中文
數據顯示,截至2023年12月底,全國一體化政務服務平臺已接入52個部門和32個地方,共上線6006個目錄,掛接2.06萬資源,累計調用4847.07萬次服務。截至2023年8月,我國已有226個省級和城市的地方政府上線了數據開放平臺,各地平臺無條件開放的可下載數據集容量從2019年的15億元增長到2023年的超480億元,5年間增長約32倍。
中國信息通信研究院日前發布的《數字政府一體化建設白皮書(2024年)》(以下簡稱《白皮書》)指出,當前,我國數字政府建設已全面呈現一體化發展態勢。從政策沿革看,數字政府建設正從宏觀到微觀推進一體化建設布局;從服務方式看,政府數字履職應用日益趨向一體化協同聯動;從數據資源看,全國一體化政務大數據體系加快形成;從技術特征看,數字技術全面賦能加速一體化融合;從底座建設看,設施部署明顯趨向一體化共用格局。
在數字政府建設不斷提速的同時,也要看清數據安全問題。
某國家級智慧中樞立足新發展階段、貫徹新發展理念、構建新發展格局,充分利用當地“城市超腦”建設成果,運用大數據、云計算、人工智能等新一代信息技術,構建以應用中樞、數據中樞、AI中樞、共性平臺為核心的“一門戶、三分中樞、一平臺、三體系”的智慧中樞,結合產業服務、城市治理、公共服務的業務應用需求,深化數據資源利用,建設智慧新區應用中樞,統一提供共性技術、業務協同能力,賦能各領域智慧應用。
然而,在該國家級智慧中樞的數據應用過程中,存在著各種亟待解決的安全問題,主要體現在以下幾個方面:
● 沒有建立清晰的數據資產登記簿,未明確敏感數據的分布情況;參與人員眾多,賬號權限不明確,缺乏對數據應用場景的梳理;
● 數據分類定級不統一,缺乏統一標準,缺乏基于分類分級的安全管控措施與防護策略;
● 流轉的數據量大,被頻繁訪問、使用和共享,在管理與技術層面均對潛在的數據安全風險缺乏清晰認識;
● 盡管部署了一系列數據安全產品,但缺乏體系化的安全策略,未能對智慧中樞的數據資產進行有效監測與保護。
為解決某國家級智慧中樞在業務發展和安全之間的矛盾,昂楷科技根據實際情況對數據資產進行全面的摸底調查,梳理了數據資產清單;建立了統一的政務數據分類分級標準,從數據的整個生命周期出發開展數據安全風險評估,全面梳理各數據應用場景存在的風險,并明確不同敏感級別數據的安全管控策略和措施,構建了不同場景下的數據安全管理與技術防護體系。
通過各種手段如資料收集、文檔梳理、人員訪談、工具梳理、核實驗證等方式全面梳理了數據資產、敏感數據的存儲方式與位置、數據庫賬號權限情況,形成了清晰明了且完整的《數據資產清單》《數據庫賬戶及權限清單》和《敏感數據庫分布清單》,為后續的數據分類分級工作開展提供基礎保障。
參考昂楷在政務數據分類分級上的最佳實踐經驗,結合智慧中樞的業務特性和實際安全建設規劃,制定了統一的數據分類分級指南,并完成了數據分類分級標識,形成了數據分類分級清單,為智慧中樞的數據安全分級防護提供了指導依據。
通過對數據資產的全面梳理和審核,識別敏感資產的訪問狀況,對數據庫漏洞進行了掃描,得出數據資產的綜合評估。同時,結合業務流程,對數據處理活動和應用場景展開梳理,通過資產、威脅和脆弱性三要素的關聯分析,評估各資產所面臨的安全風險,形成了智慧中樞的重要資產清單、威脅清單、脆弱性清單和風險評估報告。
此次數據安全風險評估對智慧中樞各數據安全隱患進行全面“體檢”,為后續制定數據安全防護策略提供了依據,同時本次實踐也為智慧中樞制定一份“自檢方案手冊”。
根據綜合的數據分類分級和數據安全風險評估結果,構建了一套四級層次的數據安全管理制度體系,即“一級方針與策略、二級管理制度與辦法、三級管理流程與方案、四級日志與表單”。同時,基于現狀調研和評估結果,梳理智慧中樞的數據流轉圖,并制定與數據采集、傳輸、存儲、處理、交換以及銷毀相對應的安全策略,全面保障了智慧中樞的數據安全。
某國家級智慧中樞的建設打破內部的“數據壁壘”,連接了省市相關部門的系統通道,實現了全區信息資源的全面歸集和整合。而昂楷科技的數據安全體系化服務為新區數據價值的充分釋放,產業發展、城市治理和公共服務等領域數據應用提供了全面的安全保障基礎!
