陈永刚 赵增振 陈 岚
1(国家信息中心 北京 100045) 2(上海观安信息技术股份有限公司 上海 201803)
近年来,国家高度重视数据安全问题,针对数据安全的法律法规陆续出台,相关工作机制逐步明确.其中政务数据由于其涉及面广、影响程度高,成为相关法律法规和政策文件关注的焦点,也成为国家监管的重点.政务数据共享开放在“一网通办”“跨省通办”、政务“秒批”“秒办”“城市大脑”等场景中广泛应用,有力地提高了公众办事效率,提升了社会治理水平.然而,政务业务和数据的融合加大了数据安全防护的难度,政务数据相关系统面临着巨大的安全威胁和风险[1]:一方面乌克兰危机网络对抗给予了我们重要警示,网络空间已成为现代战争的重要领域,存有大量政务数据的关键信息基础设施是网络战的首要攻击目标;另一方面,黑客组织、犯罪团伙和不法分子长期对政务数据实施网络攻击,窃取重要数据,地下黑产和暗网非法交易活动猖獗,严重危害国家安全、社会公共安全和人民群众合法权益.为了防范和化解政务数据合规风险,提高风险预见、预判能力,开展政务数据安全评估,建立合规数据安全体系,已经成为国家机关、企事业单位开展业务活动的重要前提和保障.
国家对政务数据安全高度重视,颁布实施了《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《网络安全审查办法》《关于加强数字政府建设的指导意见》《信息安全技术 政务信息共享 数据安全技术要求》(GB/T 39477—2020)等法律、法规、政策文件和技术标准[2-6],《网络数据安全管理条例》[7]正在征求意见,对政务数据安全提出严格要求:一是建立数据分类分级保护制度,编制和重点管理国家核心数据,地区、部门以及相关行业、领域的重要数据目录;二是建立数据安全风险评估、报告、信息共享、监测预警机制;三是建立数据安全应急处置机制;四是建立数据安全审查制度;五是规范数据的收集和使用,加强个人隐私、个人信息、商业秘密、保密商务信息等数据保护等要求.
参考《信息安全技术 信息安全风险评估方法》[8](GB/T 20984—2022)国家标准,针对政务数据安全合规的评估方法主要包括访谈、检查和测试3种:
1) 访谈由评估人员与大数据系统建设、运维和服务相关人员就政务大数据安全情况进行谈话.基于重要业务场景,深入了解大数据平台安全控制措施实施情况,并进行分析或证据获取.访谈的对象为个人或团体,例如:大数据平台主要负责人、信息安全机构领导、信息系统安全管理员、运维人员、网络和系统管理员、机房安全管理人员和用户等.
2) 检查由评估人员通过对管理制度、安全策略和机制、安全配置和设计文档、运行记录等进行观察、查验、分析以使评估人员理解、分析或取得证据的过程.检查的对象为规范、机制和活动.例如:评审信息安全策略规划和程序;分析系统的设计文档和接口规范;观测系统的备份操作;审查应急演练结果;观察事件响应活动;研究技术手册和用户/管理员指南;检查、研究或观察信息系统的硬件/软件中信息技术机制的运行;检查、研究或观察信息系统运行相关的物理安全措施及检查信息系统安全基线配置等.
3) 测试由评估人员进行技术测试(包括渗透测试),通过人工或自动化安全测试工具获得相关信息,并进行分析以帮助评估人员获取证据.测试的对象为机制和活动.例如,访问控制、身份识别和验证、审计机制;测试安全配置设置及物理访问控制设备;进行信息系统的关键组成部分的渗透测试,测试信息系统的备份操作;对重要事件进行持续监控;测试事件响应能力以及应急规划演练能力等.
依据政务数据安全相关实践[9]和标准,建立政务数据安全合规评估指标体系,包括2个1级指标、10个2级指标和95个3级指标.
1级指标包括“数据全生命周期安全”指标和“通用合规要求”指标,其中“数据全生命周期安全”指标包括数据采集、传输、存储、使用、交换和销毁各环节,聚焦重要业务场景发现风险点.“通用合规要求”指标从组织结构及人员、管理制度、管理措施和技术措施4个方面评估数据安全管理和技术合规风险.其中2级指标“数据采集风险”包括15个3级指标;“数据传输风险”包括4个3级指标;“数据存储风险”包括13个3级指标;“数据使用风险”包括17个3级指标;“数据交换风险”包括22个3级指标;“数据销毁风险”包括8个3级指标;“组织结构及人员”包括2个3级指标;“管理制度”包括2个3级指标;“管理措施”包括10个3级指标;“技术措施”包括2个3级指标.
3级指标包括部分重点指标:一是关于个人信息相关的“个人信息获取合法性”“个人信息获取必要性”“个人信息处理协议或规则的完备性”等指标,关注收集使用个人信息不正当合法风险;二是关于数据使用相关的“汇聚融合的影响评估”“对重要数据处理的合法性”“对企业秘密数据处理的合法性”等指标,对应履行信息处理者基本义务要求;三是关于管理措施相关的“风险监测要求”“事件处置和通知要求”“风险评估要求”“合规审计要求”“数据安全审查要求”“分类分级保护要求”“权限控制要求”“数据管控要求”等指标,评估管理措施的落实情况及有效性.
参考上述政务数据安全合规评估方法和评估指标体系,对某大数据中心开展了政务数据安全合规评估实践.某大数据中心主要业务包括对委办局提供政务云、政务网、数据的基础设施资源;对公众提供社会事务办事系统,便捷办理各项民生事务,提升公众办事效率.随着政府部门信息化职能整合优化工作的深入推进,负责委办局数百个信息系统和数据的纳管,也伴随着安全风险的汇集,对大数据中心整体安全保障能力提出了更高要求和挑战.大数据中心要在保障数据安全的前提下做好数据治理工作,打通各级政府和各部门之间数据共享堵点,破除“数据孤岛”顽疾.经评估发现,在政务云、大数据平台和政务应用3个方面存在一定的数据安全合规风险.
大数据中心信息系统迁移上云之后,大量信息存储在云上,在拥有云敏捷、弹性、节省资源优点的同时,对于政务云数据安全存在的风险也不容忽视.
1) 数据泄露.
云服务商存储着海量重要数据,愈发成为攻击者的主要目标.数据安全的威胁也由原来外部威胁为主转变为内部威胁和外部威胁共存的局面,来自云环境内部不同租户之间的安全威胁也显著增加.一旦发生数据泄露事件,危害性极大.
2) 数据丢失.
随着政务云管理要求的出台和实施,以及云安全技术防护的加强,因云服务商失误导致的数据丢失的事件逐步减少,更多的是外部恶意攻击者通过永久删除云上数据来损害社会公众利益.此外,云数据中心还面临着自然灾害的隐患,如未建立异地容灾备份机制,可能导致数据永久丢失的严重后果.
3) 外部接口和API攻击.
运维团队使用接口和API管理和调用云资源、管理、服务编排和镜像等云服务,这些云服务的安全和可用性依赖于API的安全性,引入更多的服务或者认证,面临的风险也成倍增加.当运维人员在外部互联网访问API和接口时,系统也将面临暴露的风险.
大数据平台在数据权限管控、数据操作监测与审计、数据全生命周期管理等方面存在一定风险,需高度重视,加强技术防护和日常检查.
1) 数据权限管理.
在鉴别与访问控制方面,外包服务商账号、委办局账号管理较弱,未实现全面统一身份认证,面临误操作、数据泄露的风险.
2) 数据操作监测与审计.
在监测与审计方面,日志记录项不完整,信息系统缺乏审计纪录,人员不易快速排除异常,存在日志被攻击者删除的风险.缺少重要数据操作审计,一旦发生数据安全事件难以追根溯源.
3) 数据全生命周期管理.
在数据采集安全方面,重要数据资产分布和流转不清晰,数据资产分类分级管理有待提升.缺少数据采集过程的异常行为告警机制,如数据采集过程中断、数据采集量过大、人员或者系统错误、超过设定的阈值等,未采取邮件或者短信告警措施.
在数据传输安全方面,数据传输链路管理存在数据在传输过程中被窃取的风险.未对接口传输数据进行完整性校验,存在被中间人篡改导致数据失真的风险.
在数据存储安全方面,未建立敏感数据存储安全机制,未对不同安全级别的数据采用差异化安全存储,包括差异化脱敏存储、加密存储、访问控制等.
在数据使用安全方面,未明确对数据分析操作、结果输出和使用的安全审核、合规评估和授权流程,无法保障数据分析中数据聚合的合规性,存在衍生数据超出原始数据授权范围或安全使用要求的可能.缺少有效识别、监控和预警异常操作和数据滥用行为的工具,难以及时识别数据滥用行为或潜在风险,缺乏对滥用行为的有效预防及追责能力.
在数据交换安全方面,对数据服务接口的安全限制措施不足,未对服务接口的参数设置等进行管控,缺少异常告警机制,存在数据泄露风险.
在数据销毁安全方面,存在销毁周期定义不清的问题,销毁的技术手段待加强.
政务应用层面主要在漏洞、网站和应用支撑等方面存在风险,将带来数据安全方面的问题,亟待补齐短板.
1) 业务应用安全漏洞风险.
业务应用系统可能存在漏洞或业务逻辑权限处理不当情况,导致非授权用户越权访问或获取数据操作权限的风险.
2) 业务应用网站安全风险.
业务应用网站可能存在页面内容被篡改(如敏感词、网页木马、暗链、网页变更等)、被DDoS攻击等安全隐患.
3) 应用支撑安全风险.
缺乏对敏感数据全局识别及发现机制,存在上层应用获取个人敏感数据的风险;可能存在对应用认证及权限管理问题,发生非法用户非授权访问;对于数据批量导出行为管控不严,存在数据泄露的风险.
针对上述政务数据安全合规风险,结合政务行业数据治理经验,提出以下建议:
一是完善政务云安全纵深防御体系,以身份认证和权限管理为抓手,加强网络准入、安全域划分、访问控制等安全防护能力建设,对政务云的基础设施、网络等进行安全域隔离.强化边界安全保障,以物理主机、租户及业务边界安全防护为核心,采用入侵检测、安全审计、防病毒、传输加密等多种技术和措施,开展安全攻击事件的分析与防御、策略关联规则的设置与优化、传输协议的安全分析与加固.
二是加强重要数据资产管理,完善敏感数据风险控制体系.严格落实数据分级保护制度,定期实施敏感数据扫描,建立重要数据目录.并针对不同安全级别的数据,明确其在数据采集、传输、存储、使用、交换、销毁等数据生命周期各个环节的安全防护要求.同时,开展数据流转监测分析,监控数据的外传通道,实现对数据泄露事件的定位与追溯.
三是加快数据脱敏应用建设.优化静态脱敏场景,做到脱敏过程数据不落地,并在提供给分析团队或者委办局之前,先进行数据脱敏,同时脱敏后数据的业务特征不能丧失.根据定义规则对关键数据进行数据保护,同时对数据库中数据查询导出数据进行动态脱敏处理,并对操作数据库的行为进行审计.
四是形成水印溯源技术能力,落实事后追责制度.对处理重要数据的业务系统,形成业务系统实时水印能力,包括明或暗类型的背景水印、数据库水印、文件水印等水印技术.并为每个用户分配唯一的水印任务密钥,实现溯源系统从泄露的数据中提取水印信息,可溯源到最可能的责任人.
五是探索应用隐私计算技术,如安全多方计算、区块链技术,推进政务数据算法式安全共享,解决隐私计算中原始数据、计算过程和结果面临的可验证性问题,在保护数据隐私的同时增强隐私计算过程的可验证性.