公共數據監管風(fēng)險及現狀

近年來(lái)，隨著(zhù)國家數字政府建設加速推進(jìn)，作為數字政府基石的安全建設逐漸成為數字政府建設的重中之重。政務(wù)網(wǎng)絡(luò )承載著(zhù)政府各部門(mén)和各行業(yè)的關(guān)鍵業(yè)務(wù)系統和核心業(yè)務(wù)數據，并且跨區域、跨部門(mén)、跨行業(yè)之間存在著(zhù)大量數據交互和共享需求，這些公共數據安全如果得不到有效保障，將嚴重危害數字政府建設進(jìn)程。

當前，政務(wù)網(wǎng)絡(luò )中公共數據在流轉過(guò)程中主要存在以下一些安全風(fēng)險與監管難點(diǎn)：

安全風(fēng)險

-數據違規獲取、導出

-數據越權獲取、調用

-API接口二次封裝、轉發(fā)

-敏感文件輸出、泄露

安全現狀與監管難點(diǎn)

-API接口多、調用頻繁

-應用系統多、類(lèi)型繁雜

-終端與服務(wù)器多、管控難

-敏感數據多、分布廣

遠望公共數據全鏈路流轉監管解決方案

為避免政務(wù)數據被非法使用和竊取，充分保障政務(wù)數據安全，應從數據流轉各個(gè)環(huán)節來(lái)強化業(yè)務(wù)數據訪(fǎng)問(wèn)和數據共享監測，實(shí)現政務(wù)信息系統核心業(yè)務(wù)數據全鏈路監控和數據泄露追蹤溯源。

遠望公共數據全鏈路流轉監管解決方案基于零信任管控技術(shù)、流量分析技術(shù)，通過(guò)數據全鏈路監測平臺，聚焦應用系統、數據庫、API接口數據的“歸集、回流、共享、開(kāi)放”鏈路監管，提升應用訪(fǎng)問(wèn)、應用數據共享、數據庫運維操作、API接口調用及批量數據使用等場(chǎng)景的訪(fǎng)問(wèn)權限和數據鏈路監測，實(shí)現對可能出現的數據泄露風(fēng)險提前預警和泄露事件實(shí)時(shí)監測，對發(fā)生的數據泄露事件準確倒查溯源，從而達到對政務(wù)信息系統數據流轉的全鏈路監控。

公共數據全鏈路流轉監管解決方案架構圖

1、數字資源發(fā)現識別

通過(guò)流量分析和特征識別自動(dòng)發(fā)現網(wǎng)絡(luò )內存在的應用、數據、組件、共享接口（API），敏感數據等數字資源，技術(shù)采集數字資源相關(guān)信息。

2、數字資源分類(lèi)分級

對發(fā)現和對接的數字資源進(jìn)行分類(lèi)分級標識，劃分應用類(lèi)型、數據類(lèi)型、組件類(lèi)型與共享接口（API）類(lèi)型。同時(shí)對應用級別、數據級別、組件級別與共享接口（API）級別進(jìn)行標識。

3、訪(fǎng)問(wèn)終端零信任管控

通過(guò)零信任安全客戶(hù)端對訪(fǎng)問(wèn)人員身份信息進(jìn)行認證，以及對訪(fǎng)問(wèn)終端進(jìn)行入網(wǎng)前環(huán)境安全檢查，確保訪(fǎng)問(wèn)終端符合安全要求；通過(guò)終端設備與用戶(hù)身份綁定實(shí)現專(zhuān)機專(zhuān)用。訪(fǎng)問(wèn)終端未安裝零信任安全客戶(hù)端與環(huán)境安全檢查未達標情況下，禁止入網(wǎng)訪(fǎng)問(wèn)，確保數據訪(fǎng)問(wèn)終端合規和環(huán)境安全。

4、數據鏈路流轉監測

對批量數據歸集、回流、共享、開(kāi)放數據流轉鏈路進(jìn)行監測，及時(shí)發(fā)現數據違規行為，確保批量數據合規使用。

5、服務(wù)器數據輸出監測

對服務(wù)器側的敏感數據輸出進(jìn)行流轉監測。針對服務(wù)器通過(guò)訪(fǎng)問(wèn)數據庫、批量數據歸集與批量數據共享得到的數據進(jìn)行涉密格式與敏感格式檢查，對發(fā)現的敏感數據進(jìn)行分類(lèi)分級標記，提取敏感文件特征內容，監測本地數據輸出流轉行為。

6、終端數據輸出監測

對終端計算機側的敏感數據輸出進(jìn)行流轉監測。針對終端通過(guò)訪(fǎng)問(wèn)數據庫、訪(fǎng)問(wèn)應用系統以及收集得到的數據進(jìn)行涉密格式與敏感格式檢查，對發(fā)現的敏感數據進(jìn)行分類(lèi)分級標記，提取敏感文件特征內容，監測本地數據輸出流轉行為。

7、數據全鏈路安全防護

通過(guò)在訪(fǎng)問(wèn)終端安裝監測客戶(hù)端程序,以及在鏈路上部署網(wǎng)關(guān)流量探針，實(shí)現對數據鏈路異常行為的實(shí)時(shí)監測，及時(shí)發(fā)現并阻斷異常行為，阻止外部異常訪(fǎng)問(wèn)連接，確保業(yè)務(wù)安全穩定運行。

8、數據泄露追蹤溯源

通過(guò)監測網(wǎng)絡(luò )和終端流量數據識別敏感數據內容，并對可能發(fā)生的數據泄露風(fēng)險進(jìn)行告警。在出現數據外泄事件時(shí)，從“身份、設備、應用、數據”四個(gè)維度明確數據操作者身份、操作設備信息、應用系統信息、操作數據內容信息，真實(shí)還原泄露事件發(fā)生過(guò)程，為溯源取證提供依據。

9、風(fēng)險事件閉環(huán)處置

通過(guò)數據全鏈路監測平臺發(fā)起安全事件閉環(huán)處置流程，實(shí)現事件閉環(huán)處理，并對不同安全級別的風(fēng)險事件匹配相應的處置流程，有效避免安全事件擴大，提高安全管理效率。

方案價(jià)值

-敏感數據拿不走

全面管控數據流轉各節點(diǎn)，保障敏感數據在使用、流轉的過(guò)程中不會(huì )因越權、攻擊等原因從而引發(fā)數據泄漏、數據損壞等安全事件。

-敏感數據看不懂

通過(guò)數據動(dòng)態(tài)脫敏技術(shù)，實(shí)現了“數據可用不可見(jiàn)”，保障敏感數據在業(yè)務(wù)場(chǎng)景中正常使用的同時(shí)，規避數據泄露事件的發(fā)生。

-數據事件可溯源

通過(guò)設備、數據、應用、身份的全方面識別、管控，保障了敏感數據在發(fā)生事件時(shí)可第一時(shí)間進(jìn)行追蹤溯源。

應用案例

某市大數據管理局：在某市大數據管理局部署應用，梳理關(guān)鍵業(yè)務(wù)系統517個(gè)，共享接口1800余個(gè)；監測接口調用20億次，完成了其中600余張敏感數據表以及7億條敏感數據的使用和流轉安全防護。