基于內生安全的數據共享信息系統架構研究

李 建，王 昊，姜藶峰，羅清林，吳凡毅，3

(1.中電(海南)聯合創新研究院有限公司，海南 澄邁 571924；2.海南省PK體系關鍵技術研究重點實驗室，海南 澄邁 571924；3.中國電子信息產業集團有限公司，廣東 深圳 518057)

0 引言

繼原始文明、農業文明、工業文明時代之后，人類已進入當今的數字文明時代。特別是大數據、人工智能、云計算、區塊鏈等新一代信息技術的逐步成熟，加速了數字經濟時代的到來，革新或顛覆了傳統的經濟形態，使得越來越多的國家將數字經濟上升為國家戰略，并逐步成長為世界各國經濟增長的強大引擎。歐洲委員會指出，“數字經濟”將數據視為“未來經濟的基石”，決定著商業的成功和經濟的未來繁榮[1]。 整體來看，美國、英國、德國、法國、加拿大、澳大利亞等主要西方發達國家，早在20世紀60～80年代，就開始出臺關于信息自由、數據保護等方面的國家層級的法律，如今已基本構建有利于數據開放利用的數據法規制度體系[2]。我國自黨的十九屆四中全會首次把數據與勞動、資本、土地、知識、技術、管理一并視為生產要素后，大大加快了成體系的數據立法工作。2020年3月，中共中央、國務院發布《關于構建更加完善的要素市場化配置體制機制的意見》，明確提出“加快培育數據要素市場”,“根據數據性質完善產權性質，完善數據產權界定”，數據作為一種新型生產要素，第一次直接寫入中央政策文件中；2021年，我國又頒布和實施《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》，基本構建了比較完整的數據安全治理體系，其全景圖如圖1所示，標志著數據安全治理領域正式進入體系化強監管時代。

1 數據共享發展概述

近年來，美國對抖音國際版TikTok進行國家安全審查等數據安全事件，以及俄烏數字安全攻防戰背后體現的全域、全天候、全方位安全防護問題，警醒了我國黨政軍民相關主體，同時也對解決日益嚴峻的數據安全威脅提出了更高的要求。如何合規安全地發揮數據價值，兼顧發展和安全，平衡效率和風險，是當前面臨的重要課題。習近平總書記指出，要統籌國內國際兩個大局、發展安全兩件大事，充分發揮海量數據和豐富應用場景優勢，促進數字技術與實體經濟深度融合，賦能傳統產業轉型升級，催生新產業新業態新模式，不斷做強做優做大我國數字經濟[3]。

在數據進入要素化交易共享的高級發展階段，數據作為關鍵的生產要素可以通過市場化配置，實現全領域、全行業、全地域、全平臺機構間的數據智能流轉，使得數據這種新的生產要素得以從另外的角度推動當今數字經濟增長，加速釋放要素價值。但數據可以輕而易舉地被復制,且復制、傳播幾乎不需要成本，很多共享數據的優勢方已經取得規模優勢或絕對優勢。如仍不加以法規制度約束，原先掌握大量個人和組織數據的互聯網巨頭(阿里、騰訊、京東、滴滴等)的數據量級還會野蠻增長，數據和平臺相互依賴的風險進一步提升，很多大的數據平臺甚至能夠利用已有數據創造出新的資源，進而設置壁壘，并拒絕其他廠商進入，從而形成并維持競爭優勢，導致壟斷風險。另外，公安等核心黨政部門則存在數據合規建設問題，此類公共數據如果出現濫用，會造成更大的損害。因而建設一個符合數據安全和個人信息保護合規體系的基于內生安全理念的新型數據共享信息系統成了迫切需求。

2 基于內生安全理念的數據共享信息系統架構

2.1 現有技術基礎與問題概述

現有數據共享信息系統大都基于Wintel體系(Microsoft Windows操作系統+Intel CPU組成的計算架構體系簡稱)的底層軟、硬件來集成，包括密碼機、網閘等外掛式安全設備，并采用第三方工具或自研軟件進行數據識別、轉換、分析與集成，然后通過遠程方式連接到數據擁有方的數據庫，進行數據抽取和挖掘。從技術上講，在此安全機制下的數據共享，很多數據共享信息系統即使采用復雜的加、解密技術防護體系，底層漏洞或后門仍會帶來不可控的數據安全風險，另外，外掛式安全還會降低整個系統的運行效率。從數據資產屬性上講，數據共享的前提是要保證在交換過程中對數據主權的控制[4]，目前看數據主權并不可控：一是數據需求方可以獲得數據擁有方數據庫的部分或全部操作權限，或者直接提取相關數據，并自行存儲，使得數據擁有方無法把控數據安全性，也無法發揮數據資產的價值；二是數據擁有方對自己的數據喪失管理權，不知道誰抽取了自己的數據，抽取了什么數據，多少數據，更不知道數據需求方是否進行二次開發利用，甚至私下出售原生或衍生的數據信息。

2.2 數據共享方案總體設計

數據獲取、交易制度的核心和重要前提是數據權利界定規則的全面、完整、清晰，這不僅有利于明確交易對象、厘清交易成本和確立協議定價，而且對加強事后監督、降低履約成本都具有顯著的價值[5]。目前在很多行業應用領域都存在數據歸屬鑒定及應用困難的問題，很多地方靠行政命令等強制手段實現數據共享。雖然此類數據共享也在不斷創造價值，但未來發展瓶頸也很明顯。以政府等公共數據為例，很多地方的大數據局雖實現了涉及婚姻、社保、教育、醫療、救助等信息的人口庫，涉及工商、質監、地稅、國稅、社保、財政等信息的法人庫，涉及“天地圖”服務規劃等信息的空間地理庫等靜態基礎數據的共享，但動態數據的共享情況仍舊不是很樂觀。經常是“一把手”一管就共享，不管就不共享。另外，“大廳大屏大集中”方式也存在弊端，很多地方把數據都集中起來，數據的平臺化匯聚加劇了數據安全風險，形成數據的“蜜罐效應”，導致數據存儲平臺容易成為網絡犯罪的攻擊目標[6]。一旦發生數據泄露等安全事故，就是全系統泄露，因此，數據流通過程中產生的權益歸屬、安全保護、合規應用等問題，成為政、產、學、研、用等各界關注的焦點。

為了解決數據共享問題，且保證數據共享的安全性，本文提出基于內生安全理念進行數據共享交易方案的總體設計，如圖2所示。

圖2展示的參考案例中，A1單位需要C1、C2單位的有關數據，A2單位需要C2單位的有關數據，An單位需要C2、Cn單位的有關數據。

圖2 基于內生安全理念的數據共享信息系統架構總體設計

本方案架構設計的核心是數據擁有方可以不必對外直接提供業務數據庫的原生數據，而是將數據需求方的計算模型存入自己管控的可信對接總線子系統，從而解決了對共享數據的控制權問題。另外，數據需要方和數據擁有方的角色并不固定，可根據不同場景進行角色變換，現實中很多單位都具有數據需要方和數據擁有方的雙重身份。該架構設計的主要技術特征：一是數據需求方先提交數據需求及用途，并向數據共享交易管理中心和數據擁有方提交計算模型全部源代碼，然后進行源代碼審查，審查通過后，由數據擁有方將計算模型寫入可信對接總線子系統；二是數據擁有方通過數據共享交易管理中心鏈接數據擁有方的信息系統，并以可信應用程序接口(Application Programming Interface，API)調用等方式運行自己編寫或認可的計算模型，由計算模型去抽取并分析數據擁有方業務子系統數據庫的相關數據，完成計算后，再根據三方預設的安全機制，對所述計算結果進行對應的處理，得到安全計算結果或反饋信息；三是三方系統的可信部分均要求沒有未知指令集和未知代碼，包括基礎的芯片、操作系統以及上層應用等都應具有“可知、可自主編碼、可重構、可信、可用、可控”等特點。比如，基于ARMv8架構授權而研制的飛騰自主芯片完全符合上述要求，且具有支持國密算法等內生安全特色。同時，數據共享交易管理中心既要關注傳統數據管理層面的目錄管理、安全管理、質量管理,又要關注資產管理層面的數據審計、價值評估和利益分配[7]。目前，很多地方的數據交易第三方的角色由省大數據管理局等擔任，其作用與價值是高效統一單位基礎信息，統一接口服務，統一業務協調代理，統一數據資產計價交易，解決業務協調難、單位(系統)狀態監測難、數據資產計價難等問題。

2.2.1 可信對接總線子系統的可信計算架構

沈昌祥院士指出，主動免疫是中國可信計算革命性創新的集中體現，在計算和防護雙系統體系框架下，采用自主創新的對稱與非對稱相結合的密碼體制，作為免疫基因；通過可信平臺控制模塊(Trusted Platform Control Module，TPCM)上主動度量控制芯片植入可信源根，在可信密碼模塊(Trusted Cryptography Module，TCM)基礎上加以信任根控制功能，實現密碼與控制相結合，將可信平臺控制模塊設計為可信計算控制節點，實現TPCM對整個平臺的主動控制；在可信平臺主板中增加可信度量控制節點，實現計算和可信雙節點融合[8]。PKS體系(PKS體系是基于自主的飛騰(Phytium)中央處理器(CPU)和麒麟(Kylin)操作系統(OS)，具有雙體系防護結構，具備內生內置安全能力的架構體系)正是主動免疫可信的“安全+計算”雙體系架構的一種具體實現，其加載及信任鏈傳遞流程，可實現最底層、最基礎、最必要的計算和安全功能的全覆蓋。可信對接總線子系統的可信計算架構由底層可信基礎軟硬件和上層可信應用軟件組成。其中PKS體系內置可信環境的硬件可信根可以是飛騰CPU可信核或TCM上的密碼芯片，通過可信根建立內置可信信任鏈，并在基礎軟硬件可信架構體系構建完成后，運行在系統上的應用也應基于可信軟件基服務完成驗簽流程，具體如圖3所示。

圖3 可信軟件基服務驗簽流程圖

2.2.2 零信任安全監控子系統

數據共享交易管理中心應負責可信路由交換系統建設，其中最核心的部分是零信任安全監控子系統，顧名思義，就是基于零信任理念不斷對物理與環境安全、主機與存儲安全、網絡安全、虛擬化安全、數據安全、應用安全和用戶行為安全等進行動態、無感的監控驗證。該系統的設計規范應符合國家強制標準《計算機信息系統 安全保護等級劃分準則》，包括在系統可信基構造時，排除那些對實施安全策略并非必要的代碼；在設計和實現時，從系統工程角度將其復雜性降低到最小程度；支持安全管理員職能；動態擴充審計機制，當發生與安全相關的事件時發出警告信號，提供應急處理和系統恢復機制，提高系統抗滲透能力[9]。另外，零信任安全監控子系統作為主動式防御體系的核心基石，除了具備終端環境感知、可信訪問控制、可信應用安全API監管、用戶行為統計、身份認證安全審計與數據完整性流程記錄管理等功能外，還應基于等保2.0標準和原則，著重實現具有安全免疫和主動防御能力的主機系統安全保護方案,全面提升主機系統在復雜攻擊環境下的安全性能[8]。特別是要具備對系統運維管理等重點人群主動監控功能和外部多源信息響應機制，比如民眾舉報、輿論等外源信息。

2.2.3 數據共享申請與計算模型授權流程

數據共享申請與計算模型授權應按法理依據進行審批，具體流程如圖4所示。

圖4 數據共享申請與計算模型授權審批流程圖

數據擁有方存儲有數據需求方的計算模型，且計算模型的每次更新均需通過數據擁有方審核確認，確保數據一直內置于數據擁有方信息系統，只反饋預先商定的計算結果。數據資產不脫離原有主體，可以大幅提高數據擁有方的共享意愿，且通過搭建數據需求方可信接口或數據擁有方可信對接總線子系統，可以很好地解決原有系統的利舊問題，只需讓可信接口或可信對接總線子系統和舊的信息系統對接便可，大幅提高了系統兼容性，降低了信息化項目成本。另外，在數據擁有方提供數據不共享說明的情況下，還應建立特許數據服務共享流程和機制。例如，某單位需要調研某犯罪嫌疑人的銀行流水及其資產等數據，該單位應按法理依據進行審批，拿到公安司法機關給出的調查令后，由數據共享交易管理中心分發至相關數據擁有方，實現授權書(行政許可等)一對多，大幅提高了特許特批數據共享反饋的流程效率。

2.3 數據共享計算過程參考實現

數據需求方發送數據請求至數據擁有方之前，需要通過數據共享交易中心建立與數據擁有方的信道連接，因此，數據擁有方會通過可信對接總線子系統接收經數據交易中心轉發且驗證過的數據需求方的訪問請求，驗簽均通過后，建立計算模型調用鏈路，開始正常調用計算和結果反饋工作。數據共享計算過程參考實現如圖5所示。

圖5 數據共享計算過程參考實現示意圖

2.4 數據共享機制

數據作為生產要素釋放價值的前提是構建一整套有利于數據交易流動的數據治理體制機制。以成都市政府數據授權運營為例,張會平等[10]認為政府數據授權運營機制包括運營管理監督機制、平臺建設運行機制、網絡安全保障機制、數據需求管理機制、數據申請與授權機制、數據交付與利用機制、利益補償與激勵機制以及數據服務定價機制，指出其基本特性是將政府數據作為國有資產進行市場化運營。除此之外，還應建立或完善數據資產交易保證機制，數據服務分類分層計價交易機制，數據共享白名單、黑名單機制等，為數據交易共享培養創新土壤。

(1)數據資產交易保證機制。建立類似互聯網交易支付中介，各單位進入數據共享系統即交保證金，方便信息系統結算數據資產。

(2)數據服務分類分層計價交易機制。數據會產生存儲、維護和安全等持續性管理成本，沒有科學的分類分層計價機制，數據就會變相成為資產負債。一是長時間占用鏈路的數據服務，比如攝像頭等流式數據，按照設備采購及維護費進行預期壽命內的時間分攤，并按三分之一的分攤費用計價，即當流式數據的使用客戶達到3個時，數據擁有方即可實現零成本運維，有利于高質高效提供可持續的數據服務；二是條目式或確認式數據服務，按條目或流量計價，計價協議經雙方商定后，數據交易共享中心備案落實。

(3)數據共享白名單、黑名單機制。數據共享交易管理中心應推動接入系統的相關單位建立數據共享白名單、黑名單機制，其中，數據共享黑名單要求說明不共享的理由，包括法規意見或單位條例等法理依據。

3 數據安全趨勢展望與建議

在政策驅動和市場需求同時作用下，數據共享廣度和深度在數字經濟行業應用項目中日益加強，使得當前熱門的數字政府、智慧城市等數字化項目的數據安全風險，以及未來數字戰爭等應用場景的預期風險也同步放大。

3.1 完善跨境數據流動的監管組織及制度建設

《非對稱競爭：應對中國科技競爭的戰略》報告中的一項就是數據本地化，本地數據物理隔離。文中提出的核心政策就是將美國私營企業的科技能力整合到美國政府的軍事情報戰略中，同時將美國政府獲得的信息應用于私營企業的經濟和科技競爭中[11]。微信、抖音等大型社交平臺有太多可以利用的多源數據，抖音國際版TikTok在美國受限的背后就是民用數據跨境之爭，而對軍用數據而言，軍民融合多源大數據安全更為重要，數據安全攻防優勢方完全可以實現局部甚至全局戰場的透明化。因此，只有盡快完善跨境數據流動的監管組織及制度建設，逐步明確直接或間接傳輸審查的范圍和閾值，才能積極參與數字經濟國際合作。

3.2 閉環流轉，建立數據安全全生命周期管理體系

基于我國的數據治理體系，建立覆蓋數據采集、存儲、共享、開放、應用、消亡等涉及數據安全的全生命周期管理體系,包括安全管理標準規范[12]等，逐步實現由事后管理向全過程管理轉變，建議重點圍繞數據主權問題，開展以下三方面的工作。

(1)健全關鍵領域私營或外資單位數據準入制度

以滴滴事件為例，大規模打車平臺行程和個人數據一旦被相關民營或外資企業泄露給敵對方，平時可以輕易分析出涉及軍事敏感地相關人員，如果再綜合其他平臺的多源數據，就可進行精準的人物畫像，便于間諜滲透；戰時則可能導致軍事敏感地和關鍵人員在首輪突襲中遭受毀滅性打擊。因此，應健全關鍵領域私營或外資單位數據準入制度，包括數據采集、共享等核心環節的審核。針對掌握規模級大數據的互聯網平臺或信息系統，法理上應設置相關數據的默認存儲期(個人選擇長期存儲的除外)，交易類數據應可由個人自行刪除，并約束平臺公司不得傳輸給第三方，或另行存儲、二次加工利用。

(2)健全關鍵領域國有公共數據資產開發利用政審制度

數據共享國有公共數據資產包括掌握在黨、政、軍以及有國資背景企事業單位的多源性大數據，此類數據資產應堅持“國家所有、統籌管理、充分利用、安全可控”的原則進行合理合規的開發利用[13]。特別是金融、生物基因等關鍵領域的國有公共數據，利用好了將利國利民、強國富民，野蠻生長輕則擾亂國民經濟、社會秩序，重則禍國殃民、國家變色。例如，灰色資本方通過承接黨政等方面的信息化項目，非法或過度收集國民個人隱私信息等數據，實現“千人千面”地精準營銷、精準詐騙、精準推送不良游戲或信息，甚至幫助國外敵對資本以更低的成本踐行“精神鴉片”“奶頭樂”戰略，最后造成社會發展緩慢，階層分化、固化，影響我國共同富裕的歷史進程。因此，為了加速推動國家治理體系和治理能力現代化，有必要按照現有的數據治理法律體系，健全關鍵領域國有公共數據資產開發利用政審制度。

(3)進一步推動“大國公器”數據安全運維的主動審計防御體系建設

如果金融、稅務、公安大數據平臺等“大國公器”被少數不法分子利用或掌控，可導致不法分子輕易解決“拜占庭將軍”等類似的分布式共識問題，他們可以不經商議合謀，而高度一致地在金融、糧食等關鍵領域牟取巨利，或在稅務、司法領域提前做出預判性對抗或逃避查辦的動作。另外，數據共享信息系統首先是掌握在一線運維管理人員手里，然后數據或信息被逐級上報，最后由相關領導決策。其中的人員風險不可忽略，建議構建基于重點人群的多源數據監控法理機制和“民間舉報+專家經驗+機器智能”的主動防御體系。例如，平時應將運維人員納入重點監控對象，簽訂保密協議，一旦發現異常行為或數據風險，可通過秘密的法理渠道，擴大行為審計監控范圍，精準畫像找內奸，清除立場不一致的“精英”，確保隊伍的純潔性。特別是對重大事件要及時發現和提前預見，并向相關業務平臺和處置前端給出告警性提示乃至行動性指示，以便進行事前干預，改變以往深度依賴專業情報分析人員的被動式情報分析研判模式。

3.3 加強數字關鍵核心技術攻關和自主創新

隨著中美貿易戰及國際產業脫鉤趨勢等發展現狀，我國想靠超大規模市場優勢換取數字科技基礎核心技術的老路已然不通，只有打好數字關鍵核心技術攻堅戰，把數字經濟自主權牢牢掌握在自己手中，才能引領數字經濟發展，實現高水平自立自強。要充分發揮舉國科技體制、網信重大工程、網信資源三大組織體系的優勢，參考分級保護標準[14]和數據安全能力成熟度模型[15]等現有標準，加強數據脫敏、數字水印、隱私計算等數字關鍵核心技術攻關和自主創新，強化對PKS等自主計算產業體系支持力度，加快內生內置安全技術、可信計算3.0技術等方面的知識產權體系和標準規范體系建設，培養高層次人才，為未來可能面臨的國家級大數據協同安全、核心技術動態對抗體系做準備。

3.4 分類分層制定數據資產管理戰略規劃

世界各國及我國內部不同區域、不同行業的信息化發展并不均衡，數據共享水平有高有低，發展階段有快有慢。面對紛繁變化的數字環境和技術浪潮，為實現數據賦能行業、助力業務發展的目標，不同層級的政府機關、不同規模的企事業單位等均應結合上位數據治理法律體系和行業特性，體系化評估和摸底組織內部的數據資源現狀、數據共享能力水平、數據合規以及數據安全發展相關需求，針對性地制定數據資產管理上層、中層和底層的戰略規劃，明確數據戰略愿景和使命，梳理數據資產管理目標、路線、方法和措施，包括動靜相宜、分類施策和分級定措等[6]數據規章流程和獎懲扶持等組織保障制度，為整個社會的數字化轉型奠定基礎。

4 結論

數據是數字經濟發展的基礎，數據共享是全社會、多領域數智化轉型的基石，更是各國進行體系化競爭的關鍵。只有貫徹習近平總書記關于保障國家數據安全的理念，把“不斷做強做優做大我國數字經濟”當成面向未來數字經濟發展的行動指南，才能讓數字經濟發揮重組全球要素資源、重塑全球經濟結構、改變全球競爭格局的重要作用，構筑起國家發展競爭新優勢[3]。