政府部門及公共服務機構(gòu)大數(shù)據(jù)安全保障研究

鄧剛 海忠 趙平

摘要：政府部門和公共服務部門大數(shù)據(jù)包含機構(gòu)機密數(shù)據(jù)、個人隱私數(shù)據(jù)，是國家的核心資產(chǎn)，關(guān)系國家和人民的切身利益，因此其安全性需要充分保障。本文從大數(shù)據(jù)安全保障標準化研究、大數(shù)據(jù)安全保障風險研究和大數(shù)據(jù)安全保障體系研究三個方面綜述政府部門及公共服務機構(gòu)大數(shù)據(jù)安全保障現(xiàn)狀與發(fā)展趨勢。

關(guān)鍵詞：政府部門;公共服務機構(gòu);大數(shù)據(jù);安全保障

中圖分類號：TP311.13 文獻標識碼：A 文章編號：1007-9416（2020）03-0187-05

0 引言

黨的十九大報告提出，要加快建設(shè)數(shù)字中國，建設(shè)網(wǎng)絡(luò)強國，通過大數(shù)據(jù)發(fā)展和實體經(jīng)濟的深度融合，推進發(fā)展經(jīng)濟新增長點，促進新動能形成。國家日益重視大數(shù)據(jù)發(fā)展的同時，數(shù)據(jù)的增多使大數(shù)據(jù)安全問題日漸突出，各類安全事件給政府和公共服務機構(gòu)敲醒了警鐘。已有學者較多的將大數(shù)據(jù)安全與隱私保護聯(lián)系在一起，但大數(shù)據(jù)安全的含義較隱私保護更加廣泛，在數(shù)據(jù)收集、傳輸、存儲、管理、分析、運用、銷毀的整個生命周期過程中，大數(shù)據(jù)均面臨眾多的安全威脅，大數(shù)據(jù)安全包括2個層面的含義：保障大數(shù)據(jù)安全和大數(shù)據(jù)技術(shù)用于安全。前者是指保障大數(shù)據(jù)計算過程、數(shù)據(jù)形態(tài)、應用價值的處理技術(shù)，涉及大數(shù)據(jù)自身安全問題;后者是利用大數(shù)據(jù)技術(shù)提升信息系統(tǒng)安全效能和能力的方法，涉及如何解決信息系統(tǒng)安全問題[1]。

隨著對大數(shù)據(jù)的廣泛關(guān)注，有關(guān)大數(shù)據(jù)安全保障的研究和實踐也已逐步展開，包括科研機構(gòu)、政府組織、企事業(yè)單位在內(nèi)的各方力量。針對大數(shù)據(jù)安全保障，學者們主要從大數(shù)據(jù)安全保障的建構(gòu)思路、模型構(gòu)建、建設(shè)路徑角度展開分析和研究[2]。

1 應用日益普及

在我國，政府部門及公共服務機構(gòu)關(guān)于大數(shù)據(jù)的建設(shè)應用起步于20世紀90年代，20年來，為強化國家各級政府部門大數(shù)據(jù)的應用與治理，國家電子政務主管部門和相關(guān)業(yè)務部門對于大數(shù)據(jù)的研究不斷深化。不僅相繼出臺了相關(guān)政策法律和多項大數(shù)據(jù)政策文件為大數(shù)據(jù)應用健康發(fā)展提供了強有力的制度保障，使我國大數(shù)據(jù)建設(shè)的發(fā)展環(huán)境和領(lǐng)域生態(tài)得到持續(xù)改善，而且在全國范圍內(nèi)相繼成立大數(shù)據(jù)管理局，建設(shè)大數(shù)據(jù)安全保障平臺等，我國政府部門及公共服務機構(gòu)的大數(shù)據(jù)建設(shè)應用日益普及。

“十三五”期間我國全面啟動了大數(shù)據(jù)方面的研究。2016年3月17日，十二屆全國人大四次會議表決通過了《關(guān)于國民經(jīng)濟和社會發(fā)展第十三個五年規(guī)劃綱要》，要求實施國家大數(shù)據(jù)戰(zhàn)略，全面實施促進大數(shù)據(jù)發(fā)展行動，同時要強化信息安全保障。國家統(tǒng)計局、發(fā)改委和科學院，以及北京、上海、廣州、重慶、武漢、貴州等地率先開展了政府大數(shù)據(jù)方面的建設(shè)工作。近年來，全國各地紛紛投身于大數(shù)據(jù)建設(shè)應用中來，大數(shù)據(jù)管理機構(gòu)也如雨后春筍般涌現(xiàn)。2014年2月，廣東省大數(shù)據(jù)管理局成立，拉開了全國大數(shù)據(jù)局成立的帷幕，2018年4月12日，上海市大數(shù)據(jù)中心正式揭牌。2018年10月25日，浙江省大數(shù)據(jù)發(fā)展管理局掛牌。2018年11月14日，作為廣西壯族自治區(qū)機構(gòu)改革新成立的直屬機構(gòu)，廣西大數(shù)據(jù)發(fā)展局掛牌。2018年11月26日，河南省大數(shù)據(jù)管理局掛牌成立。2018年11月5日，重慶市大數(shù)據(jù)應用發(fā)展管理局掛牌，作為市政府直屬機構(gòu)。據(jù)調(diào)查數(shù)據(jù)，在對我國31個省級行政單位和334個地市級行政單位的大數(shù)據(jù)局成立情況梳理后，截止2019年9月，我國18個?。ㄖ陛犑校?、203個市在這次機構(gòu)改革中組建了專門的大數(shù)據(jù)管理機構(gòu)[3]。

另外，作為政府部門及公共服務機構(gòu)大數(shù)據(jù)建設(shè)應用的重要環(huán)節(jié)，近年來我國加快普及大數(shù)據(jù)與地區(qū)經(jīng)濟社會發(fā)展深度融合的步伐。大數(shù)據(jù)與金融、電子商務、醫(yī)療、農(nóng)業(yè)、政務等眾多領(lǐng)域逐漸融合，發(fā)揮著越來越重要的作用，國家級大數(shù)據(jù)綜合試驗區(qū)加快推進。2015年9月，貴州啟動全國首個大數(shù)據(jù)綜合試驗區(qū)建設(shè)工作。2017年跨區(qū)域類綜試區(qū)（京津冀、珠江三角洲），區(qū)域示范類綜試區(qū)（上海、河南、重慶、沈陽），大數(shù)據(jù)基礎(chǔ)設(shè)施統(tǒng)籌發(fā)展類綜試區(qū)（內(nèi)蒙古）建設(shè)成效顯著，京津冀三地也在“十三五”期間共建大數(shù)據(jù)綜合試驗區(qū)。顯然，這些舉措無疑推動著大數(shù)據(jù)建設(shè)在我國的進一步發(fā)展。

2 面臨諸多威脅

政務大數(shù)據(jù)相比于其他類型大數(shù)據(jù)更具高度整合性，珍貴性和機密性，政府部門和公共服務機構(gòu)作為政務大數(shù)據(jù)的應用主體，在大數(shù)據(jù)的應用上也相應承擔著更多的責任與風險，雖然大環(huán)境下國家日益重視大數(shù)據(jù)安全建設(shè)，但政府部門及公共服務機構(gòu)大數(shù)據(jù)安全仍然面臨著諸多威脅[4]。

首先，政府部門及公共服務機構(gòu)大數(shù)據(jù)安全面臨著公民隱私權(quán)被侵犯，政府權(quán)威受挑戰(zhàn)的威脅?！毒W(wǎng)絡(luò)安全法》明確了政府有責任保護公民的信息安全，但互聯(lián)網(wǎng)上卻同時泛濫著大量的非正常數(shù)據(jù)應用服務，以及線下的非法數(shù)據(jù)售賣。據(jù)悉，重慶、上海、山西、貴州、河南等30多個省市衛(wèi)生和社會保障系統(tǒng)存在大量高危漏洞，僅社保類信息安全漏洞就達5279.4萬條，其次，政務網(wǎng)站存在被篡改克隆的風險，嚴重威脅到社會秩序的安定。根據(jù)國家互聯(lián)網(wǎng)應急中心（以下簡稱“CNCERT”），最新發(fā)布的《中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報告（2018）》，2018年我國境內(nèi)被篡改網(wǎng)站數(shù)量為7049個，其中政府網(wǎng)站被篡改數(shù)量為216個，占境內(nèi)全部被篡改網(wǎng)站數(shù)量的3.1%，與2017年持平。監(jiān)測到境內(nèi)23608個網(wǎng)站被植入后門，其中政府網(wǎng)站有674個，占境內(nèi)被注入后門網(wǎng)站的2.9%。另外2018年勒索軟件攻擊事件頻發(fā)，變種數(shù)量不斷攀升，對重要行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施威脅加劇。其中，政府、醫(yī)療、教育、研究機構(gòu)、制造業(yè)等是受到勒索軟件攻擊較嚴重行業(yè)。例如GlobeImposter、Gand Crab等勒索軟件變種攻擊了我國多家醫(yī)療機構(gòu)，導致醫(yī)院信息系統(tǒng)運行受到嚴重影響。2018年，CNCERT抽樣監(jiān)測發(fā)現(xiàn)，我國境內(nèi)聯(lián)網(wǎng)工業(yè)設(shè)備、系統(tǒng)、平臺等遭受惡意嗅探、網(wǎng)絡(luò)攻擊的次數(shù)顯著提高，在CNCERT使用Acheron平臺對主流工業(yè)控制設(shè)備和電力行業(yè)進行專項安全檢測時，在設(shè)計主流廠商的87個產(chǎn)品共發(fā)現(xiàn)了232個高危漏洞。

5 政府部門及公共服務機構(gòu)大數(shù)據(jù)安全保障研究

政府部門和公共服務部門大數(shù)據(jù)包含機構(gòu)機密數(shù)據(jù)、個人隱私數(shù)據(jù)，是國家的核心資產(chǎn)，關(guān)系國家和人民的切身利益，因此其安全性需要充分保障。通過閱讀相關(guān)文獻發(fā)現(xiàn)學者們也愈發(fā)重視對政府部門和公共服務機構(gòu)大數(shù)據(jù)安全保障的研究。具體來說，主要從以下幾個角度展開研究：

5.1 大數(shù)據(jù)安全保障標準化研究

在信息技術(shù)廣泛應用的今天，政務大數(shù)據(jù)安全保障問題，受到國家的高度重視。政務大數(shù)據(jù)標準是保障政務大數(shù)據(jù)安全的重要理論支持。有學者梳理了國家的相關(guān)政策，并且在提出當前政務大數(shù)據(jù)面臨威脅的同時，指出要在分析政府大數(shù)據(jù)安全標準核心需求的基礎(chǔ)上，有側(cè)重點的制定政務大數(shù)據(jù)安全標準（王俊，2019）。具體到標準化面臨的問題，有學者指出大數(shù)據(jù)安全保障標準體系和規(guī)劃還不完善，并且當前對大數(shù)據(jù)治理的認識不足，重點標準在行業(yè)應用中的支撐力度也不夠，在此基礎(chǔ)上構(gòu)建了包括八種標準的標準體系框架（代紅、張群、尹卓，2019）。也有學者通過對國內(nèi)外標準制定的對比，提出政府部門和公共服務機構(gòu)大數(shù)據(jù)管理保障存在標準體系架構(gòu)有待完、適用性不強、與國際標準脫軌、部分行業(yè)指導和最佳實踐不足等短板，在此基礎(chǔ)上，從政策法規(guī)層、規(guī)劃層、基礎(chǔ)層、實施層4個層面開展新形勢下政務大數(shù)據(jù)安全風險管理標準體系研究，提出了新形勢下的政務大數(shù)據(jù)安全風險管理標準體系（高亞楠、劉豐、陳永剛，2019）。還有學者系統(tǒng)的分析了國內(nèi)外政府大數(shù)據(jù)標準化研究現(xiàn)狀，結(jié)合《促進大數(shù)據(jù)發(fā)展行動綱要》、中華人民共和國國民經(jīng)濟和社會發(fā)展第十三個五年規(guī)劃綱要等國家戰(zhàn)略以及大數(shù)據(jù)產(chǎn)業(yè)發(fā)展對標準化工作的需求，分析我國大數(shù)據(jù)標準化工作面臨的問題，描述了大數(shù)據(jù)參考架構(gòu)，提出大數(shù)據(jù)保障標準體系框架，給未來的政府大數(shù)據(jù)安全保障提供了參考（張群、吳東亞、趙菁華，2017）。

5.2 大數(shù)據(jù)安全保障風險研究

多部門、多來源和跨領(lǐng)域的政府部門和公共服務機構(gòu)的數(shù)據(jù)經(jīng)過匯聚之后，面臨著多種攻擊，引起了社會各界的一致關(guān)注。有學者指出雖然政府部門采取了相應的政務大數(shù)據(jù)防護措施，但是政務大數(shù)據(jù)在匯聚之后，仍然會受到關(guān)聯(lián)分析、推理攻擊、統(tǒng)計分析等攻擊手段，從而造成數(shù)據(jù)泄密風險，因此其從管理制度、數(shù)據(jù)存儲、數(shù)據(jù)共享以及數(shù)據(jù)發(fā)布4各方面進行定性的風險分析（王凡、宋浦元、李明道等，2019）。這些學者還在此基礎(chǔ)上結(jié)合大數(shù)據(jù)安全風險評估關(guān)鍵要素，探討政府部門和公共服務機構(gòu)數(shù)據(jù)安全風險評估方法和評估模型，對政務數(shù)據(jù)安全風險進行定量分析。也有學者基于大數(shù)據(jù)全生命周期，構(gòu)建了政務大數(shù)據(jù)生命周期的風險分析模型，分析了政務大數(shù)據(jù)運行全過程的風險（許盛偉、邸梓航、黃俊豪等，2019）。有學者指出政府部門為履行其職能，會以一定的形式按需處理大量的政務數(shù)據(jù)，而在政務數(shù)據(jù)處理主要包括收集、存儲和使用等環(huán)節(jié)，在這些環(huán)節(jié)中的都會出現(xiàn)風險，為政府的政務數(shù)據(jù)安全保障增加難度（楊紹亮、陳月華、陳發(fā)強，2019）。公共服務機構(gòu)方面，醫(yī)療大數(shù)據(jù)平臺為大數(shù)據(jù)在醫(yī)療信息領(lǐng)域的應用和發(fā)展提供了有利的支持保障。平臺的安全保障體系建設(shè)則更加有利于健康醫(yī)療大數(shù)據(jù)的發(fā)展，但目前的醫(yī)療大數(shù)據(jù)安全保障體系存在著技術(shù)支撐不足，功能分區(qū)存在不合理的現(xiàn)象（吳曉霞，孟琨泰，趙杰等，2017）。另外，還有學者對共享交換平臺安全風險、用戶與管理終端安全風險、公共服務部門大數(shù)據(jù)本身的安全風險入手進行分析（張平，2019）。

5.3 大數(shù)據(jù)安全保障體系研究

數(shù)據(jù)時代是安全與發(fā)展并重，機遇與挑戰(zhàn)并存的時代，在充分發(fā)揮政務大數(shù)據(jù)價值的同時，解決政務大數(shù)據(jù)面臨的安全問題也至關(guān)重要。有學者基于大數(shù)據(jù)生命周期和大數(shù)據(jù)平臺兩層的大數(shù)據(jù)架構(gòu)，提出分層的大數(shù)據(jù)安全保障體系，指出法律法規(guī)是是約束和規(guī)制政務大數(shù)據(jù)各環(huán)節(jié)中的基礎(chǔ);大數(shù)據(jù)生命周期層主要涉及政務大數(shù)據(jù)保護的相關(guān)技術(shù);大數(shù)據(jù)平臺層主要涉及政務大數(shù)據(jù)平臺安全保護的相關(guān)技術(shù)（陳興蜀、楊露、羅永剛，2017）。也有學者通過構(gòu)建大數(shù)據(jù)全生命周期安全風險圖，提出包括安全保密防護體系、安全保密技術(shù)、安全保密管理和安全保密標準的政務大數(shù)據(jù)安全保障方案（張平，2019）。也有學者參考Gartner國際研究機構(gòu)對數(shù)據(jù)安全領(lǐng)域的研究，以及數(shù)據(jù)安全成熟度模型（簡稱：DSMM）對政務數(shù)據(jù)安全治理進行了設(shè)計，提出了政務大數(shù)據(jù)安全治理的總體框架圖（王晛，2019）。還有學者根據(jù)政務大數(shù)據(jù)安全架構(gòu)的基本原則，并以美國標準化組織NIST提出的大數(shù)據(jù)平臺架構(gòu)為參考，提出一種新的政務大數(shù)據(jù)安全架構(gòu)，該架構(gòu)建立在大數(shù)據(jù)云平臺之上，可實現(xiàn)在全系統(tǒng)層面上的統(tǒng)一審核與管理，同時滿足大數(shù)據(jù)跨部門共享與交換的需要，并實現(xiàn)大數(shù)據(jù)在不同軟件或業(yè)務之間的互操作性、可移植性、可重用性、可擴展性、可審計溯源要求（朱巖、劉國偉、王靜，2019）。也有還有學者結(jié)合政務大數(shù)據(jù)在日常使用中不斷暴露出的安全保密風險，從體系、生命周期、分類分級、管理制度、風險檢測機制等方面提出建議（許盛偉、邸梓航、黃俊豪等，2019）。另外，還有學者針對目前大數(shù)據(jù)治理研究仍局限于從單一學科視角和單一層面進行討論，缺少對政務大數(shù)據(jù)治理體系構(gòu)建的體系化研究的現(xiàn)狀，采用多學科綜合集成方法，通過系統(tǒng)文獻調(diào)研及案例研究的方法，將宏觀、中觀與微觀3個層次的體系構(gòu)成要素進行了有機融合，提出了宏觀層面的多元主體合作聯(lián)盟共治、中觀層面的多層次活動流程聯(lián)通共生、微觀層面的多維度要素聯(lián)結(jié)共贏的政府大數(shù)據(jù)治理體系框架及其實現(xiàn)的有效路徑。公共服務機構(gòu)方面，有學者提出電力大數(shù)據(jù)將貫穿未來電力工業(yè)生產(chǎn)及管理各個環(huán)節(jié)，起到獨特而巨大的作用。目前電力公司基本上實現(xiàn)了信息化的全覆蓋，逐步都開始建設(shè)綜合數(shù)據(jù)平臺。由于電力大數(shù)據(jù)涉及到眾多電力用戶的隱私和電網(wǎng)安全，對信息安全也提出了更高的要求。針對大數(shù)據(jù)的安全保障體系架構(gòu)和關(guān)鍵防護措施需要進一步加強，從被動防御向多層次、主動防御轉(zhuǎn)變，達到在保證數(shù)據(jù)安全的前提下使用大數(shù)據(jù)技術(shù)。（郭乃網(wǎng)，蘇運，2016）。

6 結(jié)語

大數(shù)據(jù)安全的含義較隱私保護更加廣泛，在數(shù)據(jù)收集、傳輸、存儲、管理、分析、運用、銷毀的整個生命周期過程中，大數(shù)據(jù)均面臨眾多的安全威脅，大數(shù)據(jù)安全包括2個層面的含義：保障大數(shù)據(jù)安全和大數(shù)據(jù)技術(shù)用于安全。前者是指保障大數(shù)據(jù)計算過程、數(shù)據(jù)形態(tài)、應用價值的處理技術(shù)，涉及大數(shù)據(jù)自身安全問題;后者是利用大數(shù)據(jù)技術(shù)提升信息系統(tǒng)安全效能和能力的方法，涉及如何解決信息系統(tǒng)安全問題。隨著對大數(shù)據(jù)的廣泛關(guān)注，有關(guān)大數(shù)據(jù)安全保障的研究和實踐也已逐步展開，包括科研機構(gòu)、政府組織、企事業(yè)單位在內(nèi)的各方力量。針對大數(shù)據(jù)安全保障，學者們主要從大數(shù)據(jù)安全保障的建構(gòu)思路、模型構(gòu)建、建設(shè)路徑角度展開分析和研究。

參考文獻

[1] 白獻陽，孫夢皎，安小米.大數(shù)據(jù)環(huán)境下我國政府數(shù)據(jù)開放政策體系研究[J].圖書館學研究，2018（24）：48-56+47.

[2] 鮑靜，張勇進，董占廣.我國政府數(shù)據(jù)開放管理若干基本問題研究[J].行政論壇，2017，24（01）：25-32.

[3] 包英明.大數(shù)據(jù)平臺數(shù)據(jù)安全防護技術(shù)[J].信息安全研究，2019，5（03）：242-247.

[4] [美]布魯斯·施奈爾.數(shù)據(jù)與監(jiān)控：信息安全的隱形之戰(zhàn)[M].北京：金城出版社，2018.

[5] 蔡棟，孔德武，劉緒軍.大數(shù)據(jù)時代下數(shù)據(jù)分析與數(shù)據(jù)安全[M].哈爾濱：哈爾濱工業(yè)大學出版社，2017.

[6] 陳廣勝.政務大數(shù)據(jù)的浙江行動[J].信息化建設(shè)，2016（11）：7-9.

[7] 蔡蕙敏，張一帆.關(guān)于構(gòu)建大數(shù)據(jù)安全保障體系的思路與建議[J].網(wǎng)絡(luò)安全技術(shù)與應用，2017（06）：70-71.

[8] 陳惠芳，徐衛(wèi)國.大數(shù)據(jù)視角下醫(yī)療行業(yè)發(fā)展的新思維[J].現(xiàn)代管理科學，2015（04）：70-72.

[9] 陳錦.我國大數(shù)據(jù)發(fā)展與信息安全態(tài)勢[J].中國信息安全，2017（05）：68-71.

[10] 陳晴，高婷，楊明，等.氣象大數(shù)據(jù)平臺的設(shè)計及應用[J].電子技術(shù)與軟件工程，2019（11）：192-194.

[11] 陳潭.政務大數(shù)據(jù)壁壘的生成與消解[J].求索，2016（12）：14-18.

[12] 陳新河.贏在大數(shù)據(jù)：政府/工業(yè)/農(nóng)業(yè)/安全/教育/人才行業(yè)大數(shù)據(jù)應用典型案例[M].北京：電子工業(yè)出版社，2017.

[13] 陳興蜀，楊露，羅永剛.大數(shù)據(jù)安全保護技術(shù)[J].工程科學與技術(shù)，2017，49（05）：1-12.

Abstract：The big data of government departments and public service departments contains confidential agency data and personal privacy data， which is the core asset of the country and relates to the vital interests of the country and the people， so its security needs to be fully guaranteed. This paper summarizes the status quo and development trend of big data security in government departments and public service institutions from three aspects： standardization research of big data security， risk research on big data security and research of the big data security system.

Key words：government departments; public service agencies; big data; security