陳永剛 趙增振 陳 嵐
1(國家信息中心 北京 100045) 2(上海觀安信息技術(shù)股份有限公司 上海 201803)
近年來,國家高度重視數(shù)據(jù)安全問題,針對數(shù)據(jù)安全的法律法規(guī)陸續(xù)出臺,相關(guān)工作機(jī)制逐步明確.其中政務(wù)數(shù)據(jù)由于其涉及面廣、影響程度高,成為相關(guān)法律法規(guī)和政策文件關(guān)注的焦點(diǎn),也成為國家監(jiān)管的重點(diǎn).政務(wù)數(shù)據(jù)共享開放在“一網(wǎng)通辦”“跨省通辦”、政務(wù)“秒批”“秒辦”“城市大腦”等場景中廣泛應(yīng)用,有力地提高了公眾辦事效率,提升了社會治理水平.然而,政務(wù)業(yè)務(wù)和數(shù)據(jù)的融合加大了數(shù)據(jù)安全防護(hù)的難度,政務(wù)數(shù)據(jù)相關(guān)系統(tǒng)面臨著巨大的安全威脅和風(fēng)險[1]:一方面烏克蘭危機(jī)網(wǎng)絡(luò)對抗給予了我們重要警示,網(wǎng)絡(luò)空間已成為現(xiàn)代戰(zhàn)爭的重要領(lǐng)域,存有大量政務(wù)數(shù)據(jù)的關(guān)鍵信息基礎(chǔ)設(shè)施是網(wǎng)絡(luò)戰(zhàn)的首要攻擊目標(biāo);另一方面,黑客組織、犯罪團(tuán)伙和不法分子長期對政務(wù)數(shù)據(jù)實(shí)施網(wǎng)絡(luò)攻擊,竊取重要數(shù)據(jù),地下黑產(chǎn)和暗網(wǎng)非法交易活動猖獗,嚴(yán)重危害國家安全、社會公共安全和人民群眾合法權(quán)益.為了防范和化解政務(wù)數(shù)據(jù)合規(guī)風(fēng)險,提高風(fēng)險預(yù)見、預(yù)判能力,開展政務(wù)數(shù)據(jù)安全評估,建立合規(guī)數(shù)據(jù)安全體系,已經(jīng)成為國家機(jī)關(guān)、企事業(yè)單位開展業(yè)務(wù)活動的重要前提和保障.
國家對政務(wù)數(shù)據(jù)安全高度重視,頒布實(shí)施了《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護(hù)法》《網(wǎng)絡(luò)安全審查辦法》《關(guān)于加強(qiáng)數(shù)字政府建設(shè)的指導(dǎo)意見》《信息安全技術(shù) 政務(wù)信息共享 數(shù)據(jù)安全技術(shù)要求》(GB/T 39477—2020)等法律、法規(guī)、政策文件和技術(shù)標(biāo)準(zhǔn)[2-6],《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》[7]正在征求意見,對政務(wù)數(shù)據(jù)安全提出嚴(yán)格要求:一是建立數(shù)據(jù)分類分級保護(hù)制度,編制和重點(diǎn)管理國家核心數(shù)據(jù),地區(qū)、部門以及相關(guān)行業(yè)、領(lǐng)域的重要數(shù)據(jù)目錄;二是建立數(shù)據(jù)安全風(fēng)險評估、報(bào)告、信息共享、監(jiān)測預(yù)警機(jī)制;三是建立數(shù)據(jù)安全應(yīng)急處置機(jī)制;四是建立數(shù)據(jù)安全審查制度;五是規(guī)范數(shù)據(jù)的收集和使用,加強(qiáng)個人隱私、個人信息、商業(yè)秘密、保密商務(wù)信息等數(shù)據(jù)保護(hù)等要求.
參考《信息安全技術(shù) 信息安全風(fēng)險評估方法》[8](GB/T 20984—2022)國家標(biāo)準(zhǔn),針對政務(wù)數(shù)據(jù)安全合規(guī)的評估方法主要包括訪談、檢查和測試3種:
1) 訪談由評估人員與大數(shù)據(jù)系統(tǒng)建設(shè)、運(yùn)維和服務(wù)相關(guān)人員就政務(wù)大數(shù)據(jù)安全情況進(jìn)行談話.基于重要業(yè)務(wù)場景,深入了解大數(shù)據(jù)平臺安全控制措施實(shí)施情況,并進(jìn)行分析或證據(jù)獲取.訪談的對象為個人或團(tuán)體,例如:大數(shù)據(jù)平臺主要負(fù)責(zé)人、信息安全機(jī)構(gòu)領(lǐng)導(dǎo)、信息系統(tǒng)安全管理員、運(yùn)維人員、網(wǎng)絡(luò)和系統(tǒng)管理員、機(jī)房安全管理人員和用戶等.
2) 檢查由評估人員通過對管理制度、安全策略和機(jī)制、安全配置和設(shè)計(jì)文檔、運(yùn)行記錄等進(jìn)行觀察、查驗(yàn)、分析以使評估人員理解、分析或取得證據(jù)的過程.檢查的對象為規(guī)范、機(jī)制和活動.例如:評審信息安全策略規(guī)劃和程序;分析系統(tǒng)的設(shè)計(jì)文檔和接口規(guī)范;觀測系統(tǒng)的備份操作;審查應(yīng)急演練結(jié)果;觀察事件響應(yīng)活動;研究技術(shù)手冊和用戶/管理員指南;檢查、研究或觀察信息系統(tǒng)的硬件/軟件中信息技術(shù)機(jī)制的運(yùn)行;檢查、研究或觀察信息系統(tǒng)運(yùn)行相關(guān)的物理安全措施及檢查信息系統(tǒng)安全基線配置等.
3) 測試由評估人員進(jìn)行技術(shù)測試(包括滲透測試),通過人工或自動化安全測試工具獲得相關(guān)信息,并進(jìn)行分析以幫助評估人員獲取證據(jù).測試的對象為機(jī)制和活動.例如,訪問控制、身份識別和驗(yàn)證、審計(jì)機(jī)制;測試安全配置設(shè)置及物理訪問控制設(shè)備;進(jìn)行信息系統(tǒng)的關(guān)鍵組成部分的滲透測試,測試信息系統(tǒng)的備份操作;對重要事件進(jìn)行持續(xù)監(jiān)控;測試事件響應(yīng)能力以及應(yīng)急規(guī)劃演練能力等.
依據(jù)政務(wù)數(shù)據(jù)安全相關(guān)實(shí)踐[9]和標(biāo)準(zhǔn),建立政務(wù)數(shù)據(jù)安全合規(guī)評估指標(biāo)體系,包括2個1級指標(biāo)、10個2級指標(biāo)和95個3級指標(biāo).
1級指標(biāo)包括“數(shù)據(jù)全生命周期安全”指標(biāo)和“通用合規(guī)要求”指標(biāo),其中“數(shù)據(jù)全生命周期安全”指標(biāo)包括數(shù)據(jù)采集、傳輸、存儲、使用、交換和銷毀各環(huán)節(jié),聚焦重要業(yè)務(wù)場景發(fā)現(xiàn)風(fēng)險點(diǎn).“通用合規(guī)要求”指標(biāo)從組織結(jié)構(gòu)及人員、管理制度、管理措施和技術(shù)措施4個方面評估數(shù)據(jù)安全管理和技術(shù)合規(guī)風(fēng)險.其中2級指標(biāo)“數(shù)據(jù)采集風(fēng)險”包括15個3級指標(biāo);“數(shù)據(jù)傳輸風(fēng)險”包括4個3級指標(biāo);“數(shù)據(jù)存儲風(fēng)險”包括13個3級指標(biāo);“數(shù)據(jù)使用風(fēng)險”包括17個3級指標(biāo);“數(shù)據(jù)交換風(fēng)險”包括22個3級指標(biāo);“數(shù)據(jù)銷毀風(fēng)險”包括8個3級指標(biāo);“組織結(jié)構(gòu)及人員”包括2個3級指標(biāo);“管理制度”包括2個3級指標(biāo);“管理措施”包括10個3級指標(biāo);“技術(shù)措施”包括2個3級指標(biāo).
3級指標(biāo)包括部分重點(diǎn)指標(biāo):一是關(guān)于個人信息相關(guān)的“個人信息獲取合法性”“個人信息獲取必要性”“個人信息處理協(xié)議或規(guī)則的完備性”等指標(biāo),關(guān)注收集使用個人信息不正當(dāng)合法風(fēng)險;二是關(guān)于數(shù)據(jù)使用相關(guān)的“匯聚融合的影響評估”“對重要數(shù)據(jù)處理的合法性”“對企業(yè)秘密數(shù)據(jù)處理的合法性”等指標(biāo),對應(yīng)履行信息處理者基本義務(wù)要求;三是關(guān)于管理措施相關(guān)的“風(fēng)險監(jiān)測要求”“事件處置和通知要求”“風(fēng)險評估要求”“合規(guī)審計(jì)要求”“數(shù)據(jù)安全審查要求”“分類分級保護(hù)要求”“權(quán)限控制要求”“數(shù)據(jù)管控要求”等指標(biāo),評估管理措施的落實(shí)情況及有效性.
參考上述政務(wù)數(shù)據(jù)安全合規(guī)評估方法和評估指標(biāo)體系,對某大數(shù)據(jù)中心開展了政務(wù)數(shù)據(jù)安全合規(guī)評估實(shí)踐.某大數(shù)據(jù)中心主要業(yè)務(wù)包括對委辦局提供政務(wù)云、政務(wù)網(wǎng)、數(shù)據(jù)的基礎(chǔ)設(shè)施資源;對公眾提供社會事務(wù)辦事系統(tǒng),便捷辦理各項(xiàng)民生事務(wù),提升公眾辦事效率.隨著政府部門信息化職能整合優(yōu)化工作的深入推進(jìn),負(fù)責(zé)委辦局?jǐn)?shù)百個信息系統(tǒng)和數(shù)據(jù)的納管,也伴隨著安全風(fēng)險的匯集,對大數(shù)據(jù)中心整體安全保障能力提出了更高要求和挑戰(zhàn).大數(shù)據(jù)中心要在保障數(shù)據(jù)安全的前提下做好數(shù)據(jù)治理工作,打通各級政府和各部門之間數(shù)據(jù)共享堵點(diǎn),破除“數(shù)據(jù)孤島”頑疾.經(jīng)評估發(fā)現(xiàn),在政務(wù)云、大數(shù)據(jù)平臺和政務(wù)應(yīng)用3個方面存在一定的數(shù)據(jù)安全合規(guī)風(fēng)險.
大數(shù)據(jù)中心信息系統(tǒng)遷移上云之后,大量信息存儲在云上,在擁有云敏捷、彈性、節(jié)省資源優(yōu)點(diǎn)的同時,對于政務(wù)云數(shù)據(jù)安全存在的風(fēng)險也不容忽視.
1) 數(shù)據(jù)泄露.
云服務(wù)商存儲著海量重要數(shù)據(jù),愈發(fā)成為攻擊者的主要目標(biāo).數(shù)據(jù)安全的威脅也由原來外部威脅為主轉(zhuǎn)變?yōu)閮?nèi)部威脅和外部威脅共存的局面,來自云環(huán)境內(nèi)部不同租戶之間的安全威脅也顯著增加.一旦發(fā)生數(shù)據(jù)泄露事件,危害性極大.
2) 數(shù)據(jù)丟失.
隨著政務(wù)云管理要求的出臺和實(shí)施,以及云安全技術(shù)防護(hù)的加強(qiáng),因云服務(wù)商失誤導(dǎo)致的數(shù)據(jù)丟失的事件逐步減少,更多的是外部惡意攻擊者通過永久刪除云上數(shù)據(jù)來損害社會公眾利益.此外,云數(shù)據(jù)中心還面臨著自然災(zāi)害的隱患,如未建立異地容災(zāi)備份機(jī)制,可能導(dǎo)致數(shù)據(jù)永久丟失的嚴(yán)重后果.
3) 外部接口和API攻擊.
運(yùn)維團(tuán)隊(duì)使用接口和API管理和調(diào)用云資源、管理、服務(wù)編排和鏡像等云服務(wù),這些云服務(wù)的安全和可用性依賴于API的安全性,引入更多的服務(wù)或者認(rèn)證,面臨的風(fēng)險也成倍增加.當(dāng)運(yùn)維人員在外部互聯(lián)網(wǎng)訪問API和接口時,系統(tǒng)也將面臨暴露的風(fēng)險.
大數(shù)據(jù)平臺在數(shù)據(jù)權(quán)限管控、數(shù)據(jù)操作監(jiān)測與審計(jì)、數(shù)據(jù)全生命周期管理等方面存在一定風(fēng)險,需高度重視,加強(qiáng)技術(shù)防護(hù)和日常檢查.
1) 數(shù)據(jù)權(quán)限管理.
在鑒別與訪問控制方面,外包服務(wù)商賬號、委辦局賬號管理較弱,未實(shí)現(xiàn)全面統(tǒng)一身份認(rèn)證,面臨誤操作、數(shù)據(jù)泄露的風(fēng)險.
2) 數(shù)據(jù)操作監(jiān)測與審計(jì).
在監(jiān)測與審計(jì)方面,日志記錄項(xiàng)不完整,信息系統(tǒng)缺乏審計(jì)紀(jì)錄,人員不易快速排除異常,存在日志被攻擊者刪除的風(fēng)險.缺少重要數(shù)據(jù)操作審計(jì),一旦發(fā)生數(shù)據(jù)安全事件難以追根溯源.
3) 數(shù)據(jù)全生命周期管理.
在數(shù)據(jù)采集安全方面,重要數(shù)據(jù)資產(chǎn)分布和流轉(zhuǎn)不清晰,數(shù)據(jù)資產(chǎn)分類分級管理有待提升.缺少數(shù)據(jù)采集過程的異常行為告警機(jī)制,如數(shù)據(jù)采集過程中斷、數(shù)據(jù)采集量過大、人員或者系統(tǒng)錯誤、超過設(shè)定的閾值等,未采取郵件或者短信告警措施.
在數(shù)據(jù)傳輸安全方面,數(shù)據(jù)傳輸鏈路管理存在數(shù)據(jù)在傳輸過程中被竊取的風(fēng)險.未對接口傳輸數(shù)據(jù)進(jìn)行完整性校驗(yàn),存在被中間人篡改導(dǎo)致數(shù)據(jù)失真的風(fēng)險.
在數(shù)據(jù)存儲安全方面,未建立敏感數(shù)據(jù)存儲安全機(jī)制,未對不同安全級別的數(shù)據(jù)采用差異化安全存儲,包括差異化脫敏存儲、加密存儲、訪問控制等.
在數(shù)據(jù)使用安全方面,未明確對數(shù)據(jù)分析操作、結(jié)果輸出和使用的安全審核、合規(guī)評估和授權(quán)流程,無法保障數(shù)據(jù)分析中數(shù)據(jù)聚合的合規(guī)性,存在衍生數(shù)據(jù)超出原始數(shù)據(jù)授權(quán)范圍或安全使用要求的可能.缺少有效識別、監(jiān)控和預(yù)警異常操作和數(shù)據(jù)濫用行為的工具,難以及時識別數(shù)據(jù)濫用行為或潛在風(fēng)險,缺乏對濫用行為的有效預(yù)防及追責(zé)能力.
在數(shù)據(jù)交換安全方面,對數(shù)據(jù)服務(wù)接口的安全限制措施不足,未對服務(wù)接口的參數(shù)設(shè)置等進(jìn)行管控,缺少異常告警機(jī)制,存在數(shù)據(jù)泄露風(fēng)險.
在數(shù)據(jù)銷毀安全方面,存在銷毀周期定義不清的問題,銷毀的技術(shù)手段待加強(qiáng).
政務(wù)應(yīng)用層面主要在漏洞、網(wǎng)站和應(yīng)用支撐等方面存在風(fēng)險,將帶來數(shù)據(jù)安全方面的問題,亟待補(bǔ)齊短板.
1) 業(yè)務(wù)應(yīng)用安全漏洞風(fēng)險.
業(yè)務(wù)應(yīng)用系統(tǒng)可能存在漏洞或業(yè)務(wù)邏輯權(quán)限處理不當(dāng)情況,導(dǎo)致非授權(quán)用戶越權(quán)訪問或獲取數(shù)據(jù)操作權(quán)限的風(fēng)險.
2) 業(yè)務(wù)應(yīng)用網(wǎng)站安全風(fēng)險.
業(yè)務(wù)應(yīng)用網(wǎng)站可能存在頁面內(nèi)容被篡改(如敏感詞、網(wǎng)頁木馬、暗鏈、網(wǎng)頁變更等)、被DDoS攻擊等安全隱患.
3) 應(yīng)用支撐安全風(fēng)險.
缺乏對敏感數(shù)據(jù)全局識別及發(fā)現(xiàn)機(jī)制,存在上層應(yīng)用獲取個人敏感數(shù)據(jù)的風(fēng)險;可能存在對應(yīng)用認(rèn)證及權(quán)限管理問題,發(fā)生非法用戶非授權(quán)訪問;對于數(shù)據(jù)批量導(dǎo)出行為管控不嚴(yán),存在數(shù)據(jù)泄露的風(fēng)險.
針對上述政務(wù)數(shù)據(jù)安全合規(guī)風(fēng)險,結(jié)合政務(wù)行業(yè)數(shù)據(jù)治理經(jīng)驗(yàn),提出以下建議:
一是完善政務(wù)云安全縱深防御體系,以身份認(rèn)證和權(quán)限管理為抓手,加強(qiáng)網(wǎng)絡(luò)準(zhǔn)入、安全域劃分、訪問控制等安全防護(hù)能力建設(shè),對政務(wù)云的基礎(chǔ)設(shè)施、網(wǎng)絡(luò)等進(jìn)行安全域隔離.強(qiáng)化邊界安全保障,以物理主機(jī)、租戶及業(yè)務(wù)邊界安全防護(hù)為核心,采用入侵檢測、安全審計(jì)、防病毒、傳輸加密等多種技術(shù)和措施,開展安全攻擊事件的分析與防御、策略關(guān)聯(lián)規(guī)則的設(shè)置與優(yōu)化、傳輸協(xié)議的安全分析與加固.
二是加強(qiáng)重要數(shù)據(jù)資產(chǎn)管理,完善敏感數(shù)據(jù)風(fēng)險控制體系.嚴(yán)格落實(shí)數(shù)據(jù)分級保護(hù)制度,定期實(shí)施敏感數(shù)據(jù)掃描,建立重要數(shù)據(jù)目錄.并針對不同安全級別的數(shù)據(jù),明確其在數(shù)據(jù)采集、傳輸、存儲、使用、交換、銷毀等數(shù)據(jù)生命周期各個環(huán)節(jié)的安全防護(hù)要求.同時,開展數(shù)據(jù)流轉(zhuǎn)監(jiān)測分析,監(jiān)控?cái)?shù)據(jù)的外傳通道,實(shí)現(xiàn)對數(shù)據(jù)泄露事件的定位與追溯.
三是加快數(shù)據(jù)脫敏應(yīng)用建設(shè).優(yōu)化靜態(tài)脫敏場景,做到脫敏過程數(shù)據(jù)不落地,并在提供給分析團(tuán)隊(duì)或者委辦局之前,先進(jìn)行數(shù)據(jù)脫敏,同時脫敏后數(shù)據(jù)的業(yè)務(wù)特征不能喪失.根據(jù)定義規(guī)則對關(guān)鍵數(shù)據(jù)進(jìn)行數(shù)據(jù)保護(hù),同時對數(shù)據(jù)庫中數(shù)據(jù)查詢導(dǎo)出數(shù)據(jù)進(jìn)行動態(tài)脫敏處理,并對操作數(shù)據(jù)庫的行為進(jìn)行審計(jì).
四是形成水印溯源技術(shù)能力,落實(shí)事后追責(zé)制度.對處理重要數(shù)據(jù)的業(yè)務(wù)系統(tǒng),形成業(yè)務(wù)系統(tǒng)實(shí)時水印能力,包括明或暗類型的背景水印、數(shù)據(jù)庫水印、文件水印等水印技術(shù).并為每個用戶分配唯一的水印任務(wù)密鑰,實(shí)現(xiàn)溯源系統(tǒng)從泄露的數(shù)據(jù)中提取水印信息,可溯源到最可能的責(zé)任人.
五是探索應(yīng)用隱私計(jì)算技術(shù),如安全多方計(jì)算、區(qū)塊鏈技術(shù),推進(jìn)政務(wù)數(shù)據(jù)算法式安全共享,解決隱私計(jì)算中原始數(shù)據(jù)、計(jì)算過程和結(jié)果面臨的可驗(yàn)證性問題,在保護(hù)數(shù)據(jù)隱私的同時增強(qiáng)隱私計(jì)算過程的可驗(yàn)證性.