以“新基建 新安全”為主題的灣區(qū)創(chuàng)見·2020網(wǎng)絡安全大會于2020年11月28至29日在深圳國際會展中心舉辦���。新基建的快速發(fā)展���,給數(shù)字經(jīng)濟和社會治理帶來了新的機遇�����,但隨著數(shù)字政府、智慧城市等跨平臺、跨應用的需求多樣化��,網(wǎng)絡安全威脅無論從規(guī)模還是復雜度上也呈現(xiàn)指數(shù)級增長���。在《中共中央關于制定國民經(jīng)濟和社會發(fā)展第十四個五年規(guī)劃和2035年遠景目標的建議》中著重強調(diào)了“堅定不移貫徹新發(fā)展理念�����,統(tǒng)籌發(fā)展和安全”,安全是發(fā)展的前提�����,發(fā)展是安全的保障����,安全和發(fā)展要同步推進。
智慧政務作為新時期的“融合新基建”的載體����,其安全工作的重要性不言而喻���。近年來�����,隨著“互聯(lián)網(wǎng)+政務服務、政務一體化�、智慧城市”建設的持續(xù)推進�����,智慧政務建設通過深度應用大量的技術創(chuàng)新有效提升了政務服務和社會治理的效能。但在帶來技術變革和社會發(fā)展的同時,也伴隨著新的安全隱患與風險,同時����,隨著數(shù)字政府及政務系統(tǒng)向著共享融合的建設趨勢不斷發(fā)展�����,如何保障大量的政務數(shù)據(jù)、民生數(shù)據(jù)高效����、安全的共享開放����,成為政府部門較為關心的話題����。
灣區(qū)創(chuàng)見·2020網(wǎng)絡安全大會智慧政務安全分論壇
本次大會智慧政務安全分論壇,邀請了多位國家部委領導���、行業(yè)權威專家和企事業(yè)代表,就政務數(shù)據(jù)共享交換安全相關主題進行了深入探討和成功經(jīng)驗分享��。
深信服政府事業(yè)部總經(jīng)理姜威在智慧政務安全分論壇上發(fā)表《以數(shù)治數(shù)�,用實戰(zhàn)化視角構建數(shù)據(jù)安全運營體系》主題演講,針對數(shù)字政府數(shù)據(jù)安全問題����,首次提出了以數(shù)據(jù)為核心�����,用大數(shù)據(jù)治理大數(shù)據(jù),打造“時空一體化”的數(shù)據(jù)安全運營體系���,實現(xiàn)政務信息共享的可視、可管�����、可溯的創(chuàng)新思路�。
深信服政府事業(yè)部總經(jīng)理 姜威
政務數(shù)據(jù)共享面臨的“四道難關”
姜威指出�����,數(shù)據(jù)作為新型生產(chǎn)要素��,不管是從政策法規(guī)的角度還是實際業(yè)務流轉(zhuǎn)的訴求,數(shù)據(jù)安全的重要性不言而喻��。當前���,政務信息數(shù)據(jù)共享面臨著“四道難關”:
1.數(shù)據(jù)權責不明確
政務信息共享需實現(xiàn)跨地區(qū)��、跨層級��、跨部門的數(shù)據(jù)流轉(zhuǎn),涉及不同單位,但卻沒有統(tǒng)一團隊��、專業(yè)人員牽頭�,數(shù)據(jù)安全建設各自為政,難以有效聯(lián)動,無法形成統(tǒng)一數(shù)據(jù)安全防護體系��。數(shù)據(jù)安全事件發(fā)生后�,難以溯源,缺乏認責依據(jù),“無法認責”導致“無所顧忌”。
2.數(shù)據(jù)狀況不清晰
政務數(shù)據(jù)體量龐大�����,用戶難以查清政務信息共享涉及多少數(shù)據(jù)���,及敏感數(shù)據(jù)的分布情況���,同時接觸政務數(shù)據(jù)的用戶����、系統(tǒng)數(shù)量龐大,也很難洞察清楚數(shù)據(jù)的流向及追蹤數(shù)據(jù)訪問熱度��。
3.制度策略不完備
制度規(guī)范是數(shù)據(jù)安全防護的依據(jù)���。在未明確數(shù)據(jù)權責�����、不掌握數(shù)據(jù)現(xiàn)狀的情況下開展制度規(guī)范的編制工作����,將造成管理制度規(guī)范與實際脫節(jié)���,導致數(shù)據(jù)安全防護體系無法落實�����。
4.防護視角不匹配
如果只注重基礎設施的防護��,那么僅能獲得無差別的安全防護,不能對數(shù)據(jù)精細化管控,數(shù)據(jù)載體安全不等于數(shù)據(jù)本體安全����,安全管控能力分散����,缺乏有效聯(lián)動和整合機制��,無法應對多層面數(shù)據(jù)安全威脅�。
政務數(shù)據(jù)共享安全治理的“五大核心任務”
針對如何有效跨過政務數(shù)據(jù)共享的“四道難關”��,實現(xiàn)跨部門跨層級的業(yè)務數(shù)據(jù)的互聯(lián)互通�����,姜威提出了政務數(shù)據(jù)共享安全治理的“五大核心任務”:
1.數(shù)據(jù)資產(chǎn)探查�����,數(shù)據(jù)全景“心中有數(shù)”
通過對數(shù)據(jù)���、應用和API等進行智能數(shù)據(jù)采集和自動化梳理��,形成敏感數(shù)據(jù)資產(chǎn)清單、敏感數(shù)據(jù)流轉(zhuǎn)視圖和數(shù)據(jù)權責清單���,做到對政務敏感數(shù)據(jù)全景“心中有數(shù)”。
2.數(shù)據(jù)分類分級���,實現(xiàn)差異性防護
根據(jù)業(yè)務要求,對政務數(shù)據(jù)進行分級分類����,根據(jù)不同敏感與重要程度����,制定不同程度的防護策略��,進一步實現(xiàn)對不同類別數(shù)據(jù)的精細化管控���,實現(xiàn)差異化防護�。
3.敏感數(shù)據(jù)識別與涉敏行為梳理��,實時感知數(shù)據(jù)風險
基于敏感特征規(guī)則�����,實時采集業(yè)務動態(tài)訪問過程中的數(shù)據(jù)流量,并基于大數(shù)據(jù)計算與UEBA行為分析技術��,對流量進行智能分析���,生成涉敏數(shù)據(jù)集��、涉敏應用集、涉敏接口集和涉敏賬戶集視圖�,并基于多維度視圖進行風險聯(lián)動分析����,實時感知數(shù)據(jù)風險����。
4.數(shù)據(jù)泄露溯源��,責任界定有理有據(jù)
基于以AI技術為核心的可疑第三方檢測模型(STP)算法,對共享交換過程中可能泄露的數(shù)據(jù)進行追溯���,快速定位可能的泄露源頭,做到定責有據(jù)���。
5.“時空一體化”的立體防御體系
以數(shù)據(jù)為中心,協(xié)同聯(lián)動響應���,打造“時空一體化”的立體防御體系,全方位保障數(shù)據(jù)生命周期的安全�。
深信服“時空一體化”立體防御體系基于零信任細粒度訪問控制機制�����,以身份為基礎,對數(shù)據(jù)訪問請求進行持續(xù)評估和控制�����,解決訪問權限不規(guī)范�����、合法賬號惡意訪問、業(yè)務面過度暴露等問題對核心數(shù)據(jù)帶來的風險,構建數(shù)據(jù)防護的首道關卡:
• 云端上:以數(shù)據(jù)庫訪問細粒度審計、數(shù)據(jù)庫脫敏�、數(shù)據(jù)庫防火墻�����、數(shù)據(jù)庫加密等機制,構建業(yè)務端的數(shù)據(jù)庫防護體系。
• 網(wǎng)端上:依托VPN等成熟機制��,對數(shù)據(jù)共享交換的通道加密����,保障數(shù)據(jù)共享交換過程的機密性和完整性。
• 終端上:構建安全終端基線環(huán)境���,并通過云桌面、安全沙箱����、遠程瀏覽器��、RDP代理等技術,實現(xiàn)敏感數(shù)據(jù)不落地�,保障政務共享數(shù)據(jù)的安全����。
除了技術手段��,安全管理和安全運營對政務數(shù)據(jù)實現(xiàn)安全共享和開放同樣重要��。安全管理主要指建立專門針對數(shù)據(jù)安全的組織、制度、流程��、人員等管理體系�;安全運營則主要針對數(shù)據(jù)共享過程中的風險監(jiān)測分析、日常運維、應急響應等進行體系化建設����。
數(shù)據(jù)共享安全治理與運營體系模型(DSSG)
基于國內(nèi)外數(shù)據(jù)安全合規(guī)要求、先進框架的研究以及大量行業(yè)實踐�����,深信服提出以數(shù)據(jù)為中心���,圍繞數(shù)據(jù)生命周期��,涵蓋云端�����、網(wǎng)絡、終端,打造時空一體化的主動防御體系�����,通過組織構建、數(shù)據(jù)探查、風險識別��、策略制定���、數(shù)據(jù)管控�、態(tài)勢感知、持續(xù)改善七個環(huán)節(jié),實現(xiàn)數(shù)據(jù)共享安全治理與運營的閉環(huán)�����,最終實現(xiàn)政務信息共享過程全要素全流程的可視����、可管,保障政務數(shù)據(jù)在政務信息共享過程中的安全使用。
隨著數(shù)字政府集約化建設的推進,業(yè)務和技術的復雜度顯著提升,所面臨的各類安全風險和威脅也越來越復雜多樣��,作為專注于企業(yè)級安全����、云計算及基礎架構的產(chǎn)品和服務供應商�,深信服深耕政務領域多年,未來也將繼續(xù)全力投入�����,圍繞政務用戶需求的變化�����,持續(xù)創(chuàng)新���,為智慧政務健康發(fā)展構筑安全基石��。
