政府大数据开放共享框架构建及安全保障研究

2022-04-07 04:14陈迎春
互联网天地 2022年3期
关键词:脱敏数据安全政府

□ 文 陈迎春

0 引言

在全球信息化迅速发展的时代背景下,大数据应用不断改变着人们的生产生活方式,大数据资源已经毫无异议被认为是国家基础性战略资源,是重要生产要素和新生创新动力的强大驱动力。据统计,我国80%的数据资源都掌握在政府相关部门,政务数据的数量最庞大、密度最高。在政府的公共管理决策过程中,大数据与云计算等新技术的融合使得全样本实时分析成为可能,定性决策已经转化为量化决策,提高了政府决策的有效性、科学性和预判性,诸多公共领域也利用大数据造福社会。因此,大数据已经成为我国维护稳增长、促改革、调结构、惠民生的内在需要。但是数据本身并不产生价值,只有在开放共享的数据流动过程中,合理应用大数据才能充分体现它的巨大社会价值。

1 政府大数据开放共享的发展现状

近年来,国家层面陆续出台了一系列法律法规,为大数据的健康发展提供了强有力的制度保障,尤其是2018年7月国务院印发的《关于加快推进全国一体化在线政务服务平台建设的指导意见》明确了政务数据开放共享的目标,提出打通信息孤岛,让数据互联互通。随着电子政务的蓬勃发展,大数据应用不断深入,已经在智慧城市、应急管理等项目中发挥了巨大作用。但是伴随着政府大数据开放共享的推进,也出现许多问题,阻碍了政府大数据的进一步应用。

1.1 “信息孤岛”难以打通

当前,我国各级政府信息化建设依然存在各自为政、重复建设的问题。为了所谓“数据话语权”,有些政府部门将公共数据进行部门化、专属化和利益化,不愿意向社会开放数据,导致“信息孤岛”现象严重。

1.2 数据安全难以保障

近年来数据安全事件频发,给国家和个人都造成了巨大的经济损失和精神伤害。很多政府部门和企业在数据开放问题上忧心忡忡,担心在数据的采集、存储、交换、处理及销毁等过程中存在重大安全隐患,由此造成数据泄露或者安全威胁,这种担忧心理也阻碍了数据的开放共享。

1.3 数据质量难以保证

政府数据的多源性和异构性使得统一转化非常困难,无法实现统一比对,直接影响了政府数据的真实性、准确性和权威性。因此,有些部门为了不影响其公信力,宁可不开放共享。

1.4 制度保障有待加强

2007年颁发的《政府信息公开条例》虽然对政府大数据的开放起到了积极的推动作用,但没有对开放数据的类别、技术标准和数据口径等进行清晰规范,开放边界的划分模糊。2015年颁发的《关于促进大数据发展的行动纲要》明确了政府数据开放的具体任务和总体要求,但是没有细化约束条例,各地政府数据开放进展依旧缓慢。

2 合理构建政府大数据开放共享框架

政府大数据开放共享的主要过程是政府所拥有的大数据通过开放平台为数据使用单位提供开源数据检索、下载和调用等服务,开放过程严格遵循开放共享原则(即持续性、协调性、互利性、透明性、安全性等),并从安全技术层面做好数据安全防护,构建框架如图1所示。

图1 政府大数据开放共享框架

2.1 数据提供方

主要是指生产或收集数据、并能提供数据共享接口的政府部门和企业。在开放共享之前,政府数据必须经过数据治理,达到以下效果:一是提高数据质量,保证其完整性、准确性、唯一性和安全性等;二是合规合法地拥有所有资源的知识产权;三是敏感大数据必须经过脱敏处理,保证开放共享后不会对个人隐私和国家安全造成重大泄密。

2.2 数据使用方

主要是指遵循开放共享原则获取数据并进行应用的政府部门及企业。数据应用者在共享和使用政府数据的过程中,必须做到:一是遵守国家相关法律法规;二是获得数据使用的合法授权,只能在授权范围内获取和使用政府数据;三是保证数据传输、存储、调用的安全性,确保共享数据不丢失不泄漏不被恶意篡改。

2.3 平台管理方

主要是指在数据开放共享过程中为数据供需双方提供多种平台服务的政府部门及企业。主要任务是对政府数据进行有效管理,确保政府数据传输和使用的安全性,其包括:对开放共享的数据进行全周期的清洗、审核、分类和存储等;完成记录数据开放活动轨迹;建立相关平台数据安全使用制度;采取数据安全保护和监测等措施。

2.4 服务提供方

主要是指为政府数据供需双方和平台管理方提供第三方技术支撑服务的专业机构或企业。在数据开放共享框架中主要是为政府数据提供者和使用方提供数据安全保障、数据测评、数据脱敏、数据整合、数据分析处理和统一数据交换接口等方面的技术和安全服务。服务提供方必须与被服务对象签订合同或协议,其内容包括:建立专业团队、建章立制、安全培训、提升团队专业能力等,同时确保数据使用中的数据安全性。

2.5 指导监管方

主要是指依照国家法律法规和相关政策对政府大数据开放共享进行合法合规的指导、协调、仲裁和安全监管的政府部门。其主要职责是依照国家法律法规、政策标准建立监管和协调机制,在各方主体发生异议时进行调解或仲裁,出现违法或违规行为时进行调查并形成处置结果。

3 大数据的安全保障

为保证数据开放共享过程中的安全性、完整性、保密性和有效性,必须统筹协调政策法律、安全管理制度、标准体系等,提供可靠的安全技术支撑。

3.1 健全法律法规

除了国家层面提供强有力的法律法规保障外,地方政府也应出台因地适宜的法规。2017年贵阳首次出台了地方性的政府数据开放法规,对各地的政府数据开放共享起到了很好的示范作用。同时数据提供方、数据应用方和平台管理层面还应建立相应的数据安全管理制度,以确保数据流转过程的安全。比如数据注册制度、数据授权制度、数据使用制度和数据保密制度等。

3.2 建立数据安全标准

为保障数据开放共享的安全性,我们需制定一系列数据安全标准,按类别主要分为基础类标准和安全类标准。基础类标准:为其他类别标准提供基础安全标准支撑,主要定义数据流转过程中出现的诸多安全角色及其活动和功能,比如对安全角色、安全模型、安全框架等基础概念的定义。数据安全类标准:它贯穿于数据流转的全生命周期,是管理和保护重要或敏感数据的重要指导依据,包括数据的分类分级、去个性化和安全评估等内容的安全保护技术标准,尤其要制定和完善个人隐私的安全标准。

3.3 安全保障技术

从安全技术层面做好政府大数据开放共享的安全防护,需实施的安全技术包括:安全监测、数据脱敏、访问控制、追根溯源等,其最终目的是保证开放数据的安全性,可管理性和可追溯性。

3.3.1 安全检测

鉴于政府大数据集中化程度高、数据量级庞大,在跨平台的数据开放共享过程中,数据和服务平台极易受到网络黑客的攻击,尤其是有些APT攻击的潜伏期很长。因此,要针对异构大数据的融合、存储和运维采取有针对性的安全技术,实时监测网络流量、安全日志和系统配置等,分析、预测、评估当前网络数据安全状况,对威胁事件和安全隐患进行事前预警和防御处置,提高大数据整体安全风险的感知和处置能力。

3.3.2 数据脱敏

政府大数据中存在很多敏感信息,比如个人隐私、资产数据等。对于这些敏感数据,在大数据开放共享之前需要进行脱敏处理。首先要建立脱敏的方法和标准,其依据是国家相关法律法规、数据分类分级标准和数据开放共享的安全级别,然后根据不同应用场景进行脱敏处理。

3.3.3 访问策略

防止数据被非法访问的关键是建立有效的统一认证系统和完善合理的访问策略。所有用户都必须通过统一账号、单点登录进入应用平台,保证用户通过唯一入口合法访问共享数据资源。对用户的访问权限等级进行设置,用户依据访问策略实现分级访问数据资源,并记录用户访问情况,为数据的事后追根溯源提供基础数据。

3.3.4 追根溯源

数据溯源是在结果发生后对历史痕迹进行分析、溯源。例如发生网络安全攻击后,可以对网络流量、日志和警告信息等进行追溯综合分析,确定攻击行为类型,也可以通过关联的IP地址等信息追溯到实施者所在地,进而追溯到实施者所在的单位、具体的操作人。在数据共享开放的全生命周期中对数据的流转过程要加强监控、记录,全程透明可见。为提升对安全事故的追责能力,所有的留痕记录必须具备唯一性并不可修改。

4 结束语

随着大数据时代的到来,数据应用广泛深入,我国政府已充分认识到开放政府数据的战略意义。毫无疑问,政府数据只有被充分开放、共享,让政府之外的主体也成为数据享用者,政府大数据才能发挥其最大价值,才能对政府的决策机制和企业的经营方针产生深刻的影响。但是政府数据开放并不意味着所有数据都可以向社会开放共享,尤其是对于涉及国家安全、商业秘密、个人隐私等敏感或机密数据必须做到安全、有效、可靠的管理。因此,除了研究如何安全地开放共享这些宝贵的大数据,如何划分共享边界等主题,政府各部门还要制定加强数据开放的政策法规,以保障国家安全和社会稳定。■

猜你喜欢
脱敏数据安全政府
激光联合脱敏剂治疗牙本质过敏症
变应性鼻炎行标准化舌下脱敏治疗的护理体会
工信部:加快制定工信领域数据安全管理政策
部署推进2020年电信和互联网 行业网络数据安全管理工作
数据安全政策与相关标准分享
省级政府金融权力榜
完形填空三则
慎用脱敏牙膏