提升數據共享安全能力的措施

文｜李國良

政府數據作為國家基礎性戰略資源，在數據要素市場化配置中起經濟治理的作用。當前，隨國家大力推動政務服務“一網通辦”和政務數據共享應用，已初步構建政務數據共享交換體系，數據歸集量和數據共享量、數據共享應用場景均有較大進步，為加速實現政務數據共享奠定堅實的基礎。政務數據共享核心目的在于建立統一的政務數據共享交換渠道，連通各政府機關部門，實現政務數據的共享及匯聚，以充分釋放數據潛在價值，激發數據經濟活力。

一、發展現狀及面臨的風險

一般來講，數據共享的方式主要分為數據開放、數據交換和數據交易，目前，在數字政府建設領域所指的數據共享主要包括數據共享交換、數據開放兩種方式，尤其是近年來國家大力提倡的政務服務“一網通辦”，涉及大量政務數據共享應用的需求。在政務數據歸集治理、共享開放和數據交易過程中，仍存在許多安全隱患，例如，數據存儲安全、數據明文共享、數據源可信程度、數據共享去向不明等，尤其是跨域數據共享過程中的敏感數據暴露以及數據整體安全防護能力變弱、追蹤溯源困難等都給數據安全共享帶來較大的風險。本文是基于政務數據共享賦能、進一步提升政務數據共享安全性這個角度開展研究。因此，本文研究主要目的是在政務數據共享過程中存在安全隱患的基礎上，研究提出加強政務數據共享安全防護措施，主要包括使用數據傳輸安全、數據共享安全控制措施、數據共享服務接口調用動態授權控制、數據共享追溯及數據動態脫敏等方面的措施，以提升數據共享安全防護能力，消除政務數據共享安全隱患，讓政務數據能更安全傳輸，讓政務數據共享過程可追溯，為下一步各地區強化政務數據共享安全提供借鑒。

二、政務數據共享安全防護措施

（一）數據加密傳輸和異步分批傳輸

為確保政務數據在不同地區、不同部門、不同政務信息系統以及同一平臺不同子系統間安全地進行數據傳輸、共享和互調用，非常有必要對傳輸全過程實行安全防護控制。本文首先在使用符合國密算法標準的SSL協議進行傳輸基礎上，又采用了系統獨有的加解密技術對政務數據加解密并形成數據傳輸包；其次，在傳輸過程中采用多加密數據包技術，并且對待傳的多加密數據包使用異步分批隨機傳輸技術；同時，控制每對節點之間的數據流量，對數據傳輸日志進行實時跟蹤；最后，在數據傳輸目標服務系統內對數據進行解密，與調用者技術握手確認成功后，再將數據交由調用者。這種措施的技術原理為：一份數據是加密分批傳輸，即使在傳輸過程中某些數據包被攻擊者截獲，攻擊者也無法破解并恢復完整的數據包。通過數據加密傳輸和異步分批傳輸對數據采取了雙重防護措施，進一步提升政務數據共享時的安全性。

（二）AppSign授權訪問機制

隨著政務數據應用場景越來越豐富，使用政務數據的渠道也越來越多，如業務系統軟件、App、小程序、智能終端等均成為共享使用政務數據的終端，為消除數據安全風險隱患，進一步提高數據共享安全性，有效進行邊界控制，防止出現越界訪問數據的現象發生，需要對使用政務數據的第三方應用進行管控。具體實現方式如下：

在第三方應用申請共享政務數據時，通過獲取綁定調用者IP地址，使用“一人、一賬號、一地址、一登錄、一認證”的綁定機制對第三方應用進行管控，通過這種機制，就能識別數據獲取者是否是合法用戶。

第三方應用調用者通過身份認證之后，采用“自動+人工”組合的授權模式對待共享數據授權，授權成功后數據共享平臺自動隨機生成1個AppSign信息碼，該信息碼采用36位隨機字符碼，用來輔助驗證第三方應用調用者的身份。AppSign信息碼采取“一應用、一服務、一分配”模式進行授權，每個服務會分配一個AppSign信息碼給第三方應用調用者，用來識別第三方應用調用者身份。通過數據共享平臺服務系統中的白名單過濾機制，可以指定第三方應用調用者的IP，如白名單外的第三方應用調用者IP，即使截獲了AppSign信息碼，在調用服務時，將拒絕調用者的請求，實現訪問安全認證。

第三方應用調用者正式獲得共享的政務數據之前，數據共享平臺對其IP地址、賬號、登錄信息、AppSign信息碼等有關信息進行二次組合驗證，并自動綁定第三方應用調用者所在設備的IP地址，采用賬號登錄排斥技術確保同一賬號只能在綁定的設備上登錄并獲取AppSign信息碼，待這些信息都驗證通過后，才可接通第三方應用調用者要查詢的數據接口，執行數據共享查詢、核驗等操作服務。同時，數據共享平臺對上述操作全流程進行記錄，以便于后期的追溯。

（三）DynamicSignKey碼動態刷新授權認證

在AppSign信息碼授權訪問機制基礎上，為防止暴力破解或其他方式截獲AppSign信息碼，在第三方應用調用數據接口時，又增加DynamicSignKey碼認證模式進行強化授權，可進一步提升政務數據共享接口安全性。主要原理是采用動態刷新的DynamicSignKey碼進行強授權，首先，第三方應用在調用共享的數據接口前，每天都需使用調用方服務Id、用戶標識、AppSign信息碼等信息，依托數據共享平臺自動分配一個DynamicSignKey碼給第三方應用調用者；其次，通過DynamicSignKey值生成每日的sign動態簽名，每天生成的sign動態簽名值均不同；最后，每次調用數據接口時，都需要附上sign動態簽名值才能進行數據接口調用，同時系統做好調用記錄。需要說明的是，DynamicSignKey碼24小時內有效，這樣通過強認證方式，又提升了數據共享過程中的安全性。具體的數據共享接口調用流程如下所示：

首先，第三方應用調用者填寫相關申請信息并通過算法生成密鑰DynamicSignKey；

根據密鑰（DynamicSignKey）對第三方應用調用者ID、IP地址和申請時間戳標記等信息進行哈希運算后進行base64轉碼獲得gjzwfwpt_sign值，該數值的有效期為15分鐘；

根據第三方應用調用者的請求頭參數、請求參數調用接口地址獲取數據報文；

基于前面獲得的授權碼（AppSign），對第三方應用調用者標識（App_rid）、接口編碼（App_sid）和請求時間戳（App_rtime）進行計算簽名，得到簽名密鑰（App_sign）；

在接下來的數據共享接口調用過程中，先使用簽名密鑰對第三方應用調用者標識、接口編碼和請求時間戳進行計算簽名，然后調用數據共享接口。該簽名密鑰可以連續多次使用，直至密鑰過期或主動更新。DynamicSignKey每日更新一次，以保障該密鑰的安全性。

（四）數據全程追溯和動態脫敏機制

要確保政務數據共享全程可追溯，便于清楚地掌握數據流向、路徑、目的地、參與者等信息，應采取監管記錄措施，實現數據共享全程追溯。主要方法是健全數據共享系統日志機制，記錄數據流轉的全過程，日志內容盡可能完整，主要包括：操作日期、工作站名、用戶名、文件名、操作方式、流向ip、路徑端口、目的系統等信息，為數據審計提供詳細記錄。

針對所有數據共享調用服務都會建立訪問策略，包括訪問權限的控制、訪問時間段的控制、訪問次數的控制、異常訪問的調度等。

針對所有數據共享調用服務的都形成日志記錄，日志記錄的內容為調用的應用、調用的開發者、調用的時間、調用的傳入參數、調用的IP、調用的成功狀態等。

針對異常訪問以及錯誤訪問，進行記錄日志并及時反饋給數據維護者，數據維護者及時處理異常訪問及錯誤訪問，保證數據服務的正常運轉。

采用數據動態脫敏技術。數據持有者希望可以在不泄露隱私信息的前提下將數據共享給數據訪問者，在政務數據共享過程中，為防止個人信息泄露和有效防止數據擴散帶來的安全風險，有些數據需要在共享邊界內外進行脫敏處理，但還需要保持數據共享邊界內外的獨立性和識別度，因此，需要在數據共享過程中對需要脫敏的數據開展數據動態脫敏處理，等數據到達共享邊界之外的時候，數據已經完成了脫敏處理，能有效保護數據安全。動態數據脫敏是針對不同用戶需求、不同數據共享使用場景而隨機靈活確定，對數據進行屏蔽處理（類似數據沙箱內黑盒處置）的數據脫敏方式，前提是數據共享平臺必須有嚴格的安全措施確保第三方應用調用者不能繞過數據脫敏防護層而直接接觸敏感數據。執行動態數據脫敏方法時，針對不同的數據用途和第三方應用調用者情況，通過事先約定好脫敏方式，在動態數據脫敏執行時，采用均化、亂序、替換、散列、數據截斷、日期偏移取整、限制返回行列數、掩碼等不同組合開展動態脫敏，以適應不同的數據共享需求。在執行數據動態脫敏過程中，還需采取如下措施強化數據安全：

對數據脫敏過程實行全程運行監控和分析預警，以防止未脫敏數據意外流出；

還需定期對數據脫敏記錄開展“自動審計+人工審計”，以發現數據脫敏過程中存在的隱患及漏洞，便于及時彌補；

要確保數據動態脫敏服務是自動執行的，不能有人工干預數據脫敏過程。

三、結語

各級政府在政務數據共享平臺建設使用過程中，雖按等級保護測評第三級標準建設，也采取了常規安全防護措施，但仍存在安全風險隱患。本文結合實際，緊緊圍繞進一步提升政務數據共享安全能力，從數據傳輸安全、強化訪問授權、對數據共享全程監管、動態數據脫敏等方面提出幾點有效的安全防護措施，以期為今后的政務數據共享安全防護提供一些有意義的借鑒。