城市数字化转型背景下的安全管理思路与实践
2023-01-31刘硕冯骏
刘硕 冯骏
上海市大数据中心 上海 200072
引言
自2021年6月开始,国家陆续颁布了《数据安全法》和《个人信息保护法》两部法律,与《网络安全法》共同组成我国网络和数据安全领域“三驾马车”。随后,中华人民共和国国务院印发了《关于加强数字政府建设的指导意见》,明确加强数字政府建设,要全面落实总体国家安全观,坚持促进发展和依法管理相统一、安全可控和开放创新并重,严格落实网络安全各项法律法规制度,全面构建制度、管理和技术衔接配套的安全防护体系,切实守住网络安全底线,不断夯实城市数字化转型的基石[1]。
自《关于全面推进上海城市数字化转型的意见》发布以来,上海市围绕城市数字化转型,积极推动数字政府建设,推进治理数字化转型,驱动城市治理模式变革,努力探索一条符合超大城市特点和规律的治理新路子,这个探索过程是一个整体性、全局性的转变,势必要考虑好发展与安全的关系,切实守牢网络和数据安全底线[2]。大数据部门作为城市数字化转型底座支撑单位,始终坚持践行“五个一”理念,即互联互通“一张网”、超级计算“一朵云”、数据治理“一个湖”、应用开发“一平台”、移动终端“一门户”,积极有序推进政府部门信息化职能整合优化工作,统筹安全规划管理,加快形成资源高效利用、工作高效协同、业务与安全并重的智慧政府新格局。在这个变革过程中不断摸索出一套安全管理的实践思路。
1 安全管理现状及面临的挑战
在当前城市数字化转型背景下,传统的安全管理模式受到了前所未有的冲击,从大数据部门角度出发,总结以下几个方面。
一方面,上海市公共数据在赋能城市治理创新和发展过程中,坚持集中统一管理、按需共享交换、有序开放竞争、安全风险可控的基本原则,而公共数据的集中,不可避免地带来数据安全风险的集中[3]。数据的流通性是体现数据资源价值的关键特征之一,而数据的共享、开放恰恰是风险的来源,公共数据“跨层级、跨地域、跨系统、跨部门、跨业务”不断流通,打破了网络安全传统的边界防护体系,给现有的安全管理体系带来了新的挑战和冲击。
另一方面,随着近期《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》《上海市数据条例》等法律法规的陆续出台,以等级保护制度为基线的传统制度管理体系已不能满足基础的合规要求,更不能满足当前大数据部门日益增长的安全保障需求[4]。为了进一步提升安全管理依据的可靠性,需要不断建章立制,完善制度体系设计,明确总体要求和管理细则,实现相关工作按章管理、落地实施以及持续改进。
再者,随着上海市信息化职能整合工作的持续推进,信息系统的逐步移交,导致大数据部门资产范围不断扩大。由于各信息系统原有安全管理手势不一,安全防护能力不同,势必加大了在安全隐患排查、应急处置、协同联动方面的复杂性,整体安全观也面临更大的挑战,亟须立足当前,着眼未来提出更高维度的安全管理战略,设计适应数字化政务转型和业务发展的整体安全架构,统筹好安全管理工作。
2 安全管理思路与实践
为应对当前城市数字化转型背景下的新挑战和考验,政务大数据部门应坚持以问题为导向,多管齐下,不断巩固基础、规范管理、提升能力,逐渐探索出一条逻辑严谨、可靠性强,符合现状的实践思路,即牢固树立整体安全观,坚持筑牢“制度、技术、管理”三道防火墙,通过不断健全最严制度,应用最强技术,执行最高标准,切实守住安全底线[5]。整体建构如下图。
图1 城市安全整体建构图
一是根据当前数据安全面临的新形势和信息化系统管理现状,优化完善安全管理的顶层设计,通过制定总体规划,为后期安全能力的建设提供依据和路线指引[6]。总体规划从大数据部门在城市数字化转型中的整体定位和发展目标出发,从宏观、中观、微观3个层面对当前面临的实际问题开展深入剖析,从制度、管理、技术3个方面重新设计安全管理架构,全面建立安全发展蓝图和建设路径。其中宏观层面,立足于“城市两张网”提出了网络和数据安全管理的总体战略;中观层面,针对政务信息系统迁移上云的政策要求,明确职责范畴内的网络和数据安全管理策略。微观层面,层层细化进一步明确网络和数据安全职责。
二是完善网络和数据安全组织体系和责任体系。深入研究《个人信息保护法》《数据安全法》《关键信息基础设施安全保护条例》等相关法律法规,在原有网络安全责任制度基础上进一步增加数据安全和个人信息保护等相关工作目标,并遵循“统一领导、分级管理、逐级负责”原则,明确大数据部门中网络和数据安全领导小组、工作小组、安全专职机构、各级内设部门等具体安全责任和工作方向,逐步打造上下一体、内外一致的一盘棋格局,有效提升了大数据部门整体的安全责任意识和防护意识,对于各项安全工作的开展和安全制度的落地提供了组织保障。
三是完善以“数据保护为核心”的安全制度体系。深入研究《上海市数据条例》相关要求,结合上海市公共数据管理模式,不断细化、完善公共数据安全管理的各项制度;同时以等保2.0标准作为安全工作基线,细化安全管理要求,使安全工作有据可依、有章可循[7]。同时坚持“实战管用、急用先行”的原则,从实际问题出发,重点修订身份认证、账号管理、日志管理、应急管理和运营管理等多项管理办法,为后期以系统和数据为管理单元的业务工作提供切实可行的安全工作指导。
四是建立数据安全标准体系和技术保护机制。公共数据的安全管理,强调标准先行,在相关制度的保障下,积极开展针对公共数据的标准化建设工作,全面落实《数据安全法》相关要求,围绕公共数据“采集、归集、治理、应用、安全、运营”的全生命周期,围绕市级公共数据管理特点开展相关标准和指南的编制,可以为实际政务公共数据治理和开发工作提供可实操落地的方式、方法,承上启下,起到了链接管理制度和技术落地桥梁作用。
五是开展定期安全检查工作,确保安全管理措施落实到位,建立精准化、制度化、常态化的安全风险评估机制,推动各项技术措施、管理要求落实到位,形成安全管理闭环是安全工作开展的必要手段[8]。围绕大数据部门的系统多、数据多、运维主体多的情况,安全检查强调更加强调“重点突出,统筹兼顾”的原则,全面开展网络和数据安全管理检查和考核工作,包括网络安全管理制度、重要信息系统安全防护、应急预案及演练、安全测评、安全评估及运行情况安全监测等内容,对关键或薄弱环节重点排查,并督促整改,杜绝隐患,有效提升整体网络和数据安全水平。
3 安全管理成效
从制度、管理、技术3个层面深化安全管理,全面提升整体安全防护意识和安全技术能力,实现对政务应用和公共数据的安全合法合规管理,具体成效体现在以下3个方面:
3.1 风险处置能力不断增强
通过落实一体化运营管理机制,持续开展对重要信息系统的安全监测、分析工作,有效提升了安全风险的即时发现、及时处理能力,确保各信息系统安全稳定运行[9]。另一方面,基于集约化的运营管理,有利于安全运维、监控保障资源的统筹和跨部门协同能力的提升。
3.2 数据安全管控能力不断提高
通过细化落实数据安全相关制度和标准,逐步建立了基于数据分域的技术框架,指导数据分类分级管理、数据权限控制、去标识化等技术能力建设,提升了对公共数据和个人隐私数据的防护能力;落实了数据全生命周期管理过程中的差异化保护能力,为保障好数据安全铺平了道路。
3.3 安全管理规范化水平得到有效提升
通过不断完善制度管理体系,落实相应的指导监督手段,有效规范了大数据部门在数据安全管理和系统安全管理方面的工作标准,增强了全局性的统筹能力和集约化水平,保障了后期各项安全工作要求的落地实施[10]。
3.4 安全意识显著增强
通过相关制度的不断细化以及定期安全检查机制的有效落实,大数据部门内部网络和数据安全意识和责任意识达到了前所未有的高度,有力促进了相关安全工作的持续开展,安全管理能力逐渐形成了积极、有序的良性循环模式。
4 结束语
本文以城市数字化转型为背景,分析了当前安全管理体系面临的新风险和新挑战,同时阐述了大数据部门在深化安全管理方面的工作方法及初步成效,为后续安全管理工作开展具有较强的实践指导意义。目前“三位一体”的安全保障体系仍在不断完善和优化,在后期工作推进中仍需要坚持问题导向,并不断探索前沿技术的应用,持续加强管理手段,提升技术保障能力,用最高标准、最严要求筑牢网络和数据安全的“安心锁”和“防护盾”。