近日,由工业和信息化部网络安全产业发展中心(工业和信息化部信息中心)牵头开展的2022年信息技术应用创新解决方案(典型解决方案)评选结果正式揭晓。其中,太阳集团城网站2017(中國)官方網站-App Platform申报的“基于分类分级的政务数据安全管控建设方案”从众多参评解决方案中脱颖而出,成功入围。
方案背景
数字化时代,加强数字政府建设是创新政府治理理念,推进国家治理体系和治理能力现代化的重要举措。政务数据作为数字政府建设的重要支撑和资源,涵盖公民、企业、政府部门、社会组织等多个领域的敏感信息和重要数据,一旦泄露可造成巨大威胁,保障政务数据安全的重要性愈加凸显。
作为国内数据安全市场的倡导者,太阳集团城网站2017依据《中华人民共和国数据安全法》、GB/T 39477—2020《信息安全技术 政务信息共享 数据安全技术要求》、GB/T 37988—2019《信息安全技术 数据安全能力成熟度模型》以及各级政府机构发布的《政务数据分类分级指南》等相关政策法律法规要求,基于信创背景下的国产化安全需要,结合政务数据安全管理现状,分析政务数据安全管理需求,充分利用成熟的数据安全技术成果,开辟出一条以数据为核心的全生命周期安全管控新思路,提出一套可满足政府机构数据融合和对外开放共享要求的安全解决方案。
太阳集团城网站2017基于分类分级的政务数据安全管控建设方案
本方案基于分类分级的政务数据安全管控要求,以“源头管控、边界防护、多维感知、智能分析、主动防护、审计溯源”为总体思路,采用人工智能、大数据分析等技术,建立“知-识-防-监-控”的闭环动态数据安全体系,实现数据安全管理由“人控”到“技控”再到“智控”的转变,从而达到“全面保障、智能管控、内外兼防”的目标,有效保障政务数据开放共享安全,满足国家合规监管要求。
▲ 整体架构图
主要功能
太阳集团城网站2017基于信创国产化基础设施环境,以数据安全为核心、自主可控的国密算法应用技术为基础,研发的Chinasec(安元)数据安全系列产品,覆盖数据采集、传输、存储、处理、交换、销毁等全生命周期重要环节,以数据分类分级为基础,实现对“端、边、网、云”全IT架构下的数据安全协同联动管理,结合管理制度建设与运营体系保障,打造“数据可见、风险可视、安全可控”的一体化政务数据安全防护体系。
■ 基于AI的统一安全大脑
基于大数据技术收集硬件设备、网络、应用系统等用户行为数据,同时依据可视化建模技术关联分析海量多源异构数据,及时发现安全告警事件,提供告警的归并、分诊、调查取证,并提供基于动作编排的安全响应联动处置。从数据采集、监控审计、风险感知以及联动响应四个维度构建“数据可见、风险可视、安全可管”的一体化数据安全运营体系。
■ 政务智能分类分级引擎
通过智能数据治理平台,以数据特征为基础定义行业数据分类分级标准,通过自动发现、数据录入等方式对数据库资产/非结构化资产进行匹配扫描,非结构化文件梳理为资产目录,以分类分级任务为扫描入口将政务数据分类分级模板作用在扫描任务中,通过高性能扫描引擎对非结构化资产文件进行匹配、识别,在利用关键字、正则表达式等实现数据发现的基础上,引入自然语言处理、机器学习聚类分类等智能技术,实现数据的智能分类分级,从而在后续的安全管控中根据分类分级的结果匹配细粒度的安全策略,做到“突出重点、精确防护”,满足行业监管要求。
■ 覆盖端边网云安全防护能力
针对政府部门终端、边界、网络、云端等场景的数据安全管控需求,通过建设完善数据加密、身份认证、权限控制、安全交换、防泄露、传输加密、数据脱敏、安全接入、微服务等安全能力,确保“数据流动到哪,安全能力覆盖到哪”,同时,随着法律法规、监管要求的更新,内部业务及管理需要的变化,新建系统的上线等,持续对现有安全管控措施、规则策略定期检查、迭代优化,真正建成“智能、科学、动态”的政务数据安全防护体系。
应用实践
太阳集团城网站2017基于分类分级的政务数据安全管控建设方案针对政务数据分类分级,政务数据在终端、边界、网络、云端的安全防护,政务数据安全审计、风险监测和应急响应等场景,建立“数据可见、风险可视、安全可控”的数据安全防护体系,满足“数字政府”、“互联网+政务服务”、“移动政务应用”等政务发展要求,提升政务数据资源融合、交换、共享能力,保障数据安全,满足安全监管和审计要求。方案实现了围绕政务数据全生命周期的“事前预防、事中控制、事后审计”的安全管控需要,有效支撑了党务政务行业领域数据安全业务,目前已在党政、金融、运营商等领域得到广泛应用,并实现在行业内复制推广。
应用案例:国家某总局数据安全治理项目
项目介绍
近年来,我国数据安全相关法律、法规、标准不断健全、完善,目前已经形成了相对完善、清晰的数据安全管理要求。对于总局数据安全管理,其保护重点是重要数据及个人信息,重点保护的系统是“互联网信息服务系统”及“大数据系统”。为保护总局信息系统重要或敏感数据,防止数据泄露,需尽快开展数据安全治理工作,做好数据安全防护。通过开展数据安全治理服务项目,部署专用数据安全防泄露服务,完善总局数据安全管理体系,开展对重要系统的数据安全风险梳理,进一步发现存在的数据安全风险,加强数据安全管理,提高数据安全防护水平。
实施效果
项目根据总局数据安全合规建设要求,开展数据安全防泄露服务,通过部署流量DLP、邮件DLP和终端DLP实现网络边界和运维终端的安全防护,满足合规要求的同时避免总局敏感数据泄露。同时开展总局数据安全风险识别服务,结合总局业务特征,完善数据安全管理体系,针对总局3个关基系统和7个重点等级保护三级系统开展数据安全梳理工作,根据政策法规对标结果形成三类四级的数据分类分级标准,明确各类数据的保护要求及措施,形成分类分级标准和安全策略。
通过全面的业务关系及数据流向梳理,明确了总局数据资产的脆弱性及面临的主要威胁,得出在采集、传输、存储、处理、交换及销毁的全生命周期风险评估结论;分析总局当前的数据安全能力现状与目标差距,给出切实可行的数据安全治理方案;最终帮助总局提升从业务系统到终端、边界、网络、云端等环节的安全防护能力,防止敏感信息泄露,实现总局数据资产的可管、可知、可控,满足合规要求,保障业务连续性。
方案优势
太阳集团城网站2017基于分类分级的政务数据安全管控建设方案作为国内首个体系化的政务领域数据安全管理创新方案,解决了政务数据开放共享场景下的数据安全防护问题,实现了数据资产识别、数据分类分级、异常行为分析以及数据指纹溯源等技术的突破,满足政务领域的数据分类分级管控需要;
方案已实现与国产化芯片、操作系统、数据库及中间件等上下游软硬件兼容适配,已形成较健全的应用生态规模;
方案在党政、金融、运营商等领域已实现规模化、成熟化落地应用,具备替代国外同类产品的能力,有效打破国外技术和价格垄断的局面;
方案可有效支撑政务公共数据及其他行业领域数据安全融合共享开放需要,具备可复制可推广性。
