4月13日-14日,由國家信息中心、中國網絡空間安全協會指導,國家網絡安全人才與創新基地、《信息安全研究》雜志社主辦的“數字政府安全建設高峰論壇暨關鍵信息基礎設施安全防護專家認證培訓”(以下簡稱“高峰論壇”)在武漢圓滿舉行。
北京市海淀區網信辦劉杰副主任,鄭州大學網空學院院長、中國計算機學會安全專委會常務委員胡傳平,武漢大學網絡空間安全學院黨委書記趙波,國家信息中心信息與網絡安全部政務外網安全監測處處長劉蓓,國家信息中心研究員李新友等出席并發言。國家信息中心辦公室副主任呂欣研究員主持論壇。
北京明朝萬達科技股份有限公司政企事業部技術總監受邀出席此次論壇,并做《政務數據安全合規與防護體系建設》分享。此次演講中,王總從頂層規劃及政策要求、數據價值及安全風險、法律法規及技術標準幾個維度,介紹了當前數字政府發展現狀和所面臨的數據安全問題,以及國家為應對安全風險在制度、立法、標準體系等層面的布局。
他介紹到,政府治理現代化是國家治理現代化的核心所在,數字政府建設是實現政府治理現代化的重要支撐。眾所周知,進入數字時代,數據不僅是重要的生產資源,更是重要的執政資源。據相關調研資料顯示,我國城市政務大數據發展快速,取得了顯著的成績,但由于存在數據管理政府部門眾多,管理手段不適應等問題的存在,要實現挖掘數據資源形成數據資產創造數據價值還需要更多探索。而國家數據局的組建就意味著國家對數據要素乃至數字經濟的發展真正進入了落地階段。
王總認為,數據對當今經濟社會發展的重要性日益凸顯,數據安全形勢愈發嚴峻,面對層出不窮的各類數據安全事件,如何有效應對和解決數據安全應用和管理就成了擺在各級政府單位面前的一項重要問題。針對數據面臨的安全風險,我國目前已經形成了以總體國家安全觀為指導思想,以“五法一條例”為法律保障,相關技術標準為指導的中國特色數據安全管理體系、治理體系。其中,《數據安全法》作為我國首部數據安全領域的基礎性立法,貫徹落實總體國家安全觀,聚焦數據安全領域的風險隱患,加強國家數據安全工作的統籌協調,確立了數據分類分級管理,數據安全審查,數據安全風險評估、監測預警和應急處置等基本制度。
在國務院2021年印發的《關于加強數字政府建設的指導意見》中,進一步明確了以數字政府建設全面引領驅動數字化發展等七方面重點任務,將“構建數字政府全方位安全保障體系”作為第二位重要任務來部署,提出:全面強化數字政府安全管理責任,落實安全管理制度,加快關鍵核心技術攻關,加強關鍵信息基礎設施安全保障,強化安全防護技術應用,切實筑牢數字政府建設安全防線。并提出了“強化安全管理責任、落實安全制度要求、提升安全保障能力和提高自主可控水平”四方面具體要求。他強調,構建數字政府全方位安全保障體系需要國家機關、重要數據處理者、關鍵信息基礎設施的運營者、從事數據交易中介服務等多方協力,共同推進。
近年來,新技術應用對政務數據安全防護所起的作用越來越大。鑒于此,國家標準《信息安全技術—政務信息共享—數據安全技術要求》(GB/T 39477-2020)順勢出臺,對政務數據安全技術要求和基礎設施安全技術要求。明朝萬達作為中國新一代信息安全技術企業的代表廠商,基于對數據安全的深入研究和探索,結合新形式下安全防護工作發展趨勢,提出了以“數據”為核心的數據安全治理(DSG)方法論,并圍繞數據安全生命周期各個階段進行建設,形成了成熟可落地的數據安全治理體系。他強調,在數據安全建設體系中,組織建設、制度流程、技術工具、人員能力這4個領域需要同步開展建設工作,針對每個領域的不同目標和任務進行了簡單介紹,以幫助參會人員更好的理解和掌握。明朝萬達數據安全治理體系建設可分為數據資產摸底、數據分類分級、數據安全風險識別、數據安全防護規劃和持續運營5個過程。
數據摸底主要是對結構化、半結構化以及非結構數據進行元數據梳理,結合業務輸出數據資產清單;數據分類分級則是對標相關法律法規,輸出分類分級標準規范,對摸底階段的數據資產進行分類分級,形成分類分級表;數據風險評估是基于企業組織現有的網絡架構、安全現狀以及數據使用場景,采用Stride模型進行數據安全風險分析評估,形成風險評估報告;數據安全防護階段,針對數據分類分級結果,以及風險評估評估報告,構建數據安全管理體系和技術體系;最后是持續運營的過程。
明朝萬達政務大數據安全治理建設以落實政務大數據安全分級分類制度為根本目標,以加強政務數據安全組織保障為基礎條件,以數據生命周期管控為技術手段,以數據安全運營為重要支撐,全面落實國家政務數據安全治理合規要求。數據安全治理體系建設圍繞數據采集、數據傳輸、數據存儲、數據處理、數據交換共享與公開披露、歸檔與銷毀等數據全生命周期過程,分為基礎防護建設、策略優化及能力提升建設、數據安全管控平臺建設三個建設階段。隨后,他以某大數據安全平臺建設項目為例,向參會人員介紹了明朝萬達數據安全治理解決方案在實際政務辦公場景中的應用效果。最后,王總總結了明朝萬達對政務數據安全建設的思考和建議:
觀點一、安全建設由合規為主轉變為合規為底。
觀點二、安全建設由外圍網絡建設轉變圍繞業務數據。觀點三、安全建設首要建立全量數據分類分級治理體系。觀點四、安全建設需要依賴持續化的運營能力提供保障。觀點五、安全建設需要結合人工智能大數據等新技術支撐。
