政務大數據開放及共享問題分析

時間:2022-06-08 08:50:26

導語:政務大數據開放及共享問題分析一文來源于網友上傳,不代表本站觀點,若需要原創文章可咨詢客服老師,歡迎參考。

政務大數據開放及共享問題分析

摘要:政務數據開放共享對于促進政府自身轉型、社會需求獲取模式轉型及產業型經濟轉型都具有重要意義。政府作為政務大數據的主要擁有者,在宏觀層面發揮公共管理與公共服務的導向作用時,也必須承擔相應的責任。本文從政務大數據全生命周期管理角度出發,重點聚焦政務大數據在采集、傳輸、存儲、共享與應用、銷毀等階段涉及的安全問題并提出相應解決思路和方法。

關鍵詞:政務大數據開放及共享安全;數據全生命周期管理

國家高度重視政務大數據安全、開放、共享工作。2021年9月發布的《中華人民共和國數據安全法》[1]明確提出,國家建立數據分類分級保護制度;建立集中統一、高效權威的數據安全風險評估、報告、信息共享、監測預警機制;建立數據安全應急處置機制;建立數據安全審查制度;國家機關為履行法定職責的需要收集、使用數據;國家機關應當按照法律、行政法規的規定,建立健全數據安全管理制度,落實數據安全保護責任,保障政務數據安全。隨著政務大數據開放、共享工作的有序推進,數據的安全性問題也日益突出,亟待開展政務大數據開放及共享安全問題研究。政務大數據涉及國家利益、公共安全、商業秘密、個人隱私,具有高度敏感性。因此必須加強政務數據平臺的數據安全保障能力建設,打破數據孤島,促進數據共享,以數據全生命周期的安全建設為核心建立政務大數據安全開放及交換體系。下面從數據生命周期的五個階段分別闡述政務大數據開放共享中所面臨的安全問題及解決思路。

1數據采集

大數據時代,我們需要更加全面的數據來提高分析預測的準確度,這就需要依賴于更多便捷和自動的數據采集工具。然而,在政務大數據采集時將面臨以下幾類安全問題:

1.1數據采集的合法性、正當性、必要性

2021年11月1日,《中華人民共和國個人信息保護法》[2]正式施行,昭示著我國個人信息保護法制進程即將進入新篇章,將與《中華人民共和國網絡安全法》[3]和《中華人民共和國數據安全法》構成我國網絡空間和數據保護的三駕馬車。處理個人信息,應當遵循“合法、正當、必要”并不得過度處理個人信息采集的基本原則,并建立以“知情同意”為核心的個人信息處理系列規則。政務數據采集更需要秉持上述基本原則和規則體系,應按照國家、省、市下發的政務信息資源目錄按需采集各部門特定的政務數據,禁止數據的過度采集及濫用。政府主管部門應制定相關協議約定數據使用和保護措施,明確數據提供方、使用方雙方的責任和義務。

1.2采集終端的安全性

采集終端如果缺少必要的安全防護或身份認證手段,會給一些假冒的、非授權的采集設備接入網絡,從而偽裝成合法用戶非法監聽、竊取甚至篡改政務數據。因此,采集終端設備的注冊、認證、準入控制和惡意程序防護,采集人員身份、權限的認證顯得尤為重要。建議通過終端殺毒及惡意代碼檢測軟件、準入網關、密碼、密鑰、令牌、手機短信等多因子認證、數字簽名技術、建立統一身份認證系統、零信任安全等技術手段來加強對終端可信度及訪問權限的管控。達鈺鵬、陳艷春[4]提出的基于零信任模型的電子政務信息共享方案,是一種基于身份、訪問權限更細粒度的訪問控制方法,能夠實現對資源本身全生命周期的動態監測預警。同時,在身份及權限認證通過后,應向數據需求方發起特定數據項或數據集的申請,并明確數據使用期限,上傳需要數據共享的文件或依據。待數據提供方同意后方能繼續共享交換,這是政務數據開放、共享、傳輸的前提和基礎。

1.3數據分類分級保護

數據分類分級在數據采集、數據治理過程中至關重要,是數據重要性的直觀化展示。例如,可以將政務數據資源分為基礎政務數據資源與業務數據資源兩大類,其中基礎政務數據可繼續細分為人口、法人、電子證照、社會信用、自然資源和空間地理等信息,業務數據資源則可以依托各行業領域,細分為經濟運行、政務運行、電子檔案、公共安全、公共服務類等主題數據。從各政務部門數據分析歸類邏輯上,又可分為決策類、業務類、管理類等不同層次,再對每個層次生存的政務數據進行有效識別及標記等級,確定政務數據資源的編碼、名稱、類型、管理方式等信息,為后續的政務數據整理與目錄編制提供支撐。只有提前做好數據的分類分級,才能有針對性地對結構化、非結構化、不同類別的數據進行分類識別、保護。同時,利用大數據及云計算能力,根據各政府部門行業內政務應用需求,按照部門、主題、服務對象等資源屬性對政務數據進行智能化管理,由系統自動生成不同的政務數據目錄。

1.4數據采集的安全邊界

政府部門目前仍存在各類業務專網,政務系統及相關數據也大多部署在業務專網內。在逐步整合進國家政務外網或政務內網的過渡期內,跨網絡、跨部門數據采集時應按照網絡安全等級保護規范及相關部門跨網數據交換的標準建立相應跨網數據安全交換區域。通過部署前置服務器、安全邊界設備,安全流量探針等方式實現數據跨網安全及態勢感知。應在上述跨網數據交換安全設備中嚴格制定訪問策略,對跨網數據交換進行細粒度的身份、權限訪問控制及審計追溯。同時,數據采集部門應與數據提供部門明確雙方的權責邊界,簽訂數據安全交換協議,并通過網絡入侵檢測防御系統、態勢感知系統、沙箱蜜罐系統等安全防護設備及軟件對數據采集的過程進行實時監測預警,確保在數據采集的過程中,能夠做到事件可追溯、問題可排查、責任不推諉。

2數據傳輸

政務數據在傳輸時應重點保障其完整性、可用性、真實性、保密性和不可篡改性,通常會采用零信任技術、安全網絡協議、對稱或非對稱加密機制、數字簽名技術、區塊鏈技術等手段增強數據傳輸時的安全性、可靠性。

2.1數據傳輸安全

政務數據的重要性、敏感性大大提高了在傳輸過程中被竊聽、被冒充、被篡改、事后否認的可能性,因此采用加密的傳輸通道及技術手段顯得尤為重要。在應對竊聽問題上,會使用到加密技術;在應對假冒、篡改問題上,會使用到消息驗證碼或數字簽名技術;在應對事后否認問題上,會使用到數字簽名技術。同時,在數據傳輸過程中應采用數據傳輸安全協議(SSL/TLS)和可信證書認證機制,這同時也要求證書頒發機構在頒發證書時,有義務維護其認證站點的權威性和安全性,在證書過期時應立即撤銷,否則易遭受“中間人攻擊”,惡意節點會通過持有非法證書和客戶端交互,之后替代客戶端,向真實服務器發起請求,并把服務器的請求返回給客戶端,從而神不知鬼不覺地竊取了中間信息。數據傳輸的安全,就是通過上述安全技術及協議保障數據點到點、端對端的安全傳輸。

2.2時間戳及限流機制

政務數據在傳輸過程中很容易被第三方程序抓包,雖然經過上述提到的加密處理方式無法獲取到真實數據,但仍有可能被黑客利用發起重放攻擊。為避免上述問題發生,應采用時間戳機制,在每次發起請求中加入當前時間,服務端將比對當前時間和消息中的時間,當超過規定的時間范圍后自動歸為非法請求。當用戶頻繁調用接口網絡吞吐量過大時,會發生網絡通道堵塞,甚至影響服務端的正常響應,這時應采取必要的限流算法,例如:計數器、漏桶、令牌桶等限制巨大流量信息的瞬間提交。

2.3區塊鏈技術

現有的政務系統都是中心化架構系統,很容易在傳輸過程中出現數據偽造篡改的問題,一旦發生違法違規事件,證據的缺失將給調查取證帶來困難。區塊鏈技術采用去中心化的方式,具有透明可信、不可篡改、可追溯等特性,能夠有效解決上述痛點難點問題。區塊鏈系統根據應用場景和設計體系的不同,分為公有鏈、聯盟鏈和私有鏈。政務大數據共享涉及多個政府委辦局,各個單位都具有明確的行政職責,因此建議選擇基于領導型成員治理方式的聯盟鏈技術,這樣產生的數據更具權威性。歐陽光、石秀偉、趙冬臨[5]從區塊鏈應用場景、治理模式、頂層框架設計、開發技術路線及核心策略設計等方面進行了闡述,為解決政務數據共享難、使用監管難、數據安全難以保證等問題提供了解決方案。

3數據存儲

政務數據在應考慮存儲介質的穩定性、可靠性,盡最大限度避免因物理損壞、人為因素、自然災害所導致的數據丟失、篡改、不可用等情況發生。同時也要保障政務數據共享交換平臺的數據庫數據不被泄露、篡改和刪除,通過數據加密、權限管控、數據安全網關等技術方式實現。

3.1入庫數據的質量安全

當數據源信息重復、不完整、不準確,進入五大基礎數據庫(人口庫、法人庫、電子證照、社會信用、自然資源和空間地理)前又未清洗、校驗、二次確認,會大幅降低政務大數據整體工作效率,甚至引發社會公眾對政府數據的信任危機。這就需要建立統一的數據質量標準。田淼、田繼亮[5]設計的基于數據標準體系的政務數據清洗融合系統,通過配置相應的SQL規則、值域規則、正則規則等數據質量稽查規則,對數據的重復性、準確性、時效性等指標進行數據稽查,生成質量評分。同時,可借助數據清理規則(包括字典映射、數據格式轉換、潛在數據提取、業務數據核驗、數據關聯等)和ETL工具等技術方法對部分可恢復數據進行修復。對于不可用技術手段修復的數據,應及時通過數據工單形式進行數據溯源的人工修復。

3.2存儲介質及容災備份的可靠性

對于PB級的海量政務大數據系統而言,單純的硬件容錯已經很難確保其可靠性。為保障數據存儲的穩定性、可靠性,應按實際需求選擇相應的RAID技術、分布式文件系統多副本技術、容錯池技術等。同時,通過數據庫同步及高可用技術實現“兩地三中心”的系統主備雙活并做好跨機房的容災備份,在遭遇網絡及病毒攻擊、導致網絡故障或系統癱瘓時可以迅速切換主備系統,更換網絡出口,或采用主流災備廠家的CDP技術應急接管系統,待故障解決、系統、數據還原后再切換回主業務系統。

3.3數據庫加密及密鑰管理

為防止內部運維人員登錄數據庫通過記錄、截屏、錄頻、拍屏、打印等方式泄露政府敏感數據,應充分利用密鑰管理系統來實現對政務大數據共享交換平臺數據庫的加密解密,上述加解密過程應做到對系統透明無感知,不影響數據交換效率。對不同層級的人員進行權限分級管控,只有合法、合規的使用者才能訪問、獲取到自身權限范圍內的數據源。密鑰管理就是管理密鑰從產生到銷毀的過程,包括密鑰的產生、存儲、分配、保護、更新、吊銷和銷毀等。在這一系列的過程中,都存在安全隱患威脅系統的密鑰安全,如果密鑰管理不好,即使加密算法強度再高,一旦被泄露或被竊取,加密也就形同虛設,毫無安全性可言。因此,密鑰管理在數據庫加密系統中也處于舉足輕重的地位。數據庫加密系統的密鑰分為用戶密鑰和數據密鑰,數據密鑰由分為主密鑰和工作密鑰兩類。主密鑰就是用來加密/解密數據密鑰的密鑰,工作密鑰用于對數據庫表、記錄、數據項加密/解密的密鑰。密鑰存儲的過程中,可根據密鑰重要性及數據量大小,自主選擇密碼裝置、密文形式的數據字典進行保存。當政務云環境下的數據庫停用或數據刪除時,應保證從密鑰管理系統中廢除所有密鑰,以確保任何殘留(數據冗余備份、內存殘留、操作系統殘留等)的政務數據都不能被解密。

3.4日志、數據庫以及云審計

服務器日志審計、數據庫審計系統的應用既是等保合規的必查項目,也是保障服務器、數據庫操作留痕、可追溯的重要技術手段。服務器、數據庫審計除了能對基本的應用訪問行為實時監控,追溯訪問來源定位終端用戶信息外,還能有效針對越權高危行為、外部SQL注入、緩沖區溢出、權限提升、拒絕服務攻擊等危險行為實時監控預警,提醒管理員用戶及時發現可疑行為,并采取有效安全手段,防范安全風險。同時,在角色劃分方面,應按照最小特權和權值分離為原則對系統管理員、安全保密管理員、安全審計管理員進行三員管理、三權分立,相互監督。王會金,劉國城[7]提出的大數據時代電子政務云安全審計框架,從基礎層、應用層和體系層三個層面為建立科學、可行的標準化電子政務云安全審計體系提供了理論支撐和實踐參考。

4數據共享及應用

數據共享及應用會經歷數據的匯聚、傳輸、存儲、應用、API接口的調用等過程,同時也將面臨更大的安全風險,包括政府、商業及個人敏感信息的泄露、數據的非法篡改和濫用、網絡上黑客的攻擊等。為降低政務數據在共享應用上的風險,一方面需要政府及相關責任單位制定并實施數據安全管控辦法,包括立法、立制、立標等;另一方面需要通過技術手段保障數據共享全程的可檢測、可管控、可追溯。

4.1數據共享安全管理制度

對數據共享的安全管控,不僅要健全國家法律法規,還要依法依規、因地制宜地建設配套的、系統的數據安全管理制度。管理制度的設計要上承國家法律法規要求,下接地方或行業標準,確保數據共享組織管理機構職責明確、數據共享活動流程清晰、數據共享過程安全可控和監管有效。

4.2數據共享交換平臺安全

大數據共享交換平臺是政務數據交換互聯互通的基礎支撐平臺,通過建設基礎數據庫、信息資源目錄系統、數據采集交換系統、信息資源共享服務系統、數據管理平臺、安全標準體系等,整合信息資源,打破數據壁壘和信息孤島,實現對城市領域可共享數據的統一建設、統一流通、統一維護,成為城市公共數據交換、清洗、整合和加工的智慧工廠。圖1政務數據共享交換平臺體系架構圖。圖2為國家、省、市政務數據級聯交換圖。平臺的安全性也至關重要,應根據《中華人民共和國網絡安全法》規定,對關鍵基礎性信息系統分級實施保護,將共享交換平臺系統的定級、備案、建設整改、登記測評和監督檢查5個常規動作,貫穿平臺的全生命周期。

4.3數據共享全流程監控預警

針對數據共享過程中數據泄露之后無法追溯的痛點,應建立完備的共享數據溯源系統。張濤[8]提出的一種基于數據標簽的共享數據溯源方法,通過數據溯源管理系統和數據標簽分發中心相互配合,在數據標簽分發中心分發給系統數據標簽信息的同時,將數據標簽同步發送給數據溯源管理系統。數據溯源管理系統可通過在數據傳輸鏈路上的探針實時采集數據信息流,在剔除正常業務交互信息流的情況下,依據數據共享規則庫和數據標簽位置信息實時發現非法的數據共享。

4.4數據防泄露、身份防偽造

在數據應用安全上,如果政務數據被提前或非法泄露將嚴重威脅到用戶隱私甚至政府公信度、國家安全。這就需要通過數據安全檢測分析、數據安全網關、零信任安全等技術手段保障敏感數據的安全。如圖2所示,零信任可信應用接入代理可用于用戶終端和業務應用之間的安全訪問,具有傳輸加密功能,應用代理、頁面水印、動態脫敏及日志審計等相關功能。只有通過統一授權的認證中心或安全網關為其授權后才允許進入政務數據共享交換平臺,這樣能夠有效阻截非法、惡意的請求。其中,堡壘機作為可信運維代理,用于運維用戶終端、開發人員終端和系統資源之間的安全訪問。堡壘機提供相應的對接接口供零信任安全管控平臺做定制開發,最終讓零信任安全管控平臺實現運維操作日志、終端會話信息同步,并接受零信任安全管控平臺下發的動態鑒權訪問控制指令。同時,通過API旁路監測行為,可以實現對訪問行為、頁面訪問頻次及敏感信息訪問的實時監測。

5數據銷毀

數據可以是資產,也可能是負債。如果不及時銷毀在數據共享交換過程中多余、殘留的數據,數據資產就演變成了負債。隨著政務大數據規模的不斷膨脹,無用、多余的數據長期得不到釋放、清理,將嚴重影響到業務數據的實時查詢效率、業務運營水平。及時對無用數據進行銷毀,不僅可以節省存儲空間,節約運營成本,提高交換效率,還可以提升安全性,避免某些敏感數據的泄露及追溯性攻擊[9]。因此,應當及時建立起定期對無用、多余政務數據的清理和審查制度。

5.1數據銷毀方法及適用范圍

數據銷毀的手段一般分為硬銷毀和軟銷毀兩種。軟銷毀是通過數據刪除格式化或數據重寫等軟件方法將數據銷毀或擦除,如美國國防部的DOD5220.22-M標準[10]便是通過多達7次的重寫達到銷毀作用,目前主流的重寫算法還有RCMPTSSITOPS-Ⅱ標準[11]以及Gutmann數據35次重寫算法[12][13]。硬銷毀則是采用物理、化學方法直接銷毀存儲介質,以達到徹底將硬盤數據銷毀的目的。軟銷毀適用于密級要求不是很高的場合,數據覆寫較為經濟安全,但仍有被他人刻意恢復的風險。硬銷毀則適用于高密級要求的場景,銷毀后硬盤將無法繼續使用。同時,國家保密局已經制定頒發了強制標準《涉及國家秘密的載體銷毀與信息消除安全保密要求》[14],對于涉密載體的銷毀一定要遵照此標準執行,不可心存僥幸,擅自處理。

5.2云計算中的數據自我銷毀技術

除了人工可控的數據銷毀方法外,目前研究者也將關注點放在如何提高銷毀效率以及自動進行數據銷毀等技術上。隨著各地政府相繼建立政務云平臺,政務數據上云后往往以靜態存儲或動態計算兩種方式存在。在靜態存儲時,它們往往會拷貝多份副本文件或備份文件以容錯容災;在動態運行時,他們可能存在于內存、網絡或磁盤緩存等介質中。如果沒有一定的技術手段及自我數據銷毀協議支撐,用戶無法保證無用的數據被徹底銷毀。Boneh等人[15]提出了一種不銷毀數據本身而銷毀加密數據密鑰的方式實現數據的不可訪問,首次將數據銷毀問題轉移至密鑰銷毀問題,這種方案可大大提升數據銷毀的性能。同樣,Peterson等人[16]在數據塊層使用全有或全無的轉換技術(AllOrNothingTransform,AONT)來實施數據銷毀。通過AONT算法生成數據塊且重寫其中任意一部分數據塊就會使得整個數據都不可用,達到數據銷毀的目的。這些方法為遠程數據銷毀技術提供了很好的理論支撐。盧張逢喆,陳進等人提出了Dissolver的可信計算系統模型[17],該模型基于Xen[18]虛擬機監控器和CHAOS[19][20]系統,保證了敏感數據只存在于私密的運行空間中,用戶密鑰只存在于虛擬機監控器的內存空間中,不能被操作系統或其他程序訪問。同時,設計了一種數據銷毀協議,將敏感數據生存時間達到用戶指定的時限或未達到時限但用戶顯示發送數據銷毀命令時,內存中的數據、關聯的備份文件以及用戶密鑰被強制銷毀。該模型首次提出云端數據的全生命周期保護和自我銷毀框架和協議,為建立軟件層面的可信計算基礎提供了參考。只有在云計算環境中建立起一套切實可行、安全可靠的自動化數據銷毀機制,在保證安全性的同時降低性能方面的消耗,才能使用戶獲得真正的數據掌控權及支配權。

作者:朱海濤 單位:鎮江市市域社會治理現代化指揮中心