政務(wù)大數(shù)據(jù)安全防護(hù)能力建設(shè)基于技術(shù)和管理視角的探討
所屬分類:教育論文 閱讀次 時間:2022-04-07 10:31 本文摘要:摘 要 政務(wù)大數(shù)據(jù)是新時期數(shù)字政府建設(shè)的核心資產(chǎn),對推動政府功能服務(wù)升級和經(jīng)濟(jì)、社會創(chuàng)新發(fā)展具有重要意義�。但在復(fù)雜的網(wǎng)絡(luò)流通環(huán)境下,為了保障政務(wù)大數(shù)據(jù)的合理�����、有序和可靠利用���,其數(shù)據(jù)安全防護(hù)能力建設(shè)不容忽視�����。在技術(shù)層面��,政務(wù)大數(shù)據(jù)安全防護(hù)涉及網(wǎng)絡(luò)安全(Ne
摘 要 政務(wù)大數(shù)據(jù)是新時期數(shù)字政府建設(shè)的核心資產(chǎn)����,對推動政府功能服務(wù)升級和經(jīng)濟(jì)、社會創(chuàng)新發(fā)展具有重要意義�。但在復(fù)雜的網(wǎng)絡(luò)流通環(huán)境下,為了保障政務(wù)大數(shù)據(jù)的合理�����、有序和可靠利用��,其數(shù)據(jù)安全防護(hù)能力建設(shè)不容忽視��。在技術(shù)層面�����,政務(wù)大數(shù)據(jù)安全防護(hù)涉及網(wǎng)絡(luò)安全(NetworkSecurity)�、平臺安全(PlatformSecurity)和應(yīng)用安全(ApplicationSecurity)等核心要素;在管理層面,政務(wù)大數(shù)據(jù)安全防護(hù)則需要重點(diǎn)關(guān)注人員素養(yǎng)(PersonnelQuality)和制度質(zhì)量(InstitutionalQuality)這兩方面的內(nèi)容�。在理論探討的基礎(chǔ)上,給出了具體的技術(shù)和管理能力指標(biāo)�,并進(jìn)一步對省級機(jī)關(guān)單位 A 的建設(shè)實(shí)踐進(jìn)行了分析����。
關(guān)鍵詞:政務(wù)大數(shù)據(jù);數(shù)據(jù)安全防護(hù);能力建設(shè);技術(shù)應(yīng)用;管理制度
1 引言
隨著現(xiàn)代信息技術(shù)的發(fā)展�����,政府的功能��、形態(tài)和運(yùn)行方式正在發(fā)生著巨大變化���。十八屆三中全會首次提出“國家治理體系和治理能力現(xiàn)代化”的建設(shè)理念,而在十九大報告中��,我黨進(jìn)一步明確指出“強(qiáng)化電子政務(wù)基礎(chǔ)創(chuàng)新�,支撐數(shù)字中國建設(shè)”的發(fā)展方向。在政府機(jī)構(gòu)內(nèi)部����,依托云計(jì)算平臺,通過各級政務(wù)數(shù)據(jù)中心建設(shè)�,不同單位和部門得以有效整合與協(xié)同,實(shí)現(xiàn)了“一網(wǎng)統(tǒng)管”“一網(wǎng)通辦”等一體化數(shù)字管理與服務(wù);面向社會公眾���,政府 部 門 則 根 據(jù) 《促 進(jìn) 大 數(shù) 據(jù) 發(fā) 展 行 動 綱 要》積極推動政務(wù)數(shù)據(jù)開放與共享�����,通過各種形式的互聯(lián)網(wǎng)平臺建設(shè)��,助力社會多元共治與公共服務(wù)的改革�、創(chuàng)新。
從業(yè)務(wù)處理����、問題分析到應(yīng)用服務(wù),政務(wù)大數(shù)據(jù)是新時期數(shù)字政府建設(shè)的核心資產(chǎn)�����,其數(shù)據(jù)安全問題也日益成為影響我國經(jīng)濟(jì)��、社會發(fā)展����,甚至是國家安全的重要因素。在實(shí)際工作中���,大數(shù)據(jù)需要持續(xù)流動和更新�����。只有通過數(shù)據(jù)的流通和使用����,其功能價值才能被不斷挖掘和實(shí)現(xiàn)[1]。
大數(shù)據(jù)論文:基于大數(shù)據(jù)分析的新能源汽車行業(yè)發(fā)展研究
然而��,復(fù)雜的網(wǎng)絡(luò)流通環(huán)境也使得政務(wù)大數(shù)據(jù)的完整性��、保密性��、可用性和可控性都面臨嚴(yán)峻挑戰(zhàn)�。不僅數(shù)據(jù)泄露、越權(quán)訪問��、數(shù)據(jù)篡改�����、數(shù)據(jù)丟失���、侵犯用戶隱私等信息安全問題頻發(fā),而且其數(shù)據(jù)安 全 防 護(hù) 的 復(fù) 雜 性 和 難 度 也 大 大 高 于 傳 統(tǒng) 的 信 息 安 全 管理過程��。長期以來�����,面對網(wǎng)絡(luò)和信息安全問題,我們習(xí)慣于從技術(shù)層面尋求應(yīng)對策略和解決方案����,包括:加密存儲與傳輸、訪問驗(yàn)證與控制���、系統(tǒng)漏洞掃描和網(wǎng)絡(luò)攻擊追溯等�。通過各種技術(shù)手段和方法���,努力將核心數(shù)據(jù)和敏感信息保留在一個可控的有限范圍內(nèi)��。但是�,隨著數(shù)字化時代的來臨�����,我們正面臨一個全新的議題���,即數(shù)據(jù)的內(nèi)容開放與信息保護(hù)同等重要���。此時�����,大數(shù)據(jù)安全防護(hù)不僅是一個技術(shù)問題��,它更涉及管理層面的制度建設(shè)與行為約束�。
2017年����,習(xí)近平同志在參加中共中央政治局集體學(xué)習(xí)時曾指出:“要切實(shí)保障國家數(shù)據(jù)安全,要加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)�����,強(qiáng)化國家關(guān)鍵數(shù)據(jù)資源保護(hù)能力����,增強(qiáng)數(shù)據(jù)安全預(yù)警和溯源能力”;2020年12月����,全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會和工信部先后發(fā)布了《信息安全技術(shù) 政務(wù)信息共享數(shù)據(jù)安全技術(shù)要求》和《電信和互聯(lián)網(wǎng)行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)體系建設(shè)指南》;而2021年6月10日,第十三屆全國人民代表大會常務(wù)委員會第二十九次會議審議通過了《中華人民共和國數(shù)據(jù)安全法》���。
為了保障政務(wù)大數(shù)據(jù)的合理���、有序和可靠利用����,相關(guān)法律�、法規(guī)和管理制度得到不斷完善。從技術(shù)到管理���,我國日益重視政務(wù)大數(shù)據(jù)的安全防護(hù)能力建設(shè)���。但相比宏觀層面的努力,在實(shí)際工作中�,各級政府部門的理論認(rèn)知和實(shí)踐應(yīng)用都還存在諸多不足:一方面,政務(wù)大數(shù)據(jù)安全防護(hù)的技術(shù)和管理能力提升缺少明確的指標(biāo)參考;另一方面�,政府機(jī)關(guān)單位的軟、硬件環(huán)境改善缺乏有效的經(jīng)驗(yàn)借鑒和案例指導(dǎo)�����。
2 相關(guān)理論研究
總體而言��,大數(shù)據(jù)安全指大數(shù)據(jù)全生命周期的信息安全���,即在數(shù)據(jù)采集���、流動����、存儲��、應(yīng)用和銷毀過程中�,保證數(shù)據(jù)不被竊取、不被泄露�,保持?jǐn)?shù)據(jù)真實(shí)性及質(zhì)量的能力和狀態(tài)。全球最權(quán)威的IT研究與顧問咨詢公司 Gartner曾指出:大數(shù)據(jù)和云存儲環(huán) 境 正 在 改 變 數(shù) 據(jù) 的 存 儲����、訪 問 和 處 理 方 式,未 來80%的大型組織將面臨大數(shù)據(jù)的重大安全問題�����,信息安全管理則必須采用以數(shù)據(jù)為中心的全新方法[2]����。
2.1 大數(shù)據(jù)安全技術(shù)
在技術(shù)層面�,西方發(fā)達(dá)國家一直以來都十分重視對大數(shù)據(jù)安全的理論和實(shí)踐研究����。其中����,考慮到大數(shù)據(jù)應(yīng)用的生命周期特點(diǎn),Mehmood等將大數(shù)據(jù)安全防護(hù)過程劃分為生成�����、存儲和處理3個不同階段���,通過訪問控制��、數(shù)據(jù)偽造等手段防止數(shù)據(jù)的非授權(quán)采集和隱私泄露�,采用數(shù)據(jù)加密和完整性驗(yàn)證方法保證大數(shù)據(jù)的存儲安全����,并憑借隱私保護(hù)數(shù)據(jù)發(fā)布和隱私保護(hù)數(shù)據(jù)挖掘來實(shí)現(xiàn)大數(shù)據(jù)的處理安全[3]。
為了保障網(wǎng)絡(luò)環(huán)境下的數(shù)據(jù)安全����,Cardenas等采用對抗式機(jī)器學(xué)習(xí)以及穩(wěn)健 統(tǒng) 計(jì) 等 方 式 來 減 輕 惡 意 插 入 數(shù) 據(jù) 的 不 良 影 響[4];Erdmann則認(rèn)為在數(shù)據(jù)處理時應(yīng)當(dāng)通過聚合算法將典型數(shù)據(jù)轉(zhuǎn)換為非典型數(shù)據(jù),以降低用戶被識別出來的風(fēng)險[5]�。相比國外�����,國內(nèi)在大數(shù)據(jù)安全技術(shù)領(lǐng)域的研究起步較晚���,無論是從研究規(guī)模還是層次上,都與西方發(fā)達(dá)國家有一定差距����。但隨著相 關(guān) 產(chǎn) 業(yè) 和 應(yīng) 用 的 快 速 發(fā) 展,大 數(shù) 據(jù) 安 全 防 護(hù)問 題也開始得到技術(shù)領(lǐng)域越來越多的關(guān)注�。
Wang等認(rèn)為目前的安全防護(hù)技術(shù)難以滿足大數(shù)據(jù)時代的信息安全需求,在對現(xiàn)有技術(shù)進(jìn)行系統(tǒng)化梳理的基礎(chǔ)上����,指出了大數(shù)據(jù)安全技術(shù)進(jìn)一步發(fā)展的突破口[6];Chen等從大數(shù)據(jù)生命周期安全和大數(shù)據(jù)平臺安全兩個角度分析了目前大數(shù)據(jù)發(fā)展面臨的安全問題,并提出大數(shù)據(jù)安全在標(biāo)準(zhǔn)缺口�����、關(guān)鍵技術(shù)難點(diǎn)和大數(shù)據(jù)安全分析3個方面的現(xiàn)實(shí)問題[7];Wei等從數(shù)據(jù)加密角度��,對大數(shù)據(jù)的密碼使用�����、完整性校驗(yàn)、訪問控制���、密文數(shù)據(jù)去重與可信刪除、密文搜索等內(nèi)容進(jìn)行了深度分析[8];而 Tian等則致力于可信固態(tài)硬盤(TrustedSSD)的設(shè)計(jì)�����、開發(fā)���,嘗試在硬件層面保障大數(shù)據(jù)的存儲安全[9]�。
2.2 大數(shù)據(jù)安全管理
自1999年開始��,由于金融���、電信等行業(yè)的信息安全問題頻發(fā)����,僅依靠當(dāng)時的信息安全產(chǎn)品和技術(shù)手段已無法有效應(yīng)對可能出現(xiàn)的各種風(fēng)險����,進(jìn)而提出了“三分技術(shù),七分管理”的口號����,旨在通過對管理手段的強(qiáng)化��,來解決越來越多的信息安全問題���。此后,眾多專家����、學(xué)者一致同意并倡導(dǎo)在使用技術(shù)的同時重視信息的安全管理。
以世界信息安全標(biāo)準(zhǔn)ISO27001[10]為例��,其全部14個控制區(qū)域中�,只有3個區(qū)域是純粹的技術(shù)要求,其他11個區(qū)域都需要采取信息安全管理手段來實(shí)現(xiàn)�。而在大數(shù)據(jù)安全管理方面,美國學(xué)者 Tankard認(rèn)為集中存儲���、管理的大數(shù)據(jù)不應(yīng)僅僅圍繞數(shù)據(jù)應(yīng)用建立安全防護(hù)體系����,其管理工作需要更多地關(guān)注數(shù)據(jù)本身的特征[11]��。此后,Kshetri通過分析����、調(diào)研,將隱私�、安全和收益等目標(biāo)要素與數(shù)據(jù)的收集、存儲�����、共享和可訪問性問題聯(lián)系起來����,明確指出大數(shù)據(jù)的存儲和管理風(fēng)險會隨著數(shù)據(jù)體量大小�、多樣性和復(fù)雜度的提升而有所增加[12]。
近年來�,從大數(shù)據(jù)的實(shí)際應(yīng)用發(fā)展?fàn)顩r出發(fā),我國相關(guān)領(lǐng)域的學(xué)者針對大數(shù)據(jù)安全管理問題開展了一系列研究探索����。其中,大數(shù)據(jù)安全管理的政策法規(guī)是研究的重點(diǎn)內(nèi)容之一����,例如:Feng等從大數(shù)據(jù)的隱私保護(hù)、信任和訪問控制等多個不同角度出發(fā),指出只有將技術(shù)手段與相關(guān)政策法規(guī)結(jié)合���,才能更好地解決大數(shù)據(jù)安全保護(hù)問題[13];Tian認(rèn)為大數(shù)據(jù)涉及公共利益�,需要通過立法手段來防范安全漏洞[14];Han則認(rèn)為數(shù)據(jù)安全立法應(yīng)兼顧安全和自由����,實(shí)現(xiàn)多元共治是其最終目標(biāo)[15]。
此外�,也有大量研究針對大數(shù)據(jù)安全防護(hù)的工作要點(diǎn)進(jìn)行討論,例如:Hu等在分析����、整理多個行業(yè)大數(shù)據(jù)安全管理需求的基礎(chǔ)上,指出大數(shù)據(jù)安全問題涉及移動數(shù)據(jù)安全�����、易攻擊目標(biāo)��、用戶隱私保護(hù)��、數(shù)據(jù)安全存儲��、數(shù)據(jù)安全進(jìn)化和信任安全等多個維度�����,且針對不同問題需要采取不同的安全保障策略[16];Huang等認(rèn)為,降低或回避大數(shù)據(jù)的信息安全風(fēng)險需要從組織所處的內(nèi)�����、外部環(huán)境出發(fā)�����,在基礎(chǔ)設(shè)施��、數(shù)據(jù)分析��、數(shù)據(jù)管理�����、技術(shù)漏洞以及數(shù)據(jù)自身可信度���、現(xiàn)有法律法規(guī)、行業(yè)內(nèi)自律性����、個人隱私意識、黑客攻擊9個層面采取應(yīng)對策略[17]。
與此同時����,也有研究從國家 甚 至 全 球 治 理 的 角 度 出發(fā),對大數(shù)據(jù)的安全防護(hù)工作進(jìn)行宏觀探討:Xu在分析大數(shù)據(jù)積累所產(chǎn)生的世界性影響的基礎(chǔ)上�����,指出在大數(shù)據(jù)時代中國所面臨的安全管理能力����、存儲及處理能力、應(yīng)用能力以及人才培養(yǎng)能力等多方面的挑戰(zhàn)�����,并提出了相應(yīng)的對策和建議[18];Liu等則 認(rèn) 為 傳 統(tǒng) 的 安 全 防 護(hù) 手 段 已 經(jīng) 難 以 滿 足 大 數(shù) 據(jù)安全管理的現(xiàn)實(shí)需求���,國家應(yīng)該進(jìn)一步完善相關(guān)安全標(biāo)準(zhǔn)�、法律法規(guī)和監(jiān)管體系[19]�����。
2.3 政務(wù)大數(shù)據(jù)安全與傳統(tǒng)的信息安全相比�,大數(shù)據(jù)安全更加注重數(shù)據(jù)應(yīng)用的安全性��,即:在不暴露用戶敏感信息的前提下���,對數(shù)據(jù)價值進(jìn)行充分挖掘和有效利用。特別是對于政務(wù)大數(shù)據(jù)而言����,其公共屬性決定了數(shù)據(jù)的安全防護(hù)工作需要在信息共享與隱私保護(hù)之間尋求一個最佳平衡點(diǎn),既確保個人�、企業(yè)隱私和政府秘密不被 泄 露,又 能 通 過 數(shù) 據(jù) 的 開 發(fā)���、開 放 促 進(jìn) 社 會 經(jīng) 濟(jì)發(fā)展�����。正如 Meng等所述,如果僅僅為了保護(hù)隱私就將所有的數(shù)據(jù)加以隱藏��,那么數(shù)據(jù)的價值根本無從體現(xiàn)[20]���。在數(shù)字時代���,政務(wù)大數(shù)據(jù)不僅是政府部門提升管理決策質(zhì)量���、優(yōu)化公共服務(wù)供給的重要依據(jù),也是政府����、企業(yè)、民眾多主體互動��、協(xié)作的基礎(chǔ)[21]���。
針對數(shù)據(jù)開放與數(shù)據(jù)安全間的平衡關(guān)系���,Zhang等認(rèn)為個人隱私保護(hù)與政府?dāng)?shù)據(jù)利用之間相互制衡、彼此促進(jìn)����,在對中美兩國政策法規(guī)進(jìn)行對比、分析的基礎(chǔ)上�,提出了具體的應(yīng)用發(fā)展建議[22];Cai等則從多個方面分析了美國政府?dāng)?shù)據(jù)開放的政策、法規(guī)和機(jī)構(gòu)設(shè)置���,為我國政務(wù)數(shù)據(jù)開放和安全防護(hù)提供了重要啟示[23]�����。
而在應(yīng)用平臺建設(shè)方面�,Yu認(rèn)為我國政府的數(shù)據(jù)管理部門應(yīng)加強(qiáng)大數(shù)據(jù)安全意識的培養(yǎng)����,強(qiáng)化自主研發(fā)和部門間合作�����,構(gòu)建政務(wù)大數(shù)據(jù)資源開放平臺���,并通過政務(wù)大數(shù)據(jù)管理促進(jìn)國家治理的現(xiàn)代化發(fā)展[24]。Du通過對美�、英、澳政府?dāng)?shù)據(jù)開放平臺的隱私政策進(jìn)行梳理和分析,建立了較為系統(tǒng)的評價指標(biāo)體系���,并在此基礎(chǔ)上對我國政務(wù)數(shù)據(jù)開放平臺的隱私保護(hù)現(xiàn)狀進(jìn)行評價�����,認(rèn)為其數(shù)據(jù)安全防護(hù)能力整體較差,用戶隱私面臨嚴(yán)峻挑戰(zhàn)[25]。
3 技術(shù)視角下的政務(wù)
大數(shù)據(jù)安全防護(hù)政務(wù)大數(shù)據(jù)的安全防護(hù)離不開技術(shù)層面的能力建設(shè)。由于政府部門間的大數(shù)據(jù)應(yīng)用通���;谠朴(jì)算平臺,采用分布式存儲、管理方式�,且涉及多用戶間的共用���、共享和功能交互,因此其安全防護(hù)技術(shù)包含網(wǎng)絡(luò)通訊�、加密傳輸、身份驗(yàn)證���、智能合約等多方面的內(nèi)容����。雖然保障大數(shù)據(jù)安全的技術(shù)手段多樣,但現(xiàn)有的法律��、法規(guī)和技術(shù)標(biāo)準(zhǔn)為政務(wù)大數(shù)據(jù)安全防護(hù)搭建了總體框架����,明確了其基本工作思路和要求��。
3.1 現(xiàn)有法律�、法規(guī)及技術(shù)標(biāo)準(zhǔn)
目前�����,我國涉及網(wǎng)絡(luò)信息安全的法律法規(guī)主要包括《中華人民共和國網(wǎng)絡(luò)安全法》(以下簡稱《網(wǎng)絡(luò)安全法》)����、《網(wǎng)絡(luò)安全等級保護(hù)條例》《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》《中華人民共和國計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》《計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法》和《互聯(lián)網(wǎng)信息服務(wù)管理辦法》�。
其中����,《網(wǎng)絡(luò)安全法》是我國為網(wǎng)絡(luò)空間管轄頒布的第一部法律。該法律雖然以“網(wǎng)絡(luò)安全”命名�����,但數(shù)據(jù)安全是其重要組成部分����。該法律不僅強(qiáng)調(diào)“關(guān)鍵信息基礎(chǔ)設(shè)施”的保護(hù)工作�����,也明確提出了采取“數(shù)據(jù)分類�、重要數(shù)據(jù)備份和加密等措施”來維護(hù)網(wǎng)絡(luò)數(shù)據(jù)完整性����、保密性和可用性的相關(guān)技術(shù)要求[26]。與此同時����,由公安部牽頭組織印發(fā)的《信息安全等級保護(hù)管理辦法》,特 別 是 2019 年 出 臺 的 “等 保 2.0”相 關(guān) 國 家 標(biāo)準(zhǔn)[27]�,更將信息安全防護(hù)技術(shù)要求細(xì)分為具體的應(yīng)用類別����。在大數(shù)據(jù)安全防護(hù)方面�����,其根據(jù)應(yīng)用場景的不同給出相對應(yīng)的系統(tǒng)概念和模型,并明確了可供參考的安全控制措施����。
目前�,“等保2.0”中針對大數(shù)據(jù)的測評指標(biāo)是政府部門大數(shù)據(jù)安全自查時應(yīng)當(dāng)遵循的最新標(biāo)準(zhǔn)�。在技術(shù)要求分類上,“等保2.0”采用的是傳統(tǒng)的自底向上的標(biāo)準(zhǔn)體系�,涉及物理環(huán)境、通信網(wǎng)絡(luò)和計(jì)算環(huán)境3個層面����。在具體要求方面,安全物理環(huán)境僅要求機(jī)房位于中國境內(nèi);安全通信網(wǎng)絡(luò)提出了對大數(shù)據(jù)平臺承載應(yīng)用及流量分離的要求;安全計(jì)算環(huán)境則提出了大量針對大數(shù)據(jù)平臺以及數(shù)據(jù)處理流程中的詳細(xì)技術(shù)要求���,具體包含身份鑒別����、資源存儲管理����、工具組件管理、數(shù)據(jù)訪問控制�、數(shù)據(jù)全生命周期管理、數(shù)據(jù)應(yīng)用審計(jì)等技術(shù)要求�����。
3.2 政務(wù)大數(shù)據(jù)安全防護(hù)技術(shù)要點(diǎn)
政府機(jī)關(guān)單位的網(wǎng)絡(luò)和應(yīng)用系統(tǒng)由行業(yè)主管部門和地方網(wǎng)信辦指導(dǎo)建設(shè)�����,一般都符合“等保 2.0”的物理環(huán)境要求。因此���,政務(wù)大數(shù)據(jù)安全防護(hù)的技術(shù)要點(diǎn)主要集中于通信網(wǎng)絡(luò)和計(jì)算環(huán)境方面���。其相關(guān)內(nèi)容涉及網(wǎng)絡(luò)安全技術(shù)、平臺安全技術(shù)和應(yīng)用安全技術(shù)等�����。政務(wù)大數(shù)據(jù)的網(wǎng)絡(luò)安全技術(shù)既包含以防火墻和入侵檢測為代表的傳統(tǒng)信息安全技術(shù)��,又包括近年來逐漸興起和推廣的網(wǎng)絡(luò)安全態(tài)勢感知[28]�����、APT(AdvancedPersistentThreat)攻擊防護(hù)[29]和網(wǎng)絡(luò)回溯分析[30]等現(xiàn)代網(wǎng)絡(luò)安全防護(hù)技術(shù)�。
從純粹的軟件功能實(shí)現(xiàn)到軟�����、硬件一體化應(yīng)用�,這些技術(shù)手段正在被越來越多地固化為特定的網(wǎng)絡(luò)安全產(chǎn)品�����,而相應(yīng)設(shè)備的綜合防 護(hù) 與 日 志 分 析 能 力 則 成 為 網(wǎng) 絡(luò) 安 全 技 術(shù) 關(guān) 注 的焦點(diǎn)���。政務(wù)大數(shù)據(jù)的平臺安全技術(shù)致力于解決分布式、多用戶平臺所帶來的各種潛在的數(shù)據(jù)安全問題��,以確保不同功能服務(wù)在動態(tài)�、隨機(jī)、復(fù)雜和開放環(huán)境下的有效性[31]�����。
其中�,用戶資源的高效、安全共享以及個性化�����、多層次安全防護(hù)體系的構(gòu)建是平臺安全的核心內(nèi)容��。為了實(shí)現(xiàn)該目標(biāo)���,相關(guān)系統(tǒng)需要基于虛擬化層次結(jié)構(gòu)對底層故障進(jìn)行有效屏蔽[32]���,基于用戶間的信任關(guān)系對網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行邏輯劃分與隔離[33]����,并通過自動化程序?qū)ζ脚_資源進(jìn)行可靠管控[34]�����。政務(wù)大數(shù)據(jù)的應(yīng)用安全技術(shù)強(qiáng)調(diào)數(shù)據(jù)應(yīng)用框架的整體可靠性����。面對網(wǎng)絡(luò)計(jì)算過程中錯綜復(fù)雜的功能操作,它通過對數(shù)據(jù)管理系統(tǒng)的漏洞和缺陷進(jìn)行修復(fù)���、完善�����,使得惡意訪問和非法信息獲取的難度大大增加��,進(jìn)而提高應(yīng)用抵御外部攻擊和信息泄露的能力。為了保證相應(yīng)安全防護(hù)功能的實(shí)現(xiàn)����,其需要解決的技術(shù)問題包括數(shù)據(jù)組件的身份認(rèn)證���、數(shù)據(jù)訪問的邊界保護(hù)、數(shù)據(jù)內(nèi)容的協(xié)調(diào)管理和數(shù)據(jù)操作的動態(tài)審計(jì)等[7]����。
3.3 政務(wù)大數(shù)據(jù)安全防護(hù)技術(shù)指標(biāo)
根據(jù)相關(guān)技術(shù)要點(diǎn),政務(wù)大數(shù)據(jù)安全防護(hù)能力在宏觀層面包含網(wǎng)絡(luò)安全��、平臺安全和應(yīng)用安全3個核心要素;而在微觀層面����,各核心要素背后又分別涉及多項(xiàng)具體的能力指標(biāo)內(nèi)容。
(1)網(wǎng)絡(luò)設(shè)備防護(hù)(NetworkEquipmentProtection)指標(biāo)關(guān)注于設(shè)備的功能完備性�,主要考查設(shè)備運(yùn)轉(zhuǎn)是否正常、是否定期維護(hù)巡檢��、是否能夠維持特征庫的最新版本��,以及其配置是否符合國家法律�����、法規(guī)的相關(guān)要求���。
(2)網(wǎng)絡(luò)日志分析(NetworkLogfileAnalysis)指標(biāo)關(guān)注于設(shè)備的日志存儲與分析能力��,主要考查設(shè)備安全防護(hù)日志的保存時長�,以及能否在日志分析的基礎(chǔ)上對可能存在的各種安全威脅進(jìn)行有效防御。
(3)平臺故障屏蔽(PlatformFaultShielding)指標(biāo)關(guān)注于系統(tǒng)的底層穩(wěn)健性�,主要考查相關(guān)云計(jì)算平臺的虛擬化功能和故障時期的資源調(diào)配能力,以及是否擁有足夠資源以滿足數(shù)據(jù)容災(zāi)和虛擬機(jī)漂移等技術(shù)應(yīng)用需要���。
(4)平臺流量劃分(Platform DataflowDivision)指標(biāo)關(guān)注于系統(tǒng)的安全域分割與隔離能力�,主要考 查 SDN(SoftwareDefinedNetwork)網(wǎng)絡(luò)技術(shù)的使用情況�,以及不同實(shí)現(xiàn)方式下數(shù)據(jù)流分離技術(shù)的實(shí)際應(yīng)用水平。
(5)平臺資源管控(Platform ResourceManagement)指標(biāo)關(guān)注于系統(tǒng)的資源監(jiān)測與調(diào)控能力��,主要考查平臺是否具備實(shí)時運(yùn)行狀態(tài)的監(jiān)測頁面和接口��,是否支持計(jì)算和存儲資源的靈活調(diào)整和管控�,以及相關(guān)技術(shù)的應(yīng)用情況。
(6)應(yīng)用身份鑒別(ApplicationIdentityAuthentication)指標(biāo)關(guān)注于功能服務(wù)的接入可靠性�����,主要考查大數(shù)據(jù)應(yīng)用的身份標(biāo)識和驗(yàn)證能力���,以及能否對多用戶��、多終端環(huán)境下的數(shù)據(jù)采集���、導(dǎo)入和導(dǎo)出等應(yīng)用操作進(jìn)行自適應(yīng)配置。
(7)應(yīng)用訪問控制(ApplicationAccessControl)指標(biāo)關(guān)注于功能服務(wù)的訪問授權(quán)能力�����,主要考查大數(shù)據(jù)應(yīng)用是否具備相應(yīng)的數(shù)據(jù)安全標(biāo)記功能�,以及基于安全標(biāo)記的細(xì)粒度訪問控制與多角色應(yīng)用協(xié)調(diào)的技術(shù)水平。
(8)應(yīng)用數(shù)據(jù)管理(ApplicationData Management)指 標(biāo)關(guān)注于功能服務(wù)的數(shù)據(jù)協(xié)同能力�,主要考查大數(shù)據(jù)應(yīng)用針對不同類別、不同級別數(shù)據(jù)的差異化管理功能�����,以及為滿足多用戶數(shù)據(jù)使用所采取的各種安全保障手段�。
(9)應(yīng)用操作審計(jì)(ApplicationOperationAudit)指標(biāo)關(guān)注于功能服務(wù)的操作追溯能力,主要考查大數(shù)據(jù)應(yīng)用對數(shù)據(jù)采集�、處理、分析和挖掘等過程的跟蹤記錄情況�����,以及相關(guān)操作數(shù)據(jù)的收集匯總和集中審計(jì)功能�����。
4 管理視角下的政務(wù)大數(shù)據(jù)安全防護(hù)管理對于政務(wù)大數(shù)據(jù)的安全防護(hù)至關(guān)重要。然而�����,區(qū)別于技術(shù)層面的設(shè)備����、平臺和功能服務(wù)升級,在管理層面�����,政務(wù)大數(shù)據(jù)安全防護(hù)能力建設(shè)的核心是人員和體制��,包括人員的安全意識和安全能力培養(yǎng)��、數(shù)據(jù)應(yīng)用與管理的相關(guān)規(guī)章制度建設(shè)等�����。而國內(nèi)外的先進(jìn)案例為政務(wù)大數(shù)據(jù)安全防護(hù)能力建設(shè)提供了寶貴經(jīng)驗(yàn)���。
4.1 國內(nèi)外政務(wù)數(shù)據(jù)安全管理體系美國是世界上最早發(fā)展電子政務(wù)應(yīng)用的國家�,其業(yè)務(wù)體系相對成熟和完善。近年來�,在大力推動政務(wù)數(shù)據(jù)開放、共享的同時�����,政府也高度重視網(wǎng)絡(luò)數(shù)據(jù)的安全防護(hù)問題�。
一方面���,美國政府注重對普通人員和專業(yè)技術(shù)人員的數(shù)據(jù)安全意識培養(yǎng)�����,通過多種渠道宣傳普及相關(guān)知識�����,構(gòu)建了一整套網(wǎng)絡(luò)安全標(biāo)準(zhǔn)����、知識體系和資質(zhì)認(rèn)定方法;另一方面�����,美國政府認(rèn)識到信息安全情報共享在應(yīng)對網(wǎng)絡(luò)安全威脅工作中的重要作用,建立了從聯(lián)邦政府至各地方��、涵蓋多個行業(yè)的網(wǎng)絡(luò)安全信息共享組織機(jī)構(gòu);與此同時�,白宮和國土安全部都從自身角度提出了相應(yīng)的網(wǎng)絡(luò)安全風(fēng)險應(yīng)對策略,將國家保護(hù)和計(jì)劃局升級為網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局�����,并在局內(nèi)成立國家風(fēng)險管理中心���,通過政府部門與私營機(jī)構(gòu)的信息共享和協(xié)調(diào)運(yùn)作來應(yīng)對關(guān)鍵基礎(chǔ)設(shè)施可能遇到的各種安全威脅�。英國也是較早開展電子政務(wù)建設(shè)工作的國家之一�。為了保障網(wǎng)絡(luò)數(shù)據(jù)安全,其政府部門出臺了一系列規(guī)劃法案和標(biāo)準(zhǔn)���。
一方面���,由英國標(biāo)準(zhǔn)協(xié)會編寫的 BS7799標(biāo)準(zhǔn)為各種機(jī)構(gòu)進(jìn)行信息安全管理提供了一個完整的體系框架,并被國際標(biāo)準(zhǔn)化組織采納����,成為ISO17799國際標(biāo)準(zhǔn);另一方面,英國通過立法和機(jī)構(gòu)設(shè)置的方式進(jìn)行信息安全管理權(quán)責(zé)劃分,不僅授權(quán)警察�����、國家安全等執(zhí)法機(jī)構(gòu)在必要時對數(shù)據(jù)信息進(jìn)行合法監(jiān)控����,而且成立了網(wǎng)絡(luò)安全辦公室、網(wǎng)絡(luò)安全行動中心和網(wǎng)絡(luò)安全應(yīng)急指揮中心�����。另外�����,2016年6月由英國下議院文化����、媒體和體育委員會發(fā)布的《網(wǎng)絡(luò)安全:個人在線數(shù)據(jù)保護(hù)》報告還對個人數(shù)據(jù)保護(hù)涉及的政府部門��、企業(yè)����、服務(wù)商和用戶的具體工作提出了明確的指導(dǎo)意見。
與西方發(fā)達(dá)國家相比,我國的電子政務(wù)應(yīng)用雖然起步較晚����,但政務(wù)大數(shù)據(jù)安全防護(hù)管理工作發(fā)展迅速。在情報共享方面�����,我國已經(jīng)建立了以國家網(wǎng)絡(luò)與信息安全信息通報中心為核心的網(wǎng)絡(luò)信息安全檢測���、通報���、預(yù)警和處理全流程工作機(jī)制;在安全意識方面,各級政府部門也逐漸從“以系統(tǒng)為核心”的傳統(tǒng)信息安全保障理念轉(zhuǎn)向“以數(shù)據(jù)為核心”的信息安全防護(hù)理念�。
目前,我國正在努力構(gòu)建政務(wù)大數(shù)據(jù)的開放��、共享平臺�,相關(guān)數(shù)據(jù)資源包括國家統(tǒng)計(jì)數(shù)據(jù)、中國政府?dāng)?shù)據(jù)�,以及源自各省、直轄市����、自治區(qū)的開放數(shù)據(jù)內(nèi)容。但面對數(shù)據(jù)開放帶來的一系列信息安全問題,現(xiàn)有的數(shù)據(jù)管理體系面臨極大挑戰(zhàn)���。首先��,網(wǎng)絡(luò)安全信息共享的組織協(xié)調(diào)機(jī)構(gòu)成立不久�,缺乏有效的政企信息共享與協(xié)作激勵機(jī)制;其次��,不完善的網(wǎng)絡(luò)信息安全管理制度增加了政府部門對自身數(shù)據(jù)的安全防護(hù)難度�,數(shù)據(jù)被泄露、盜取�、篡改的風(fēng)險依然存在;再次,網(wǎng)絡(luò)信息安全事務(wù)的責(zé)任劃分還不明確�����,各部門的監(jiān)管職權(quán)配置極易出現(xiàn)交叉和重疊�����。
4.2 政務(wù)大數(shù)據(jù)安全防護(hù)管理要點(diǎn)
由國外經(jīng)驗(yàn)和國內(nèi)情況分析可知��,人員的安全防護(hù)意識和防護(hù)能力提升是應(yīng)對大數(shù)據(jù)安全威脅的關(guān)鍵�����,可靠的安全防護(hù)制度則是各組織機(jī)構(gòu)信息安全防護(hù)體系構(gòu)建的基礎(chǔ)���。人員方面���,政務(wù)大數(shù)據(jù)安全防護(hù)需要人們在頭腦中建立起基本的信息安全意識,即對數(shù)據(jù)安全問題和數(shù)據(jù)存儲�����、傳播介質(zhì)的損壞保持應(yīng)有的警覺�����。與此同時�,參照信息安全保護(hù)相關(guān)的測評內(nèi)容,不僅要求設(shè)備供應(yīng)商具有一定的安全建設(shè)資質(zhì)和運(yùn)維服務(wù)能力���,而且單位內(nèi)部管理人員也要主動提升其自身的信息系統(tǒng)安全操作�����、檢查與循環(huán)整改能力[35]�����。
在有限的技術(shù)條件下����,相關(guān)人員的信息安全知識、能力素養(yǎng)在很大程度上決定了政府機(jī)構(gòu)的數(shù)據(jù)安全防護(hù)水平��。制度方面�����,政務(wù)大數(shù)據(jù)安全防護(hù)是一個系統(tǒng)工程�����,各項(xiàng)網(wǎng)絡(luò)保護(hù)和數(shù)據(jù)管理工作的開展都需要相應(yīng)的體制��、機(jī)制約束�����。網(wǎng)絡(luò)安全情報共享機(jī)制的建立有助于提升政府部門對新型黑客攻擊和木馬病毒的防護(hù)能力[36];數(shù)據(jù)操作規(guī)范��、管理流程和保護(hù)方案的制定使得不同類別����、不同等級數(shù)據(jù)的采集、存儲����、處理、應(yīng)用�����、流動��、銷毀等全生命周期行為過程得以有序推進(jìn)[37];而各相關(guān)主體責(zé)任與義務(wù)的明確劃分對數(shù)據(jù)安全防護(hù)措施的有效施行也至關(guān)重要[38]���。在特定體系框架下��,只有依法�、依規(guī)地對數(shù)據(jù)資源進(jìn)行管理��,才能確保政務(wù)大數(shù)據(jù)的存儲和應(yīng)用安全�����。
5 省級機(jī)關(guān)單位A 的案例分析
在國務(wù)院所屬部委及其直屬機(jī)構(gòu)的指導(dǎo)下����,省級政府部門實(shí)際承擔(dān)了地區(qū)政務(wù)系統(tǒng)建設(shè)�、日常運(yùn)行維護(hù)����、安全保障和數(shù)據(jù)管理的大部分工作,在大數(shù)據(jù)應(yīng)用���、管理過程中扮演著重要角色����。而為了滿足日益豐富的數(shù)字化應(yīng)用需要�����,各部門運(yùn)維的系統(tǒng)數(shù)量逐年增多��,所管理的數(shù)據(jù)規(guī)模也越來越大����,涉及經(jīng)濟(jì)、文化��、教育����、醫(yī)療等諸多領(lǐng)域。
大數(shù)據(jù)安全防護(hù)形勢日益嚴(yán)峻����。作為省級政府部門的典型代表,機(jī)關(guān)單位 A 使用自建的云計(jì)算平臺進(jìn)行數(shù)據(jù)管理和應(yīng)用�����,并在數(shù)據(jù)安全防護(hù)能力建設(shè)方面做出了大量努力����。經(jīng)過多年發(fā)展,不僅其技術(shù)運(yùn)行環(huán)境不斷升級���,而且相關(guān)管理制度也得到進(jìn)一步完善�����。面向網(wǎng)絡(luò)安全���,機(jī)關(guān)單位 A 于2012年之前即完成了網(wǎng)絡(luò)防火墻和病毒防護(hù)網(wǎng)關(guān)建設(shè)。多年來設(shè)備運(yùn)轉(zhuǎn)正常���,按月巡檢并進(jìn)行特征庫更新����,符合等級保護(hù)三級要求。
自2017年《網(wǎng)絡(luò)安全法》實(shí)施以來����,該單位進(jìn)一步對安全防護(hù)設(shè)備日志和服務(wù)器日志進(jìn)行分析。相關(guān)日志內(nèi)容均留存6個月以上����,并由設(shè)備維保商負(fù)責(zé)分析、研判和技術(shù)升級����。面向 平 臺 安 全,機(jī) 關(guān) 單 位 A 一 直 采 用 較 為 成 熟 的VMWARE技術(shù)框架對云計(jì)算平 臺 進(jìn) 行 虛 擬 化 管 理�。雖 然未使用 SDN 網(wǎng)絡(luò) 技 術(shù),但 該 單 位 通 過 服 務(wù) 器 管 理 和 交 換機(jī)接口區(qū) 分 也 實(shí) 現(xiàn) 了 業(yè) 務(wù) 流 量 與 管 理 流 量 的 有 效 分 離��。
在功能上����,基于 VMWARE 的 技 術(shù) 框 架,機(jī) 關(guān) 單 位 A 可 以實(shí)現(xiàn)計(jì)算和存儲資源的集中監(jiān)測和管 控�,卻 無 法 實(shí) 現(xiàn) 完 全的底層故障屏蔽。面向應(yīng)用安全,機(jī)關(guān)單位 A 過去僅依靠數(shù)據(jù)庫系統(tǒng)自帶的用戶認(rèn)證功能進(jìn)行應(yīng)用安全控制和管理����。2018年�,在大數(shù)據(jù)應(yīng)用平臺建成后,其前臺訪問開始由業(yè)務(wù)系統(tǒng)鑒別�����,后臺訪問由堡壘機(jī)鑒別�,滿足雙因素身份認(rèn)證要求。然而��,到目前為止�,該系統(tǒng)還不具有基于安全標(biāo)記的細(xì)粒度授權(quán)和訪問控制功能,且未對應(yīng)用進(jìn)行操作審計(jì)和分析�����。針對人員素養(yǎng)����,機(jī)關(guān)單位 A 自2013年起就制定了一系列網(wǎng)絡(luò)安全和數(shù)據(jù)管理規(guī)定,并根據(jù)技術(shù)發(fā)展趨勢每年對內(nèi)部用戶開展信息安全意識培訓(xùn)���。
其所使用的軟�、硬件系統(tǒng)均通過政府采購招標(biāo)流程購置,服務(wù)廠商具備相應(yīng)的技術(shù)安全資質(zhì)�。而該單位的數(shù)據(jù)管理員和部門領(lǐng)導(dǎo)都對網(wǎng)絡(luò)安全環(huán)境、信息安 全 管 理 制 度 非 常 熟 悉��,且 于 2015 年 獲 得 CISP(CertifiedInformationSecurityProfessional)專業(yè)證書�����。針對制度框架�����,機(jī)關(guān)單位 A 僅于2017年單獨(dú)購置了互聯(lián)網(wǎng)信息安 全 情 報 服 務(wù)���,目 前 尚 未 建 立 起 穩(wěn) 定 的 情 報 共 享機(jī)制����。雖然出臺了《A 機(jī)關(guān)數(shù)據(jù)應(yīng)用管理規(guī)定》《A 機(jī)關(guān)數(shù)據(jù)備份流程》和《A 機(jī)關(guān)數(shù)據(jù)恢復(fù)流程》等一系列規(guī)章制度����,但數(shù)據(jù)的全生命周期行為還沒有得到有效規(guī)范。單位內(nèi)部根據(jù)其《A 機(jī)關(guān)信息安全組織機(jī)構(gòu)管理規(guī)范》對不同部門的工作進(jìn)行劃分�,而機(jī)關(guān)單位 A 與其他服務(wù)提供商之間則通過合同與保密協(xié)議的方式明確其各自的權(quán)責(zé)范圍�。
基于多維度指標(biāo)內(nèi)容�����,對機(jī)關(guān)單位 A 近6年的大數(shù)據(jù)安全防護(hù)能力建設(shè)情況進(jìn)行綜合評價和分析�,可知:其在技術(shù)和管理方面雖然還存在著一些缺陷,但多年來整體發(fā)展較好��。一方面��,該單位的技術(shù)防護(hù)能力提升顯著�,特別是2018年以后���,隨著大數(shù)據(jù)管理平臺的開發(fā)����,其在應(yīng)用安全防護(hù)方面有了較大突破;另一方面��,該單位在管理層面的能力建設(shè)還十分有限����,除了人員素養(yǎng)提升,一直以來在制度框架方面缺乏足夠重視�。
結(jié)束語
隨著地方政務(wù)數(shù)據(jù)開放、共享和大數(shù)據(jù)應(yīng)用的發(fā)展,政府機(jī)關(guān)單位的數(shù)據(jù)安全問題日益突出��。在此背景下�����,大數(shù)據(jù)安全防護(hù)已成為保障我國數(shù)字政府建設(shè)成效的重要內(nèi)容���。它不僅涉及技術(shù)層面的設(shè)備�����、平臺和系統(tǒng)建設(shè)�,更包含管理層面的人員和制度建設(shè)��。特別是省級政府部門�,其政務(wù)大數(shù)據(jù)安全防護(hù)能力的高低在很大程度上影響著地方政府?dāng)?shù)字化改革的成敗。然而��,受傳統(tǒng)認(rèn)知框架的影響�,我們在實(shí)踐過程中往往過度追求技術(shù)層面的提升和改進(jìn),而忽略了政府部門在管理制度上的改革與創(chuàng)新��。相比昂貴的技術(shù)產(chǎn)品����,可靠��、高效的管理機(jī)制��、策略和體系對于提升大數(shù)據(jù)安全防護(hù)能力同樣重要��。
參 考 文 獻(xiàn)
[1] SUNX��,SUNT.DynamicUrbanGovernanceinaBigDataCom-putingEnvironment:ConceptualConnotationand ApplicationFramework[J].E-government�,2020(1):20-28.
[2] MARRISON C.Gartner warnsofbigdatasecurityproblems[J].NetworkSecurity�����,2014(6):1-20.
[3] MEHMOODA���,NATGUNANATHANI,XIANG Y�,etal.Pro-tectionofbigdataprivacy[J].IEEEAccess,2016���,4:1821-1834.
[4] CARDENAS A����,MANADHATA P,RAJAN S.BigDataAna-lyticsforSecurity[J].IEEESecurity & Privacy���,2013���,11(6):74-76.
[5] ERDMANNJ.AsPersonalGenomesJoinBigDataWillPrivacyandAccessShrink?[J].Chemistry&Biology,2013��,20(1):1-2.
[6] WANG D�,ZHAO W B,DINGZ M.AnOverviewofKeyTech-nologyAnalysisofBigDataSecurityAssurance[J].JournalofBeijingUniversityofTechnology�,2017,43(3):335-349�,322.
作者:孫 軒1,2����,3 王煥驍1
轉(zhuǎn)載請注明來自發(fā)表學(xué)術(shù)論文網(wǎng):http:///jylw/29938.html
