政務(wù)大數(shù)據(jù)安全保密管理研究

【摘    要】隨著政務(wù)信息公開(kāi)工作的全面推進(jìn)和大數(shù)據(jù)技術(shù)的不斷發(fā)展，政務(wù)大數(shù)據(jù)得到越來(lái)越廣泛的應(yīng)用，大數(shù)據(jù)安全問(wèn)題也越來(lái)越突出。本文介紹了政務(wù)大數(shù)據(jù)的安全保密管理現(xiàn)狀，分析了其安全保密風(fēng)險(xiǎn)，并給出了相應(yīng)的安全保密管理措施。

【關(guān)鍵詞】政務(wù)大數(shù)據(jù)  保密管理  保密風(fēng)險(xiǎn)  定級(jí)

1 引言

政務(wù)大數(shù)據(jù)是指政府在推動(dòng)大數(shù)據(jù)應(yīng)用發(fā)展的過(guò)程中或大數(shù)據(jù)在公共服務(wù)領(lǐng)域的應(yīng)用實(shí)踐中產(chǎn)生的大數(shù)據(jù)。如今政府?dāng)?shù)據(jù)開(kāi)放行動(dòng)如浪潮般席卷全球，我國(guó)政府順應(yīng)時(shí)代發(fā)展趨勢(shì)，將“大數(shù)據(jù)”連續(xù)四年寫(xiě)入政府工作報(bào)告，并啟動(dòng)實(shí)施《促進(jìn)大數(shù)據(jù)發(fā)展行動(dòng)綱要》，將政府?dāng)?shù)據(jù)資源開(kāi)放和共享作為當(dāng)前主要任務(wù)[1]。在政務(wù)大數(shù)據(jù)面向公眾開(kāi)放的過(guò)程中，一旦發(fā)生失泄密事件，后果將不堪設(shè)想，因此，做好政務(wù)大數(shù)據(jù)的安全保密管理尤為重要。目前，政務(wù)大數(shù)據(jù)尚未形成完善的安全保密管理體系，這也限制了其快速發(fā)展和廣泛應(yīng)用。本文系統(tǒng)分析了政務(wù)大數(shù)據(jù)的安全保密風(fēng)險(xiǎn)，提出了相應(yīng)的管理防護(hù)手段，對(duì)于黨政機(jī)關(guān)和涉密單位做好政務(wù)大數(shù)據(jù)安全保密管理有借鑒意義。

2 政務(wù)大數(shù)據(jù)安全保密管理現(xiàn)狀

當(dāng)前，我國(guó)政務(wù)大數(shù)據(jù)正在蓬勃發(fā)展，各地區(qū)、各部門(mén)都在積極建設(shè)或使用自己的政務(wù)大數(shù)據(jù)平臺(tái)，有多個(gè)省市積極出臺(tái)了專門(mén)的大數(shù)據(jù)相關(guān)政策文件。但大數(shù)據(jù)安全的技術(shù)研究尚不成熟，我國(guó)仍缺少政務(wù)大數(shù)據(jù)安全保密方面統(tǒng)一的標(biāo)準(zhǔn)或政策文件。通過(guò)調(diào)研發(fā)現(xiàn)，我國(guó)一些政府部門(mén)雖然已經(jīng)形成內(nèi)部管理規(guī)范并執(zhí)行，但有關(guān)規(guī)范文件并不完全適用于當(dāng)前的大數(shù)據(jù)安全現(xiàn)狀。大部分單位的大數(shù)據(jù)技術(shù)保障措施不健全，在進(jìn)行大數(shù)據(jù)安全管理時(shí)仍主要采取傳統(tǒng)的保密技術(shù)手段和管理手段進(jìn)行數(shù)據(jù)管控，使用舊方法應(yīng)對(duì)新技術(shù)、新情況，保密風(fēng)險(xiǎn)很大，安全事件發(fā)生的概率也很高。我國(guó)政務(wù)大數(shù)據(jù)安全保密管理亟待加強(qiáng)。

3 政務(wù)大數(shù)據(jù)的安全保密風(fēng)險(xiǎn)分析

在政務(wù)大數(shù)據(jù)產(chǎn)生、采集、存儲(chǔ)、傳輸、挖掘、應(yīng)用、銷毀的過(guò)程中，無(wú)論哪個(gè)環(huán)節(jié)的管理不慎，都有可能導(dǎo)致隱私或敏感數(shù)據(jù)泄露。

3.1 數(shù)據(jù)的保護(hù)不當(dāng)導(dǎo)致隱私或敏感數(shù)據(jù)泄露

數(shù)據(jù)是政務(wù)大數(shù)據(jù)安全的核心保護(hù)對(duì)象。目前，在數(shù)據(jù)存儲(chǔ)階段，數(shù)據(jù)主要是分布式地存儲(chǔ)在大數(shù)據(jù)平臺(tái)中，采用云存儲(chǔ)技術(shù)，以多副本、多節(jié)點(diǎn)、多分布式的形式存儲(chǔ)各類數(shù)據(jù)。數(shù)據(jù)的集中存儲(chǔ)和濫用增加了被非法入侵和數(shù)據(jù)泄露的風(fēng)險(xiǎn)[2]。在數(shù)據(jù)傳輸階段，如果傳輸信道未采取保護(hù)措施，數(shù)據(jù)將有可能在傳輸過(guò)程中被不法分子截獲而造成數(shù)據(jù)泄露。在數(shù)據(jù)應(yīng)用階段，如果大數(shù)據(jù)平臺(tái)沒(méi)有采取有效的身份認(rèn)證和訪問(wèn)控制措施，也會(huì)導(dǎo)致隱私、敏感數(shù)據(jù)的非授權(quán)訪問(wèn)，而敏感、隱私數(shù)據(jù)關(guān)聯(lián)分析后產(chǎn)生涉密信息的概率也會(huì)加大。在數(shù)據(jù)銷毀階段，數(shù)據(jù)刪除不徹底或敏感數(shù)據(jù)被違規(guī)恢復(fù)可能會(huì)造成失泄密事件發(fā)生。另外，在數(shù)據(jù)采集和挖掘的過(guò)程中，如果沒(méi)有對(duì)數(shù)據(jù)采取有效的防護(hù)措施，極有可能導(dǎo)致數(shù)據(jù)的泄露。

3.2 定級(jí)的不規(guī)范導(dǎo)致隱私或敏感數(shù)據(jù)泄露

在政務(wù)大數(shù)據(jù)的數(shù)據(jù)采集階段，數(shù)據(jù)定級(jí)工作是十分重要的一個(gè)環(huán)節(jié)。如果定級(jí)工作不規(guī)范，數(shù)據(jù)沒(méi)有進(jìn)行合理的分類分級(jí)，則有可能導(dǎo)致個(gè)別涉密或關(guān)鍵隱私數(shù)據(jù)流轉(zhuǎn)至大數(shù)據(jù)平臺(tái)的公共訪問(wèn)區(qū)域，從而失去對(duì)這些數(shù)據(jù)的控制，進(jìn)而導(dǎo)致失泄密事件發(fā)生。

數(shù)據(jù)作為信息的載體，它既蘊(yùn)含我們需要的信息，也包含著我們尚未發(fā)現(xiàn)的信息[3]。在數(shù)據(jù)挖掘階段，大量公開(kāi)數(shù)據(jù)被關(guān)聯(lián)分析之后有可能會(huì)產(chǎn)生涉密信息，如果沒(méi)有對(duì)這些信息做及時(shí)的定級(jí)和消除等處理，也可能會(huì)導(dǎo)致失泄密事件的發(fā)生。

3.3 內(nèi)部人員管理不當(dāng)導(dǎo)致隱私或敏感數(shù)據(jù)泄露

負(fù)責(zé)大數(shù)據(jù)平臺(tái)運(yùn)維管理工作的內(nèi)部人員不僅可以接觸到大數(shù)據(jù)平臺(tái)的基礎(chǔ)設(shè)施，而且擁有較高的系統(tǒng)權(quán)限，部分單位內(nèi)部沒(méi)有形成完善的人員管理制度和操作規(guī)范，任由內(nèi)部運(yùn)維管理人員進(jìn)行操作。一旦內(nèi)部人員操作不當(dāng)或者有意盜取數(shù)據(jù)，則會(huì)造成不可估量的損失，甚至?xí)�引發(fā)失泄密事件。

圖1  基于政務(wù)大數(shù)據(jù)生命周期的風(fēng)險(xiǎn)分析模型                                                                  

   圖2 政務(wù)大數(shù)據(jù)安全保密管理體系圖

3.4 大數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估不到位導(dǎo)致隱私或敏感數(shù)據(jù)泄露

大數(shù)據(jù)作為近年來(lái)信息化發(fā)展的新興事物，具有多樣化、海量化、快速化、價(jià)值密度低、復(fù)雜等特點(diǎn)，這些特點(diǎn)不僅給信息化發(fā)展帶來(lái)變革，也使得信息安全變得更加復(fù)雜，各種新問(wèn)題、新風(fēng)險(xiǎn)層出不窮，當(dāng)下的一些安全保密手段已經(jīng)無(wú)法滿足大數(shù)據(jù)時(shí)代的信息安全需求。此時(shí)，如果沒(méi)有采取有效措施對(duì)系統(tǒng)的安全風(fēng)險(xiǎn)進(jìn)行評(píng)估，就極有可能出現(xiàn)大數(shù)據(jù)平臺(tái)“帶病運(yùn)行”的情況，數(shù)據(jù)泄露的風(fēng)險(xiǎn)會(huì)很大。

綜上所述，政務(wù)大數(shù)據(jù)在數(shù)據(jù)全生命周期的各個(gè)環(huán)節(jié)都存在一定的安全保密風(fēng)險(xiǎn)，如圖1所示。如果不加以管控，數(shù)據(jù)泄露的可能性會(huì)很大。

4 政務(wù)大數(shù)據(jù)的安全保密管理措施

針對(duì)政務(wù)大數(shù)據(jù)在日常使用中不斷暴露出的安全保密問(wèn)題，為降低安全保密風(fēng)險(xiǎn)，防止失泄密，需要做好以下6個(gè)方面的工作。

4.1 建立健全政務(wù)大數(shù)據(jù)安全保密管理體系

結(jié)合當(dāng)前政務(wù)大數(shù)據(jù)安全保密現(xiàn)狀，應(yīng)該盡快建立健全政務(wù)大數(shù)據(jù)安全保密管理體系，如圖2所示。從總體上來(lái)看，政務(wù)大數(shù)據(jù)安全分為平臺(tái)安全、數(shù)據(jù)安全、隱私或敏感信息安全3個(gè)層次。其中平臺(tái)安全是基礎(chǔ)，在平臺(tái)安全可控的條件下進(jìn)一步保證平臺(tái)上運(yùn)行的數(shù)據(jù)安全，而隱私或敏感信息安全又是建立在數(shù)據(jù)安全的基礎(chǔ)之上。在具體操作層面上需要采取技術(shù)措施和管理措施相結(jié)合的方式進(jìn)行安全防護(hù)。而所采取的技術(shù)和管理措施應(yīng)該參照當(dāng)前的國(guó)際國(guó)內(nèi)標(biāo)準(zhǔn)。目前我國(guó)的大數(shù)據(jù)安全標(biāo)準(zhǔn)體系還在建設(shè)階段，相關(guān)部門(mén)加快有關(guān)標(biāo)準(zhǔn)和規(guī)定的出臺(tái)對(duì)建立健全政務(wù)大數(shù)據(jù)安全保密管理體系具有十分重要的推動(dòng)作用。

4.2 加強(qiáng)政務(wù)大數(shù)據(jù)的全生命周期管理

大數(shù)據(jù)的全生命周期管理，就是在大數(shù)據(jù)的采集、存儲(chǔ)、傳輸、挖掘、應(yīng)用、銷毀過(guò)程中，每一個(gè)環(huán)節(jié)都嚴(yán)格規(guī)范管理。在數(shù)據(jù)采集得到原始數(shù)據(jù)之后要規(guī)范定密，在數(shù)據(jù)存儲(chǔ)階段采取安全可靠的存儲(chǔ)措施，在數(shù)據(jù)傳輸階段對(duì)數(shù)據(jù)傳輸信道進(jìn)行防護(hù)，在數(shù)據(jù)挖掘階段及時(shí)對(duì)挖掘結(jié)果進(jìn)行定密分析和處理，在數(shù)據(jù)應(yīng)用階段采取有效的訪問(wèn)控制措施，在數(shù)據(jù)銷毀階段加強(qiáng)銷毀流程管理。另外，在大數(shù)據(jù)全生命周期管理中，安全審計(jì)工作也十分重要，要定期對(duì)大數(shù)據(jù)全生命周期的審計(jì)數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析，及時(shí)發(fā)現(xiàn)系統(tǒng)漏洞或違規(guī)操作，并采取補(bǔ)救措施。

在政務(wù)大數(shù)據(jù)全生命周期管理中，技術(shù)措施作為其支撐手段是必不可少的。在大數(shù)據(jù)系統(tǒng)中，“木桶效應(yīng)”非常明顯，任何一個(gè)漏洞或薄弱環(huán)節(jié)都可能給入侵者提供可乘之機(jī)，都有可能被黑客入侵而造成大數(shù)據(jù)的泄露[4]，采取全面可靠的安全技術(shù)措施尤為重要。大數(shù)據(jù)平臺(tái)管理部門(mén)需要采取技術(shù)措施對(duì)大數(shù)據(jù)平臺(tái)的基礎(chǔ)設(shè)施安全、數(shù)據(jù)存儲(chǔ)安全、網(wǎng)絡(luò)安全等進(jìn)行有效防護(hù)。政務(wù)大數(shù)據(jù)平臺(tái)基礎(chǔ)設(shè)施安全方面需要采取有效的物理防護(hù)措施、電磁防護(hù)措施和防病毒措施保證大數(shù)據(jù)平臺(tái)的正常使用；政務(wù)大數(shù)據(jù)存儲(chǔ)安全方面需要采取數(shù)據(jù)加密等技術(shù)措施保證數(shù)據(jù)存儲(chǔ)過(guò)程的安全；政務(wù)大數(shù)據(jù)應(yīng)用安全方面需要采取身份認(rèn)證、權(quán)限劃分、訪問(wèn)控制、邊界防護(hù)、入侵防御、安全審計(jì)等措施確保數(shù)據(jù)在政務(wù)大數(shù)據(jù)應(yīng)用過(guò)程中的安全。

4.3 規(guī)范大數(shù)據(jù)定級(jí)管理

大數(shù)據(jù)定級(jí)是政務(wù)大數(shù)據(jù)安全保密管理的重點(diǎn)和難點(diǎn)，定級(jí)的不準(zhǔn)確將可能直接導(dǎo)致涉密數(shù)據(jù)的泄露。在對(duì)政務(wù)大數(shù)據(jù)進(jìn)行規(guī)劃時(shí)，要高度認(rèn)識(shí)到大數(shù)據(jù)安全形勢(shì)的嚴(yán)峻性，對(duì)數(shù)據(jù)資源進(jìn)行分類分級(jí)，明確重點(diǎn)保障對(duì)象，強(qiáng)化對(duì)敏感和要害數(shù)據(jù)的管理[5]。機(jī)關(guān)、單位應(yīng)清醒認(rèn)識(shí)到目前大數(shù)據(jù)定級(jí)工作的問(wèn)題，建立權(quán)責(zé)明晰、規(guī)范程序、監(jiān)督有力的定級(jí)管理制度，為定級(jí)工作的科學(xué)規(guī)范提供有力支撐。在數(shù)據(jù)采集階段，通過(guò)規(guī)范定級(jí)流程和落實(shí)定級(jí)責(zé)任等措施確保定級(jí)工作的準(zhǔn)確、合理、合規(guī)，有效防止涉密數(shù)據(jù)導(dǎo)入政務(wù)大數(shù)據(jù)平臺(tái)。在數(shù)據(jù)挖掘階段，通過(guò)機(jī)器鑒別和人工鑒別相結(jié)合的方式對(duì)數(shù)據(jù)挖掘結(jié)果進(jìn)行判定，準(zhǔn)確確定數(shù)據(jù)等級(jí)，一旦判定為涉密信息，應(yīng)及時(shí)采取應(yīng)急處理措施。

4.4 制定完善的安全保密管理制度

再先進(jìn)的技術(shù)安全措施也都會(huì)存在漏洞，大數(shù)據(jù)安全也不例外，如果說(shuō)技術(shù)安全措施是在受保護(hù)的數(shù)據(jù)周圍筑了一道墻，那么安全保密管理制度就是用來(lái)填補(bǔ)墻上漏洞的水泥。要想做好政務(wù)大數(shù)據(jù)安全保密管理，必須要有完善的安全保密管理制度體系來(lái)做支撐。

政務(wù)大數(shù)據(jù)建設(shè)使用單位應(yīng)該制定完善的安全保密管理制度，明確運(yùn)維管理人員的主體責(zé)任，落實(shí)各項(xiàng)安全保密管理措施，包括內(nèi)部人員管理制度、大數(shù)據(jù)平臺(tái)運(yùn)維管理制度、數(shù)據(jù)定級(jí)管理制度、應(yīng)急響應(yīng)制度等。

在這里需要特別強(qiáng)調(diào)的是，內(nèi)部安全管理制度中應(yīng)明確運(yùn)維管理人員權(quán)限和責(zé)任，切實(shí)規(guī)范大數(shù)據(jù)平臺(tái)運(yùn)維管理人員的日常操作行為，并在日常運(yùn)維管理過(guò)程中，結(jié)合監(jiān)控手段定期對(duì)運(yùn)維管理人員的操作行為進(jìn)行審計(jì)。通過(guò)對(duì)運(yùn)維管理人員行為的審計(jì)可以分析系統(tǒng)中是否存在違規(guī)訪問(wèn)行為，最后再通過(guò)溯源技術(shù)，對(duì)該違規(guī)行為進(jìn)行追溯，從而能夠在后臺(tái)對(duì)數(shù)據(jù)進(jìn)行安全防護(hù)，有效防范系統(tǒng)中的運(yùn)維管理人員所存在的泄露風(fēng)險(xiǎn)。

4.5 形成完善的安全風(fēng)險(xiǎn)監(jiān)測(cè)機(jī)制

在政務(wù)大數(shù)據(jù)安全保密管理中，如果沒(méi)有完善的安全風(fēng)險(xiǎn)監(jiān)測(cè)機(jī)制，就難以有效評(píng)估大數(shù)據(jù)平臺(tái)的安全性，也難以用量化的指標(biāo)評(píng)判數(shù)據(jù)是否可控。大數(shù)據(jù)平臺(tái)建設(shè)使用單位需要建立完善的安全風(fēng)險(xiǎn)監(jiān)測(cè)機(jī)制，通過(guò)合規(guī)評(píng)估、安全測(cè)試和攻擊滲透等手段，實(shí)現(xiàn)對(duì)大數(shù)據(jù)業(yè)務(wù)各個(gè)環(huán)節(jié)風(fēng)險(xiǎn)點(diǎn)的全面評(píng)估，保障安全管理制度和技術(shù)要求的有效落實(shí)。在安全風(fēng)險(xiǎn)評(píng)估之后要針對(duì)發(fā)現(xiàn)的風(fēng)險(xiǎn)點(diǎn)進(jìn)行詳細(xì)研究論證，及時(shí)了解大數(shù)據(jù)安全的最新技術(shù)和管理措施，制定詳細(xì)的風(fēng)險(xiǎn)解決方案，通過(guò)使用新的技術(shù)或管理手段降低大數(shù)據(jù)系統(tǒng)的風(fēng)險(xiǎn)，只有殘留風(fēng)險(xiǎn)在可接受范圍內(nèi)才可上線大數(shù)據(jù)系統(tǒng)。

4.6 形成政務(wù)大數(shù)據(jù)安全應(yīng)急處置機(jī)制

在大數(shù)據(jù)平臺(tái)運(yùn)行和使用的過(guò)程中，網(wǎng)絡(luò)設(shè)備和安全設(shè)備出現(xiàn)故障等突發(fā)情況不僅會(huì)影響平臺(tái)的正常使用，還可能會(huì)影響平臺(tái)中數(shù)據(jù)的保密性。大數(shù)據(jù)平臺(tái)建設(shè)使用單位應(yīng)在設(shè)計(jì)建設(shè)大數(shù)據(jù)平臺(tái)的同時(shí)同步建立安全應(yīng)急處置預(yù)案，保證出現(xiàn)突發(fā)情況能夠及時(shí)有效地解決，保證大數(shù)據(jù)平臺(tái)的可用性和保密性。

5 結(jié)語(yǔ)

事物是不斷變化的，要學(xué)會(huì)用發(fā)展的眼光看待問(wèn)題。大數(shù)據(jù)作為新興技術(shù)，正走在不斷發(fā)展的快車道上，必然會(huì)帶來(lái)很多安全問(wèn)題，有些問(wèn)題我們當(dāng)前可以解決，有些問(wèn)題我們正在尋求解決之法，終有一天能夠解決。當(dāng)前我國(guó)正在加快大數(shù)據(jù)安全的研究，后續(xù)會(huì)逐步建立完善的政務(wù)大數(shù)據(jù)安全標(biāo)準(zhǔn)和規(guī)范體系，政務(wù)大數(shù)據(jù)安全風(fēng)險(xiǎn)將進(jìn)一步降低。但一定要認(rèn)識(shí)到，大數(shù)據(jù)安全問(wèn)題仍會(huì)層出不窮，政務(wù)大數(shù)據(jù)安全永遠(yuǎn)沒(méi)有終點(diǎn)，我們還需不斷加強(qiáng)研究和了解大數(shù)據(jù)安全技術(shù)和管理手段，針對(duì)新的安全風(fēng)險(xiǎn)點(diǎn)及時(shí)采取應(yīng)對(duì)措施，確保政務(wù)大數(shù)據(jù)安全。

參考文獻(xiàn)

[1]黃如花,賴彤.數(shù)據(jù)生命周期視角下我國(guó)政府?dāng)?shù)據(jù)開(kāi)放的障礙研究[J].情報(bào)理論與實(shí)踐,2018,41(02):7~13.

[2]李樹(shù)棟,賈焰,吳曉波,李愛(ài)平,楊小東,趙大偉.從全生命周期管理角度看大數(shù)據(jù)安全技術(shù)研究[J].大數(shù)據(jù),2017,3(05):3~19.

[3]李偉國(guó).大數(shù)據(jù)格局下的保密、泄密與防范[J].保密工作,2018(04):44~48.

[4]大數(shù)據(jù)治國(guó)戰(zhàn)略研究課題組.大數(shù)據(jù)領(lǐng)導(dǎo)干部讀本[M].北京:人民出版社,2017.

[5]張尼,張?jiān)朴?胡坤.大數(shù)據(jù)安全技術(shù)與應(yīng)用[M].北京:人民郵電出版社,2014.