針對統計數據信息安全問題的探究

（河北省灤平縣人力資源和社會保障局，河北 承德 068250）

當前，統計數據已經被視為一種資產、一種可以被衡量和計算的價值。統計數據的安全問題嚴重影響統計數據的可信度和權威性。本文圍繞信息安全保障理論框架和要求、統計調查數據安全的基本內容和當前保護統計信息安全的一般做法及存在問題著重分析提高統計調查信息安全保障意義及具體措施，并得出通過完善統計組織機構、加大統計制度改革、落實統計法治、構建數據安全體系建設的四大措施，遵循信息安全保障理論的思想和方法是加強統計調查數據安全的一種可行方法和思路。

一、信息安全保障理論框架和要求

信息安全保障是為防止信息被泄露、防止信息被非法修改破壞、防止信息系統被非法入侵等而采取的計劃部署、防護檢查、管理改進等一系列工作。通過正視威脅的存在、漏洞的存在，采取風險評估、適度防護并加強檢查，改進落實對信息安全事件的響應，不斷提升防護水平。信息安全保障是要引入信息安全保障的技術框架，有效規劃統計調查數據的安全計劃，采取行之有效的防護措施，開展信息安全評估檢查，改進完善薄弱環節，提高統計調查數據的安全性。

二、統計調查數據安全的基本內容

（一）通過統計調查獲得的個人和企業的個體數據是重要的敏感信息，必須得到有效的保護，在對統計調查對象要求做到數據準確、報送及時，不得提供不真實統計數據的同時，作為政府統計調查部門更有保密的義務，為此應采取一定的技術和管理手段。

（二）一些統計調查數據涉及國防和國家安全的重要信息，不能被外界獲取，否則可能導致國家利益受損。

（三）政府統計部門運行統計調查業務系統需要采取技術管理信息安全防護措施，確保其收集保存的的敏感信息和調查個體信息的安全，防止信息泄露、毀損、丟失，依法承擔本部門的信息安全設施安全保護的職責。

三、當前保護統計信息安全的一般做法及存在問題

（一）企業上報的CA 認證

身份認證技術是信息安全的第一道大門，目前有普通的根據用戶名和口令進行身份認證；也有基于數字證書（CA 證書）的身份認證系統。通過獨立的認證服務器以及與應用服務器的安全憑證的傳遞技術模型，解決統計聯網直報等網上應用的用戶身份認證問題。

（二）統計調查管理端的安全認證

依托統計業務專網的基于口令認證的統計數據處理平臺，隨著統計調查業務處理系統的推廣運行，為滿足當前政府統計調查過程中的信息安全的需求，很多采取網絡隔離的技術手段，在內網運行。這樣使用帶來的問題是統計調查管理端的安全更多依賴內網的安全性，在某些內網管理不夠嚴格的基層統計機構，或部分功能允許外網操作的情況下，帶來較大的安全隱患。

（三）防范未授權修改和非法代報的痕跡管理和IP 地址管理

通過對系統和數據的操作行為的日志和審計，保障了操作行為是有理有據的正當業務行為。由于行為審計工作沒有常規化，導致存在痕跡管理審查不嚴，整治代報行為的工作也只大多停留在集中整治期間，有較大的監管空白有待填補。

四、提高統計調查信息安全保障的幾點建議

目前，統計調查的數據安全保障工作已較過去有了長足的進步，為進一步提高，建議從以下幾個方面入手。

（一）認證軟硬件的來源

安全性核心電子器件、高端通用芯片及基礎軟件產品是作為信息安全的基礎和核心，強化高可信的軟硬件研究，是保障數據安全的基礎性要求，還要采取保密工作中常規的防護要求。要加強對采購的計算機軟硬件的認證檢驗，確保沒有預設的隱匿后門，以防備通過設備后門非法盜取統計調查數據。

（二）構建數據操作的審計

系統信息安全領域通行的做法是構建面向業務的信息安全審計系統，防火墻、防病毒、入侵檢測系統、內外網隔離等解決大部分非法侵入問題，而有效地控制信息安全風險，從“審用戶、審角色、審權限”到行為日志的記載，將每個訪問和操作行為做全面的記錄，確保用戶的操作合法合理有依據。它代表著由傳統信息安全向業務信息安全發展的必然要求，在保障統計調查數據的安全方面將能發揮越來越重要的作用。

（三）保持密級信息處理的離線獨立性

通過設立單獨的涉密計算機和涉密網絡，使得在物理完全隔離方式下，將密級信息和普通的統計調查數據隔離開來。不盲目依賴系統的權限設置等軟措施。

（四）構建合理有效的檢查體系

統計調查行業應制定一套規范清晰的信息安全檢查工作體系，增強評估能力。通過建立信息安全檢查指標體系時加強管理與技術并重，合理結合自查與監督，形成經常性、規律性的自查，以增強內部人員的信息安全意識和管理水平。通過監督檢查強化針對性，既節約檢查時間和成本，又有一套合理的評估管理機制，降低安全風險。

（五）改進和落實數據信息公開的制度

統計調查數據的發布是政府信息公開的重要內容，在盡可能地減少統計數據發布前被泄露的風險。應縮短統計數據生產到發布的時間，有利于降低數據被提前泄露的風險。