智峰，田鋒，趙若凡

中國計量科學(xué)研究院國家計量科學(xué)數(shù)據(jù)中心，北京 100029

0 引言

隨著信息技術(shù)的發(fā)展，數(shù)字化的發(fā)展模式幾乎遍布各行各業(yè)，由此也帶來了數(shù)據(jù)管理以及數(shù)據(jù)安全等相關(guān)問題。2020年4月9日，中共中央、國務(wù)院發(fā)布了《關(guān)于構(gòu)建更加完善的要素市場化配置體制機制的意見》，該意見將數(shù)據(jù)要素與土地要素、勞動力要素、資本要素等傳統(tǒng)生產(chǎn)要素一并列為完善要素市場化配置的關(guān)鍵因素[1]。該意見所倡導(dǎo)的“推進政府?dāng)?shù)據(jù)開放共享”與“加強數(shù)據(jù)資源整合和安全保護”揭示了數(shù)據(jù)開放共享與數(shù)據(jù)安全對推動數(shù)字化發(fā)展的重要性[2]?！吨腥A人民共和國數(shù)據(jù)安全法》于2021年9月1日起施行，其進一步強調(diào)了數(shù)據(jù)安全對國家安全與經(jīng)濟發(fā)展的重要性。該法案第二十一條提出的“建立數(shù)據(jù)分類分級保護制度”，指出了開展數(shù)據(jù)分級分類對維護數(shù)據(jù)安全的必要性，為未來各行各業(yè)的信息安全工作提出了寶貴的指導(dǎo)意見。

對于科學(xué)研究和創(chuàng)新發(fā)展而言，科學(xué)數(shù)據(jù)是一種基礎(chǔ)性的戰(zhàn)略資源。而科學(xué)數(shù)據(jù)的分級分類則是維護數(shù)據(jù)安全、實現(xiàn)數(shù)據(jù)開放共享的必要方法。在計量領(lǐng)域，隨著計量單位制的量子化和量值傳遞扁平化的變革，以及隨之而來的計量基準、標(biāo)準和標(biāo)準物質(zhì)的數(shù)字化等變革，以設(shè)備數(shù)字圖譜、電子原始記錄、數(shù)字證書為基礎(chǔ)的扁平化量傳體系，以及以區(qū)塊鏈為主要技術(shù)的法制計量大數(shù)據(jù)聯(lián)盟鏈機制將成為未來計量行業(yè)的發(fā)展趨勢[3-4]。計量行業(yè)數(shù)字化的發(fā)展趨勢將會導(dǎo)致數(shù)據(jù)產(chǎn)出量和積累量迅速上升。同時，由于計量學(xué)涉及的領(lǐng)域十分廣泛且數(shù)據(jù)量龐大，對計量數(shù)據(jù)進行合理的分級分類對于實現(xiàn)計量數(shù)據(jù)的收集、存儲、分析、共享以及安全維護是十分必要的[5]。

1 國內(nèi)關(guān)于數(shù)據(jù)分類的相關(guān)政策

科學(xué)數(shù)據(jù)主要指在自然科學(xué)、工程技術(shù)等領(lǐng)域通過基礎(chǔ)研究、應(yīng)用研究、試驗開發(fā)產(chǎn)生的數(shù)據(jù)，以及通過觀測監(jiān)測、考察調(diào)查、檢驗檢測等方式取得并可用于科學(xué)研究活動的原始數(shù)據(jù)及其衍生數(shù)據(jù)[6]。隨著信息技術(shù)的發(fā)展，科學(xué)數(shù)據(jù)對科研工作的推進作用愈發(fā)重要，科學(xué)數(shù)據(jù)已然成為一種重要的科學(xué)基礎(chǔ)資源。針對這一發(fā)展趨勢，自21世紀以來，我國陸續(xù)發(fā)布多條相關(guān)政策，以加強對科學(xué)數(shù)據(jù)的管理，并逐步形成以行業(yè)機構(gòu)、領(lǐng)域數(shù)據(jù)中心和國家層面的科學(xué)數(shù)據(jù)中心為主體的科學(xué)數(shù)據(jù)政策體系[7-8]。

2015年，國務(wù)院印發(fā)《促進大數(shù)據(jù)發(fā)展行動綱要》，明確部署了與發(fā)展科學(xué)大數(shù)據(jù)、知識服務(wù)大數(shù)據(jù)應(yīng)用有關(guān)的戰(zhàn)略決策，提出了“構(gòu)建科學(xué)大數(shù)據(jù)國家重大基礎(chǔ)設(shè)施，實現(xiàn)對國家重要科技數(shù)據(jù)的權(quán)威匯集、長期保存、集成管理和全面共享”以及“對各領(lǐng)域知識進行大規(guī)模整合，搭建層次清晰、覆蓋全面、內(nèi)容準確的知識資源庫群，建立國家知識服務(wù)平臺與知識資源服務(wù)中心，形成以國家平臺為樞紐、行業(yè)平臺為支撐，覆蓋國民經(jīng)濟主要領(lǐng)域，分布合理、互聯(lián)互通的國家知識服務(wù)體系，為生產(chǎn)生活提供精準、高水平的知識服務(wù)”等主要任務(wù)。

2018年，國務(wù)院辦公廳發(fā)布的《科學(xué)數(shù)據(jù)管理辦法》成為我國首個國家層面的科學(xué)數(shù)據(jù)管理辦法。該辦法進一步針對目前我國科學(xué)數(shù)據(jù)管理中的工作人員職責(zé)，數(shù)據(jù)的采集、匯交與保存，數(shù)據(jù)的共享與利用以及數(shù)據(jù)的保密與安全等工作進行系統(tǒng)部署。其中第二十條明確要求“法人單位要對科學(xué)數(shù)據(jù)進行分級分類，明確科學(xué)數(shù)據(jù)的密級和保密期限、開放條件、開放對象和審核程序等，按要求公布科學(xué)數(shù)據(jù)開放目錄，通過在線下載、離線共享或定制服務(wù)等方式向社會開放共享”。該辦法首次將數(shù)據(jù)分級分類作為保障數(shù)據(jù)安全的主要手段，旨在在保障數(shù)據(jù)安全的前提下，實現(xiàn)以“開放為常態(tài)、不開放為例外”為原則的數(shù)據(jù)管理環(huán)境。

2021年6月10日，第十三屆全國人民代表大會常務(wù)委員會第二十九次會議通過《中華人民共和國數(shù)據(jù)安全法》，該法案將數(shù)據(jù)安全提升至國家安全層面。除了在數(shù)據(jù)安全與發(fā)展、數(shù)據(jù)安全保護義務(wù)、政務(wù)數(shù)據(jù)安全與開放以及數(shù)據(jù)安全的相關(guān)法律責(zé)任方面做出詳細規(guī)定，該法案第三章“數(shù)據(jù)安全制度”的首條規(guī)定特別強調(diào)了數(shù)據(jù)分級分類保護制度對維護國家核心數(shù)據(jù)安全的重要性。其中，第二十一條指出“各地區(qū)、各部門應(yīng)當(dāng)按照數(shù)據(jù)分類分級保護制度，確定本地區(qū)、本部門以及相關(guān)行業(yè)、領(lǐng)域的重要數(shù)據(jù)具體目錄，對列入目錄的數(shù)據(jù)進行重點保護”。該條款明確指出，以數(shù)據(jù)分級分類為主要方法的數(shù)據(jù)安全管理是各行各業(yè)有關(guān)單位必須重視的核心工作，同時也是數(shù)據(jù)安全建設(shè)得以實施的基礎(chǔ)。

從近幾年我國有關(guān)科學(xué)數(shù)據(jù)分級分類的管理辦法以及《中華人民共和國數(shù)據(jù)安全法》中不難看出，在以大數(shù)據(jù)為技術(shù)基礎(chǔ)的數(shù)字化發(fā)展背景下，數(shù)據(jù)安全方面的治理刻不容緩。在“開放為常態(tài)、不開放為例外”的原則下，數(shù)據(jù)安全是實現(xiàn)數(shù)據(jù)安全共享的前提。由于不同行業(yè)領(lǐng)域中數(shù)據(jù)的類型及特點具有一定差異，針對計量學(xué)制定的數(shù)據(jù)分級分類方法則需要依據(jù)計量學(xué)的特點進行研究。

2 計量科學(xué)大數(shù)據(jù)的分級分類

2.1 計量數(shù)據(jù)分級分類的必要性

計量學(xué)涉及的領(lǐng)域十分廣泛且數(shù)據(jù)分類方法多種多樣，制定統(tǒng)一而合理的數(shù)據(jù)分類規(guī)則是實現(xiàn)計量數(shù)據(jù)資源有效利用的基礎(chǔ)。根據(jù)《通用計量術(shù)語及定義》（JJF1001—2011），計量學(xué)是“測量及其應(yīng)用的科學(xué)”[9]，這樣的定義意味著計量學(xué)涵蓋了各個學(xué)科領(lǐng)域中與測量的理論和應(yīng)用有關(guān)的各個方面。按社會服務(wù)功能劃分，計量學(xué)可分為法制計量、科學(xué)計量和工業(yè)計量。按專業(yè)領(lǐng)域劃分，可分為幾何量計量、熱學(xué)計量、電磁學(xué)計量等十大類。而在國家計量科學(xué)數(shù)據(jù)中心的數(shù)據(jù)共享平臺，計量學(xué)則被分為標(biāo)準參數(shù)數(shù)據(jù)、計量科研數(shù)據(jù)、計量基標(biāo)準數(shù)據(jù)、計量檢測數(shù)據(jù)和計量信息數(shù)據(jù)五大類。由此可見，計量數(shù)據(jù)根據(jù)分類視角的不同會產(chǎn)生不同的分類方法，而目前國內(nèi)計量科學(xué)領(lǐng)域?qū)υ獢?shù)據(jù)的分類標(biāo)準尚未統(tǒng)一。同時，移動互聯(lián)時代的大數(shù)據(jù)與PC時代數(shù)據(jù)的本質(zhì)區(qū)別在于其量大、多維且格式多樣。在沒有充分挖掘之前，大量孤立的原始計量數(shù)據(jù)價值不高，而經(jīng)過采集、加工后形成的衍生數(shù)據(jù)以及數(shù)據(jù)挖掘產(chǎn)出的分析結(jié)果則會價值倍增[10]。隨著數(shù)據(jù)利用率的提高，對計量科學(xué)數(shù)據(jù)依照統(tǒng)一且合理的規(guī)則進行分類，更有利于科研工作者從種類繁多、分散在各個研究機構(gòu)且數(shù)量龐大的原始計量數(shù)據(jù)中選取有效數(shù)據(jù)進行分析，為之后的數(shù)據(jù)挖掘工作提供便利。

安全的數(shù)據(jù)環(huán)境是保證數(shù)據(jù)交換和數(shù)據(jù)挖掘的基礎(chǔ)，而數(shù)據(jù)的分級分類則是維護數(shù)據(jù)安全的有效方法。計量學(xué)與國家法律法規(guī)以及行政管理有著緊密的聯(lián)系[11]，這在其他學(xué)科是少有的。計量學(xué)的特性使得計量科學(xué)數(shù)據(jù)多數(shù)被國家和地方的計量研究院所掌控且部分數(shù)據(jù)關(guān)乎某些個人或組織的合法權(quán)益，重要數(shù)據(jù)的泄露甚至?xí)：野踩约肮怖妗Ｅc此同時，在數(shù)字化的發(fā)展背景下，計量數(shù)據(jù)的開放共享是必然的趨勢，它對推動計量學(xué)的進步也是至關(guān)重要的。在這樣的發(fā)展趨勢下，要求計量數(shù)據(jù)的管理者能兼顧數(shù)據(jù)的安全性和開放性。由此可見，數(shù)據(jù)管理和保護能力是開展計量科學(xué)研究工作的基礎(chǔ)。而只有做好數(shù)據(jù)分級分類，才能將需要保護的重要數(shù)據(jù)分離出來，將可以共享的數(shù)據(jù)分享到大數(shù)據(jù)平臺，以供各行各業(yè)充分利用[12-13]。

由此可見，對于存儲著重要計量數(shù)據(jù)的各研究機構(gòu)而言，以數(shù)據(jù)分級分類為核心內(nèi)容的數(shù)據(jù)安全管理是各單位必須重視的核心工作。

2.2 我國計量數(shù)據(jù)分級分類的現(xiàn)狀

正如前文提到的，對于計量科研數(shù)據(jù)而言，無論是按照社會服務(wù)功能將數(shù)據(jù)分為法制計量、科學(xué)計量和工業(yè)計量這三大類，按照專業(yè)將其分為幾何量計量等十大類，還是如國家計量科學(xué)數(shù)據(jù)中心的數(shù)據(jù)共享平臺將數(shù)據(jù)分為標(biāo)準參數(shù)數(shù)據(jù)、計量科研數(shù)據(jù)、計量基標(biāo)準數(shù)據(jù)、計量檢測數(shù)據(jù)和計量信息數(shù)據(jù)，目前的分類方法都是從不同的角度根據(jù)數(shù)據(jù)種類進行劃分的，且分類方法缺乏統(tǒng)一性。這樣缺乏統(tǒng)一性的分類方法會給科研工作者以及其他行業(yè)中對計量數(shù)據(jù)有使用需求的工作人員帶來不便。而在全國范圍內(nèi)施行統(tǒng)一的數(shù)據(jù)分類標(biāo)準則會大大提高計量數(shù)據(jù)的共享及利用效率，減少相關(guān)工作人員在數(shù)據(jù)檢索時的負擔(dān)。

《中華人民共和國數(shù)據(jù)安全法》第二十一條明確指出，為了加強對重要數(shù)據(jù)的保護，有關(guān)機構(gòu)應(yīng)依據(jù)數(shù)據(jù)的重要程度以及出現(xiàn)意外事件后其后果的嚴重程度，通過分級分類的方法對數(shù)據(jù)進行保護。對于涉及多個領(lǐng)域且關(guān)乎眾多行業(yè)發(fā)展的計量學(xué)，其科研相關(guān)數(shù)據(jù)中很大一部分屬于“關(guān)系國家安全、國民經(jīng)濟命脈、重要民生、重大公共利益”的國家核心數(shù)據(jù)，按規(guī)定應(yīng)受到更高程度的重視。在數(shù)據(jù)驅(qū)動發(fā)展的背景下，數(shù)據(jù)的共享開放是必然的趨勢，而數(shù)據(jù)安全則是保證發(fā)展可持續(xù)性的前提。由此可見，為了維護數(shù)據(jù)安全，推進計量數(shù)據(jù)共享開放，計量行業(yè)需要盡快針對數(shù)據(jù)的安全性制定統(tǒng)一的分級分類標(biāo)準。

雖然在全國范圍內(nèi)并未實現(xiàn)計量數(shù)據(jù)分類標(biāo)準的統(tǒng)一，但作為國家級的計量數(shù)據(jù)中心——國家計量科學(xué)數(shù)據(jù)中心在《中華人民共和國數(shù)據(jù)安全法》正式實施以前就制定了比較詳細的數(shù)據(jù)分級分類方案。在2020年11月發(fā)布的《國家計量科學(xué)數(shù)據(jù)中心數(shù)據(jù)分級分類管理辦法》（以下簡稱《計量分類》）中，國家計量科學(xué)數(shù)據(jù)中心根據(jù)數(shù)據(jù)的內(nèi)容和形式，按照層次分類法將計量科學(xué)數(shù)據(jù)分為兩級并對其編碼，具體見表1。

表1 計量科學(xué)數(shù)據(jù)分級及編碼

同時，國家計量科學(xué)數(shù)據(jù)中心基于數(shù)據(jù)安全和利用價值將數(shù)據(jù)分為公開數(shù)據(jù)、內(nèi)部數(shù)據(jù)、受保護數(shù)據(jù)3類，并對其采取不同的保存策略和共享方式，具體見表2。

表2 計量科學(xué)數(shù)據(jù)安全分級

同時，國家計量科學(xué)數(shù)據(jù)中心也公布了各類數(shù)據(jù)的界定標(biāo)準，具體如下。

● 完全開放共享數(shù)據(jù)：提供給國家計量科學(xué)數(shù)據(jù)中心且無附加共享利用條件約束的科學(xué)數(shù)據(jù)資源。

● 協(xié)議共享數(shù)據(jù)：按約定的協(xié)議條件共享利用的科學(xué)數(shù)據(jù)資源。

● 不予共享數(shù)據(jù)：不宜共享利用的科學(xué)數(shù)據(jù)資源。

從國家計量科學(xué)數(shù)據(jù)中心制定的分級分類標(biāo)準可以看出，當(dāng)前國家計量科學(xué)數(shù)據(jù)中心施行的分級分類方法既依據(jù)數(shù)據(jù)類型對數(shù)據(jù)進行了分類編碼，也從數(shù)據(jù)的安全性角度考慮將數(shù)據(jù)分為三大類以對特定數(shù)據(jù)進行分級保護，其分級分類標(biāo)準已經(jīng)初見雛形并形成系統(tǒng)。為了進一步改善現(xiàn)有的分級分類標(biāo)準，本文將參考國內(nèi)外其他領(lǐng)域的數(shù)據(jù)分級分類方法，擇其善者而從之，其不善者而改之。

3 國內(nèi)其他領(lǐng)域數(shù)據(jù)分級分類的現(xiàn)狀

從2018年發(fā)布的《科學(xué)數(shù)據(jù)管理辦法》第十九條中提到的“開放為常態(tài)、不開放為例外”的原則，以及持續(xù)推進國家數(shù)據(jù)交換平臺建設(shè)的發(fā)展趨勢中不難看出，近年來我國越來越重視科學(xué)數(shù)據(jù)共享。自2004年科學(xué)技術(shù)部啟動國家科技基礎(chǔ)條件平臺建設(shè)工作到2011年首批23個國家科技基礎(chǔ)條件平臺獲批并公布，我國在科研領(lǐng)域的數(shù)字化發(fā)展一直沒有停止前進的腳步。為了響應(yīng)《科學(xué)數(shù)據(jù)管理辦法》和《國家科技資源共享服務(wù)平臺管理辦法》，除了在計量領(lǐng)域于2019年成立了國家計量科學(xué)數(shù)據(jù)中心，在農(nóng)業(yè)科學(xué)、地球科學(xué)和氣象科學(xué)等19個領(lǐng)域也成立了相應(yīng)的國家科學(xué)數(shù)據(jù)中心。通過對19個其他領(lǐng)域數(shù)據(jù)中心的數(shù)據(jù)分級分類方法進行調(diào)研，可以為計量領(lǐng)域的數(shù)據(jù)分級分類提供參考[14-16]。筆者在調(diào)研后發(fā)現(xiàn)了如下現(xiàn)象。

（1）計量行業(yè)缺乏詳細的元數(shù)據(jù)分類標(biāo)準

在對其他數(shù)據(jù)中心進行調(diào)研的過程中，筆者發(fā)現(xiàn)部分中心制定的數(shù)據(jù)分級分類方法更詳細具體，值得計量行業(yè)效仿。例如在國家林業(yè)和草原科學(xué)數(shù)據(jù)中心發(fā)布的《林業(yè)科學(xué)數(shù)據(jù)分類與編碼（V1.0）》中，林業(yè)科學(xué)數(shù)據(jù)依據(jù)數(shù)據(jù)性質(zhì)被分為三大門類。在每個門類中，數(shù)據(jù)根據(jù)其學(xué)科領(lǐng)域以及其子學(xué)科的數(shù)據(jù)內(nèi)容被分為一級分類和二級分類。其中，一級分類共36項，二級分類共116項。相比之下，國家計量科學(xué)數(shù)據(jù)中心制定的分級分類方法并沒有針對具體學(xué)科領(lǐng)域以及相應(yīng)子學(xué)科對元數(shù)據(jù)進行分類。對于涉及較多學(xué)科領(lǐng)域的計量學(xué)，制定更詳細的元數(shù)據(jù)分類標(biāo)準不僅有利于數(shù)據(jù)的匯交和管理，更有利于提高數(shù)據(jù)搜索效率。

（2）計量數(shù)據(jù)安全分類缺乏量化的分類標(biāo)準

隨著對數(shù)據(jù)安全需求的提高，國內(nèi)已經(jīng)有學(xué)者以ISO27001體系為基礎(chǔ)提出了數(shù)據(jù)資產(chǎn)分級模型。ISO27001體系將數(shù)據(jù)安全性拆分為 保密性（confidentiality）、完整性（integrity）、可用性（availability）（簡稱CIA）[17]。陳馳等人[18]以CIA為基礎(chǔ)，建立了數(shù)學(xué)模型：

其中，V代表數(shù)據(jù)資產(chǎn)價值；Conf、Int、Ava分別代表數(shù)據(jù)在保密性、完整性、可用性3個方面具有的資產(chǎn)價值；A代表保密性的權(quán)值，B代表完整性的權(quán)值，C代表可用性的權(quán)值，具體數(shù)值可依據(jù)其應(yīng)用的行業(yè)特征進行調(diào)整。此表達式通過對CIA三方面的資產(chǎn)價值進行冪運算，并乘以相應(yīng)權(quán)值之后再進行對數(shù)運算（lb代表以2為底的對數(shù)），最終得出數(shù)據(jù)資產(chǎn)價值的估值，Round1表示保留1位小數(shù)。該表達式反映了數(shù)據(jù)的業(yè)務(wù)價值，進而可以結(jié)合數(shù)據(jù)的涉密性完成對數(shù)據(jù)保密等級的劃分，數(shù)字資產(chǎn)價值與數(shù)據(jù)資產(chǎn)保密等級的關(guān)系見表3[18-19]。

表3 數(shù)據(jù)資產(chǎn)價值與數(shù)據(jù)資產(chǎn)保密等級的關(guān)系

數(shù)據(jù)資產(chǎn)分級模型與表2的計量科學(xué)數(shù)據(jù)安全分級方法均依據(jù)數(shù)據(jù)安全等級對數(shù)據(jù)進行分級劃分。相比之下，數(shù)據(jù)資產(chǎn)分級模型通過數(shù)學(xué)模型量化了數(shù)據(jù)資產(chǎn)的價值，并依據(jù)量化結(jié)果對數(shù)據(jù)的安全等級進行劃分。相比《計量分類》中描述性的分級標(biāo)準，數(shù)據(jù)資產(chǎn)分級模型對安全等級的評估更為明確且精準，而且便于數(shù)據(jù)工作人員操作。計量數(shù)據(jù)分級也可以參照數(shù)據(jù)資產(chǎn)模型，根據(jù)不同計量領(lǐng)域的學(xué)科特點制定公式化的分級標(biāo)準，以提高分級的精確性。

（3）部分數(shù)據(jù)平臺的數(shù)據(jù)組織規(guī)范性不足

部分平臺存在同一平臺出現(xiàn)多種分類方式的現(xiàn)象，容易降低數(shù)據(jù)搜索效率。例如國家氣象科學(xué)數(shù)據(jù)中心官網(wǎng)首頁的“數(shù)據(jù)分類體系”中將數(shù)據(jù)分為地面氣象資料、高空氣象資料、衛(wèi)星探測資料、天氣雷達探測資料以及數(shù)值預(yù)報模式產(chǎn)品這五大類，而在“數(shù)據(jù)服務(wù)”這一欄目中則將數(shù)據(jù)分為共享目錄、地面資料、高空資料、數(shù)值預(yù)報、雷達資料、衛(wèi)星資料和專題服務(wù)七大類。兩種分類方式存在一定重疊但又有所區(qū)別，這樣的分類方法并不是必需的，且會給瀏覽網(wǎng)站的人員造成數(shù)據(jù)檢索困難。

（4）部分數(shù)據(jù)平臺元數(shù)據(jù)分類不嚴謹

在國家地球系統(tǒng)科學(xué)數(shù)據(jù)中心的共享平臺中，多數(shù)降水?dāng)?shù)據(jù)被歸入一級類目“大氣圈”下的二級類目“降水”中。這使得大量本應(yīng)該在“陸地水圈”中存儲的陸地降水?dāng)?shù)據(jù)被歸入“大氣圈”。由于數(shù)據(jù)分類存在概念重疊，對陸地水循環(huán)有研究需求的用戶無法在“陸地水圈”找到足夠的降水?dāng)?shù)據(jù)，給相關(guān)工作人員的數(shù)據(jù)檢索工作造成了較大困難[20]。在對其他共享平臺的調(diào)研中發(fā)現(xiàn)的上述問題可以為國家計量科學(xué)數(shù)據(jù)中心之后制定更詳細的計量數(shù)據(jù)分級分類方案起到警示作用。

4 國外數(shù)據(jù)分級分類的現(xiàn)狀

和國內(nèi)相比，美國在數(shù)據(jù)共享、數(shù)據(jù)管理以及數(shù)據(jù)安全方面的工作開展得更早。早在1991年，白宮科技政策辦公室就發(fā)布了關(guān)于研究數(shù)據(jù)管理的政策聲明，要求對全球變化研究項目所產(chǎn)生的科研數(shù)據(jù)實行以“完全與開放”（full and open）為原則的開放共享政策[21]，如今已建立了比較完善的科學(xué)數(shù)據(jù)管理體系，十分值得我國從事數(shù)據(jù)管理的相關(guān)工作人員借鑒[22-23]。根據(jù)《聯(lián)邦信息安全管理法案》（Federal Information Security Management Act，F(xiàn)ISMA）[24]，美國聯(lián)邦政府將信息系統(tǒng)分為聯(lián)邦信息系統(tǒng)和國家安全系統(tǒng)兩類，并分別針對這兩類信息系統(tǒng)制定了《聯(lián)邦信息和信息系統(tǒng)安全分類》（FIPS 199）與《國家安全系統(tǒng)的安全分類和控制選擇》（CNSSI 1253）[25-26]。這兩套數(shù)據(jù)分級分類體系有相似之處，但因適用領(lǐng)域不同而又有所區(qū)別，對這兩套美國經(jīng)典的信息安全體系進行調(diào)研有助于幫助我國完善計量領(lǐng)域的數(shù)據(jù)分級分類方法。

4.1 FIPS 199與CNSSI 1253的誕生

在2002年美國國會會議上由總統(tǒng)簽署頒布的電子政務(wù)法案（公共法令107-347）明確了信息安全對美國國家安全的重要性。該法案第三章“聯(lián)邦信息安全管理法案（FISMA）”成為美國信息安全發(fā)展的基石[27]。為了實現(xiàn)信息安全發(fā)展，F(xiàn)ISMA將實施步驟分為開發(fā)標(biāo)準和指南、形成安全能力、運用自動化工具3個階段。由美國國家標(biāo)準與技術(shù)研究院（National Institute of Standards and Technology，NIST）制定的FIPS 199完成了FISMA的第一個目標(biāo)：為所有聯(lián)邦機構(gòu)（除國家安全系統(tǒng)外）提供對信息和信息系統(tǒng)進行分級分類的標(biāo)準[28]，并與之后推出的《將各類信息和信息系統(tǒng)映射到安全類別的指南》（SP 800-60）配合使用，為聯(lián)邦信息系統(tǒng)的數(shù)據(jù)安全管理提供了基本依據(jù)[29]。

與《計量分類》不同的一點是，F(xiàn)IPS 199的分級分類標(biāo)準是完全針對數(shù)據(jù)的安全性進行評級，并沒有根據(jù)數(shù)據(jù)的形式、類別或?qū)W科進行分類。FIPS 199從保密性、完整性以及可用性3個維度對信息的安全性進行評級，并針對每一個維度均賦予了發(fā)生意外事件的負面影響程度的評級，分別為低、中、高或不可用。每種信息類型以及整個信息系統(tǒng)均可以通過安全分級SC的通用表達式進行描述[30-31]：

在FIPS 199的綜合評估過程中，需要依照“就高不就低”的原則依次對每個信息類型以及整個信息系統(tǒng)的安全性進行評級。為了配合FIPS 199的實施，美國國家標(biāo)準與技術(shù)研究院后續(xù)推出的SP 800-60詳細介紹了聯(lián)邦信息系統(tǒng)中可能運行的所有信息類型，針對每一種信息類型介紹了如何選擇影響級別的標(biāo)準，并給出了推薦采用的級別[32]。

在FIPS 199的基礎(chǔ)上，美國國家安全系統(tǒng)委員會于2012年出臺了《國家安全系統(tǒng)的安全分類和控制選擇》，對國家安全系統(tǒng)的信息分類和相應(yīng)的技術(shù)防護要求做出了規(guī)定。其分級方法以聯(lián)邦信息系統(tǒng)的分級原則為基礎(chǔ)，定級程序也與FIPS 199相似。CNSSI 1253與聯(lián)邦信息系統(tǒng)不同的兩點分別如下。

（1）系統(tǒng)安全級別矢量化

CNSSI 1253沒有把系統(tǒng)的安全性簡單劃分為高、中、低3個級別，而是分別考慮了系統(tǒng)的保密性、完整性、可用性。其安全級別體現(xiàn)為一個具有3個元素的矢量，分為{(保密性, 高), (完整性, 高), (可用性, 高）}、{(保密性, 中), (完整性, 高), (可用性, 高)}、{保密性, 低), (完整性, 高), (可用性, 高)}等27個類別。

（2）保密性分級精細化

對于保密性分級，CNSSI 1253提出了更細致的要求，不僅要依據(jù)信息本身的保密性，還要根據(jù)系統(tǒng)的使用環(huán)境、相關(guān)人員等因素對保密性級別進行調(diào)整。

4.2 FIPS 199與CNSSI 1253對計量數(shù)據(jù)分級分類的啟示

FIPS 199對數(shù)據(jù)安全性的衡量有更豐富的維度和更具體的標(biāo)準。與《計量分類》相比，這種更加具體的分級分類方法更有利于相關(guān)工作人員開展針對數(shù)據(jù)安全層面的分級分類工作且分類的標(biāo)準更加統(tǒng)一，值得我國計量行業(yè)借鑒。

通過對比FIPS 199和《計量分類》可以發(fā)現(xiàn)，二者均根據(jù)數(shù)據(jù)安全等級將數(shù)據(jù)分為3個安全等級，然而FIPS 199在得出最終等級判定之前，從保密性、完整性以及可用性3個維度依次對每個信息類型以及整個信息系統(tǒng)進行了判定，多維度、多步驟的分類過程有利于增加數(shù)據(jù)分級的準確性。相比之下，《計量分類》中的分級標(biāo)準則比較模糊，過于粗略，在數(shù)據(jù)分類的過程中主觀性較強。同時，SP 800-60對FIPS 199起到了補充說明的作用，針對各種信息類型分別提出了安全等級劃分的建議。對于擁有龐大數(shù)據(jù)種類的計量學(xué)，數(shù)據(jù)工作人員往往很難準確地把握每種信息類型的安全性分級，因此針對計量學(xué)制定類似SP 800-60的數(shù)據(jù)分級分類指南是十分必要的。

相比之下，采取了安全級別矢量劃分并對保密性分級更加精細的CNSSI 1253在安全等級分類方面精確度更高，適用于對數(shù)據(jù)安全性要求較高的領(lǐng)域。對于可能涉及重大財產(chǎn)損失以及國家安全機密的計量學(xué)數(shù)據(jù)，可以考慮采取類似的分級方式。同時可以考慮針對不同學(xué)科領(lǐng)域的特點以及數(shù)據(jù)存儲環(huán)境等因素的差異對保密性的評估進行調(diào)整。

5 對我國計量數(shù)據(jù)分級分類方法改進方案的建議

5.1 計量數(shù)據(jù)安全等級劃分

通過前文對國內(nèi)外數(shù)據(jù)分級分類方法的調(diào)研與分析可以看出，對數(shù)據(jù)安全級別進行失量化分析可以提高分級分類的準確性，數(shù)學(xué)模型的建立可以降低人為賦值的主觀性。同時，可以創(chuàng)建類似于陳馳等人[18]提出的數(shù)據(jù)資產(chǎn)量化模型，通過數(shù)學(xué)表達式計算出精確的數(shù)據(jù)資產(chǎn)價值，并結(jié)合數(shù)據(jù)可能承受的威脅等級對安全分級進行綜合考量[33-34]。數(shù)據(jù)安全等級的分類分為以下3步。

（1）數(shù)據(jù)資產(chǎn)價值的計算

正如前文提到的，ISO27001中規(guī)定數(shù)據(jù)資產(chǎn)具有保密性、完整性和可用性3個安全屬性。同時也可以將其理解為，資產(chǎn)價值是由數(shù)據(jù)在這3個安全屬性未達成時所造成的影響程度決定的。因此，筆者參考式（1）提出了用于計算計量數(shù)據(jù)資產(chǎn)價值的數(shù)學(xué)模型，并實現(xiàn)了對式（1）的簡化：

V(A)=Wc×Vc+Wi×Vi+Wa×Va （3）其中，V(A)代表特定數(shù)據(jù)種類A的資產(chǎn)價值；Wc、Wi、Wa分別代表保密性、完整性、可用性對資產(chǎn)價值重要性所占權(quán)重，Wc、Wi、Wa的和為1；Vc、Vi、Va分別代表數(shù)據(jù)在保密性、完整性、可用性這三方面具備的資產(chǎn)價值。其中資產(chǎn)的價值并不以資產(chǎn)的經(jīng)濟價值為衡量標(biāo)準，而是取決于其對關(guān)鍵業(yè)務(wù)的開展以及對實現(xiàn)目標(biāo)的重要程度。對于計量學(xué)的不同學(xué)科而言，資產(chǎn)價值權(quán)重及Vc、Vi、Va的賦值均有所不同，應(yīng)由相應(yīng)領(lǐng)域的數(shù)據(jù)工作人員依據(jù)學(xué)科特點及數(shù)據(jù)類型進行調(diào)整，最終形成涵蓋整個計量學(xué)的資產(chǎn)價值評估體系，并以SP 800-60為模板編撰相應(yīng)的資產(chǎn)價值評估指南。

（2）數(shù)據(jù)威脅等級的計算

同時，在對數(shù)據(jù)進行安全等級的分類時應(yīng)該考慮數(shù)據(jù)的威脅等級，即安全事件發(fā)生的可能性及后果的嚴重性。威脅等級的劃分同樣依照FIPS 199與CNSSI 1253的分類方法，分別從保密性、完整性、可用性這3個維度進行分析。同時，除了考慮數(shù)據(jù)在以上三方面出現(xiàn)威脅的嚴重程度，還應(yīng)考慮威脅可能出現(xiàn)的頻率。綜合以上因素，得出威脅等級的數(shù)學(xué)模型：

其中，T(A)代表數(shù)據(jù)類別A的數(shù)據(jù)威脅等級；Fc、Fi、Fa分別代表保密性、完整性、可用性三方面威脅發(fā)生的頻率，取值為1～5的整數(shù)；而Tc、Ti、Ta分別代表該數(shù)據(jù)類型在保密性、完整性、可用性三方面可能出現(xiàn)的威脅強度，即安全事件的嚴重程度，取值同樣為1～5的整數(shù)。與數(shù)據(jù)資產(chǎn)價值的計算過程類似，式（4）中的變量也應(yīng)由相關(guān)領(lǐng)域數(shù)據(jù)的工作人員進行調(diào)整并形成威脅等級評估指南，以提高評估標(biāo)準的一致性。

（3）數(shù)據(jù)風(fēng)險值的計算及安全等級的劃分

完成對V(A)與T(A)的計算后，可以得出數(shù)據(jù)的風(fēng)險值：

R(A)的計算綜合考慮了數(shù)據(jù)的威脅等級和資產(chǎn)價值。對T(A)及V(A)的計算是基于數(shù)據(jù)在保密性、完整性、可用性三方面具有的資產(chǎn)價值及潛在安全威脅的估算。相比《計量分類》中由主觀判定一次性得出分類結(jié)果的方法，風(fēng)險值R(A)的推導(dǎo)經(jīng)歷了3次計算，精確度更高且受主觀因素影響較小。在得出風(fēng)險值之后，數(shù)據(jù)工作人員可以依據(jù)表4中的分類方法以風(fēng)險值為依據(jù)對數(shù)據(jù)進行安全等級劃分。其中，X、Y、Z的取值將由各學(xué)科的數(shù)據(jù)工作人員在協(xié)商后確定。

表4 數(shù)據(jù)資產(chǎn)安全分級

5.2 計量數(shù)據(jù)分級分類編碼

為了更合理地組織計量數(shù)據(jù)資源，實現(xiàn)對數(shù)據(jù)的科學(xué)管理和高效檢索利用，構(gòu)建計量學(xué)的數(shù)據(jù)資源編碼體系是十分必要的。《計量分類》中已經(jīng)初步構(gòu)建了以數(shù)據(jù)應(yīng)用目標(biāo)和數(shù)據(jù)格式為分類標(biāo)準的兩級分類方法，并對不同的數(shù)據(jù)類別進行了編碼。然而由于計量學(xué)涉及的學(xué)科比較廣泛，目前的分類方法依然比較簡略，不利于針對學(xué)科進行管理和檢索利用。同時，對計量數(shù)據(jù)的編碼同樣應(yīng)考慮數(shù)據(jù)安全等級的劃分。因此，在參考劉召棟等人[35]提出的數(shù)據(jù)分類編碼方法后，筆者建議在《計量分類》提出的二級分類法的基礎(chǔ)上，將學(xué)科及安全等級劃入數(shù)據(jù)編碼體系，進而形成如下編碼方法：

數(shù)據(jù)風(fēng)險等級-學(xué)科代碼+原一級分類編碼+原二級分類編碼

示例：H-C21000。其中，H代表數(shù)據(jù)風(fēng)險等級高，數(shù)據(jù)風(fēng)險等級中、低分別為M、L；C代表學(xué)科；2100則代表《計量分類》中的一、二級編碼方式及分類標(biāo)準。

6 結(jié)束語

在我國大力推進數(shù)據(jù)安全工作的背景下，通過數(shù)據(jù)分級分類的方法提升數(shù)據(jù)安全、促進數(shù)據(jù)共享將是計量行業(yè)數(shù)據(jù)人員的工作重點。通過對比計量行業(yè)目前的數(shù)據(jù)分級分類方案、國內(nèi)其他領(lǐng)域數(shù)據(jù)中心的數(shù)據(jù)分級分類方法以及美國的FIPS 199可以看出，目前國內(nèi)計量行業(yè)的數(shù)據(jù)分級分類方法尚未統(tǒng)一且仍需繼續(xù)完善。

計量學(xué)作為一個應(yīng)用廣泛且數(shù)據(jù)量龐大的學(xué)科，其科研數(shù)據(jù)對于我國科研、工業(yè)以及教育等多個領(lǐng)域而言都是重要的基礎(chǔ)性戰(zhàn)略資源。隨著計量領(lǐng)域數(shù)字化的變革，數(shù)據(jù)分級分類對數(shù)據(jù)的管理及應(yīng)用至關(guān)重要。制定統(tǒng)一、明確、高效的計量數(shù)據(jù)分級分類方法不僅有利于數(shù)據(jù)的檢索且有助于提升數(shù)據(jù)的安全性，而數(shù)據(jù)安全則是實現(xiàn)數(shù)據(jù)共享開放的前提。對比國內(nèi)其他19個國家級數(shù)據(jù)中心的數(shù)據(jù)分類方法可以發(fā)現(xiàn)，計量學(xué)缺乏更詳細的元數(shù)據(jù)分類標(biāo)準，不利于相關(guān)工作人員對數(shù)據(jù)開展搜索、管理、審核以及分析等工作。同時，在對其他數(shù)據(jù)中心的調(diào)研過程中，筆者發(fā)現(xiàn)了部分數(shù)據(jù)平臺存在數(shù)據(jù)組織規(guī)范性不足以及數(shù)據(jù)分類不嚴謹?shù)默F(xiàn)象，在今后計量行業(yè)數(shù)據(jù)分級分類標(biāo)準的完善工作中需要避免出現(xiàn)類似情況。在數(shù)據(jù)安全分類方面，美國制定的FIPS 199以及其補充方案SP 800-60相比《計量分類》而言更加詳細且具體。在未來的工作中，計量行業(yè)相關(guān)人員可以嘗試參照FIPS 199與CNSSI 1253，從多個角度對數(shù)據(jù)的安全性進行分析定位，并制定公式化的安全分類數(shù)學(xué)模型。