導(dǎo)語：政務(wù)大數(shù)據(jù)開放及共享問題分析一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要：政務(wù)大數(shù)據(jù)開放與共享對于促進政府自身轉(zhuǎn)型、社會需求獲取模式轉(zhuǎn)型及產(chǎn)業(yè)型經(jīng)濟轉(zhuǎn)型都具有重要意義。政府作為政務(wù)大數(shù)據(jù)的主要擁有者，在宏觀層面發(fā)揮公共管理與公共服務(wù)的導(dǎo)向作用時，也必須承擔(dān)相應(yīng)的責(zé)任。本文從政務(wù)大數(shù)據(jù)全生命周期管理角度出發(fā)，重點聚焦政務(wù)大數(shù)據(jù)在采集、傳輸、存儲、共享與應(yīng)用、銷毀等階段涉及的安全問題并提出相應(yīng)解決思路和方法。

關(guān)鍵詞：政務(wù)大數(shù)據(jù)開放及共享安全；數(shù)據(jù)全生命周期管理

國家高度重視政務(wù)大數(shù)據(jù)安全、開放、共享工作。2021年9月發(fā)布的《中華人民共和國數(shù)據(jù)安全法》[1]明確提出，國家建立數(shù)據(jù)分類分級保護制度；建立集中統(tǒng)一、高效權(quán)威的數(shù)據(jù)安全風(fēng)險評估、報告、信息共享、監(jiān)測預(yù)警機制；建立數(shù)據(jù)安全應(yīng)急處置機制；建立數(shù)據(jù)安全審查制度；國家機關(guān)為履行法定職責(zé)的需要收集、使用數(shù)據(jù)；國家機關(guān)應(yīng)當(dāng)按照法律、行政法規(guī)的規(guī)定，建立健全數(shù)據(jù)安全管理制度，落實數(shù)據(jù)安全保護責(zé)任，保障政務(wù)數(shù)據(jù)安全。隨著政務(wù)大數(shù)據(jù)開放、共享工作的有序推進，數(shù)據(jù)的安全性問題也日益突出，亟待開展政務(wù)大數(shù)據(jù)開放及共享安全問題研究。政務(wù)大數(shù)據(jù)涉及國家利益、公共安全、商業(yè)秘密、個人隱私，具有高度敏感性。因此必須加強政務(wù)數(shù)據(jù)平臺的數(shù)據(jù)安全保障能力建設(shè)，打破數(shù)據(jù)孤島，促進數(shù)據(jù)共享，以數(shù)據(jù)全生命周期的安全建設(shè)為核心建立政務(wù)大數(shù)據(jù)安全開放及交換體系。下面從數(shù)據(jù)生命周期的五個階段分別闡述政務(wù)大數(shù)據(jù)開放共享中所面臨的安全問題及解決思路。

1數(shù)據(jù)采集

大數(shù)據(jù)時代，我們需要更加全面的數(shù)據(jù)來提高分析預(yù)測的準確度，這就需要依賴于更多便捷和自動的數(shù)據(jù)采集工具。然而，在政務(wù)大數(shù)據(jù)采集時將面臨以下幾類安全問題：

1.1數(shù)據(jù)采集的合法性、正當(dāng)性、必要性

2021年11月1日，《中華人民共和國個人信息保護法》[2]正式施行，昭示著我國個人信息保護法制進程即將進入新篇章，將與《中華人民共和國網(wǎng)絡(luò)安全法》[3]和《中華人民共和國數(shù)據(jù)安全法》構(gòu)成我國網(wǎng)絡(luò)空間和數(shù)據(jù)保護的三駕馬車。處理個人信息，應(yīng)當(dāng)遵循“合法、正當(dāng)、必要”并不得過度處理個人信息采集的基本原則，并建立以“知情同意”為核心的個人信息處理系列規(guī)則。政務(wù)數(shù)據(jù)采集更需要秉持上述基本原則和規(guī)則體系，應(yīng)按照國家、省、市下發(fā)的政務(wù)信息資源目錄按需采集各部門特定的政務(wù)數(shù)據(jù)，禁止數(shù)據(jù)的過度采集及濫用。政府主管部門應(yīng)制定相關(guān)協(xié)議約定數(shù)據(jù)使用和保護措施，明確數(shù)據(jù)提供方、使用方雙方的責(zé)任和義務(wù)。

1.2采集終端的安全性

采集終端如果缺少必要的安全防護或身份認證手段，會給一些假冒的、非授權(quán)的采集設(shè)備接入網(wǎng)絡(luò)，從而偽裝成合法用戶非法監(jiān)聽、竊取甚至篡改政務(wù)數(shù)據(jù)。因此，采集終端設(shè)備的注冊、認證、準入控制和惡意程序防護，采集人員身份、權(quán)限的認證顯得尤為重要。建議通過終端殺毒及惡意代碼檢測軟件、準入網(wǎng)關(guān)、密碼、密鑰、令牌、手機短信等多因子認證、數(shù)字簽名技術(shù)、建立統(tǒng)一身份認證系統(tǒng)、零信任安全等技術(shù)手段來加強對終端可信度及訪問權(quán)限的管控。達鈺鵬、陳艷春[4]提出的基于零信任模型的電子政務(wù)信息共享方案，是一種基于身份、訪問權(quán)限更細粒度的訪問控制方法，能夠?qū)崿F(xiàn)對資源本身全生命周期的動態(tài)監(jiān)測預(yù)警。同時，在身份及權(quán)限認證通過后，應(yīng)向數(shù)據(jù)需求方發(fā)起特定數(shù)據(jù)項或數(shù)據(jù)集的申請，并明確數(shù)據(jù)使用期限，上傳需要數(shù)據(jù)共享的文件或依據(jù)。待數(shù)據(jù)提供方同意后方能繼續(xù)共享交換，這是政務(wù)數(shù)據(jù)開放、共享、傳輸?shù)那疤岷突A(chǔ)。

1.3數(shù)據(jù)分類分級保護

數(shù)據(jù)分類分級在數(shù)據(jù)采集、數(shù)據(jù)治理過程中至關(guān)重要，是數(shù)據(jù)重要性的直觀化展示。例如，可以將政務(wù)數(shù)據(jù)資源分為基礎(chǔ)政務(wù)數(shù)據(jù)資源與業(yè)務(wù)數(shù)據(jù)資源兩大類，其中基礎(chǔ)政務(wù)數(shù)據(jù)可繼續(xù)細分為人口、法人、電子證照、社會信用、自然資源和空間地理等信息，業(yè)務(wù)數(shù)據(jù)資源則可以依托各行業(yè)領(lǐng)域，細分為經(jīng)濟運行、政務(wù)運行、電子檔案、公共安全、公共服務(wù)類等主題數(shù)據(jù)。從各政務(wù)部門數(shù)據(jù)分析歸類邏輯上，又可分為決策類、業(yè)務(wù)類、管理類等不同層次，再對每個層次生存的政務(wù)數(shù)據(jù)進行有效識別及標記等級，確定政務(wù)數(shù)據(jù)資源的編碼、名稱、類型、管理方式等信息，為后續(xù)的政務(wù)數(shù)據(jù)整理與目錄編制提供支撐。只有提前做好數(shù)據(jù)的分類分級，才能有針對性地對結(jié)構(gòu)化、非結(jié)構(gòu)化、不同類別的數(shù)據(jù)進行分類識別、保護。同時，利用大數(shù)據(jù)及云計算能力，根據(jù)各政府部門行業(yè)內(nèi)政務(wù)應(yīng)用需求，按照部門、主題、服務(wù)對象等資源屬性對政務(wù)數(shù)據(jù)進行智能化管理，由系統(tǒng)自動生成不同的政務(wù)數(shù)據(jù)目錄。

1.4數(shù)據(jù)采集的安全邊界

政府部門目前仍存在各類業(yè)務(wù)專網(wǎng)，政務(wù)系統(tǒng)及相關(guān)數(shù)據(jù)也大多部署在業(yè)務(wù)專網(wǎng)內(nèi)。在逐步整合進國家政務(wù)外網(wǎng)或政務(wù)內(nèi)網(wǎng)的過渡期內(nèi)，跨網(wǎng)絡(luò)、跨部門數(shù)據(jù)采集時應(yīng)按照網(wǎng)絡(luò)安全等級保護規(guī)范及相關(guān)部門跨網(wǎng)數(shù)據(jù)交換的標準建立相應(yīng)跨網(wǎng)數(shù)據(jù)安全交換區(qū)域。通過部署前置服務(wù)器、安全邊界設(shè)備，安全流量探針等方式實現(xiàn)數(shù)據(jù)跨網(wǎng)安全及態(tài)勢感知。應(yīng)在上述跨網(wǎng)數(shù)據(jù)交換安全設(shè)備中嚴格制定訪問策略，對跨網(wǎng)數(shù)據(jù)交換進行細粒度的身份、權(quán)限訪問控制及審計追溯。同時，數(shù)據(jù)采集部門應(yīng)與數(shù)據(jù)提供部門明確雙方的權(quán)責(zé)邊界，簽訂數(shù)據(jù)安全交換協(xié)議，并通過網(wǎng)絡(luò)入侵檢測防御系統(tǒng)、態(tài)勢感知系統(tǒng)、沙箱蜜罐系統(tǒng)等安全防護設(shè)備及軟件對數(shù)據(jù)采集的過程進行實時監(jiān)測預(yù)警，確保在數(shù)據(jù)采集的過程中，能夠做到事件可追溯、問題可排查、責(zé)任不推諉。

2數(shù)據(jù)傳輸

政務(wù)數(shù)據(jù)在傳輸時應(yīng)重點保障其完整性、可用性、真實性、保密性和不可篡改性，通常會采用零信任技術(shù)、安全網(wǎng)絡(luò)協(xié)議、對稱或非對稱加密機制、數(shù)字簽名技術(shù)、區(qū)塊鏈技術(shù)等手段增強數(shù)據(jù)傳輸時的安全性、可靠性。

2.1數(shù)據(jù)傳輸安全

政務(wù)數(shù)據(jù)的重要性、敏感性大大提高了在傳輸過程中被竊聽、被冒充、被篡改、事后否認的可能性，因此采用加密的傳輸通道及技術(shù)手段顯得尤為重要。在應(yīng)對竊聽問題上，會使用到加密技術(shù)；在應(yīng)對假冒、篡改問題上，會使用到消息驗證碼或數(shù)字簽名技術(shù)；在應(yīng)對事后否認問題上，會使用到數(shù)字簽名技術(shù)。同時，在數(shù)據(jù)傳輸過程中應(yīng)采用數(shù)據(jù)傳輸安全協(xié)議（SSL/TLS）和可信證書認證機制，這同時也要求證書頒發(fā)機構(gòu)在頒發(fā)證書時，有義務(wù)維護其認證站點的權(quán)威性和安全性，在證書過期時應(yīng)立即撤銷，否則易遭受“中間人攻擊”，惡意節(jié)點會通過持有非法證書和客戶端交互，之后替代客戶端，向真實服務(wù)器發(fā)起請求，并把服務(wù)器的請求返回給客戶端，從而神不知鬼不覺地竊取了中間信息。數(shù)據(jù)傳輸?shù)陌踩?，就是通過上述安全技術(shù)及協(xié)議保障數(shù)據(jù)點到點、端對端的安全傳輸。

2.2時間戳及限流機制

政務(wù)數(shù)據(jù)在傳輸過程中很容易被第三方程序抓包，雖然經(jīng)過上述提到的加密處理方式無法獲取到真實數(shù)據(jù)，但仍有可能被黑客利用發(fā)起重放攻擊。為避免上述問題發(fā)生，應(yīng)采用時間戳機制，在每次發(fā)起請求中加入當(dāng)前時間，服務(wù)端將比對當(dāng)前時間和消息中的時間，當(dāng)超過規(guī)定的時間范圍后自動歸為非法請求。當(dāng)用戶頻繁調(diào)用接口網(wǎng)絡(luò)吞吐量過大時，會發(fā)生網(wǎng)絡(luò)通道堵塞，甚至影響服務(wù)端的正常響應(yīng)，這時應(yīng)采取必要的限流算法，例如：計數(shù)器、漏桶、令牌桶等限制巨大流量信息的瞬間提交。

2.3區(qū)塊鏈技術(shù)

現(xiàn)有的政務(wù)系統(tǒng)都是中心化架構(gòu)系統(tǒng)，很容易在傳輸過程中出現(xiàn)數(shù)據(jù)偽造篡改的問題，一旦發(fā)生違法違規(guī)事件，證據(jù)的缺失將給調(diào)查取證帶來困難。區(qū)塊鏈技術(shù)采用去中心化的方式，具有透明可信、不可篡改、可追溯等特性，能夠有效解決上述痛點難點問題。區(qū)塊鏈系統(tǒng)根據(jù)應(yīng)用場景和設(shè)計體系的不同，分為公有鏈、聯(lián)盟鏈和私有鏈。政務(wù)大數(shù)據(jù)共享涉及多個政府委辦局，各個單位都具有明確的行政職責(zé)，因此建議選擇基于領(lǐng)導(dǎo)型成員治理方式的聯(lián)盟鏈技術(shù)，這樣產(chǎn)生的數(shù)據(jù)更具權(quán)威性。歐陽光、石秀偉、趙冬臨[5]從區(qū)塊鏈應(yīng)用場景、治理模式、頂層框架設(shè)計、開發(fā)技術(shù)路線及核心策略設(shè)計等方面進行了闡述，為解決政務(wù)數(shù)據(jù)共享難、使用監(jiān)管難、數(shù)據(jù)安全難以保證等問題提供了解決方案。

3數(shù)據(jù)存儲

政務(wù)數(shù)據(jù)在應(yīng)考慮存儲介質(zhì)的穩(wěn)定性、可靠性，盡最大限度避免因物理損壞、人為因素、自然災(zāi)害所導(dǎo)致的數(shù)據(jù)丟失、篡改、不可用等情況發(fā)生。同時也要保障政務(wù)數(shù)據(jù)共享交換平臺的數(shù)據(jù)庫數(shù)據(jù)不被泄露、篡改和刪除，通過數(shù)據(jù)加密、權(quán)限管控、數(shù)據(jù)安全網(wǎng)關(guān)等技術(shù)方式實現(xiàn)。

3.1入庫數(shù)據(jù)的質(zhì)量安全

當(dāng)數(shù)據(jù)源信息重復(fù)、不完整、不準確，進入五大基礎(chǔ)數(shù)據(jù)庫（人口庫、法人庫、電子證照、社會信用、自然資源和空間地理）前又未清洗、校驗、二次確認，會大幅降低政務(wù)大數(shù)據(jù)整體工作效率，甚至引發(fā)社會公眾對政府?dāng)?shù)據(jù)的信任危機。這就需要建立統(tǒng)一的數(shù)據(jù)質(zhì)量標準。田淼、田繼亮[5]設(shè)計的基于數(shù)據(jù)標準體系的政務(wù)數(shù)據(jù)清洗融合系統(tǒng)，通過配置相應(yīng)的SQL規(guī)則、值域規(guī)則、正則規(guī)則等數(shù)據(jù)質(zhì)量稽查規(guī)則，對數(shù)據(jù)的重復(fù)性、準確性、時效性等指標進行數(shù)據(jù)稽查，生成質(zhì)量評分。同時，可借助數(shù)據(jù)清理規(guī)則（包括字典映射、數(shù)據(jù)格式轉(zhuǎn)換、潛在數(shù)據(jù)提取、業(yè)務(wù)數(shù)據(jù)核驗、數(shù)據(jù)關(guān)聯(lián)等）和ETL工具等技術(shù)方法對部分可恢復(fù)數(shù)據(jù)進行修復(fù)。對于不可用技術(shù)手段修復(fù)的數(shù)據(jù)，應(yīng)及時通過數(shù)據(jù)工單形式進行數(shù)據(jù)溯源的人工修復(fù)。

3.2存儲介質(zhì)及容災(zāi)備份的可靠性

對于PB級的海量政務(wù)大數(shù)據(jù)系統(tǒng)而言，單純的硬件容錯已經(jīng)很難確保其可靠性。為保障數(shù)據(jù)存儲的穩(wěn)定性、可靠性，應(yīng)按實際需求選擇相應(yīng)的RAID技術(shù)、分布式文件系統(tǒng)多副本技術(shù)、容錯池技術(shù)等。同時，通過數(shù)據(jù)庫同步及高可用技術(shù)實現(xiàn)“兩地三中心”的系統(tǒng)主備雙活并做好跨機房的容災(zāi)備份，在遭遇網(wǎng)絡(luò)及病毒攻擊、導(dǎo)致網(wǎng)絡(luò)故障或系統(tǒng)癱瘓時可以迅速切換主備系統(tǒng)，更換網(wǎng)絡(luò)出口，或采用主流災(zāi)備廠家的CDP技術(shù)應(yīng)急接管系統(tǒng)，待故障解決、系統(tǒng)、數(shù)據(jù)還原后再切換回主業(yè)務(wù)系統(tǒng)。

3.3數(shù)據(jù)庫加密及密鑰管理

為防止內(nèi)部運維人員登錄數(shù)據(jù)庫通過記錄、截屏、錄頻、拍屏、打印等方式泄露政府敏感數(shù)據(jù)，應(yīng)充分利用密鑰管理系統(tǒng)來實現(xiàn)對政務(wù)大數(shù)據(jù)共享交換平臺數(shù)據(jù)庫的加密解密，上述加解密過程應(yīng)做到對系統(tǒng)透明無感知，不影響數(shù)據(jù)交換效率。對不同層級的人員進行權(quán)限分級管控，只有合法、合規(guī)的使用者才能訪問、獲取到自身權(quán)限范圍內(nèi)的數(shù)據(jù)源。密鑰管理就是管理密鑰從產(chǎn)生到銷毀的過程，包括密鑰的產(chǎn)生、存儲、分配、保護、更新、吊銷和銷毀等。在這一系列的過程中，都存在安全隱患威脅系統(tǒng)的密鑰安全，如果密鑰管理不好，即使加密算法強度再高，一旦被泄露或被竊取，加密也就形同虛設(shè)，毫無安全性可言。因此，密鑰管理在數(shù)據(jù)庫加密系統(tǒng)中也處于舉足輕重的地位。數(shù)據(jù)庫加密系統(tǒng)的密鑰分為用戶密鑰和數(shù)據(jù)密鑰，數(shù)據(jù)密鑰由分為主密鑰和工作密鑰兩類。主密鑰就是用來加密/解密數(shù)據(jù)密鑰的密鑰，工作密鑰用于對數(shù)據(jù)庫表、記錄、數(shù)據(jù)項加密/解密的密鑰。密鑰存儲的過程中，可根據(jù)密鑰重要性及數(shù)據(jù)量大小，自主選擇密碼裝置、密文形式的數(shù)據(jù)字典進行保存。當(dāng)政務(wù)云環(huán)境下的數(shù)據(jù)庫停用或數(shù)據(jù)刪除時，應(yīng)保證從密鑰管理系統(tǒng)中廢除所有密鑰，以確保任何殘留（數(shù)據(jù)冗余備份、內(nèi)存殘留、操作系統(tǒng)殘留等）的政務(wù)數(shù)據(jù)都不能被解密。

3.4日志、數(shù)據(jù)庫以及云審計

服務(wù)器日志審計、數(shù)據(jù)庫審計系統(tǒng)的應(yīng)用既是等保合規(guī)的必查項目，也是保障服務(wù)器、數(shù)據(jù)庫操作留痕、可追溯的重要技術(shù)手段。服務(wù)器、數(shù)據(jù)庫審計除了能對基本的應(yīng)用訪問行為實時監(jiān)控，追溯訪問來源定位終端用戶信息外，還能有效針對越權(quán)高危行為、外部SQL注入、緩沖區(qū)溢出、權(quán)限提升、拒絕服務(wù)攻擊等危險行為實時監(jiān)控預(yù)警，提醒管理員用戶及時發(fā)現(xiàn)可疑行為，并采取有效安全手段，防范安全風(fēng)險。同時，在角色劃分方面，應(yīng)按照最小特權(quán)和權(quán)值分離為原則對系統(tǒng)管理員、安全保密管理員、安全審計管理員進行三員管理、三權(quán)分立，相互監(jiān)督。王會金，劉國城[7]提出的大數(shù)據(jù)時代電子政務(wù)云安全審計框架，從基礎(chǔ)層、應(yīng)用層和體系層三個層面為建立科學(xué)、可行的標準化電子政務(wù)云安全審計體系提供了理論支撐和實踐參考。

4數(shù)據(jù)共享及應(yīng)用

數(shù)據(jù)共享及應(yīng)用會經(jīng)歷數(shù)據(jù)的匯聚、傳輸、存儲、應(yīng)用、API接口的調(diào)用等過程，同時也將面臨更大的安全風(fēng)險，包括政府、商業(yè)及個人敏感信息的泄露、數(shù)據(jù)的非法篡改和濫用、網(wǎng)絡(luò)上黑客的攻擊等。為降低政務(wù)數(shù)據(jù)在共享應(yīng)用上的風(fēng)險，一方面需要政府及相關(guān)責(zé)任單位制定并實施數(shù)據(jù)安全管控辦法，包括立法、立制、立標等；另一方面需要通過技術(shù)手段保障數(shù)據(jù)共享全程的可檢測、可管控、可追溯。

4.1數(shù)據(jù)共享安全管理制度

對數(shù)據(jù)共享的安全管控，不僅要健全國家法律法規(guī)，還要依法依規(guī)、因地制宜地建設(shè)配套的、系統(tǒng)的數(shù)據(jù)安全管理制度。管理制度的設(shè)計要上承國家法律法規(guī)要求，下接地方或行業(yè)標準，確保數(shù)據(jù)共享組織管理機構(gòu)職責(zé)明確、數(shù)據(jù)共享活動流程清晰、數(shù)據(jù)共享過程安全可控和監(jiān)管有效。

4.2數(shù)據(jù)共享交換平臺安全

大數(shù)據(jù)共享交換平臺是政務(wù)數(shù)據(jù)交換互聯(lián)互通的基礎(chǔ)支撐平臺，通過建設(shè)基礎(chǔ)數(shù)據(jù)庫、信息資源目錄系統(tǒng)、數(shù)據(jù)采集交換系統(tǒng)、信息資源共享服務(wù)系統(tǒng)、數(shù)據(jù)管理平臺、安全標準體系等，整合信息資源，打破數(shù)據(jù)壁壘和信息孤島，實現(xiàn)對城市領(lǐng)域可共享數(shù)據(jù)的統(tǒng)一建設(shè)、統(tǒng)一流通、統(tǒng)一維護，成為城市公共數(shù)據(jù)交換、清洗、整合和加工的智慧工廠。圖1政務(wù)數(shù)據(jù)共享交換平臺體系架構(gòu)圖。圖2為國家、省、市政務(wù)數(shù)據(jù)級聯(lián)交換圖。平臺的安全性也至關(guān)重要，應(yīng)根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》規(guī)定，對關(guān)鍵基礎(chǔ)性信息系統(tǒng)分級實施保護，將共享交換平臺系統(tǒng)的定級、備案、建設(shè)整改、登記測評和監(jiān)督檢查5個常規(guī)動作，貫穿平臺的全生命周期。

4.3數(shù)據(jù)共享全流程監(jiān)控預(yù)警

針對數(shù)據(jù)共享過程中數(shù)據(jù)泄露之后無法追溯的痛點，應(yīng)建立完備的共享數(shù)據(jù)溯源系統(tǒng)。張濤[8]提出的一種基于數(shù)據(jù)標簽的共享數(shù)據(jù)溯源方法，通過數(shù)據(jù)溯源管理系統(tǒng)和數(shù)據(jù)標簽分發(fā)中心相互配合，在數(shù)據(jù)標簽分發(fā)中心分發(fā)給系統(tǒng)數(shù)據(jù)標簽信息的同時，將數(shù)據(jù)標簽同步發(fā)送給數(shù)據(jù)溯源管理系統(tǒng)。數(shù)據(jù)溯源管理系統(tǒng)可通過在數(shù)據(jù)傳輸鏈路上的探針實時采集數(shù)據(jù)信息流，在剔除正常業(yè)務(wù)交互信息流的情況下，依據(jù)數(shù)據(jù)共享規(guī)則庫和數(shù)據(jù)標簽位置信息實時發(fā)現(xiàn)非法的數(shù)據(jù)共享。

4.4數(shù)據(jù)防泄露、身份防偽造

在數(shù)據(jù)應(yīng)用安全上，如果政務(wù)數(shù)據(jù)被提前或非法泄露將嚴重威脅到用戶隱私甚至政府公信度、國家安全。這就需要通過數(shù)據(jù)安全檢測分析、數(shù)據(jù)安全網(wǎng)關(guān)、零信任安全等技術(shù)手段保障敏感數(shù)據(jù)的安全。如圖2所示，零信任可信應(yīng)用接入代理可用于用戶終端和業(yè)務(wù)應(yīng)用之間的安全訪問，具有傳輸加密功能，應(yīng)用代理、頁面水印、動態(tài)脫敏及日志審計等相關(guān)功能。只有通過統(tǒng)一授權(quán)的認證中心或安全網(wǎng)關(guān)為其授權(quán)后才允許進入政務(wù)數(shù)據(jù)共享交換平臺，這樣能夠有效阻截非法、惡意的請求。其中，堡壘機作為可信運維代理，用于運維用戶終端、開發(fā)人員終端和系統(tǒng)資源之間的安全訪問。堡壘機提供相應(yīng)的對接接口供零信任安全管控平臺做定制開發(fā)，最終讓零信任安全管控平臺實現(xiàn)運維操作日志、終端會話信息同步，并接受零信任安全管控平臺下發(fā)的動態(tài)鑒權(quán)訪問控制指令。同時，通過API旁路監(jiān)測行為，可以實現(xiàn)對訪問行為、頁面訪問頻次及敏感信息訪問的實時監(jiān)測。

5數(shù)據(jù)銷毀

數(shù)據(jù)可以是資產(chǎn)，也可能是負債。如果不及時銷毀在數(shù)據(jù)共享交換過程中多余、殘留的數(shù)據(jù)，數(shù)據(jù)資產(chǎn)就演變成了負債。隨著政務(wù)大數(shù)據(jù)規(guī)模的不斷膨脹，無用、多余的數(shù)據(jù)長期得不到釋放、清理，將嚴重影響到業(yè)務(wù)數(shù)據(jù)的實時查詢效率、業(yè)務(wù)運營水平。及時對無用數(shù)據(jù)進行銷毀，不僅可以節(jié)省存儲空間，節(jié)約運營成本，提高交換效率，還可以提升安全性，避免某些敏感數(shù)據(jù)的泄露及追溯性攻擊[9]。因此，應(yīng)當(dāng)及時建立起定期對無用、多余政務(wù)數(shù)據(jù)的清理和審查制度。

5.1數(shù)據(jù)銷毀方法及適用范圍

數(shù)據(jù)銷毀的手段一般分為硬銷毀和軟銷毀兩種。軟銷毀是通過數(shù)據(jù)刪除格式化或數(shù)據(jù)重寫等軟件方法將數(shù)據(jù)銷毀或擦除，如美國國防部的DOD5220.22-M標準[10]便是通過多達7次的重寫達到銷毀作用，目前主流的重寫算法還有RCMPTSSITOPS-Ⅱ標準[11]以及Gutmann數(shù)據(jù)35次重寫算法[12][13]。硬銷毀則是采用物理、化學(xué)方法直接銷毀存儲介質(zhì)，以達到徹底將硬盤數(shù)據(jù)銷毀的目的。軟銷毀適用于密級要求不是很高的場合，數(shù)據(jù)覆寫較為經(jīng)濟安全，但仍有被他人刻意恢復(fù)的風(fēng)險。硬銷毀則適用于高密級要求的場景，銷毀后硬盤將無法繼續(xù)使用。同時，國家保密局已經(jīng)制定頒發(fā)了強制標準《涉及國家秘密的載體銷毀與信息消除安全保密要求》[14]，對于涉密載體的銷毀一定要遵照此標準執(zhí)行，不可心存僥幸，擅自處理。

5.2云計算中的數(shù)據(jù)自我銷毀技術(shù)

除了人工可控的數(shù)據(jù)銷毀方法外，目前研究者也將關(guān)注點放在如何提高銷毀效率以及自動進行數(shù)據(jù)銷毀等技術(shù)上。隨著各地政府相繼建立政務(wù)云平臺，政務(wù)數(shù)據(jù)上云后往往以靜態(tài)存儲或動態(tài)計算兩種方式存在。在靜態(tài)存儲時，它們往往會拷貝多份副本文件或備份文件以容錯容災(zāi)；在動態(tài)運行時，他們可能存在于內(nèi)存、網(wǎng)絡(luò)或磁盤緩存等介質(zhì)中。如果沒有一定的技術(shù)手段及自我數(shù)據(jù)銷毀協(xié)議支撐，用戶無法保證無用的數(shù)據(jù)被徹底銷毀。Boneh等人[15]提出了一種不銷毀數(shù)據(jù)本身而銷毀加密數(shù)據(jù)密鑰的方式實現(xiàn)數(shù)據(jù)的不可訪問，首次將數(shù)據(jù)銷毀問題轉(zhuǎn)移至密鑰銷毀問題，這種方案可大大提升數(shù)據(jù)銷毀的性能。同樣，Peterson等人[16]在數(shù)據(jù)塊層使用全有或全無的轉(zhuǎn)換技術(shù)（AllOrNothingTransform，AONT）來實施數(shù)據(jù)銷毀。通過AONT算法生成數(shù)據(jù)塊且重寫其中任意一部分數(shù)據(jù)塊就會使得整個數(shù)據(jù)都不可用，達到數(shù)據(jù)銷毀的目的。這些方法為遠程數(shù)據(jù)銷毀技術(shù)提供了很好的理論支撐。盧張逢喆，陳進等人提出了Dissolver的可信計算系統(tǒng)模型[17]，該模型基于Xen[18]虛擬機監(jiān)控器和CHAOS[19][20]系統(tǒng)，保證了敏感數(shù)據(jù)只存在于私密的運行空間中，用戶密鑰只存在于虛擬機監(jiān)控器的內(nèi)存空間中，不能被操作系統(tǒng)或其他程序訪問。同時，設(shè)計了一種數(shù)據(jù)銷毀協(xié)議，將敏感數(shù)據(jù)生存時間達到用戶指定的時限或未達到時限但用戶顯示發(fā)送數(shù)據(jù)銷毀命令時，內(nèi)存中的數(shù)據(jù)、關(guān)聯(lián)的備份文件以及用戶密鑰被強制銷毀。該模型首次提出云端數(shù)據(jù)的全生命周期保護和自我銷毀框架和協(xié)議，為建立軟件層面的可信計算基礎(chǔ)提供了參考。只有在云計算環(huán)境中建立起一套切實可行、安全可靠的自動化數(shù)據(jù)銷毀機制，在保證安全性的同時降低性能方面的消耗，才能使用戶獲得真正的數(shù)據(jù)掌控權(quán)及支配權(quán)。

作者：朱海濤 單位：鎮(zhèn)江市市域社會治理現(xiàn)代化指揮中心