政务大数据安全解决方案.pptx
《政务大数据安全解决方案.pptx》由会员分享,可在线阅读,更多相关《政务大数据安全解决方案.pptx(43页珍藏版)》请在冰点文库上搜索。
,政务大数据安全解决方案,现阶段对政务安全的几个基本认识对政务安全工作方法的探究与实践,落实39号文的应用场景与模型适用政务大数据上云亟待解决几个问题,目录,现阶段对政务安全的几个基本认识,今天的电子政务安全是指“全业务安全”,数据迁移应用迁移安全迁移,无纸办公,示范工程,新一代(智慧工程),政务服务的时代划分,政务服务的业务迁移,政务大数据与安全已经步入新的发展阶段,数据资源阶段,数据资产阶段,数据资本阶段,数据价值的演进趋势,数据安全模式的发展趋势,保安阶段,保镖阶段,数据银行阶段,互联网发展初期核心特征:
无主、无价、主动公开,网络应用和大数据的逐渐发展核心特征:
有主、有价、有偿交换,国家提出:
建立公共信息资源开放目录,积极推进公共信息资源开放共享核心特征:
数据资源大量汇集,数据成为企业价值主体数据具备投资属性,并可能成为垄断生产要素,出现新的数据应用模式,以边界保护为核心本阶段的数据安全服务称为基础安全服务以区域控制为标识,不区分不同资产的价值差异,以保护数据所有者权益为核心以数据资产所有者为服务目标,以数据资产分级分类为基础,构建重点保护、适度保护的服务体系,以数据安全与交易托管为主要模式在数据资产所有者(个人、企业、政府)和数据资产使用者之间形成的一套第三方数据资产权益保护服务,数据安全智能化,大数据技术在电子政务中的应用,2015年8月31日,国务院以国发201550号印发促进大数据发展行动纲要,纲要中明确要求:
加快政府数据开放共享,推动资源整合,提升治理能力。
基于大数据技术的诸多优势,在电子政务领域,大数据技术主要用于网站数据进行分析,社会诚信系统的构建,信息共享平台与电子政务系统等。
政府网站大数据分析通过用户浏览网站后留下的大量信息,网站一方可以将用户信息存入数据库中,并利用大数据技术对相关信息进行分类,以实现网站信息向用户的精准推送。
信用平台建设依托大数据技术,建立以个人为单位的信息数据库,并通过大数据技术进行对比、整合,进而得出准确的个人信用情况。
政府行为的信用平台建设,旨在掌握用户的个人诚信资料,并为基于个人行为的政府服务工作提供数据支撑,打击社会范围内长期存在的老赖等现象,促进社会道德水平的提升。
大数据交换共享平台与电子政务依托大数据技术在多元数据收集、处理方面的优势,帮助政府通过网络获取社会各领域的相关数据,并对数据资源进行有效整合,形成庞大的数据库资源。
政府部门利用大数据交换共享平台的优势,建立以政府事物为中心的社会基础数据库,为政府相关工作的开展提供横向、纵向信息的全方位共享。
电子政务决策系统利用计算机软件技术,通过对庞大数据中有关数据的筛选、分析,经过计算机软件的处理之后,能够得到更加准确的计算结果,政府部门依据这一结果,就可以完成一系列的政府决策,从而实现了政府办事效率的快速提高。
现阶段大数据技术在电子政务应用中存在的问题,当地区政府在大数据技术方面的投入与实际数据需求偏低时,就会出现所谓的数据资源“过剩”的问题;在大数据技术投入不足的情况下,政府部门无法对社会中存在的大量数据加以利用时,也就形成了数据资源“闲置”的问题。
电子政务大数据应用的模式需要探索,产业链尚未形成;,大数据技术的核心在于对数据信息的共享。
然而,有地方政府对大数据技术的认识不足,,以至于在数据共享方面存在政策性的理解偏差,数据无法实现共享,造成“数据孤岛”现象;,政府大数据相关法规缺乏,数据安全与隐私问题;,数据孤岛,数据资源“过剩&“闲置”,数据安全与隐私,产业链未形成,大数据技术在电子政务应用中的发展方向,加强对大数据的收集和管理:
明确数据收集的范围;掌握数据收集的方法;制定数据收集的制度;建立政府大数据采集更新机制;,加强政府职能转变和服务创新:
对于政府网站的呈现给浏览者的数据进行系统分析,有效利用;对各级政府网站日志里呈现出的数据进行系统分析,掌握群众对政府网站的需求;,建立大数据信息安全保障体系:
加强核心技术自主可控;加强数据安全和隐私保护,加快推进大数据的立法工作,防止政府大数据被滥用;,构建国家政府大数据基础平台:
构建统一的,促进数据开放和共享,奠定国家大数据应用的基石。
积极推进电子政务大数据示范应用:
以跨部门综合性应用为重点,通过试点示范,快速形成一批电子政务大数据应用案例。
1加强对大数据的收集和管理,2提高对大数据的系统分析和利用,3建立大数据信息安全保障体系,关注国家政务服务平台解决方案,制度和标准体系,安全和运维保障体系,用户,服务门户,业务应用层,公共支撑层,基础设施层,政务服务管理系统电子监督管理系统,统一身份认证,统一电子印章,电子证照共享,资数,源据共资享,源服,务层中心,数据共享、支撑、交换服务平台,信息资源库,用户体验监测系统用户访问、画像、推送等系统,服务评估系统数据采集、分析、管理等系统,监督规则、督查督办等系统,动态管理、汇聚管理等系统,网络,事项信息办件信息证照信息库单点登录信息共享资源汇聚人口库法人库空间地理信用信息库投资项目公共资源国家企业信用信息库在线审批交易平台信息公示系统各地区/各部门政务服务平台试点部门信息系统对接改造国家基础信息库国家重点信息系统相关外部信息系统,中国政府网、国务院客户端衔接与改造,国家网上政务服务工作门户工作门户APP,析决策分业务分分析分析支构建支,大数据分系析服务析服务引擎撑服务撑服务统,国家电子政务外网,CA,政务信息数据交换支援目录传输系统,国家统一数据共享交换平台互联网,互联网出口,公有云,自然人/法人/其他社会组织国家网上政务服务界面国家网上政务服务界面移动应用,政务服务平台工作人员,管理人员,“一顶、三总、两实践基础”,是国家政务服务“顶层平台”,是国家政务服务的“总入口”,是国家政务服务的“总枢纽”,是国家政务服务的“总目录”,国家政务服务平台的持续健康发展奠定实践基础,国家政务服务实现跨越式创新发展奠定实践基础,国家级重要信息系统对抗国家级攻击,政务大数据安全应关注权益保护的“新”视角,数据资产权益概念首次提出,1,2数据资产权益保护基本要求,数据资产权益保护的新目标,3,对政务安全工作方法的探究与实践,关注网络安全的核心驱动力,我们可根据核心驱动力的不同,划分出三个不同的网络安全“市场”,利益驱动,代价驱动,合规驱动,没有网络安全就没有“生意”,如银行业、电商等;真实的需求解决实际的问题,体系化的安全理念、技术、产品及服务的孵化器。
业务+安全专家,没了网络安全就没了“生意”,如国家基础网络、军工等;迫切的需求解决现实的问题。
针对性的技术、产品及服务的全面快速深化应用。
行业安全风险专家,安全政策+创新应用专家,网络安全是国家要求和责任,如部委等分保工作等;规定动作解决要求落实问题。
成熟的产品、服务和解决方案和“创新”的应用。
如何落实网络安全政策法规要求,传统的合规性驱动政务模式,信息安全管理工作模型,要求方面11方面,327个要求项策略方面技术防护策略43份管理制度文件14份;建设阶段8大类,55个建设工作项;测评阶段700余证据支撑;以上,共计五本实施指导书,70余万字;,某应用场景支撑实践:
如何落实国家对数据安全的要求,实施国家大数据战略,把大数据作为基础性战略资源,全面实施促进大数据发展行动,加快推动数据资源共享开放和开发应用,助力产业转型升级和社会治理创新。
“十三五”规划纲要,信息化发展战略纲要,网络安全法,政务信息系统整合共享实施方案,规范和指导未来10年国家信息化发展的纲领性文件,在数据方面指明了一个非常重要的方向,即数据这一核心信息资产将作为新的生产要素投放社会,促进国家经济腾飞和持续健康发展。
建立信息资产权益保护制度业务应用与数据管理分离.,围绕“以数据为中心的安全”做了广泛而具体的规定,网络安全法的第二十一条对数据安全作出明确说明:
网络运营者应当按照网络安全等级保护制度的要求,防止网络数据泄露或者被窃取、篡改。
采取数据分类、重要数据备份和加密等措施。
以让企业和群众少跑腿、好办事、不添堵为目标,按照“五个统一”的原则,推动政务信息系统整合共享。
加快建设电子政务内网数据共享交换平台,完善电子政务外网数据共享交换平台,建立全国政务信息资源目录体系。
国内外数据保护立法史,国家政策要求,发文机关中共中央办公厅国务院办公厅,国务院,序号1234,政策名称关于全面推进政务公开工作的意见国家信息化发展战略纲要促进大数据发展行动纲要的通知国务院关于印发政务信息资源共享管理暂行办法的通知,567,日期2016.2.172016.7.272015.8.312016.9.52016.9.252016.12.152018.7.25,8,国务院关于加快推进“互联网+政务服务”工作的指导意见国务院关于印发“十三五”国家信息化规划的通知国务院关于加快推进全国一体化在线政务服务平台建设的指导意见国务院办公厅关于转发国家发展改革委等部门推进“互联网+政务服务”开,2016.4.14,网、一门、一次”改革实施方案的通知,数据资产权益保护的基本模型,(侦听设备),(扫描设备),管理信息,基础配置信息,行为动态信息,运维管理,安全管理,权益保护,专项治理,数据资产治理小组,数据资产运维人员,数据资产安全管理人员,数据资产所有者,(堡垒机设备),操作管理,数据资源扫描结果,网络流量分析结果,数据资产操作人员,首次清查定期核查,人员登录,数据库资产相关信息,人员账号相关信息,应用账号资产权益登记相关信息,人员操作记录,操作日志,行为声明,行为热词,资产所有者声明,核心数据库(1%)应用底账,数据库底账维护,人员底账维护,资产管控信息同步,数据库管理,数据资产权益声明,应用底账维护,人员操作相关信息,在线侦听,资产补登记,死数据库清理,资产准入准出,数据资产展示,数据流向展示,处,流向流量异常理,人员准入准出,人员账号展示,异常人员处理,人员行为展示,人员行为审计,应用行为审计,应用账号展示,数据资产认领,应用行为展示,数据资产权益声明,数据脱敏,应用准入准出,人员信任关系声明报告审定与处置异常应用处置,职责分工,策略设定,设备部署,资源清查,历史数据封存,资源统计报告,启动常规管控,系统登录,数据资产管控,人员许可管控,操作行为声明,操作行为记录,数据资源信息,人员操作记录,管理策略信息,数据资产信息,数据资产信息,数据资产信息,数据资产信息全数据库(100%)资产底账数据库热度信息数据库流向信息数据库效益信息数据库风险信息重要数据库(10%)人员底账人员热度信息人员行为信息人员行为审计信息应用行为审计信息,数据库人员信任声明,应用热度信息应用行为信息,人员管理,应用管理,数据资产权益保护的服务需求,信息安全部门数据资产安全管理手段实现重要数据保护、重要人员管控、重要应用监控,大数据管理部门数据资源监督管理手段实现整体布局调配和总体效益评价,业务主管部门数据资产权益管控手段实现数据价值管理、分级可视化控制,运维服务部门数据资源运维管理手段实现全部数据库、重要人员和核心应用的准入准出和全过程管理,四个对象四个需要,数据流动安全监管相关角色分析,同一场景下的不同用户角色不同同一用户在不同场景下的角色不同,数据所有者数据普查(查看)数据分级分类(执行)数据画像(查看)数据质量评价(查看)数据资产效益评价(执行)数据授权数据权益,数据监管者数据普查(查看)数据分级分类(查看)数据准入准出(查看)数据画像(查看)数据审计追溯,数据提供者数据准入准出(执行)数据加密及脱敏提供,审计,数据运营者数据普查(执行)数据画像(分析)数据质量评价(分析)数据资产效益评价(分析)数据监控申请共享,数据使用者数据分级分类(执行)数据准入准出(执行)数据质量评价(执行)授权,数据资产管理的五个成熟度,1底账管理级实施历史数据底账封存制度,并设置历史底账清理率管理指标,通过行政手段逐步推进历史数据清理工作。
数据资源普查登记具,针对100%数据资产实施数据资源准入准出管理,具体分析数据流量、流向、效益,形成全过程运维安全管理。
2运维管理级,信息系统准入管理系统,3安全管理级针对10%的重要数据资产实施人员准入准出管理,并具体分析人员账号的行为和活跃度。
实施人员敏感操作许可审计、异常人员行为处置。
人员行为许可管理系统,4权益监管级针对1%的核心数据资产实施应用准入准出管理。
含:
数据资产注册与权益声明,资产、人员、应用准入许可,审计报告处置等。
数据资产电子围栏系统,5效益评价级针对数据资产流量、流向、访问数量、数据增长量、数据利用率等指标的统计分析,可支持数据资源社会交易和效益评价。
流量监管与效益评价系统,数据资产权益保护思路:
“数据流动安全监管”是基础,数据资产权益保护的原则为:
分级分类、重点保护、适度保护。
结合实践经验将该原则进行适应性演化,提出“1990原则”,即将数据资产按敏感程度划分为:
核心数据、重要数据和一般数据。
权益保护:
以数据价值驱动,采集阶段传输阶段存储阶段处理阶段交换阶段销毁阶段,传统思路:
以数据流程驱动,数据资产管理的基本支撑技术,人员操作行为审计技术,数据在线侦听技术,机器学习技术,数据脱敏技术,可通过当前的安全扫描产品实现替代,可通过当前的应用防火墙等带有协议分析功能的旁路流量设备实现替代,可通过当前的堡垒机增加行为管理实现替代,成熟的产品,通用机器学习技术的应用实例,落实39号文的应用场景与模型适用,政务信息系统整合共享方案,自查清理阶段的工作及产品服务支撑,推动:
办公厅关于开展国有数据资产普查登记工作的通知产品:
数据资产自查登记系统服务:
数据资产底账自清理服务手工梳理底账量大且不准确,需要“数据资源扫描产品”的技术支撑。
换位到各单位信息化部门视角,出现“数据资产普查登记”工具的基本需求。
数据资源补登记功能,数据资源扫描产品,资源目录报告,(数据资产普查登记工具),核查整改阶段的工作及产品服务支撑,数据资源扫描产品,数据资产核查整改系统,被核查部门申报情况导入核查结果与申报数据比对核查部门下达整改通知书,联动,推动:
大数据局关于开展国有数据资产核查工作的通知产品:
数据资产核查整改系统服务:
检查标准和检查服务39号文件下发了,如何落实?
报的数据准不准?
有没有成功经验可推广?
换到大数据管理者视角,出现“数据资产核查整改系统”的需求。
常规维护阶段的工作及产品服务支撑,推动:
国家电子政务数据中心评测规范产品:
信息系统准入准出和使用质量管理系统服务:
数据管理成熟度标准和数据运维托管服务用户每年普查登记并接受核查整改,少部分会常态化管理,建立信息资产准入准出制度的需求,出现“信息系统准入和使用率管理系统”的需求。
网络侦听协议分析设备,准入和使用管理系统,准入准出管理,使用质量监控,资产底账核查,联动,设备人员数据应用,新增资产发现,使用监控展示,僵尸资产发现,权益保护阶段的工作及产品服务支撑,推动:
国家电子政务工程项目安全运行质量检测产品:
数据资产权益保护系统、互联网+监管系统服务:
数据安全对抗检测服务和数据安全托管服务后“整合共享”时代,会出现数据资产权益保护的“新”需求。
遵循“分级分类、重点保护、适度保护”理念,需要服务和产品方面的准备与突破。
政务数据支撑平台,政务服务支撑平台,数据资产权益保护系统互联网+监管系统(数据银行),资产安全托管,数据权益保护,关注管理+服务+监督的协同推进,39号文件的落实,应统筹考虑管理部门的统一部署、服务部门的产品与技术保障、监督部门的检查促进等多方合力,逐步提高数据管理的成熟度,保障数据资源的充分开发和有序利用。
落实39号文需要以下几个阶段的工作。
社会效益、经济效益评价阶段(流量帐),常规维护阶段(活帐),核查整改阶段(对账),自查清理阶段(死帐),数据资产权益保护阶段(流动监管帐),推动:
办公厅关于开展国有数据资产普查登记工作的通知服务:
数据资产底账自清理服务,推动:
大数据局关于开展国有数据资产核查工作的通知服务:
检查标准和检查服务,推动:
国家电子政务数据中心评测规范服务:
数据管理成熟度标准和数据运维托管服务,推动:
政务信息系统整合共享效益检查评估工作的通知服务:
政务信息系统整合评估规范和监督检验服务,推动:
国家电子政务工程项目安全运行质量检测服务:
数据安全对抗检测服务和数据安全托管服务,关注数据资产管理的成熟度发展趋势,底账管理级,运维管理级,安全管理级,效益评价级权益监管级,能力级别,公共特征,数据资源普查登记工具实施历史数据底账封存制度,并设置历史底账清理率管理指标,通过行政手段逐步推进历史数据清理工作;,信息系统准入管理系统针对100%数据资产实施数据资源准入准出管理,具体分析数据流量、流向、效益,形成全过程运维安全管理;,人员行为许可管理系统针对10%的重要数据资产实施人员准入准出管理,并具体分析人员账号的行为和活跃度。
实施人员敏感操作许可审计、异常人员行为处置;,数据资产电子围栏系统针对1%的核心数据资产实施应用准入准出管理。
含:
数据资产注册与权益声明,资产、人员、应用准入许可,审计报告处置等;,流量监管与效益评价系统针对数据资产流量、流向、访问数量、数据增长量、数据利用率等指标的统计分析,可支持数据资源社会交易和效益评价;,关注未来数据流动安全监管的目标实现,自查清理阶段,核查整改阶段,社会效益、经济效益评价阶段,数据资产权益保护阶段,数据资产权益保护关键阶段底账常规维护阶段,数据扫描,数据在线侦听,数据流动安全监管基本支撑技术数据脱敏,人员操作行为审计,可信计算,数据资源阶段数据普查数据画像数据权益数据监控数据授权数据资源报告,数据资产阶段数据资产分级分层数据加密及脱敏数据准入准出数据审计追溯数据资产报告,数据流通阶段数据加密及脱敏数据准入准出数据审计追溯数据交换标签数据流动地图数据共享报告,数据托管阶段数据银行数据资产权益保护数据资产安全托管,数据所有者,数据提供者,数据运营者数据流动安全监管阶段,数据使用者,数据监管者,政务大数据上云亟待解决几个问题,问题一:
责任边界与信任边界不统一,互联网企业,安全服务能力,云服务能力,数据权益托管服务(数据安全主体)数据银行,党政机构国有企业数据权益托管服务联以合国体有为主体的服务联合,体,(国有数据银行)安全运行部门,云服务能力,云服务能力,投放回收监管,数据资产所有者(最终责任人)存款人,数据运营托管服务(数据服务主体)贷款人,数据资产管理权,数据资产使用权,问题二:
大数据的分责确权问题,国家数据资源、企业数据资产、个人隐私信息,权利,义务,责任边界,保障与监督,数据所有人是谁数据管理人是谁云数据计算服务托管权益监管人是谁云数据权益保护托管数据使用人是谁,国家平台的分责确权实践,国家政务服务平台的数据及其衍生物属国办所有,国办也是网络安全的最终责任人。
在任何云环境和服务方式下,数据资源的司法管辖关系(数据主权)不变,资源所有权不变,安全管理责任不变,安全管理要求不变。
进一步明确各种服务模式下双方对计算资源的控制范围和安全责任的边界。
国家平台的分享问效,国家政务一期工程先期上线了四大应用政务服务事项管理系统、电子监督管理系统、服务评估系统、用户体验监测系统。
其中,有三个带有明显的“问效”色彩。
数据安全应是问效对象,同时,也应考虑把大数据应用效益纳入数据安全管理的范畴,这就是“数据资产准入准出和使用质量评价”,也是连接大数据安全与应用的纽带。
信息安全和数据应用的统一认识“解决数据资源开发利用不足和无序滥用的矛盾”,现阶段矛盾的主要方面还是国家大数据资源的充分开发利用,更是问效对象。
问题三:
分级分类、重点保护、适度保护,一般数据90%,核心数据1%,公有云,私有云重要数据9%云一体机,脱敏,数据,准入,准出,资源级管理(授权管理),人员级管理(许可管理),应用级管理(访问控制),数据资产管理的基本原则,在能够做到策略绑定和精准脱敏的前提下:
一般数据可实施效益评价级管理;(完全放开)重要数据可实施人员授权级管理;核心数据可实施行为许可级管理。
在大数据环境下的脱敏,应能够对抗“大数据对碰”和“数据源背景对碰”等非常规手段的攻击。
1990原则,分级分类重点保护适度保护,分级分类保护的基础手段:
数据权益标识和统一脱敏接口,数据三级接口(核心、重要、公开)分级标识及脱敏策略绑定所有权标识及权益保护声明,数据资源,脱敏后的数据调用接口信息,数据分级信息和脱敏策略,数据所有者权益信息,数据资源基础信息,数据资产权益保护层(业务应用与数据管理分离),云一体机,终端/主机,重要9%,服务器,公开90%,数据分级接口汇聚层,核心1%,私有云,公有云,注:
核心数据须提供重要、公开级数据接口;重要数据须提供公开级数据接口;在数据权益保护层实现分级汇聚;权益保护层标识与数据资产不可分离!
国家平台的数据分级布局与防护,用户通过数据共享服务获取数据。
可理解为,统一接口分享的是服务结果,核心数据在原系统保护的,具备不同级别接口服务的能力。
尚缺数据分级标识的基础手段。
分区防护,分级防护,整体上依托国家政务服务云平台部署,采用了混合云模式,包括符合等保三级的公有云服务、互联网区域的私有云服务,以及公共区域的私有云服务,具备非常明显的分区特征。
国家基础信息库、国家重点信息系统的数据服务接口注册到国家政务服务平台,统一提供数据查询、数据比对、基准叠加等服务。
问题四:
关注数据管理成熟度标准出台关注大数据局基础能力建设与测评,总结语,数据暨世界应用暨生活安全暨社会,世界只要还有未被数据化的物质和意识,大数据就有可开拓的市场;人类只要还有未被云化的生产、生活方式,互联网应用就有创新的动力;社会只要还有未被完整描述和转化的人与人、人与物的关系,信息安全就有发展的方向。
关注物联网,关注人工智能,关注数据资产权益保护,THANKYOU,
升级会员 