本刊記者 唐 莉，王 超

隨著國家和地方數(shù)據(jù)共享交換平臺的建設(shè)，數(shù)據(jù)正在源源不斷、常態(tài)化、大量地聚集到共享平臺或通過共享平臺交換。數(shù)據(jù)的不斷歸集與交換將帶來諸多亟待解決的安全問題，尤其是數(shù)據(jù)的安全性是國家政務(wù)部門極度關(guān)注的問題，也是影響國家政務(wù)信息資源進行共享交換、業(yè)務(wù)開展的重要因素。

國家標準GB/T 39477—2020《信息安全技術(shù) 政務(wù)信息共享 數(shù)據(jù)安全技術(shù)要求》（以下簡稱《標準》）是為解決政務(wù)信息共享交換環(huán)節(jié)數(shù)據(jù)泄露、數(shù)據(jù)濫用等問題而專門制定，是指導政務(wù)信息共享交換數(shù)據(jù)安全體系建設(shè)，增強政務(wù)信息共享交換的數(shù)據(jù)安全保障的重要支撐。

作為政務(wù)信息化領(lǐng)域首個出臺的安全國標，不僅為政務(wù)數(shù)據(jù)在應(yīng)用方面的安全保護提供借鑒，也為政務(wù)數(shù)據(jù)治理體系建設(shè)和政務(wù)大數(shù)據(jù)安全應(yīng)用提供指導，對動態(tài)流轉(zhuǎn)場景下的政務(wù)數(shù)據(jù)應(yīng)用具有普適性和指引性，同時也標志著我國政務(wù)數(shù)據(jù)安全保護工作邁入了“有章可依”的新階段。

為進一步了解《標準》在政務(wù)系統(tǒng)的運營情況，信息安全與通信保密雜志社特邀湖南省人民政府發(fā)展研究中心總工程師柳松，就《標準》的評價、運行、措施、布局等方面，進行了深入溝通和交流。

記者：請您談?wù)劊F單位目前在政務(wù)數(shù)據(jù)共享安全方面的整體情況。

柳松：湖南省政務(wù)數(shù)據(jù)共享交換平臺（以下簡稱共享平臺）是湖南省政務(wù)大數(shù)據(jù)中心的重要組成部分，依托湖南省電子政務(wù)外網(wǎng)統(tǒng)一云平臺（以下簡稱云平臺）建設(shè)，是我省政務(wù)數(shù)據(jù)共享交換的核心基礎(chǔ)設(shè)施，由政務(wù)信息目錄系統(tǒng)、數(shù)據(jù)共享交換系統(tǒng)、數(shù)據(jù)共享開發(fā)門戶網(wǎng)站組成。截至今年4月底，已對接12個國家部委、14個市州、75個省直部門，累計交換任務(wù)4853個，交換數(shù)據(jù)100億條，其中定期更新的有26個部門513類數(shù)據(jù)，累計落地數(shù)據(jù)88億條。共享平臺與國家部委、省直單位和市州采用部署前置機進行數(shù)據(jù)交換的方式構(gòu)建共享體系，詳見下圖1。

圖1 湖南省數(shù)據(jù)共享交換平臺

湖南省政務(wù)數(shù)據(jù)共享總體上安全可控。

一是云平臺安全防控措施相對嚴密，為數(shù)據(jù)安全提供7層安全保障。2019年11月，云平臺已通過等保三級測評,并完成公安備案工作。

網(wǎng)絡(luò)出口區(qū)域防護提供了第一層安全保障。部署了主動防御設(shè)備ADS防DDoS、AC流控、物理出口防火墻，通過防DDoS和流量清洗設(shè)備可以過濾將進入外部數(shù)據(jù)中心的非法流量。還有NPM溯源系統(tǒng)、IDS入侵檢測，提供攻擊識別判斷的技術(shù)手段，從而可以人工干預主動攔截。

云平臺防護提供了第二層安全保障。其中主動防御型設(shè)備有物理出口防火墻、IPS、防病毒、WAF，對進入數(shù)據(jù)中心的Web、Ftp、Mail等類型應(yīng)用數(shù)據(jù)包進行主動分析和攔截。

云核心區(qū)域防護提供了第三層安全保障。通過TAP交換機對各個關(guān)鍵網(wǎng)絡(luò)區(qū)域（互聯(lián)網(wǎng)、城域網(wǎng)、外部數(shù)據(jù)中心、內(nèi)部數(shù)據(jù)中心）的流量進行流量鏡像或者利用Sflow等技術(shù)，對部署的AILPHA大數(shù)據(jù)智能安全分析平臺、DASAPT攻擊（網(wǎng)絡(luò)戰(zhàn)）預警平臺設(shè)備、流量深度威脅監(jiān)測平臺、IDS、NPM等分析型設(shè)備提供流量數(shù)據(jù)，從而實現(xiàn)安全事件智能分析和預判，利用旁路部署漏洞掃描系統(tǒng)、日志審計系統(tǒng)、SOC設(shè)備和系統(tǒng)，來實現(xiàn)安全漏洞主動發(fā)現(xiàn)、事件回溯、證據(jù)留存等。

云租戶內(nèi)部網(wǎng)絡(luò)防護提供了第四層安全保障。部署了VFW虛擬防火墻作為租戶網(wǎng)絡(luò)邊界進行端口發(fā)布、安全策略、內(nèi)網(wǎng)防護、攻擊事件識別和主動防護等安全控制。

云租戶主機防護提供了第五層安全保障。云平臺為租戶分別提供了必選的安恒EDR、360無代理殺毒軟件和可選的高重APT防勒索、網(wǎng)頁防篡改等安全服務(wù)，可以保障租戶最終主機和應(yīng)用端的病毒、補丁更新、應(yīng)用防護。同時為租戶運維接入提供了安全的堡壘機方式管理指定授權(quán)的云主機，可對租戶運維操作日志進行圖像審計。

云租戶數(shù)據(jù)庫防護提供了第六層安全保障。云平臺為數(shù)據(jù)庫劃分單獨數(shù)據(jù)庫專區(qū)，應(yīng)用主機訪問數(shù)據(jù)庫專區(qū)的訪問通過數(shù)據(jù)庫防火墻進行訪問控制，并可對租戶申請和授權(quán)的數(shù)據(jù)庫實例通過審計設(shè)備進行安全審計。云平臺還具備郴州、永州雙災(zāi)備中心為數(shù)據(jù)共享提供數(shù)據(jù)備份服務(wù)，為數(shù)據(jù)安全提供了第七層安全保障。

二是共享平臺進一步強化數(shù)據(jù)安全防護策略。2020年12月, 共享平臺已通過等保三級測評,并完成公安備案工作。

強化數(shù)據(jù)庫防護設(shè)備。部署數(shù)據(jù)庫審計設(shè)備、數(shù)據(jù)庫防火墻設(shè)備、數(shù)據(jù)庫保險箱設(shè)備各2臺,用于強化對政務(wù)大數(shù)據(jù)中心數(shù)據(jù)庫的流量審計、數(shù)據(jù)防護和數(shù)據(jù)加密。目前已經(jīng)將大數(shù)據(jù)中心下面的數(shù)據(jù)資源中心的oracle rac和共享交換平臺的中心庫以及自然人庫都做了審計、防火墻配置。共享交換平臺中心庫對部分部門采集來的數(shù)據(jù)配置了保險箱（數(shù)據(jù)加密）。綜合運用了多種應(yīng)用級防護策略。強化加密數(shù)據(jù)通信策略，前置機與共享平臺中心節(jié)點核心區(qū)之間采用SFTP服務(wù)實現(xiàn)數(shù)據(jù)通信，采用HTTPS方式用于交互信息。

強化用戶管理。通過統(tǒng)一預設(shè)系統(tǒng)管理員、系統(tǒng)操作員、系統(tǒng)維護員、系統(tǒng)監(jiān)控員四類用戶角色，嚴格配置用戶操作權(quán)限，實現(xiàn)用戶通過指定的IP使用指定的賬號密碼在限定的時間和系統(tǒng)資源內(nèi)對指定的應(yīng)用服務(wù)器和數(shù)據(jù)庫進行授權(quán)操作。

強化數(shù)據(jù)傳遞安全管理。使用SFTP技術(shù)實現(xiàn)共享平臺核心區(qū)與前置機之間數(shù)據(jù)同步；數(shù)據(jù)庫同步功能采用事前防范、事中報警、事后追蹤的技術(shù)，確保數(shù)據(jù)在整個傳輸過程中可審、可查、可追溯，在斷電、網(wǎng)絡(luò)中斷、業(yè)務(wù)中斷等多種繁雜情況下，用戶數(shù)據(jù)不丟失；同步到核心區(qū)的原始數(shù)據(jù)先通過大數(shù)據(jù)技術(shù)進行分布式備份，如發(fā)現(xiàn)問題，利用備份的原始數(shù)據(jù)進行恢復；支持用戶密碼、隱私敏感信息加密存儲和傳遞；支持雙機熱備，當主機系統(tǒng)出現(xiàn)異常時，能夠切換到備機上運行。

強化數(shù)據(jù)安全審計管理。提供操作日志功能，針對重點事件進行操作日志記錄回溯功能，包括操作名、用戶名、操作時間、主機IP、詳細信息，詳細信息中包括了時間發(fā)起者信息描述和結(jié)果；提供記錄用戶登錄、注銷、鎖定、解鎖等操作的安全日志；所有日志可查看可追溯到具體用戶、具體操作行為，且不可人為修改和刪除，可支持第三方安全審計系統(tǒng)的查詢和處理。

記者：請您評價一下《信息安全技術(shù) 政務(wù)信息共享 數(shù)據(jù)安全技術(shù)要求》國家標準（以下簡稱國家標準）。

柳松：一是內(nèi)容很全面。首先，國家標準建立了政務(wù)信息共享交換業(yè)務(wù)模型，明確了共享數(shù)據(jù)提供方、共享數(shù)據(jù)交換服務(wù)方和共享數(shù)據(jù)使用方三方在共享數(shù)據(jù)準備、共享交換和共享數(shù)據(jù)使用3個階段的業(yè)務(wù)管理職責和安全技術(shù)要求框架。然后，從共享數(shù)據(jù)準備安全（數(shù)據(jù)歸集、分級分類、目錄管理、數(shù)據(jù)維護4個環(huán)節(jié)）、共享交換安全（用戶管理、授權(quán)管理、數(shù)據(jù)導出、數(shù)據(jù)交換、數(shù)據(jù)導入5個環(huán)節(jié)）、共享數(shù)據(jù)使用安全（數(shù)據(jù)處理、數(shù)據(jù)存儲、數(shù)據(jù)備份、數(shù)據(jù)銷毀、數(shù)據(jù)使用監(jiān)管5個環(huán)節(jié)）以及基礎(chǔ)設(shè)施安全（通用要求、基礎(chǔ)網(wǎng)絡(luò)、共享交換云平臺、前置交換子系統(tǒng)、資源共享網(wǎng)站5個方面）分類進行了詳細闡述，提出了明確的要求。最后附錄中還明確了政務(wù)信息共享交換平臺體系和一般技術(shù)框架以及直通模式、代理模式和服務(wù)模式3種共享交換模式。整個標準涵蓋了政務(wù)數(shù)據(jù)共享各個環(huán)節(jié)的各個具體要點，內(nèi)容很全面豐富。

二是出臺很及時。目前，貴州（《貴州省大數(shù)據(jù)開放共享安全管理規(guī)范》）、福建（《福建省政務(wù)數(shù)據(jù)共享管理實施細則》）、浙江（《浙江省公共數(shù)據(jù)開放與安全管理辦法》）等省份出臺類似的標準或規(guī)范性文件，有力地推動了當?shù)財?shù)據(jù)共享安全工作的發(fā)展。但這些規(guī)范性文件是結(jié)合當?shù)啬稠椆ぷ髦贫ǖ?，?shù)據(jù)共享的各個環(huán)節(jié)沒有全盤考慮，安全技術(shù)要求不夠明確，具有明顯的局限性。國家標準正好填補了政務(wù)數(shù)據(jù)共享安全技術(shù)標準的空白，必將進一步規(guī)范和促進我省政務(wù)信息共享安全建設(shè)。

三是指導性很強。國家標準明確了政務(wù)數(shù)據(jù)共享業(yè)務(wù)模型的3個階段以及各個階段共享數(shù)據(jù)提供單位、共享數(shù)據(jù)服務(wù)單位和共享數(shù)據(jù)使用單位的工作職責，進一步厘清了各有關(guān)部門的數(shù)據(jù)安全責任邊界，為政務(wù)數(shù)據(jù)共享實施提供了有力的工作指導，也將為各地推動制定相關(guān)法律提供依據(jù)。另外，政務(wù)信息共享安全技術(shù)要求框架中技術(shù)要點及具體技術(shù)要求，為我國政務(wù)數(shù)據(jù)共享安全方案編制提供了較為全面的遵循，也為相關(guān)IT服務(wù)廠商定制開發(fā)相關(guān)產(chǎn)品提供了較為全面的指導，必將促進我國政務(wù)數(shù)據(jù)共享安全技術(shù)解決方案的跨越式發(fā)展。

記者：該標準的出臺對貴單位的數(shù)據(jù)安全工作有哪些助力和影響？

柳松：一是助推我省數(shù)據(jù)安全工作規(guī)范化建設(shè)。近年來，我中心作為湖南省政務(wù)數(shù)據(jù)共享的技術(shù)支撐單位，深感責任重大，高度重視政務(wù)數(shù)據(jù)共享安全工作，雖做了大量的安全防范保障工作，仍倍感壓力。通過學習國家標準，我們增強了工作信心，找準了工作重點，為下一步開展規(guī)范化運營工作找到了努力的方向。主要有3個方面的工作：探索如何補強全省特別是信息化相對薄弱的單位共享網(wǎng)絡(luò)節(jié)點的安全；對照國家標準安全技術(shù)要求補齊我省共享平臺的工作短板；參考國家標準結(jié)合我省實際制定我省相關(guān)地方標準。

二是助推我省政務(wù)數(shù)據(jù)共享工作規(guī)范化發(fā)展。長期以來，我省政務(wù)信息共享工作在探索中完善，數(shù)據(jù)提供單位共享的數(shù)據(jù)質(zhì)量普遍不高，需要投入大量人力物力開展數(shù)據(jù)歸集、分級分類、目錄管理、數(shù)據(jù)維護等工作，而相關(guān)單位也沒有充足的經(jīng)費保障，導致許多單位不愿意共享數(shù)據(jù)。國家標準正式實施后，將有助于改變這一被動局面。各有關(guān)單位以此為依據(jù)，向相關(guān)省委省政府爭取項目和經(jīng)費支持，從民生突出領(lǐng)域入手，全面規(guī)范梳理本單位相關(guān)政務(wù)數(shù)據(jù)，完成本單位或本行業(yè)內(nèi)部的分級分類工作、數(shù)據(jù)治理工作和政務(wù)信息資源編目工作，對政務(wù)數(shù)據(jù)進行正本清源的清理，從源頭上保障政務(wù)數(shù)據(jù)的完整性和準確性。

記者：為加強新時期政務(wù)數(shù)據(jù)共享工作，貴單位是如何探索工作新機制，不斷健全優(yōu)化數(shù)據(jù)共享措施的？

柳松：一是進一步厘清政務(wù)數(shù)據(jù)共享參與各方的工作邊界。采取靈活務(wù)實的態(tài)度，倡導信息化較強的單位和協(xié)助信息化較弱的單位開展數(shù)據(jù)歸集、分級分類、目錄管理、數(shù)據(jù)維護等共享數(shù)據(jù)準備安全相關(guān)工作，全省一盤棋統(tǒng)籌推進共享的政務(wù)數(shù)據(jù)的源頭治理工作。

二是進一步完善政務(wù)數(shù)據(jù)技術(shù)標準。參照國家政務(wù)數(shù)據(jù)分級分類有關(guān)要求，制訂我省政務(wù)數(shù)據(jù)分級分類管理工作實施方案和計劃。參照國家政務(wù)信息資源目錄管理有關(guān)要求，明確政務(wù)信息資源目錄編碼規(guī)則，進一步落實共享交換平臺與行業(yè)部門目錄編制以及市州目錄系統(tǒng)指導對接工作。按照“一數(shù)一源”原則，聯(lián)合業(yè)務(wù)數(shù)據(jù)主管單位參照國家部委要求制定政務(wù)數(shù)據(jù)的元數(shù)據(jù)標準，建立我省政務(wù)大數(shù)據(jù)中心政務(wù)數(shù)據(jù)標準。

三是進一步完善政務(wù)數(shù)據(jù)共享網(wǎng)站功能。以優(yōu)化用戶體驗推動網(wǎng)站功能提質(zhì)改造，增加網(wǎng)站的凝聚力；以強化共享績效考核調(diào)動各共享單位工作積極性，增加網(wǎng)站影響力；以促進政務(wù)信息資源目錄發(fā)布和資源掛接推動單位內(nèi)部數(shù)據(jù)治理，增加網(wǎng)站的競爭力。

四是探索利用區(qū)塊鏈技術(shù)創(chuàng)新開展“可用不可見”的數(shù)據(jù)共享模式。探索利用區(qū)塊鏈底層技術(shù)，推動政務(wù)數(shù)據(jù)跨部門、跨區(qū)域共享利用，解決數(shù)據(jù)提供方“不愿交”、數(shù)據(jù)使用方“不敢用”等問題。開展公共信息資源開發(fā)利用試點，創(chuàng)新構(gòu)建政務(wù)數(shù)據(jù)“可查不可存、可用不可見”的共享共用應(yīng)用場景。

記者：請您談?wù)劊瑸樘嵘?wù)數(shù)據(jù)共享能力，貴部門的整體部署和落實情況。

柳松：一是強化數(shù)據(jù)歸集。2020年，我中心在省發(fā)改委、省自然資源廳、省生態(tài)環(huán)境廳、省民政廳、省人社廳、省交通廳、省應(yīng)急管理廳、省衛(wèi)健委、省市場監(jiān)管局9個政務(wù)服務(wù)事項較多的省直部門和長沙市、衡陽市、張家界市、湘西州4個市州開展了政務(wù)數(shù)據(jù)共享共用試點工作，共理了2419條目錄，確定可發(fā)布目錄1744條，累計已發(fā)布目錄1797條，掛接了424條政務(wù)信息資源，實現(xiàn)了對掛接數(shù)據(jù)的共享申請、審批、聯(lián)調(diào)等工作在湖南省政務(wù)數(shù)據(jù)共享網(wǎng)站上的全流程辦理，取得了初步成效。今年將繼續(xù)擴大試點范圍，以進一步完善省政務(wù)數(shù)據(jù)共享網(wǎng)站功能為抓手，抓緊對接省直單位推動政務(wù)服務(wù)“三張清單”數(shù)據(jù)落地工作，加強與市州目錄系統(tǒng)對接聯(lián)調(diào)，加大對省直主要單位和14個市州主要數(shù)據(jù)的歸集力度，實現(xiàn)政務(wù)有關(guān)數(shù)據(jù)全省一張網(wǎng)的邏輯集中發(fā)布。

二是完善標準規(guī)范。探索解決數(shù)據(jù)共享流程線下申請與線上申請如何有效結(jié)合的難題。針對各地各部門反饋的數(shù)據(jù)共享申請流程復雜、效率不高的問題，編寫了《湖南省數(shù)據(jù)共享交換平臺體系（政務(wù)外網(wǎng)）總體框架（征求意見稿）》,優(yōu)化了省政務(wù)數(shù)據(jù)共享網(wǎng)站功能，研究制定了數(shù)據(jù)共享線上申請的模版，確定了各部門在省政務(wù)數(shù)據(jù)共享網(wǎng)站開展共享服務(wù)的責任邊界，逐步推進政務(wù)數(shù)據(jù)共享流程以線上線下申請相結(jié)合的方式向以線上申請為主的方式轉(zhuǎn)變。

初步實現(xiàn)了試點市州的省市兩級政務(wù)數(shù)據(jù)的共享聯(lián)調(diào)。收集研究了國家、其他省份、12個市州政務(wù)信息資源目錄編目規(guī)則，編寫了《湖南省政務(wù)信息資源目錄編目規(guī)則》《湖南省政務(wù)信息資源目錄管理系統(tǒng) 省市（州）級聯(lián)對接實施方案（征求意見稿）》《湖南省政務(wù)信息資源目錄管理系統(tǒng) 省市（州）級聯(lián)接口規(guī)范（征求意見稿）》，提出了省市信息資源目錄編目規(guī)則不一致的臨時解決方案。目前，已完成了省市（州）目錄系統(tǒng)級聯(lián)對接的14個接口的開發(fā)和部署，組織湘西州、湘潭市和衡陽市完成測試環(huán)境的聯(lián)調(diào)和正式環(huán)境的部署，正在開始上傳市州政務(wù)信息資源。

正在調(diào)研細化政務(wù)數(shù)據(jù)共享共用標準規(guī)范。以DB43/T 1754—2020《政務(wù)大數(shù)據(jù)中心數(shù)據(jù)交換規(guī)范》地方標準為基礎(chǔ)，組建專業(yè)團隊深入開展工作調(diào)研，進一步研究完善政務(wù)信息資源目錄編碼規(guī)則、政務(wù)信息共享交換平臺技術(shù)規(guī)范以及市州工作對接指南、政務(wù)數(shù)據(jù)治理及分級分類管理實施細則規(guī)范、政務(wù)大數(shù)據(jù)中心數(shù)據(jù)安全管理制度規(guī)范等。

三是籌劃共享平臺提質(zhì)改造。一方面，利用云平臺擴容升級和信創(chuàng)工作契機，我們編制了省政務(wù)大數(shù)據(jù)中心和共享平臺提質(zhì)改造方案。目前已進入立項程序。另一方面，依托省電子政務(wù)外網(wǎng)和我省十大技術(shù)攻關(guān)的區(qū)塊鏈底層技術(shù)研發(fā)項目，建設(shè)安全、自主可控、覆蓋省市縣三級的政務(wù)鏈底層平臺，打造政務(wù)區(qū)塊鏈示范應(yīng)用，形成政務(wù)區(qū)塊鏈標準規(guī)范體系，推動建立政務(wù)數(shù)據(jù)共享區(qū)塊鏈應(yīng)用服務(wù)。