详解政务信息共享数据安全国家标准.pdfVIP

详解政务信息共享数据安全国家标准.pdf

  1. 1、本文档共8页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多

1标准解读

标准核心从政务信息共享模型中所涉及的三方(共享数据提供方、共享数据

交换服务方与共享数据使用方)及三阶段(共享数据准备、共享交换和共享数据

使用)分析政务数据在共享流转过程中所存在的安全风险,并基于安全风险提出

了144项安全技术要求,覆盖政务信息共享数据安全技术要求框架,共享数据

准备、共享数据交换、共享数据使用阶段及相关基础设施的安全技术要求,如图

1所示。

图1政务信息共享数据安全技术要求框架

1.1明确定义了涵盖三方三阶段的政务信息共享模型

标准的核心目的是用于指导各地方政务信息共享交换数据安全体系的建设,

因此在标准中对政务信息共享业务模型进行了重新梳理,其核心基于三方与三阶

段梳理了业务模型如图2所示,明确每方在每个阶段所涉及的业务管理行为,

其对各方理解政务信息共享的业务有直观的指导作用。

图2政务信息共享交换业务模型

1.2安全技术要求涵盖政务信息共享的全生命周期

标准围绕数据共享阶段划分为三个阶段,分别是准备阶段、交换阶段和使用

阶段,而从数据的全生命周期维度来看,即从数据采集、治理、存储、使用及销

毁等核心环节,这些环节的要求在三个阶段中均有不同维度的体现,如在数据共

享准备阶段,即包含了数据采集、数据治理、数据存储的要求;在数据使用阶段

包含了对数据治理、使用及销毁等要求,基本可覆盖数据的全生命周期。另外,

从数据的重要性来看,标准主要还是按照一般数据及敏感数据进行大的分类,针

对敏感数据会提出更有针对性的安全要求,但在对敏感数据的划分上,标准中并

未有明确的指出。

1.3安全技术要求上更加强调国家密码的应用

针对各阶段的数据安全技术应用,标准提出包括数据加密、数据脱敏、数据

水印、数据溯源、身份认证、安全传输等安全技术要求,而在涉及使用密码学技

术层面的要求上,标准中特别强调要符合GM/T0054—2018等国家相关标准规

定的密码技术,一是推进国密算法的应用;二是通过使用国密算法亦能进一步确

保底层核心技术的安全性。另外在安全技术要求上,标准中首次提出了数据召回

的概念,希望能通过召回技术对失效或敏感数据进行管控,进一步保障在使用过

程中的安全,但在标准中未明确如何实现召回的要求。

2各地方政务信息共享安全防护措施与标准尚有距

在标准正式发布后,结合各地方政务信息共享安全建设的情况与标准的144

条安全技术要求进行了对标分析发现,各地方目前已有的安全措施能基本符合标

准要求的有49条,占比40%;部分符合要求的有24条,占比19%;不符合要

求的有51条,占比41%,如图3所示,总体距离标准的要求还有较大的差距。

图3各地方政务信息共享安全建设与标准符合度分析

各地方政务信息共享交换平台上线运营后,在业务管理上,多数尚未对数据

进行分级分类管理,一方面,是因为国家层面尚未有明确的分级分类的管理方法,

地方尚不能清晰做好数据的等级界定,另一方面,是因为目前在政务数据共享层

面主要是以无条件共享为主,在有条件及不予共享层面牵涉较少,故暂不考虑分

级管理;安全技术层面,在身份认证、数据加密、脱敏、溯源的应用上仍有标准

不统一的欠缺,且在共享数据自主可控上亦有很多顾虑。

3标准关键技术要求

标准核心规范应用各类加密技术,针对跨层级、跨地域、跨系统、跨部门、

跨业务的不同政务信息共享资源系统提出多种安全方法和技术要求,按照分级分

类方式制定框架体系保障政务服务平台的数据安全共享。

3.1核心技术要求

针对政务信息数据流转的全过程和面临的数据安全风险,提出数据安全技术

要求,主要包括身份鉴别、访问控制、安全传输、数据加密、脱敏处理、安全审

计等方面涉及的安全技术要求。

3.2主要技术内容

共享数据准备安全技术要求。包括共享数据归集、数据分级分类、资源目录

安全管理、共享数据维护等环节的安全技术要求。其中共享数据归集主要包括数

据源鉴别的安全技术要求;共享数据维护主要包括数据质量控制、数据存储加密、

数据存储隔离、数据召回及销毁等方面的安全技术要求。

共享数据交换安全技术要求。包括身份管理、授权管理、审验审核、数据导

出、数据交换、数据导入等环节的安全技术要求。其中数据导出包括数据脱敏、

数据加密、数据标记、安全策略检查等方面的安全技术要求;数据交换包括身份

鉴别、访问控制、安全传输、操

文档评论(0)

131****9192 + 关注
实名认证
文档贡献者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档