（河北省灤平縣人力資源和社會保障局，河北 承德 068250）

當(dāng)前，統(tǒng)計數(shù)據(jù)已經(jīng)被視為一種資產(chǎn)、一種可以被衡量和計算的價值。統(tǒng)計數(shù)據(jù)的安全問題嚴(yán)重影響統(tǒng)計數(shù)據(jù)的可信度和權(quán)威性。本文圍繞信息安全保障理論框架和要求、統(tǒng)計調(diào)查數(shù)據(jù)安全的基本內(nèi)容和當(dāng)前保護(hù)統(tǒng)計信息安全的一般做法及存在問題著重分析提高統(tǒng)計調(diào)查信息安全保障意義及具體措施，并得出通過完善統(tǒng)計組織機(jī)構(gòu)、加大統(tǒng)計制度改革、落實統(tǒng)計法治、構(gòu)建數(shù)據(jù)安全體系建設(shè)的四大措施，遵循信息安全保障理論的思想和方法是加強(qiáng)統(tǒng)計調(diào)查數(shù)據(jù)安全的一種可行方法和思路。

一、信息安全保障理論框架和要求

信息安全保障是為防止信息被泄露、防止信息被非法修改破壞、防止信息系統(tǒng)被非法入侵等而采取的計劃部署、防護(hù)檢查、管理改進(jìn)等一系列工作。通過正視威脅的存在、漏洞的存在，采取風(fēng)險評估、適度防護(hù)并加強(qiáng)檢查，改進(jìn)落實對信息安全事件的響應(yīng)，不斷提升防護(hù)水平。信息安全保障是要引入信息安全保障的技術(shù)框架，有效規(guī)劃統(tǒng)計調(diào)查數(shù)據(jù)的安全計劃，采取行之有效的防護(hù)措施，開展信息安全評估檢查，改進(jìn)完善薄弱環(huán)節(jié)，提高統(tǒng)計調(diào)查數(shù)據(jù)的安全性。

二、統(tǒng)計調(diào)查數(shù)據(jù)安全的基本內(nèi)容

（一）通過統(tǒng)計調(diào)查獲得的個人和企業(yè)的個體數(shù)據(jù)是重要的敏感信息，必須得到有效的保護(hù)，在對統(tǒng)計調(diào)查對象要求做到數(shù)據(jù)準(zhǔn)確、報送及時，不得提供不真實統(tǒng)計數(shù)據(jù)的同時，作為政府統(tǒng)計調(diào)查部門更有保密的義務(wù)，為此應(yīng)采取一定的技術(shù)和管理手段。

（二）一些統(tǒng)計調(diào)查數(shù)據(jù)涉及國防和國家安全的重要信息，不能被外界獲取，否則可能導(dǎo)致國家利益受損。

（三）政府統(tǒng)計部門運行統(tǒng)計調(diào)查業(yè)務(wù)系統(tǒng)需要采取技術(shù)管理信息安全防護(hù)措施，確保其收集保存的的敏感信息和調(diào)查個體信息的安全，防止信息泄露、毀損、丟失，依法承擔(dān)本部門的信息安全設(shè)施安全保護(hù)的職責(zé)。

三、當(dāng)前保護(hù)統(tǒng)計信息安全的一般做法及存在問題

（一）企業(yè)上報的CA 認(rèn)證

身份認(rèn)證技術(shù)是信息安全的第一道大門，目前有普通的根據(jù)用戶名和口令進(jìn)行身份認(rèn)證；也有基于數(shù)字證書（CA 證書）的身份認(rèn)證系統(tǒng)。通過獨立的認(rèn)證服務(wù)器以及與應(yīng)用服務(wù)器的安全憑證的傳遞技術(shù)模型，解決統(tǒng)計聯(lián)網(wǎng)直報等網(wǎng)上應(yīng)用的用戶身份認(rèn)證問題。

（二）統(tǒng)計調(diào)查管理端的安全認(rèn)證

依托統(tǒng)計業(yè)務(wù)專網(wǎng)的基于口令認(rèn)證的統(tǒng)計數(shù)據(jù)處理平臺，隨著統(tǒng)計調(diào)查業(yè)務(wù)處理系統(tǒng)的推廣運行，為滿足當(dāng)前政府統(tǒng)計調(diào)查過程中的信息安全的需求，很多采取網(wǎng)絡(luò)隔離的技術(shù)手段，在內(nèi)網(wǎng)運行。這樣使用帶來的問題是統(tǒng)計調(diào)查管理端的安全更多依賴內(nèi)網(wǎng)的安全性，在某些內(nèi)網(wǎng)管理不夠嚴(yán)格的基層統(tǒng)計機(jī)構(gòu)，或部分功能允許外網(wǎng)操作的情況下，帶來較大的安全隱患。

（三）防范未授權(quán)修改和非法代報的痕跡管理和IP 地址管理

通過對系統(tǒng)和數(shù)據(jù)的操作行為的日志和審計，保障了操作行為是有理有據(jù)的正當(dāng)業(yè)務(wù)行為。由于行為審計工作沒有常規(guī)化，導(dǎo)致存在痕跡管理審查不嚴(yán)，整治代報行為的工作也只大多停留在集中整治期間，有較大的監(jiān)管空白有待填補(bǔ)。

四、提高統(tǒng)計調(diào)查信息安全保障的幾點建議

目前，統(tǒng)計調(diào)查的數(shù)據(jù)安全保障工作已較過去有了長足的進(jìn)步，為進(jìn)一步提高，建議從以下幾個方面入手。

（一）認(rèn)證軟硬件的來源

安全性核心電子器件、高端通用芯片及基礎(chǔ)軟件產(chǎn)品是作為信息安全的基礎(chǔ)和核心，強(qiáng)化高可信的軟硬件研究，是保障數(shù)據(jù)安全的基礎(chǔ)性要求，還要采取保密工作中常規(guī)的防護(hù)要求。要加強(qiáng)對采購的計算機(jī)軟硬件的認(rèn)證檢驗，確保沒有預(yù)設(shè)的隱匿后門，以防備通過設(shè)備后門非法盜取統(tǒng)計調(diào)查數(shù)據(jù)。

（二）構(gòu)建數(shù)據(jù)操作的審計

系統(tǒng)信息安全領(lǐng)域通行的做法是構(gòu)建面向業(yè)務(wù)的信息安全審計系統(tǒng)，防火墻、防病毒、入侵檢測系統(tǒng)、內(nèi)外網(wǎng)隔離等解決大部分非法侵入問題，而有效地控制信息安全風(fēng)險，從“審用戶、審角色、審權(quán)限”到行為日志的記載，將每個訪問和操作行為做全面的記錄，確保用戶的操作合法合理有依據(jù)。它代表著由傳統(tǒng)信息安全向業(yè)務(wù)信息安全發(fā)展的必然要求，在保障統(tǒng)計調(diào)查數(shù)據(jù)的安全方面將能發(fā)揮越來越重要的作用。

（三）保持密級信息處理的離線獨立性

通過設(shè)立單獨的涉密計算機(jī)和涉密網(wǎng)絡(luò)，使得在物理完全隔離方式下，將密級信息和普通的統(tǒng)計調(diào)查數(shù)據(jù)隔離開來。不盲目依賴系統(tǒng)的權(quán)限設(shè)置等軟措施。

（四）構(gòu)建合理有效的檢查體系

統(tǒng)計調(diào)查行業(yè)應(yīng)制定一套規(guī)范清晰的信息安全檢查工作體系，增強(qiáng)評估能力。通過建立信息安全檢查指標(biāo)體系時加強(qiáng)管理與技術(shù)并重，合理結(jié)合自查與監(jiān)督，形成經(jīng)常性、規(guī)律性的自查，以增強(qiáng)內(nèi)部人員的信息安全意識和管理水平。通過監(jiān)督檢查強(qiáng)化針對性，既節(jié)約檢查時間和成本，又有一套合理的評估管理機(jī)制，降低安全風(fēng)險。

（五）改進(jìn)和落實數(shù)據(jù)信息公開的制度

統(tǒng)計調(diào)查數(shù)據(jù)的發(fā)布是政府信息公開的重要內(nèi)容，在盡可能地減少統(tǒng)計數(shù)據(jù)發(fā)布前被泄露的風(fēng)險。應(yīng)縮短統(tǒng)計數(shù)據(jù)生產(chǎn)到發(fā)布的時間，有利于降低數(shù)據(jù)被提前泄露的風(fēng)險。