邓刚 海忠 赵平

摘要：政府部门和公共服务部门大数据包含机构机密数据、个人隐私数据，是国家的核心资产，关系国家和人民的切身利益，因此其安全性需要充分保障。本文从大数据安全保障标准化研究、大数据安全保障风险研究和大数据安全保障体系研究三个方面综述政府部门及公共服务机构大数据安全保障现状与发展趋势。

关键词：政府部门;公共服务机构;大数据;安全保障

中图分类号：TP311.13 文献标识码：A 文章编号：1007-9416（2020）03-0187-05

0 引言

党的十九大报告提出，要加快建设数字中国，建设网络强国，通过大数据发展和实体经济的深度融合，推进发展经济新增长点，促进新动能形成。国家日益重视大数据发展的同时，数据的增多使大数据安全问题日渐突出，各类安全事件给政府和公共服务机构敲醒了警钟。已有学者较多的将大数据安全与隐私保护联系在一起，但大数据安全的含义较隐私保护更加广泛，在数据收集、传输、存储、管理、分析、运用、销毁的整个生命周期过程中，大数据均面临众多的安全威胁，大数据安全包括2个层面的含义：保障大数据安全和大数据技术用于安全。前者是指保障大数据计算过程、数据形态、应用价值的处理技术，涉及大数据自身安全问题;后者是利用大数据技术提升信息系统安全效能和能力的方法，涉及如何解决信息系统安全问题[1]。

随着对大数据的广泛关注，有关大数据安全保障的研究和实践也已逐步展开，包括科研机构、政府组织、企事业单位在内的各方力量。针对大数据安全保障，学者们主要从大数据安全保障的建构思路、模型构建、建设路径角度展开分析和研究[2]。

1 应用日益普及

在我国，政府部门及公共服务机构关于大数据的建设应用起步于20世纪90年代，20年来，为强化国家各级政府部门大数据的应用与治理，国家电子政务主管部门和相关业务部门对于大数据的研究不断深化。不仅相继出台了相关政策法律和多项大数据政策文件为大数据应用健康发展提供了强有力的制度保障，使我国大数据建设的发展环境和领域生态得到持续改善，而且在全国范围内相继成立大数据管理局，建设大数据安全保障平台等，我国政府部门及公共服务机构的大数据建设应用日益普及。

“十三五”期间我国全面启动了大数据方面的研究。2016年3月17日，十二届全国人大四次会议表决通过了《关于国民经济和社会发展第十三个五年规划纲要》，要求实施国家大数据战略，全面实施促进大数据发展行动，同时要强化信息安全保障。国家统计局、发改委和科学院，以及北京、上海、广州、重庆、武汉、贵州等地率先开展了政府大数据方面的建设工作。近年来，全国各地纷纷投身于大数据建设应用中来，大数据管理机构也如雨后春笋般涌现。2014年2月，广东省大数据管理局成立，拉开了全国大数据局成立的帷幕，2018年4月12日，上海市大数据中心正式揭牌。2018年10月25日，浙江省大数据发展管理局挂牌。2018年11月14日，作为广西壮族自治区机构改革新成立的直属机构，广西大数据发展局挂牌。2018年11月26日，河南省大数据管理局挂牌成立。2018年11月5日，重庆市大数据应用发展管理局挂牌，作为市政府直属机构。据调查数据，在对我国31个省级行政单位和334个地市级行政单位的大数据局成立情况梳理后，截止2019年9月，我国18个省（直辖市）、203个市在这次机构改革中组建了专门的大数据管理机构[3]。

另外，作为政府部门及公共服务机构大数据建设应用的重要环节，近年来我国加快普及大数据与地区经济社会发展深度融合的步伐。大数据与金融、电子商务、医疗、农业、政务等众多领域逐渐融合，发挥着越来越重要的作用，国家级大数据综合试验区加快推进。2015年9月，贵州启动全国首个大数据综合试验区建设工作。2017年跨区域类综试区（京津冀、珠江三角洲），区域示范类综试区（上海、河南、重庆、沈阳），大数据基础设施统筹发展类综试区（内蒙古）建设成效显著，京津冀三地也在“十三五”期间共建大数据综合试验区。显然，这些举措无疑推动着大数据建设在我国的进一步发展。

2 面临诸多威胁

政务大数据相比于其他类型大数据更具高度整合性，珍贵性和机密性，政府部门和公共服务机构作为政务大数据的应用主体，在大数据的应用上也相应承担着更多的责任与风险，虽然大环境下国家日益重视大数据安全建设，但政府部门及公共服务机构大数据安全仍然面临着诸多威胁[4]。

首先，政府部门及公共服务机构大数据安全面临着公民隐私权被侵犯，政府权威受挑战的威胁。《网络安全法》明确了政府有责任保护公民的信息安全，但互联网上却同时泛滥着大量的非正常数据应用服务，以及线下的非法数据售卖。据悉，重庆、上海、山西、贵州、河南等30多个省市卫生和社会保障系统存在大量高危漏洞，仅社保类信息安全漏洞就达5279.4万条，其次，政务网站存在被篡改克隆的风险，严重威胁到社会秩序的安定。根据国家互联网应急中心（以下简称“CNCERT”），最新发布的《中国互联网网络安全报告（2018）》，2018年我国境内被篡改网站数量为7049个，其中政府网站被篡改数量为216个，占境内全部被篡改网站数量的3.1%，与2017年持平。监测到境内23608个网站被植入后门，其中政府网站有674個，占境内被注入后门网站的2.9%。另外2018年勒索软件攻击事件频发，变种数量不断攀升，对重要行业关键信息基础设施威胁加剧。其中，政府、医疗、教育、研究机构、制造业等是受到勒索软件攻击较严重行业。例如GlobeImposter、Gand Crab等勒索软件变种攻击了我国多家医疗机构，导致医院信息系统运行受到严重影响。2018年，CNCERT抽样监测发现，我国境内联网工业设备、系统、平台等遭受恶意嗅探、网络攻击的次数显著提高，在CNCERT使用Acheron平台对主流工业控制设备和电力行业进行专项安全检测时，在设计主流厂商的87个产品共发现了232个高危漏洞。

5 政府部门及公共服务机构大数据安全保障研究

政府部门和公共服务部门大数据包含机构机密数据、个人隐私数据，是国家的核心资产，关系国家和人民的切身利益，因此其安全性需要充分保障。通过阅读相关文献发现学者们也愈发重视对政府部门和公共服务机构大数据安全保障的研究。具体来说，主要从以下几个角度展开研究：

5.1 大数据安全保障标准化研究

在信息技术广泛应用的今天，政务大数据安全保障问题，受到国家的高度重视。政务大数据标准是保障政务大数据安全的重要理论支持。有学者梳理了国家的相关政策，并且在提出当前政务大数据面临威胁的同时，指出要在分析政府大数据安全标准核心需求的基础上，有侧重点的制定政务大数据安全标准（王俊，2019）。具体到标准化面临的问题，有学者指出大数据安全保障标准体系和规划还不完善，并且当前对大数据治理的认识不足，重点标准在行业应用中的支撑力度也不够，在此基础上构建了包括八种标准的标准体系框架（代红、张群、尹卓，2019）。也有学者通过对国内外标准制定的对比，提出政府部门和公共服务机构大数据管理保障存在标准体系架构有待完、适用性不强、与国际标准脱轨、部分行业指导和最佳实践不足等短板，在此基础上，从政策法规层、规划层、基础层、实施层4个层面开展新形势下政务大数据安全风险管理标准体系研究，提出了新形势下的政务大数据安全风险管理标准体系（高亚楠、刘丰、陈永刚，2019）。还有学者系统的分析了国内外政府大数据标准化研究现状，结合《促进大数据发展行动纲要》、中华人民共和国国民经济和社会发展第十三个五年规划纲要等国家战略以及大数据产业发展对标准化工作的需求，分析我国大数据标准化工作面临的问题，描述了大数据参考架构，提出大数据保障标准体系框架，给未来的政府大数据安全保障提供了参考（张群、吴东亚、赵菁华，2017）。

5.2 大数据安全保障风险研究

多部门、多来源和跨领域的政府部门和公共服务机构的数据经过汇聚之后，面临着多种攻击，引起了社会各界的一致关注。有学者指出虽然政府部门采取了相应的政务大数据防护措施，但是政务大数据在汇聚之后，仍然会受到关联分析、推理攻击、统计分析等攻击手段，从而造成数据泄密风险，因此其从管理制度、数据存储、数据共享以及数据发布4各方面进行定性的风险分析（王凡、宋浦元、李明道等，2019）。这些学者还在此基础上结合大数据安全风险评估关键要素，探讨政府部门和公共服务机构数据安全风险评估方法和评估模型，对政务数据安全风险进行定量分析。也有学者基于大数据全生命周期，构建了政务大数据生命周期的风险分析模型，分析了政务大数据运行全过程的风险（许盛伟、邸梓航、黄俊豪等，2019）。有学者指出政府部门为履行其职能，会以一定的形式按需处理大量的政务数据，而在政务数据处理主要包括收集、存储和使用等环节，在这些环节中的都会出现风险，为政府的政务数据安全保障增加难度（杨绍亮、陈月华、陈发强，2019）。公共服务机构方面，医疗大数据平台为大数据在医疗信息领域的应用和发展提供了有利的支持保障。平台的安全保障体系建设则更加有利于健康医疗大数据的发展，但目前的医疗大数据安全保障体系存在着技术支撑不足，功能分区存在不合理的现象（吴晓霞，孟琨泰，赵杰等，2017）。另外，还有学者对共享交换平台安全风险、用户与管理终端安全风险、公共服务部门大数据本身的安全风险入手进行分析（张平，2019）。

5.3 大数据安全保障体系研究

数据时代是安全与发展并重，机遇与挑战并存的时代，在充分发挥政务大数据价值的同时，解决政务大数据面临的安全问题也至关重要。有学者基于大数据生命周期和大数据平台两层的大数据架构，提出分层的大数据安全保障体系，指出法律法规是是约束和规制政务大数据各环节中的基础;大数据生命周期层主要涉及政务大数据保护的相关技术;大数据平台层主要涉及政务大数据平台安全保护的相关技术（陈兴蜀、杨露、罗永刚，2017）。也有学者通过构建大数据全生命周期安全风险图，提出包括安全保密防护体系、安全保密技术、安全保密管理和安全保密标准的政务大数据安全保障方案（张平，2019）。也有学者参考Gartner国际研究机构对数据安全领域的研究，以及数据安全成熟度模型（简称：DSMM）对政务数据安全治理进行了设计，提出了政务大数据安全治理的总体框架图（王晛，2019）。还有学者根据政务大数据安全架构的基本原则，并以美国标准化组织NIST提出的大数据平台架构为参考，提出一种新的政务大数据安全架构，该架构建立在大数据云平台之上，可实现在全系统层面上的统一审核与管理，同时满足大数据跨部门共享与交换的需要，并实现大数据在不同软件或业务之间的互操作性、可移植性、可重用性、可扩展性、可审计溯源要求（朱岩、刘国伟、王静，2019）。也有还有学者结合政务大数据在日常使用中不断暴露出的安全保密风险，从体系、生命周期、分类分级、管理制度、风险检测机制等方面提出建议（许盛伟、邸梓航、黄俊豪等，2019）。另外，还有学者针对目前大数据治理研究仍局限于从单一学科视角和单一层面进行讨论，缺少对政务大数据治理体系构建的体系化研究的现状，采用多学科综合集成方法，通过系统文献调研及案例研究的方法，将宏观、中观与微观3个层次的体系构成要素進行了有机融合，提出了宏观层面的多元主体合作联盟共治、中观层面的多层次活动流程联通共生、微观层面的多维度要素联结共赢的政府大数据治理体系框架及其实现的有效路径。公共服务机构方面，有学者提出电力大数据将贯穿未来电力工业生产及管理各个环节，起到独特而巨大的作用。目前电力公司基本上实现了信息化的全覆盖，逐步都开始建设综合数据平台。由于电力大数据涉及到众多电力用户的隐私和电网安全，对信息安全也提出了更高的要求。针对大数据的安全保障体系架构和关键防护措施需要进一步加强，从被动防御向多层次、主动防御转变，达到在保证数据安全的前提下使用大数据技术。（郭乃网，苏运，2016）。

6 结语

大数据安全的含义较隐私保护更加广泛，在数据收集、传输、存储、管理、分析、运用、销毁的整个生命周期过程中，大数据均面临众多的安全威胁，大数据安全包括2個层面的含义：保障大数据安全和大数据技术用于安全。前者是指保障大数据计算过程、数据形态、应用价值的处理技术，涉及大数据自身安全问题;后者是利用大数据技术提升信息系统安全效能和能力的方法，涉及如何解决信息系统安全问题。随着对大数据的广泛关注，有关大数据安全保障的研究和实践也已逐步展开，包括科研机构、政府组织、企事业单位在内的各方力量。针对大数据安全保障，学者们主要从大数据安全保障的建构思路、模型构建、建设路径角度展开分析和研究。

参考文献

[1] 白献阳，孙梦皎，安小米.大数据环境下我国政府数据开放政策体系研究[J].图书馆学研究，2018（24）：48-56+47.

[2] 鲍静，张勇进，董占广.我国政府数据开放管理若干基本问题研究[J].行政论坛，2017，24（01）：25-32.

[3] 包英明.大数据平台数据安全防护技术[J].信息安全研究，2019，5（03）：242-247.

[4] [美]布鲁斯·施奈尔.数据与监控：信息安全的隐形之战[M].北京：金城出版社，2018.

[5] 蔡栋，孔德武，刘绪军.大数据时代下数据分析与数据安全[M].哈尔滨：哈尔滨工业大学出版社，2017.

[6] 陈广胜.政务大数据的浙江行动[J].信息化建设，2016（11）：7-9.

[7] 蔡蕙敏，张一帆.关于构建大数据安全保障体系的思路与建议[J].网络安全技术与应用，2017（06）：70-71.

[8] 陈惠芳，徐卫国.大数据视角下医疗行业发展的新思维[J].现代管理科学，2015（04）：70-72.

[9] 陈锦.我国大数据发展与信息安全态势[J].中国信息安全，2017（05）：68-71.

[10] 陈晴，高婷，杨明，等.气象大数据平台的设计及应用[J].电子技术与软件工程，2019（11）：192-194.

[11] 陈潭.政务大数据壁垒的生成与消解[J].求索，2016（12）：14-18.

[12] 陈新河.赢在大数据：政府/工业/农业/安全/教育/人才行业大数据应用典型案例[M].北京：电子工业出版社，2017.

[13] 陈兴蜀，杨露，罗永刚.大数据安全保护技术[J].工程科学与技术，2017，49（05）：1-12.

Abstract：The big data of government departments and public service departments contains confidential agency data and personal privacy data， which is the core asset of the country and relates to the vital interests of the country and the people， so its security needs to be fully guaranteed. This paper summarizes the status quo and development trend of big data security in government departments and public service institutions from three aspects： standardization research of big data security， risk research on big data security and research of the big data security system.

Key words：government departments; public service agencies; big data; security