智慧城市数据安全保障体系如何规划？

信息技术与经济社会的交汇融合

引发了数据的爆炸式增长

大数据时代已经到来

全球社会正式进入了“数据驱动”的时代

大数据技术赋予了人类

前所未有的对海量数据的处理和分析能力

促使数据成为国家基础战略资源和创新生产要素

战略价值和资产价值急速攀升

运用大数据推动经济发展

完善社会治理

提升政府服务和监管能力

以大数据技术驱动新型智慧城市建设正在成为趋势

今天小安就以某市为例

为大家介绍一下

智慧城市的

数据安全保障体系规划

为何要建立数据安全保障体系规划？

某市作为中国互联网之都，为了更好的提升政府服务的效率，让公众更便捷的享受各种基本公共服务，开展了“最多跑一次”的改革工程，利用数据资源，让数据多跑路，让百姓少跑腿，大大提高了百姓的获得感，而这一切都得益于政府数据资源的开放、共享和基于大数据技术的开发与利用。

然而大数据技术引发的数据利用的新模式与保护数据安全之间存在着天然的冲突，数据的高共享和高利用势必会加大数据泄露的风险，形成了数据利用与保护国家重要数据资源和数据利用与保护个人隐私等多方面的矛盾。为有效促进该市大数据产业的健康发展，加强对政务数据资源的安全保障能力，需要建立全市政务数据安全保障体系。

履行《网络安全法》的需要

2017年6月1日，《中华人民共和国网络安全法》（以下简称《网络安全法》）正式施行，它是我国网络安全领域的第一部基础性法律，为网络安全工作提供了切实的法律保障。《网络安全法》对网络数据以及个人信息的使用、防护和管理提出了明确要求。同时《网络安全法》明确指出国家鼓励开发网络数据安全保护和利用技术，促进公共数据资源开放，推动技术创新和经济社会发展。加强对重要数据和个人信息的保护，已是法律所赋予的责任和义务。

落实国家大数据发展战略的需要

全球范围内，运用大数据推动经济发展、完善社会治理、提升政府服务和监管能力已成为趋势，发达国家相继制定实施大数据战略性文件，大力推动大数据发展和应用。我国同样开始布局大数据应用领域，国务院在2015年8月印发了《促进大数据发展行动纲要》。

2017年12月8日，习近平总书记在中共中央政治局第二次集体学习时再次明确实施国家大数据战略，加快建设数字中国，强调要运用大数据提升国家治理现代化水平，运用大数据促进保障和改善民生，并再次重申要切实保障国家数据安全，强化国家关键数据资源保护能力，增强数据安全预警和溯源能力。从国家层面而言，数据安全是保障国家安全，维护国家网络空间主权，强化相关国际事务话语权的工作重点，也是落实我国大数据发展战略的重要保障。

保护公民合法权益不受侵害的需要

数据安全不仅关系到国家安全和经济发展，也越来越多的关系到公民的切身利益。近年来随着互联网经济、互联网社交、互联网服务等新业态的普及，无论是政府部门还是非政府部门在进行各种活动时，往往会收集、保存大量的个人信息。而在大数据的时代背景下，数据的开放和共享成为了常态，个人信息可被更容易的获取和更广泛的传播，个人信息遭到不当收集、恶意使用、篡改的隐患也随之越来越突出。个人信息的非法采集、泄露、滥用等已成为社会性关注的焦点问题。

满足新技术所带来的新要求的需要

随着我国移动互联网、物联网、云计算、大数据等新技术的快速发展和应用，网络与信息安全面临的情况也更为复杂。特别是大数据时代背景下，数据应用浪潮逐渐从互联网、金融、电信等热点行业向政府、传统行业领域拓展渗透，大数据和云平台的引入带来了新的安全风险，分布式的系统部署、开放的网络环境、众多的用户访问、不可控的终端，给传统安全防护技术带来了严峻的挑战，频繁的数据共享和交换也使数据流动路径变得交错复杂，数据从产生到销毁不再是单向、单路径的简单流动模式，加大了对数据防护的难度。如何实现覆盖数据生命周期安全技术的整合，有效保障数据生命周期每个阶段的安全，是大数据时代新的安全方向，对数据安全防护技术提出了更高的要求。

推进城市改革的需要

为了在该市范围内推进和落实“最多跑一次”改革，在该市数据资源管理机构的组织协调下开展了全市政务数据的归集，通过建设数据资源共享交换平台实现政务数据的交换共享和开发利用，提高政府服务效率、提升公共服务水平，变群众奔波为“数据跑腿”。

然而在大量政务数据归集并共享使用的过程中，数据应用的场景越来越复杂多样，更多的业务应用将从原先的单部门应用向跨部门的融合业务应用转变，业务和数据的融合加大了数据安全防护的难度。同时政务数据覆盖行业范围广泛、数据结构多样、关联关系复杂，并会涉及大量个人隐私数据、国家敏感数据等重要数据，集中后的数据治理问题也更加突出，这些都对数据安全防护工作提出了新的挑战和需求，建立全市数据安全保障体系刻不容缓。

如何建立数据安全保障体系？

政务数据安全保障体系架构设计

该市数据安全保障体系的设计，以国家的相关政策和国内外数据安全的标准规范和最佳实践为指导，以国家标准《信息安全技术 大数据服务安全能力要求》（GB/T 35274-2017）为基准，明确数据生命周期各个阶段应具有的安全能力要求，并借鉴在研的国家标准《信息安全技术 数据安全能力成熟度模型》的安全能力维度来进行安全规划与设计，通过“顶层设计、健全管理、创新技术、协同运营、夯实基础”的数据安全保障体系建设，做到安全规划全覆盖、安全管理上台阶、安全技术见实效、安全运行保稳定、基础设施稳支撑，形成具有主动防御和协同运营能力的数据安全保障体系。安全体系架构图如图1所示。

图1 某市政务数据安全保障体系框架

政务数据安全保障体系建设内容

1. 数据安全战略保障

数据安全战略保障是数据安全保障体系的顶层规划，在遵循国家数据安全相关政策和国家标准的基础上，制定该市数据安全保护方面的地方法规和规章，约束和规制该市大数据业务开展各环节中的行为基础；健全地方性数据安全相关标准及指南，引领和指导各级政务部门落实数据安全保障工作；明确该市数据安全总体策略和方针，在推进数据安全开放共享的同时，满足国家层面的数据安全管控要求，实现数据安全防护的总体目标。同时指导各政务部门数据安全组织规划、管理制度、技术防护、安全运营及基础平台安全建设工作的开展。

2.数据安全组织管理

数据安全组织管理是落实数据安全保障工作的首要环节。在本次项目中，通过建立覆盖全市的数据安全管理组织架构，来确保该市数据安全管理方针、策略、制度规范的统一制定和有效实施。

3.数据安全制度规程

数据安全管理制度与规程是数据安全保障工作的制度保障，在实际业务的各个环节中明确具体的安全管理方式和方法，以规范化的流程指导数据安全管理工作的具体落实，避免了实际业务流程中“无规可依”的场景，是数据安全管理工作实际操作中的办事规程和行动准则。

4.数据安全技术措施

数据安全技术措施是数据安全保障工作的技术支撑，确保了管理制度的有效执行。各政务部门应基于自身业务的开展情况，政务数据的防护目标来构建自身的数据安全技术防护手段和工具，确保管理制度要求在实际工作中切实得到了有效执行，同时可为数据安全运营提供易于操作的技术工具，实现动态的应对数据安全风险。

5.数据安全运营保障

数据安全运营保障是对数据生命周期活动过程的保障支撑，是未来开展全市大数据服务业务的重要保障。

6.数据基础设施安全

政务数据基础设施提供了数据生命周期各环节所需的基础设施、存储和处理平台等，是政务数据安全保障的基础。

安恒信息能做什么？

安恒信息具有专业的大数据安全咨询管理团队，通过精细化、全方位的大数据治理方案设计，形成安全、高效、可控、合规的大数据安全整体解决方案，解决政务大数据、医疗大数据等智慧城市大数据面临的数据治理难题，保障智慧城市安全、稳定的快速发展！