杨秋华，董贵山，杨永刚，张兆雷

（中国电子科技集团公司第三十研究所，四川 成都 610041）

0 引 言

“十九大”报告明确“全面深化改革总目标是完善和发展中国特色社会主义制度、推进国家治理体系和治理能力现代化”，并要求2020年到2035年基本实现。这个目标对政务信息化提出了更高要求。“十三五”开局，国家发展改革委发布了“十三五”国家政务信息化工程建设规划，政务信息化建设迈入“集约整合、全面互联、协同共治、共享开放、安全可信”的新阶段，“大平台、大数据、大系统”在较长一个时期是指导我国政务信息化建设的发展蓝图。其中，构建政务云环境下的数据共享交换平台是实现大数据汇聚和大系统应用的基础。国务院下发了《政务信息资源共享管理暂行办法》（国发〔2016〕51号）《政务信息系统整合共享实施方案》（国办发〔2017〕39号）等重要文件，将在政务云中建设国家数据共享交换平台作为落实政务信息系统整合共享工作重点，也作为实现高效执政、智慧治理、惠民服务目标的重要支撑。国家数据共享交换平台属于国家关键信息基础设施，是政府数据资产的核心交换枢纽，也是各类不法黑客觊觎的目标。保障国家数据共享交换平台和平台上交换的数据安全，是平台建设工作的核心。目前，已有大量针对政务云安全的研究成果[1-4]，但缺乏针对政务云环境下的数据共享安全保障技术的体系化研究。文献[5]描述了美国国家信息交换模型（National Information Exchange Model，NIEM）的构建方法、应用场景以及相关的安全机制，其中针对共享数据的标准化封装技术思路值得借鉴。但是，NIEM具体的应用模式和我国数据共享交换平台体系应用情况差距较大，难以直接利用。本文深入分析政务云环境下数据共享全过程安全需求，建立数据共享安全模型，分析数据共享各参与方的安全机制，进而提出数据共享安全保障技术框架，为构建政务云环境下数据共享安全保障系统提供参考。

1 数据共享安全风险分析

政务云环境下的数据共享采用中心化、分层级的共享模式，由国家各级政务部门建设数据共享交换平台，形成国家数据共享交换平台体系。各级政务部门接入相应级别的共享平台，其中国务院部门接入中央级数据共享交换平台，地方委办厅局接入地方数据共享交换平台，实现数据在同级别共享平台范围内的交换共享，以及通过共享平台级联实现国务院部委和地方政府之间跨级别的数据共享。

政务云环境下的数据共享面临的第一类安全风险，是各政务部门对接共享平台的接入系统安全防护水平参差不齐，可能引起共享平台整体的安全防护薄弱点增多，增大被攻击的风险。由于各政务部门的系统安全防护能力建设不一，有些部门根据等级保护要求对自身业务系统和接入系统进行了安全防护，而有些部门并没有采用足够的安全防护强度。所以，从各政务部门接入共享平台后的整体安全防护强度来看，不满足安全防护强度的接入系统可能导致受攻击面增大。针对这类安全风险，应对共享平台中心端和各接入系统的安全防护进行统一，基于等级保护要求强化共享平台的整体安全。

第二类安全风险是共享数据保护不足，共享数据泄露后难以确责与追责，导致敏感数据泄露，数据提供方“不愿共享”“不敢共享”。数据共享涉及大数据集中存储和管理。大量的分散、结构化和非结构化的数据汇集到共享平台的大数据存储和管理系统，少量不重要、不敏感的数据由于大量汇集可能导致重要程度改变。各种数据在类型、安全风险、被攻击后造成的影响等方面，都存在一定的差异性，存在数据保护不足的问题，可能导致敏感数据泄露风险。同时，由于敏感数据泄露后难以确责和溯源，数据提供方担心安全责任不明确，会导致“不愿共享”“不敢共享”。针对这类风险，需要对数据实施安全分级，为数据分级保护提供基础参考，为共享信息提供适度的安全防护，避免安全防护强度不足，同时避免过度防护影响数据的共享使用，实现共享和安全的均衡。同时，需要进一步监测数据流转全过程，发生数据泄漏时，能追溯到相关参与方的安全责任。

第三类安全风险是共享网络和应用系统遭遇攻击将导致共享服务不可用、共享业务突发异常，存在短时间大量下载数据的情况，致使共享数据被非授权访问、敏感数据泄露。数据共享交换平台属于国家关键信息基础设施，是政府数据资产的核心交换枢纽，也是各类不法黑客觊觎的目标。另外，某些具有合法身份和权限的用户存在违规操作的可能性，短时间内大量下载和留存共享资源，发生共享异常，可能导致敏感数据泄露。针对这类安全风险，需要采用多维度的共享全过程监管机制，包括数据的流转情况、政务云安全防护情况，监测共享业务和网络流量，进行异常情况的预警、告警和处置。

综合上述分析，政务云环境下数据共享面临的安全问题、安全风险以及相应的对策建议如表1所示。

表1 数据共享安全问题、风险和对策

2 数据共享安全模型

针对数据共享面临的三类安全风险，从数据共享主体、数据共享过程、安全保障机制和数据安全能力成熟度4个维度，建立数据共享安全模型，以便于全面分析数据共享的安全需求和安全保障机制，进而构建数据共享安全保障框架，如图1所示。

图1 数据共享安全模型

政务云环境下的数据共享参与主体包括数据提供方、数据使用方、平台服务方和共享监管方。数据提供方是指各政务部门以及可提供共享数据的各类组织和行业监管部门、重要企业等。数据提供方需明确数据的共享方式、共享范围和使用控制策略。数据使用方是指使用信息服务的各政务部门、信息服务提供方以及企业、组织和个人。数据使用包括对共享信息的直接使用和对共享信息的二次加工。平台服务方是指中央、省、地市级信息共享服务平台的建设、运行、管理和服务运营部门或相关企业。共享监管方是指负责监管政务信息资源共享应用的合规性和有效性的各级部门。

政务云环境下的数据共享全过程包括数据的汇集、交换、使用和销毁四个阶段。数据汇集是指数据或资源目录信息从提供方汇聚到共享平台的过程。数据交换是指数据从提供方交换到使用方的过程。提供方可以是一般的数据拥有者，也可以是拥有大量共享数据集中汇聚的平台服务方。数据使用是指数据使用方对交换来的数据进行处理和利用的过程，以及平台服务方对汇集到共享平台的数据进行清洗、整理和分析加工的过程。数据销毁是指实现数据在提供方、平台服务方和使用方被有效删除的过程。需要进行销毁的数据包括过期的数据、冗余备份的数据、被恶意攻击遭到篡改的数据，以及失效的共享节点上的数据。

数据共享安全保障机制包括安全服务、安全防护、安全标准和安全管理。安全服务是基础的、通用的可服务化的安全机制。安全防护是依托安全服务，具体针对数据共享交换涉及的网络和信息系统进行防护的安全机制。安全标准是为数据共享安全防护提供规范化指导的安全机制。安全管理是对数据共享涉及的人员、制度和体制机制等系列进行操作和要求。

数据安全能力成熟度是衡量数据共享各参与方的数据安全保护能力的，分为5个级别，分别是非正式执行（等级1：随机、被动的安全过程）、计划跟踪（等级2：主动、非正式的安全过程）、妥善定义（等级3：正式的规范的安全过程）、量化控制（等级4：安全过程可控）和持续改进（等级5：安全过程可调整）。

数据共享各参与方的数据安全能力至少应该达到能力级别3的充分定义。应按照等级保护标准指导，对本机构内的网络和信息系统、数据安全防护过程进行文档化、标准化的规划和实施。同时，应具备向量化控制（级别4）和持续改进（级别5）升级的能力。

下面具体从数据共享主体和数据共享过程两个维度分析安全需求，梳理对应安全机制，从而构建数据共享安全保障框架。

3 数据共享主体安全需求分析

3.1 数据提供方安全需求

数据提供方需要保障数据源可信，保障数据存储、传输安全以及本部门接入共享平台的系统安全。需要采用数据源认证、数据标签服务、敏感信息防泄漏、数据脱敏、数据传输、数据存储安全防护和数据共享对接系统安全加固等安全机制。

3.2 数据使用方安全需求

数据使用方需要按照使用控制策略，确保共享信息的共享范围和使用用途合规，确保对接系统安全，以及加工过程中数据隐私保护、数据不被篡改。数据使用方需要明确自身的身份可信，确认交换过来的共享信息可信，需要确保数据传输、存储安全，保护敏感信息防泄漏以及接入共享平台的对接系统安全。需要采用跨域身份认证服务、数据传输和存储保护、敏感信息防泄漏和对接系统安全防护等安全机制。

3.3 平台服务方安全需求

平台服务方需要保障各级共享平台运行安全，保障共享服务可用，需要保障各级共享平台安全和平台上、平台内流转的共享信息安全，保障共享服务可用。需要采用身份认证、权限管理、数据标签服务、云计算和大数据平台安全防护、数据脱敏、敏感信息防泄漏和威胁情报共享与分析等安全机制。

3.4 共享监管方安全需求

共享监管方需要制定相应的安全防护标准和防护策略，实施安全防护能力检测评估，维护数据共享生态的稳定运行。共享监管方需要监管数据共享全过程的使用合法性和有效性，需要感知共享平台整体的安全态势。需要采用数据共享监管、共享日志审计、监测预警、安全态势感知和威胁情报分析等安全机制。

4 数据共享过程安全需求分析

4.1 数据汇集安全需求

需要保障数据资源发布过程安全，采用安全发布审查措施，利用数据脱敏技术，对敏感数据进行脱敏处理，再通过目录服务或目录接口进行发布；需要保障数据采集过程安全，确保数据源可信，包括来源主体和数据本身可信；应采取安全检测手段，对采集的数据内容进行安全审查，防范病毒、木马等安全威胁；确保数据传输通道安全，防止数据被截获和篡改，采用虚拟专网、消息验证码、传输加密和数字签名等措施，保证数据在传输过程中的机密性和完整性；需要保障数据汇集后的存储安全，防止非授权访问，采用数据分类分级存储，综合采用数据加密、访问控制、备份与恢复等技术，实现数据的加密存储和分级防护。

4.2 数据交换安全需求

需要确保数据交换双方的实体可信，保证数据提供方、数据使用方的身份合法性和真实性。需要确保交换过程可控，按照既定的交换权限策略配置，将指定信息交换到指定的数据使用方，其他主体则无法获取。同时，应采用交换日志审计和交换行为监测等措施，审计所有交换行为，防止违规交换。

4.3 数据使用安全需求

需要保障数据合规使用，采用数据授权与访问控制措施，保证不同的使用方只获取其所需的共享信息；需要保障共享平台中数据的访问、下载安全，采用数据访问授权和权限控制措施，同时对数据操作行为进行记录；采用安全的数据访问协议，保护数据在共享平台内的传输安全；实施数据输入和输出安全策略，并对输入输出过程进行记录。

4.4 数据销毁安全需求

需要确保数据销毁，尤其是敏感数据销毁后难以恢复。可采用多次数据覆写、格式化硬盘、硬盘分区和文件粉碎等销毁方式，确保数据彻底删除。

5 数据共享安全保障框架

5.1 体系框架

基于数据共享安全需求和安全保障机制分析情况，建立数据共享安全保障技术框架，如图2所示。

图2 数据共享安全保障技术框架

安全防护重点针对数据共享在共享平台、共享数据、共享业务三个层次的安全问题，提出相应的技术措施。其中，共享平台安全防护技术按照等级保护标准，分为物理和环境安全、网络和通信安全、设备和计算安全、应用安全四个方面。

安全服务提供基础性的、共用的支撑服务能力，包括电子认证、密钥管理、密码服务、认证服务、鉴权服务、审计服务、可信时间服务、数据标签服务和区块链服务。

安全标准包括在等级保护标准框架指导下制定的、能够指导和规范政务云环境下数据安全共享系列标准，包括技术标准、测评标准、管理指南、安全服务使用指南和数据共享资源分类分级指南等标准规范。

安全管理包括管理和运维两个方面。安全运维管理技术包括对数据共享平台运行的安全风险评估技术、安全状态监控技术等。安全管理机制包括数据共享交换平台安全防护相关的岗位、人员、系统和设备等管理机制。

5.2 安全防护

5.2.1 共享平台安全防护技术

在共享平台层面，按照等级保护标准，对共享平台在云端和终端接入系统进行统一安全配置，强化物理和环境、网络和通信、设备和计算、应用系统安全，减少共享平台整体的安全薄弱点，降低被攻击的风险。

（1）物理和环境安全强调物理位置选择和物理访问控制、防盗窃和防破坏、防雷击、防火、防水、防潮、防静电、温湿度控制、电力供应和电磁防护等要求。

（2）网络与通信安全防护采用边界保护、网络访问控制、网络传输保护、网络入侵防范、恶意代码防范和网络安全审计等技术，强化各类终端系统的接入安全和网络攻击防护。

（3）设备与计算安全防护采用主机登录控制、操作系统加固、主机监控与审计、主机入侵防护和虚拟机镜像保护等技术，实现物理主机防护与云环境下的虚拟主机的镜像和资源安全防护。

（4）应用安全依托认证服务、鉴权服务、审计服务，采用身份鉴别、应用访问控制、应用安全审计、软件容错和资源控制等技术，保障接入应用系统的用户身份可信、访问权限可控、应用访问日志可审计、应用系统软件安全和应用系统资源配置可控。

5.2.2 共享数据安全防护技术

在共享数据层面，按照资源安全分级指南，对共享数据进行分类和分级。依据数据防护策略，综合采取数据安全标识、数据加密、数据脱敏、数据流转管控、数据备份和恢复、数据安全销毁、数据安全审计等技术，实现数据分类和分级防护。

（1）数据安全标识技术依托标签服务，按照资源安全分级指南，在共享资源的头部增加安全标记，包括数据的权属身份、安全级别、使用对象、授权使用方式、流转过程信息和数据指纹信息，实现数据实体化。

（2）数据加密技术依托密码服务，对存储在数据提供方本地、共享平台和数据使用方的敏感数据进行加密保护。针对以数据库形式存储的结构化数据，可采用数据库加密技术对数据静态存储进行加密保护，监控和控制数据访问。针对文档、文件和图片等格式存储的非结构化数据，可采用文件加密技术保证数据静态存储时的安全。

（3）数据脱敏技术结合数据访问对象的业务特征和数据特征，有效发现数据共享交换和应用过程中的敏感数据，为敏感数据推荐脱敏算法，以敏感数据发现和数据脱敏策略为核心，实现可配置的静态与动态数据脱敏，解决数据共享交换平台在流转和应用环节敏感及隐私数据泄露的问题。

（4）数据流转管控技术针对数据库表共享、服务接口共享和文件共享等常用共享方式，依托标签服务、认证服务和鉴权服务，根据参与方的身份和权限，对实体化的数据在交换过程中是否能落地使用进行判决，实现对数据在共享平台内的流转过程控制。

（5）数据备份和恢复技术针对共享平台的资源中心汇集的大数据，基于存储设备底层的数据同步，实现同城的异地备份。相关备份策略可根据实际需求每周一次全备份，其余时间进行增量备份。确保在发生系统数据丢失、系统异常等情况时，能够利用备份恢复系统恢复已经备份的数据，从而降低数据丢失风险，尽可能降低数据丢失带来的损失。

（6）数据安全销毁技术。在数据提供方、数据使用方和平台服务方留存的敏感数据，当发生数据有效期过期、数据被攻击篡改等数据质量问题后，需要采取安全的销毁技术删除无用数据，包括多次数据覆写、格式化硬盘、硬盘分区和文件粉碎等销毁方式。

（7）数据安全审计技术对数据的访问和活动情况进行全方位的监控和记录，包括数据库入侵检测，及时发现针对数据访问的违规操作行为；业务审计，实时监控数据活动情况，自动学习并建立用户和系统对数据的访问行为模式；数据接口数据流出审计，从数据提供者的视角审计数据流动情况；数据接口数据接收者行为审计，从数据接收者的视角审计数据流动情况，便于事后审计和追查，及时发现数据的异常活动情况和风险。

5.2.3 共享业务安全监管技术

共享业务安全监管技术通过在系统层、数据层和业务层等不同维度的安全监测和管控，实现对数据共享交换全流程的监管和安全态势呈现。共享业务安全监管技术包括云计算系统监管、数据共享交换监管、监测预警和态势感知、综合安全监管呈现四类技术。

（1）云计算系统监管技术结合政务云平台的建设特点，对政务云中的计算、存储、网络资源，业务应用和安全系统进行统一监管，持续监管，实现云数据中心的统一运营和运维，统一了解云上资源和业务的运行情况、可用性及健康度状态、云环境的安全状态。

（2）数据共享交换监管技术通过对数据标识信息和数据共享交换平台系统日志信息的采集，实现对标签流转和日志信息的统一分析，达到识别数据共享异常行为、数据泄露责任认定和数据追踪溯源的目标。

（3）监测预警和态势感知技术通过对数据共享交换平台的网络攻击的深度监测和分析，实现对共享平台业务系统的实时在线安全体检和对共享平台所处网络的安全风险预警与协同防御处置。

（4）综合安全监管呈现技术基于系统、数据和业务层面的监管数据，进行综合管理分析、行为轨迹分析。采用丰富的多维可视化方法，通过直观专题视图的方式，体现不同实体当前的安全状态和未来的发展趋势。

5.3 安全服务

数据共享安全保障依托安全服务作为基础支撑，为各类安全防护措施提供通用的服务支撑，包括电子认证、密钥管理、密码服务、认证服务、鉴权服务、审计服务、可信时间服务、数据标签服务和区块链服务。

数据共享安全保障机制中的各类加密机制依托密码服务实现。密码服务需要密钥管理提供安全支撑。电子认证服务为各类实体提供数字证书的管理和服务能力。认证服务应包含多个维度，数字证书认证、身份证实名认证、账号名密码和第三方认证，从而对平台内所有用户进行身份认证和单点登录服务。鉴权服务结合电子认证服务，对数据共享申请进行授权并提供鉴权服务，实现数据共享交换可控。安全审计服务对数据的访问日志进行分析及审计，为共享交换数据溯源提供依据。可信时间服务为共享平台业务应用和相关安全机制提供基准时间和时间戳服务。数据标签服务依托其他安全服务，对外提供标签识别服务、标签生成服务、标签验证服务、标签提取服务及标签跟踪管理等功能。区块链服务主要包括验证和共识记账两个服务。验证主要是根据数据共享的规则辅助人工对数据的共享进行验证，共识记账主要是对验证后的结果进行不可篡改记录，从而为共享全局范围内的安全责任界定和追责提供依据。

5.4 安全标准

在等级保护标准框架指导下，制定能够指导和规范政务信息资源安全共享系列标准，包括技术标准、测评标准、管理指南、安全服务使用指南、政务信息资源分类和分级指南及管理办法等标准规范。

5.5 安全管理

数据共享安全管理包括安全管理制度、安全运维管理和安全检测评估。

（1）安全管理制度。遵循等级保护相关标准规范要求，制定数据共享安全管理制度。制度表现形式可以分为制度类文档、记录类文档和证据类文档。针对政务云环境下的数据共享，可在国家层面形成《政务信息资源分类分级及防护标准》《政务信息资源共享交换数据使用规范》等管理规范和标准。通过《政务信息资源分类分级及防护标准》提供政务信息资源的分类分级参考，并规定相应的防护基线等；通过《政务信息资源共享交换数据使用规范》规范数据主体责任、数据主体的转移、数据转移以及再加工后的责任界定和使用规范等。

（2）安全运维管理。政务云环境下的数据共享交换平台安全运维应以体系化的设计思路进行通盘考虑，需要全面覆盖平台的所有网元要素，统一和规范网络安全管理和应急响应的内容和流程，提升风险运行维护的规范化程度，实现风险的可发现、可测量、可处置和可控制。特别地，应加强数据共享交换过程中的数据泄露、数据错误或异常情况下的应急响应机制，实现及时发现、及时弥补，能够实现数据的有效召回。

（3）安全检测评估。结合数据安全能力成熟度评估方法，建立数据共享安全保障能力检测评估标准、方法，量化数据安全能力建设水平，以此建立共享参与方组织内部的整体数据安全管理体系，确定数据共享级别，落地安全保障体系和共享生态建设，从数据的提供方、数据使用方和平台服务方几个不同角色开展安全体系建设，进而构建数据共享安全生态。同时，通过数据共享安全保障能力评估，激励各方提升数据安全能力，保障政务云环境下数据安全共享和价值利用。

6 数据安全共享典型流程

按照数据共享各主体的安全责任，针对数据共享全过程的安全需求，对数据汇集、交换、使用和销毁各阶段采用相应的安全机制进行按需实践，建立多方参与的数据安全共享典型流程，如图3所示。

图3 数据共享安全模型

0.在数据共享活动开展前，共享监管方应针对数据共享全局制定相应的数据安全标准，包括数据安全分级标准、数据安全防护标准和数据安全防护能力检测评估标准，由此产生相应的数据安全防护策略。数据提供方、数据使用方和平台服务方在共享活动中必须遵守执行相关的标准。根据标准要求，定期监测评估数据提供方、数据使用方和平台服务方的数据安全防护能力，监测数据安全防护的有效性。

①数据提供方进行资源准备，根据数据的类别和安全等级确定共享策略，包括数据的共享方式、共享范围、审批方式和使用控制策略等。对于汇聚到共享平台的数据，按照共享策略发送给平台服务方。对于留存在提供方本地的数据，根据数据安全防护策略，采取必要的数据防护措施，包括信源加密、完整性保护等。

②数据提供方向平台服务方进行资源注册和发布，平台服务方对数据提供方进行身份认证，对资源发布进行审批。发布成功后，平台中的目录系统中可以查询到此条共享资源信息。资源本身可以存储在数据提供方，也可以汇聚到平台服务方的资源中心，由平台服务方统一对外提供共享服务。同时，数据提供方应将相关资源发布记录发送至共享监管方，由监管方进行汇聚存储。

③平台服务方对汇聚的资源进行清洗、整理和分级加工等处理，形成更具价值、可对外提供的数据共享服务。数据存储在共享平台，平台服务方应根据数据安全防护策略采取数据保护措施，对数据的存储、访问过程进行安全防护。

④数据使用方登录共享平台，平台服务方对其进行身份认证。认证成功后，数据提供方查询资源目录，获取所需资源的信息。数据使用方登录共享平台，向平台服务方发起资源申请。

⑤根据资源的审批方式，可由平台服务方或相应的数据提供方进行共享审批。

⑥审批通过后，根据资源存储地，可由平台服务方或相应的数据提供方向其提供资源，并把相应的资源提供记录信息发送至共享监管方，由监管方进行汇聚存储。

⑦数据使用方获得共享资源后，根据数据的安全级别和数据安全防护策略，采用相应的数据防护措施，按照使用控制策略使用数据，将数据使用记录信息发送至共享监管方，由监管方进行汇聚存储。

⑧共享监管方对所有的监管信息进行汇聚和分析，对共享业务全局进行合规性监测，对共享业务安全态势进行可视化展示，发现异常情况并实施告警。

⑨共享资源到期、失效，需要更新或者删除时，应根据资源所在地，由数据提供方、平台服务方和数据使用方采取数据销毁措施，防止其中的敏感信息泄露。

7 结 语

本文针对政务云环境下数据共享面临的安全风险，提出了数据共享主体、数据共享过程、安全保障机制、数据安全能力成熟度四个维度构成的安全模型，重点分析了数据共享主体和共享过程两个维度的安全需求，通过体系化的安全设计归纳梳理各层面安全机制，提出了政务云环境下的数据共享安全保障框架，建立了数据安全共享典型流程，可为政务信息资源共享的安全防护系统建设提供参考。

[1] Mell P,Grance T.The NIST Definition of Cloud Computing[R].National Institute of Standards and Technology,2009.

[2] Bertino E,Paci F,Ferrini R,et al.Privacy-preserving Digital Identity Management for Cloud Computing[J].IEEE Data Engineering,2009,32(01):21-27.

[3] Paci F,Bertino E,Kerr S,et al.An Overview of Very IDX-A Privacy-Preserving Digital Identity Management System for Mobile Devices[J].Journal of Software,2009,4(07):696-706.

[4] Roschke S,Feng C,Meinel C.Intrusion Detection in the Cloud[C].Dependable,Autonomic and Secure Computing,2009.

[5] 戴剑伟.跨领域信息交换方法与技术[M].北京:电子科技出版社,2010.DAI Jian-wei.Cross-domain Information Exchange Method and Technology[M].Beijing:Electronic Science and Technology Press,2010.