上海作为建设全球影响力的科创中心,拥有丰富多元的数据资源,为了构建市数据资源共享体系、促进公共数据的整合应用,成立了上海市大数据中心、并全面推进“一网通办”,并成为首批国家公共信息资源开放试点城市。
如何有效地做好公共开放数据的安全保护,我们可以从“五个措施、三个维度、一个平台、一个支撑”这几方面来有效地提升。
作者 | 观安信息 首席专家张照龙
一、五个措施
1、法律措施:当前政府数据开放的过程中,相关的法律、法规、指导文件还不够完全成熟,一方面开放的数据要有助于使用,另一方面,也不能因为开放而带来安全和隐患。我国政府与行业主管部门,需要对应考虑政府数据开放过程中的国家安全与相应的数据保护,细化政府数据开放的安全与隐私政策指导和法律问题。我国已在政府数据开放的顶层设计方面明确提出了各项任务和目标,在一些方面也制定了相应的规划、实施的步骤措施。但同时,政府数据开放涉及知识产权、隐私保护、国家机密、数据利用许可等诸多法律问题,政策和法律的混杂不清,易造成政府数据开放的权属不清、权责不清、利益分配不清、侵权处罚不清等各类问题。
2、管理措施:公共数据开放同时是一个关注于信息系统数据管理执行层面的体系。通过数据管理流程、策略、标准、技术等一系列管理机制、管理办法及辅助工具的有效结合,加强现有部门的建设并成立专门的数据安全与隐私保护的组织和委员会,实现公共数据开放全方位的监管。目前各地成立的大数据管理局、网络安全管理局等数据安全与隐私保护管理机构,这些机构应当在政府数据开放中承担相应的角色和责任,与网络安全、应用安全、平台安全、数据安全与隐私保护、人员管理等安全相关的职责,应当结合当地政府数据开放平台的特点制定具有针对性的措施。
3、标准措施:应统一数据安全与隐私保护技术标准,制定包含安全与隐私限制政府数据开放许可协议。我国应逐步在各省、各行业组建完善的数据安全标准工作组,制定与公共开放数据相关的安全与隐私保护管理规范、数据安全管理能力要求、政府数据开放平台安全技术指南、数据安全与隐私评估指南、政府数据开放安全与隐私监测技术规范、政府数据开放安全审计与溯源技术指南等相关标准。观安信息也在近年的数据安全标准工作中参与了ISO/IEC 38505、GB/T35073、GB/T34690数据治理规范等国家标准制定,也积极参与了国标《数据安全能力成熟度模型》《网络数据安全标准体系建设指南》行标等相关标准的编制工作。
4、技术措施:针对公共开放数据安全的保障实现,离不开以各类技术工具与平台的支撑。这一过程中,建立公共开放数据生命周期的数据安全防护体系和隐私风险评估及预警平台,加强政府数据开放相关信息系统的网络安全检测和监测、密码与区块链技术的应用。同时,也需要防止技术被滥用,譬如近期对数据爬虫行业的整顿即是典型案例。从网络层、平台层、应用层、数据层等做好安全技术保障。
5、教育措施:近些年围绕数据安全意识的专门培育、能力建设得到重视和提升,比如国家网络安全周,推动数据价值在全行内的认知,以此提升政府数据开放利益相关主体的数据安全意识。政府官员、企事业单位职员、社会公众需要根据自身情况,具备相应的数据安全、隐私保护意识和相关技能,在参与政府数据开放的过程中坚守职业操守和职业职责,切实保护好数据安全、保护数据隐私,普通大众在相关公共事务中也当积极参与、监督,避免数据安全事件、隐私泄露事件的发生。
二、三个维度
1、数据标识
数据标识,主要是针对数据的特性对数据进行定义,同时对定义好的数据进行分级分类。
2、数据环境
数据环境,主要是对数据承载的环境以及数据在使用的过程进行安全技术措施的保障。包括网络层、平台层、应用层和数据安全本身的保证。过程可分为数据采集、存储、传输、处理、使用到最终被销毁,各个数据的生命周期进行严格的数据管控和数据的技术防护。
3、数据结果
数据结果,即数据融合、分析和统计完后得到的结果将再次进行认证,分析其结果是否存在从不可公开变成可公开的数据的情形。比如身份证号码,中间几位数字用“*”号脱敏,但同时在另外一个数据库中,可以找到这个人对应的出生年月,那身份证号码中被“*”号隐藏的数据加上出生年月,就变成了一个完整的个人敏感信息。这应当是我们要注意的风险。
三、一个平台
打造公共开放数据的安全中台,我们提出以安全数据中台为底座支撑、能力中台、支持中台和运营前台等不同维度集合的全面多维安全中台的建设思路、规划与经验,通过多维安全中台实现安全数据的全面打通、梳理与对接;安全能力全面梳理与整合,消除同质化安全能力,优化安全能力服务架构,全面建设大型企业安全能力中台化。
数据安全中台通过能力的复用一方面消除数据孤岛、业务孤岛,一方面公共开放数据平台的业务创新与赋能,助力数据资源共享,孕育生态。此外,数据安全中台的建设驱动力一定是自上而下的,从全局视角出发的,并且需要一定的顶层设计来实现全面规划与布局。在这个过程中,数据安全中台作为整个平台的底座,一方面要容纳与接入各种公共开放数据,对已有的数据、已有的能力进行全面历旧,另外一方面,要结合业务场景,实际需要,建设、改进、调整各类关联的支撑安全能力与创新安全能力,真正实现以中台为基础的安全生态聚落。
四、一个支撑
观安信息愿意为上海数据公共开放平台提供免费的敏感数据识别、敏感数据发现、敏感数据分级分类的服务和工具化运行。
通过自动化梳理敏感数据,解决以前通过人工梳理敏感数据效率低下且准确率低的问题;同时对细颗粒度权限管控,给予分类信息解决堡垒机权限控制职能到机器无法更细的问题;并且可以对数据泄露溯源,解决数据泄露之后无法追溯的问题。
观安信息自主研发的大数据安全管控平台,可以实现对数据进行分类分级、数据脱敏、运维管控、水印溯源、场景检测等功能。
本文由赛博研究院出品,转载请注明:本文来源于赛博研究院官网。
更多精彩内容请关注“赛博研究院”公众号。
