政務大數據安全保密管理研究

【摘    要】隨著政務信息公開工作的全面推進和大數據技術的不斷發展，政務大數據得到越來越廣泛的應用，大數據安全問題也越來越突出。本文介紹了政務大數據的安全保密管理現狀，分析了其安全保密風險，并給出了相應的安全保密管理措施。

【關鍵詞】政務大數據  保密管理  保密風險  定級

1 引言

政務大數據是指政府在推動大數據應用發展的過程中或大數據在公共服務領域的應用實踐中產生的大數據。如今政府數據開放行動如浪潮般席卷全球，我國政府順應時代發展趨勢，將“大數據”連續四年寫入政府工作報告，并啟動實施《促進大數據發展行動綱要》，將政府數據資源開放和共享作為當前主要任務[1]。在政務大數據面向公眾開放的過程中，一旦發生失泄密事件，后果將不堪設想，因此，做好政務大數據的安全保密管理尤為重要。目前，政務大數據尚未形成完善的安全保密管理體系，這也限制了其快速發展和廣泛應用。本文系統分析了政務大數據的安全保密風險，提出了相應的管理防護手段，對于黨政機關和涉密單位做好政務大數據安全保密管理有借鑒意義。

2 政務大數據安全保密管理現狀

當前，我國政務大數據正在蓬勃發展，各地區、各部門都在積極建設或使用自己的政務大數據平臺，有多個省市積極出臺了專門的大數據相關政策文件。但大數據安全的技術研究尚不成熟，我國仍缺少政務大數據安全保密方面統一的標準或政策文件。通過調研發現，我國一些政府部門雖然已經形成內部管理規范并執行，但有關規范文件并不完全適用于當前的大數據安全現狀。大部分單位的大數據技術保障措施不健全，在進行大數據安全管理時仍主要采取傳統的保密技術手段和管理手段進行數據管控，使用舊方法應對新技術、新情況，保密風險很大，安全事件發生的概率也很高。我國政務大數據安全保密管理亟待加強。

3 政務大數據的安全保密風險分析

在政務大數據產生、采集、存儲、傳輸、挖掘、應用、銷毀的過程中，無論哪個環節的管理不慎，都有可能導致隱私或敏感數據泄露。

3.1 數據的保護不當導致隱私或敏感數據泄露

數據是政務大數據安全的核心保護對象。目前，在數據存儲階段，數據主要是分布式地存儲在大數據平臺中，采用云存儲技術，以多副本、多節點、多分布式的形式存儲各類數據。數據的集中存儲和濫用增加了被非法入侵和數據泄露的風險[2]。在數據傳輸階段，如果傳輸信道未采取保護措施，數據將有可能在傳輸過程中被不法分子截獲而造成數據泄露。在數據應用階段，如果大數據平臺沒有采取有效的身份認證和訪問控制措施，也會導致隱私、敏感數據的非授權訪問，而敏感、隱私數據關聯分析后產生涉密信息的概率也會加大。在數據銷毀階段，數據刪除不徹底或敏感數據被違規恢復可能會造成失泄密事件發生。另外，在數據采集和挖掘的過程中，如果沒有對數據采取有效的防護措施，極有可能導致數據的泄露。

3.2 定級的不規范導致隱私或敏感數據泄露

在政務大數據的數據采集階段，數據定級工作是十分重要的一個環節。如果定級工作不規范，數據沒有進行合理的分類分級，則有可能導致個別涉密或關鍵隱私數據流轉至大數據平臺的公共訪問區域，從而失去對這些數據的控制，進而導致失泄密事件發生。

數據作為信息的載體，它既蘊含我們需要的信息，也包含著我們尚未發現的信息[3]。在數據挖掘階段，大量公開數據被關聯分析之后有可能會產生涉密信息，如果沒有對這些信息做及時的定級和消除等處理，也可能會導致失泄密事件的發生。

3.3 內部人員管理不當導致隱私或敏感數據泄露

負責大數據平臺運維管理工作的內部人員不僅可以接觸到大數據平臺的基礎設施，而且擁有較高的系統權限，部分單位內部沒有形成完善的人員管理制度和操作規范，任由內部運維管理人員進行操作。一旦內部人員操作不當或者有意盜取數據，則會造成不可估量的損失，甚至會引發失泄密事件。

圖1  基于政務大數據生命周期的風險分析模型                                                                  

   圖2 政務大數據安全保密管理體系圖

3.4 大數據安全風險評估不到位導致隱私或敏感數據泄露

大數據作為近年來信息化發展的新興事物，具有多樣化、海量化、快速化、價值密度低、復雜等特點，這些特點不僅給信息化發展帶來變革，也使得信息安全變得更加復雜，各種新問題、新風險層出不窮，當下的一些安全保密手段已經無法滿足大數據時代的信息安全需求。此時，如果沒有采取有效措施對系統的安全風險進行評估，就極有可能出現大數據平臺“帶病運行”的情況，數據泄露的風險會很大。

綜上所述，政務大數據在數據全生命周期的各個環節都存在一定的安全保密風險，如圖1所示。如果不加以管控，數據泄露的可能性會很大。

4 政務大數據的安全保密管理措施

針對政務大數據在日常使用中不斷暴露出的安全保密問題，為降低安全保密風險，防止失泄密，需要做好以下6個方面的工作。

4.1 建立健全政務大數據安全保密管理體系

結合當前政務大數據安全保密現狀，應該盡快建立健全政務大數據安全保密管理體系，如圖2所示。從總體上來看，政務大數據安全分為平臺安全、數據安全、隱私或敏感信息安全3個層次。其中平臺安全是基礎，在平臺安全可控的條件下進一步保證平臺上運行的數據安全，而隱私或敏感信息安全又是建立在數據安全的基礎之上。在具體操作層面上需要采取技術措施和管理措施相結合的方式進行安全防護。而所采取的技術和管理措施應該參照當前的國際國內標準。目前我國的大數據安全標準體系還在建設階段，相關部門加快有關標準和規定的出臺對建立健全政務大數據安全保密管理體系具有十分重要的推動作用。

4.2 加強政務大數據的全生命周期管理

大數據的全生命周期管理，就是在大數據的采集、存儲、傳輸、挖掘、應用、銷毀過程中，每一個環節都嚴格規范管理。在數據采集得到原始數據之后要規范定密，在數據存儲階段采取安全可靠的存儲措施，在數據傳輸階段對數據傳輸信道進行防護，在數據挖掘階段及時對挖掘結果進行定密分析和處理，在數據應用階段采取有效的訪問控制措施，在數據銷毀階段加強銷毀流程管理。另外，在大數據全生命周期管理中，安全審計工作也十分重要，要定期對大數據全生命周期的審計數據進行統計分析，及時發現系統漏洞或違規操作，并采取補救措施。

在政務大數據全生命周期管理中，技術措施作為其支撐手段是必不可少的。在大數據系統中，“木桶效應”非常明顯，任何一個漏洞或薄弱環節都可能給入侵者提供可乘之機，都有可能被黑客入侵而造成大數據的泄露[4]，采取全面可靠的安全技術措施尤為重要。大數據平臺管理部門需要采取技術措施對大數據平臺的基礎設施安全、數據存儲安全、網絡安全等進行有效防護。政務大數據平臺基礎設施安全方面需要采取有效的物理防護措施、電磁防護措施和防病毒措施保證大數據平臺的正常使用；政務大數據存儲安全方面需要采取數據加密等技術措施保證數據存儲過程的安全；政務大數據應用安全方面需要采取身份認證、權限劃分、訪問控制、邊界防護、入侵防御、安全審計等措施確保數據在政務大數據應用過程中的安全。

4.3 規范大數據定級管理

大數據定級是政務大數據安全保密管理的重點和難點，定級的不準確將可能直接導致涉密數據的泄露。在對政務大數據進行規劃時，要高度認識到大數據安全形勢的嚴峻性，對數據資源進行分類分級，明確重點保障對象，強化對敏感和要害數據的管理[5]。機關、單位應清醒認識到目前大數據定級工作的問題，建立權責明晰、規范程序、監督有力的定級管理制度，為定級工作的科學規范提供有力支撐。在數據采集階段，通過規范定級流程和落實定級責任等措施確保定級工作的準確、合理、合規，有效防止涉密數據導入政務大數據平臺。在數據挖掘階段，通過機器鑒別和人工鑒別相結合的方式對數據挖掘結果進行判定，準確確定數據等級，一旦判定為涉密信息，應及時采取應急處理措施。

4.4 制定完善的安全保密管理制度

再先進的技術安全措施也都會存在漏洞，大數據安全也不例外，如果說技術安全措施是在受保護的數據周圍筑了一道墻，那么安全保密管理制度就是用來填補墻上漏洞的水泥。要想做好政務大數據安全保密管理，必須要有完善的安全保密管理制度體系來做支撐。

政務大數據建設使用單位應該制定完善的安全保密管理制度，明確運維管理人員的主體責任，落實各項安全保密管理措施，包括內部人員管理制度、大數據平臺運維管理制度、數據定級管理制度、應急響應制度等。

在這里需要特別強調的是，內部安全管理制度中應明確運維管理人員權限和責任，切實規范大數據平臺運維管理人員的日常操作行為，并在日常運維管理過程中，結合監控手段定期對運維管理人員的操作行為進行審計。通過對運維管理人員行為的審計可以分析系統中是否存在違規訪問行為，最后再通過溯源技術，對該違規行為進行追溯，從而能夠在后臺對數據進行安全防護，有效防范系統中的運維管理人員所存在的泄露風險。

4.5 形成完善的安全風險監測機制

在政務大數據安全保密管理中，如果沒有完善的安全風險監測機制，就難以有效評估大數據平臺的安全性，也難以用量化的指標評判數據是否可控。大數據平臺建設使用單位需要建立完善的安全風險監測機制，通過合規評估、安全測試和攻擊滲透等手段，實現對大數據業務各個環節風險點的全面評估，保障安全管理制度和技術要求的有效落實。在安全風險評估之后要針對發現的風險點進行詳細研究論證，及時了解大數據安全的最新技術和管理措施，制定詳細的風險解決方案，通過使用新的技術或管理手段降低大數據系統的風險，只有殘留風險在可接受范圍內才可上線大數據系統。

4.6 形成政務大數據安全應急處置機制

在大數據平臺運行和使用的過程中，網絡設備和安全設備出現故障等突發情況不僅會影響平臺的正常使用，還可能會影響平臺中數據的保密性。大數據平臺建設使用單位應在設計建設大數據平臺的同時同步建立安全應急處置預案，保證出現突發情況能夠及時有效地解決，保證大數據平臺的可用性和保密性。

5 結語

事物是不斷變化的，要學會用發展的眼光看待問題。大數據作為新興技術，正走在不斷發展的快車道上，必然會帶來很多安全問題，有些問題我們當前可以解決，有些問題我們正在尋求解決之法，終有一天能夠解決。當前我國正在加快大數據安全的研究，后續會逐步建立完善的政務大數據安全標準和規范體系，政務大數據安全風險將進一步降低。但一定要認識到，大數據安全問題仍會層出不窮，政務大數據安全永遠沒有終點，我們還需不斷加強研究和了解大數據安全技術和管理手段，針對新的安全風險點及時采取應對措施，確保政務大數據安全。

參考文獻

[1]黃如花,賴彤.數據生命周期視角下我國政府數據開放的障礙研究[J].情報理論與實踐,2018,41(02):7~13.

[2]李樹棟,賈焰,吳曉波,李愛平,楊小東,趙大偉.從全生命周期管理角度看大數據安全技術研究[J].大數據,2017,3(05):3~19.

[3]李偉國.大數據格局下的保密、泄密與防范[J].保密工作,2018(04):44~48.

[4]大數據治國戰略研究課題組.大數據領導干部讀本[M].北京:人民出版社,2017.

[5]張尼,張云勇,胡坤.大數據安全技術與應用[M].北京:人民郵電出版社,2014.