践行十四五规划“加快数字化发展 建设数字中国”的重要篇章,各级政府也在加快推进政务服务数字化转型。“数字政府”是建设“数字中国”的有机组成部分,是推动社会经济高质量发展的重要引擎,因此,发力“数字化基建”也成了备受重视的关键举措。
与此同时,数据安全能力的建设也变得愈发重要。《数据安全法》、《个人信息保护法》两法相继落地实施,标志着数据安全和数据利用正式纳入国家治理体系。法律法规的完善,为政务数字化转型带来了哪些变化?布局政务大数据平台时,应当如何规划数据安全能力?
本期「产业安全专家谈」携手信息化观察网,邀请到腾讯数据安全产线负责人崔卓,与我们一起聚焦政务大数据平台,畅谈数据安全的思考与实践。
Q1:法律法规的完善对现有数据安全能力、产品、技术提出哪些新的挑战?安全厂商如何应对?
崔卓:《数据安全法》和《个人信息保护法》的落地,对整个市场及安全厂商,起到极大的利好作用。在两法规划落地之前,监管单位、被监管单位以及安全能力的服务厂商,在解决数据安全问题时,主要依赖于《网络安全法》或等保等数据安全相关的条款内容,作为政策指导来开展工作。相对地,安全能力的建设是离散的,分布在网络安全解决方案的各个环节或节点。两法落地给我们新的指导,可以更加体系化地解决数据安全问题,做到有规划、有实施、有检查,并反哺数据安全能力建设的优化,更闭环地解决数据安全的问题。
对于当前整个行业而言,最大的挑战是如何把分散、离散的安全能力进行有机整合,形成一个数据安全的保护网,纵深地去防御解决数据安全问题。
Q2:法律法规的落地对哪些行业/类型的机构产生了显著影响?
崔卓:主要是数据体量大、数据复杂、密度高、价值高的行业,数据泄露风险越大、数据泄露危害越大的行业,受到的影响越显著。从另一个角度看,在《数据安全法》发布时已经点名了一些行业:工业、健康、卫生、金融、科技等板块,以及政府和政务行业。这些行业的数据,分布流转的情况更为复杂,造成的影响也会更加显著。
Q3:政务行业用户面临哪些新的安全“拦路虎”?应如何构筑安全防护能力?
崔卓:金融和政务行业对数据的应用和流转领先于其他行业,很多地方政府都已建设了政务大数据平台,对各部门数据进行统一的存储、分析、处理、应用。数据流转起来后,价值空间更大,新的风险也会产生。
政务行业数据安全的“拦路虎”,主要有两类:
- 第一,数据的动态流转。之前是离散地、静态地存储在各个委办厅局里面,现在集中存储且不停地被调用,数据活跃度会增高,流转情况也会加剧。这种数据流转场景下的数据安全问题是我们面临的第一个挑战;
- 第二,政务大数据平台的数据体量、格式、数据项,包括活跃度一直在变化,数据安全能力的建设也要随着数据形态的变化,对安全能力做出相应的调整。如何快速、积极地响应数据变化,调整安全能力,是我们面临的第二个挑战。
Q4:针对政务行业用户,腾讯在数据安全层面的规划是什么?
崔卓:腾讯安全在规划数据安全解决方案和能力的时候,中心思想是分层、解耦。整个数据安全解决方案分成三层:
- 第一层是数据安全服务,以安全咨询、数据安全治理、运营服务的方式,帮助政府大数据局梳理数据资产,定义数据安全管理目标及风险容忍度,从各个维度帮助进行数据安全的规划。
- 第二层是数据安全中心,起到承上启下的作用。对上承接数据安全服务所需要的落地的工具,通过系统、技术,帮助客户梳理数据资产;启下是为我们的原子化的数据安全能力提供标准,提供统一管理的平台。这样既可以对数据安全能力进行集中的编排管控,也可以对数据安全策略进行统一的制定和分发,最后把各项数据安全能力的运行情况,防护情况以及相关日志进行汇总,宏观地发现数据安全整体的风险,并进行相应处置。
- 第三层是数据安全能力,也即是前面提到“解耦”,把所有的数据能力原子化、标准化。它可以独立部署,发挥相应的作用,也可以靠数据安全中心结织成网,基于统一的接口标准,对整个解决方案进行集成,提供纵深的防御。
Q5:腾讯安全在护航政务大数据平台的安全上有什么优势?
崔卓:为政务大数据平台提供安全能力,这是腾讯安全的职责。腾讯既是政务大数据平台的承建方,也是专业的安全厂商,具有双方面的能力,因此,在研制政务大数据平台的时候,就已经为大数据平台注入了安全的元素和基因,政务大数据平台建成后就自带了大量的数据安全能力。此外,腾讯安全还可以在部署实施以后,结合特殊的场景要求,补充或弹性扩容安全能力。
Q6:聚焦政务安全业务,腾讯安全有哪些数据安全保护规划?
崔卓:首要是夯实腾讯分层解耦的数据安全解决方案。在基础上有三个方向的资源投入和探索:
- 第一,腾讯安全一直强调,数据流转起来才会产生价值,必须保护动态流转场景下的数据安全,因此,我们会在数据的交换、共享环节持续地投入资源;
- 第二,也是我们正在探索的方向,把数据安全的能力,通过SaaS化服务的方式,覆盖混合云场景,进行统一的数据安全管理;
- 第三,当前业内或者厂商主要把资源和精力投注在数据处理者上,我们想依托两法,为数据的所有者也提供安全服务,让他们能快速地了解和实行自己的权益。