政務(wù)數(shù)據(jù)安全合規(guī)評(píng)估要點(diǎn)及實(shí)踐

政務(wù)數(shù)據(jù)安全合規(guī)評(píng)估要點(diǎn)及實(shí)踐陳永剛趙增振陳嵐

1(國(guó)家信息中心北京100045)2(上海觀安信息技術(shù)股份有限公司上海202203)

近年來，國(guó)家高度重視數(shù)據(jù)安全問題，針對(duì)數(shù)據(jù)安全的法律法規(guī)陸續(xù)出臺(tái)，相關(guān)工作機(jī)制逐步明確.其中政務(wù)數(shù)據(jù)由于其涉及面廣、影響程度高，成為相關(guān)法律法規(guī)和政策文件關(guān)注的焦點(diǎn)，也成為國(guó)家監(jiān)管的重點(diǎn).政務(wù)數(shù)據(jù)共享開放在“一網(wǎng)通辦”“跨省通辦”、政務(wù)“秒批”“秒辦”“城市大腦”等場(chǎng)景中廣泛應(yīng)用，有力地提高了公眾辦事效率，提升了社會(huì)治理水平.然而，政務(wù)業(yè)務(wù)和數(shù)據(jù)的融合加大了數(shù)據(jù)安全防護(hù)的難度，政務(wù)數(shù)據(jù)相關(guān)系統(tǒng)面臨著巨大的安全威脅和風(fēng)險(xiǎn)[1]：一方面烏克蘭危機(jī)網(wǎng)絡(luò)對(duì)抗給予了我們重要警示，網(wǎng)絡(luò)空間已成為現(xiàn)代戰(zhàn)爭(zhēng)的重要領(lǐng)域，存有大量政務(wù)數(shù)據(jù)的關(guān)鍵信息基礎(chǔ)設(shè)施是網(wǎng)絡(luò)戰(zhàn)的首要攻擊目標(biāo)；另一方面，黑客組織、犯罪團(tuán)伙和不法分子長(zhǎng)期對(duì)政務(wù)數(shù)據(jù)實(shí)施網(wǎng)絡(luò)攻擊，竊取重要數(shù)據(jù)，地下黑產(chǎn)和暗網(wǎng)非法交易活動(dòng)猖獗，嚴(yán)重危害國(guó)家安全、社會(huì)公共安全和人民群眾合法權(quán)益.為了防范和化解政務(wù)數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)，提高風(fēng)險(xiǎn)預(yù)見、預(yù)判能力，開展政務(wù)數(shù)據(jù)安全評(píng)估，建立合規(guī)數(shù)據(jù)安全體系，已經(jīng)成為國(guó)家機(jī)關(guān)、企事業(yè)單位開展業(yè)務(wù)活動(dòng)的重要前提和保障.

1政務(wù)數(shù)據(jù)安全合規(guī)要求

國(guó)家對(duì)政務(wù)數(shù)據(jù)安全高度重視，頒布實(shí)施了《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)數(shù)據(jù)安全法》《中華人民共和國(guó)個(gè)人信息保護(hù)法》《網(wǎng)絡(luò)安全審查辦法》《關(guān)于加強(qiáng)數(shù)字政府建設(shè)的指導(dǎo)意見》《信息安全技術(shù)政務(wù)信息共享數(shù)據(jù)安全技術(shù)要求》(GB/T39477—2022)等法律、法規(guī)、政策文件和技術(shù)標(biāo)準(zhǔn)[2-6]，《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》[7]正在征求意見，對(duì)政務(wù)數(shù)據(jù)安全提出嚴(yán)格要求：一是建立數(shù)據(jù)分類分級(jí)保護(hù)制度，編制和重點(diǎn)管理國(guó)家核心數(shù)據(jù)，地區(qū)、部門以及相關(guān)行業(yè)、領(lǐng)域的重要數(shù)據(jù)目錄；二是建立數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估、報(bào)告、信息共享、監(jiān)測(cè)預(yù)警機(jī)制；三是建立數(shù)據(jù)安全應(yīng)急處置機(jī)制；四是建立數(shù)據(jù)安全審查制度；五是規(guī)范數(shù)據(jù)的收集和使用，加強(qiáng)個(gè)人隱私、個(gè)人信息、商業(yè)秘密、保密商務(wù)信息等數(shù)據(jù)保護(hù)等要求.

2政務(wù)數(shù)據(jù)安全合規(guī)評(píng)估方法

參考《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估方法》[8](GB/T20984—2022)國(guó)家標(biāo)準(zhǔn)，針對(duì)政務(wù)數(shù)據(jù)安全合規(guī)的評(píng)估方法主要包括訪談、檢查和測(cè)試3種：

1)訪談?dòng)稍u(píng)估人員與大數(shù)據(jù)系統(tǒng)建設(shè)、運(yùn)維和服務(wù)相關(guān)人員就政務(wù)大數(shù)據(jù)安全情況進(jìn)行談話.基于重要業(yè)務(wù)場(chǎng)景，深入了解大數(shù)據(jù)平臺(tái)安全控制措施實(shí)施情況，并進(jìn)行分析或證據(jù)獲取.訪談的對(duì)象為個(gè)人或團(tuán)體，例如：大數(shù)據(jù)平臺(tái)主要負(fù)責(zé)人、信息安全機(jī)構(gòu)領(lǐng)導(dǎo)、信息系統(tǒng)安全管理員、運(yùn)維人員、網(wǎng)絡(luò)和系統(tǒng)管理員、機(jī)房安全管理人員和用戶等.

2)檢查由評(píng)估人員通過對(duì)管理制度、安全策略和機(jī)制、安全配置和設(shè)計(jì)文檔、運(yùn)行記錄等進(jìn)行觀察、查驗(yàn)、分析以使評(píng)估人員理解、分析或取得證據(jù)的過程.檢查的對(duì)象為規(guī)范、機(jī)制和活動(dòng).例如：評(píng)審信息安全策略規(guī)劃和程序；分析系統(tǒng)的設(shè)計(jì)文檔和接口規(guī)范；觀測(cè)系統(tǒng)的備份操作；審查應(yīng)急演練結(jié)果；觀察事件響應(yīng)活動(dòng)；研究技術(shù)手冊(cè)和用戶/管理員指南；檢查、研究或觀察信息系統(tǒng)的硬件/軟件中信息技術(shù)機(jī)制的運(yùn)行；檢查、研究或觀察信息系統(tǒng)運(yùn)行相關(guān)的物理安全措施及檢查信息系統(tǒng)安全基線配置等.

3)測(cè)試由評(píng)估人員進(jìn)行技術(shù)測(cè)試(包括滲透測(cè)試)，通過人工或自動(dòng)化安全測(cè)試工具獲得相關(guān)信息，并進(jìn)行分析以幫助評(píng)估人員獲取證據(jù).測(cè)試的對(duì)象為機(jī)制和活動(dòng).例如，訪問控制、身份識(shí)別和驗(yàn)證、審計(jì)機(jī)制；測(cè)試安全配置設(shè)置及物理訪問控制設(shè)備；進(jìn)行信息系統(tǒng)的關(guān)鍵組成部分的滲透測(cè)試，測(cè)試信息系統(tǒng)的備份操作；對(duì)重要事件進(jìn)行持續(xù)監(jiān)控；測(cè)試事件響應(yīng)能力以及應(yīng)急規(guī)劃演練能力等.

3政務(wù)數(shù)據(jù)安全合規(guī)評(píng)估指標(biāo)體系

依據(jù)政務(wù)數(shù)據(jù)安全相關(guān)實(shí)踐[9]和標(biāo)準(zhǔn)，建立政務(wù)數(shù)據(jù)安全合規(guī)評(píng)估指標(biāo)體系，包括2個(gè)1級(jí)指標(biāo)、10個(gè)2級(jí)指標(biāo)和95個(gè)3級(jí)指標(biāo).

1級(jí)指標(biāo)包括“數(shù)據(jù)全生命周期安全”指標(biāo)和“通用合規(guī)要求”指標(biāo)，其中“數(shù)據(jù)全生命周期安全”指標(biāo)包括數(shù)據(jù)采集、傳輸、存儲(chǔ)、使用、交換和銷毀各環(huán)節(jié)，聚焦重要業(yè)務(wù)場(chǎng)景發(fā)現(xiàn)風(fēng)險(xiǎn)點(diǎn).“通用合規(guī)要求”指標(biāo)從組織結(jié)構(gòu)及人員、管理制度、管理措施和技術(shù)措施4個(gè)方面評(píng)估數(shù)據(jù)安全管理和技術(shù)合規(guī)風(fēng)險(xiǎn).其中2級(jí)指標(biāo)“數(shù)據(jù)采集風(fēng)險(xiǎn)”包括15個(gè)3級(jí)指標(biāo)；“數(shù)據(jù)傳輸風(fēng)險(xiǎn)”包括4個(gè)3級(jí)指標(biāo)；“數(shù)據(jù)存儲(chǔ)風(fēng)險(xiǎn)”包括13個(gè)3級(jí)指標(biāo)；“數(shù)據(jù)使用風(fēng)險(xiǎn)”包括17個(gè)3級(jí)指標(biāo)；“數(shù)據(jù)交換風(fēng)險(xiǎn)”包括22個(gè)3級(jí)指標(biāo)；“數(shù)據(jù)銷毀風(fēng)險(xiǎn)”包括8個(gè)3級(jí)指標(biāo)；“組織結(jié)構(gòu)及人員”包括2個(gè)3級(jí)指標(biāo)；“管理制度”包括2個(gè)3級(jí)指標(biāo)；“管理措施”包括10個(gè)3級(jí)指標(biāo)；“技術(shù)措施”包括2個(gè)3級(jí)指標(biāo).

3級(jí)指標(biāo)包括部分重點(diǎn)指標(biāo)：一是關(guān)于個(gè)人信息相關(guān)的“個(gè)人信息獲取合法性”“個(gè)人信息獲取必要性”“個(gè)人信息處理協(xié)議或規(guī)則的完備性”等指標(biāo)，關(guān)注收集使用個(gè)人信息不正當(dāng)合法風(fēng)險(xiǎn)；二是關(guān)于數(shù)據(jù)使用相關(guān)的“匯聚融合的影響評(píng)估”“對(duì)重要數(shù)據(jù)處理的合法性”“對(duì)企業(yè)秘密數(shù)據(jù)處理的合法性”等指標(biāo)，對(duì)應(yīng)履行信息處理者基本義務(wù)要求；三是關(guān)于管理措施相關(guān)的“風(fēng)險(xiǎn)監(jiān)測(cè)要求”“事件處置和通知要求”“風(fēng)險(xiǎn)評(píng)估要求”“合規(guī)審計(jì)要求”“數(shù)據(jù)安全審查要求”“分類分級(jí)保護(hù)要求”“權(quán)限控制要求”“數(shù)據(jù)管控要求”等指標(biāo)，評(píng)估管理措施的落實(shí)情況及有效性.

4政務(wù)數(shù)據(jù)安全合規(guī)評(píng)估實(shí)踐

參考上述政務(wù)數(shù)據(jù)安全合規(guī)評(píng)估方法和評(píng)估指標(biāo)體系，對(duì)某大數(shù)據(jù)中心開展了政務(wù)數(shù)據(jù)安全合規(guī)評(píng)估實(shí)踐.某大數(shù)據(jù)中心主要業(yè)務(wù)包括對(duì)委辦局提供政務(wù)云、政務(wù)網(wǎng)、數(shù)據(jù)的基礎(chǔ)設(shè)施資源；對(duì)公眾提供社會(huì)事務(wù)辦事系統(tǒng)，便捷辦理各項(xiàng)民生事務(wù)，提升公眾辦事效率.隨著政府部門信息化職能整合優(yōu)化工作的深入推進(jìn)，負(fù)責(zé)委辦局?jǐn)?shù)百個(gè)信息系統(tǒng)和數(shù)據(jù)的納管，也伴隨著安全風(fēng)險(xiǎn)的匯集，對(duì)大數(shù)據(jù)中心整體安全保障能力提出了更高要求和挑戰(zhàn).大數(shù)據(jù)中心要在保障數(shù)據(jù)安全的前提下做好數(shù)據(jù)治理工作，打通各級(jí)政府和各部門之間數(shù)據(jù)共享堵點(diǎn)，破除“數(shù)據(jù)孤島”頑疾.經(jīng)評(píng)估發(fā)現(xiàn)，在政務(wù)云、大數(shù)據(jù)平臺(tái)和政務(wù)應(yīng)用3個(gè)方面存在一定的數(shù)據(jù)安全合規(guī)風(fēng)險(xiǎn).

4.1政務(wù)云數(shù)據(jù)安全合規(guī)風(fēng)險(xiǎn)

大數(shù)據(jù)中心信息系統(tǒng)遷移上云之后，大量信息存儲(chǔ)在云上，在擁有云敏捷、彈性、節(jié)省資源優(yōu)點(diǎn)的同時(shí)，對(duì)于政務(wù)云數(shù)據(jù)安全存在的風(fēng)險(xiǎn)也不容忽視.

1)數(shù)據(jù)泄露.

云服務(wù)商存儲(chǔ)著海量重要數(shù)據(jù)，愈發(fā)成為攻擊者的主要目標(biāo).數(shù)據(jù)安全的威脅也由原來外部威脅為主轉(zhuǎn)變?yōu)閮?nèi)部威脅和外部威脅共存的局面，來自云環(huán)境內(nèi)部不同租戶之間的安全威脅也顯著增加.一旦發(fā)生數(shù)據(jù)泄露事件，危害性極大.

2)數(shù)據(jù)丟失.

隨著政務(wù)云管理要求的出臺(tái)和實(shí)施，以及云安全技術(shù)防護(hù)的加強(qiáng)，因云服務(wù)商失誤導(dǎo)致的數(shù)據(jù)丟失的事件逐步減少，更多的是外部惡意攻擊者通過永久刪除云上數(shù)據(jù)來損害社會(huì)公眾利益.此外，云數(shù)據(jù)中心還面臨著自然災(zāi)害的隱患，如未建立異地容災(zāi)備份機(jī)制，可能導(dǎo)致數(shù)據(jù)永久丟失的嚴(yán)重后果.

3)外部接口和API攻擊.

運(yùn)維團(tuán)隊(duì)使用接口和API管理和調(diào)用云資源、管理、服務(wù)編排和鏡像等云服務(wù)，這些云服務(wù)的安全和可用性依賴于API的安全性，引入更多的服務(wù)或者認(rèn)證，面臨的風(fēng)險(xiǎn)也成倍增加.當(dāng)運(yùn)維人員在外部互聯(lián)網(wǎng)訪問API和接口時(shí)，系統(tǒng)也將面臨暴露的風(fēng)險(xiǎn).

4.2大數(shù)據(jù)平臺(tái)數(shù)據(jù)安全合規(guī)風(fēng)險(xiǎn)

大數(shù)據(jù)平臺(tái)在數(shù)據(jù)權(quán)限管控、數(shù)據(jù)操作監(jiān)測(cè)與審計(jì)、數(shù)據(jù)全生命周期管理等方面存在一定風(fēng)險(xiǎn)，需高度重視，加強(qiáng)技術(shù)防護(hù)和日常檢查.

1)數(shù)據(jù)權(quán)限管理.

在鑒別與訪問控制方面，外包服務(wù)商賬號(hào)、委辦局賬號(hào)管理較弱，未實(shí)現(xiàn)全面統(tǒng)一身份認(rèn)證，面臨誤操作、數(shù)據(jù)泄露的風(fēng)險(xiǎn).

2)數(shù)據(jù)操作監(jiān)測(cè)與審計(jì).

在監(jiān)測(cè)與審計(jì)方面，日志記錄項(xiàng)不完整，信息系統(tǒng)缺乏審計(jì)紀(jì)錄，人員不易快速排除異常，存在日志被攻擊者刪除的風(fēng)險(xiǎn).缺少重要數(shù)據(jù)操作審計(jì)，一旦發(fā)生數(shù)據(jù)安全事件難以追根溯源.

3)數(shù)據(jù)全生命周期管理.

在數(shù)據(jù)采集安全方面，重要數(shù)據(jù)資產(chǎn)分布和流轉(zhuǎn)不清晰，數(shù)據(jù)資產(chǎn)分類分級(jí)管理有待提升.缺少數(shù)據(jù)采集過程的異常行為告警機(jī)制，如數(shù)據(jù)采集過程中斷、數(shù)據(jù)采集量過大、人員或者系統(tǒng)錯(cuò)誤、超過設(shè)定的閾值等，未采取郵件或者短信告警措施.

在數(shù)據(jù)傳輸安全方面，數(shù)據(jù)傳輸鏈路管理存在數(shù)據(jù)在傳輸過程中被竊取的風(fēng)險(xiǎn).未對(duì)接口傳輸數(shù)據(jù)進(jìn)行完整性校驗(yàn)，存在被中間人篡改導(dǎo)致數(shù)據(jù)失真的風(fēng)險(xiǎn).

在數(shù)據(jù)存儲(chǔ)安全方面，未建立敏感數(shù)據(jù)存儲(chǔ)安全機(jī)制，未對(duì)不同安全級(jí)別的數(shù)據(jù)采用差異化安全存儲(chǔ)，包括差異化脫敏存儲(chǔ)、加密存儲(chǔ)、訪問控制等.

在數(shù)據(jù)使用安全方面，未明確對(duì)數(shù)據(jù)分析操作、結(jié)果輸出和使用的安全審核、合規(guī)評(píng)估和授權(quán)流程，無法保障數(shù)據(jù)分析中數(shù)據(jù)聚合的合規(guī)性，存在衍生數(shù)據(jù)超出原始數(shù)據(jù)授權(quán)范圍或安全使用要求的可能.缺少有效識(shí)別、監(jiān)控和預(yù)警異常操作和數(shù)據(jù)濫用行為的工具，難以及時(shí)識(shí)別數(shù)據(jù)濫用行為或潛在風(fēng)險(xiǎn)，缺乏對(duì)濫用行為的有效預(yù)防及追責(zé)能力.

在數(shù)據(jù)交換安全方面，對(duì)數(shù)據(jù)服務(wù)接口的安全限制措施不足，未對(duì)服務(wù)接口的參數(shù)設(shè)置等進(jìn)行管控，缺少異常告警機(jī)制，存在數(shù)據(jù)泄露風(fēng)險(xiǎn).

在數(shù)據(jù)銷毀安全方面，存在銷毀周期定義不清的問題，銷毀的技術(shù)手段待加強(qiáng).

4.3政務(wù)應(yīng)用數(shù)據(jù)安全合規(guī)風(fēng)險(xiǎn)

政務(wù)應(yīng)用層面主要在漏洞、網(wǎng)站和應(yīng)用支撐等方面存在風(fēng)險(xiǎn)，將帶來數(shù)據(jù)安全方面的問題，亟待補(bǔ)齊短板.

1)業(yè)務(wù)應(yīng)用安全漏洞風(fēng)險(xiǎn).

業(yè)務(wù)應(yīng)用系統(tǒng)可能存在漏洞或業(yè)務(wù)邏輯權(quán)限處理不當(dāng)情況，導(dǎo)致非授權(quán)用戶越權(quán)訪問或獲取數(shù)據(jù)操作權(quán)限的風(fēng)險(xiǎn).

2)業(yè)務(wù)應(yīng)用網(wǎng)站安全風(fēng)險(xiǎn).

業(yè)務(wù)應(yīng)用網(wǎng)站可能存在頁面內(nèi)容被篡改(如敏感詞、網(wǎng)頁木馬、暗鏈、網(wǎng)頁變更等)、被DDoS攻擊等安全隱患.

3)應(yīng)用支撐安全風(fēng)險(xiǎn).

缺乏對(duì)敏感數(shù)據(jù)全局識(shí)別及發(fā)現(xiàn)機(jī)制，存在上層應(yīng)用獲取個(gè)人敏感數(shù)據(jù)的風(fēng)險(xiǎn)；可能存在對(duì)應(yīng)用認(rèn)證及權(quán)限管理問題，發(fā)生非法用戶非授權(quán)訪問；對(duì)于數(shù)據(jù)批量導(dǎo)出行為管控不嚴(yán)，存在數(shù)據(jù)泄露的風(fēng)險(xiǎn).

5政務(wù)數(shù)據(jù)安全合規(guī)建議

針對(duì)上述政務(wù)數(shù)據(jù)安全合規(guī)風(fēng)險(xiǎn)，結(jié)合政務(wù)行業(yè)數(shù)據(jù)治理經(jīng)驗(yàn)，提出以下建議：

一是完善政務(wù)云安全縱深防御體系，以身份認(rèn)證和權(quán)限管理為抓手，加強(qiáng)網(wǎng)絡(luò)準(zhǔn)入、安全域劃分、訪問控制等安全防護(hù)能力建設(shè)，對(duì)政務(wù)云的基礎(chǔ)設(shè)施、網(wǎng)絡(luò)等進(jìn)行安全域隔離.強(qiáng)化邊界安全保障，以物理主機(jī)、租戶及業(yè)務(wù)邊界安全防護(hù)為核心，采用入侵檢測(cè)、安全審計(jì)、防病毒、傳輸加密等多種技術(shù)和措施，開展安全攻擊事件的分析與防御、策略關(guān)聯(lián)規(guī)則的設(shè)置與優(yōu)化、傳輸協(xié)議的安全分析與加固.

二是加強(qiáng)重要數(shù)據(jù)資產(chǎn)管理，完善敏感數(shù)據(jù)風(fēng)險(xiǎn)控制體系.嚴(yán)格落實(shí)數(shù)據(jù)分級(jí)保護(hù)制度，定期實(shí)施敏感數(shù)據(jù)掃描，建立重要數(shù)據(jù)目錄.并針對(duì)不同安全級(jí)別的數(shù)據(jù)，明確其在數(shù)據(jù)采集、傳輸、存儲(chǔ)、使用、交換、銷毀等數(shù)據(jù)生命周期各個(gè)環(huán)節(jié)的安全防護(hù)要求.同時(shí)，開展數(shù)據(jù)流轉(zhuǎn)監(jiān)測(cè)分析，監(jiān)控?cái)?shù)據(jù)的外傳通道，實(shí)現(xiàn)對(duì)數(shù)據(jù)泄露事件的定位與追溯.

三是加快數(shù)據(jù)脫敏應(yīng)用建設(shè).優(yōu)化靜態(tài)脫敏場(chǎng)景，做到脫敏過程數(shù)據(jù)不落地，并在提供給分析團(tuán)隊(duì)或者委辦局之前，先進(jìn)行數(shù)據(jù)脫敏，同時(shí)脫敏后數(shù)據(jù)的業(yè)務(wù)特征不能喪失.根據(jù)定義規(guī)則對(duì)關(guān)鍵數(shù)據(jù)進(jìn)行數(shù)據(jù)保護(hù)，同時(shí)對(duì)數(shù)據(jù)庫中數(shù)據(jù)查詢導(dǎo)出數(shù)據(jù)進(jìn)行動(dòng)態(tài)脫敏處理，并對(duì)