統(tǒng)計(jì)調(diào)查數(shù)據(jù)的信息安全保障

劉佳

摘 要當(dāng)前，統(tǒng)計(jì)數(shù)據(jù)已經(jīng)被視為一種資產(chǎn)、一種可以被衡量和計(jì)算的價(jià)值。統(tǒng)計(jì)數(shù)據(jù)的安全問(wèn)題嚴(yán)重影響統(tǒng)計(jì)數(shù)據(jù)的可信度和權(quán)威性。本文圍繞信息安全保障理論框架和要求、統(tǒng)計(jì)調(diào)查數(shù)據(jù)安全的基本內(nèi)容和當(dāng)前保護(hù)統(tǒng)計(jì)信息安全的一般做法及存在問(wèn)題著重分析提高統(tǒng)計(jì)調(diào)查信息安全保障意義及具體措施，并得出通過(guò)完善統(tǒng)計(jì)組織機(jī)構(gòu)、加大統(tǒng)計(jì)制度改革、落實(shí)統(tǒng)計(jì)法治、構(gòu)建數(shù)據(jù)安全體系建設(shè)的四大措施，遵循信息安全保障理論的思想和方法是加強(qiáng)統(tǒng)計(jì)調(diào)查數(shù)據(jù)安全的一種可行方法和思路。

【關(guān)鍵詞】統(tǒng)計(jì)調(diào)查 信息安全 數(shù)據(jù)

經(jīng)濟(jì)社會(huì)快速發(fā)展，社會(huì)管理和經(jīng)濟(jì)管理對(duì)統(tǒng)計(jì)調(diào)查數(shù)據(jù)提出了更多的需求，統(tǒng)計(jì)數(shù)據(jù)已經(jīng)上升為重要的信息資產(chǎn)，使得“互聯(lián)網(wǎng)+統(tǒng)計(jì)”也將成為統(tǒng)計(jì)現(xiàn)代化的新常態(tài)。大量的國(guó)家經(jīng)濟(jì)基礎(chǔ)數(shù)據(jù)的安全與否，影響著政府統(tǒng)計(jì)調(diào)查的可信度和權(quán)威性，通過(guò)完善統(tǒng)計(jì)組織機(jī)構(gòu)、加大統(tǒng)計(jì)制度改革、落實(shí)統(tǒng)計(jì)法治、構(gòu)建數(shù)據(jù)安全體系建設(shè)的四大措施，遵循信息安全保障理論的思想和方法是加強(qiáng)統(tǒng)計(jì)調(diào)查數(shù)據(jù)安全的一種可行方法和思路。

1 信息安全保障理論框架和要求

信息安全保障是為防止信息被泄露、防止信息被非法修改破壞、防止信息系統(tǒng)被非法入侵等而采取的計(jì)劃部署、防護(hù)檢查、管理改進(jìn)等一系列工作。通過(guò)正視威脅的存在、漏洞的存在，采取風(fēng)險(xiǎn)評(píng)估、適度防護(hù)并加強(qiáng)檢查，改進(jìn)落實(shí)對(duì)信息安全事件的響應(yīng)，不斷提升防護(hù)水平。信息安全保障是要引入信息安全保障的技術(shù)框架，有效規(guī)劃統(tǒng)計(jì)調(diào)查數(shù)據(jù)的安全計(jì)劃，采取行之有效的防護(hù)措施，開(kāi)展信息安全評(píng)估檢查，改進(jìn)完善薄弱環(huán)節(jié)，提高統(tǒng)計(jì)調(diào)查數(shù)據(jù)的安全性。

2 統(tǒng)計(jì)調(diào)查數(shù)據(jù)安全的基本內(nèi)容

（1）通過(guò)統(tǒng)計(jì)調(diào)查獲得的個(gè)人和企業(yè)的個(gè)體數(shù)據(jù)是重要的敏感信息，必須得到有效的保護(hù)，在對(duì)統(tǒng)計(jì)調(diào)查對(duì)象要求做到數(shù)據(jù)準(zhǔn)確、報(bào)送及時(shí)，不得提供不真實(shí)統(tǒng)計(jì)數(shù)據(jù)的同時(shí)，作為政府統(tǒng)計(jì)調(diào)查部門(mén)更有保密的義務(wù)，為此應(yīng)采取一定的技術(shù)和管理手段。

（2）一些統(tǒng)計(jì)調(diào)查數(shù)據(jù)涉及國(guó)防和國(guó)家安全的重要信息，不能被外界獲取，否則可能導(dǎo)致國(guó)家利益受損。

（3）政府統(tǒng)計(jì)部門(mén)運(yùn)行統(tǒng)計(jì)調(diào)查業(yè)務(wù)系統(tǒng)需要采取技術(shù)管理信息安全防護(hù)措施，確保其收集保存的的敏感信息和調(diào)查個(gè)體信息的安全，防止信息泄露、毀損、丟失，依法承擔(dān)本部門(mén)的信息安全設(shè)施安全保護(hù)的職責(zé)。

3 當(dāng)前保護(hù)統(tǒng)計(jì)信息安全的一般做法及存在問(wèn)題

3.1 企業(yè)上報(bào)的CA認(rèn)證

身份認(rèn)證技術(shù)是信息安全的第一道大門(mén)，目前有普通的根據(jù)用戶(hù)名和口令進(jìn)行身份認(rèn)證；也有基于數(shù)字證書(shū)（CA證書(shū)）的身份認(rèn)證系統(tǒng)。通過(guò)獨(dú)立的認(rèn)證服務(wù)器以及與應(yīng)用服務(wù)器的安全憑證的傳遞技術(shù)模型，解決統(tǒng)計(jì)聯(lián)網(wǎng)直報(bào)等網(wǎng)上應(yīng)用的用戶(hù)身份認(rèn)證問(wèn)題。

3.2 統(tǒng)計(jì)調(diào)查管理端的安全認(rèn)證

依托統(tǒng)計(jì)業(yè)務(wù)專(zhuān)網(wǎng)的基于口令認(rèn)證的統(tǒng)計(jì)數(shù)據(jù)處理平臺(tái)，隨著統(tǒng)計(jì)調(diào)查業(yè)務(wù)處理系統(tǒng)的推廣運(yùn)行，為滿足當(dāng)前政府統(tǒng)計(jì)調(diào)查過(guò)程中的信息安全的需求，很多采取網(wǎng)絡(luò)隔離的技術(shù)手段，在內(nèi)網(wǎng)運(yùn)行。這樣使用帶來(lái)的問(wèn)題是統(tǒng)計(jì)調(diào)查管理端的安全更多依賴(lài)內(nèi)網(wǎng)的安全性，在某些內(nèi)網(wǎng)管理不夠嚴(yán)格的基層統(tǒng)計(jì)機(jī)構(gòu)，或部分功能允許外網(wǎng)操作的情況下，帶來(lái)較大的安全隱患。

3.3 防范未授權(quán)修改和非法代報(bào)的痕跡管理和IP地址管理

通過(guò)對(duì)系統(tǒng)和數(shù)據(jù)的操作行為的日志和審計(jì)，保障了操作行為是有理有據(jù)的正當(dāng)業(yè)務(wù)行為。由于行為審計(jì)工作沒(méi)有常規(guī)化，導(dǎo)致存在痕跡管理審查不嚴(yán)，整治代報(bào)行為的工作也只大多停留在集中整治期間，有較大的監(jiān)管空白有待填補(bǔ)。

4 提高統(tǒng)計(jì)調(diào)查信息安全保障的幾點(diǎn)建議

目前，統(tǒng)計(jì)調(diào)查的數(shù)據(jù)安全保障工作已較過(guò)去有了長(zhǎng)足的進(jìn)步，為進(jìn)一步提高，建議從以下幾個(gè)方面入手。

4.1 認(rèn)證軟硬件的來(lái)源安全性

核心電子器件、高端通用芯片及基礎(chǔ)軟件產(chǎn)品是作為信息安全的基礎(chǔ)和核心，強(qiáng)化高可信的軟硬件研究，是保障數(shù)據(jù)安全的基礎(chǔ)性要求，還要采取保密工作中常規(guī)的防護(hù)要求。要加強(qiáng)對(duì)采購(gòu)的計(jì)算機(jī)軟硬件的認(rèn)證檢驗(yàn)，確保沒(méi)有預(yù)設(shè)的隱匿后門(mén)，以防備通過(guò)設(shè)備后門(mén)非法盜取統(tǒng)計(jì)調(diào)查數(shù)據(jù)。

4.2 構(gòu)建數(shù)據(jù)操作的審計(jì)系統(tǒng)

信息安全領(lǐng)域通行的做法是構(gòu)建面向業(yè)務(wù)的信息安全審計(jì)系統(tǒng)，防火墻、防病毒、入侵檢測(cè)系統(tǒng)、內(nèi)外網(wǎng)隔離等解決大部分非法侵入問(wèn)題，而有效地控制信息安全風(fēng)險(xiǎn)，從“審用戶(hù)、審角色、審權(quán)限”到行為日志的記載，將每個(gè)訪問(wèn)和操作行為做全面的記錄，確保用戶(hù)的操作合法合理有依據(jù)。它代表著由傳統(tǒng)信息安全向業(yè)務(wù)信息安全發(fā)展的必然要求，在保障統(tǒng)計(jì)調(diào)查數(shù)據(jù)的安全方面將能發(fā)揮越來(lái)越重要的作用。

4.3 保持密級(jí)信息處理的離線獨(dú)立性

通過(guò)設(shè)立單獨(dú)的涉密計(jì)算機(jī)和涉密網(wǎng)絡(luò)，使得在物理完全隔離方式下，將密級(jí)信息和普通的統(tǒng)計(jì)調(diào)查數(shù)據(jù)隔離開(kāi)來(lái)。不盲目依賴(lài)系統(tǒng)的權(quán)限設(shè)置等軟措施。

4.4 構(gòu)建合理有效的檢查體系

統(tǒng)計(jì)調(diào)查行業(yè)應(yīng)制定一套規(guī)范清晰的信息安全檢查工作體系，增強(qiáng)評(píng)估能力。通過(guò)建立信息安全檢查指標(biāo)體系時(shí)加強(qiáng)管理與技術(shù)并重，合理結(jié)合自查與監(jiān)督，形成經(jīng)常性、規(guī)律性的自查，以增強(qiáng)內(nèi)部人員的信息安全意識(shí)和管理水平。通過(guò)監(jiān)督檢查強(qiáng)化針對(duì)性，既節(jié)約檢查時(shí)間和成本，又有一套合理的評(píng)估管理機(jī)制，降低安全風(fēng)險(xiǎn)。

4.5 改進(jìn)和落實(shí)數(shù)據(jù)信息公開(kāi)的制度

統(tǒng)計(jì)調(diào)查數(shù)據(jù)的發(fā)布是政府信息公開(kāi)的重要內(nèi)容，在盡可能地減少統(tǒng)計(jì)數(shù)據(jù)發(fā)布前被泄露的風(fēng)險(xiǎn)。應(yīng)縮短統(tǒng)計(jì)數(shù)據(jù)生產(chǎn)到發(fā)布的時(shí)間，有利于降低數(shù)據(jù)被提前泄露的風(fēng)險(xiǎn)。

參考文獻(xiàn)

[1]毛琨.定制數(shù)據(jù)安全交換模型及其關(guān)鍵技術(shù)研究[D].解放軍信息工程大學(xué)，2013（03）.

[2]陳亮.數(shù)據(jù)安全交換若干關(guān)鍵技術(shù)研究[D].解放軍信息工程大學(xué)，2015（06）.

[3]錢(qián)勇.基于PKI/PMI的統(tǒng)計(jì)信息安全平臺(tái)研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2009（06）.

[4]門(mén)鳳超，王會(huì)仙.淺談統(tǒng)計(jì)信息化建設(shè)[J].經(jīng)濟(jì)研究導(dǎo)刊，2009（11）.

作者單位

煙臺(tái)開(kāi)發(fā)區(qū)發(fā)展改革和經(jīng)濟(jì)信息化局 山東省煙臺(tái)市 264006