近日,由全国信息安全标准化技术委员会归口上报及执行的GB/T 39477-2020《信息安全技术 政务信息共享 数据安全技术要求》(以下简称“本标准”)获批正式发布,并将于2021年6月1日正式实施。
本标准总结现有各种数据安全技术在应对政务信息共享过程中面临数据风险的能力,提出了具体的求框架并规定了政务信息共享过程中共享数据准备、共享数据交换、共享数据使用阶段的数据安全技术要求。
意义解读
国家信息中心于2010年经中编办批准同意,加挂国家电子政务外网管理中心牌子,负责国家电子政务外网建设等相关工作,并为国家政务信息系统整合共享提供技术支撑。
本标准的制定和发布,为政务数据在应用方面的安全保护提供借鉴,也为政务数据治理体系建设和政务大数据安全应用提供了指导。
内容分析
数据安全技术要求涵盖共享数据准备、共享数据交换和共享数据使用三个阶段中各功能集合所需的安全技术要求。
共享数据准备安全技术要求 共享数据准备阶段包括共享数据归集、数据分级分类、资源目录管理、共享数据维护四个环节。其中应当关注到各项环节中,标准根据角色职责分配相应安全技术要求,如针对数据分级分类工作,标准对数据提供方应按照安全要求对数据进行分级分类,同样在资源目录安全中,提供方和交换服务方也应各司其职。
共享数据交换安全技术要求 (1)数据导出时,应关注数据脱敏、数据加密、敏感数据权限标记、安全策略检查等问题。
(2)数据导入时,应关注故障恢复、数据质量控制和数据权责划分。
(3)最后在交换过程中,安全技术要求包括事务标识,访问控制、安全传输、操作抗抵赖、过程可追溯安全。
共享数据使用安全技术要求 (1)数据处理安全要求包括身份鉴别、访问控制、授权管理、数据脱敏、数据加密、数据防泄漏、分布处理安全、数据处理溯源、数据分析安全和安全审计十项要求。
(2)数据存储安全技术要求包括存储安全、数据逻辑存储安全防护、数据加密和安全审计。
(3)数据备份包括备份安全和保存与恢复, 数据销毁安全关键为销毁内容不可逆和过程审计记录。
亮点解析
本标准聚焦政务信息共享这一大场景,并结合政务信息共享交换平台这类具体业务范围和系统平台,有较强的行业特色,完全贴合政务数据安全设计要求,并且也是大数据局安全技术管理所关心的重点范围。
与DSMM的区别与联系(1)DSMM从组织能力、制度流程、技术工具和人员能力四方面规范,本标准聚焦安全技术要求,并作细化描述,更为方便操作实施;
(2)DSMM从数据生命周期安全角度出发,划分了30个安全过程域。本标准则结合共享数据过程,分为准备、交换和使用三个阶段过后,结合数据共享业务特点对要求有所取舍;
(3)DSMM以组织为单位,可面向企业进行参考,所以分为1-5,5个等级类型,要求层次有高有低,本标准面向政务业务系统,要求规范统一。
天齐建议
从政务单位的角度来说,虽然本标准已经较为详细规定各环节的技术要求,但由于各地规划与建设进度不同,需要针对实际情况进行裁剪,并对特别关注的内容进行细化和压实。
从安全厂商的角度来说,政务信息共享与大数据局这条业务线属于新生场景,厂商在通过各自的数据安全及数据安全治理解决方案跑马圈地,后续在本标准的指导下,可以期望相关方案更加完备,解决的政务信息共享数据安全技术问题更有针对性。
软件安全 网络安全的最后一道防线
中科天齐公司是在中科院计算技术研究所的大力推动下
以中科院计算所国际领先的自主研究成果
为基础组建的高新技术企业
关键词标签:信息安全技术 数据安全 网络安全 软件安全
