基于國家標準要求的政務數據共享安全架構研究*

周健雄，梁 孟

（京信數據科技有限公司，廣東 中山 528400）

0 引 言

2020年11月，由全國信息安全標準化技術委員會歸口上報及執行的GB/T 39477—2020《信息安全技術 政務信息共享 數據安全技術要求》（以下簡稱本標準）[1]獲批正式發布（2021年6月正式實施），本標準針對政務信息共享交換過程三方（共享數據提供方、共享數據交換服務方與共享數據使用方）及三階段（共享數據準備、共享交換和共享數據使用）提出了近150項安全技術要求，指導政務信息共享交換數據安全體系建設，增強政務信息共享交換全過程的數據安全保障能力。本文主要基于本標準的要求，探討一種在可控成本內快速部署應用的政務數據共享安全解決方案，為各區域基于本標準進行安全改造加固提供參考。

1 政務數據共享風險分析

政務數據共享核心目的在于建立統一的政務數據共享交換渠道，連通各政府機關部門，實現政務數據的共享及匯聚，根據國家標準GB/T 21062.1—2007《政務信息資源交換體系 第1部分：總體框架》的要求，政務數據共享一般以前置節點的方式進行共享交換，即業務部門將數據推送到其管理的前置節點中，中心節點通過轉發或分發的方式提供給使用部門的前置節點，使用部門在其管理的前置節點中獲取數據進行使用，基于此模式存在的安全風險如圖1所示。

圖1 政務數據共享安全風險

1.1 身份可信風險

在整個政務數據共享交換環節中，涉及三個主要角色：一是數據提供方；二是數據使用方；三是平臺服務方。三個角色均可通過不同的權限接觸到數據，一旦身份被破解泄露，那么就很容易造成數據泄露的風險。盡管政務數據共享交換平臺一般都會提供身份驗證服務，但身份驗證的程度會有所不同，大部分仍僅僅采用賬號加口令的方式進行登錄，容易被破解，而且隨著政務數據應用場景的不斷增多，將會有更多身份角色進入政務數據的共享體系中，從而進一步提升了平臺在身份認證上的風險性。身份認證作為政務數據共享安全的第一道關卡，必須要有足夠安全的方式去進行身份認證，確保使用用戶身份的可信。

1.2 安全傳輸風險

政務數據共享交換核心目的在于建立統一的政務數據共享交換渠道，即統一的數據傳輸通道，從整個政務數據共享交換的場景來看，涉及數據傳輸的包括提供部門業務庫到前置節點業務庫、提供部門前置節點業務庫到中心節點存儲庫、中心節點存儲庫到使用部門前置節點業務庫、使用部門前置節點業務庫到使用部門業務庫中四個主要環節，由于政務數據共享交換平臺一般是建設在政務外網的網絡體系，從常規來說網絡安全具有一定的安全性，因此在數據傳輸過程中，一般數據及敏感數據均以明文傳輸為主。然而若有不法人員在能進入政務外網的前提下，通過探針工具就可以很容易獲取到傳輸過程中的政務數據，然后再通過物理介質或其他方式將數據進行導出，因此在政務外網的安全網絡場景下，以明文傳輸的方式進行數據傳輸依然存在較大的數據泄露風險，故需要對數據傳輸通道進行加密或對數據直接進行加密。

1.3 數據處理風險

政務數據共享場景更多的是將原始數據進行共享，然而在一些特定場景下，需要對數據進行簡單的治理，如去除重復數據、無效字符的處理等，這些操作將會有權限直接對原始數據進行管理，可能面臨以下風險：一是運維人員可直接將數據導出的風險；二是原始數據被篡改的風險，從而導致原始數據的不可用或造成使用部門在業務使用環節出錯。因此，在對數據處理的環節中，需要有對運維人員細顆粒度的權限管理，同時要做好對數據處理日志的記錄，做到風險的及時發現及事后追溯。

1.4 數據存儲風險

政務數據共享交換場景下，存在采集與分發的模式，采集即將共享數據存儲在中心節點中，因此中心節點會存儲大量的政務共享數據，而大量的數據存儲必然會存在更高的泄露風險。一是目前由于從國家層面尚未對政務數據安全給出分級規范，大部分政務數據都是進行統一的存儲，并不會區分一般數據與敏感數據的安全存儲級別，容易導致敏感數據的泄露；二是運維人員對數據庫具有較大的管理權限，可對數據進行查詢、導出等操作；三是若被黑客直接攻入數據庫中，因在存儲層無對應的安全措施，極容易進行拖庫的操作。因此，在政務數據共享交換存在數據存儲的場景下，除了要對自身的存儲環境進行安全加固，還需要對數據自身的安全進行加固，從而確保數據存儲安全。

1.5 數據使用風險

政務數據共享交換場景下，數據使用一般是指使用部門對政務數據的使用，然而提供部門在將數據提供給使用部門后，其管理權已無法去監控數據被使用的情況，因此為能盡量降低數據在被使用時的風險性，可在不影響使用部門正常業務開展的情況下，對數據進行脫敏或加密的處理，使用部門在使用過程中對加密的數據進行解密使用，從而盡量降低數據使用過程中的風險。

2 政務數據共享安全架構設計

圍繞政務數據共享場景所存在的四個風險，結合國家標準《信息技術安全 政務信息共享 數據安全要求》的安全要求，下述將探索研究一套能涵蓋政務數據共享及政務大數據應用等場景的安全架構。

2.1 政務數據共享安全架構的設計邏輯

綜合政務大數據建設過程以及建設成果應用的多維安全風險考慮，政務場景的數據安全建設需求已經不是當前任何一種已有的安全產品或者解決方案可以完全滿足與覆蓋，而是需要針對場景細化后所識別出來的各種風險，并且結合當前安全領域從識別到防護、從感知到響應、從審計到監控的發展思路，建立一套能涵蓋政務共享交換及政務大數據應用等場景的體系化安全解決方案。結合政務數據共享交換場景的安全需求，政務數據共享安全防護解決方案將按照“明確定級、事前保護、事中響應、事后追溯、全程可信”的思路進行設計，如圖2所示。

圖2 政務數據共享安全架構設計邏輯

政務數據共享安全防護解決方案具體思路如下：

（1）明確定級：確定所涉及數據安全的等級，并根據等級制定安全策略，并依照執行；

（2）事前保護：根據定級規則對數據進行安全防護，如對敏感數據進行加密存儲、設置數據的訪問權限、增加人員的身份認證機制等；

（3）事中響應：在對數據進行操作期間，應具備發現危險行為的能力，進行預警并可以進行阻止，及時根據數據安全等級及配套的安全策略進行響應執行；

（4）事后追溯：包括對常規行為的審計與追溯及因安全漏洞所產生的風險行為，可以通過技術手段追溯該行為的操作過程；

（5）全程可信：對基于安全行為的所有操作均進行區塊鏈的上鏈設置，確保記錄的可信。

其中上述明確定級、事前保護、事中響應、事后追溯為循環關系，即通過事前、事中及事后安全措施的執行，可根據實際情況調整數據的安全等級，如分析得到某些數據經常出現風險行為，即可在定級時將該數據再提升一個安全等級，以確保后續的使用安全，從而形成一套可持續運作的安全保障體系。

2.2 政務數據共享安全整體架構

基于“明確定級、事前保護、事中響應、事后追溯、全程可信”的安全思路，結合國家標準《信息技術安全 政務信息共享 數據安全要求》針對政務數據共享交換場景近150項的安全要求，政務數據共享安全防護體系整體架構設計如圖3所示。

圖3 政務數據共享安全防護架構

整體安全架構的設計主要根據交換場景的核心環節進行設計，以實現政務數據共享交換從政務數據準備、共享到使用全流程的安全防護為目標，主要包括四個環節的安全措施：

（1）前置節點安全措施：采用數據加密、數據審計及數據防泄漏的安全措施確保前置節點的安全；

（2）數據傳輸安全措施：采用構建安全傳輸通道的技術確保數據傳輸的安全；

（3）交換平臺安全措施：采用細顆粒度的權限管理、操作審計及授權審批等方式確保平臺的安全使用；

（4）中心節點安全措施：采用數據脫敏、數據加密、數據審計、數據溯源及數據防泄漏的安全措施確保中心節點數據的存儲安全。

整體安全是指基于區塊鏈機制對核心操作行為進行上鏈記錄，確保記錄不可篡改的可信性及可追溯性。

結合政務數據共享交換的流程及上述安全措施，政務數據共享安全防護體系實施路徑如圖4所示。

圖4 政務數據共享安全防護體系實施路徑

上述流程圖實現的安全防護效果如下：

（1）部門用戶登錄前置業務系統時，對其身份進行校驗，并授權其對應的訪問權限。

（2）在前置節點中支持對敏感數據的加密處理，同時配套數據防泄漏的措施，防止用戶產生數據泄露的行為，若需要提供敏感數據進行使用時，可基于脫敏系統根據安全規則對數據進行脫敏后再對外進行提供。

（3）數據通過安全傳輸通道傳遞給中心節點，在中心節點支持對數據的加密、審計、溯源的操作。

（4）運維用戶登錄共享交換平臺對數據進行操作時，亦需要進行身份校驗及授權訪問；在交換平臺進行的高危操作需要進行授權審批及設置對應的安全策略進行風險預警。

（5）數據傳遞給使用部門的前置節點及使用部門用戶登錄的安全防護措施與提供部門的類似。

（6）所有操作行為均進行上鏈記錄，可通過區塊鏈特有的瀏覽器去查詢校驗數據情況及進行追溯處理。

2.3 核心安全技術應用

基于上述架構設計，為實現政務數據共享的全程可信，在安全技術應用上將會涉及身份認證、安全傳輸、數據加密、數據脫敏、數據水印、可信溯源及數據防泄漏等技術。

（1）身份認證技術：在國標中明確要求應采用如用戶名/口令、一次性口令、數字證書、標識密碼、生物特征等技術實現交換兩端的用戶身份鑒別，其中用戶名/口令及一次性口令常規使用在數字證書、標識密碼及生物特征三種技術應用上，通過比對分析（如表1所示）采用SM9標識密碼算法[2]的方式對于改造、維護及擴展上相對較好。

表1 身份認證技術比對

（2）安全傳輸技術：在安全傳輸技術上一般會采用IPSec、SSL或者新國標TLCP，2020年 GM/T 0024—2014《SSL VPN 技術規范》行業標準上升為國家標準GB/T 38636—2020《信息安全技術 傳輸層密碼協議（TLCP）》，TLCP國家標準規定了包括記錄層協議、握手協議族和密鑰計算等傳輸層密碼協議，適用于指導如VPN網關、VPN客戶端、國密瀏覽器等傳輸層密碼協議相關產品的研制、檢測、管理和使用。

（3）數據加密技術：在數據加密上主要考慮采用透明加密技術，數據庫透明加密技術是一種基于透明加密技術的安全加密技術，該技術能夠實現對數據庫數據的加密存儲、訪問控制增強、應用訪問安全、權限隔離以及三權分立等功能。加密系統基于主動防御機制，有效防止明文存儲引起的數據泄密、來自內部高權限用戶的數據竊取、防止繞開合法應用系統直接訪問數據庫，從根本上解決數據庫敏感數據泄漏問題，真正實現數據高度安全、應用完全透明、密文高效訪問等技術特點。除數據庫透明加密技術外，可能還會涉及文件透明加密技術，該技術可以在操作系統文件驅動層對敏感文件進行加解密處理，支持基于程序進程、文件類型、存儲路徑設置文件加解密策略。為保障數據加密后的定向共享，做到細顆粒度的解密鑒權，可采用基于SM9算法的標識密碼屬性加密技術，以數據接收人ID、群組ID、時間信息等作為標識公鑰進行數據加密密鑰保護，可以實現數據的群組加密、屬性加密，只有特定的用戶、特定的群組、特定的時間才能解密數據。

（4）數據水印技術：數據水印技術是一種將水印標記嵌入原始數據中，使數據進行分發后實現泄露數據溯源的技術，具有高隱蔽性、高易用性、高管理融合性等特點，因此可采用數據水印技術對重要數據進行加工處理，實現信息泄露后第一時間將水印標識解封，通過讀取水印標識編碼，追溯該泄露數據流轉過程，并準確定位泄露單位及責任人，實現數據溯源的效果，避免了內部人員外發數據泄露無法對事件追溯，提高了數據傳遞的安全性和可追溯能力。

（5）數據脫敏技術：在國家標準《信息安全技術 政務信息共享 數據安全技術要求》中，明確要求“對敏感數據建立數據脫敏安全策略并按照安全策略對敏感數據進行脫敏，并需確保脫敏后的數據應保留其原數據格式和屬性以便于應用程序使用脫敏數據進行正常功能執行”，基于標準的要求下需提供靜態脫敏及動態脫敏的技術支撐，且要提供假名化、固定值、模糊取整、隨機化等可逆、不可逆脫敏規則，要能滿足脫敏后的數據依然可用可分析的效果。

（6）可信溯源技術：從區塊鏈技術的特性來看，其不可篡改性可帶來高可信任性的特征，可以利用區塊鏈技術對目前的政務數據共享過程進行改造升級，對需要涉及信任要求的環節利用區塊鏈技術對過程內容或結果數據進行上鏈存證，以便后續對過程或結果進行溯源或查證，進一步提升政務數據共享全過程應用的可信任性，可記錄與政務數據共享應用全過程有關的支撐平臺的核心操作日志，如預警日志、處理日志、安全風險日志等，用于保證安全日志的不可篡改性，防止運維人員通過篡改記錄消除過去所產生的危險行為。

3 政務數據共享安全架構實施路徑

政務數據共享安全架構的建設不是當前任何一種已有的安全產品或者解決方案可以完全滿足與覆蓋，而是一套體系化的建設，且結合國家標準的要求，其建設的復雜度、先進性有所增加，目前各區域對結合標準的安全架構的具體實施路徑仍不清晰，想要按照標準進一步加強安全措施，但難以找到可行的實踐路徑，因此建議從四個步驟逐步完善政務數據共享安全體系。

3.1 找差距

一是摸清政務信息共享體系應用范疇所存在的安全風險，在考慮政務信息共享體系的安全風險上不僅僅是從系統層面，同時應需要考慮圍繞數據應用的全生命周期去梳理目前及未來將會存在的數據風險[3]，從而保障安全措施能兼顧未來的應用情況；二是基于所梳理的安全風險及已有的安全措施結合標準的要求進行對標分析，以厘清目前自身與標準的要求有多少是未能滿足的，從而能進一步明確需要加強及建設的內容。

3.2 建體系

本階段核心是需要梳理清楚基于自身的安全風險及與標準的差距情況下，需要建成什么樣的安全體系，包括需要出臺哪些管理規范、建設哪些安全系統、是否需要配置安全運營服務等。例如在本文中所提到的安全架構的思路，按照“明確定級、事前保護、事中響應、事后追溯、全程可信”的思路進行整體體系的設計。

3.3 挖重點

基于標準要求的政務信息共享安全體系的建設是一項長期且持續性的工作，各地方在政務信息共享及安全建設上情況各有差異，各地方需要針對實際情況進行梳理，根據本地實際情況優先實現關鍵的風險點，如目前工作偏重在數據采集工作上，則重點加強在數據準備及交換階段的安全為主，按照實際的工作需求分階段逐步去完善安全措施，通過此種方式，一是可控制建設成本，二是基于應用場景下進行安全建設可以更加貼近實際的應用要求。

3.4 做驗證

結合差距的對比分析及分階段安全措施的建設成果，可從管理及技術層面驗證自身在政務信息共享安全應用的成熟程度，從而進一步判斷與分析當前政務信息共享安全的現狀情況，促進不斷改進保障措施，確保政務信息共享安全的長效性。

4 結 語

各地方政務數據共享安全主要基于信息安全等級保護三級要求進行安全相關的建設為主，一般不會圍繞政務信息共享安全進行專項建設，在數據安全風險上仍有較大的提升空間。目前隨著數據已成為基礎生產要素之一，數據安全尤為重要，國家已發布多個針對數據安全的法規、政策及標準，本文基于GB/T 39477—2020《信息安全技術 政務信息共享 數據安全技術要求》技術要求為基礎，圍繞政務數據共享中所存在的風險提出了一套能涵蓋政務數據共享及政務大數據應用等場景的安全架構，并對該架構所涉及的安全技術應用及實施路徑提出了建議，以期為政務數據共享安全提供有益參考。