政务大数据平台数据安全体系建设指南.pdf

政务大数据平台 数据安全体系建设指南 (版本： 1.0） 腾讯安全 2020 年 9 月 I 目 次 前 言 . 1 引 言 . 2 1 范围 . 3 2 规范性引用文件 . 3 3 术语和定义 . 3 4 政务大数据平台概述 . 3 5 数据安全需求 . 5 5.1 安全合规 . 5 5.2 防泄露 . 5 5.3 防篡改 . 5 5.4 防滥用 . 5 6 数据安全管控基本原则 . 5 6.1 用管分离 . 5 6.2 权限最小化 . 6 6.3 全面覆盖 . 6 6.4 可控性 . 6 6.5 可溯性 . 7 7 总体思路 . 7 8 组织建设 . 8 9 制度体系建设 . 9 9.1 制度体系框架设计 . 9 9.2 制度体系架构说明 . 9 10 基础安全保障 . 10 10.1 密钥管理体系建设原则 . 11 10.2 密钥管理体系设计要点 . 11 10.3 密钥体系分类 . 12 10.4 密钥管理应用模式 . 12 10.5 密钥管理可遵循的标准 . 13 11 数据安全能力建设 . 14 11.1 数据分级 . 14 11.2 数据脱敏 . 17 II 11.3 数据加解密能力 . 19 11.4 数据安全审计 . 21 11.5 数据安全态势感知 . 23 12 数据场景安全管控 . 24 12.1 数据采集 . 24 12.2 数据处理 . 27 12.3 数据应用程序开发与测试 . 28 12.4 数据共享 . 30 13 数据安全运营 . 31 13.1 总则 . 32 13.2 数据安全策略 . 32 13.3 监控预警 . 32 13.4 巡检自查 . 32 13.5 应急响应 . 33 数据安全体系建设指南 第 1页 前 言 本 指南 旨在客观的描述数据安全体系建设的一些建议， 仅供参考 。 本 指南 内容可能涉及专利，本 指南 的发布机构不承担识别这些专利的责任。 本 指南 由 腾讯 云 计算（ 北京 ） 有限责任公司 提出并归口 ， 主要 部门： 安全专家咨询中心、云安全基础产品中心 、 售前与解 决方 案中 心 、 标准管理中心 、产业安全中心 本 指南 起草单位： 腾讯 云 计算（ 北京 ） 有限责任公司 、 中安威士（北京）科技有限公司 、闪捷信息科技有限公司 、 北京三未信安科技发展有限公司 、 杭州世平信息科技有限公司 本 指南 主要 起草人： 刘海 洋、 武杨、 刘鑫、 苏振波、王刚 、 陈龙、王朋群 、 戴林、 陈广辉、 吕喆、 高志权、 高嵩、 刘 松 、刘雨 联合发布 ： 北京 城市大数据研究 院有限公司 数据安全体系建设指南 第 2页 引 言 在电 子 政务领域， 基于 大 数据的 应 用 正 迅 猛发展 。 通过 建设大数据平台， 对 政务 数据 进行 汇聚 、 分析 、 共享 ， 能够 为社会公众带来便捷的政务服务 ，与此同时，也带来了数 据 安全问题 。 2019 年 12 月 1 日起实施的 GB/T 25070-2019 信息安全技术 网络安全等级保护安全设计技术要求 中提 出了 “ 一个中心、三重防护 ” 的原则， 并提出了具体的要求，可有效解决大数据平台的安全问题。 为 了能够 帮助 政务大 数据平台 提升 数据安全的管控能力， 满足相关法律法规要求， 腾讯安全联合生态合作伙伴， 编写了本指南。 本指南 旨在 通过 调研 国内一些 政务大数据平台 项目 ，研究 数据 场景 ， 提炼 业内最 佳实践 ， 从而 提出 符合政务 大数据平台特征的 数据安全体系建设指南。 大数据时代下的数据使用具有 使用 场景复杂、数据用户多 、 数 据 量 大 、 暴露 面大的特点，传统的 单品方式 很难 适应 ， 因此，数据安全是一项体系化 的工程。 本 指南 提 出数据安 全 体 系建 设可 以 基于数据场景 ， 以 数 据 生命 周期 中的各 个 环节 为主要 管控 点 ，从制度 规范 、技术 工具 、 审计 稽核三个 维度 来加强 安全管控 ， 同时，将数据安全工作常态化 。 数据安全体系建设指南 第 3页 1 范围 本指南描述了 政务大数据平台 数据安全 的核心需求和 安全 管控的基本原则 ，提出了 一些具体的 方法 。 本指南适用于计划 建设 政务大数据 平台 的 机构 进行 数据安全规划 ， 适用于正在建设政务大数据平台的 机构开展 数据安全体系建设，适用于已经上线的政务大数据平台 提升数据安全管控能 力 。 2 规 范 性引用文件 下列文件对于本文件的应用是必不可少的 。凡是注日期的引用 文件，仅注日期的版 本适用 于 本 文 件 。凡是不注日期 的引 用文 件 ，其最新版 本 （ 包括所有的修改单 ） 适用于本文件。 GB/T 37932-2019 信息安全技术 数据交易服务安全要求 GB/T 22239-2019 信息安全技术 网络安全等级保护基本要 求 GB/T 25070-2019 信息安全技术 网络安全等级保护安全设计技术要求 GB/T 37973-2019 信息安全技术 大 数 据 安 全管理指南 GM/T 0054-2018 信息系统密 码应用基本 要求 GB/T 35274-2017 信息安全技术 大数 据服 务安全能力要求 ISO27001-2013 信息安全管理体系要求 GB/T 24363-2009 信息安全技 术 信息安全应急响应计划规范 3 术语和定义 数据编目 （ Data Catalogue） 将数据进行目录化 的过程 ， 通过编目可以 快速、便捷的 了解 到 平台都有哪些数据 ， 相比直接查询库中的数据更安全、更高效。 数据 治理 （ Data Governance） 数据治理包括 制定数据标准、提 升 数据 质量 、清理 脏数据、去重等一系列数据的基础处理工作， 数据治 理的越 好，数据价值则更容易提升 。 数据 脱敏 （ Data Desensitization） 通过对数据进行一定的处理达到防止泄露的目的， 数据脱 敏算法包括 遮蔽 、 仿真、 随机替换等 。 4 政务大数据平台概述 政 务大数据平台的建设 一般是 基于 大数据 的 架构 ， 通过 大数据 组件以及 一些工具 或系统完成 数据 的 汇聚、 存储、 处理、分析 和 共享 ，工具系统不 同的项目会有 所不同，例如 ： 数据数据安全体系建设指南 第 4页 采集工 具 、 数据 编目 系统、数据治理 系 统 等 。一般情况下政务大数据平台的建设和运营 会 委托 给 第三方 ，业主方主 要 负责 统筹 。 政务大数据平台一般分为采集区、存储区、处理区、 共享区、展 现 区五个部 分，如下图所示： 一、 采集区 数据来源 包括 第三 方 、政 务交 换平台、其它厅局 等，采集方式 包括接口直接调用、数据文件获取、中间库（ 前置机 ） 、交换 平台等， 采集工具一般 是根据自身的采集特征 进行 定制 ，采集工具主要能力是数据格式的转换， 并 将数据 存入 大数据 平台 。 二、 存储区 统一存储大数据 平台 中的数据， 采集 到 的 数据 直 接存储在大数据 平台 中 ， 形成基础库 （ 也叫贴源 库 ） ， 数 据 经过治理后 生 成主 题 库 ，数据 经过分析后 生成专题库。 （ 说明 ：项目不同，库的名字有所不同 ） 三、 处理 区 主要是指对数据的处理 ， 包括数据治理 、 数据编目、数据分 析等。 一般项目中的数据处理会委托给第三方，为 防止数据泄露，业主 方会要 求在 内网进行操作，且不允许导出。 四、 共享区 数据共享是 政务大数据平台建设的主要目的 之一，共享对象一般包括 内部共享、其它厅局共享、上级机构 共享、第三方应用共享、社会公众共享 。 共享方式 包括接口方 式和文件方式两种 ，一般会以接口方式为主 。 五、 展现区 数据展现主要是 针对业 主方， 包括数 据挖掘 、 有针对 性的 分 析 与汇 总 等，同时也可以实时 掌 握平台的数据 状况。 数据安全体系建设指南 第 5页 5 数据安全需求 5.1 安全合规 随着网络安全法、 网络 安全 等级保护等安 全法律法规的相继实施，数据安全合规已成 为未来可持续发展的必然要求。法律法规是 保障信息化建设的强制性举 措，对 于政务大数据平台，安全合规是可持续发展的首要条件。 安全合规 建议 考虑 中华人民共和国网络安全法、 信息安全技术 大数据服务安全能力要求 、 信息安全技术 大数据安全管理指南 、 信息安全技术 网络安全等级保护基本要求 等 法律 法规 。 5.2 防泄露 政务大数 据 平 台 根 据 平台的性质和业务的不同 通常会 包含大量的个人信 息 、 机构信 息 和业务信息 ，一旦发生泄露 ，不 仅 造成数据主体的损失， 对政府部门的 声誉 也 会造 成 严重影响，因此，数据防泄露是政务大数据平台核心需求之一 。 5.3 防篡改 政务大数据平台所 存储的数据一般均与数据主体 的利益 息 息 相关 ，例 如报税信息、 贷款信息、用电信息 、资 格 信息 、房产信息 等 ， 由于利益的驱 使， 难免有会铤而走险篡改信息，达到自 身 受益的目的，因此， 政务大数据平台也应该重视数据篡 改的防护。 5.4 防 滥用 一般情况下政务大数据平台 委托 第三方负责 建设和运营， 平台业 主方一 般负责 统筹，这样一 来就存在 第三方滥用数据的可能 ， 滥用数据会 降低 政务大数据平台 中 的 数据价值 ，不利于政务数据应用的发展，因此，需要对 政务大数据平台中 的 数据 进行 防滥用管控 。 6 数据安全管控基本原则 6.1 用管 分离 根据不 同业务 系统 、不同功能和用途将数据使用和数据管理分离。采取“用管 分离、 分权而治”的原则，具体用管分离包括 以下内容： 1. 管控分离包括数据应用系统、数据存储管理、数据安全管理、数据安全审计等 ； 2. 各个应用系统和各个数据管理系统 针对不 同的政务部门需要分配不同角色的数据管理 、资源管理、安全管理和安全审计人员 ； 数据安全体系建设指南 第 6页 3. 针对不同数据的使用的申 请 审批流程 ，安全审核需要和其它实施操作进行 分离，包括账户、权限 、 以 及访问机制的分离 ； 4. 细化权限，根据不同业务，不同角色、不同用途分 配 数据 使用 者和数据管理 者的 不同权限 ； 5. 分离数据的所有权和使用权 。 “硬拷贝 ”是目前数据 使用带来风险的源头之一，应分离数据的所 有权和 使用权，杜绝 “物理迁移 ”，严控数据 所有权和使用权，未经许可不得留存，从源头杜绝数据被误用、滥用甚 至盗用，确保数据使用合规、范围可控 ； 6. 监管分离，数据的管理和 监督方分离，数据管理方 对数据使用的安全管理，数据监督方只对数据管理方进行监督 审查。 6.2 权限最小化 根据 各个 业务 系统 中 不同角 色不同业务场景的账户权限分配需要满足最 小 化 原则， 确保数据主体仅被授予 任务 执行 和完成工作所必需的权限。权限最 小 化包 括以 下内容： 1. 结合业务场景分析角色在系统内的访问内容、访 问方式、权限级别、访问时间等约束条件划分权 限 ； 2. 制定权限策略 ， 根 据制 定的权限 策略划分权限 ； 3. 一个角色对 应一定的权限（即应用信息系统中允许操作某功能点或功能点集合的权力）。 6.3 全面覆盖 政务大数据平台 数据安全体系 的建设应该做到全 面 覆盖，避免安全短板问题， 包括： 1. 整个数据资源池的覆盖 ； 2. 整个数据活动的过程 覆盖 ； 3. 数据生命周期 的覆 盖 ； 4. 涉 及 数据的业务平台，数据使用、数据销毁等流程的覆盖 。 6.4 可控性 通过技术或管理手段，保证数据在系统中数据活动的各个阶段是可 控 的， 包括 ： 1. 数据采集过程、数据活动轨迹 可控 ； 2. 各个数据使用平 台的可控 ； 3. 数据申报、数据终止等环节的可控 ； 4. 数据信息流向和使 用行为 方式可控。 数据安全体系建设指南 第 7页 6.5 可溯 性 通过技术及管理 手段，实现数据的来源或泄露点可追溯，数据的可溯性包括以下内容： 1. 通过技术手段对数据活动中的数据进行溯源，以确定数据来源 ； 2. 当发生数据 泄露 或篡改 时能够对泄露 点进行追溯，明确责任 。 7 总体思路 围绕 等保 2.0 提出的 “ 一个中心、三重防护 ” 的原则，构建完整的数据安全防御体系 。基于此， 政务大数 据平台数 据 安全 体系 可 以 从 组织、制 度规范、 基础 安全保障、数据安全能力 、数 据场 景、安全 运 营 六个方面开展建设，如下 图 所示： 政务大数 据平台一 般部署在政务云上， 区域边界安全与通信 网络安全 基于政务云 提供安全保障， 配合满足等保要求 。 为实现整体防护的目标，政务大数据平台需要与政务 云的安全管理中心进行联动，同步日志数据。 一、 建立 管理组织 建议成立专职或虚拟的数据安全管理 团队 ，负责总体协调 和开展数据安全相关工作，明确角色和职责， 并 不断提升人员的能力 。 二、 制度 体系建设 制度规范是落实数据安全相关工作的依据，制度规范的 编写 要 考虑实际情况，确保 切实可行 ，覆盖全面 ，并不断完善。 为方便管理，可以将制度 规 范分 为三 级或四级，形成 树状结构，相互关联 。 三、 基础 安全 保障 在 政 务大数据平台中，需要考虑大数据 组件本身的安全性， 正式应用前应 进 行 安 全 检测，通过 访问 控制 手段 加强 数据环境的安全 性。 另外， 数据 加解密是 保障数据安全的 重 要 手段之