政务信息资源共享安全保障体系研究

00引言近年来，党中央、国务院高度重视政务信息共享交换工作，要求打通信息壁垒，构建全国信息资源共享体系，更好地用信息化手段感知社会态势、畅通沟通渠道、辅助科学决策。国务院陆续印发了《国务院关于印发促进大数据发展行动纲要的通知》（国发〔2015〕50号）、《国务院关于印发政务信息资源共享管理暂行办法的通知》（国发〔2016〕51号）、《国务院办公厅关于印发政务信息系统整合共享实施方案的通知》（国办发〔2017〕39号）等政策文件，要求全面推进政务信息共享交换。在国务院、国家发展改革委、地方政府等部门的共同努力下，推进政务信息共享交换工作取得突出成效。但是，随着政务信息共享工作的推进，政务信息共享数据安全问题日趋凸显，其中包括制度体系不健全、管理流程不清晰、权责关系不明确、职责划分不清楚以及保障措施不到位等，给政务信息共享工作的推进带来了挑战。因此，需要针对共享交换面临的数据安全挑战提出应对措施，参考国内外共享交换安全保障研究成果，结合相关的法律法规，为明确数据权属、认定安全责任、监督数据使用提供技术保障手段，解除数据提供方、数据需求方和共享平台管理方的后顾之忧，为各政务部门、企事业单位积极参与到数据共享创造安全条件。01政务信息共享安全问题及风险1.1缺乏数据共享和开放统一评估依据政务信息系统整合共享工作的顺利开展基础是区分哪些数据可以共享或开放，哪些是不能共享或开放的，目前缺乏统一的评估依据。政务外网数据共享交换的各种数据，在所属业务领域、数据类型、敏感程度、被泄露后所造成的损害程度等方面存在一定的差异。针对不同安全级别的数据，在数据共享、交换、存储、使用等方面缺乏适度的安全防护策略。若对数据安全级别判断不足，存在保护强度不够的情况，将导致数据泄露风险。反之，过度保护的情况将影响数据共享和使用效能的充分发挥。因此，需要参考国内外相关成果制定统一的数据分类和分级标准规范，明确各级别的政务信息资源的共享或开放的范围及条件。同时，需要制定针对不同安全级别的数据安全防护策略，为数据共享交换过程中的数据共享和使用、数据安全保护等提供基础依据。1.2缺乏界定共享责任边界的支撑手段明晰政务信息资源共享各参与方的安全责任边界，是政务信息资源共享和利用的重要保障。由于政务信息资源共享过程包括信息资源的发布、交换、汇集和共享使用，信息资源的留存地可能在资源提供方、资源使用方、平台服务方。如果没有清晰界定各参与方安全责任边界的支撑手段，当发生数据泄露等安全事件时，各参与方的责任难以确定，会对后续的数据共享工作造成困难。因此，通过技术手段和管理手段，综合利用管理制度、检测评估要求、审计日志以及数据流转信息记录等措施，明确政务信息资源共享流转过程，清晰界定各参与方的安全责任边界，为数据共享交换的顺利开展提供支撑。1.3缺乏多维度的共享全过程监管机制政务信息资源是政府重要资产。数据共享交换平台属于国家关键信息基础设施，针对平台和资源的监管体现了多维度、多责任主体的特点，目前尚缺乏多维度的共享全过程监管机制，难以支撑不同责任部门的监管需求。第一，数据共享交换平台的主管部门和各类资源提供方需要监测政务信息资源在共享过程中的流转情况，以确保资源是合规、合法共享和使用。第二，在政务信息资源分布式存储和大量汇聚两种情况下，需要检查数据的敏感程度甚至是涉密程度，确保资源共享符合保密管理规定。第三，数据共享交换平台涉及的网络产品和服务、云计算服务等，需要符合中央网信办的相关安全审查要求。第四，数据共享交换平台安全防护和共享资源安全防护过程所使用的密码产品和服务，需要符合国家密码管理局的相关要求。因此，需要建立多维度的监管机制，对共享全过程的数据流转情况、保密情况、网络安全情况、密码应用情况进行细粒度、多维度的监管，满足不同责任部门的监管需求，保障政务信息资源共享合规、有序进行。综上所述，政务信息共享面临的安全问题、安全风险及相应的对策建议如表1所示。表1政务共享安全风险、问题和对策02政务信息共享安全需求从业务和系统两个方面分析政务信息资源共享安全需求。业务核心安全需求从共享主体视角，分析在共享全过程中的安全关注焦点。系统核心安全需求是从支撑业务安全的系统实现角度，以层次化、体系化方法提炼和分析共享全过程的安全防护需求。2.1业务核心安全需求2.1.1需要明晰资源共享主体安全责任按照《政务信息资源共享管理暂行办法》（国发〔2016〕51号）文件精神，政务信息资源共享涉及资源提供方、资源使用方以及政务信息资源共享各级主管部门。其中，各级主管部门需要负责共享平台的组织建设、服务运维和共享监管。从安全视角出发，应将共享监管职责独立，确认监管部门这一角色定位。共享过程中，如果数据出现泄漏，由于缺乏有效的共享主体身份确认机制，数据流转过程的标记手段和监管手段，以及资源提供方、资源使用方、平台服务方等三方的责任难以确定，监管职责难以履行，将导致资源提供方“不愿共享”“不敢共享”。因此，需要清晰界定资源提供方、资源使用方、平台服务方的安全责任，以及监管部门的监管责任，保障政务信息资源共享安全有效执行。2.1.2需要实施共享数据分类分级保护政务信息资源共享涉及大数据集中存储和管理，大量的分散、结构化和非结构化的数据汇集到平台服务方的大数据存储和管理系统，少量不重要、不敏感的数据由于大量汇集可能导致重要程度改变。各种政务信息资源在数据类型、安全风险、被攻击后所造成的影响等方面都存在一定的差异，需要对数据实施安全分级，为数据分级保护提供基础参考，为共享信息提供适度的安全防护，避免安全防护强度不足导致敏感数据泄露风险，同时避免过度防护影响数据的共享使用，实现共享和安全的均衡。需要基于数据的分类分级保护工作，对用户数据安全保护能力实施评估。越能提供有效防护，对数据价值利用效能越高的主体，越能拥有更多的数据共享资源和权限，从而激励和促进数据安全生态的建立，在政务信息资源共享领域形成合作共赢的良性循环，使得“不愿共享”问题随之而解。2.1.3需要开展共享全过程多维度监管政务信息资源是政府重要资产、政务大数据流转需要完备的监管手段。在数据的交换、汇集、共享使用全过程，需要验证数据来源，记录数据共享过程的状态信息，通过状态信息汇集和分析，实现数据的共享与应用状态跟踪、分析并展现，掌握数据流量、共享动态、资源利用等信息。需要对数据的操作行为进行全程的安全审计，对数据的分类分级信息、加密信息、交换的数据内容进行详细记录，记录交换任务细节，做到安全事件可查、安全责任可追溯。需要满足不同监管责任主体对数据流转、密码应用以及保密方面的差异化数据安全监管需求，实现对共享全过程的数据流转状态、密码应用情况、保密情况、数据防护情况进行细粒度、多维度监管。2.1.4需要保障安全防护手段可用易用需要确保采用的安全手段以较低成本适配兼容现有的电子政务业务系统的实际使用现状，同时应该满足后期政务业务应用的可能升级换代、弹性扩充对安全保障的需求。需要采用与业务系统松耦合的安全机制，使安全能力服务化，确保政务信息系统整合共享安全手段，易于使用、方便部署、便于实施，满足政务信息系统整合共享后业务的弹性扩展需求，适应业务应用的动态性。此外，需要充分考虑安全手段（包括安全策略、技术、方案和产品）对新技术和新应用模式的适配或者兼容，如区块链、大数据、虚拟化技术等。2.2系统核心安全需求2.2.1体系防护设计需求为了保障数据共享平台的安全，需要对数据共享平台、平台前置机以及物理链路涉及的物理设备、网络设备、主机服务器、应用系统以及数据等按照等级保护的要求进行体系化安全防护，包括主机加固、安全域划分、冗余备份、病毒防护，访问控制、恶意代码防范、容错灾备以及应急处置等。重点强化数据共享交换安全防护，对资源提供方和资源使用方进行身份认证及权限控制，保证资源来源、资源使用的真实性、共享安全可控、使用安全合规；通过数据分类和分级保护策略对敏感数据进行加密保护，确保数据传输过程中不被非法窃取和篡改，保障数据传输的机密性和完整性。2.2.2安全支撑设计需求需要提供体系防护的安全基础支撑能力，包括密码密钥服务和信任服务。密码密钥服务需要提供密码服务所需的密码密钥管理能力。信任服务需要为数据共享环境中的实体（人、设备）提供用户身份管理、统一身份认证、授权管理以及安全审计能力。2.2.3数据标签服务需求为了落实数据分类和分级保护要求，需要依托数据标签服务对数据的安全级别进行标识，方便数据的安全防护，以及追溯和数据权责认定。数据标签服务需要提供完整的标签生成与管理，为数据确定身份，为各类共享方式（服务接口、数据库表、文件和文件夹）提供数据标签的生成、更新、验证、识别、提取等功能，实现标签全生命周期的安全管理。2.2.4安全监管服务需求针对数据共享流转的每一个环节可能存在违规操作或者安全风险等行为进行检测和管控，需要对数据共享过程中涉及的各种行为进行全程的监管，包括数据交换过程安全风险检测、安全态势呈现、协查取证分析以及行为追溯等功能，保障政务信息资源共享安全。2.2.5安全审计服务需求需要对数据共享平台使用安全审计服务，实现对数据共享过程中的各种安全日志信息进行挖掘计算、查询搜索、对比分析、关联分析以及危害程度评估等功能，实现基于主体、基于事件、基于流程的数据分析和追溯，支撑政务信息资源的共享安全。03政务信息共享安全保障体系3.1总体架构基于政务信息资源共享业务安全需求和系统安全需求，打造政务信息资源共享交换安全保障总体架构，如图1所示。

图1政务信息共享安全保障总体架构3.1.1安全基础支撑政务信息资源共享交换依托密码基础设施和信任服务设施作为安全基础支撑。密码基础设施涵盖政务外网的密钥管理和电子认证基础设施。信任服务设施对数据共享交换平台提供基础的信任服务支撑。其中，身份管理系统负责对平台中的用户、业务应用和组织机构进行统一管理，为标签服务管理系统提供业务应用信息，也负责对信任服务设施内的其他应用如身份认证系统、可信时间系统提供基础数据。身份认证系统可从多个维度如数字证书认证、身份证实名认证、账号名密码和第三方认证对平台内所有用户进行身份认证和单点登录服务；授权管理系统结合身份管理系统，对数据共享交换申请进行授权并提供鉴权服务，实现数据共享交换可控；安全审计系统对汇集的共享交换数据进行分析及审计，为共享交换数据溯源提供依据；可信时间服务为平台业务应用和信任服务设施提供基准时间和时间戳服务。3.1.2安全服务安全服务对基础设施进行封装，依托密码基础设施和信任服务设施，通过数据加密、数据解密、数据签名、数据验签、数字信封等密码服务，以及认证服务、鉴权服务、资源注册服务、时间戳服务、审计分析服务等信任服务，为共享交换提供安全服务。3.1.3数据共享交换平台安全防护数据共享交换平台安全防护基于等级保护要求，强化物理和环境、网络和通信、设备和计算、应用和数据安全。在物理和环境安全层面强调物理位置选择和物理访问控制等，在网络与通信安全层面强调安全审计、集中管控、入侵防范和恶意代码防范等技术，在设备与计算安全层面强调主机防护与云主机的镜像、资源等防护，在应用安全层面强调身份鉴别、访问控制、安全审计、软件容错和资源控制等技术，在应用安全层面强调身份鉴别、应用访问控制等技术。重点强化数据层面的安全防护，采用数据加密、数据脱敏以及数据审计等技术，同时引入数据标签管理和服务以及基于标签的数据防护等技术措施。数据标签管理服务依托安全服务，对外提供标签识别服务、标签生成服务、标签验证服务、标签提取服务及标签跟踪管理等功能。基于标签服务中间件，支撑库表、服务接口以及文件3类共享方式，为数据共享交换过程提供数据身份，为追踪溯源提供依据。数据库加密服务系统、数据脱敏系统、密码服务中间件、信任服务中间件，对不同种类资源数据定制安全策略，并对资源使用方订阅数据进行加密、脱敏和完整性保护等，结合数据标签管理服务系统为数据共享交换过程提供安全保障。3.1.4综合安全监管综合监管平台包括数据共享交换监管系统、政务云监管系统、监测预警和态势感知系统以及综合安全监管呈现平台等，通过在数据层、系统层、业务层等不同维度，利用不同安全手段进行共享交换全流程的监管及呈现。3.1.5标准规范在等级保护标准框架指导下，制定能够指导和规范政务信息资源安全共享系列标准，包括技术标准、测评标准、管理指南、安全服务使用指南、政务信息资源分类和分级指南及管理办法等标准规范。3.1.6安全管理建立数据共享交换平台的安全运维机制和安全管理机制。安全运维机制包括对数据共享平台运行的安全风险评估、安全状态监控、变更控制管理、配置安全管理、安全事件管理及应急处置和安全故障管理等，支撑数据共享交换平台的日常安全运行和运维能力持续优化。安全管理机制包括数据共享交换平台安全防护相关的岗位、人员、系统和设备等管理机制，明确安全管理流程和管理制度以及考核管理机制，为数据共享交换平台安全、高效运行提供管理保障。3.2总体布局基于分级、分布式的安全基础支撑和安全管理服务，实现对纵向中央、省、地市县各级数据共享平台，以及横向各部委、地方委办局的数据共享全过程安全保障。总体布局如图2所示。图2政务信息共享安全保障总体布局按照分级分域原则对政务网络平台进行分域，划分安全基础设施、数据中心以及安全管理中心等安全域。安全基础设施包括密钥管理基础设施、电子认证基础设施、信任服务设施以及密码资源池。数据中心包括数据标签管理服务系统、政务云平台、数据库加密服务系统以及数据脱敏系统。安全管理中心包括数据共享交换监管系统、监测预警和态势感知系统、政务云监管系统以及综合安全监管呈现平台等。3.3工作建议3.3.1构建安全基础支撑服务，奠定数据共享安全基石构建适用于政务外网环境的信任服务设施，提供身份管理、身份认证、授权管理以及安全审计等服务。以密码基础设施为支撑，构建密码资源池，对外提供密码运算服务，包括数据签名服务、信息验签服务、数据加密服务、密文解密服务以及数字信封服务。以数据标签管理服务系统为支撑构建数据标签服务，对外提供数据标签生成服务、标签修改服务、标签识别服务、标签验证服务以及标签提取服务。采用服务化软件架构设计思想，对信任服务、密码服务以及数据标签服务进行封装，以服务接口形式对业务应用提供安全服务。三类服务基于开放标准兼容各类数据共享接口，实现松散的系统耦合，具备对异构业务系统的支撑能力，满足平台无关性要求，同时具备服务能力弹性可扩展、快速的业务响应能力。3.3.2安全防护机制体系化，保障共享平台整体安全依托安全基础支撑中密码基础设施、信任服务设施的管理和服务能力，按照等级保护要求，构建针对数据共享交换平台的安全防护体系，在网络、计算环境、数据以及应用各层面为数据共享交换平台提供全面的安全防护。3.3.3分类分级数据保护，保障全生命周期的安全在共享平台安全防护的基础上，重点强化共享数据的分类分级保护机制，使安全措施融入数据的全生命周期。按照数据所属类别、数据敏感程度，对共享资源进行分类和分级，落实数据的分类和分级保护策略，强化共享资源的全生命周期安全。（1）针对数据在资源提供方留存阶段，应按照数据安全级别进行保护，同时保障承载系统满足相应的等级保护要求。（2）针对流入政务信息资源共享平台前置中的数据，根据数据重要程度和标记主体完成标签的生成和添加。数据标签可以作为数据的“身份证”表征数据的来源。针对汇集后的数据，按照业务类别和敏感重要程度，依据安全策略对数据采用完整性保护、加密保护以及分类存储等措施，实现数据分类分级保护，有效解决政务信息资源在平台服务方留存阶段的安全问题。同时，可结合数据标签记录和系统审计日志，形成共享数据流转全程视图，细粒度地掌握数据共享过程信息，清晰界定共享过程中的各参与方的责任。（3）针对数据在资源使用方的留存阶段，应按照数据安全级别进行保护，同时应保障承载系统满足相应的等级保护要求。尤其需要强化共享资源的使用监管