政務(wù)雲作(zuò)為(wèi)數字政府建設的底座和基石，經過多(duō)年高速建設，已覆蓋了我國(guó)80%以上地市及經濟發達的縣域。政務(wù)雲的業務(wù)承載率、數據彙聚率不斷提升，對數據安(ān)全的需求也進一步提高。加強政務(wù)雲數據安(ān)全建設，成為(wèi)政務(wù)雲建設中(zhōng)不可(kě)繞過的關鍵工(gōng)作(zuò)。

深耕政務(wù)雲數據安(ān)全領域，美創科(kē)技(jì )聚數據安(ān)全治理(lǐ)咨詢、數據安(ān)全防護建設、數據安(ān)全運營等産(chǎn)品服務(wù)方案，持續為(wèi)海量政務(wù)雲數據保駕護航。

近日，IDC發布報告《中(zhōng)國(guó)政務(wù)雲雲安(ān)全領導者實踐，2023》，集中(zhōng)展示在政務(wù)雲雲安(ān)全建設方面的優秀案例。美創科(kē)技(jì )憑借政務(wù)雲數據安(ān)全體(tǐ)系化建設案例入選該報告數據安(ān)全類别領導者實踐，再次展現業界對美創科(kē)技(jì )專業能(néng)力的高度認可(kě)和肯定。

政務(wù)雲數據安(ān)全建設實踐

建設背景

依托省政務(wù)雲平台，某單位統籌推進“互聯網＋”管理(lǐ)模式和公(gōng)共服務(wù)平台建設，實現内外數據壁壘的打通，推動數據有(yǒu)序共享、合理(lǐ)利用(yòng)。

目前單位雖已部署雲應用(yòng)防火牆、雲綜合日志(zhì)審計、雲數據庫審計、堡壘機等進行雲上安(ān)全防護，但依然面臨雲上安(ān)全能(néng)力需提升、數據安(ān)全運營能(néng)力待補充、中(zhōng)心及下屬單位安(ān)全能(néng)力建設參差不齊、密碼測評以及等級保護等合規需求待滿足等挑戰。

對此，為(wèi)了進一步加強雲上數據安(ān)全保護能(néng)力，實現可(kě)控、可(kě)用(yòng)、可(kě)管的數據安(ān)全能(néng)力提升，該單位提出以下建設目标：

• 多(duō)雲資産(chǎn)安(ān)全：通過安(ān)全防護網關和探針實現多(duō)雲環境監測，實時上報數據到平台進行集中(zhōng)式管理(lǐ)，實現基于分(fēn)類分(fēn)級的統一資産(chǎn)梳理(lǐ)、統一身份治理(lǐ)、統一風險監測、統一分(fēn)析評估、統一策略下發、統一風險管控、統一觀測等。
•  
• 用(yòng)管分(fēn)離：根據數據中(zhōng)心在數據采集、數據存儲、數據使用(yòng)、數據共享開放過程中(zhōng)的不同功能(néng)和用(yòng)途将數據使用(yòng)和數據管理(lǐ)分(fēn)離。
•  
• 權限最小(xiǎo)化：根據共享交換過程中(zhōng)的不同角色不同業務(wù)場景的賬戶權限分(fēn)配滿足最小(xiǎo)化原則，确保數據主體(tǐ)僅被授予任務(wù)執行和完成工(gōng)作(zuò)所必需的權限。
•  
• 一體(tǐ)化安(ān)全運營：建立安(ān)全運營服務(wù)框架，通過各類安(ān)全服務(wù)、人機共智形成具(jù)有(yǒu)主動防禦和協同運營能(néng)力的安(ān)全運營保障體(tǐ)系。
•  
• 等保密評：對重要業務(wù)系統按照要求開展等級保護及密碼測評等工(gōng)作(zuò)。

建設方案

構建雲上一體(tǐ)化的數據安(ān)全保障，健全“安(ān)全制度、安(ān)全技(jì )術、安(ān)全運營、安(ān)全監管”四大數據安(ān)全保障體(tǐ)系，美創科(kē)技(jì )從安(ān)全組織架構及安(ān)全标準體(tǐ)系建立健全、數據安(ān)全技(jì )術能(néng)力建設、常态化安(ān)全運營服務(wù)、重要時期安(ān)全保障等，實現整個數據安(ān)全全生命周期的流程标準化和閉環管理(lǐ)：

◼︎ 敏感資産(chǎn)梳理(lǐ)與分(fēn)類分(fēn)級

通過調研訪談、文(wén)件分(fēn)析、工(gōng)具(jù)探查，多(duō)維度了解數據資産(chǎn)，明确數據資産(chǎn)組成、特征、範圍及流轉情況。數據分(fēn)類分(fēn)級參考對應模型，數據分(fēn)類分(fēn)級模型具(jù)有(yǒu)數據分(fēn)類、數據分(fēn)級和政務(wù)行業三個維度。

◼︎ 基于數據分(fēn)類分(fēn)級構建以數據為(wèi)中(zhōng)心的安(ān)全技(jì )術防護體(tǐ)系

依據數據分(fēn)類分(fēn)級保護原則，在理(lǐ)清數據資産(chǎn)的基礎上，從身份認證、權限管控、接口審計、數據脫敏、數據水印、數據加密、态勢感知等落實安(ān)全防護策略和管控措施，提升數據安(ān)全防禦能(néng)力，保障數據安(ān)全利用(yòng)和共享。

◼︎ 權限管控

針對數據權限管控、開發環境安(ān)全管控等場景進行數據庫賬号權限清單梳理(lǐ)，根據數據分(fēn)類分(fēn)級結果匹配差異化的身份認證、訪問控制、數據加密、數據脫敏等策略，實現字段級精(jīng)細化等權限管控：

訪問控制：根據分(fēn)類分(fēn)級結果建立不同的人員具(jù)有(yǒu)不同訪問數據的屬性機制，形成通過應用(yòng)程序和工(gōng)具(jù)來訪問數據，精(jīng)細化管控第三方人員，同時通過終端加密能(néng)力服務(wù)，全面保障敏感資産(chǎn)不外洩。基于零信任理(lǐ)念，剝離權限，形成賬号管理(lǐ)員和授權管理(lǐ)員權限分(fēn)離，安(ān)全管理(lǐ)員獨立。

數據脫敏：根據分(fēn)類分(fēn)級結果對敏感信息進行數據變形，實現敏感隐私數據的可(kě)靠保護。L3以上字段都需要進行數據脫敏。

數據水印：針對數據交換、共享、上報等場景中(zhōng)，注入數據使用(yòng)方的水印信息，确保數據洩露有(yǒu)迹可(kě)循、有(yǒu)據可(kě)依。

◼︎ 雲上安(ān)全态勢管控

通過部署數據安(ān)全管理(lǐ)平台，一屏一域，全網管控，實現“六個統一”，即統一賬戶、統一監控、統一展示、統一分(fēn)析、統一告警、統一配置，變被動防護為(wèi)主動防護，變單點防護為(wèi)整體(tǐ)防護，實現數據應用(yòng)智能(néng)化，數據資源一體(tǐ)化，數據安(ān)全體(tǐ)系化。

◼︎ 數據安(ān)全運營

通過安(ān)全評估、安(ān)全檢查、安(ān)全加固、滲透測試、漏洞掃描、安(ān)全培訓等安(ān)全服務(wù)能(néng)力，借助安(ān)全設備、安(ān)全平台分(fēn)析，通過安(ān)全專家識别處置發現的安(ān)全威脅、及時響應、協助閉環處置安(ān)全事件，獲得從數據收集到安(ān)全運營的全方位支持。

如對該單位核心應用(yòng)系統展開數據安(ān)全風險評估工(gōng)作(zuò)，輸出《數據安(ān)全風險技(jì )術檢查評估報告》等報告，以及相關加固建議。

◼︎ 線(xiàn)下辦(bàn)公(gōng)網絡安(ān)全管控

線(xiàn)下辦(bàn)公(gōng)網絡安(ān)全管控：建立全網安(ān)全管控能(néng)力，對中(zhōng)心及下屬單位的出口及終端進行常态化安(ān)全管控，定期提供信息系統安(ān)全監測情況彙報，實時掌控設備及系統安(ān)全狀況；進行有(yǒu)效的常規性安(ān)全維護，及時發現并消除網絡安(ān)全隐患，保障網絡和系統持續安(ān)全運行。

建立安(ān)全風險感知系統：實時對辦(bàn)公(gōng)網絡全網（涉及中(zhōng)心及下屬單位）進行安(ān)全檢測分(fēn)析，确保全面了解當前安(ān)全态勢。

◼︎ 等保密評

協助該單位對重要業務(wù)系統按照監管部門要求開展等級保護及密碼測評工(gōng)作(zuò)。

伴随政務(wù)雲的發展一路走來，美創科(kē)技(jì )持續為(wèi)全國(guó)各地省、市、縣政務(wù)雲提供數據安(ān)全能(néng)力保障。應對多(duō)雲環境帶來的複雜性數據安(ān)全挑戰，美創科(kē)技(jì )也在持續創新(xīn)，全新(xīn)推出的新(xīn)一代 數據安(ān)全管理(lǐ)平台，基于雲|端架構，将數據安(ān)全防護、數據安(ān)全管理(lǐ)、數據安(ān)全運營等安(ān)全能(néng)力收斂至一個平台、入口，通過平台具(jù)備的橫向資源擴容、縱向安(ān)全能(néng)力訂閱、多(duō)租戶/數據隔離等能(néng)力，有(yǒu)效應對數字化、多(duō)雲時代複雜的數據安(ān)全管理(lǐ)難題。