用户散,管理难,成本高,看数管局如何破解数管难题
2023-03-30
1174次
从烽火狼烟、飞鸽传书、驿站传信到有线电话、手机、微信、钉钉…...信息时代下我们的生活已经发生了质的飞跃。信息时代最大的特征之一是海量数据的产生,21世纪的石油和金矿——数据,已成为数字经济和信息社会的核心资源,价值日益凸显。
公共数据的共享和开放,使数据的应用产生了大量价值,北京、上海、浙江等地陆续确立了公共数据授权运营 基本原则,即“原始数据不出域、数据可用不可见 ”,这对数据流转过程中的安全性与可控性提出了更高的要求。
图片来自网络
数管局主要负责统筹政务数据资源的采集、分类、管理、分析和应用工作,使用的业务系统应用场景比较复杂,涉及研发人员对代码数据的访问,第三方、外包人员对内部数据的使用,以及内部运维人员对数据资源的访问等,数据访问人员多且分配权限复杂,导致政务办公业务系统风险暴露面扩大,数据被窃取或滥用的概率增加。
多方数据使用,就意味着数据访问的方式多样化,比如远程访问、驻场访问、跨部门访问等,传统的VPN+堡垒机方式,无法对多样性数据使用全过程进行监管,尤其是数据的下载、打印、复制等流转环节,无法控制权限和追溯行为。
数管局内部的数据资源除了传统数据库,还有大量的云资源服务器、公共数据平台、人员信息文档等,数据使用接入环节复杂,访问不同业务系统还可能需要采取不同的接入和验证方式,除了带来用户体验问题 外,也增大了数据安全管控的难度。
这种情况下,数管局作为数据资源的主管单位,如何有效对数据进行安全监管,防范数据使用过程中的风险,是必须解决的一道难题。
传统的数据安全方案内在基因是“防”,但数据的特性决定单纯的“防”无法解决当前的问题。“我们的核心诉求,是在满足内外部人员远程办公良好使用体验的同时,实现数据资源的安全访问和高效管控。必须要在保证数据高效流转的前提下,进一步增强数据安全管理能力和网络攻击防御能力”。
某数据资源管理局的安全负责人,对当前的业务需求做出如上总结,并提出以下几点具体要求:
2022年,该数管局引入了虎符网络的基于云数据沙箱的数据不落地安全方案。该方案成功借鉴疫情防控工作做法,围绕区内一体化平台、三级数据仓等核心数据资产,建设数据安全隔离访问系统,通过数据沙箱技术构建数据安全隔离域,同时具备多维度记录、预警用户操作行为的功能,实现“数据可见不可落地”的安全目标。
项目竣工后,该数管局实现以下典型安全效果:
01 网络准入阶段
数据开发运维访问权限严格控制,OA等内网应用通过网络隐身方式收敛了业务暴露面,有效避免互联网扫描、黑客攻击等风险,对0day攻击免疫。
02 应用登录阶段
通过统一身份认证打通多个应用,用户一次登录即可自动找到匹配的子账户,并一键免登访问其他应用,所有数据资源访问统一认证。统一后的扫码登录方式还可以规避弱口令顽疾,提升员工工作效率和使用体验。
03 数据访问阶段
数据开发运维访问隔离在沙箱环境,沙箱使用过程可由管理员进行监管,审计日志全记录。数据的查询、分析、处理、下载等全流程不落地,数据可用不可下载,有效防止了数据泄露的发生。
在智慧城市、数字政府建设实践中,政务系统一旦遭受黑客的攻击,可能会带来重要数据被窃取、仿冒和篡改的风险,造成重大损失。在我国数字产业发展全面驶入快车道的关键历史时期,守护政务系统的数据安全显得尤为重要。
基于云数据沙箱的数据不落地安全方案,已经成功应用在多地市大数据局及区县数管局,运行稳定,数据安全管控治理效果明显。方案具有示范性、先进性和创新型,可以有效助力电子政务行业客户做好数据泄露防范工作,筑牢数字政府安全底座,以数字安全保障企事业单位高质量发展。