统计调查数据的信息安全保障

2018-03-23 11:59刘佳
电子技术与软件工程 2018年4期
关键词:数据信息安全

刘佳

摘 要当前,统计数据已经被视为一种资产、一种可以被衡量和计算的价值。统计数据的安全问题严重影响统计数据的可信度和权威性。本文围绕信息安全保障理论框架和要求、统计调查数据安全的基本内容和当前保护统计信息安全的一般做法及存在问题着重分析提高统计调查信息安全保障意义及具体措施,并得出通过完善统计组织机构、加大统计制度改革、落实统计法治、构建数据安全体系建设的四大措施,遵循信息安全保障理论的思想和方法是加强统计调查数据安全的一种可行方法和思路。

【关键词】统计调查 信息安全 数据

经济社会快速发展,社会管理和经济管理对统计调查数据提出了更多的需求,统计数据已经上升为重要的信息资产,使得“互联网+统计”也将成为统计现代化的新常态。大量的国家经济基础数据的安全与否,影响着政府统计调查的可信度和权威性,通过完善统计组织机构、加大统计制度改革、落实统计法治、构建数据安全体系建设的四大措施,遵循信息安全保障理论的思想和方法是加强统计调查数据安全的一种可行方法和思路。

1 信息安全保障理论框架和要求

信息安全保障是为防止信息被泄露、防止信息被非法修改破坏、防止信息系统被非法入侵等而采取的计划部署、防护检查、管理改进等一系列工作。通过正视威胁的存在、漏洞的存在,采取风险评估、适度防护并加强检查,改进落实对信息安全事件的响应,不断提升防护水平。信息安全保障是要引入信息安全保障的技术框架,有效规划统计调查数据的安全计划,采取行之有效的防护措施,开展信息安全评估检查,改进完善薄弱环节,提高统计调查数据的安全性。

2 统计调查数据安全的基本内容

(1)通过统计调查获得的个人和企业的个体数据是重要的敏感信息,必须得到有效的保护,在对统计调查对象要求做到数据准确、报送及时,不得提供不真实统计数据的同时,作为政府统计调查部门更有保密的义务,为此应采取一定的技术和管理手段。

(2)一些统计调查数据涉及国防和国家安全的重要信息,不能被外界获取,否则可能导致国家利益受损。

(3)政府统计部门运行统计调查业务系统需要采取技术管理信息安全防护措施,确保其收集保存的的敏感信息和调查个体信息的安全,防止信息泄露、毁损、丢失,依法承担本部门的信息安全设施安全保护的职责。

3 当前保护统计信息安全的一般做法及存在问题

3.1 企业上报的CA认证

身份认证技术是信息安全的第一道大门,目前有普通的根据用户名和口令进行身份认证;也有基于数字证书(CA证书)的身份认证系统。通过独立的认证服务器以及与应用服务器的安全凭证的传递技术模型,解决统计联网直报等网上应用的用户身份认证问题。

3.2 统计调查管理端的安全认证

依托统计业务专网的基于口令认证的统计数据处理平台,随着统计调查业务处理系统的推广运行,为满足当前政府统计调查过程中的信息安全的需求,很多采取网络隔离的技术手段,在内网运行。这样使用带来的问题是统计调查管理端的安全更多依赖内网的安全性,在某些内网管理不够严格的基层统计机构,或部分功能允许外网操作的情况下,带来较大的安全隐患。

3.3 防范未授权修改和非法代报的痕迹管理和IP地址管理

通过对系统和数据的操作行为的日志和审计,保障了操作行为是有理有据的正当业务行为。由于行为审计工作没有常规化,导致存在痕迹管理审查不严,整治代报行为的工作也只大多停留在集中整治期间,有较大的监管空白有待填补。

4 提高统计调查信息安全保障的几点建议

目前,统计调查的数据安全保障工作已较过去有了长足的进步,为进一步提高,建议从以下几个方面入手。

4.1 认证软硬件的来源安全性

核心电子器件、高端通用芯片及基础软件产品是作为信息安全的基础和核心,强化高可信的软硬件研究,是保障数据安全的基础性要求,还要采取保密工作中常规的防护要求。要加强对采购的计算机软硬件的认证检验,确保没有预设的隐匿后门,以防备通过设备后门非法盗取统计调查数据。

4.2 构建数据操作的审计系统

信息安全领域通行的做法是构建面向业务的信息安全审计系统,防火墙、防病毒、入侵检测系统、内外网隔离等解决大部分非法侵入问题,而有效地控制信息安全风险,从“审用户、审角色、审权限”到行为日志的记载,将每个访问和操作行为做全面的记录,确保用户的操作合法合理有依据。它代表着由传统信息安全向业务信息安全发展的必然要求,在保障统计调查数据的安全方面将能发挥越来越重要的作用。

4.3 保持密级信息处理的离线独立性

通过设立单独的涉密计算机和涉密网络,使得在物理完全隔离方式下,将密级信息和普通的统计调查数据隔离开来。不盲目依赖系统的权限设置等软措施。

4.4 构建合理有效的检查体系

统计调查行业应制定一套规范清晰的信息安全检查工作体系,增强评估能力。通过建立信息安全检查指标体系时加强管理与技术并重,合理结合自查与监督,形成经常性、规律性的自查,以增强内部人员的信息安全意识和管理水平。通过监督检查强化针对性,既节约检查时间和成本,又有一套合理的评估管理机制,降低安全风险。

4.5 改进和落实数据信息公开的制度

统计调查数据的发布是政府信息公开的重要内容,在尽可能地减少统计数据发布前被泄露的风险。应缩短统计数据生产到发布的时间,有利于降低数据被提前泄露的风险。

参考文献

[1]毛琨.定制数据安全交换模型及其关键技术研究[D].解放军信息工程大学,2013(03).

[2]陈亮.数据安全交换若干关键技术研究[D].解放军信息工程大学,2015(06).

[3]钱勇.基于PKI/PMI的统计信息安全平台研究[J].网络安全技术与应用,2009(06).

[4]门凤超,王会仙.浅谈统计信息化建设[J].经济研究導刊,2009(11).

作者单位

烟台开发区发展改革和经济信息化局 山东省烟台市 264006

猜你喜欢
数据信息安全
《信息安全与通信保密》征稿函
信息安全专业人才培养探索与实践
保护信息安全要滴水不漏
高校信息安全防护
浅谈计量自动化系统实现预购电管理应用
保护个人信息安全刻不容缓
信息安全