進(jìn)入數(shù)字經(jīng)濟(jì)時(shí)代，數(shù)據(jù)成為關(guān)鍵生產(chǎn)要素，數(shù)據(jù)價(jià)值日益凸顯，數(shù)據(jù)安全事件日益頻發(fā)，對(duì)政府、企業(yè)組織及個(gè)人在政治經(jīng)濟(jì)生活等各方面造成巨大的損害。政府部門擁有海量數(shù)據(jù)資源，政務(wù)數(shù)據(jù)安全保障成為一個(gè)必選項(xiàng)，如何全方位構(gòu)筑數(shù)據(jù)安全，為數(shù)字經(jīng)濟(jì)保駕護(hù)航，也已被提升到了國(guó)家戰(zhàn)略高度。

2021年9月1日實(shí)施的《數(shù)據(jù)安全法》規(guī)定：

1.對(duì)政務(wù)數(shù)據(jù)的“安全與開放”作出規(guī)定，明確了國(guó)家機(jī)關(guān)相關(guān)行為規(guī)范，包括“在法定職責(zé)內(nèi)收集使用數(shù)據(jù)，……數(shù)據(jù)依法保密”（第三十八條）；

2.“建立健全數(shù)據(jù)安全管理制度，落實(shí)數(shù)據(jù)安全保護(hù)責(zé)任，保障政務(wù)數(shù)據(jù)安全”（第三十九條）；

3.“國(guó)家制定政務(wù)數(shù)據(jù)開放目錄，構(gòu)建統(tǒng)一規(guī)范、互聯(lián)互通、安全可控的政務(wù)數(shù)據(jù)開放平臺(tái)”（第四十二條）。

2021年11月1日實(shí)施的《個(gè)人信息保護(hù)法》針對(duì)個(gè)人信息數(shù)據(jù)安全防護(hù)以專門章節(jié)對(duì)國(guó)家機(jī)關(guān)處理個(gè)人信息做了特別規(guī)定。同時(shí)，各省市出臺(tái)的標(biāo)準(zhǔn)、規(guī)范等針對(duì)個(gè)人數(shù)據(jù)、公共數(shù)據(jù)等數(shù)據(jù)收集、加工、共享、開放、交易、應(yīng)用等數(shù)據(jù)安全要求，以及政務(wù)服務(wù)數(shù)據(jù)管理部門的數(shù)據(jù)安全職責(zé)也作了更詳細(xì)的規(guī)定與要求。

· 需求與挑戰(zhàn)

政務(wù)大數(shù)據(jù)中心集中存儲(chǔ)著大量個(gè)人隱私數(shù)據(jù)、敏感數(shù)據(jù)、機(jī)密數(shù)據(jù)以及分析后的價(jià)值成果數(shù)據(jù)等。典型政務(wù)數(shù)據(jù)中心業(yè)務(wù)應(yīng)用平臺(tái)架構(gòu)參考如下：

從數(shù)據(jù)全生命周期角度，從管理、制度規(guī)范、技術(shù)等維度，政務(wù)大數(shù)據(jù)中心數(shù)據(jù)安全治理主要關(guān)注需求點(diǎn)參考如下：

為滿足數(shù)據(jù)安全防護(hù)需求，構(gòu)建政務(wù)大數(shù)據(jù)中心數(shù)據(jù)安全治理體系主要面臨以下幾個(gè)方面挑戰(zhàn)：

1）待建立健全數(shù)據(jù)安全組織，明確或完善數(shù)據(jù)安全崗位及責(zé)任，明確或完善數(shù)據(jù)安全建設(shè)戰(zhàn)略目標(biāo)與規(guī)劃，持續(xù)有計(jì)劃有步驟的實(shí)施；

2）待建立健全完整清晰的制度流程規(guī)范，使數(shù)據(jù)安全建設(shè)執(zhí)行與監(jiān)管做到有據(jù)可依；

3）待構(gòu)建覆蓋全數(shù)據(jù)形態(tài)、全數(shù)據(jù)生命周期、全流通環(huán)節(jié)數(shù)據(jù)安全場(chǎng)景的統(tǒng)一的技術(shù)防護(hù)體系，避免產(chǎn)品堆疊、重復(fù)建設(shè)、產(chǎn)品割裂、無(wú)法聯(lián)動(dòng)、無(wú)法合成作戰(zhàn)的問(wèn)題；

4）數(shù)據(jù)安全人員安全意識(shí)及安全能力待提升。

· 數(shù)據(jù)安全治理體系建設(shè)

01.現(xiàn)狀梳理

通過(guò)現(xiàn)場(chǎng)問(wèn)答、問(wèn)卷、技術(shù)工具（數(shù)據(jù)資產(chǎn)梳理與分類分級(jí)、漏洞掃描與分析工具等）對(duì)數(shù)據(jù)安全現(xiàn)狀進(jìn)行梳理。

通過(guò)現(xiàn)場(chǎng)問(wèn)答、問(wèn)卷調(diào)查等，獲取網(wǎng)絡(luò)拓?fù)洹⒕W(wǎng)絡(luò)安全區(qū)域、安全設(shè)備情況、應(yīng)用系統(tǒng)情況、業(yè)務(wù)數(shù)據(jù)使用情況、開發(fā)運(yùn)維安全情況、大數(shù)據(jù)平臺(tái)、數(shù)據(jù)庫(kù)、數(shù)據(jù)流向、制度文檔規(guī)范等信息化建設(shè)及安全建設(shè)現(xiàn)狀。

通過(guò)工具，如采用資產(chǎn)梳理及分類分級(jí)工具進(jìn)行數(shù)據(jù)資產(chǎn)梳理，完成對(duì)數(shù)據(jù)資產(chǎn)全面細(xì)粒度的梳理與掌控：

通過(guò)工具發(fā)現(xiàn)安全風(fēng)險(xiǎn)問(wèn)題（如：密碼明文傳輸?shù)龋?/span>

02.風(fēng)險(xiǎn)評(píng)估

參考《信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型》數(shù)據(jù)安全過(guò)程域體系，并基于政務(wù)大數(shù)據(jù)中心實(shí)際情況構(gòu)建數(shù)據(jù)安全指標(biāo)評(píng)估體系，進(jìn)行定性及定量數(shù)據(jù)安全風(fēng)險(xiǎn)分析評(píng)估，為數(shù)據(jù)安全方案規(guī)劃建設(shè)提供依據(jù)。

數(shù)據(jù)安全過(guò)程域體系：

安全域評(píng)估參考示例如下：

數(shù)據(jù)安全指標(biāo)評(píng)估體系，參考示例如下：

03.差距分析

分析當(dāng)前數(shù)據(jù)安全治理體系建設(shè)與目標(biāo)的差距，如可參考《信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型》能力成熟度等級(jí)3“充分定義”級(jí)要求為基線，識(shí)別與目標(biāo)3級(jí)的差距，指導(dǎo)后續(xù)數(shù)據(jù)安全能力建設(shè)，參考如下圖：

04.方案建設(shè)

通過(guò)規(guī)劃數(shù)據(jù)安全組織管理體系架構(gòu)，制定制度流程規(guī)范體系，建設(shè)數(shù)據(jù)安全技術(shù)防護(hù)體系，數(shù)據(jù)安全運(yùn)營(yíng)平臺(tái)等，進(jìn)行全生命周期數(shù)據(jù)安全治理體系構(gòu)建。

05.組織管理體系建設(shè)

建立相互促進(jìn)、相互監(jiān)督的數(shù)據(jù)安全管理機(jī)制與組織機(jī)構(gòu)，明確崗位人員職責(zé)與能力等。組織管理體系參考示例如下：

06.制度流程體系建設(shè)

制定數(shù)據(jù)安全相關(guān)體系文檔，包括不限于明確數(shù)據(jù)全生命周期管理要求，訪問(wèn)權(quán)限管理，安全人員管理，合作方管理，安全應(yīng)急響應(yīng)，安全風(fēng)險(xiǎn)評(píng)估，安全教育培訓(xùn)等。制度流程體系參考示例如下：

07.技術(shù)防護(hù)體系建設(shè)

通過(guò)構(gòu)建覆蓋采集、傳輸、存儲(chǔ)、處理、共享、銷毀等數(shù)據(jù)全生命周期的技術(shù)能力防護(hù)體系，保障數(shù)據(jù)安全管理意圖可以充分體現(xiàn)，保障政務(wù)大數(shù)據(jù)中心的數(shù)據(jù)安全。技術(shù)防護(hù)體系建設(shè)參考示例如下：

08.數(shù)據(jù)安全運(yùn)營(yíng)平臺(tái)建設(shè)

通過(guò)數(shù)據(jù)安全運(yùn)營(yíng)平臺(tái)建設(shè)，實(shí)現(xiàn)統(tǒng)一的數(shù)據(jù)安全運(yùn)營(yíng)監(jiān)控，數(shù)據(jù)資產(chǎn)態(tài)勢(shì)、安全風(fēng)險(xiǎn)態(tài)勢(shì)、健康態(tài)勢(shì)、脆弱性態(tài)勢(shì)、數(shù)據(jù)流動(dòng)、數(shù)據(jù)分布等實(shí)時(shí)感知呈現(xiàn)，實(shí)現(xiàn)事件分析與挖掘，風(fēng)險(xiǎn)趨勢(shì)預(yù)測(cè)，智能預(yù)警，應(yīng)急響應(yīng)，聯(lián)防聯(lián)控等，參考示例如下：

09.持續(xù)優(yōu)化

數(shù)據(jù)安全治理體系建設(shè)是一個(gè)復(fù)雜的系統(tǒng)化工程，需要根據(jù)實(shí)際情況不斷的進(jìn)行修正、持續(xù)優(yōu)化，如持續(xù)進(jìn)行組織安全職責(zé)的細(xì)化與完善，數(shù)據(jù)安全標(biāo)準(zhǔn)、規(guī)范及指南等修訂，人員數(shù)據(jù)安全意識(shí)與能力持續(xù)提升，數(shù)據(jù)安全技術(shù)防護(hù)體系升級(jí)與更新?lián)Q代等，保障數(shù)據(jù)安全管控措施的持續(xù)有效性。

· 客戶價(jià)值

全面性：進(jìn)行全面的數(shù)據(jù)資產(chǎn)梳理及數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估，為用戶建立完善的數(shù)據(jù)安全管理體系，完善的制度流程規(guī)范體系，提高數(shù)據(jù)安全治理能力。

統(tǒng)一性：構(gòu)建統(tǒng)一的聯(lián)動(dòng)聯(lián)防、合成作戰(zhàn)的數(shù)據(jù)安全防控體系，可應(yīng)對(duì)更加復(fù)雜的數(shù)據(jù)安全威脅及問(wèn)題，提升數(shù)據(jù)安全防控能力。

智能化：構(gòu)建一套AI分析與自學(xué)習(xí)智能化防護(hù)系統(tǒng)，能夠快速對(duì)數(shù)據(jù)安全問(wèn)題進(jìn)行學(xué)習(xí)建模，行為預(yù)判，提高數(shù)據(jù)安全防護(hù)工作效果。

可視化：提供全方位的數(shù)據(jù)安全運(yùn)營(yíng)可視化能力，實(shí)現(xiàn)風(fēng)險(xiǎn)行為的快速識(shí)別與定位。

開放性：方案具備靈活開放的平臺(tái)架構(gòu)設(shè)計(jì)，可利舊，可接入第三方廠商數(shù)據(jù)安全產(chǎn)品。