数据局行业解决方案 蓝皮书 BLUEBOOK 前言 党的十八大以来,党中央高度重视大数据发展和应用,大数据逐步成为推动经济转型发展的新动力和提升政府治理能力的新途径。2018年《深化党和国家机构改革方案》发布后,地方政府开始设立大数据管理机构,统筹政府数据资源管理工作,有效提升了政府数据资源开发利用效率和“互联网+”政务服务水平,以数据为关键要素的数字经济产业进入了蓬勃发展期。 2023年3月,中共中央、国务院正式印发《党和国家机构改革方案》,提出组建国家数据局,负责协调推进数据基础制度建设,统筹数据资源整合共享和开发利用,统筹推进数字中国、数字经济、数字社会规划和建设等。2023年10月25日,国家数据局正式挂牌成立,之后各省、市纷纷开始新一轮机构改革,挂牌成立地方数据局,进一步优化了地方数据管理机制,全国数据管理体系的布局日益明晰,逐步构建起全国数据统筹协调、互联互通的新格局。 本蓝皮书基于安恒信息公司多年在数据局行业的建设实践经验,结合国家陆续出台的相关政策文件,以安全体系一体化的思路针对性的提出了解决方案,为政务网络和数据安全建设提供科学、有效的指导和建议。我们将从多个角度出发,深入剖析当前数据局行业所面临的安全挑战,探讨新技术新趋势对安全带来的影响,提出在此背景下的应对策略和最佳实践。本蓝皮书给出了一套符合政策法规要求、行之有效的政务网络和数据安全建设方法,方便数据局客户以及政务体系建设工作者按图索骥、有的放矢地开展网络和数据安全体系化建设。 愿本书能够为数据局行业安全建设提供有益的参考和指导,促进行业的发展和进步。 新时代新征程 势必守好网络和数据安全! 安恒信息数据局军团 版权声明 本文的所有内容,其版权属于杭州安恒信息技术股份有限公司(以下简称“安恒信息”)所有,未经安恒信息的许可,任何人不得防制、拷贝、转译或任意引用。本文没有任何形式的担保、立场倾向或其他暗示。 若因本文或其所提到的任何信息引起的直接或间接的资料流失、利益损失,安恒信息及其员工恕不承担任何责任。本文所提到的解决方案仅供参考,不构成任何要约或承诺,有关内容可能会随时更新,安恒信息恕不承担另行通知之义务。 版权所有不得翻印 ©安恒信息 目录 1 第一章概述4 数据局安全建设已呈一体化发展态势5 数据局安全一体化建设的价值6 2 第二章核心解决方案8 安恒信息数据局安全解决方案全景图9 政务外网安全监测平台解决方案10 政务终端安全解决方案12 政务云安全资源池解决方案14 数据安全态势感知解决方案16 基于隐私计算的数据融合利用解决方案18 公共数据授权运营安全解决方案20 一体化安全运营解决方案22 3 第三章典型客户案例26 陕西省数字政府安全运营体系建设案例27 杭州市城市大脑安全运营中心建设案例28 嘉兴市嘉善县一体化网络安全生态治理体系建设案例29 深圳市福田区公共数据隐私计算平台建设案例30 4 第四章客户列表32 数据局行业解决方案-蓝皮书-2024 第一章概述 数据局安全建设已呈一体化发展态势 第一章 概述 2022年6月,国务院印发《关于加强数字政府建设的指导意见》,提出加快推进全国一体化政务大数据体系建设。2022年10月,国务院办公厅正式印发《全国一体化政务大数据体系建设指南》(以下简称指南),旨在加强数据汇聚融合、共享开放和开发利用,促进数据依法有序流动,充分发挥政务数据在提升政府履职能力、支撑数字政府建设以及推进国家治理体系和治理能力现代化中的重要作用,并以八个一体化来统筹推进该项工作。 数据局作为数据资源整合共享和开发利用的统筹管理单位,既需要推动数据资源更好的共享流通起来,赋能行业发展,也需要为国家守住数据安全的红线和底线。围绕《指南》安全保障一体化的任务要求,以数据安全保护为核心,夯实政务数字底座安全建设,建立覆盖“云、网、数、用、端”的全链路安全防护能力,强化安全主体责任,健全保障机制,完善网络和数据安全监测预警机制,加强数据流转全流程管控,形成制度规范、技术防护和运行管理三位一体的一体化政务大数据安全保障体系建设,已成为各地数据局的重要核心工作。 政策:网络和数据安全顶层设计已逐步完善 《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国密码法》四部基础性法律的颁布和实施,标志着我国网络和数据安全发展和治理迈入了法制化阶段。随着相关配套政策、法规和国家标准的陆续发布,数据局行业的安全建设规范已初步形成,极大地推动了网络和数据安全体系化和规范化建设。 国家法律 《中华人民共和国网络安全法》 《中华人民共和国数据安全法》 《中华人民共和国个人信息保护法》 《中华人民共和国密码法》 政策法规部门规章国家标准 《关键信息基础设施安全保护条例》 《商用密码管理条例》 《全国一体化政务大数据体系建设指南》 《商用密码应用安全性评估管理办法(试行)》 《数据出境安全评估办法》《网络安全审查办法》 《“数据要素×”三年行动计划(2024—2026年)》 网络安全等级保护系列标准关键信息基础设施系列标准国家电子政务外网系列标准数据安全系列标准 管理:跨部门跨层级的管理体系已初步形成 06 习近平总书记指出,统筹推进技术融合、业务融合、数据融合,提升跨层级、跨地域、跨系统、跨部门、跨业务的协同管理和服务水平。“三融五跨”是数字化工作必须遵循的基本路径,也是衡量数字化发展成效的重要标志。自2020年起,为强化政务外网安全监测体系建设,开展电子政务外网安全监测平台建设和对接工作,推动形成国家、省、市三级协同共享的电子政务外网监测预警体系,提升电子政务管理部门对电子政务外网的管理能力。随着电子政务基础设施管理职能陆续纳入地方数据局管理范畴,政务外网的安全监测范围逐步延伸到政务外网出口边界、政务云平台、政务数据、政务应用和政务终端,对象也逐步开始覆盖本级政务部门,并向下开展业务管理指导,向上共享监测预警结果。数据局作为政务基础设施和政务数据的主管部门,逐步建立起了跨层级、跨部门的政务安全协同工作管理机制,开始统筹推进网络和数据安全保障体系的规划建设与运行管理工作。 0405 数据局行业解决方案-蓝皮书-2024 第一章概述 技术:安全能力集约供给的服务模式已初见成效 随着国家电子政务外网和政务云基础设置支撑能力的不断提升,电子政务外网已全部覆盖县级以上行政区域,31个省级和超过70%的地级市建设了政务云平台,随着政务信息系统迁移上云和统一接入政务外网,政务基础设施集约化建设格局基本形成。随着政务外网的整合和政务云的集约化建设工作逐步推进,政务云网上资产激增,这些资产的安全既取决于云网基础设施的安全稳定运行,也需要自身的防护能力补齐。同时为了实现降本增效的目的,作为政务数据基础设施统筹建设单位的数据局,也开始倾向于一些共性安全能力的集约化建设,将基础的网络安全防护能力、数据安全防护能力和密码应用能力组件进行统一建设,以资源化、服务化的方式供给给政务部门使用,帮助政务部门构建覆盖“云、网、数、用、端”的一体化安全防护能力,并对能力组件进行统一调配,避免安全短板产生,影响整体政务外网安全。 服务:体系化实战化的安全运营能力已形成共识 党的二十大报告提出:以新安全格局保障新发展格局,作为大安全观下细分的网络安全服务是保障持续安全状态能力的有效手段。政务系统是持续性的、不断运转的,安全问题也会随着系统业务,其网络和数据安全不能只靠建设而忽略运营。因此,在投入安全建设的同时也需要构建政务系统整体的网络和数据安全运营体系,组建安全运营团队,建立安全运营机制,保障政务系统持续安全稳定运行。地方数据局作为政务基础设施和政务系统的业务主管单位,已越来越意识到建立完善体系化、实战化安全运营体系的必要性,开始逐步建立起包含资产管理、风险监测、通报预警、事件处置、攻防演练、重保值守、应急演练、安全培训等运营服务,牵头组建专业的安全运营人才团队,打造政务网络和数据安全运营中心并实体化运营,实现动态、主动、持续、闭环的安全运营管理,推动安全治理模式从事后被动处置向事前监测预防转型。 指标:可量化可评估的安全指标体系已探索实践 网络安全评价指标体系是评价组织网络安全状况好与不好的重要依据,也是网络安全建设工作的重要抓手。合理合适的安全评价指标可以较好的指导业务部门建立规范统一、可被计量评估的网络安全体系,将安全工作落到实处。安全评价指标既是评价指标又是建设指引,广东省和浙江省已开展先行先试,广东省于2020年就发布了国内首个数字政府网络安全指数,实现了安全工作由“看不见、摸不着”向“可量化、可评估”的一大转变,此举有效提高广东省各地各部门打造“实战化、体系化、常态化”的安全防护能力,切实提升了社会公众对广东省数字政府的安全感。浙江省大数据发展管理局于2022年编制印发《浙江省电子政务外网安全评估指标体系》,针对省级部门、设区市、区县分别设立了三级指标,每个指标的评估方式不仅进行精确量化,降低主观评价误差,且指标数据多从系统平台自动拉取,摒弃了人工检查填报的方式,让评价结果更公正更科学。广东和浙江的评价指标体系也越来越被更多的地方接受和推广。 数据局安全一体化建设的价值 安全一体化建设有利于促进政府履职协同高效 安全一体化建设对于构建协同高效的政府履职能力具有重要意义。通过建设一体化安全能力资源池和安全运营平台,建立网络和数据安全跨部门信息共享与业务协同机制,可有效打破部门之间的信息壁垒,加快不同层级、地域、系统、部门、业务之间安全工作协同,提升风险隐患和安全事件的处置效率。这种全链条、全过程、全区域的协同化履职能力的提升,使得政务部门在应对各类安全风险时能够更加高效、协同地进行决策和执行,从而更好的为政务服务提供安全运行环境。同时,依托安全一体化安全建设所带来的科学决策支持和实时研判能力,数据局在处理突发事件、应对风险挑战时也能够更加迅速、准确地做出反应,保障政务外网及政务系统的稳定和安全。因此,安全一体化建设不仅是对政务系统的全面保障,更是推动政府履职协同化、增进民生福祉的关键一步。 06 安全一体化建设有利于政务部门实现降本增效 安全一体化建设对于增强政务部门安全管理效能,降低安全建设成本具有重要意义。新冠疫情以来,地方财政收支压力较大,如何在降低预算费用的同时不降低服务质量和效率,甚至达到降本增效的目标,成为各地面临的一道难题。通过安全一体化建设,一套资源池覆盖全域政务系统甚至企事业单位,一个运营平台管理全域政务部门,真正实现“用多少买多少”,优化安全预算和资源配置,避免建设冗余造成的资源浪费,同时保证安全能力的高质量服务,以“最小代价投入”达到“最佳绩效产出”。同时,安全一体化便于统筹考虑各政务部门的安全管理需求和效益,以统一规划、统一构架、统一标准、统一支撑、统一运维为原则,不仅能够提升政务部门对安全事件的感知能力和应对速度,还能够有效降低安全管理的成本和风险,提高安全管理的科学性和预见性,为政务部门提供更加安全、高效、可靠的安全管理服务,保障政务部门信息资产和公共利益的安全。 安全一体化建设有利于激发数据要素市场活力 安全一体化建设对于激发数据要素市场活力具有重要意义。提升数据要素市场活力离不开更多的市场主体和社会数据参与到市场中来,来流通交易和开发利用。然而让市场主体愿意贡献数据出来的关键核心是数据安全。数据安全不是孤立的,它依赖于传输网络、计算环境、承载系统、访问终端的安全,通过安全一体化建设,形成覆盖“云、网、数、用、端”的整体安全防护能力,并保持稳定高质量的安全能力输出,可真正有效保障数据的安全性和隐私性,增强各政务部门、企事业单位参与到数据要素市场的信心和参与度,进而促进数据资源的整合和共享,使得数据可以更加安全高效的在不同领域、部门、应用间流通和共享,激发数据要素的创新应用和市场需求。综合来看,安全一体化建设为激发数据要素市场活力提供了必要的保障和支撑,有助于推动数据产业的蓬勃发展和数字经济的持续增长