海洋科學數據安全治理體系設計與治理實踐

摘要：在當前數據經濟時代，數據安全已成為國家安全戰略。海洋科學數據安全是海洋數據資源管理與共享服務最緊迫的核心問題。本研究在充分分析海洋科學數據安全治理需求和目標基礎上，提出以數據為中心的海洋科學數據安全治理體系框架，在此框架下提出海洋科學數據安全治理體系模型，并在國家海洋科學數據中心開展治理實踐，優化了海洋科學數據全生命周期各階段的安全管理，確保在數據安全的基礎上，進一步提高了海洋科學數據開放力度，發揮海洋數據價值。

關鍵詞：海洋科學數據；數據安全；安全治理

1 "引言

近年來，數字經濟產值在國內生產總值中的比重逐年增長[1]，且增長迅速，數據已成為推動經濟增長的重要引擎。2022年以來，在“十三五”時期推進數字產業化、產業數字化等建設基礎上，黨中央、國務院陸續印發了《“十四五”數字經濟發展規劃》《中共中央 國務院關于構建數據基礎制度更好發揮數據要素作用的意見》（簡稱“數據二十條”）、《數字中國建設整體布局規劃》等一系列數字經濟發展的戰略性文件[1]，旨在加快數據要素市場流通，創新數據要素開發利用機制。但是，隨著數據總量的爆發式增長、數據價值的廣泛性釋放，數據安全風險也與日俱增，數據被篡改、泄露、竊取、販賣、濫用等威脅愈加凸顯，相關數據安全事件發生頻率也越來越高，給個人隱私、社會生產和國家重要決策造成了嚴重的安全隱患。同時，在當前全球競爭格局加劇的形勢下，數據安全已上升到國家安全戰略。因此，數據的安全性在數字化大數據時代顯得尤為重要，數據安全成為數字經濟時代最為緊迫的首要問題[2]。

海洋是我國經濟社會發展的重要依托和載體，建設海洋強國是中國特色社會主義事業的重要組成部分。海洋數據是海洋事業發展的基石，是國家科技創新和經濟社會發展的重要基礎性戰略資源，是關系國計民生和國家安全的核心資源，是不能被“卡脖子”的要害領域。海洋的“大數據時代”，數據安全是資源管理與共享服務最緊迫的核心問題[3]。為此，自然資源部編制了《自然資源領域數據安全管理辦法（試行）》規范了自然資源領域數據處理活動及其安全監管要求。在此基礎上，國家海洋信息中心編制并發布了《海洋數據安全管理辦法》，重點圍繞海洋數據采集、存儲、傳輸、共享、公開等活動的安全提出規范性要求。但是，隨著國際政治形勢日趨復雜，海洋戰略性數據屢屢被當作制裁工具，海洋權益、海上安全、海洋關鍵技術信息，以及海洋觀/監測、調查等獲取的數據資料被竊取、篡改、非法使用等風險日漸突出，海洋數據安全不僅僅是管理上的問題，如何有效地開展海洋數據安全治理，促進數據合規高效流通使用和安全發展，已成為當前和今后一段時間內需要持續關注和重點解決的問題。

2 "數據安全研究現狀

2.1 "國外數據安全政策發展

數據安全是數字經濟時代發展的關鍵，為防止

突發性、不可控性的數據安全事件，全球各國均高度重視數據安全治理工作，陸續出臺相關法律法規、政策文件、制度規范等，推動數據安全防護、數據應用和數據要素價值發掘等。美國是世界上最早提出隱私權并予以法律保護的國家之一[1]，政府長期秉持數據開放和數據自由流動相結合的數據治理理念，以市場為主導、以行業自治為主要手段，針對不同行業、不同對象進行信息隱私保護。歐盟早在1995年就頒布了《數據保護指令》，明確了數據跨境傳輸的基本原則，并陸續出臺了《通用數據保護條例》《網絡安全法案》《歐盟數據戰略》《歐盟數據治理法》《數字市場法》等政策法律，平衡數據流動與安全，更加強調數據共享與自由流通。英國于1984年就出臺了《數據保護法》，設立了數據監管機構和申訴機構，近年來更是為促進數據在政府、社會和企業間的流動，提出了《國家數據戰略》，并明確要充分釋放數據價值、加強對可信數據體系的保護、改善政府的數據應用現狀、確保數據所依賴的基礎架構的安全性和韌性、推動數據的國際流動五項任務，以推動數據安全應用和激發數字經濟活力。此外，德國、法國、日本、印度、加拿大、俄羅斯、巴西、韓國、澳大利亞、南非等國家或組織先后出臺了多項數據安全相關的政策、法規、戰略，形成全方位的數據安全保護體系。

2.2 "國內數據安全戰略與政策

相對國際而言，我國針對數據安全的立法起步相對較晚[4]。近年來，在大數據時代對數據和信息安全管理需求的導向下，2015年出臺了《中華人民共和國國家安全法》提出“國家建設網絡與信息安全保障體系，實現數據的安全可控”[5]。同年，國務院印發《促進大數據發展行動綱要》，提出“健全大數據安全保障體系”“強化安全支撐”。2016年全國人民代表大會通過《中華人民共和國網絡安全法》，提出通過數據分類、重要數據備份和加密等措施保障數據安全，促進經濟社會信息化健康發展[6]。2018年國務院辦公廳印發《科學數據管理辦法》，明確要求“涉及國家秘密、國家安全、社會公共利益、商業秘密和個人隱私的科學數據，不得對外開放共享”[7]。2021年頒布的《中華人民共和國數據安全法》分別從數據安全與發展、數據安全保護義務、政務數據安全與開放的角度對數據安全保護的義務和相應法律責任進行規定，使數據安全有法可依、有章可循。2022年12月，《中共中央國務院關于構建數據基礎制度 更好發揮數據要素作用的意見》提出“建立安全可控、彈性包容的數據要素治理制度。把安全貫穿數據治理全過程，守住安全底線，明確監管紅線，打造安全可信、包容創新、公平開放、監管有效的數據要素市場環境”[8]。

其他有關部門，如工信部、發改委等部門積極研制了數據安全管理、跨境流動、云計算以及關鍵信息基礎設施安全保護等配套法律法規，著力構建綜合數據安全治理體系。自然資源部正在積極開展自然資源科學數據、自然資源政務數據的分類分級、數據安全等制度研究。中國信息通信研究院、大數據標準推進委員會等研究機構研究發布有關數據安全領域白皮書、藍皮書和研究報告。北京、浙江、深圳、廣東、山東、上海、福建、湖南、河南、河北等省市也相繼發布數據條例、數字經濟、網絡安全產業發展等地方政策，其中也都將數據安全作為地方政策的重要內容。

3 "海洋科學數據安全治理需求與目標

科學數據安全治理的主要目標是安全地管理和使用科學數據，從而安全地開展科學研究活動。海洋科學數據是通過海洋觀/監測、專項調查研究、國際合作與交換、極地大洋科考等手段獲取的原始數據，以及通過計算、分析形成衍生數據產品，是認識海洋和經略海洋的重要戰略性、基礎性資源。海洋科學數據除在科學研究活動的安全應用外，其安全性還對國家安全、業務發展、技術創新等方面具有重要影響。

3.1 "海洋科學數據安全治理需求分析

3.1.1 "海洋科學數據安全是國家安全的重要環節

目前，我國海洋科學數據總量已達到EB 級，涉及海洋水文、海洋氣象、海洋生物、海洋化學、海洋地質、地球物理等多個學科，時間跨度最早可追溯至1662年。其中絕大部分海洋科學數據敏感性較高，對海洋權益、海上航行、海洋關鍵技術、核心裝備、軍事應用等影響較大，數據安全風險所帶來的損失不可估量。例如，2015—2020年，某境外組織以“關注海洋垃圾”為名，長期在我國沿海進行海洋敏感數據竊取之實，其“志愿者”多次繞過灘涂私闖軍港附近非法監測，直接威脅我國軍事安全，并惡意解讀數據，抹黑我國海洋環保事業。2020年，某境外數據公司在境內私下招募“數據貢獻員”，于湛江麻斜軍港附近持續收集艦船數據傳往境外，盜取我國海警艦艇執法動向，干擾阻礙我國維權執法活動，嚴重危害我國主權安全。海洋科學數據被泄露或被竊取，會嚴重影響國家在國際政治、軍事、經濟和科技領域的競爭能力，對國家利益造成損害。

3.1.2 "海洋科學數據是海洋業務系統的“流動血液”

進入信息化時代，涉海政府部門、科研機構等建設了海洋綜合監管、海洋經濟統計核算、海域海島用海審批、海洋觀測數據傳輸交換和共享服務等各類海洋業務系統，海洋科學數據在各業務系統中流轉，支撐業務系統的正常運行，保障海洋事業的穩定發展。但是在數據采集端，我國關鍵自主核心海洋技術裝備研發較落后其他海洋大國，數據采集受制于人；在數據傳輸端，通信鏈路對國外通信衛星、公共互聯網依賴程度較高，存在被竊聽、復制和篡改的風險；在數據處理端，部分國際數據、模式、軟件存在一定的國際依賴，有國際斷供風險，相關數據問題會對相關業務產生一定安全影響，從而阻礙海洋事業的快速發展。

3.1.3 "海洋科學數據安全阻礙海洋數據管理和共享工作

數字經濟時代要求數據也必須活起來、用起來，海洋科學數據的充分共享和流通應用才能促進海洋事業的長久發展。但是，數據敏感性、安全性與流通共享形成了“矛盾點”，海洋科學數據安全在技術和平臺、數據安全和真實性、數據治理和法規標準等方面，面臨著巨大的挑戰。在技術方面，隨著海洋感知技術的不斷發展，越來越多的新型終端上現有的安全防護體系尚不成熟。在平臺方面，分布式的系統部署、開放式的網絡環境等，都使得海洋科學數據在保密性、完整性、可用性等方面，面臨更大的風險挑戰。同時，隨著海洋科學數據開放力度的不斷提升，大量的用戶以及復雜的共享應用環境，會導致海洋科學數據服務系統需要更加準確地識別和鑒別用戶身份，傳統基于集中數據存儲的用戶身份鑒別難以滿足安全需求。真實性方面，通過互聯網產生的數據往往經過多次轉手，無法驗證是否為原始數據，甚至無法確認數據是否被篡改、偽造。在制度和標準方面，海洋數據安全法規標準尚不完備，海洋科學數據的分類分級、安全防護、開放共享等相關體系制度和標準規范也嚴重缺失。共享應用方面，存在數據過度共享或過度保密的風險。流通方面，在國家將數據納入生產要素的大背景下，一些未經審批開展的海洋數據交易，可能存在數據泄露的風險。

3.2 "海洋科學數據安全治理目標

《數據安全法》對數據的安全和發展在國家層面

給出明確指示，提出“國家統籌發展和安全，堅持以數據開發利用和產業發展促進數據安全，以數據安全保障數據開發利用和產業發展。”在此基礎上，本研究提出海洋科學數據安全治理的愿景是在確保數據安全的基礎上，盡可能提高開放共享力度，發揮數據價值，促進數據安全流通，增強海洋從業人員的安全意識，不斷提高海洋科學數據安全治理水平，讓“讓海洋科學數據使用自由而安全”，更好地為建設海洋強國、數字中國服務。

具體體現在以下幾個方面：一是在數據收集/匯集過程中（如海洋觀測數據傳輸、海洋專項資料匯交等），減少或杜絕數據被非法篡改風險，保障海洋科學數據真實性；二是在開展數據共享、數據交換與數據服務過程中，強化數據脫敏技術手段，確保海洋敏感數據不泄露；三是在海洋科學數據匯集獲取、跨境流動中，確保合規合法；四是在管理人員及用戶在數據庫和應用系統訪問過程中，杜絕誤操作、惡意操作等行為，保障數據不泄露、不丟失；五是在業務系統運行中，增強數據操作和用戶訪問的日志研判、非法操作識別、危險行為預警阻斷、數據安全問題溯源等技術，實現對海洋科學數據全周期多方位安全防護等。

4 "海洋科學數據安全治理體系框架設計

4.1 "海洋科學數據安全治理的內涵

圍繞“讓海洋科學數據使用自由而安全”的安全治理愿景和目標，本研究提出海洋科學數據安全治理的內涵。以數據為中心，面向海洋科學數據全生命周期，結合海洋科學數據安全屬性，補充、完善面向數據安全管理的制度、策略和運營規范，并與新型信息技術體系進行有效銜接，以管理體系為驅動，以運營體系為紐帶、以技術體系為落地支撐的安全治理核心，通過管理、技術、運營體系三位一體、有機融合，對海洋科學數據安全治理體系進行持續優化，構建圍繞海洋科學數據全方面的治理能力。

4.2 "海洋科學數據安全治理體系框架

依據海洋科學數據安全治理愿景和內涵，綜合前

文提到的海洋數據安全治理需求，提出以海洋科學數據為中心的治理體系框架，具體包括法律合規體系、組織保障體系、海洋科學數據全生命周期體系、技術體系、安全基礎設施等（圖1）。

4.2.1 "法律合規體系

在海洋科學數據處理和管理過程中，應遵守的數據相關、海洋行業相關的法律法規，如《中華人民共和國數據安全法》《中華人民共和國網絡安全法》《中共中央國務院關于構建數據基礎制度 更好發揮數據要素作用的意見》等，以及在此基礎上研究建立的海洋科學數據管理服務制度和海洋科學數據安全管理相關標準規范，如《自然資源工作國家秘密范圍的規定》《自然資源領域數據安全管理辦法（試行）》《海洋數據安全管理辦法》《海洋基礎數據分類分級指南》等。

4.2.2 "組織保障體系

建立合理、完整的海洋科學數據安全治理組織架構和管理機制，明確數據安全領導小組、涉海網信管理部門、涉海業務部門等職責和任務，理順海洋數據安全管理機制體制，實現海洋科學數據安全治理工作的穩定、高效運行[8]。

4.2.3 "科學數據全生命周期體系

海洋科學數據安全框架的基本思路就是按科學數據生命周期各階段劃分，把各種數據安全技術要求和數據安全管理要求，納入海洋科學數據生命周期各階段，包括數據收集采集、存儲傳輸、加工處理、共享應用、處置備份等，最終實現海洋科學數據的保密性、可用性、完整性等安全特性的過程。

4.2.4 "技術體系

為保障海洋科學數據安全而建立的一系列技術手段和措施，包括數據安全技術和數據安全基礎軟硬件技術等[8]。

4.2.5 "安全基礎設施

主要包括網絡通信安全、邊界防護安全、物理環

境安全、計算環境安全等。

5 "應用實例

本研究基于國家海洋科學數據中心的數據業務，以中心內管理的海洋科學數據開展安全治理應用。國家海洋科學數據中心是國家20個領域科學數據中心之一，主要職責是更新匯集各領域各學科海洋科學數據，開展數據產品研制和數據共享服務。目前，中心已整合海洋數據資源達PB級，年增量百TB，自主研制海洋環境、海洋經濟、海洋預報減災等8大類130余種產品，發布實測數據、分析預報數據和專題信息產品400余個數據集，累計提供在線服務3500余萬次。

5.1 "海洋科學數據安全治理實踐

基于前文設計的海洋數據安全治理體系框架，結合海洋科學數據中心數據資料管理的特點，本研究提出了海洋科學數據安全治理體系模型，如圖2所示，模型主要分成2個維度，第一個維度是海洋科學數據生命周期維度，結合海洋科學數據自身特點，分為：收集采集、存儲管理、加工處理，傳輸交換，共享服務、安全處置；第二個維度是海洋科學數據安全自身屬性。其中保密性、可用性和完整性這是業界公認的信息安全三性；另外從海洋科學數據自身特點，也考慮了如可追溯性，可控性，不可否認性等擴展安全特性。該模型的基本思路就是按海洋科學數據生命周期各階段劃分，把各種數據安全技術要求和數據安全管理要求，納入生命周期各階段，最終實現海洋科學數據的保密性、可用性、完整性等安全特性的過程。此外，該模型中還根據相關實體安全提出了要求，包括物理設備安全，記錄媒體安全，以及環境安全。

5.1.1 "收集采集階段

數據分類分級方面，嚴格遵照國家和有關部門的保密法律和規定，根據《自然資源工作國家秘密范圍的規定》等規范性文件，密切結合當前海洋數據安全管理和共享服務的需求現狀，研究制定《海洋科學數據安全分類分級標準》。其中數據安全分類采用多維度分類方法，按照安全屬性、數據形態、共享方式、學科屬性等維度進行數據安全分類，見圖3；數據安全分級是將海洋科學數據按照對國家利益、組織利益和社會利益的影響程度劃分為5個等級，見圖4。海洋科學數據采集安全方面，構建了海洋觀監測數據網絡傳輸監控體系，實時監控數據采集來源，針對不同的海洋觀監測方式和數據采集特點，研制數據采集終端加密模塊。數據目錄清單編制方面，按照自然資源部關于重要數據及目錄清單編制有關要求，制定《海洋科學數據目錄清單格式》，據此編制了海洋業務化觀測、監測、海洋專項調查研究、極地考察、大洋科考、海洋地理信息產品，以及海洋政策、海洋規劃、海洋經濟、海域海島等專題數據目錄清單，并定期更新。

5.1.2 "存儲管理階段

存儲設備安全方面，利用新一代加密技術，防止存儲設備數據泄露。邏輯存儲安全方面，基于海洋業務和數據存儲安全要求，建立針對海洋科學數據邏輯存儲、存儲容器的有效安全控制策略，按照敏感、內部和公開區域進行分區存儲，不同區域間硬件設備物理隔離，并開展物理硬件、虛擬資源、業務系統和所有業務數據的安全防護。數據備份恢復方面，制定海洋科學數據存儲備份策略，包括數據存儲加密、數據備份和數據恢復機制等。

5.1.3 "加工處理階段

海洋科學數據分析安全方面，建立海洋科學數據安全控制措施，防止數據挖掘、分析過程中有價值信息泄露，如圍繞受潛在風險影響較大的海洋再分析和實況分析、海洋大數據分析預報、海洋氣候變化等業務，定期開展風險場景分析、替代方案論證、測試平臺搭建、業務影響分析等風險評估，并在此基礎上形成安全風險應對預案。海洋科學數據處理環境安全方面，提供統一的數據計算、處理平臺，確保數據處理過程中的安全控制管理和技術支持。

5.1.4 "傳輸交換階段

海洋科學數據傳輸安全方面，按不同的安全域進行劃分，數據按照公開－內部－敏感進行單向流轉，按照防御縱深化和多樣化、防護策略系統性和動態化原則，開展安全域邊界防護。海洋科學數據傳輸加密方面，利用加密算法、訪問控制等技術手段，保證傳輸通道、傳輸節點和傳輸數據安全。基礎設施安全方面，建設高效、穩定、安全的海洋數據傳輸基礎設施及通信網絡，保障海洋數據采集到分發全過程的傳輸安全。

5.1.5 "共享服務階段

海洋科學數據共享安全方面，研制了集數據服務、信息服務、知識服務于一體的一站式海洋科學數據可信流通共享平臺（圖5），匯集整合海洋數據資源，統一數據服務出口，引入區塊鏈、隱私計算等技術，通過對數據的“可用不可見”，將敏感性不高的內部資料納入可共享范圍，進一

步降低海洋科學數據共享場景下的安全風險，同時開展海洋科學數據脫敏處理和產品加工，滿足跨級應用需求。海洋科學數據申請審批方面，經過嚴格的審查審批手續，涉及國家秘密、國家安全、社會公共利益、商業秘密和個人隱私的科學數據，不對外開放共享，確需對外開放的，對利用目的、用戶資質、保密條件等進行審查報批，并嚴格控制知悉范圍。

5.1.6 "機制保障

管理制度方面，制定出臺海洋數據資料管理、信息安全管理、網絡安全使用管理、機房人員進出入規則等保障制度；標準規范方面，編制海洋環境數據安全處理、海洋數據安全編碼、海洋數據安全共享等方面系列標準規范。

6 "總結與展望

本研究提出的海洋數據安全治理框架可用于指導、評估和監督海洋數據安全管理活動，促進海洋科學數據共享、流通、應用和價值釋放，進而為開展海洋數據治理提供參考。基于本研究提出的海洋科學數據安全治理模型，實現中心運行以來的數據安全事件“零事故”“零故障”“零通報”。但隨著數據經濟的快速發展，數據應用場景的多樣化、復雜化，對數據安全治理不斷提出新的要求，海洋數據安全治理是一項長期開展和不斷完善的工作，未來還需要進一步開展，主要包括以下幾個方面：

（1）加強海洋信息安全管理。建立健全海洋信息安全保護政策，建立多層次、一體化的海洋信息安全組織架構，加快構建以防為主、軟硬結合的信息安全管理體系。

（2）整合建設海洋信息安全體系。組織開展海洋信息安全體系重大項目專家論證，強化頂層設計，統一技術標準，建立跨層級共享的新型海洋信息安全體系。

（3）完善海洋信息安全防護措施。構建“智慧海洋”各類終端和設備的可信平臺，建立海洋數據分級安全防護系統，建立云端安全防護體系與保護機制。

（4）強化海洋信息安全運維服務。建立基于安全漏洞和安全事件的集中運維服務體系，培養海洋數據安全治理人才，提供海洋數據生命周期全鏈條的業務化安全測評體系。

參考文獻

[1] 中關村網絡安全與信息化產業聯盟.數據安全治理白皮書5.0. 2023.

[2] 徐雙，劉文斌，李佳龍，等.大數據背景下的數據安全治理研究進展[J].太原理工大學學報，2024，55（1）：127-141.

[3] 韓春花，楊錦坤，韋廣昊，等.海洋大數據安全現狀及其工作對策建議[J].海洋信息技術與應用， 2022，37（2）： 42-49.

[4] 朱艷華，廖方宇，胡良霖，等.科學數據安全標準規范關鍵問題探索[J].信息網絡安全，2021，23（11）：1-8.

[5] 中國政府網.中華人民共和國國家安全法[EB/OL].[2015-07-01]. https：//www.gov.cn/zhengce/2015-07/01/content_2893902.htm.

[6] 中國人大網.中華人民共和國網絡安全法[EB/OL].[2016-11-07]. http：//www.npc.gov.cn/zgrdw/npc/xinwen/2016-11/07/content_2001605. htm.

[7] 國務院.科學數據管理辦法[EB/OL].[2022-01-20]. http：//www.gov. cn/zhengce/content/2018-04/02/content_5279272.htm.

[8] 中國政府網. 中共中央國務院關于構建數據基礎制度更好發揮數據要素作用的意見[EB/OL].[2022-12-02]. https：//www.gov.cn/ zhengce/2022-12/19/content_5732695.htm.

[9] 騰訊科技（深圳）有限公司，中國信息童心研究院云計算與大數據研究所.數據安全治理與實踐白皮書.2023.

引用格式：符昱，姜曉軼，衛徉名，童心，徐墨庚，王漪.海洋科學數據安全治理體系設計與治理實踐[J].農業大數據學報，2024，6（2）：286-293.DOI： 10.19788/ j.issn.2096-6369.000037.

CITATION： FU Yu， JIANG XiaoYi， WEI YangMing， TONG Xing， XU MoGen， WANG Yi. Design and Practice of Marine Scientific Data Security Governance System[J]. Journal of Agricultural Big Data， 2024，6（2）：286-293. DOI： 10.19788/j.issn.2096-6369.000037.

Design and Practice of Marine Scientific Data Security Governance System

FU Yu1，2，3， JIANG XiaoYi1，2，3*， WEI YangMing4， TONG Xing1，2，3， XU MoGen1，2，3， WANG Yi1，2，3

1. Technology Innovation Center of Marine Information，Tianjin 300171， China; 2. National Marine Scientific Data Center， Tianjin 300171， China; 3. National Marine Data and Information Service， Tianjin 300171， China; 4. Dalian Ocean University， Dalian 116023， Liaoning， China

Abstract： In the current era of data economy， data security has risen to the national security strategy. Marine scientific data security is the most urgent core problem of marine data resource management and sharing services. Based on the full analysis of the needs and goals of marine scientific data security governance， this paper proposes a data-centered marine scientific data security governance system framework， and proposes a marine scientific data security governance system model under this framework. The governance practice is carried out in the National Marine Science Data Center to optimize the security management of all stages of the whole life cycle of marine scientific data. On the basis of ensuring data security， the openness of marine scientific data is further improved to give full play to the value of marine data.

Keywords： marine scientific data; data security; security governance