政府大數(shù)據(jù)開放共享框架構建及安全保障研究

□ 文 陳迎春

0 引言

在全球信息化迅速發(fā)展的時代背景下，大數(shù)據(jù)應用不斷改變著人們的生產(chǎn)生活方式，大數(shù)據(jù)資源已經(jīng)毫無異議被認為是國家基礎性戰(zhàn)略資源，是重要生產(chǎn)要素和新生創(chuàng)新動力的強大驅動力。據(jù)統(tǒng)計，我國80%的數(shù)據(jù)資源都掌握在政府相關部門，政務數(shù)據(jù)的數(shù)量最龐大、密度最高。在政府的公共管理決策過程中，大數(shù)據(jù)與云計算等新技術的融合使得全樣本實時分析成為可能，定性決策已經(jīng)轉化為量化決策，提高了政府決策的有效性、科學性和預判性，諸多公共領域也利用大數(shù)據(jù)造福社會。因此，大數(shù)據(jù)已經(jīng)成為我國維護穩(wěn)增長、促改革、調結構、惠民生的內在需要。但是數(shù)據(jù)本身并不產(chǎn)生價值，只有在開放共享的數(shù)據(jù)流動過程中，合理應用大數(shù)據(jù)才能充分體現(xiàn)它的巨大社會價值。

1 政府大數(shù)據(jù)開放共享的發(fā)展現(xiàn)狀

近年來，國家層面陸續(xù)出臺了一系列法律法規(guī)，為大數(shù)據(jù)的健康發(fā)展提供了強有力的制度保障，尤其是2018年7月國務院印發(fā)的《關于加快推進全國一體化在線政務服務平臺建設的指導意見》明確了政務數(shù)據(jù)開放共享的目標，提出打通信息孤島，讓數(shù)據(jù)互聯(lián)互通。隨著電子政務的蓬勃發(fā)展，大數(shù)據(jù)應用不斷深入，已經(jīng)在智慧城市、應急管理等項目中發(fā)揮了巨大作用。但是伴隨著政府大數(shù)據(jù)開放共享的推進，也出現(xiàn)許多問題，阻礙了政府大數(shù)據(jù)的進一步應用。

1.1 “信息孤島”難以打通

當前，我國各級政府信息化建設依然存在各自為政、重復建設的問題。為了所謂“數(shù)據(jù)話語權”，有些政府部門將公共數(shù)據(jù)進行部門化、專屬化和利益化，不愿意向社會開放數(shù)據(jù)，導致“信息孤島”現(xiàn)象嚴重。

1.2 數(shù)據(jù)安全難以保障

近年來數(shù)據(jù)安全事件頻發(fā)，給國家和個人都造成了巨大的經(jīng)濟損失和精神傷害。很多政府部門和企業(yè)在數(shù)據(jù)開放問題上憂心忡忡，擔心在數(shù)據(jù)的采集、存儲、交換、處理及銷毀等過程中存在重大安全隱患，由此造成數(shù)據(jù)泄露或者安全威脅，這種擔憂心理也阻礙了數(shù)據(jù)的開放共享。

1.3 數(shù)據(jù)質量難以保證

政府數(shù)據(jù)的多源性和異構性使得統(tǒng)一轉化非常困難，無法實現(xiàn)統(tǒng)一比對，直接影響了政府數(shù)據(jù)的真實性、準確性和權威性。因此，有些部門為了不影響其公信力，寧可不開放共享。

1.4 制度保障有待加強

2007年頒發(fā)的《政府信息公開條例》雖然對政府大數(shù)據(jù)的開放起到了積極的推動作用，但沒有對開放數(shù)據(jù)的類別、技術標準和數(shù)據(jù)口徑等進行清晰規(guī)范，開放邊界的劃分模糊。2015年頒發(fā)的《關于促進大數(shù)據(jù)發(fā)展的行動綱要》明確了政府數(shù)據(jù)開放的具體任務和總體要求，但是沒有細化約束條例，各地政府數(shù)據(jù)開放進展依舊緩慢。

2 合理構建政府大數(shù)據(jù)開放共享框架

政府大數(shù)據(jù)開放共享的主要過程是政府所擁有的大數(shù)據(jù)通過開放平臺為數(shù)據(jù)使用單位提供開源數(shù)據(jù)檢索、下載和調用等服務，開放過程嚴格遵循開放共享原則（即持續(xù)性、協(xié)調性、互利性、透明性、安全性等），并從安全技術層面做好數(shù)據(jù)安全防護，構建框架如圖1所示。

圖1 政府大數(shù)據(jù)開放共享框架

2.1 數(shù)據(jù)提供方

主要是指生產(chǎn)或收集數(shù)據(jù)、并能提供數(shù)據(jù)共享接口的政府部門和企業(yè)。在開放共享之前，政府數(shù)據(jù)必須經(jīng)過數(shù)據(jù)治理，達到以下效果：一是提高數(shù)據(jù)質量，保證其完整性、準確性、唯一性和安全性等；二是合規(guī)合法地擁有所有資源的知識產(chǎn)權；三是敏感大數(shù)據(jù)必須經(jīng)過脫敏處理，保證開放共享后不會對個人隱私和國家安全造成重大泄密。

2.2 數(shù)據(jù)使用方

主要是指遵循開放共享原則獲取數(shù)據(jù)并進行應用的政府部門及企業(yè)。數(shù)據(jù)應用者在共享和使用政府數(shù)據(jù)的過程中，必須做到：一是遵守國家相關法律法規(guī)；二是獲得數(shù)據(jù)使用的合法授權，只能在授權范圍內獲取和使用政府數(shù)據(jù)；三是保證數(shù)據(jù)傳輸、存儲、調用的安全性，確保共享數(shù)據(jù)不丟失不泄漏不被惡意篡改。

2.3 平臺管理方

主要是指在數(shù)據(jù)開放共享過程中為數(shù)據(jù)供需雙方提供多種平臺服務的政府部門及企業(yè)。主要任務是對政府數(shù)據(jù)進行有效管理，確保政府數(shù)據(jù)傳輸和使用的安全性，其包括：對開放共享的數(shù)據(jù)進行全周期的清洗、審核、分類和存儲等；完成記錄數(shù)據(jù)開放活動軌跡；建立相關平臺數(shù)據(jù)安全使用制度；采取數(shù)據(jù)安全保護和監(jiān)測等措施。

2.4 服務提供方

主要是指為政府數(shù)據(jù)供需雙方和平臺管理方提供第三方技術支撐服務的專業(yè)機構或企業(yè)。在數(shù)據(jù)開放共享框架中主要是為政府數(shù)據(jù)提供者和使用方提供數(shù)據(jù)安全保障、數(shù)據(jù)測評、數(shù)據(jù)脫敏、數(shù)據(jù)整合、數(shù)據(jù)分析處理和統(tǒng)一數(shù)據(jù)交換接口等方面的技術和安全服務。服務提供方必須與被服務對象簽訂合同或協(xié)議，其內容包括：建立專業(yè)團隊、建章立制、安全培訓、提升團隊專業(yè)能力等，同時確保數(shù)據(jù)使用中的數(shù)據(jù)安全性。

2.5 指導監(jiān)管方

主要是指依照國家法律法規(guī)和相關政策對政府大數(shù)據(jù)開放共享進行合法合規(guī)的指導、協(xié)調、仲裁和安全監(jiān)管的政府部門。其主要職責是依照國家法律法規(guī)、政策標準建立監(jiān)管和協(xié)調機制，在各方主體發(fā)生異議時進行調解或仲裁，出現(xiàn)違法或違規(guī)行為時進行調查并形成處置結果。

3 大數(shù)據(jù)的安全保障

為保證數(shù)據(jù)開放共享過程中的安全性、完整性、保密性和有效性，必須統(tǒng)籌協(xié)調政策法律、安全管理制度、標準體系等，提供可靠的安全技術支撐。

3.1 健全法律法規(guī)

除了國家層面提供強有力的法律法規(guī)保障外，地方政府也應出臺因地適宜的法規(guī)。2017年貴陽首次出臺了地方性的政府數(shù)據(jù)開放法規(guī)，對各地的政府數(shù)據(jù)開放共享起到了很好的示范作用。同時數(shù)據(jù)提供方、數(shù)據(jù)應用方和平臺管理層面還應建立相應的數(shù)據(jù)安全管理制度，以確保數(shù)據(jù)流轉過程的安全。比如數(shù)據(jù)注冊制度、數(shù)據(jù)授權制度、數(shù)據(jù)使用制度和數(shù)據(jù)保密制度等。

3.2 建立數(shù)據(jù)安全標準

為保障數(shù)據(jù)開放共享的安全性，我們需制定一系列數(shù)據(jù)安全標準，按類別主要分為基礎類標準和安全類標準?；A類標準：為其他類別標準提供基礎安全標準支撐，主要定義數(shù)據(jù)流轉過程中出現(xiàn)的諸多安全角色及其活動和功能，比如對安全角色、安全模型、安全框架等基礎概念的定義。數(shù)據(jù)安全類標準：它貫穿于數(shù)據(jù)流轉的全生命周期，是管理和保護重要或敏感數(shù)據(jù)的重要指導依據(jù)，包括數(shù)據(jù)的分類分級、去個性化和安全評估等內容的安全保護技術標準，尤其要制定和完善個人隱私的安全標準。

3.3 安全保障技術

從安全技術層面做好政府大數(shù)據(jù)開放共享的安全防護，需實施的安全技術包括：安全監(jiān)測、數(shù)據(jù)脫敏、訪問控制、追根溯源等，其最終目的是保證開放數(shù)據(jù)的安全性，可管理性和可追溯性。

3.3.1 安全檢測

鑒于政府大數(shù)據(jù)集中化程度高、數(shù)據(jù)量級龐大，在跨平臺的數(shù)據(jù)開放共享過程中，數(shù)據(jù)和服務平臺極易受到網(wǎng)絡黑客的攻擊，尤其是有些APT攻擊的潛伏期很長。因此，要針對異構大數(shù)據(jù)的融合、存儲和運維采取有針對性的安全技術，實時監(jiān)測網(wǎng)絡流量、安全日志和系統(tǒng)配置等，分析、預測、評估當前網(wǎng)絡數(shù)據(jù)安全狀況，對威脅事件和安全隱患進行事前預警和防御處置，提高大數(shù)據(jù)整體安全風險的感知和處置能力。

3.3.2 數(shù)據(jù)脫敏

政府大數(shù)據(jù)中存在很多敏感信息，比如個人隱私、資產(chǎn)數(shù)據(jù)等。對于這些敏感數(shù)據(jù)，在大數(shù)據(jù)開放共享之前需要進行脫敏處理。首先要建立脫敏的方法和標準，其依據(jù)是國家相關法律法規(guī)、數(shù)據(jù)分類分級標準和數(shù)據(jù)開放共享的安全級別，然后根據(jù)不同應用場景進行脫敏處理。

3.3.3 訪問策略

防止數(shù)據(jù)被非法訪問的關鍵是建立有效的統(tǒng)一認證系統(tǒng)和完善合理的訪問策略。所有用戶都必須通過統(tǒng)一賬號、單點登錄進入應用平臺，保證用戶通過唯一入口合法訪問共享數(shù)據(jù)資源。對用戶的訪問權限等級進行設置，用戶依據(jù)訪問策略實現(xiàn)分級訪問數(shù)據(jù)資源，并記錄用戶訪問情況，為數(shù)據(jù)的事后追根溯源提供基礎數(shù)據(jù)。

3.3.4 追根溯源

數(shù)據(jù)溯源是在結果發(fā)生后對歷史痕跡進行分析、溯源。例如發(fā)生網(wǎng)絡安全攻擊后，可以對網(wǎng)絡流量、日志和警告信息等進行追溯綜合分析，確定攻擊行為類型，也可以通過關聯(lián)的IP地址等信息追溯到實施者所在地，進而追溯到實施者所在的單位、具體的操作人。在數(shù)據(jù)共享開放的全生命周期中對數(shù)據(jù)的流轉過程要加強監(jiān)控、記錄，全程透明可見。為提升對安全事故的追責能力，所有的留痕記錄必須具備唯一性并不可修改。

4 結束語

隨著大數(shù)據(jù)時代的到來，數(shù)據(jù)應用廣泛深入，我國政府已充分認識到開放政府數(shù)據(jù)的戰(zhàn)略意義。毫無疑問，政府數(shù)據(jù)只有被充分開放、共享，讓政府之外的主體也成為數(shù)據(jù)享用者，政府大數(shù)據(jù)才能發(fā)揮其最大價值，才能對政府的決策機制和企業(yè)的經(jīng)營方針產(chǎn)生深刻的影響。但是政府數(shù)據(jù)開放并不意味著所有數(shù)據(jù)都可以向社會開放共享，尤其是對于涉及國家安全、商業(yè)秘密、個人隱私等敏感或機密數(shù)據(jù)必須做到安全、有效、可靠的管理。因此，除了研究如何安全地開放共享這些寶貴的大數(shù)據(jù)，如何劃分共享邊界等主題，政府各部門還要制定加強數(shù)據(jù)開放的政策法規(guī)，以保障國家安全和社會穩(wěn)定?！?/p>