政務(wù)大數(shù)據(jù)安全保密管理研究

【摘    要】隨著政務(wù)信息公開工作的全面推進(jìn)和大數(shù)據(jù)技術(shù)的不斷發(fā)展，政務(wù)大數(shù)據(jù)得到越來越廣泛的應(yīng)用，大數(shù)據(jù)安全問題也越來越突出。本文介紹了政務(wù)大數(shù)據(jù)的安全保密管理現(xiàn)狀，分析了其安全保密風(fēng)險(xiǎn)，并給出了相應(yīng)的安全保密管理措施。

【關(guān)鍵詞】政務(wù)大數(shù)據(jù)  保密管理  保密風(fēng)險(xiǎn)  定級

1 引言

政務(wù)大數(shù)據(jù)是指政府在推動大數(shù)據(jù)應(yīng)用發(fā)展的過程中或大數(shù)據(jù)在公共服務(wù)領(lǐng)域的應(yīng)用實(shí)踐中產(chǎn)生的大數(shù)據(jù)。如今政府?dāng)?shù)據(jù)開放行動如浪潮般席卷全球，我國政府順應(yīng)時代發(fā)展趨勢，將“大數(shù)據(jù)”連續(xù)四年寫入政府工作報(bào)告，并啟動實(shí)施《促進(jìn)大數(shù)據(jù)發(fā)展行動綱要》，將政府?dāng)?shù)據(jù)資源開放和共享作為當(dāng)前主要任務(wù)[1]。在政務(wù)大數(shù)據(jù)面向公眾開放的過程中，一旦發(fā)生失泄密事件，后果將不堪設(shè)想，因此，做好政務(wù)大數(shù)據(jù)的安全保密管理尤為重要。目前，政務(wù)大數(shù)據(jù)尚未形成完善的安全保密管理體系，這也限制了其快速發(fā)展和廣泛應(yīng)用。本文系統(tǒng)分析了政務(wù)大數(shù)據(jù)的安全保密風(fēng)險(xiǎn)，提出了相應(yīng)的管理防護(hù)手段，對于黨政機(jī)關(guān)和涉密單位做好政務(wù)大數(shù)據(jù)安全保密管理有借鑒意義。

2 政務(wù)大數(shù)據(jù)安全保密管理現(xiàn)狀

當(dāng)前，我國政務(wù)大數(shù)據(jù)正在蓬勃發(fā)展，各地區(qū)、各部門都在積極建設(shè)或使用自己的政務(wù)大數(shù)據(jù)平臺，有多個省市積極出臺了專門的大數(shù)據(jù)相關(guān)政策文件。但大數(shù)據(jù)安全的技術(shù)研究尚不成熟，我國仍缺少政務(wù)大數(shù)據(jù)安全保密方面統(tǒng)一的標(biāo)準(zhǔn)或政策文件。通過調(diào)研發(fā)現(xiàn)，我國一些政府部門雖然已經(jīng)形成內(nèi)部管理規(guī)范并執(zhí)行，但有關(guān)規(guī)范文件并不完全適用于當(dāng)前的大數(shù)據(jù)安全現(xiàn)狀。大部分單位的大數(shù)據(jù)技術(shù)保障措施不健全，在進(jìn)行大數(shù)據(jù)安全管理時仍主要采取傳統(tǒng)的保密技術(shù)手段和管理手段進(jìn)行數(shù)據(jù)管控，使用舊方法應(yīng)對新技術(shù)、新情況，保密風(fēng)險(xiǎn)很大，安全事件發(fā)生的概率也很高。我國政務(wù)大數(shù)據(jù)安全保密管理亟待加強(qiáng)。

3 政務(wù)大數(shù)據(jù)的安全保密風(fēng)險(xiǎn)分析

在政務(wù)大數(shù)據(jù)產(chǎn)生、采集、存儲、傳輸、挖掘、應(yīng)用、銷毀的過程中，無論哪個環(huán)節(jié)的管理不慎，都有可能導(dǎo)致隱私或敏感數(shù)據(jù)泄露。

3.1 數(shù)據(jù)的保護(hù)不當(dāng)導(dǎo)致隱私或敏感數(shù)據(jù)泄露

數(shù)據(jù)是政務(wù)大數(shù)據(jù)安全的核心保護(hù)對象。目前，在數(shù)據(jù)存儲階段，數(shù)據(jù)主要是分布式地存儲在大數(shù)據(jù)平臺中，采用云存儲技術(shù)，以多副本、多節(jié)點(diǎn)、多分布式的形式存儲各類數(shù)據(jù)。數(shù)據(jù)的集中存儲和濫用增加了被非法入侵和數(shù)據(jù)泄露的風(fēng)險(xiǎn)[2]。在數(shù)據(jù)傳輸階段，如果傳輸信道未采取保護(hù)措施，數(shù)據(jù)將有可能在傳輸過程中被不法分子截獲而造成數(shù)據(jù)泄露。在數(shù)據(jù)應(yīng)用階段，如果大數(shù)據(jù)平臺沒有采取有效的身份認(rèn)證和訪問控制措施，也會導(dǎo)致隱私、敏感數(shù)據(jù)的非授權(quán)訪問，而敏感、隱私數(shù)據(jù)關(guān)聯(lián)分析后產(chǎn)生涉密信息的概率也會加大。在數(shù)據(jù)銷毀階段，數(shù)據(jù)刪除不徹底或敏感數(shù)據(jù)被違規(guī)恢復(fù)可能會造成失泄密事件發(fā)生。另外，在數(shù)據(jù)采集和挖掘的過程中，如果沒有對數(shù)據(jù)采取有效的防護(hù)措施，極有可能導(dǎo)致數(shù)據(jù)的泄露。

3.2 定級的不規(guī)范導(dǎo)致隱私或敏感數(shù)據(jù)泄露

在政務(wù)大數(shù)據(jù)的數(shù)據(jù)采集階段，數(shù)據(jù)定級工作是十分重要的一個環(huán)節(jié)。如果定級工作不規(guī)范，數(shù)據(jù)沒有進(jìn)行合理的分類分級，則有可能導(dǎo)致個別涉密或關(guān)鍵隱私數(shù)據(jù)流轉(zhuǎn)至大數(shù)據(jù)平臺的公共訪問區(qū)域，從而失去對這些數(shù)據(jù)的控制，進(jìn)而導(dǎo)致失泄密事件發(fā)生。

數(shù)據(jù)作為信息的載體，它既蘊(yùn)含我們需要的信息，也包含著我們尚未發(fā)現(xiàn)的信息[3]。在數(shù)據(jù)挖掘階段，大量公開數(shù)據(jù)被關(guān)聯(lián)分析之后有可能會產(chǎn)生涉密信息，如果沒有對這些信息做及時的定級和消除等處理，也可能會導(dǎo)致失泄密事件的發(fā)生。

3.3 內(nèi)部人員管理不當(dāng)導(dǎo)致隱私或敏感數(shù)據(jù)泄露

負(fù)責(zé)大數(shù)據(jù)平臺運(yùn)維管理工作的內(nèi)部人員不僅可以接觸到大數(shù)據(jù)平臺的基礎(chǔ)設(shè)施，而且擁有較高的系統(tǒng)權(quán)限，部分單位內(nèi)部沒有形成完善的人員管理制度和操作規(guī)范，任由內(nèi)部運(yùn)維管理人員進(jìn)行操作。一旦內(nèi)部人員操作不當(dāng)或者有意盜取數(shù)據(jù)，則會造成不可估量的損失，甚至?xí)�引發(fā)失泄密事件。

圖1  基于政務(wù)大數(shù)據(jù)生命周期的風(fēng)險(xiǎn)分析模型                                                                  

   圖2 政務(wù)大數(shù)據(jù)安全保密管理體系圖

3.4 大數(shù)據(jù)安全風(fēng)險(xiǎn)評估不到位導(dǎo)致隱私或敏感數(shù)據(jù)泄露

大數(shù)據(jù)作為近年來信息化發(fā)展的新興事物，具有多樣化、海量化、快速化、價值密度低、復(fù)雜等特點(diǎn)，這些特點(diǎn)不僅給信息化發(fā)展帶來變革，也使得信息安全變得更加復(fù)雜，各種新問題、新風(fēng)險(xiǎn)層出不窮，當(dāng)下的一些安全保密手段已經(jīng)無法滿足大數(shù)據(jù)時代的信息安全需求。此時，如果沒有采取有效措施對系統(tǒng)的安全風(fēng)險(xiǎn)進(jìn)行評估，就極有可能出現(xiàn)大數(shù)據(jù)平臺“帶病運(yùn)行”的情況，數(shù)據(jù)泄露的風(fēng)險(xiǎn)會很大。

綜上所述，政務(wù)大數(shù)據(jù)在數(shù)據(jù)全生命周期的各個環(huán)節(jié)都存在一定的安全保密風(fēng)險(xiǎn)，如圖1所示。如果不加以管控，數(shù)據(jù)泄露的可能性會很大。

4 政務(wù)大數(shù)據(jù)的安全保密管理措施

針對政務(wù)大數(shù)據(jù)在日常使用中不斷暴露出的安全保密問題，為降低安全保密風(fēng)險(xiǎn)，防止失泄密，需要做好以下6個方面的工作。

4.1 建立健全政務(wù)大數(shù)據(jù)安全保密管理體系

結(jié)合當(dāng)前政務(wù)大數(shù)據(jù)安全保密現(xiàn)狀，應(yīng)該盡快建立健全政務(wù)大數(shù)據(jù)安全保密管理體系，如圖2所示。從總體上來看，政務(wù)大數(shù)據(jù)安全分為平臺安全、數(shù)據(jù)安全、隱私或敏感信息安全3個層次。其中平臺安全是基礎(chǔ)，在平臺安全可控的條件下進(jìn)一步保證平臺上運(yùn)行的數(shù)據(jù)安全，而隱私或敏感信息安全又是建立在數(shù)據(jù)安全的基礎(chǔ)之上。在具體操作層面上需要采取技術(shù)措施和管理措施相結(jié)合的方式進(jìn)行安全防護(hù)。而所采取的技術(shù)和管理措施應(yīng)該參照當(dāng)前的國際國內(nèi)標(biāo)準(zhǔn)。目前我國的大數(shù)據(jù)安全標(biāo)準(zhǔn)體系還在建設(shè)階段，相關(guān)部門加快有關(guān)標(biāo)準(zhǔn)和規(guī)定的出臺對建立健全政務(wù)大數(shù)據(jù)安全保密管理體系具有十分重要的推動作用。

4.2 加強(qiáng)政務(wù)大數(shù)據(jù)的全生命周期管理

大數(shù)據(jù)的全生命周期管理，就是在大數(shù)據(jù)的采集、存儲、傳輸、挖掘、應(yīng)用、銷毀過程中，每一個環(huán)節(jié)都嚴(yán)格規(guī)范管理。在數(shù)據(jù)采集得到原始數(shù)據(jù)之后要規(guī)范定密，在數(shù)據(jù)存儲階段采取安全可靠的存儲措施，在數(shù)據(jù)傳輸階段對數(shù)據(jù)傳輸信道進(jìn)行防護(hù)，在數(shù)據(jù)挖掘階段及時對挖掘結(jié)果進(jìn)行定密分析和處理，在數(shù)據(jù)應(yīng)用階段采取有效的訪問控制措施，在數(shù)據(jù)銷毀階段加強(qiáng)銷毀流程管理。另外，在大數(shù)據(jù)全生命周期管理中，安全審計(jì)工作也十分重要，要定期對大數(shù)據(jù)全生命周期的審計(jì)數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析，及時發(fā)現(xiàn)系統(tǒng)漏洞或違規(guī)操作，并采取補(bǔ)救措施。

在政務(wù)大數(shù)據(jù)全生命周期管理中，技術(shù)措施作為其支撐手段是必不可少的。在大數(shù)據(jù)系統(tǒng)中，“木桶效應(yīng)”非常明顯，任何一個漏洞或薄弱環(huán)節(jié)都可能給入侵者提供可乘之機(jī)，都有可能被黑客入侵而造成大數(shù)據(jù)的泄露[4]，采取全面可靠的安全技術(shù)措施尤為重要。大數(shù)據(jù)平臺管理部門需要采取技術(shù)措施對大數(shù)據(jù)平臺的基礎(chǔ)設(shè)施安全、數(shù)據(jù)存儲安全、網(wǎng)絡(luò)安全等進(jìn)行有效防護(hù)。政務(wù)大數(shù)據(jù)平臺基礎(chǔ)設(shè)施安全方面需要采取有效的物理防護(hù)措施、電磁防護(hù)措施和防病毒措施保證大數(shù)據(jù)平臺的正常使用；政務(wù)大數(shù)據(jù)存儲安全方面需要采取數(shù)據(jù)加密等技術(shù)措施保證數(shù)據(jù)存儲過程的安全；政務(wù)大數(shù)據(jù)應(yīng)用安全方面需要采取身份認(rèn)證、權(quán)限劃分、訪問控制、邊界防護(hù)、入侵防御、安全審計(jì)等措施確保數(shù)據(jù)在政務(wù)大數(shù)據(jù)應(yīng)用過程中的安全。

4.3 規(guī)范大數(shù)據(jù)定級管理

大數(shù)據(jù)定級是政務(wù)大數(shù)據(jù)安全保密管理的重點(diǎn)和難點(diǎn)，定級的不準(zhǔn)確將可能直接導(dǎo)致涉密數(shù)據(jù)的泄露。在對政務(wù)大數(shù)據(jù)進(jìn)行規(guī)劃時，要高度認(rèn)識到大數(shù)據(jù)安全形勢的嚴(yán)峻性，對數(shù)據(jù)資源進(jìn)行分類分級，明確重點(diǎn)保障對象，強(qiáng)化對敏感和要害數(shù)據(jù)的管理[5]。機(jī)關(guān)、單位應(yīng)清醒認(rèn)識到目前大數(shù)據(jù)定級工作的問題，建立權(quán)責(zé)明晰、規(guī)范程序、監(jiān)督有力的定級管理制度，為定級工作的科學(xué)規(guī)范提供有力支撐。在數(shù)據(jù)采集階段，通過規(guī)范定級流程和落實(shí)定級責(zé)任等措施確保定級工作的準(zhǔn)確、合理、合規(guī)，有效防止涉密數(shù)據(jù)導(dǎo)入政務(wù)大數(shù)據(jù)平臺。在數(shù)據(jù)挖掘階段，通過機(jī)器鑒別和人工鑒別相結(jié)合的方式對數(shù)據(jù)挖掘結(jié)果進(jìn)行判定，準(zhǔn)確確定數(shù)據(jù)等級，一旦判定為涉密信息，應(yīng)及時采取應(yīng)急處理措施。

4.4 制定完善的安全保密管理制度

再先進(jìn)的技術(shù)安全措施也都會存在漏洞，大數(shù)據(jù)安全也不例外，如果說技術(shù)安全措施是在受保護(hù)的數(shù)據(jù)周圍筑了一道墻，那么安全保密管理制度就是用來填補(bǔ)墻上漏洞的水泥。要想做好政務(wù)大數(shù)據(jù)安全保密管理，必須要有完善的安全保密管理制度體系來做支撐。

政務(wù)大數(shù)據(jù)建設(shè)使用單位應(yīng)該制定完善的安全保密管理制度，明確運(yùn)維管理人員的主體責(zé)任，落實(shí)各項(xiàng)安全保密管理措施，包括內(nèi)部人員管理制度、大數(shù)據(jù)平臺運(yùn)維管理制度、數(shù)據(jù)定級管理制度、應(yīng)急響應(yīng)制度等。

在這里需要特別強(qiáng)調(diào)的是，內(nèi)部安全管理制度中應(yīng)明確運(yùn)維管理人員權(quán)限和責(zé)任，切實(shí)規(guī)范大數(shù)據(jù)平臺運(yùn)維管理人員的日常操作行為，并在日常運(yùn)維管理過程中，結(jié)合監(jiān)控手段定期對運(yùn)維管理人員的操作行為進(jìn)行審計(jì)。通過對運(yùn)維管理人員行為的審計(jì)可以分析系統(tǒng)中是否存在違規(guī)訪問行為，最后再通過溯源技術(shù)，對該違規(guī)行為進(jìn)行追溯，從而能夠在后臺對數(shù)據(jù)進(jìn)行安全防護(hù)，有效防范系統(tǒng)中的運(yùn)維管理人員所存在的泄露風(fēng)險(xiǎn)。

4.5 形成完善的安全風(fēng)險(xiǎn)監(jiān)測機(jī)制

在政務(wù)大數(shù)據(jù)安全保密管理中，如果沒有完善的安全風(fēng)險(xiǎn)監(jiān)測機(jī)制，就難以有效評估大數(shù)據(jù)平臺的安全性，也難以用量化的指標(biāo)評判數(shù)據(jù)是否可控。大數(shù)據(jù)平臺建設(shè)使用單位需要建立完善的安全風(fēng)險(xiǎn)監(jiān)測機(jī)制，通過合規(guī)評估、安全測試和攻擊滲透等手段，實(shí)現(xiàn)對大數(shù)據(jù)業(yè)務(wù)各個環(huán)節(jié)風(fēng)險(xiǎn)點(diǎn)的全面評估，保障安全管理制度和技術(shù)要求的有效落實(shí)。在安全風(fēng)險(xiǎn)評估之后要針對發(fā)現(xiàn)的風(fēng)險(xiǎn)點(diǎn)進(jìn)行詳細(xì)研究論證，及時了解大數(shù)據(jù)安全的最新技術(shù)和管理措施，制定詳細(xì)的風(fēng)險(xiǎn)解決方案，通過使用新的技術(shù)或管理手段降低大數(shù)據(jù)系統(tǒng)的風(fēng)險(xiǎn)，只有殘留風(fēng)險(xiǎn)在可接受范圍內(nèi)才可上線大數(shù)據(jù)系統(tǒng)。

4.6 形成政務(wù)大數(shù)據(jù)安全應(yīng)急處置機(jī)制

在大數(shù)據(jù)平臺運(yùn)行和使用的過程中，網(wǎng)絡(luò)設(shè)備和安全設(shè)備出現(xiàn)故障等突發(fā)情況不僅會影響平臺的正常使用，還可能會影響平臺中數(shù)據(jù)的保密性。大數(shù)據(jù)平臺建設(shè)使用單位應(yīng)在設(shè)計(jì)建設(shè)大數(shù)據(jù)平臺的同時同步建立安全應(yīng)急處置預(yù)案，保證出現(xiàn)突發(fā)情況能夠及時有效地解決，保證大數(shù)據(jù)平臺的可用性和保密性。

5 結(jié)語

事物是不斷變化的，要學(xué)會用發(fā)展的眼光看待問題。大數(shù)據(jù)作為新興技術(shù)，正走在不斷發(fā)展的快車道上，必然會帶來很多安全問題，有些問題我們當(dāng)前可以解決，有些問題我們正在尋求解決之法，終有一天能夠解決。當(dāng)前我國正在加快大數(shù)據(jù)安全的研究，后續(xù)會逐步建立完善的政務(wù)大數(shù)據(jù)安全標(biāo)準(zhǔn)和規(guī)范體系，政務(wù)大數(shù)據(jù)安全風(fēng)險(xiǎn)將進(jìn)一步降低。但一定要認(rèn)識到，大數(shù)據(jù)安全問題仍會層出不窮，政務(wù)大數(shù)據(jù)安全永遠(yuǎn)沒有終點(diǎn)，我們還需不斷加強(qiáng)研究和了解大數(shù)據(jù)安全技術(shù)和管理手段，針對新的安全風(fēng)險(xiǎn)點(diǎn)及時采取應(yīng)對措施，確保政務(wù)大數(shù)據(jù)安全。

參考文獻(xiàn)

[1]黃如花,賴彤.數(shù)據(jù)生命周期視角下我國政府?dāng)?shù)據(jù)開放的障礙研究[J].情報(bào)理論與實(shí)踐,2018,41(02):7~13.

[2]李樹棟,賈焰,吳曉波,李愛平,楊小東,趙大偉.從全生命周期管理角度看大數(shù)據(jù)安全技術(shù)研究[J].大數(shù)據(jù),2017,3(05):3~19.

[3]李偉國.大數(shù)據(jù)格局下的保密、泄密與防范[J].保密工作,2018(04):44~48.

[4]大數(shù)據(jù)治國戰(zhàn)略研究課題組.大數(shù)據(jù)領(lǐng)導(dǎo)干部讀本[M].北京:人民出版社,2017.

[5]張尼,張?jiān)朴?胡坤.大數(shù)據(jù)安全技術(shù)與應(yīng)用[M].北京:人民郵電出版社,2014.