产业安全专家谈丨如何为政务大数据平台构筑安全防护能力？

原创

腾讯安全

发布于 2021-10-09 17:26:21

4430

发布于 2021-10-09 17:26:21

文章被收录于专栏：腾讯安全腾讯安全

践行十四五规划“加快数字化发展建设数字中国”的重要篇章，各级政府也在加快推进政务服务数字化转型。“数字政府”是建设“数字中国”的有机组成部分，是推动社会经济高质量发展的重要引擎，因此，发力“数字化基建”也成了备受重视的关键举措。

与此同时，数据安全能力的建设也变得愈发重要。《数据安全法》、《个人信息保护法》两法相继落地实施，标志着数据安全和数据利用正式纳入国家治理体系。法律法规的完善，为政务数字化转型带来了哪些变化？布局政务大数据平台时，应当如何规划数据安全能力？

本期「产业安全专家谈」携手信息化观察网，邀请到腾讯数据安全产线负责人崔卓，与我们一起聚焦政务大数据平台，畅谈数据安全的思考与实践。

Q1：法律法规的完善对现有数据安全能力、产品、技术提出哪些新的挑战?安全厂商如何应对?

崔卓：《数据安全法》和《个人信息保护法》的落地，对整个市场及安全厂商，起到极大的利好作用。在两法规划落地之前，监管单位、被监管单位以及安全能力的服务厂商，在解决数据安全问题时，主要依赖于《网络安全法》或等保等数据安全相关的条款内容，作为政策指导来开展工作。相对地，安全能力的建设是离散的，分布在网络安全解决方案的各个环节或节点。两法落地给我们新的指导，可以更加体系化地解决数据安全问题，做到有规划、有实施、有检查，并反哺数据安全能力建设的优化，更闭环地解决数据安全的问题。

对于当前整个行业而言，最大的挑战是如何把分散、离散的安全能力进行有机整合，形成一个数据安全的保护网，纵深地去防御解决数据安全问题。

Q2：法律法规的落地对哪些行业/类型的机构产生了显著影响？

崔卓：主要是数据体量大、数据复杂、密度高、价值高的行业，数据泄露风险越大、数据泄露危害越大的行业，受到的影响越显著。从另一个角度看，在《数据安全法》发布时已经点名了一些行业：工业、健康、卫生、金融、科技等板块，以及政府和政务行业。这些行业的数据，分布流转的情况更为复杂，造成的影响也会更加显著。

Q3：政务行业用户面临哪些新的安全“拦路虎”？应如何构筑安全防护能力？

崔卓：金融和政务行业对数据的应用和流转领先于其他行业，很多地方政府都已建设了政务大数据平台，对各部门数据进行统一的存储、分析、处理、应用。数据流转起来后，价值空间更大，新的风险也会产生。

政务行业数据安全的“拦路虎”，主要有两类：

第一，数据的动态流转。之前是离散地、静态地存储在各个委办厅局里面，现在集中存储且不停地被调用，数据活跃度会增高，流转情况也会加剧。这种数据流转场景下的数据安全问题是我们面临的第一个挑战；
第二，政务大数据平台的数据体量、格式、数据项，包括活跃度一直在变化，数据安全能力的建设也要随着数据形态的变化，对安全能力做出相应的调整。如何快速、积极地响应数据变化，调整安全能力，是我们面临的第二个挑战。

Q4：针对政务行业用户，腾讯在数据安全层面的规划是什么？

崔卓：腾讯安全在规划数据安全解决方案和能力的时候，中心思想是分层、解耦。整个数据安全解决方案分成三层：

第一层是数据安全服务，以安全咨询、数据安全治理、运营服务的方式，帮助政府大数据局梳理数据资产，定义数据安全管理目标及风险容忍度，从各个维度帮助进行数据安全的规划。
第二层是数据安全中心，起到承上启下的作用。对上承接数据安全服务所需要的落地的工具，通过系统、技术，帮助客户梳理数据资产；启下是为我们的原子化的数据安全能力提供标准，提供统一管理的平台。这样既可以对数据安全能力进行集中的编排管控，也可以对数据安全策略进行统一的制定和分发，最后把各项数据安全能力的运行情况，防护情况以及相关日志进行汇总，宏观地发现数据安全整体的风险，并进行相应处置。
第三层是数据安全能力，也即是前面提到“解耦”，把所有的数据能力原子化、标准化。它可以独立部署，发挥相应的作用，也可以靠数据安全中心结织成网，基于统一的接口标准，对整个解决方案进行集成，提供纵深的防御。

Q5：腾讯安全在护航政务大数据平台的安全上有什么优势？

崔卓：为政务大数据平台提供安全能力，这是腾讯安全的职责。腾讯既是政务大数据平台的承建方，也是专业的安全厂商，具有双方面的能力，因此，在研制政务大数据平台的时候，就已经为大数据平台注入了安全的元素和基因，政务大数据平台建成后就自带了大量的数据安全能力。此外，腾讯安全还可以在部署实施以后，结合特殊的场景要求，补充或弹性扩容安全能力。

Q6：聚焦政务安全业务，腾讯安全有哪些数据安全保护规划？

崔卓：首要是夯实腾讯分层解耦的数据安全解决方案。在基础上有三个方向的资源投入和探索：