陳永剛 趙增振 陳 嵐

1(國家信息中心 北京 100045) 2(上海觀安信息技術股份有限公司 上海 201803)

近年來，國家高度重視數據安全問題，針對數據安全的法律法規(guī)陸續(xù)出臺，相關工作機制逐步明確.其中政務數據由于其涉及面廣、影響程度高，成為相關法律法規(guī)和政策文件關注的焦點，也成為國家監(jiān)管的重點.政務數據共享開放在“一網通辦”“跨省通辦”、政務“秒批”“秒辦”“城市大腦”等場景中廣泛應用，有力地提高了公眾辦事效率，提升了社會治理水平.然而，政務業(yè)務和數據的融合加大了數據安全防護的難度，政務數據相關系統(tǒng)面臨著巨大的安全威脅和風險[1]：一方面烏克蘭危機網絡對抗給予了我們重要警示，網絡空間已成為現代戰(zhàn)爭的重要領域，存有大量政務數據的關鍵信息基礎設施是網絡戰(zhàn)的首要攻擊目標；另一方面，黑客組織、犯罪團伙和不法分子長期對政務數據實施網絡攻擊，竊取重要數據，地下黑產和暗網非法交易活動猖獗，嚴重危害國家安全、社會公共安全和人民群眾合法權益.為了防范和化解政務數據合規(guī)風險，提高風險預見、預判能力，開展政務數據安全評估，建立合規(guī)數據安全體系，已經成為國家機關、企事業(yè)單位開展業(yè)務活動的重要前提和保障.

1 政務數據安全合規(guī)要求

國家對政務數據安全高度重視，頒布實施了《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》《網絡安全審查辦法》《關于加強數字政府建設的指導意見》《信息安全技術 政務信息共享 數據安全技術要求》(GB/T 39477—2020)等法律、法規(guī)、政策文件和技術標準[2-6]，《網絡數據安全管理條例》[7]正在征求意見，對政務數據安全提出嚴格要求：一是建立數據分類分級保護制度，編制和重點管理國家核心數據，地區(qū)、部門以及相關行業(yè)、領域的重要數據目錄；二是建立數據安全風險評估、報告、信息共享、監(jiān)測預警機制；三是建立數據安全應急處置機制；四是建立數據安全審查制度；五是規(guī)范數據的收集和使用，加強個人隱私、個人信息、商業(yè)秘密、保密商務信息等數據保護等要求.

2 政務數據安全合規(guī)評估方法

參考《信息安全技術 信息安全風險評估方法》[8](GB/T 20984—2022)國家標準，針對政務數據安全合規(guī)的評估方法主要包括訪談、檢查和測試3種：

1) 訪談由評估人員與大數據系統(tǒng)建設、運維和服務相關人員就政務大數據安全情況進行談話.基于重要業(yè)務場景，深入了解大數據平臺安全控制措施實施情況，并進行分析或證據獲取.訪談的對象為個人或團體，例如：大數據平臺主要負責人、信息安全機構領導、信息系統(tǒng)安全管理員、運維人員、網絡和系統(tǒng)管理員、機房安全管理人員和用戶等.

2) 檢查由評估人員通過對管理制度、安全策略和機制、安全配置和設計文檔、運行記錄等進行觀察、查驗、分析以使評估人員理解、分析或取得證據的過程.檢查的對象為規(guī)范、機制和活動.例如：評審信息安全策略規(guī)劃和程序；分析系統(tǒng)的設計文檔和接口規(guī)范；觀測系統(tǒng)的備份操作；審查應急演練結果；觀察事件響應活動；研究技術手冊和用戶/管理員指南；檢查、研究或觀察信息系統(tǒng)的硬件/軟件中信息技術機制的運行；檢查、研究或觀察信息系統(tǒng)運行相關的物理安全措施及檢查信息系統(tǒng)安全基線配置等.

3) 測試由評估人員進行技術測試(包括滲透測試)，通過人工或自動化安全測試工具獲得相關信息，并進行分析以幫助評估人員獲取證據.測試的對象為機制和活動.例如，訪問控制、身份識別和驗證、審計機制；測試安全配置設置及物理訪問控制設備；進行信息系統(tǒng)的關鍵組成部分的滲透測試，測試信息系統(tǒng)的備份操作；對重要事件進行持續(xù)監(jiān)控；測試事件響應能力以及應急規(guī)劃演練能力等.

3 政務數據安全合規(guī)評估指標體系

依據政務數據安全相關實踐[9]和標準，建立政務數據安全合規(guī)評估指標體系，包括2個1級指標、10個2級指標和95個3級指標.

1級指標包括“數據全生命周期安全”指標和“通用合規(guī)要求”指標，其中“數據全生命周期安全”指標包括數據采集、傳輸、存儲、使用、交換和銷毀各環(huán)節(jié)，聚焦重要業(yè)務場景發(fā)現風險點.“通用合規(guī)要求”指標從組織結構及人員、管理制度、管理措施和技術措施4個方面評估數據安全管理和技術合規(guī)風險.其中2級指標“數據采集風險”包括15個3級指標；“數據傳輸風險”包括4個3級指標；“數據存儲風險”包括13個3級指標；“數據使用風險”包括17個3級指標；“數據交換風險”包括22個3級指標；“數據銷毀風險”包括8個3級指標；“組織結構及人員”包括2個3級指標；“管理制度”包括2個3級指標；“管理措施”包括10個3級指標；“技術措施”包括2個3級指標.

3級指標包括部分重點指標：一是關于個人信息相關的“個人信息獲取合法性”“個人信息獲取必要性”“個人信息處理協議或規(guī)則的完備性”等指標，關注收集使用個人信息不正當合法風險；二是關于數據使用相關的“匯聚融合的影響評估”“對重要數據處理的合法性”“對企業(yè)秘密數據處理的合法性”等指標，對應履行信息處理者基本義務要求；三是關于管理措施相關的“風險監(jiān)測要求”“事件處置和通知要求”“風險評估要求”“合規(guī)審計要求”“數據安全審查要求”“分類分級保護要求”“權限控制要求”“數據管控要求”等指標，評估管理措施的落實情況及有效性.

4 政務數據安全合規(guī)評估實踐

參考上述政務數據安全合規(guī)評估方法和評估指標體系，對某大數據中心開展了政務數據安全合規(guī)評估實踐.某大數據中心主要業(yè)務包括對委辦局提供政務云、政務網、數據的基礎設施資源；對公眾提供社會事務辦事系統(tǒng)，便捷辦理各項民生事務，提升公眾辦事效率.隨著政府部門信息化職能整合優(yōu)化工作的深入推進，負責委辦局數百個信息系統(tǒng)和數據的納管，也伴隨著安全風險的匯集，對大數據中心整體安全保障能力提出了更高要求和挑戰(zhàn).大數據中心要在保障數據安全的前提下做好數據治理工作，打通各級政府和各部門之間數據共享堵點，破除“數據孤島”頑疾.經評估發(fā)現，在政務云、大數據平臺和政務應用3個方面存在一定的數據安全合規(guī)風險.

4.1 政務云數據安全合規(guī)風險

大數據中心信息系統(tǒng)遷移上云之后，大量信息存儲在云上，在擁有云敏捷、彈性、節(jié)省資源優(yōu)點的同時，對于政務云數據安全存在的風險也不容忽視.

1) 數據泄露.

云服務商存儲著海量重要數據，愈發(fā)成為攻擊者的主要目標.數據安全的威脅也由原來外部威脅為主轉變?yōu)閮炔客{和外部威脅共存的局面，來自云環(huán)境內部不同租戶之間的安全威脅也顯著增加.一旦發(fā)生數據泄露事件，危害性極大.

2) 數據丟失.

隨著政務云管理要求的出臺和實施，以及云安全技術防護的加強，因云服務商失誤導致的數據丟失的事件逐步減少，更多的是外部惡意攻擊者通過永久刪除云上數據來損害社會公眾利益.此外，云數據中心還面臨著自然災害的隱患，如未建立異地容災備份機制，可能導致數據永久丟失的嚴重后果.

3) 外部接口和API攻擊.

運維團隊使用接口和API管理和調用云資源、管理、服務編排和鏡像等云服務，這些云服務的安全和可用性依賴于API的安全性，引入更多的服務或者認證，面臨的風險也成倍增加.當運維人員在外部互聯網訪問API和接口時，系統(tǒng)也將面臨暴露的風險.

4.2 大數據平臺數據安全合規(guī)風險

大數據平臺在數據權限管控、數據操作監(jiān)測與審計、數據全生命周期管理等方面存在一定風險，需高度重視，加強技術防護和日常檢查.

1) 數據權限管理.

在鑒別與訪問控制方面，外包服務商賬號、委辦局賬號管理較弱，未實現全面統(tǒng)一身份認證，面臨誤操作、數據泄露的風險.

2) 數據操作監(jiān)測與審計.

在監(jiān)測與審計方面，日志記錄項不完整，信息系統(tǒng)缺乏審計紀錄，人員不易快速排除異常，存在日志被攻擊者刪除的風險.缺少重要數據操作審計，一旦發(fā)生數據安全事件難以追根溯源.

3) 數據全生命周期管理.

在數據采集安全方面，重要數據資產分布和流轉不清晰，數據資產分類分級管理有待提升.缺少數據采集過程的異常行為告警機制，如數據采集過程中斷、數據采集量過大、人員或者系統(tǒng)錯誤、超過設定的閾值等，未采取郵件或者短信告警措施.

在數據傳輸安全方面，數據傳輸鏈路管理存在數據在傳輸過程中被竊取的風險.未對接口傳輸數據進行完整性校驗，存在被中間人篡改導致數據失真的風險.

在數據存儲安全方面，未建立敏感數據存儲安全機制，未對不同安全級別的數據采用差異化安全存儲，包括差異化脫敏存儲、加密存儲、訪問控制等.

在數據使用安全方面，未明確對數據分析操作、結果輸出和使用的安全審核、合規(guī)評估和授權流程，無法保障數據分析中數據聚合的合規(guī)性，存在衍生數據超出原始數據授權范圍或安全使用要求的可能.缺少有效識別、監(jiān)控和預警異常操作和數據濫用行為的工具，難以及時識別數據濫用行為或潛在風險，缺乏對濫用行為的有效預防及追責能力.

在數據交換安全方面，對數據服務接口的安全限制措施不足，未對服務接口的參數設置等進行管控，缺少異常告警機制，存在數據泄露風險.

在數據銷毀安全方面，存在銷毀周期定義不清的問題，銷毀的技術手段待加強.

4.3 政務應用數據安全合規(guī)風險

政務應用層面主要在漏洞、網站和應用支撐等方面存在風險，將帶來數據安全方面的問題，亟待補齊短板.

1) 業(yè)務應用安全漏洞風險.

業(yè)務應用系統(tǒng)可能存在漏洞或業(yè)務邏輯權限處理不當情況，導致非授權用戶越權訪問或獲取數據操作權限的風險.

2) 業(yè)務應用網站安全風險.

業(yè)務應用網站可能存在頁面內容被篡改(如敏感詞、網頁木馬、暗鏈、網頁變更等)、被DDoS攻擊等安全隱患.

3) 應用支撐安全風險.

缺乏對敏感數據全局識別及發(fā)現機制，存在上層應用獲取個人敏感數據的風險；可能存在對應用認證及權限管理問題，發(fā)生非法用戶非授權訪問；對于數據批量導出行為管控不嚴，存在數據泄露的風險.

5 政務數據安全合規(guī)建議

針對上述政務數據安全合規(guī)風險，結合政務行業(yè)數據治理經驗，提出以下建議：

一是完善政務云安全縱深防御體系，以身份認證和權限管理為抓手，加強網絡準入、安全域劃分、訪問控制等安全防護能力建設，對政務云的基礎設施、網絡等進行安全域隔離.強化邊界安全保障，以物理主機、租戶及業(yè)務邊界安全防護為核心，采用入侵檢測、安全審計、防病毒、傳輸加密等多種技術和措施，開展安全攻擊事件的分析與防御、策略關聯規(guī)則的設置與優(yōu)化、傳輸協議的安全分析與加固.

二是加強重要數據資產管理，完善敏感數據風險控制體系.嚴格落實數據分級保護制度，定期實施敏感數據掃描，建立重要數據目錄.并針對不同安全級別的數據，明確其在數據采集、傳輸、存儲、使用、交換、銷毀等數據生命周期各個環(huán)節(jié)的安全防護要求.同時，開展數據流轉監(jiān)測分析，監(jiān)控數據的外傳通道，實現對數據泄露事件的定位與追溯.

三是加快數據脫敏應用建設.優(yōu)化靜態(tài)脫敏場景，做到脫敏過程數據不落地，并在提供給分析團隊或者委辦局之前，先進行數據脫敏，同時脫敏后數據的業(yè)務特征不能喪失.根據定義規(guī)則對關鍵數據進行數據保護，同時對數據庫中數據查詢導出數據進行動態(tài)脫敏處理，并對操作數據庫的行為進行審計.

四是形成水印溯源技術能力，落實事后追責制度.對處理重要數據的業(yè)務系統(tǒng)，形成業(yè)務系統(tǒng)實時水印能力，包括明或暗類型的背景水印、數據庫水印、文件水印等水印技術.并為每個用戶分配唯一的水印任務密鑰，實現溯源系統(tǒng)從泄露的數據中提取水印信息，可溯源到最可能的責任人.

五是探索應用隱私計算技術，如安全多方計算、區(qū)塊鏈技術，推進政務數據算法式安全共享，解決隱私計算中原始數據、計算過程和結果面臨的可驗證性問題，在保護數據隱私的同時增強隱私計算過程的可驗證性.