馬 英

（國家信息中心，北京 100045）

0 引 言

隨著數(shù)字經濟引領經濟增長的作用日趨顯著，數(shù)據共享得到持續(xù)推進。近年來，國務院及相關部門相繼下發(fā)了《政務信息資源共享管理暫行辦法》（國發(fā)〔2016〕51號）[1]、《政務信息系統(tǒng)整合共享實施方案》（國辦發(fā)〔2017〕39號）[2]等一系列文件指導政務數(shù)據資源整合共享工作。根據國務院部署的相關工作要求，按照“先聯(lián)通、后提高”的原則，加快各級數(shù)據共享交換平臺建設，推進政務信息系統(tǒng)整合共享，全面化解互聯(lián)互通難、信息共享難、業(yè)務協(xié)同難的問題。

在國家的大力推動下，國家數(shù)據共享平臺體系建設已基本完成。政務數(shù)據共享在助力“放管服”改革、推進政務服務“一網通辦”業(yè)務，在支撐我國數(shù)字政府建設中起到了重要作用。同時，隨著數(shù)據共享的深入推進，數(shù)據供給和數(shù)據需求對接成為持續(xù)發(fā)展需要解決的問題。在不同的業(yè)務場景中，數(shù)據共享的內容和要求不盡相同。例如，政務服務“一網通辦”業(yè)務，某一政務服務事項所需共享的數(shù)據是確定的，實現(xiàn)“一網通辦”須在開展數(shù)據共享的基礎上進行業(yè)務協(xié)同。在智慧城市中出現(xiàn)火災、安全生產事故等應急事件時，數(shù)據共享的及時性是第一位的。我們需要進一步加強數(shù)據共享安全管理，構建安全與效率兼顧的數(shù)據共享決策機制，希望在一定程度解決上述問題。政務數(shù)據共享來源于各級政務部門，具有數(shù)據類型復雜、應用范圍廣泛等特點，通常為來自不同組織或部門、不同身份與目的的用戶提供服務。分布式的系統(tǒng)部署、開放的網絡環(huán)境、復雜的數(shù)據應用和眾多的用戶訪問使數(shù)據在保密性、完整性、可用性等方面面臨更大的挑戰(zhàn)。數(shù)據保護難度加大、個人隱私泄露的風險加劇，因此需要加強數(shù)據的訪問控制。一是用戶身份鑒別。數(shù)據的共享意味著會有更多的用戶可以訪問數(shù)據。大量的用戶和復雜的共享應用環(huán)境，導致需要更準確地識別和鑒別用戶身份，而傳統(tǒng)基于集中數(shù)據存儲的用戶身份鑒別難以滿足安全需求。二是用戶訪問控制。在數(shù)據共享應用場景中，由于存在大量未知的用戶和數(shù)據，預先設置角色及權限十分困難。即使事先對用戶進行權限分類，但由于用戶角色眾多，難以精細化和細粒度地控制每個角色的實際權限，從而導致無法準確地為每個用戶指定其可以訪問的數(shù)據范圍。

1 相關工作

目前，國內外在數(shù)據共享領域中對訪問控制的研究和工作較多。2019年12月，美國發(fā)布《聯(lián)邦數(shù)據戰(zhàn)略與2020年行動計劃》，確立了政府范圍內數(shù)據共享開放和數(shù)據安全的框架原則以及40項數(shù)據管理實踐[3]。2017年8月，英國發(fā)布《英國新數(shù)據保護法案：改革計劃》，提出新的法案以打造安全可靠的網絡空間，在推動英國與歐盟國家之間數(shù)據流動的同時，進一步強化數(shù)字經濟時代的個人數(shù)據保護[4]。2016年9月，我國發(fā)布的《政務信息資源共享管理暫行辦法》[1]中明確提出“建立機制，保障安全”，各政務部門和共享平臺管理單位應加強對共享信息采集、共享、使用全過程的身份鑒別、授權管理和安全保障，確保共享信息安全。2018年7月，國家發(fā)展改革委發(fā)布《國家數(shù)據共享交換平臺（政務外網）服務接口申請、授權和使用管理暫行辦法》[5]，明確了數(shù)據共享的申請、授權、使用的行為和流程。2021年6月，我國正式出臺《中華人民共和國數(shù)據安全法》，在第五章政務數(shù)據安全與開放中明確提出“對在履行職責中知悉的個人隱私、個人信息、商業(yè)秘密、保密商務信息等數(shù)據應當依法予以保密，不得泄露或者非法向他人提供”“建立健全數(shù)據安全管理制度，落實數(shù)據安全保護責任，保障政務數(shù)據安全”。

從技術上，業(yè)界提出了多種數(shù)據授權訪問控制方案。2005年，屬性基加密（Attribute-Based Encryption，ABE）被首次提出，為數(shù)據隱私保護與訪問控制的融合提供支持[6]。區(qū)塊鏈技術（Blockchain Technology）首次出現(xiàn)在中本聰[7]發(fā)表的《比特幣：一種點對點的電子現(xiàn)金系統(tǒng)》，余益民[8]等提出基于區(qū)塊鏈的政務信息資源共享模型，利用智能合約實現(xiàn)數(shù)據的訪問控制。

本文主要討論在目前國家數(shù)據共享平臺體系架構下，建立良好的數(shù)據授權管控機制，實現(xiàn)合法用戶在正確的時間用正確的方式對數(shù)據進行正確的操作，保證數(shù)據被安全合規(guī)地使用。數(shù)據授權管控機制的建立需要兼顧安全與效率，既要滿足安全要求，又要簡化操作流程；既要滿足對數(shù)據資源訪問的細粒度控制要求，又要兼顧自然災害、公共衛(wèi)生事件等公共安全事件發(fā)生時達到數(shù)據快速共享的要求。

2 當前政務數(shù)據共享的授權方式

自2017年以來，各部門各地方開展政務信息共享，主要采用“申請授權方式”。數(shù)據共享申請授權流程如圖1所示。

圖1 數(shù)據共享申請授權流程

數(shù)據使用方分析業(yè)務數(shù)據需求，發(fā)起數(shù)據使用申請。申請時需要明確數(shù)據申請理由、數(shù)據使用用途、數(shù)據使用期限等。數(shù)據共享申請由數(shù)據共享平臺統(tǒng)一受理，開展合規(guī)性審查，并將需要部門審批的申請進行轉辦。數(shù)據提供方對數(shù)據申請進行授權，如果不予授權應說明理由。數(shù)據共享平臺將授權結果統(tǒng)一反饋給數(shù)據使用方。

3 存在的問題

針對政務數(shù)據共享涉及部門多、層級多、應用場景多的特點，當前的政務數(shù)據共享授權模式能夠滿足細粒度訪問控制需求，靈活性高。但是該授權方式也存在一定的問題。一是申請審批操作量大。該授權方式屬于“一事一議”制度，授權主體為提供部門的某一數(shù)據資源，授權對象為政務部門的某一業(yè)務系統(tǒng)。對于數(shù)據提供部門，特別是對于民政部、公安部、發(fā)改委等提供數(shù)據資源價值較高的國家部門來說，申請審批操作量較大。二是跨層級授權審批流程長。國家數(shù)據共享體系由國家、省、市三級數(shù)據共享平臺組成。中央部門數(shù)據資源向市級政務部門提供共享服務時，需要數(shù)據使用單位、數(shù)據提供單位、國家、省、市三級數(shù)據共享平臺管理單位共5個相關方參與授權業(yè)務辦理，審批環(huán)節(jié)多、流程長，全流程辦理時間長，效率低。三是授權標準不統(tǒng)一。目前各部門未明確統(tǒng)一的授權標準，部分部門針對不同省份提交的相似的數(shù)據共享申請存在選擇性授權的情況。

4 數(shù)據共享授權機制設計

為解決當前數(shù)據共享授權模式存在的問題，兼顧安全與效率，實現(xiàn)數(shù)據共享的靈活、及時、精準授權，基于已有的申請授權數(shù)據共享授權機制，提出基于屬性授權和應急授權兩種數(shù)據共享安全管控機制，分別對應不同的數(shù)據共享需求和使用場景。

4.1 基于申請授權的安全管控機制

在現(xiàn)有的申請授權方式的基礎上，對申請數(shù)據授權操作流程進行優(yōu)化，提出基于申請授權的安全管控機制。

數(shù)據使用方分析業(yè)務數(shù)據需求，發(fā)起數(shù)據使用申請。申請時需要明確數(shù)據申請理由、數(shù)據使用用途、數(shù)據使用期限等。需求提出方數(shù)據主管部門應審核數(shù)據使用需求的合理性，主要關注的問題為數(shù)據消費是否是部門真實需求，資產使用范圍、使用期限是否合理。

數(shù)據提供方對數(shù)據共享申請進行授權，如果不予授權應說明理由。如果需求方提出的數(shù)據共享申請中涉及隱私數(shù)據，需要數(shù)據提供方隱私專家對個人數(shù)據使用的必要性、合規(guī)性進行審核。

數(shù)據共享管理方負責統(tǒng)一受理共享申請，對申請進行合規(guī)性審查，并對提供部門進行催辦，匯總統(tǒng)計各政務部門的申請、授權和使用情況。如果對共享條件、申請理由、授權結果有異議，可由數(shù)字政府建設領導小組協(xié)調解決。

基于申請授權的安全管控機制的定義：

（1）設DR表示數(shù)據資源，O表示機構，S表示業(yè)務系統(tǒng)，R表示申請，D表示授權時間，A表示提供方審批結果。

（3）A ( Ri) 表示數(shù)據提供方對申請的審批結果，審批結果T為審批通過，F(xiàn)為駁回，S為駁回補正。審批時間范圍應根據業(yè)務需求確定，最長不超過3年。

目前國家數(shù)據共享平臺體系由多級平臺構成，從申請受理到授權采用逐級審批的方式。為了簡化數(shù)據共享授權流程，建議以發(fā)布資源的數(shù)據共享平臺為中心，進行統(tǒng)一的申請受理，減少多級平臺逐級受理和轉辦的工作量。整體授權以被授權開展服務代理的共享平臺為中心，面向本級部門開展申請受理，并自動向數(shù)據提供方所在平臺備案。

4.2 基于屬性授權的安全管控機制

各政務部門面向群眾和企業(yè)提供的政務服務事項基本一致，某一政務服務事項的業(yè)務流程和所需數(shù)據的共享流程也基本一致。因此，可以建立“場景化”授權方式。首先，由業(yè)務方主管部門與數(shù)據提供方線下協(xié)商，對某一業(yè)務場景的數(shù)據供需達成一致；其次，由數(shù)據提供方設定數(shù)據面向該業(yè)務場景進行授權；最后，由業(yè)務主管部門負責確認哪些下屬部門、哪些業(yè)務系統(tǒng)用于辦理該場景的業(yè)務。通過“場景化”授權的方式，已納入授權的部門和業(yè)務系統(tǒng)無需再提出資源申請，即可開展數(shù)據共享使用。

為了滿足“場景化”授權的需求，建立基于屬性授權的安全控制機制。在數(shù)據提供方和數(shù)據使用方之間，建立一套基于資源屬性、用戶屬性、業(yè)務系統(tǒng)屬性的授權規(guī)則，實現(xiàn)對數(shù)據訪問權限的控制。3種屬性關鍵要素關系如圖2所示。

圖2 共享屬性關鍵要素關系

數(shù)據資源屬性包括數(shù)據資源的URL、訪問地址、類型、業(yè)務主題等。

用戶即是數(shù)據的使用方，用戶屬性主要定義使用方的身份和特征，主要包括組織、身份、角色等。

業(yè)務系統(tǒng)是使用數(shù)據的系統(tǒng)，系統(tǒng)屬性主要定義系統(tǒng)名稱，包括IP地址、所屬業(yè)務等。

基于屬性授權的安全管控機制的定義：

（1）設DR表示數(shù)據資源，O表示機構，S表示業(yè)務系統(tǒng)，D表示授權時間。

（4）數(shù)據資源訪問判斷規(guī)則：

Rule=can_access(DR,O,S,f(Attr(DR),Attr(O),Attr(S)))函數(shù)f根據DR、O、S的屬性值進行判斷，如果與DRm的預定義屬性相匹配，則返回true，允許訪問，否則返回false，拒絕訪問。

（5）基于屬性的構建訪問控制策略，每一條策略可以包括一個或者多個規(guī)則，每個規(guī)則包含資源、機構或系統(tǒng)的屬性值。訪問控制決策通過匹配資源、用戶或系統(tǒng)的屬性得出。

基于屬性授權的安全控制機制相對申請授權方式采用的“一事一議”的方式更加便捷，減少了數(shù)據使用部門申請操作和數(shù)據提供部門授權操作的次數(shù)，大大提升了數(shù)據共享授權的效率，同時又能夠滿足數(shù)據提供方授權安全管控要求。

4.3 基于應急授權的安全管控機制

當自然災害、公共衛(wèi)生事件、社會安全事件等公共安全事件發(fā)生時，需要多個政務部門相互協(xié)同，采取應急處置措施予以應對，提升行政效率，把事件可能造成的人員和財產損失降到最低限度。開展應急處置，需要不同部門之間的協(xié)調配合，而保持信息的流通和共享是最重要的。

申請授權機制由各相關方在平臺上進行申請授權操作，按要求在10個工作日內完成申請授權審批流程，時間上無法滿足公共安全事件數(shù)據共享的要求。屬性授權機制通過預設數(shù)據屬性確定授權范圍，無法滿足應急場景下的突發(fā)性需求。因此，本文新提出應急授權安全管控機制，由公共安全事件應急處置主管部門提出數(shù)據共享需求，數(shù)字政府建設領導小組負責審批，數(shù)據管理部門進行具體操作，快速完成數(shù)據使用授權工作。應急授權的時效為14天。如果后續(xù)還需要繼續(xù)使用數(shù)據，則由數(shù)據使用部門按照申請授權流程提出數(shù)據使用申請，補辦相關手續(xù)。

基于應急授權的安全管控機制的定義與基于申請授權的安全管控機制的定義基本一致，核心區(qū)別主要包括以下兩個方面：

（1）A(Ri)表示數(shù)字政府建設領導小組的審批結果，而不是提供方的審批結果，審批結果T為審批通過，F(xiàn)為駁回，S為駁回補正；

（2）D表示授權時間，應急授權審批時間較短，不能大于14天。

應急授權的方式首先考慮共享授權效率問題，實現(xiàn)公共安全事件應急處置所需數(shù)據的快速共享，同時又兼顧了數(shù)據提供部門的數(shù)據審批權。

在政務信息共享工作中，應用需求和使用場景多樣，3種不同的訪問控制機制應協(xié)同使用。首先，應采用屬性授權方式，數(shù)據提供方明確數(shù)據屬性，根據已知的需求和場景確定授權范圍。如數(shù)據使用方確定其在授權范圍內，則無需申請直接進行數(shù)據共享應用。其次，針對不在屬性授權范圍內的共享需求，數(shù)據使用方采用申請授權方式提交授權申請，經過數(shù)據提供方的授權審批后，開展數(shù)據的共享應用。當數(shù)據提供方明確該需求具有普遍性，并能夠確定其用戶和系統(tǒng)范圍時，可將其設置到數(shù)據屬性中，轉化為屬性授權方式。最后，當出現(xiàn)突發(fā)事件時，采用應急授權方式，盡快獲取數(shù)據使用權限。數(shù)據使用方在確定該數(shù)據資源仍需繼續(xù)使用時，需要與數(shù)據提供方協(xié)商，確定后續(xù)采用屬性授權或申請授權的方式進行權限的重新獲取。3種不同的訪問控制機制三位一體，實現(xiàn)數(shù)據共享的精準、安全、快速授權，更好地支撐政務數(shù)據共享需求。

5 共享授權決策模型

申請授權主體基于自身業(yè)務場景和數(shù)據共享需求，選擇適用的申請授權機制進行申請操作。申請授權主體在進行數(shù)據訪問決策時，數(shù)據共享平臺需對授權情況進行驗證，以判斷是否允許數(shù)據訪問。數(shù)據共享授權決策模型如圖3所示。

圖3 數(shù)據共享授權決策模型

策略實施點是授權訪問控制的實體，可攔截數(shù)據訪問請求，并向策略決策點發(fā)送授權請求，根據授權響應結果，執(zhí)行允許或者拒絕用戶請求的操作。

策略決策點利用策略規(guī)則集判斷用戶的訪問請求是否滿足要求，從而決定是許可還是拒絕，并將策略決策結果反饋給策略實施點。

數(shù)據共享在進行數(shù)據訪問決策時，需要統(tǒng)籌考慮3種授權機制，進行綜合決策。其中，應急授權機制決策優(yōu)先級最高，屬性授權次之，最后進行申請授權決策判斷，其判斷優(yōu)先級如表1所示。

表1 授權機制的決策優(yōu)先級

6 結 語

在新時代政府數(shù)字化轉型的背景下，政務信息共享的需求越來越多，應用場景逐步增加，加強數(shù)據共享安全的措施和手段正逐步落地。本文為解決不同場景下數(shù)據需求和供給有效對接的問題，根據政務數(shù)據共享3種主要的應用場景，提出相應的數(shù)據共享安全管控機制，并進一步提出了共享授權決策模型。根據本文的分析總結，數(shù)據提供方應在數(shù)據分類分級和敏感數(shù)據標識的基礎上，設置數(shù)據的共享屬性和安全屬性；數(shù)據共享管理單位要做好政務信息共享組織和管理流程設計，針對不同數(shù)據共享需求和數(shù)據應用場景，選擇合理的數(shù)據共享訪問控制方式。數(shù)據使用方依據數(shù)據授權決策模型獲取數(shù)據，依法依規(guī)合理使用數(shù)據資源。