政務(wù)數(shù)據(jù)安全合規(guī)評估要點(diǎn)及實(shí)踐

陳永剛 趙增振 陳 嵐

1(國家信息中心 北京 100045) 2(上海觀安信息技術(shù)股份有限公司 上海 201803)

近年來，國家高度重視數(shù)據(jù)安全問題，針對數(shù)據(jù)安全的法律法規(guī)陸續(xù)出臺，相關(guān)工作機(jī)制逐步明確.其中政務(wù)數(shù)據(jù)由于其涉及面廣、影響程度高，成為相關(guān)法律法規(guī)和政策文件關(guān)注的焦點(diǎn)，也成為國家監(jiān)管的重點(diǎn).政務(wù)數(shù)據(jù)共享開放在“一網(wǎng)通辦”“跨省通辦”、政務(wù)“秒批”“秒辦”“城市大腦”等場景中廣泛應(yīng)用，有力地提高了公眾辦事效率，提升了社會治理水平.然而，政務(wù)業(yè)務(wù)和數(shù)據(jù)的融合加大了數(shù)據(jù)安全防護(hù)的難度，政務(wù)數(shù)據(jù)相關(guān)系統(tǒng)面臨著巨大的安全威脅和風(fēng)險[1]：一方面烏克蘭危機(jī)網(wǎng)絡(luò)對抗給予了我們重要警示，網(wǎng)絡(luò)空間已成為現(xiàn)代戰(zhàn)爭的重要領(lǐng)域，存有大量政務(wù)數(shù)據(jù)的關(guān)鍵信息基礎(chǔ)設(shè)施是網(wǎng)絡(luò)戰(zhàn)的首要攻擊目標(biāo)；另一方面，黑客組織、犯罪團(tuán)伙和不法分子長期對政務(wù)數(shù)據(jù)實(shí)施網(wǎng)絡(luò)攻擊，竊取重要數(shù)據(jù)，地下黑產(chǎn)和暗網(wǎng)非法交易活動猖獗，嚴(yán)重危害國家安全、社會公共安全和人民群眾合法權(quán)益.為了防范和化解政務(wù)數(shù)據(jù)合規(guī)風(fēng)險，提高風(fēng)險預(yù)見、預(yù)判能力，開展政務(wù)數(shù)據(jù)安全評估，建立合規(guī)數(shù)據(jù)安全體系，已經(jīng)成為國家機(jī)關(guān)、企事業(yè)單位開展業(yè)務(wù)活動的重要前提和保障.

1 政務(wù)數(shù)據(jù)安全合規(guī)要求

國家對政務(wù)數(shù)據(jù)安全高度重視，頒布實(shí)施了《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護(hù)法》《網(wǎng)絡(luò)安全審查辦法》《關(guān)于加強(qiáng)數(shù)字政府建設(shè)的指導(dǎo)意見》《信息安全技術(shù) 政務(wù)信息共享 數(shù)據(jù)安全技術(shù)要求》(GB/T 39477—2020)等法律、法規(guī)、政策文件和技術(shù)標(biāo)準(zhǔn)[2-6]，《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》[7]正在征求意見，對政務(wù)數(shù)據(jù)安全提出嚴(yán)格要求：一是建立數(shù)據(jù)分類分級保護(hù)制度，編制和重點(diǎn)管理國家核心數(shù)據(jù)，地區(qū)、部門以及相關(guān)行業(yè)、領(lǐng)域的重要數(shù)據(jù)目錄；二是建立數(shù)據(jù)安全風(fēng)險評估、報(bào)告、信息共享、監(jiān)測預(yù)警機(jī)制；三是建立數(shù)據(jù)安全應(yīng)急處置機(jī)制；四是建立數(shù)據(jù)安全審查制度；五是規(guī)范數(shù)據(jù)的收集和使用，加強(qiáng)個人隱私、個人信息、商業(yè)秘密、保密商務(wù)信息等數(shù)據(jù)保護(hù)等要求.

2 政務(wù)數(shù)據(jù)安全合規(guī)評估方法

參考《信息安全技術(shù) 信息安全風(fēng)險評估方法》[8](GB/T 20984—2022)國家標(biāo)準(zhǔn)，針對政務(wù)數(shù)據(jù)安全合規(guī)的評估方法主要包括訪談、檢查和測試3種：

1) 訪談由評估人員與大數(shù)據(jù)系統(tǒng)建設(shè)、運(yùn)維和服務(wù)相關(guān)人員就政務(wù)大數(shù)據(jù)安全情況進(jìn)行談話.基于重要業(yè)務(wù)場景，深入了解大數(shù)據(jù)平臺安全控制措施實(shí)施情況，并進(jìn)行分析或證據(jù)獲取.訪談的對象為個人或團(tuán)體，例如：大數(shù)據(jù)平臺主要負(fù)責(zé)人、信息安全機(jī)構(gòu)領(lǐng)導(dǎo)、信息系統(tǒng)安全管理員、運(yùn)維人員、網(wǎng)絡(luò)和系統(tǒng)管理員、機(jī)房安全管理人員和用戶等.

2) 檢查由評估人員通過對管理制度、安全策略和機(jī)制、安全配置和設(shè)計(jì)文檔、運(yùn)行記錄等進(jìn)行觀察、查驗(yàn)、分析以使評估人員理解、分析或取得證據(jù)的過程.檢查的對象為規(guī)范、機(jī)制和活動.例如：評審信息安全策略規(guī)劃和程序；分析系統(tǒng)的設(shè)計(jì)文檔和接口規(guī)范；觀測系統(tǒng)的備份操作；審查應(yīng)急演練結(jié)果；觀察事件響應(yīng)活動；研究技術(shù)手冊和用戶/管理員指南；檢查、研究或觀察信息系統(tǒng)的硬件/軟件中信息技術(shù)機(jī)制的運(yùn)行；檢查、研究或觀察信息系統(tǒng)運(yùn)行相關(guān)的物理安全措施及檢查信息系統(tǒng)安全基線配置等.

3) 測試由評估人員進(jìn)行技術(shù)測試(包括滲透測試)，通過人工或自動化安全測試工具獲得相關(guān)信息，并進(jìn)行分析以幫助評估人員獲取證據(jù).測試的對象為機(jī)制和活動.例如，訪問控制、身份識別和驗(yàn)證、審計(jì)機(jī)制；測試安全配置設(shè)置及物理訪問控制設(shè)備；進(jìn)行信息系統(tǒng)的關(guān)鍵組成部分的滲透測試，測試信息系統(tǒng)的備份操作；對重要事件進(jìn)行持續(xù)監(jiān)控；測試事件響應(yīng)能力以及應(yīng)急規(guī)劃演練能力等.

3 政務(wù)數(shù)據(jù)安全合規(guī)評估指標(biāo)體系

依據(jù)政務(wù)數(shù)據(jù)安全相關(guān)實(shí)踐[9]和標(biāo)準(zhǔn)，建立政務(wù)數(shù)據(jù)安全合規(guī)評估指標(biāo)體系，包括2個1級指標(biāo)、10個2級指標(biāo)和95個3級指標(biāo).

1級指標(biāo)包括“數(shù)據(jù)全生命周期安全”指標(biāo)和“通用合規(guī)要求”指標(biāo)，其中“數(shù)據(jù)全生命周期安全”指標(biāo)包括數(shù)據(jù)采集、傳輸、存儲、使用、交換和銷毀各環(huán)節(jié)，聚焦重要業(yè)務(wù)場景發(fā)現(xiàn)風(fēng)險點(diǎn).“通用合規(guī)要求”指標(biāo)從組織結(jié)構(gòu)及人員、管理制度、管理措施和技術(shù)措施4個方面評估數(shù)據(jù)安全管理和技術(shù)合規(guī)風(fēng)險.其中2級指標(biāo)“數(shù)據(jù)采集風(fēng)險”包括15個3級指標(biāo)；“數(shù)據(jù)傳輸風(fēng)險”包括4個3級指標(biāo)；“數(shù)據(jù)存儲風(fēng)險”包括13個3級指標(biāo)；“數(shù)據(jù)使用風(fēng)險”包括17個3級指標(biāo)；“數(shù)據(jù)交換風(fēng)險”包括22個3級指標(biāo)；“數(shù)據(jù)銷毀風(fēng)險”包括8個3級指標(biāo)；“組織結(jié)構(gòu)及人員”包括2個3級指標(biāo)；“管理制度”包括2個3級指標(biāo)；“管理措施”包括10個3級指標(biāo)；“技術(shù)措施”包括2個3級指標(biāo).

3級指標(biāo)包括部分重點(diǎn)指標(biāo)：一是關(guān)于個人信息相關(guān)的“個人信息獲取合法性”“個人信息獲取必要性”“個人信息處理協(xié)議或規(guī)則的完備性”等指標(biāo)，關(guān)注收集使用個人信息不正當(dāng)合法風(fēng)險；二是關(guān)于數(shù)據(jù)使用相關(guān)的“匯聚融合的影響評估”“對重要數(shù)據(jù)處理的合法性”“對企業(yè)秘密數(shù)據(jù)處理的合法性”等指標(biāo)，對應(yīng)履行信息處理者基本義務(wù)要求；三是關(guān)于管理措施相關(guān)的“風(fēng)險監(jiān)測要求”“事件處置和通知要求”“風(fēng)險評估要求”“合規(guī)審計(jì)要求”“數(shù)據(jù)安全審查要求”“分類分級保護(hù)要求”“權(quán)限控制要求”“數(shù)據(jù)管控要求”等指標(biāo)，評估管理措施的落實(shí)情況及有效性.

4 政務(wù)數(shù)據(jù)安全合規(guī)評估實(shí)踐

參考上述政務(wù)數(shù)據(jù)安全合規(guī)評估方法和評估指標(biāo)體系，對某大數(shù)據(jù)中心開展了政務(wù)數(shù)據(jù)安全合規(guī)評估實(shí)踐.某大數(shù)據(jù)中心主要業(yè)務(wù)包括對委辦局提供政務(wù)云、政務(wù)網(wǎng)、數(shù)據(jù)的基礎(chǔ)設(shè)施資源；對公眾提供社會事務(wù)辦事系統(tǒng)，便捷辦理各項(xiàng)民生事務(wù)，提升公眾辦事效率.隨著政府部門信息化職能整合優(yōu)化工作的深入推進(jìn)，負(fù)責(zé)委辦局?jǐn)?shù)百個信息系統(tǒng)和數(shù)據(jù)的納管，也伴隨著安全風(fēng)險的匯集，對大數(shù)據(jù)中心整體安全保障能力提出了更高要求和挑戰(zhàn).大數(shù)據(jù)中心要在保障數(shù)據(jù)安全的前提下做好數(shù)據(jù)治理工作，打通各級政府和各部門之間數(shù)據(jù)共享堵點(diǎn)，破除“數(shù)據(jù)孤島”頑疾.經(jīng)評估發(fā)現(xiàn)，在政務(wù)云、大數(shù)據(jù)平臺和政務(wù)應(yīng)用3個方面存在一定的數(shù)據(jù)安全合規(guī)風(fēng)險.

4.1 政務(wù)云數(shù)據(jù)安全合規(guī)風(fēng)險

大數(shù)據(jù)中心信息系統(tǒng)遷移上云之后，大量信息存儲在云上，在擁有云敏捷、彈性、節(jié)省資源優(yōu)點(diǎn)的同時，對于政務(wù)云數(shù)據(jù)安全存在的風(fēng)險也不容忽視.

1) 數(shù)據(jù)泄露.

云服務(wù)商存儲著海量重要數(shù)據(jù)，愈發(fā)成為攻擊者的主要目標(biāo).數(shù)據(jù)安全的威脅也由原來外部威脅為主轉(zhuǎn)變?yōu)閮?nèi)部威脅和外部威脅共存的局面，來自云環(huán)境內(nèi)部不同租戶之間的安全威脅也顯著增加.一旦發(fā)生數(shù)據(jù)泄露事件，危害性極大.

2) 數(shù)據(jù)丟失.

隨著政務(wù)云管理要求的出臺和實(shí)施，以及云安全技術(shù)防護(hù)的加強(qiáng)，因云服務(wù)商失誤導(dǎo)致的數(shù)據(jù)丟失的事件逐步減少，更多的是外部惡意攻擊者通過永久刪除云上數(shù)據(jù)來損害社會公眾利益.此外，云數(shù)據(jù)中心還面臨著自然災(zāi)害的隱患，如未建立異地容災(zāi)備份機(jī)制，可能導(dǎo)致數(shù)據(jù)永久丟失的嚴(yán)重后果.

3) 外部接口和API攻擊.

運(yùn)維團(tuán)隊(duì)使用接口和API管理和調(diào)用云資源、管理、服務(wù)編排和鏡像等云服務(wù)，這些云服務(wù)的安全和可用性依賴于API的安全性，引入更多的服務(wù)或者認(rèn)證，面臨的風(fēng)險也成倍增加.當(dāng)運(yùn)維人員在外部互聯(lián)網(wǎng)訪問API和接口時，系統(tǒng)也將面臨暴露的風(fēng)險.

4.2 大數(shù)據(jù)平臺數(shù)據(jù)安全合規(guī)風(fēng)險

大數(shù)據(jù)平臺在數(shù)據(jù)權(quán)限管控、數(shù)據(jù)操作監(jiān)測與審計(jì)、數(shù)據(jù)全生命周期管理等方面存在一定風(fēng)險，需高度重視，加強(qiáng)技術(shù)防護(hù)和日常檢查.

1) 數(shù)據(jù)權(quán)限管理.

在鑒別與訪問控制方面，外包服務(wù)商賬號、委辦局賬號管理較弱，未實(shí)現(xiàn)全面統(tǒng)一身份認(rèn)證，面臨誤操作、數(shù)據(jù)泄露的風(fēng)險.

2) 數(shù)據(jù)操作監(jiān)測與審計(jì).

在監(jiān)測與審計(jì)方面，日志記錄項(xiàng)不完整，信息系統(tǒng)缺乏審計(jì)紀(jì)錄，人員不易快速排除異常，存在日志被攻擊者刪除的風(fēng)險.缺少重要數(shù)據(jù)操作審計(jì)，一旦發(fā)生數(shù)據(jù)安全事件難以追根溯源.

3) 數(shù)據(jù)全生命周期管理.

在數(shù)據(jù)采集安全方面，重要數(shù)據(jù)資產(chǎn)分布和流轉(zhuǎn)不清晰，數(shù)據(jù)資產(chǎn)分類分級管理有待提升.缺少數(shù)據(jù)采集過程的異常行為告警機(jī)制，如數(shù)據(jù)采集過程中斷、數(shù)據(jù)采集量過大、人員或者系統(tǒng)錯誤、超過設(shè)定的閾值等，未采取郵件或者短信告警措施.

在數(shù)據(jù)傳輸安全方面，數(shù)據(jù)傳輸鏈路管理存在數(shù)據(jù)在傳輸過程中被竊取的風(fēng)險.未對接口傳輸數(shù)據(jù)進(jìn)行完整性校驗(yàn)，存在被中間人篡改導(dǎo)致數(shù)據(jù)失真的風(fēng)險.

在數(shù)據(jù)存儲安全方面，未建立敏感數(shù)據(jù)存儲安全機(jī)制，未對不同安全級別的數(shù)據(jù)采用差異化安全存儲，包括差異化脫敏存儲、加密存儲、訪問控制等.

在數(shù)據(jù)使用安全方面，未明確對數(shù)據(jù)分析操作、結(jié)果輸出和使用的安全審核、合規(guī)評估和授權(quán)流程，無法保障數(shù)據(jù)分析中數(shù)據(jù)聚合的合規(guī)性，存在衍生數(shù)據(jù)超出原始數(shù)據(jù)授權(quán)范圍或安全使用要求的可能.缺少有效識別、監(jiān)控和預(yù)警異常操作和數(shù)據(jù)濫用行為的工具，難以及時識別數(shù)據(jù)濫用行為或潛在風(fēng)險，缺乏對濫用行為的有效預(yù)防及追責(zé)能力.

在數(shù)據(jù)交換安全方面，對數(shù)據(jù)服務(wù)接口的安全限制措施不足，未對服務(wù)接口的參數(shù)設(shè)置等進(jìn)行管控，缺少異常告警機(jī)制，存在數(shù)據(jù)泄露風(fēng)險.

在數(shù)據(jù)銷毀安全方面，存在銷毀周期定義不清的問題，銷毀的技術(shù)手段待加強(qiáng).

4.3 政務(wù)應(yīng)用數(shù)據(jù)安全合規(guī)風(fēng)險

政務(wù)應(yīng)用層面主要在漏洞、網(wǎng)站和應(yīng)用支撐等方面存在風(fēng)險，將帶來數(shù)據(jù)安全方面的問題，亟待補(bǔ)齊短板.

1) 業(yè)務(wù)應(yīng)用安全漏洞風(fēng)險.

業(yè)務(wù)應(yīng)用系統(tǒng)可能存在漏洞或業(yè)務(wù)邏輯權(quán)限處理不當(dāng)情況，導(dǎo)致非授權(quán)用戶越權(quán)訪問或獲取數(shù)據(jù)操作權(quán)限的風(fēng)險.

2) 業(yè)務(wù)應(yīng)用網(wǎng)站安全風(fēng)險.

業(yè)務(wù)應(yīng)用網(wǎng)站可能存在頁面內(nèi)容被篡改(如敏感詞、網(wǎng)頁木馬、暗鏈、網(wǎng)頁變更等)、被DDoS攻擊等安全隱患.

3) 應(yīng)用支撐安全風(fēng)險.

缺乏對敏感數(shù)據(jù)全局識別及發(fā)現(xiàn)機(jī)制，存在上層應(yīng)用獲取個人敏感數(shù)據(jù)的風(fēng)險；可能存在對應(yīng)用認(rèn)證及權(quán)限管理問題，發(fā)生非法用戶非授權(quán)訪問；對于數(shù)據(jù)批量導(dǎo)出行為管控不嚴(yán)，存在數(shù)據(jù)泄露的風(fēng)險.

5 政務(wù)數(shù)據(jù)安全合規(guī)建議

針對上述政務(wù)數(shù)據(jù)安全合規(guī)風(fēng)險，結(jié)合政務(wù)行業(yè)數(shù)據(jù)治理經(jīng)驗(yàn)，提出以下建議：

一是完善政務(wù)云安全縱深防御體系，以身份認(rèn)證和權(quán)限管理為抓手，加強(qiáng)網(wǎng)絡(luò)準(zhǔn)入、安全域劃分、訪問控制等安全防護(hù)能力建設(shè)，對政務(wù)云的基礎(chǔ)設(shè)施、網(wǎng)絡(luò)等進(jìn)行安全域隔離.強(qiáng)化邊界安全保障，以物理主機(jī)、租戶及業(yè)務(wù)邊界安全防護(hù)為核心，采用入侵檢測、安全審計(jì)、防病毒、傳輸加密等多種技術(shù)和措施，開展安全攻擊事件的分析與防御、策略關(guān)聯(lián)規(guī)則的設(shè)置與優(yōu)化、傳輸協(xié)議的安全分析與加固.

二是加強(qiáng)重要數(shù)據(jù)資產(chǎn)管理，完善敏感數(shù)據(jù)風(fēng)險控制體系.嚴(yán)格落實(shí)數(shù)據(jù)分級保護(hù)制度，定期實(shí)施敏感數(shù)據(jù)掃描，建立重要數(shù)據(jù)目錄.并針對不同安全級別的數(shù)據(jù)，明確其在數(shù)據(jù)采集、傳輸、存儲、使用、交換、銷毀等數(shù)據(jù)生命周期各個環(huán)節(jié)的安全防護(hù)要求.同時，開展數(shù)據(jù)流轉(zhuǎn)監(jiān)測分析，監(jiān)控?cái)?shù)據(jù)的外傳通道，實(shí)現(xiàn)對數(shù)據(jù)泄露事件的定位與追溯.

三是加快數(shù)據(jù)脫敏應(yīng)用建設(shè).優(yōu)化靜態(tài)脫敏場景，做到脫敏過程數(shù)據(jù)不落地，并在提供給分析團(tuán)隊(duì)或者委辦局之前，先進(jìn)行數(shù)據(jù)脫敏，同時脫敏后數(shù)據(jù)的業(yè)務(wù)特征不能喪失.根據(jù)定義規(guī)則對關(guān)鍵數(shù)據(jù)進(jìn)行數(shù)據(jù)保護(hù)，同時對數(shù)據(jù)庫中數(shù)據(jù)查詢導(dǎo)出數(shù)據(jù)進(jìn)行動態(tài)脫敏處理，并對操作數(shù)據(jù)庫的行為進(jìn)行審計(jì).

四是形成水印溯源技術(shù)能力，落實(shí)事后追責(zé)制度.對處理重要數(shù)據(jù)的業(yè)務(wù)系統(tǒng)，形成業(yè)務(wù)系統(tǒng)實(shí)時水印能力，包括明或暗類型的背景水印、數(shù)據(jù)庫水印、文件水印等水印技術(shù).并為每個用戶分配唯一的水印任務(wù)密鑰，實(shí)現(xiàn)溯源系統(tǒng)從泄露的數(shù)據(jù)中提取水印信息，可溯源到最可能的責(zé)任人.

五是探索應(yīng)用隱私計(jì)算技術(shù)，如安全多方計(jì)算、區(qū)塊鏈技術(shù)，推進(jìn)政務(wù)數(shù)據(jù)算法式安全共享，解決隱私計(jì)算中原始數(shù)據(jù)、計(jì)算過程和結(jié)果面臨的可驗(yàn)證性問題，在保護(hù)數(shù)據(jù)隱私的同時增強(qiáng)隱私計(jì)算過程的可驗(yàn)證性.