文｜李國良

政府?dāng)?shù)據(jù)作為國家基礎(chǔ)性戰(zhàn)略資源，在數(shù)據(jù)要素市場化配置中起經(jīng)濟(jì)治理的作用。當(dāng)前，隨國家大力推動(dòng)政務(wù)服務(wù)“一網(wǎng)通辦”和政務(wù)數(shù)據(jù)共享應(yīng)用，已初步構(gòu)建政務(wù)數(shù)據(jù)共享交換體系，數(shù)據(jù)歸集量和數(shù)據(jù)共享量、數(shù)據(jù)共享應(yīng)用場景均有較大進(jìn)步，為加速實(shí)現(xiàn)政務(wù)數(shù)據(jù)共享奠定堅(jiān)實(shí)的基礎(chǔ)。政務(wù)數(shù)據(jù)共享核心目的在于建立統(tǒng)一的政務(wù)數(shù)據(jù)共享交換渠道，連通各政府機(jī)關(guān)部門，實(shí)現(xiàn)政務(wù)數(shù)據(jù)的共享及匯聚，以充分釋放數(shù)據(jù)潛在價(jià)值，激發(fā)數(shù)據(jù)經(jīng)濟(jì)活力。

一、發(fā)展現(xiàn)狀及面臨的風(fēng)險(xiǎn)

一般來講，數(shù)據(jù)共享的方式主要分為數(shù)據(jù)開放、數(shù)據(jù)交換和數(shù)據(jù)交易，目前，在數(shù)字政府建設(shè)領(lǐng)域所指的數(shù)據(jù)共享主要包括數(shù)據(jù)共享交換、數(shù)據(jù)開放兩種方式，尤其是近年來國家大力提倡的政務(wù)服務(wù)“一網(wǎng)通辦”，涉及大量政務(wù)數(shù)據(jù)共享應(yīng)用的需求。在政務(wù)數(shù)據(jù)歸集治理、共享開放和數(shù)據(jù)交易過程中，仍存在許多安全隱患，例如，數(shù)據(jù)存儲(chǔ)安全、數(shù)據(jù)明文共享、數(shù)據(jù)源可信程度、數(shù)據(jù)共享去向不明等，尤其是跨域數(shù)據(jù)共享過程中的敏感數(shù)據(jù)暴露以及數(shù)據(jù)整體安全防護(hù)能力變?nèi)?、追蹤溯源困難等都給數(shù)據(jù)安全共享帶來較大的風(fēng)險(xiǎn)。本文是基于政務(wù)數(shù)據(jù)共享賦能、進(jìn)一步提升政務(wù)數(shù)據(jù)共享安全性這個(gè)角度開展研究。因此，本文研究主要目的是在政務(wù)數(shù)據(jù)共享過程中存在安全隱患的基礎(chǔ)上，研究提出加強(qiáng)政務(wù)數(shù)據(jù)共享安全防護(hù)措施，主要包括使用數(shù)據(jù)傳輸安全、數(shù)據(jù)共享安全控制措施、數(shù)據(jù)共享服務(wù)接口調(diào)用動(dòng)態(tài)授權(quán)控制、數(shù)據(jù)共享追溯及數(shù)據(jù)動(dòng)態(tài)脫敏等方面的措施，以提升數(shù)據(jù)共享安全防護(hù)能力，消除政務(wù)數(shù)據(jù)共享安全隱患，讓政務(wù)數(shù)據(jù)能更安全傳輸，讓政務(wù)數(shù)據(jù)共享過程可追溯，為下一步各地區(qū)強(qiáng)化政務(wù)數(shù)據(jù)共享安全提供借鑒。

二、政務(wù)數(shù)據(jù)共享安全防護(hù)措施

（一）數(shù)據(jù)加密傳輸和異步分批傳輸

為確保政務(wù)數(shù)據(jù)在不同地區(qū)、不同部門、不同政務(wù)信息系統(tǒng)以及同一平臺(tái)不同子系統(tǒng)間安全地進(jìn)行數(shù)據(jù)傳輸、共享和互調(diào)用，非常有必要對(duì)傳輸全過程實(shí)行安全防護(hù)控制。本文首先在使用符合國密算法標(biāo)準(zhǔn)的SSL協(xié)議進(jìn)行傳輸基礎(chǔ)上，又采用了系統(tǒng)獨(dú)有的加解密技術(shù)對(duì)政務(wù)數(shù)據(jù)加解密并形成數(shù)據(jù)傳輸包；其次，在傳輸過程中采用多加密數(shù)據(jù)包技術(shù)，并且對(duì)待傳的多加密數(shù)據(jù)包使用異步分批隨機(jī)傳輸技術(shù)；同時(shí)，控制每對(duì)節(jié)點(diǎn)之間的數(shù)據(jù)流量，對(duì)數(shù)據(jù)傳輸日志進(jìn)行實(shí)時(shí)跟蹤；最后，在數(shù)據(jù)傳輸目標(biāo)服務(wù)系統(tǒng)內(nèi)對(duì)數(shù)據(jù)進(jìn)行解密，與調(diào)用者技術(shù)握手確認(rèn)成功后，再將數(shù)據(jù)交由調(diào)用者。這種措施的技術(shù)原理為：一份數(shù)據(jù)是加密分批傳輸，即使在傳輸過程中某些數(shù)據(jù)包被攻擊者截獲，攻擊者也無法破解并恢復(fù)完整的數(shù)據(jù)包。通過數(shù)據(jù)加密傳輸和異步分批傳輸對(duì)數(shù)據(jù)采取了雙重防護(hù)措施，進(jìn)一步提升政務(wù)數(shù)據(jù)共享時(shí)的安全性。

（二）AppSign授權(quán)訪問機(jī)制

隨著政務(wù)數(shù)據(jù)應(yīng)用場景越來越豐富，使用政務(wù)數(shù)據(jù)的渠道也越來越多，如業(yè)務(wù)系統(tǒng)軟件、App、小程序、智能終端等均成為共享使用政務(wù)數(shù)據(jù)的終端，為消除數(shù)據(jù)安全風(fēng)險(xiǎn)隱患，進(jìn)一步提高數(shù)據(jù)共享安全性，有效進(jìn)行邊界控制，防止出現(xiàn)越界訪問數(shù)據(jù)的現(xiàn)象發(fā)生，需要對(duì)使用政務(wù)數(shù)據(jù)的第三方應(yīng)用進(jìn)行管控。具體實(shí)現(xiàn)方式如下：

在第三方應(yīng)用申請(qǐng)共享政務(wù)數(shù)據(jù)時(shí)，通過獲取綁定調(diào)用者IP地址，使用“一人、一賬號(hào)、一地址、一登錄、一認(rèn)證”的綁定機(jī)制對(duì)第三方應(yīng)用進(jìn)行管控，通過這種機(jī)制，就能識(shí)別數(shù)據(jù)獲取者是否是合法用戶。

第三方應(yīng)用調(diào)用者通過身份認(rèn)證之后，采用“自動(dòng)+人工”組合的授權(quán)模式對(duì)待共享數(shù)據(jù)授權(quán)，授權(quán)成功后數(shù)據(jù)共享平臺(tái)自動(dòng)隨機(jī)生成1個(gè)AppSign信息碼，該信息碼采用36位隨機(jī)字符碼，用來輔助驗(yàn)證第三方應(yīng)用調(diào)用者的身份。AppSign信息碼采取“一應(yīng)用、一服務(wù)、一分配”模式進(jìn)行授權(quán)，每個(gè)服務(wù)會(huì)分配一個(gè)AppSign信息碼給第三方應(yīng)用調(diào)用者，用來識(shí)別第三方應(yīng)用調(diào)用者身份。通過數(shù)據(jù)共享平臺(tái)服務(wù)系統(tǒng)中的白名單過濾機(jī)制，可以指定第三方應(yīng)用調(diào)用者的IP，如白名單外的第三方應(yīng)用調(diào)用者IP，即使截獲了AppSign信息碼，在調(diào)用服務(wù)時(shí)，將拒絕調(diào)用者的請(qǐng)求，實(shí)現(xiàn)訪問安全認(rèn)證。

第三方應(yīng)用調(diào)用者正式獲得共享的政務(wù)數(shù)據(jù)之前，數(shù)據(jù)共享平臺(tái)對(duì)其IP地址、賬號(hào)、登錄信息、AppSign信息碼等有關(guān)信息進(jìn)行二次組合驗(yàn)證，并自動(dòng)綁定第三方應(yīng)用調(diào)用者所在設(shè)備的IP地址，采用賬號(hào)登錄排斥技術(shù)確保同一賬號(hào)只能在綁定的設(shè)備上登錄并獲取AppSign信息碼，待這些信息都驗(yàn)證通過后，才可接通第三方應(yīng)用調(diào)用者要查詢的數(shù)據(jù)接口，執(zhí)行數(shù)據(jù)共享查詢、核驗(yàn)等操作服務(wù)。同時(shí)，數(shù)據(jù)共享平臺(tái)對(duì)上述操作全流程進(jìn)行記錄，以便于后期的追溯。

（三）DynamicSignKey碼動(dòng)態(tài)刷新授權(quán)認(rèn)證

在AppSign信息碼授權(quán)訪問機(jī)制基礎(chǔ)上，為防止暴力破解或其他方式截獲AppSign信息碼，在第三方應(yīng)用調(diào)用數(shù)據(jù)接口時(shí)，又增加DynamicSignKey碼認(rèn)證模式進(jìn)行強(qiáng)化授權(quán)，可進(jìn)一步提升政務(wù)數(shù)據(jù)共享接口安全性。主要原理是采用動(dòng)態(tài)刷新的DynamicSignKey碼進(jìn)行強(qiáng)授權(quán)，首先，第三方應(yīng)用在調(diào)用共享的數(shù)據(jù)接口前，每天都需使用調(diào)用方服務(wù)Id、用戶標(biāo)識(shí)、AppSign信息碼等信息，依托數(shù)據(jù)共享平臺(tái)自動(dòng)分配一個(gè)DynamicSignKey碼給第三方應(yīng)用調(diào)用者；其次，通過DynamicSignKey值生成每日的sign動(dòng)態(tài)簽名，每天生成的sign動(dòng)態(tài)簽名值均不同；最后，每次調(diào)用數(shù)據(jù)接口時(shí)，都需要附上sign動(dòng)態(tài)簽名值才能進(jìn)行數(shù)據(jù)接口調(diào)用，同時(shí)系統(tǒng)做好調(diào)用記錄。需要說明的是，DynamicSignKey碼24小時(shí)內(nèi)有效，這樣通過強(qiáng)認(rèn)證方式，又提升了數(shù)據(jù)共享過程中的安全性。具體的數(shù)據(jù)共享接口調(diào)用流程如下所示：

首先，第三方應(yīng)用調(diào)用者填寫相關(guān)申請(qǐng)信息并通過算法生成密鑰DynamicSignKey；

根據(jù)密鑰（DynamicSignKey）對(duì)第三方應(yīng)用調(diào)用者ID、IP地址和申請(qǐng)時(shí)間戳標(biāo)記等信息進(jìn)行哈希運(yùn)算后進(jìn)行base64轉(zhuǎn)碼獲得gjzwfwpt_sign值，該數(shù)值的有效期為15分鐘；

根據(jù)第三方應(yīng)用調(diào)用者的請(qǐng)求頭參數(shù)、請(qǐng)求參數(shù)調(diào)用接口地址獲取數(shù)據(jù)報(bào)文；

基于前面獲得的授權(quán)碼（AppSign），對(duì)第三方應(yīng)用調(diào)用者標(biāo)識(shí)（App_rid）、接口編碼（App_sid）和請(qǐng)求時(shí)間戳（App_rtime）進(jìn)行計(jì)算簽名，得到簽名密鑰（App_sign）；

在接下來的數(shù)據(jù)共享接口調(diào)用過程中，先使用簽名密鑰對(duì)第三方應(yīng)用調(diào)用者標(biāo)識(shí)、接口編碼和請(qǐng)求時(shí)間戳進(jìn)行計(jì)算簽名，然后調(diào)用數(shù)據(jù)共享接口。該簽名密鑰可以連續(xù)多次使用，直至密鑰過期或主動(dòng)更新。DynamicSignKey每日更新一次，以保障該密鑰的安全性。

（四）數(shù)據(jù)全程追溯和動(dòng)態(tài)脫敏機(jī)制

要確保政務(wù)數(shù)據(jù)共享全程可追溯，便于清楚地掌握數(shù)據(jù)流向、路徑、目的地、參與者等信息，應(yīng)采取監(jiān)管記錄措施，實(shí)現(xiàn)數(shù)據(jù)共享全程追溯。主要方法是健全數(shù)據(jù)共享系統(tǒng)日志機(jī)制，記錄數(shù)據(jù)流轉(zhuǎn)的全過程，日志內(nèi)容盡可能完整，主要包括：操作日期、工作站名、用戶名、文件名、操作方式、流向ip、路徑端口、目的系統(tǒng)等信息，為數(shù)據(jù)審計(jì)提供詳細(xì)記錄。

針對(duì)所有數(shù)據(jù)共享調(diào)用服務(wù)都會(huì)建立訪問策略，包括訪問權(quán)限的控制、訪問時(shí)間段的控制、訪問次數(shù)的控制、異常訪問的調(diào)度等。

針對(duì)所有數(shù)據(jù)共享調(diào)用服務(wù)的都形成日志記錄，日志記錄的內(nèi)容為調(diào)用的應(yīng)用、調(diào)用的開發(fā)者、調(diào)用的時(shí)間、調(diào)用的傳入?yún)?shù)、調(diào)用的IP、調(diào)用的成功狀態(tài)等。

針對(duì)異常訪問以及錯(cuò)誤訪問，進(jìn)行記錄日志并及時(shí)反饋給數(shù)據(jù)維護(hù)者，數(shù)據(jù)維護(hù)者及時(shí)處理異常訪問及錯(cuò)誤訪問，保證數(shù)據(jù)服務(wù)的正常運(yùn)轉(zhuǎn)。

采用數(shù)據(jù)動(dòng)態(tài)脫敏技術(shù)。數(shù)據(jù)持有者希望可以在不泄露隱私信息的前提下將數(shù)據(jù)共享給數(shù)據(jù)訪問者，在政務(wù)數(shù)據(jù)共享過程中，為防止個(gè)人信息泄露和有效防止數(shù)據(jù)擴(kuò)散帶來的安全風(fēng)險(xiǎn)，有些數(shù)據(jù)需要在共享邊界內(nèi)外進(jìn)行脫敏處理，但還需要保持?jǐn)?shù)據(jù)共享邊界內(nèi)外的獨(dú)立性和識(shí)別度，因此，需要在數(shù)據(jù)共享過程中對(duì)需要脫敏的數(shù)據(jù)開展數(shù)據(jù)動(dòng)態(tài)脫敏處理，等數(shù)據(jù)到達(dá)共享邊界之外的時(shí)候，數(shù)據(jù)已經(jīng)完成了脫敏處理，能有效保護(hù)數(shù)據(jù)安全。動(dòng)態(tài)數(shù)據(jù)脫敏是針對(duì)不同用戶需求、不同數(shù)據(jù)共享使用場景而隨機(jī)靈活確定，對(duì)數(shù)據(jù)進(jìn)行屏蔽處理（類似數(shù)據(jù)沙箱內(nèi)黑盒處置）的數(shù)據(jù)脫敏方式，前提是數(shù)據(jù)共享平臺(tái)必須有嚴(yán)格的安全措施確保第三方應(yīng)用調(diào)用者不能繞過數(shù)據(jù)脫敏防護(hù)層而直接接觸敏感數(shù)據(jù)。執(zhí)行動(dòng)態(tài)數(shù)據(jù)脫敏方法時(shí)，針對(duì)不同的數(shù)據(jù)用途和第三方應(yīng)用調(diào)用者情況，通過事先約定好脫敏方式，在動(dòng)態(tài)數(shù)據(jù)脫敏執(zhí)行時(shí)，采用均化、亂序、替換、散列、數(shù)據(jù)截?cái)?、日期偏移取整、限制返回行列?shù)、掩碼等不同組合開展動(dòng)態(tài)脫敏，以適應(yīng)不同的數(shù)據(jù)共享需求。在執(zhí)行數(shù)據(jù)動(dòng)態(tài)脫敏過程中，還需采取如下措施強(qiáng)化數(shù)據(jù)安全：

對(duì)數(shù)據(jù)脫敏過程實(shí)行全程運(yùn)行監(jiān)控和分析預(yù)警，以防止未脫敏數(shù)據(jù)意外流出；

還需定期對(duì)數(shù)據(jù)脫敏記錄開展“自動(dòng)審計(jì)+人工審計(jì)”，以發(fā)現(xiàn)數(shù)據(jù)脫敏過程中存在的隱患及漏洞，便于及時(shí)彌補(bǔ)；

要確保數(shù)據(jù)動(dòng)態(tài)脫敏服務(wù)是自動(dòng)執(zhí)行的，不能有人工干預(yù)數(shù)據(jù)脫敏過程。

三、結(jié)語

各級(jí)政府在政務(wù)數(shù)據(jù)共享平臺(tái)建設(shè)使用過程中，雖按等級(jí)保護(hù)測評(píng)第三級(jí)標(biāo)準(zhǔn)建設(shè)，也采取了常規(guī)安全防護(hù)措施，但仍存在安全風(fēng)險(xiǎn)隱患。本文結(jié)合實(shí)際，緊緊圍繞進(jìn)一步提升政務(wù)數(shù)據(jù)共享安全能力，從數(shù)據(jù)傳輸安全、強(qiáng)化訪問授權(quán)、對(duì)數(shù)據(jù)共享全程監(jiān)管、動(dòng)態(tài)數(shù)據(jù)脫敏等方面提出幾點(diǎn)有效的安全防護(hù)措施，以期為今后的政務(wù)數(shù)據(jù)共享安全防護(hù)提供一些有意義的借鑒。