数字时代,数据将在流通过程中创造更大价值。
随着数字化进程的不断迈进,根据《数据安全法》对政务数据开放平台建设要求,以及后续的落实的政策指引,我国各地区陆续出台地区性“数据条例”,其中无不强调对政务信息共享开放工作的建设,探索公共数据市场化运营。加之“十三五”期间各地区对政务数据共享开放的建设成果,各地区政务信息资源共享交换平台已获大规模应用,将促进未来数据作为新生产要素开放流动和开发利用,加快建设数字经济、数字社会、数字政府。
本文通过GB/T 39477-2020《信息安全技术 政务信息共享 数据安全技术要求》(实施日期2021-06-01)标准中的相关条款,探索政务数据在共享使用过程中的数据防护工作,以数据使用方视角,探索安全合规性问题。
01 技术框架
政务信息共享数据安全技术要求框架
GB/T 39477-2020标准提出了政务信息共享数据安全要求技术框架,规定了政务信息共享过程中共享数据准备、共享数据交换、共享数据使用阶段的数据安全技术要求以及相关基础设施的安全技术要求。
即政务信息共享明确界定了由共享数据提供方、共享数据交换服务方与共享数据使用方三方参与,由共享数据准备、共享交换和共享数据使用三个阶段组成。其中共享数据使用方是共享数据使用的责任主体。
02 条款解析
标准指出,共享数据使用方可通过政务信息共享交换平台的服务进行资源查询、定位后,向共享交换平台提出资源访问申请,通过一系列审核授权操作,共享数据使用方从共享交换平台获得资源数据。在共享数据使用过程中,对安全保护方面提出相应标准:
GB/T 39477-2020标准对共享数据使用过程的安全保护要求 | |
6.3.1.6数据防泄露 | a)应按数据分类分级预先对每类数据设置访问策略、传播策略和传播落围; |
条款解读 | 以数据分类分级为基础,避免一刀切的数据安全防范等级,此处需按各行业已出台的数据分类分级标准执行,是数据保护的合规基础工作。 |
6.3.2.2数据防护 | a)应建立敏感数据防护区域或敏感数据集群管控访问方式; b)应进行数据血缘关系梳理,建立数字表字段级的上下游关系,建立不同数据源数据合并的分析、核对机制。 |
条款解读 | 对于核心敏感数据,需要进一步的技术手段来提供安全防护能力,制定特定防护区域并持续跟踪防护被认为是一种有效的防护手段。同时进入数字时代,数据将迎来爆炸式增长,不断的数据涌入,对数据进行有效的梳理也显得至关重要。 |
03 技术应用
数据安全问题是一个综合性的科学问题,以前的数据安全更多的是防泄露,现在对于企业来讲更现实的是做好监管合规,同时在数据安全的基础上保证生产经营效率。一个平台同时能解决这两件事件,将是数据安全从业人员思考的方向,和数据安全产品的落地方向。
按上文标准要求,我们需要建设如下技术能力:
(1)数据分类分级工作是数据保护工作开展的基础前提,也是目前法律法规要求的合规重点,是数据共享使用者应建立的基础能力。数据分类分级需满足不同行业、不同地区细化标准。从政务数据分类分级切入又按不同地区标准来执行,这就需要按地适宜的推进建立。再通过机器学习的分类分级模型建立智能分类引擎,来实现自动化梳理,其总体要求覆盖面、效率和准确度等方面将是考量重点。通过基础数据分类分级工作的梳理,为不同身份数据使用者提供根据分类分级、用户画像、具体数据行为等多维度分析数据流转风险并采取自适应防护措施,将实现细粒度访问权限控制。
(2)数据具有流转属性,为解决其安全敞口问题,需要为处于流转的数据每个环节都嵌入数据安全监控点,解决风险敞口问题。而对于重要敏感数据,需严格控制使用范围,禁止各种途径的数据泄露,建立数据安全沙箱,实行数据运营全流程数据安全沙箱防护,保证数据可用不可见,能用不能动。数据安全沙箱技术的应用,需不改变用户使用习惯、不影响业务流程为前提,创建普通数据与敏感数据的隔离使用环境,保证数据安全可控,防止各种违规使用、有意或无意扩散、数据内部滥用等风险,有效防止恶意软件勒索攻击、用户恶意泄露等危险行为的发生。用户身份与安全沙箱智能绑定,动态定义数据访问权限,根据用户风险变化动态调整工作空间使用权限,构建风险自适应的可信数据使用环境。
(3)标准要求除了对敏感数据,还要求对多源数据资产的数据发现和分析能力,需要对数据特征深度识别,如数据血缘关系抽取,数据链路关联关系识别,来为海量数据源基于业务线流转提供风险感知能力。需建立敏感数据智能分类引擎,来为多源数据发现提供支撑;敏感数据知识图谱绘制引擎对数据呈现分析提供支撑。最终对组织内全类型、多源头数据资产进行探测分析,为用户自动创建数据资产分类目录及存储目录,支持文件内容、个人信息以及数据血亲关系的多维度快速检索。配合建立AI驱动的数据处理流转防护技术,来对应全类型多源数据资产发现与风险分析,以及全流程数据流动治理防护。
(本文作者:北京数安行科技有限公司 郭灵)
声明:本文来自CCIA数据安全工作委员会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。