随着数字化政府转型不断深入,围绕国家治理和公共服务的新型需要,政务信息系统整合共享交换有关政策陆续出台,以数据为中心,各地数字化平台建设成果显著。各级政务外网、政务云平台、政务信息共享平台等关键信息设施采用集约化建设方式,相继建成、贯通并投入到正常的使用中,数据应用场景不断丰富,数据作为社会体制机制改革的一个要素,流动性将赋予其更多经济价值。
政务数据作为数据要素三大组成之一,其属性的变化使得政务数据在共享过程中具有以下新特点:一是政务数据流动的变化,从“原有场景下有限的数据流动”到“新场景下每天可达千万次的海量数据共享交换”;二是安全域的变化,从“数据仅会在有限的安全域内被使用”到“随着几十到数百个部门的接入打通,数据会跨越不同的安全域使用”;三是政务数据存储的变化,从“原有场景下政务数据固化到各部门安全域中,存储分散”到“随着数据汇聚,大量政务数据集中存储”;四是政务数据主体的变化,从“政务数据的来源通常是政务数据的使用方”到“政务数据来源方和政务数据使用方可能不是同一方”;五是政务数据接触人员变化,从“政务数据的业务流程较短,接触人员少”到“政务数据业务流程变长,接触人员变多”。
政务信息共享带来政务数据流转新转变,原有政务数据安全能力缺陷和短板也随之凸显。在不同业务场景和不同阶段,数据安全风险也呈现不同特征。
政务信息共享平台基础设施安全风险范畴中网络、主机、应用乃至数据库的安全风险,更侧重于传统安全,不再过多赘述。而对于政务信息共享平台等关键设施来说,因自身系统(或产品)带有的脆弱性和漏洞性、生产制造及开发商水平低以及信息全球化等特点,使其不可避免地存在一系列信息安全风险,而如何对供应链风险进行安全控制,最大限度保障产品、服务及信息系统安全是各采购部门关心的问题。在平台服务供应链建设层面的具体数据安全风险大多数表现在3方面:
(1)设施自身的安全措施完备度:如政务信息共享平台有关技术组件多基于开源,组件的自身漏洞更容易被发现并利用;
(2)设施之间的安全措施差异:政务信息共享平台在对接应用以及大数据平台、大数据应用在整体业务系统中,不同组件及系统的安全措施并没有严格遵守安全策略一致性原则,木桶短板效应将最终决定整体的安全水平;
(3)由于政务信息共享平台建设是一个复杂的多元化技术融合的过程,对于新型设施的安全防护,传统安全措施存在一定的死角,很可能被黑客或者内部违规等行为所利用。
在政务信息共享平台上,政务数据主要存在以下几点安全风险:一是数据在共享流转环节不存储的情形下,有几率存在数据接口被申请方超范围滥用、数据传输交换全程明文、数据接入与使用双认证措施不足等风险。二是数据在共享流转环节集中存储的情形下,有几率存在如下风险:
(1)提供方对数据和业务系统控制能力减弱,共享平台可能具有访问、利用、控制数据能力;(2)不同服务模式和部署模式、政务信息共享平台环境的复杂性增加了界定数据安全责任的难度;(3)数据因加工原始所有权发生人为改变;(4)数据因叠加可能增加敏感程度等。
从政务信息共享的汇聚、共享、开放不同阶段看,所存在的数据安全风险和问题也不完全相同:一是数据汇聚过程集聚风险,主要体现在基础设施及政务信息共享平台整体安全控制措施普遍薄弱,核心敏感数据大量集中后缺乏重新梳理实施有效分类分级保护,多方复杂数据工艺流程极少实现细粒度的授权和审计机制等方面。二是数据共享过程不好控,主要体现在数据管理权与数据使用权及相应安全责任分离;数据跨部门(安全域),跨域留存,安全策略不一致;不当授权或第三方滥用,缺乏有效监管跟踪等方面。三是数据开放安全机制不明确,主要体现在难以有效评估数据开放的安全影响,数据开放接口安全机制不完备,缺乏有效的隐私敏感控制保护机制等方面。综合以上,梳理政务信息共享场景下数据安全风险及风险可能会产生的影响,应形成数据安全风险清单。
参照《政务信息共享系统整合实施方案》《“互联网+政务服务”技术体系建设指南》《国家数据共享交换平台(政务外网)省级平台接入指南(试行)》等要求,为更好地应对这一些数据风险,围绕构建政务信息共享平台自身安全、平台级联安全等基础设施安全,以及聚焦于政务信息共享场景下的政务数据流转安全管理、技术等数据安全体系,从管理监督、标准体系、数据保护3方面提出数据安全三大要点及其四大关键技术能力,总体构成政务信息共享“数据堡垒”安全体系。
结合《政务信息共享系统整合实施方案》中五个“统一”的根本原则,分别进行安全相关维度能力机制的规划和扩展:
(1)统一工程规划:针对整体“大平台、大数据、大系统”构建平台化统一的安全机制,如统一身份认证及鉴权授权机制、覆盖全系统敏感数据的基于数据的权限管理和策略机制等。
(2)统一标准规范:针对政务信息共享经营事物的规模内人员构建统一的安全管理监督组织结构、统一的数据安全管理制度、统一的流程规范指导办法、统一的数据安全业务规范(如数据分类分级规范)等。
(3)统一备案管理:针对政务信息共享系统建设和运维以及运营过程中的业务申请、审核、授权、回收等相关过程进行精细化全量备案,并制定有明确的目的性的安全管理维护制度规范。
(4)统一审计监督:针对政务信息共享经营事物的规模内的关键业务流程以及组织架构职责,分别从人员制度规范执行和技术应用等维度构建监督审计机制,通过过程记录、人员监督、工具监控、技术审计等多维度方式对业务流程安全效果以及人员制度执行规范度进行审计监督。
(5)统一评价体系:针对政务信息共享经营事物的规模内的关键业务流程、制度执行和人员岗位工作职责表现建立打分、评级等可量化评价体系,能有效结合审计监督等过程手段量化系统建设后的运营、运维、管理等情况,并通过数据量化为有明确的目的性的优化短板环节提供支撑。
开展政务信息共享数据安全标准体系建设,首先从资源对象维度明确政务信息共享系统整合实施的建设目标,如图1所示。
(1)共享系统整合:共享系统整合涉及国家各部门、各省地市等政务信息系统通过整合、清理、规范治理后接入国家数据共享交换平台。建设过程中,需最大限度地考虑各级别政务信息共享交换平台等基础设施相关安全技术与国家标准等要求,如政务信息共享交换平台安全要求、前置交换子系统安全要求、政务资源网站安全要求等。
(2)政务信息共享资源目录:政务信息共享资源目录最为关键的整合过程就是对政务信息资源的分类分级。政务信息分类需考虑分别从多重维度进行规划拆分,如按事项性质分类、按服务对象分类、按实施主体分类、按服务主题分类、按服务层级分类、按服务形式分类、按行政管辖分类等。政务信息分级可基于分类结果进行有关类别数据的级别划分,有助于制定有明确的目的性的安全权限策略以及风险控制策略。
(3)政务信息资源共享:政务信息资源共享业务流程的安全性考虑,重点在于有条件共享和不共享数据的共享申请审批以及共享过程的安全监控和审计跟踪。对于有条件共享和不共享的数据,安全建设重点在于越权访问、获取过程安全性、获取数据后的合理使用等,针对相关风险点有必要进行有明确的目的性的标准化安全要求,配套有效技术工具做监督和风险发生时能有效控制及阻断。
其次,针对政务信息共享业务体系的安全技术标准,是规范化政务信息共享数据安全建设的最直接有效的指导。作为指导政务信息共享业务场景下的数据安全技术方面的要求的国家标准,《信息安全技术政务信息共享数据安全技术方面的要求》标准从政务共享数据提供方、共享数据使用方及共享数据交换服务方3个角色的角度,围绕共享数据的各个处理阶段,提出应该采取的数据安全措施及技术方面的要求。结合《信息安全技术政务信息共享数据安全技术方面的要求》标准的条款要求,以及政务信息共享系统的整体架构,要建立能够覆盖全流程、全对象、全应用的政务信息共享安全体系。对于政务信息共享系统架构,从分层视角来看大致可分为:基础设施层、数据资源层、应用支撑层、业务应用层、用户及服务层,基于整体架构规划的政务信息共享数据视角,数据安全保障标准体系可涵盖基础设施安全、应用系统安全、数据安全、服务安全4个层次。
针对数据安全,国际知名权威机构高德纳公司(Gartner)提出了DCAP(DataCentricAuditandProtection)理念,即以数据为中心的审计和保护。字面含义是要求安全和风险管理领导者一定要使用以数据为中心的审计和保护产品,以应对关键数据的威胁和合规性问题。通过深入调查分析,DCAP数据安全体系不管在产业实践还是在科研领域方面,都提出了很具有实操性的建议:与主体业务利益相关方配合,建立组织范围的数据安全治理政策,制定适当的数据安全策略,以平衡业务目标,为减小和应对风险和威胁,确定不同敏感数据所需的数据安全控制,然后与每个数据孤岛的管理团队和数据所有者协调,以便在所有孤岛和应用程序中一致地应用。确保数据安全策略考虑到了数据如何流动,是如何由用户、业务流程、应用程序或大数据分析转换的。此外,高德纳公司在DCAP的理念中也给出了数据安全技术产品方向,如:数据分类和发现、数据安全策略管理、用户权限和数据访问活动的检测、审计和报告、行为分析告警和阻断等。
政务信息共享平台建设场景中,以数据为中心的数据堡垒是多元安全防护的复合体,就像一座实实在在防护堡垒设施,综合兼顾多方面能力需要。在做好网络、主机、应用等一应基础设施安全建设的基础上,既要做好政务信息共享平台层面的基础设施安全加固,又要将数据安全防护和风险控制从点到面拉通形成安全策略一致的体系;既要对数据形成资产化的精细管理控制,又要对数据做到全生命周期流转的安全防护和流转过程中的风险感知;既要对数据安全事件快速定位溯源,又要在溯源过程和日常审计中形成风险监控能力;既要有人机高度结合的运营管控对接,又要不断迭代形成智能化学习自动化运营。
数据堡垒以多技术体系闭环联动架构作为构思理念,以确保政务共享数据生命周期安全为设计目标,针对政务信息共享数据应用过程中所涉及的各类应用(如数据库、大数据平台、共享交换平台、大数据应用等)及各类使用对象,构建集敏感数据的全生命周期安全管理、数据安全访问控制、数据安全风险控制、数据安全态势监管预警与安全运营防护等核心数据安全能力于一体的数据安全防护体系。数据堡垒技术架构如图3所示。
(2)基于风险的安全控制策略,除提供基础的审计和风险事件溯源能力外,还可以基于敏感数据管理的策略,从数据流量、人员行为等视角建立威胁分析模型进行风险监测和未知风险预测,并结合自己风险控制策略管理,与加密、脱敏等风控技术工具进行联动实现实时风险控制能力。
(3)数据安全防护,主要面向数据库、大数据平台等数据存储实体构建全体系的虚拟化代理机制,基于敏感数据管理策略形成全局的数据安全防护。此外,集成丰富的安全防护技术能力作为整体数据安全防护和风险控制策略体系的安全资源池,如:数据访问审计、数据访问代理、身份鉴别准入控制、数据访问控制、数据脱敏、数据加密、数字水印、数据风险告警阻断等。
(4)数据流动性监管及安全运营,提供全局的数据安全态势感知、策略管理、风险预警通报、应急响应等统一运营的平台化界面,结合人工运营,完善技术体系的安全防护效果。
在政务信息共享场景下,都会存在数据库系统对外部用户、运维人员、研发人员等账号角色权限划分粒度较粗,只有基本的基于等级的权限控制,且与已有的权限管理机制割裂运行,因而往往设置公用的高权限的账号、密码使用,数据库处于高度危险的状态,数据也处于完奔的状态,导致数据库勒索病毒、误删误改数据、数据泄密等事件时有发生,且审计对象混乱模糊溯源定位困难。数据安全防护旨在通过对中心库、前置库、大数据平台等关键设置进行代理,建立从点到面拉通的准入控制、访问控制机制,并结合脱敏控制、加密、防泄露、数字水印等防护技术体系。通过精细粒度的权限控制和虚拟化代理机制,最大化降低直接攻击、非法企图访问汇聚数据的风险。
数据安全防护分基础防护和综合防护两部分:(1)数据堡垒基础防护,基于虚拟化数据库(数据库代理),结合细粒度的数据库权限访问控制,并采用密码技术在数据基础安全防护功能方面实现尽可能全面的支撑,从实体数据库外部隔离安全风险隐患。此外,融合了不同应用模式的敏感数据管理能力,有明确的目的性地支撑敏感数据动态脱敏功能,采取高效可靠的敏感数据的管理和脱敏处理,有很大效果预防敏感信息的泄露。技术架构如图4所示。数据堡垒基础防护,从安全能力定义上,主要从3个核心维度实现数据库层面的安全防护及安全风险控制:数据库安全防护、数据库代理及风险控制、数据脱敏处理。基础防护架构及能力定义如图5所示。
(2)综合防护部分,是在基础防护的能力基础上,融合统一身份鉴别授权访问控制(涵盖基础防护的身份鉴别、鉴权授权及访问控制)、数据脱敏、数据加密、数字水印、数据防泄露、风险阻断告警等综合防护能力的能力集。
将整套数据堡垒技术体系中所有功能以最小归集化的融合管控,成为数据堡垒技术体系有关技术工具使用、应用、运行等的统一入口。作为管控的核心措施,还应是技术应用效果监控的窗口,将抽象的数据安全态势转化成直观、可视的实体。从数据生产、传输、存储、处理、交换、销毁的全生命周期视角,实时展现当前敏感数据流转的态势和数据安全风险,第一时间掌控数据安全态势,快速决策,有效指导运维团队定位和解决数据风险。此外,运营管理的统一归集化定义,也应该最大化支撑堡垒技术体系日常运营和应急的需求。
当前,我国提出涉及数据要素的体制机制改革,要求加快培育数据要素市场,推进政府数据开放共享,加强数据资源整合和安全保护,探索建立统一规范的数据管理制度,提高数据质量和规范性,制定数据隐私保护制度和安全审查制度,推动完善适用于大数据环境下的数据分类分级安全保护制度,加强对政务数据、企业商业机密和个人数据的保护,这无疑对政务信息共享数据保护提出了更高的要求。我国已经构建的并已初具规模、运行效果良好的政务信息基础设施,如政务外网、政务云、政务数据共享交换平台,必将在数据安全方面不断深入贯彻落实有关要求,进一步探索“数据堡垒”的构思,强化安全的政务数据市场化配置支撑环境及全面的保障机制。