腾讯安全联合发布《政务大数据安全指南》,六大建设满足四大安全刚需
摘要:
9月9日,由腾讯安全联合北京城市大数据研究院有限公司、中安威士(北京)科技有限公司、闪捷信息科技有限公司、北京三未信安科技有限公司、杭州世平信息科技有限公司等生态合作伙伴,共同举办的《政务大数据平台数据安全体系建设指南》(以下简称《指南》)发布会在线上举办。
《指南》围绕等保2.0的“一个中心、三重防护”的原则,通过调研国内一些政务大数据平台项目和研究数据场景,提炼业内最佳实践,并提出了符合政务大数据平台特征的数据安全体系建设指南,为今后政务大数据平台建设提供了有益参考。
紧贴四大刚需
政务大数据平台建设亟需“从内抓起”
数据合规:数据安全合规已成为未来可持续发展的必然要求,法律法规是保障信息化建设的强制性举措,对于政务大数据平台,安全合规是可持续发展的首要条件; 防泄露:根据平台的性质和业务的不同通常会包含大量机密数据资产,一旦发生泄露,不仅造成数据主体的损失,对政府部门的声誉也会造成严重影响; 防篡改:由于利益的驱使,不法分子难免有会铤而走险篡改信息,达到自身受益的目的,因此政务大数据平台也应该重视数据篡改的防护; 防滥用:一般情况下,平台委托第三方负责建设和运营,平台业主方一般负责统筹,这样就会存在第三方滥用数据的可能,不利于政务数据应用的发展。
遵循五大原则
“技术+管理”强化源头管控
用管分离:根据不同业务系统、不同功能和用途将数据使用和数据管理分离。采取“用管分离、分权而治”的原则; 权限最小化:根据各个业务系统中不同角色不同业务场景的账户权限分配需要满足最小化原则,确保数据主体仅被授予任务执行和完成工作所必需的权限; 全面覆盖:通过技术或管理手段,保证数据在系统中数据活动的各个阶段是可控的; 可控性:通过技术或管理手段,保证数据在系统中数据活动的各个阶段是可控的; 可塑性:通过技术及管理手段,实现数据的来源或泄露点可追溯。
发力六大领域
构建完整的数据安全防御体系
组织建设:数据安全组织是数据安全体系建设的前提条件,通过建立专门的数据安全组织,落实数 据安全管理责任,明确数据安全治理的政策、监督执行情况,确保数据安全相关工作能够持续稳定贯彻与执行; 制度规范:参考《ISO27001-2013 信息安全管理体系要求》将制度分为四级,以便于按照体系化的方法管理; 基础安全保障:密钥管理体系是数据安全防护的核心手段,对于密钥的使用国家密码管理局有相应的要求。因此,需要建设一套合规的密钥体系,并通过合理的运用达到数据保护的效果; 数据安全能力建设:数据安全能力包括数据定级、数据脱敏、数据加解密、数据安全审计、数据安全态势感知五个方面的能力,通过能力建设和合理的使用,可以有效提升大数据平台的数据安全防护水平; 数据场景:政务大数据的数据源一般来自各厅局、下属事业单位、政务交换平台或社会渠道等,通过政务系统的接口调用、部署前置机或直接获取数据文件等方式来采集数据。在此过程中,保证采集数据的真实性和完整性非常重要; 数据安全运营:数据安全运营即数据安全工作常态化,数据安全运营工作包括制度规范完善、日常巡检自查、应急响应、告警处理、资源协调、策略调整、数据使用状况的监控等。数据安全运营可以有效应对数据变化和使用状况变化而产生的风险。
此外,《指南》也提出,数据安全是一项体系化的工程,建议政务数据平台应基于数据场景,以数据生命周期中的各个环节为主要管控点,从制度规范、技术工具、审计稽核三个维度来加强安全管控,并将数据安全工作进行常态化。
在此次《指南》的指引下,腾讯安全将结合过去20多年积累的技术、人才、经验优势,积极联合生态合作伙伴,助力政务机构建设数据安全保障体系,实现数据全生命周期保护,护航产业数字化转型升级。