用“信源密信”为安全底座提高中国政务数据安全管理能力
作者: 日期:2022年05月19日 阅:1,006

近日,省政府办公厅印发《河南省政务数据安全管理暂行办法》(以下简称《暂行办法》),明确了河南各级政务部门非涉密政务数据收集、存储、传输、共享、开放、使用、销毁等行为及相关管理工作要求,进一步健全政务数据安全防护体系,为政务数据上一把“安全锁”。

政务数据安全是近年来,随着电子政务数据共享的扩大和以人工智能、大数据新技术在政务系统中的应用所带来的新问题。数据安全是数字型政府建设的重中之重。

政务数据安全对公民个人、政府组织、乃至国家安全都具有极大的社会意义。而据公开的数据显示,中国的政务数据安全潜藏这巨大的隐患。特别是疫情以来和日前国际国内局势日益复杂化,政务数据安全的隐患到了亟待解决的阶段。

然而,政务数据安全之外,还有一个重要因素,就是政务公开已经成为国际共识,我们国家也制定了相应的政务公开法律。政务公开还将满足人民在大数据时代,充分享受到政务公开带来的便利。

因此,如何在充分尊重人民获得人工智能、大数据新技术给公民数据插上翅膀、带来的便利还要保证能够保证政务数据的安全,已经成为政务数据安全管理的核心话题。

本文最后将从安全技术专家的角度,给出一些建议和举措,希望能以此文推动中国政务数据安全建设。

一、政务数据安全管理的意义

政务数据安全管理是一个系统工程,绝对不是只重安全,而不注重数据开放,政务数据开放,也不是任由政务数据泄露,而是两者和谐统一的结果。

随着电子政务工程的推进、数字化政府建设的逐步深入,“一网通办”“跨省通办”、政务“秒批”“秒办”、身份证“网证”、“城市大脑”等试点示范措施,有力促进了政府和社会治理的高效化、精准化和智能化,大众办事更加便捷化,然而,由此引发的政务数据安全问题也凸显出来。如今,数据安全成为计算机以及网络等学科的重要研究课题之一,它不仅关系到个人隐私、政务系统安全,甚至直接影响国家安全。

1、政务数据安全对公民隐私的影响

在政务系统中,存储着大量涉及民生相关的重要数据和个人敏感隐私,数据价值极大,非常容易成为不法分子和境外势力攻击的目标。据公开报告显示,中国已经成为世界最大网络受攻击国,而政府、军队、科研则是最大的攻击对象。

政务数据泄露对个人隐私安全的影响,体现在政务数据泄露,可以严重危害公民的隐私安全,危急一个国家或者地区的安全局势。

比如,2017年,瑞典遭遇了史上最大规模数据泄露事件,许多机密信息以及几乎所有公民的个人资料都被曝光。此事引起了瑞典全民性的抗议行为,引发成为一个国家事件。

事后查明,此次数据泄露源于2015年,瑞典交通管理局将资料库及资讯通讯服务外包给美国IBM公司,而IBM再将部分服务外包给美国NCR公司。两家公司在转存资料时出现了疏漏,让没有得到安全许可的员工接触到敏感信息,最终导致整个数据库被盗取、外泄。

此次数据泄密事件无论从规模、深度和影响力上都创下了历史记录,令各界认识到政务数据泄露对公民隐私造成的恶劣影响。

政务数据泄露对个人隐私安全的影响,还体现在一旦数据泄露,可以给公民人身、经济带来严重后果。

政务数据中包含着丰富的公民个人信息,身份证、家庭住址、联系电话、家庭成员等等,具有极大的经济价值。因此,近年来,政务系统已经成为黑客们最大的攻击目标之一。因为这些政务系统一旦攻破,大量的个人数据就被他们用于非法获取经济价值的目的。

特别是近年来,勒索病毒在全球肆虐,而据公开报道的案例来看,很大一部分源头来自公职人员或者黑客获取了大量的公民数据。这些数据一旦流入黑色产业链,就被用于电信诈骗等目的,给公民个人人身、经济造成了极大的危害。

2、政务数据安全管理能力是政府管理能力的体现

政务数据安全是数字政府的生命线。政务数据共享之下,政府面临着数据共享程度和数据安全的双重考验。政务数据安全绝不是对政务数据进行完全封闭公开,也不是不管保密需要而选择全部公开。政务数据安全管理体现着一个地方政府的智慧。

同时,众所周知,数字政府建设、数字社会是时代所需,是全世界的共识。在经济全球化、世界经济一体化的浪潮下,再也没有一个国家能够脱离开其它国家而单独存在,一个国家的人民也不可能脱离开便捷的政务网络而独自生活。

在以往的政务系统建设和政务系统运营中,普遍存在着两者极端化的案例。一些地方政府过于考虑安全需要,选择对有些数据不进行公开,地方政府网站只建不管,沦为花架子。也有一些地方政府不顾安全需要,将公民数据全部上网,极大危害了公民安全。

比如在数据开放性方面,从2007年《中华人民共和国政府信息公开条例》颁布至今,公布信息基本没涉及到数据集层面,数据公布的形式基本依赖于报告和报表,没有标准的统一格式,使公众不能以数据的形式查到利用,远远不能满足大数据时代公民日常生产生活需要。

另一方面,在政务数据安全性方面,认识不足。比如2022年1月,浙江省衢州市柯城区检察院在履职中发现,个别行政机关政务公开信息中存在过度公开公民个人隐私问题,包括公民身份证号码、银行卡号、电话号码、户籍地址、家庭成员信息等,有的公示时间竟长达8年。该院通过大数据筛查,梳理出违法公示公民个人信息线索5.24万条次,隐藏着巨大的泄露个人信息风险隐患。

3、政务数据安全管理能力是国家安全管理能力的体现

政务数据安全管理是一国安全管理能力的体现。数据开放和数据自由是一个矛盾统一体,国家安全管理能力的体现。

习近平总书记强调:“要切实保障国家数据安全。要加强关键信息基础设施安全保护,强化国家关键数据资源保护能力,增强数据安全预警和溯源能力。”

发展数字经济、加快培育发展数据要素市场,必须把保障政务数据安全放在突出位置。这就要求我们着力解决政务数据安全领域的突出问题,有效提升政务数据安全治理能力。

在政务数据安全问题上,国家从法律层面给予了充分重视。法律规定:国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。

然而,在大数据时代,当需要获取公众的个人信息时,可能会通过关联性的数据挖掘,在表面上毫无联系的数据中发现个人的很多隐私信息。另一个问题是如果数据开放不合理,一些需要保密的问题和数据有可能会被用来攻击社会和个人。因此在制定政府信息公开策略时,政策制定者必须要时刻注意对个人隐私和国家安全的保护。如何在激发大数据创新性利用的同时,兼顾国家安全与公民自由、国家利益与个人隐私,已成为高难度的争议性问题。

二、政务数据安全管理的问题

1、政务数据权属不明边界不清

政务数据共享开放涉及国家机密保护、知识产权保护、企业信息保护、个人信息保护、个人隐私保护、数据融合利用等多方面问题,在政务数据开放的过程中,数据权属不明确,将对使用权责、开放原则、开放范围、开放模式产生争议。盲目开放,将会引起数据泄露风险。只有数据权属明确、责任边界清晰,才能划定政务数据开放共享过程中各部门的安全责任边界,明确相关部门在数据开放中应当承担的责任,保障数据安全。

2、数据分类缺乏管理依据

政务数据的共享开放,通过全面数据开发与利用创造更大的数据价值已经成为国际性的共识,中国也颁布了政府信息公开的法律条文。在实际的操作中,由于同时存在着个人隐私保护法律法规等法律的制约。各类数据缺乏分级分类和管理依据,出于数据安全与隐私保护的制约,政府部门不敢共享开放或不愿共享开放数据,极易造成开放不足数据价值难以释放或开放过度数据泄密的风险。

3、政务数据全生命周期中泄露

政务数据共享开放过程中,参与部门多、企业多、人员多、流程严谨是工作常态,由于缺乏数据管理规范,非涉密人员保密意识相对薄弱,存在个别人员为了工作便利,直接在非涉密环境中处理含有敏感信息的数据的情况,为敏感信息带来安全隐患。

此外,政务数据在采集、流转、开发利用和共享过程中,存在着被脱敏和定级不准确的问题。比如,单个的数据不构成涉密,但一旦这些数据组合起来,就会产生新的意义,政务数据的全面管理和监察是一项全面而系统的工作,绝非一朝一夕之功。

大数据时代,政务数据是富矿,开发利用是时代所需,也是满足数字社会长远发展的需要。同时,政务数据也是一国科技竞争力的体现。对政务数据安全性,过去普遍存在认识不足的问题。从政府政务系统建设来看,过去的“以系统为中心的”信息系统无法满足数据流转和数据安全的需求,难以实现当前协同办公中数据实时、连续,全生命周期的安全管控需要,更难以满足“元宇宙”等概念推动的多场景数据融合、实时性交换带来的数据安全问题。

4、数据协同能力不足

目前网上政务服务基本实现了各部门政务服务在政务服务平台的“物理集中”,但是服务仍旧以部门为单位进行梳理,还没有实现整体服务的目标,部门之间数据不能充分流动。同时,政务服务的深化应用,后台数据的共享开放能力不足。

单个部门之间的数据孤岛问题可能已经解决,但系统性的数据孤岛问题依然存在。未来,政务数据协同的努力将是长期持久性的工作。

三、政务数据安全管理的举措

1、完善政务数据安全防护顶层设计

随着近些年智慧城市建设在全国风起云涌,各地普遍已经建设了智慧城市基础设施。但在智慧政府数据安全问题上,认识不足,带来了一些的问题。普遍存在着硬件投入巨大,软件能力不足。政务数据安全防护缺乏顶层设计,更很难适应人工智能、大数据、区块链等新技术的发展需要。

在投入上,中国在基础建设硬件方面的投入已经处于世界先进水平,但在软件方面的投入,仍处于一般国家发展水平。

在复杂的国际国内形势下,国家毅然做出了建设“统一大市场”的战略构想,这必然进一步对中国的政务系统提出更大的安全管理需求。也就是即要满足安全的需要,又要实现各地跨网、高速数据安全交换的需求。需要重新审视系统性的安全,投入更多的资金修改、完善,将过去“以系统为中心的信息系统建设”升级到“以数据为中心的信息系统建设”上来。

2、加强政务数据安全监管

对于近日河南省出台的政务数据安全管理措施,以往广东、浙江等省份已经做了有益的探索。这些有益的经验就是政务数据安全是一个系统工程,协同很重要。

对于负有监管职责的政府部门而言,则应当明确主体职权,确保监管责任落实到位。

此外,要建立全方位、动态保护管理制度,全面防范风险。按照数据安全法的要求,建立数据分类分级保护制度,确定重要数据目录,加强对重要数据的保护,尤其要对关系国家安全、国民经济命脉、重要民生、重大公共利益等方面的数据实行更严格的管理制度。

加强法律的合规性,落实《网络安全法》、《信息安全技术网络安全等级保护基本要求》、《个人信息保护法》有关数据保护的规定,进一步探索和细化数字政府中的云、网、平台、数据、系统等关键信息基础设施和政务数据的安全保障制度,完善数据流动管理制度,构建政务数据安全底座。

3、用技术手段提高政务数据安全协同

最后,通过自主研发的终端安全核心技术,建立相对独立的安全防护系统,发展具有自主知识产权的数据安全产业,为数字政府建设和个人信息保护提供安全可靠的技术支撑,给政务数据上锁。

政务数据安全管理是一个全生命周期的数据管理计划。其中涉及的因素很多,很全。人、财、物都要全面管控起来。才能在有限的人力、物力资源条件下,达到政务安全管理的项目管理目标。

政务数据,在与政务外网、公网数据交换中实时流动,是动态的。特别是疫情以来,政务协同办公需求集中爆发。以往政务系统可能是隔离的局域网络,现在由于政务居家办公的需要,公务员需要在家办公,还要解决办公过程中数据协同、数据安全的需要,这无疑又增加了数据泄露的风险,给政务数据安全提出了新的课题。如何提高政府信息安全能力,保障系统安全,政务数据全程安全,产品选型很重要。

信源密信,就是由国内信息安全终端创新企业北信源自主研发的信创安全产品。产品2016年立项开发以来,已经在党政军终端信息安全领域得到了广泛应用,满足了国家机关、重要涉密机构数据全程安全保密的需求。

从产品形态上,信源密信服务器采用私有化部署方式,从源头杜绝数据泄密。

信源密信采用了服务器私有化部署方式,让政务数据所有者拥有数据完全主权。避免了由于第三方的参与,被第三方商业化利用和第三方工作人员故意数据泄露谋利的风险。

从安全技术上,信源密信采用了三端加密,五维防护技术。

信源密信采用服务端、传输通道和客户端三端加密。在服务端,即用户使用的电脑、手机等设上,统一工作入口,提供基础移动应用工作台,管控专用终端和自带设备;在数据传输的网络通道上,确保无线、移动网络安全接入,集成传输隧道加密,避免数据被中途窃取;在私有化部署的管理端上,加固安全操作系统,提供集约化的管理方式,所有数据一人一密加密存储。

协同办公全程加密,全生命周期保护政务数据安全

信源密信做了大量国产自主可控的微创新,在协同办公过程中保护政务数据全程,防止数据泄露。

“实名制组织通讯录”要求组织内部需实名认证登录,且人员不能修改真实姓名,让组织内部没有陌生人,沟通更安心,同时对离职人员锁定登录,确保组织内部信息不外漏。

“文件明暗水印” 支持明水印和暗水印两种形式,杜绝人为泄密。服务器的管理员可以设置水印功能,明水印即每个人的通讯录和聊天记录窗口都有独特的个人水印,如果发生手机截屏或者拍照泄密事件,图片上有该用户的水印信息,方便在信息泄露后溯源;暗水印则是在文件属性加入的,表面什么都没有,只有通过特殊手段才可以在文件属性查到。

“敏感信息与文件检查”中设置了文件名称和内容检查以防敏感信息外泄,同时还能识别秘密文件并禁止相关秘密文件发送,杜绝了工作信息泄漏的可能。

“单次阅读”功能设置了信息的保质期,消息接受方收到查看相关工作信息后,相关消息便可及时销毁,在传达了信息的同时还保障了信息安全,让用户可以放心大胆地免去信息泄露的后顾之忧。 此外,强大的信创生态适配也是信源密信作为一款终端安全产品的重大特点,可以保证用信源密信构建的政务数据安全底座被其他国产操作系统、数据库等全面兼容。满足信创条件下,政务系统安全和效率同时兼顾,助力中国数字化政府建设,推动数字社会安全。

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章