產業安全專家談丨政務上雲，如何做好數據安全保護？

• 2019 年 11 月 22 日
• 筆記

大數據、雲計算的加持下，數字政務將迎來哪些新的安全「攔路虎」？密碼技術的應用在其中起到怎樣的重要作用？

騰訊安全聯合雷鋒網、雲+社區打造的「產業安全專家談」第三期來了！本期的嘉賓是騰訊安全雲鼎實驗室副總監李濱。李濱不僅是中國首位獲得CCSP認證的安全專家，更是一個多面手，在雲安全、數據安全、作業系統內核和SOC安全、區塊鏈、安全管理、應急響應等領域都擁有豐富的管理經驗和專業技術。而他今天帶來的分享就是時下產業互聯網中最受關注的數字政務的安全。

互聯網飛速發展的今天，「上雲」已經不是什麼新鮮詞了。然而，政府業務搭上這條上雲「快車道」是著實不易。

試想一下：如果你花大價錢換了輛超跑，如果要第一次將它開上高速，試問第一步應該做什麼？顯然，不是踩油門，而是系好安全帶。其中原因用四個字概括，就是：安全第一。

同理，在大數據、雲計算這些「高配組件」的加持下，政府數字化升級不斷深化，政務上雲也讓政府的辦事效率更上一層樓。安全保障的等級是否跟得上亦是衡量其能否「安全行駛」的重要標準。

現階段，伴隨著政府數字化轉型升級、政務上雲成為大趨勢，各地政府對於數字政務安全的重視程度只增不減。然而，要想確實搭上這條資訊「快車道」，其關鍵在於解決數字政務落地的安全風險。

數字政務利用雲計算、大數據等新型技術和手段提高資訊流轉的效率，打通原來各個孤立的數字孤島，通過各個系統的數據互通以及共享，提高整個系統運行的效率，這是數字政務系統發展的趨勢。

那麼，在大數據、雲計算的加持下，數字政務在提升效率的同時又將迎來哪些新的安全「攔路虎」？密碼技術的應用在其中起到怎樣的重要作用？

來，跟李老師一起看看都是哪些攔路虎

1

保障數字政務系統安全面臨哪些挑戰？

李濱：在新的數字政務應用中，雲計算等基礎設施的安全變得更加重要。因為大家會廣泛地使用雲，可能在一個雲平台上面會集中運行多個部門的不同事務處理平台，所以雲基礎設施的安全，會影響到在之上運行的數字政務系統的整體安全。

另外像在雲上面，由於大家數據互通和共享，更多的用大數據去進行的分析和處理，所以對於數據和隱私的保護會更重要。

2

數字政務系統的搭建和管理存在哪些問題，騰訊安全提出了怎樣的解決方案？

李濱：數字政務的最大安全風險在於基礎設施安全、安全管理、和數據安全，針對這些關鍵風險面，騰訊安全提出了「一個基礎底座，兩個安全中台」的整體政務安全解決方案，分別從政務雲基礎設施安全、雲平台安全管理中台和雲數據安全中台三個方面解決數字政務的核心安全難題。 

以「雲數據安全中台」為例，為了適應政務雲計算的廣泛應用以及大數據的一些基礎設施的建立，騰訊安全推出了雲數據安全中台以及配套的系列產品。

戳下方影片，

三分鐘看懂解騰訊雲數據安全中台~

其目的是把整個資訊系統中會使用到的各類密碼技術，以服務化的方式結合到雲計算裡面，以雲平台原生能力的形式來輸出給用戶，以此解決上述三難的問題。

這套方案以簡單透明的方式，用最小成本幫助數字政務系統便捷的實現對現有業務的密碼應用進行合規化改造，極簡的構建雲數據保護方案。

3

從安全形度談談如何保障數字政務系統的易用性？

李濱：上面提到，密碼技術涉及到大量的升級改造的過程，這個難度很大。易用性是指在系統底層降低政務系統開發和改造的成本，順著這個思路，騰訊安全提供加密API和SDK服務，用戶可以輕鬆的在各個業務環節中嵌入合規的加密及密碼技術

• 當需要調用數據時，使用與雲平台本身的基礎產品無縫結合的方式來實現透明加密。如果要對數據存儲進行加密的時候，直接使用雲上的數據，就相當於只需打開一個配置開關，而不是重新做配置。
• 對於必須要改造的數據程式碼（比如不同數據之間通過網路互聯），會提供簡單的SDK而無需修改程式碼。
• 對於資料庫加密的場景，既可以通過直接調用雲資料庫和平台的透明加密能力，無需修改應用程式碼及透明實現高強度的數據保護，也可以通過相應的中間件即可通過幾行程式碼的修改實現透明加密（傳統方式會可能會需要重寫大量程式碼）。

4

國家政策對於密碼技術的推廣以及數字政務系統的落地起到哪些推動作用？

李濱：政府行業數據安全建設的首要是合規，合規是安全數據構架的基礎。

典型的法律及行政規章包括《網路安全法》、《密碼法》、網路安全等級保護2.0、關於加強黨政部門雲計算服務網路安全管理的意見、基於雲計算的電子政務公共平台頂層設計指南、電子政務電子認證服務管理辦法（試行）、《數據安全管理辦法（徵求意見稿）》等。

• 按照等級保護標準，將資訊系統的安全等級一共分為5個級別，每一個級別都包括幾十至數百項保護要求，以此來評定政務系統在各個方面的安全是否達到要求。
• 數字政務系統的資訊安全針對不同的應用場景需要注意的安全事項覆蓋面很廣。因此，數字政務安全並非只是從技術角度來判斷，更是開發、建設和管理的整套體系化流程的安全保障。

5

雲數據安全中台是基於雲原生提供數據安全能力的平台，為什麼實現數據安全的全生命周期覆蓋如此重要？

李濱：數據安全問題應該從數據全生命周期的角度去考慮。

• 在數據的生產錄入與上傳過程中，相關應用可能會遇到身份冒用的風險；在傳輸過程中，未妥善加密的數據面臨著被黑客挾持等外部威脅。
• 海量數據上傳歸集到大數據平台後，對數據進行存儲、處理、分析等操作過程中，可能會面對拖庫、撞庫、誤操作等大數據平颱風險。
• 處理完的數據，會流向各類辦公人員，該環節也可能發生人員泄密，敏感數據失控外傳等內部泄密問題。

應對這些安全隱患首先要提高防護技術水來應對數據流每個環節上的風險；其次要通過統一的治理平台，串聯其孤立的單點防護能力，掃除防護間的盲區，實現數據的持續治理；最後數據安全問題不光是技術問題還是管理問題，需要一套行之有效的數據管理策略。

6

圍繞政務安全的業務來談談騰訊安全的計劃

李濱：針對數字政務領域，騰訊目前圍繞著一個底座兩個中台的概念來做推進。

一個底座，是指打造牢不可破的政務雲基礎設施的安全；兩個中台，第一個是指在保證雲基礎設施安全的基礎上通過雲數據安全中台保證雲上所有數據全生命周期的安全；第二個是雲安全運營的中台，來保證政務雲上發生的所有安全事件、合規的狀況、漏洞風險的管理，從安全管理的角度把控全局。

此外，在數據審計方面，我們重點強化：數據資產感知、數據安全治理、聯防聯控。將數據和日誌資訊通過AI分析感知異常，實現各孤立安全防護節點的聯動與整合。最終助力企業構建服務、指揮、防護一體化數據安全綜合治理體系。