公共数据是当今政府数字化转型的关键要素和未来价值释放的核心锚点,也是“网络强国”、“数字中国”的战略性资源。
作为数字化改革先行省份,近年来,浙江省以一体化智能化公共数据平台作为数字化改革的支撑总平台,实现了全省公共数据的归集,成为数据要素“用起来”“动起来”“活起来”的基础,为数字化改革集智赋能。
2022年,全国首部公共数据领域的地方性法规《浙江省公共数据条例》出台,明确提出,公共数据安全管理应当坚持统筹协调、分类分级、权责统一、预防为主、防治结合的原则,加强公共数据全生命周期安全和合法利用管理,防止数据被非法获取、篡改、泄露、损毁或者不当利用。
浙江省某市一体化智能化公共数据平台建设上线以来,目前已累计归集数据263亿条,组织建设特色专题数据库67个,支撑全市各级部门数字化改革重大决策、政务服务、公共服务、基层治理、经济提质稳进等领域多个应用场景。
由于公共数据平台的重要性以及所管理的数据不断增加、集中、流动,在兼顾安全与发展命题下,如何提升数据安全主动防御能力、监测预警能力、应急处置能力、协同治理能力,切实防范公共数据篡改、泄漏、滥用,随之成为工作重点。
根据《浙江省公共数据条例》、《浙江省公共数据安全体系建设两年行动方案》等要求,结合《数据安全法》等法律法规以及公共数据平台在数据采集、传输、存储、处理、交换等生命周期中可能存在的风险点,如何提升公共数据安全保障能力,安全需求如下:
风险监测预警和应急处置:实时监测数据在使用、交换等过程中的风险,全方位提升对恶意攻击、窃取、篡改等行为的发现能力,及时发现数据安全风险并产生预警,及时采取措施预防事件发生,为数据提供实时保护。当发生数据安全事件时,及时采取应急预案。
数据安全检查:市大数据局需定期监督检查市级部门和区县大数据部门公共数据平台数据安全建设情况,避免因市级部门和区县大数据部门安全建设不到位而发生数据安全事件。
考核整改:省局会不定期对市局进行数据安全检查,需对其中考核指标要求进行解读,并制定相关解决方案。
数据安全防护体系建设:《浙江省公共数据安全体系建设两年行动方案》中明确要求市局需要建设的安全能力,如数据风险闭环、事件追溯等能力建设。
建设方案
基于以上需求,美创科技通过数据安全态势感知平台、数据库安全审计、数据水印溯源系统,结合数据安全服务,对市公共数据平台及其内数据的安全技术防护实施、日常安全监测评估以及专项检查等提供技术支撑和保障,助力公共数据安全保障能力提升。
◼︎ 制定常态化数据安全风险预警、报告、处置、复核服务方案,基于美创科技丰富的数据安全服务经验和技术实力,根据数据应用场景开展数据安全巡检服务、数据安全风险检测服务、数据安全风险处置复核服务等内容,及时了解数据安全运行状况、发现公共数据平台安全风险、制定数据安全风险处置手段和技术方案。
◼︎ 制定标准的检查流程和检查方法,开展数据安全监督检查服务,协助市大数据局定期监督检查市级部门和区县大数据部门公共数据平台数据安全建设情况,根据数据安全考核标准出具被检查单位的数据安全检查报告,并在下次检查前进行上次检查内容的整改复核工作,形成区域性监督检查闭环工作。
◼︎ 针对“2023年一体化智能化公共数据平台设区市综合评价指标”中“数据安全”部分内容描述,进行考核指标要求以及考核相关解读,结合市大数据局现有考核材料以及公共数据平台现状,着重针对“数据安全”部分考核内容给予考核建议和意见,并进行数据安全相关制度文档、日常台账、佐证材料的编制。
◼︎ 结合市公共数据平台数据安全防护现状,进行部署数据安全态势感知平台、数据库安全审计及数据水印溯源建设,填平补足数据安全建设体系。
数据安全态势感知示例
数据安全态势感知平台通过直观的可视化方式,对所有已发现的数据库风险进行实时预警,并将发现的风险情况详细呈现,以便于用户能够对风险进行追溯,处理,从而保障业务运行安全。
数据库安全审计系统对数据采集落地到公共数据平台后的一系列操作行为进行监控和记录,对异常访问行为进行实时告警,为安全事件的溯源提供准确依据。
数据水印溯源系统针对API接口中流转的数据加注水印标识,当API接口需要数据共享时,生成水印作业,添加数据调用者和数据拥有者相关水印信息,以应对数据泄露后的溯源追责。
◼︎ 制定重要期间数据安全保障方案及应急服务方案。
在重要时期,美创科技通过制订完善的保障措施,组建专业重保团队,制定运维保障方案计划,实现公共平台运行的可防、可控、可治。
通过建立公共数据平台应急响应流程机制,美创按照应急相应流程提供数据安全应急响应服务,包括远程响应、现场响应、应急处理、应急报告等。
建设成效
◼︎ 通过数据安全巡检服务、数据安全风险检测服务及数据安全风险处置复核服务,对市公共数据平台数据安全建设后的运行状况进行定期巡检、渗透测试、漏洞扫描,针对发现的风险进行安全加固,保障数据安全体系的正常稳定运行。
◼︎ 通过制定标准的检查流程和检查方法,明确检查内容,并且每次检查留存对应检查报告,复查时作为依据进行比对,找出安全建设中的不足之处,督促市级部门和区县大数据部门做出整改。
◼︎ 制定适合该市大数据局的两年行动方案计划,并协助落实行动步骤,形成常态化的数据安全风险发现和处置流程,助力市大数据局顺利通过省级大数据局的考核。
◼︎ 通过部署态势感知等安全设备,加强公共数据平台整体数据安全防护能力,满足国家、行业主管机构的监管要求。
◼︎ 提升市大数据局数据安全保障及应急能力,数据安全事件能得到及时有效的解决,助力公共数据平台持续稳定运行。