(jù)泄露風(fēng)險(xiǎn)��,數(shù)據(jù)過(guò)度保護(hù)又會(huì)帶來(lái)數(shù)據(jù)共享困難�����。所以�����,百分點(diǎn)科技結(jié)合多年服務(wù)政府客戶和企業(yè)客戶經(jīng)驗(yàn)����,結(jié)合政府客戶本地實(shí)際,按照數(shù)據(jù)類型����、泄露影響程度以及敏感程度(非敏感數(shù)據(jù)、涉及用戶隱私數(shù)據(jù)�、涉及國(guó)家秘密數(shù)據(jù)),制定分級(jí)分類標(biāo)準(zhǔn)���,對(duì)政務(wù)數(shù)據(jù)資源進(jìn)行先分類再分級(jí)�����,并明確相應(yīng)的開(kāi)放屬性�����、共享屬性和安全防護(hù)策略��,具體內(nèi)容如下:
在政務(wù)大數(shù)據(jù)的安全整體架構(gòu)中�,根據(jù)數(shù)據(jù)的類別及等級(jí)對(duì)數(shù)據(jù)流生命周期過(guò)程進(jìn)行“矩陣式管控”��,其對(duì)應(yīng)關(guān)系如下:
通過(guò)分級(jí)分類管理����,對(duì)數(shù)據(jù)進(jìn)行分級(jí)分域存儲(chǔ),對(duì)數(shù)據(jù)訪問(wèn)按照數(shù)據(jù)分級(jí)分類管理指南進(jìn)行顆?���;臋?quán)限管理。
對(duì)敏感數(shù)據(jù)傳輸進(jìn)行加密保護(hù)����,對(duì)涉及國(guó)家安全、社會(huì)公共利益�����、商業(yè)秘密、個(gè)人信息和隱私數(shù)據(jù)的使用按照標(biāo)準(zhǔn)規(guī)范進(jìn)行脫敏脫密處理���,對(duì)各類數(shù)據(jù)重要操作實(shí)施流程審批�����,對(duì)數(shù)據(jù)共享開(kāi)放全生命周期進(jìn)行安全審計(jì)�����,保證每個(gè)環(huán)節(jié)的安全和策略一致性��。脫敏方法及敏感數(shù)據(jù)示例如下:
6. 引入先進(jìn)技術(shù)經(jīng)驗(yàn)����,加強(qiáng)安全技術(shù)保障
技術(shù)手段是大數(shù)據(jù)安全管理的保障條件�����,傳統(tǒng)數(shù)據(jù)安全技術(shù)已無(wú)法滿足數(shù)據(jù)流轉(zhuǎn)與數(shù)據(jù)安全的雙重需求�����,需要以網(wǎng)絡(luò)安全為基礎(chǔ)��、以數(shù)據(jù)為中心��,以顆粒化權(quán)限管控為抓手�����,輔以脫敏加密、分級(jí)分類�、安全審計(jì)、行為追溯(區(qū)塊鏈)、隱私計(jì)算等技術(shù)手段�,搭建數(shù)據(jù)安全管理體系實(shí)現(xiàn)數(shù)據(jù)全周期(數(shù)據(jù)收集��、傳輸����、存儲(chǔ)�、處理���、共享����、開(kāi)放等) 保障�����。
百分點(diǎn)科技為政務(wù)數(shù)據(jù)共享開(kāi)放提供了全生命周期技術(shù)支持�。
在數(shù)據(jù)存儲(chǔ)環(huán)節(jié),通過(guò)安全區(qū)域劃分,建立DMZ區(qū)�����、數(shù)據(jù)加密區(qū)����,解決不同區(qū)域間存儲(chǔ)和邊界控制問(wèn)題��,采用數(shù)據(jù)加密技術(shù)��、顆?�;L問(wèn)控制和審批管理�����,防止數(shù)據(jù)泄露與非授權(quán)訪問(wèn)。
在數(shù)據(jù)采集�����、匯聚����、處理環(huán)節(jié),采用元數(shù)據(jù)管理���、數(shù)據(jù)標(biāo)準(zhǔn)管理�����、數(shù)據(jù)模型管理���、數(shù)據(jù)質(zhì)量管控、數(shù)據(jù)治理等技術(shù)����,管控?cái)?shù)據(jù)質(zhì)量,形成數(shù)據(jù)資產(chǎn); 在數(shù)據(jù)傳輸環(huán)節(jié),采用數(shù)據(jù)加密���、數(shù)據(jù)指紋等技術(shù)�,實(shí)現(xiàn)數(shù)據(jù)可追蹤可溯源; 在數(shù)據(jù)使用環(huán)節(jié),采用數(shù)據(jù)脫敏�����、脫密技術(shù)�,保障敏感數(shù)據(jù)的安全使用。
同時(shí)��,為解決多個(gè)機(jī)構(gòu)間數(shù)據(jù)共享和數(shù)據(jù)價(jià)值挖掘問(wèn)題�����,通過(guò)搭建隱私計(jì)算服務(wù)平臺(tái)���,解決了在不共享原始數(shù)據(jù)前提下實(shí)現(xiàn)數(shù)據(jù)價(jià)值挖掘和流轉(zhuǎn)的技術(shù)手段���。通過(guò)原始數(shù)據(jù)“去標(biāo)識(shí)化”��,可信執(zhí)行環(huán)境搭建和能夠保護(hù)數(shù)據(jù)和模型隱私的智能計(jì)算技術(shù)(聯(lián)邦學(xué)習(xí))三個(gè)環(huán)節(jié)��,保證各政府部門數(shù)據(jù)和模型隱私��,實(shí)現(xiàn)數(shù)據(jù)“可用不可見(jiàn)”��、“可算不可識(shí)”和“可用不可擁”。
在數(shù)據(jù)全生命周期采用日志管理和用戶行為審計(jì)��,實(shí)現(xiàn)異常行為實(shí)時(shí)監(jiān)控�,防止數(shù)據(jù)泄露等安全事件發(fā)生,全方面保障政務(wù)數(shù)據(jù)共享開(kāi)放安全����。
7. 建立風(fēng)險(xiǎn)評(píng)估體系,評(píng)估安全服務(wù)能力
百分點(diǎn)科技建立了貫穿政務(wù)數(shù)據(jù)共享開(kāi)放全生命周期的數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估體系�。梳理出了匯聚、存儲(chǔ)����、處理、傳輸���、共享��、開(kāi)放���、銷毀、備份等各環(huán)節(jié)的安全風(fēng)險(xiǎn)點(diǎn)�,對(duì)各類風(fēng)險(xiǎn)進(jìn)行量化分析(等級(jí)、百分比���、數(shù)值)��,形成風(fēng)險(xiǎn)評(píng)估模型�,定期對(duì)數(shù)據(jù)安全風(fēng)險(xiǎn)進(jìn)行評(píng)估,防范數(shù)據(jù)安全隱患��,對(duì)可能的風(fēng)險(xiǎn)進(jìn)行監(jiān)測(cè)預(yù)警���。
由政府?dāng)?shù)據(jù)主管部門牽頭���,引入具有相關(guān)資質(zhì)的第三方測(cè)評(píng)機(jī)構(gòu)開(kāi)展安全保障能力和安全風(fēng)險(xiǎn)評(píng)估,對(duì)測(cè)評(píng)中發(fā)現(xiàn)的風(fēng)險(xiǎn)事項(xiàng)限期整改�����,提高政務(wù)數(shù)據(jù)共享開(kāi)放工作質(zhì)量,減少數(shù)據(jù)安全隱患。
8. 建立監(jiān)督管理機(jī)制���,形成安全管理閉環(huán)
百分點(diǎn)科技輔助政府客戶建立完善的監(jiān)督考評(píng)機(jī)制,確保政務(wù)數(shù)據(jù)共享開(kāi)放的及時(shí)性����、有效性和安全性����。
主管部門定期對(duì)系統(tǒng)接入量�、數(shù)據(jù)接入量����、數(shù)據(jù)質(zhì)量�����、數(shù)據(jù)引用量��、安全告警量、安全評(píng)估等級(jí)等信息進(jìn)行匯總�����,形成數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估報(bào)告,并將政務(wù)數(shù)據(jù)共享���、開(kāi)放的數(shù)據(jù)質(zhì)量�、安全管理情況作為績(jī)效考核指標(biāo)���,要求各部門發(fā)布年度工作報(bào)告�����,主管部門按照考評(píng)機(jī)制對(duì)相關(guān)部門進(jìn)行考核,動(dòng)態(tài)監(jiān)管數(shù)據(jù)安全管理制度執(zhí)行情況���,形成安全管理閉環(huán)����,保障政務(wù)數(shù)據(jù)共享開(kāi)放安全。
結(jié)束語(yǔ)
本文從新型智慧城市建設(shè)面臨的數(shù)據(jù)安全挑戰(zhàn)出發(fā)���,結(jié)合百分點(diǎn)新型智慧城市實(shí)踐經(jīng)驗(yàn)分享了數(shù)據(jù)安全管理理念和技術(shù)手段。政務(wù)數(shù)據(jù)共享融合與開(kāi)放應(yīng)用在創(chuàng)造新價(jià)值的同時(shí)���,也帶來(lái)了新的挑戰(zhàn)�。一方面需要推進(jìn)數(shù)據(jù)開(kāi)放利用; 另一方面數(shù)據(jù)安全是大數(shù)據(jù)發(fā)展的底線��。
百分點(diǎn)科技將積極與各政務(wù)管理部門一起完善頂層設(shè)計(jì),細(xì)化數(shù)據(jù)安全管理事項(xiàng)�,加強(qiáng)項(xiàng)目團(tuán)隊(duì)安全保密知識(shí)培訓(xùn)����,切實(shí)有效地支撐政務(wù)信息化平臺(tái)的安全穩(wěn)定運(yùn)行,做好政務(wù)數(shù)據(jù)安全管理工作�,積極構(gòu)建政務(wù)數(shù)據(jù)健康發(fā)展的有利環(huán)境,推進(jìn)新型智慧城市的建設(shè)��,為大數(shù)據(jù)產(chǎn)業(yè)的健康發(fā)展貢獻(xiàn)一份力量�����。
來(lái)源:百分點(diǎn)
