公共數(shù)據(jù)監(jiān)管風(fēng)險(xiǎn)及現(xiàn)狀

近年來，隨著國家數(shù)字政府建設(shè)加速推進(jìn)，作為數(shù)字政府基石的安全建設(shè)逐漸成為數(shù)字政府建設(shè)的重中之重。政務(wù)網(wǎng)絡(luò)承載著政府各部門和各行業(yè)的關(guān)鍵業(yè)務(wù)系統(tǒng)和核心業(yè)務(wù)數(shù)據(jù)，并且跨區(qū)域、跨部門、跨行業(yè)之間存在著大量數(shù)據(jù)交互和共享需求，這些公共數(shù)據(jù)安全如果得不到有效保障，將嚴(yán)重危害數(shù)字政府建設(shè)進(jìn)程。

當(dāng)前，政務(wù)網(wǎng)絡(luò)中公共數(shù)據(jù)在流轉(zhuǎn)過程中主要存在以下一些安全風(fēng)險(xiǎn)與監(jiān)管難點(diǎn)：

安全風(fēng)險(xiǎn)

-數(shù)據(jù)違規(guī)獲取、導(dǎo)出

-數(shù)據(jù)越權(quán)獲取、調(diào)用

-API接口二次封裝、轉(zhuǎn)發(fā)

-敏感文件輸出、泄露

安全現(xiàn)狀與監(jiān)管難點(diǎn)

-API接口多、調(diào)用頻繁

-應(yīng)用系統(tǒng)多、類型繁雜

-終端與服務(wù)器多、管控難

-敏感數(shù)據(jù)多、分布廣

遠(yuǎn)望公共數(shù)據(jù)全鏈路流轉(zhuǎn)監(jiān)管解決方案

為避免政務(wù)數(shù)據(jù)被非法使用和竊取，充分保障政務(wù)數(shù)據(jù)安全，應(yīng)從數(shù)據(jù)流轉(zhuǎn)各個環(huán)節(jié)來強(qiáng)化業(yè)務(wù)數(shù)據(jù)訪問和數(shù)據(jù)共享監(jiān)測，實(shí)現(xiàn)政務(wù)信息系統(tǒng)核心業(yè)務(wù)數(shù)據(jù)全鏈路監(jiān)控和數(shù)據(jù)泄露追蹤溯源。

遠(yuǎn)望公共數(shù)據(jù)全鏈路流轉(zhuǎn)監(jiān)管解決方案基于零信任管控技術(shù)、流量分析技術(shù)，通過數(shù)據(jù)全鏈路監(jiān)測平臺，聚焦應(yīng)用系統(tǒng)、數(shù)據(jù)庫、API接口數(shù)據(jù)的“歸集、回流、共享、開放”鏈路監(jiān)管，提升應(yīng)用訪問、應(yīng)用數(shù)據(jù)共享、數(shù)據(jù)庫運(yùn)維操作、API接口調(diào)用及批量數(shù)據(jù)使用等場景的訪問權(quán)限和數(shù)據(jù)鏈路監(jiān)測，實(shí)現(xiàn)對可能出現(xiàn)的數(shù)據(jù)泄露風(fēng)險(xiǎn)提前預(yù)警和泄露事件實(shí)時監(jiān)測，對發(fā)生的數(shù)據(jù)泄露事件準(zhǔn)確倒查溯源，從而達(dá)到對政務(wù)信息系統(tǒng)數(shù)據(jù)流轉(zhuǎn)的全鏈路監(jiān)控。

公共數(shù)據(jù)全鏈路流轉(zhuǎn)監(jiān)管解決方案架構(gòu)圖

1、數(shù)字資源發(fā)現(xiàn)識別

通過流量分析和特征識別自動發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)存在的應(yīng)用、數(shù)據(jù)、組件、共享接口（API），敏感數(shù)據(jù)等數(shù)字資源，技術(shù)采集數(shù)字資源相關(guān)信息。

2、數(shù)字資源分類分級

對發(fā)現(xiàn)和對接的數(shù)字資源進(jìn)行分類分級標(biāo)識，劃分應(yīng)用類型、數(shù)據(jù)類型、組件類型與共享接口（API）類型。同時對應(yīng)用級別、數(shù)據(jù)級別、組件級別與共享接口（API）級別進(jìn)行標(biāo)識。

3、訪問終端零信任管控

通過零信任安全客戶端對訪問人員身份信息進(jìn)行認(rèn)證，以及對訪問終端進(jìn)行入網(wǎng)前環(huán)境安全檢查，確保訪問終端符合安全要求；通過終端設(shè)備與用戶身份綁定實(shí)現(xiàn)專機(jī)專用。訪問終端未安裝零信任安全客戶端與環(huán)境安全檢查未達(dá)標(biāo)情況下，禁止入網(wǎng)訪問，確保數(shù)據(jù)訪問終端合規(guī)和環(huán)境安全。

4、數(shù)據(jù)鏈路流轉(zhuǎn)監(jiān)測

對批量數(shù)據(jù)歸集、回流、共享、開放數(shù)據(jù)流轉(zhuǎn)鏈路進(jìn)行監(jiān)測，及時發(fā)現(xiàn)數(shù)據(jù)違規(guī)行為，確保批量數(shù)據(jù)合規(guī)使用。

5、服務(wù)器數(shù)據(jù)輸出監(jiān)測

對服務(wù)器側(cè)的敏感數(shù)據(jù)輸出進(jìn)行流轉(zhuǎn)監(jiān)測。針對服務(wù)器通過訪問數(shù)據(jù)庫、批量數(shù)據(jù)歸集與批量數(shù)據(jù)共享得到的數(shù)據(jù)進(jìn)行涉密格式與敏感格式檢查，對發(fā)現(xiàn)的敏感數(shù)據(jù)進(jìn)行分類分級標(biāo)記，提取敏感文件特征內(nèi)容，監(jiān)測本地?cái)?shù)據(jù)輸出流轉(zhuǎn)行為。

6、終端數(shù)據(jù)輸出監(jiān)測

對終端計(jì)算機(jī)側(cè)的敏感數(shù)據(jù)輸出進(jìn)行流轉(zhuǎn)監(jiān)測。針對終端通過訪問數(shù)據(jù)庫、訪問應(yīng)用系統(tǒng)以及收集得到的數(shù)據(jù)進(jìn)行涉密格式與敏感格式檢查，對發(fā)現(xiàn)的敏感數(shù)據(jù)進(jìn)行分類分級標(biāo)記，提取敏感文件特征內(nèi)容，監(jiān)測本地?cái)?shù)據(jù)輸出流轉(zhuǎn)行為。

7、數(shù)據(jù)全鏈路安全防護(hù)

通過在訪問終端安裝監(jiān)測客戶端程序,以及在鏈路上部署網(wǎng)關(guān)流量探針，實(shí)現(xiàn)對數(shù)據(jù)鏈路異常行為的實(shí)時監(jiān)測，及時發(fā)現(xiàn)并阻斷異常行為，阻止外部異常訪問連接，確保業(yè)務(wù)安全穩(wěn)定運(yùn)行。

8、數(shù)據(jù)泄露追蹤溯源

通過監(jiān)測網(wǎng)絡(luò)和終端流量數(shù)據(jù)識別敏感數(shù)據(jù)內(nèi)容，并對可能發(fā)生的數(shù)據(jù)泄露風(fēng)險(xiǎn)進(jìn)行告警。在出現(xiàn)數(shù)據(jù)外泄事件時，從“身份、設(shè)備、應(yīng)用、數(shù)據(jù)”四個維度明確數(shù)據(jù)操作者身份、操作設(shè)備信息、應(yīng)用系統(tǒng)信息、操作數(shù)據(jù)內(nèi)容信息，真實(shí)還原泄露事件發(fā)生過程，為溯源取證提供依據(jù)。

9、風(fēng)險(xiǎn)事件閉環(huán)處置

通過數(shù)據(jù)全鏈路監(jiān)測平臺發(fā)起安全事件閉環(huán)處置流程，實(shí)現(xiàn)事件閉環(huán)處理，并對不同安全級別的風(fēng)險(xiǎn)事件匹配相應(yīng)的處置流程，有效避免安全事件擴(kuò)大，提高安全管理效率。

方案價值

-敏感數(shù)據(jù)拿不走

全面管控?cái)?shù)據(jù)流轉(zhuǎn)各節(jié)點(diǎn)，保障敏感數(shù)據(jù)在使用、流轉(zhuǎn)的過程中不會因越權(quán)、攻擊等原因從而引發(fā)數(shù)據(jù)泄漏、數(shù)據(jù)損壞等安全事件。

-敏感數(shù)據(jù)看不懂

通過數(shù)據(jù)動態(tài)脫敏技術(shù)，實(shí)現(xiàn)了“數(shù)據(jù)可用不可見”，保障敏感數(shù)據(jù)在業(yè)務(wù)場景中正常使用的同時，規(guī)避數(shù)據(jù)泄露事件的發(fā)生。

-數(shù)據(jù)事件可溯源

通過設(shè)備、數(shù)據(jù)、應(yīng)用、身份的全方面識別、管控，保障了敏感數(shù)據(jù)在發(fā)生事件時可第一時間進(jìn)行追蹤溯源。

應(yīng)用案例

某市大數(shù)據(jù)管理局：在某市大數(shù)據(jù)管理局部署應(yīng)用，梳理關(guān)鍵業(yè)務(wù)系統(tǒng)517個，共享接口1800余個；監(jiān)測接口調(diào)用20億次，完成了其中600余張敏感數(shù)據(jù)表以及7億條敏感數(shù)據(jù)的使用和流轉(zhuǎn)安全防護(hù)。