政务信息共享数据安全国家标准的应用实践研究

该文本详细介绍了GB/T 39477—2020《信息安全技术 政务信息共享 数据安全技术要求》的标准制定背景和内容。该标准首次针对政务信息资源共享场景下的数据安全防护提出具体要求，涵盖了数据安全基础设施、数据流转安全、敏感数据管理、数据脱敏技术、用户实体行为分析技术和数据库透明加解密等核心技术，并强调了其在提升政务信息共享平台数据安全防护能力中的重要作用。

自2020年发布实施的标准GB/T 39477—2020《信息安全技术 政务信息共享 数据安全技术要求》为指导

内容目录：

0 引 言

1 政务数据安全风险

1.1 政务信息共享场景带来的数据安全影响

1.2 政务数据安全风险

1.2.1 数据基础设施安全风险

1.2.2 数据流转安全风险

2 政务数据安全防护总体设计

2.1 设计理念

2.2 总体架构

3 政务数据安全防护关键能力

3.1 数据库基础安全能力

3.2 敏感数据管理能力

3.3 数据安全风险控制能力

3.3.1 数据流量风险分析检测

3.3.2 行为风险分析检测

3.3.3 风险审计溯源

3.3.4 数据风险控制

3.4 数据安全运营管理能力

4 政务数据安全防护核心技术

4.1 数据脱敏技术

4.2 用户实体行为分析技术

4.3 数据库透明加解密技术

5 结 语

0 引 言

依据国务院办公厅印发《关于推进政务服务系统整合优化改革方案的通知》（国办发〔2017〕39号文》精神,加快推进基于电子政务外网的政务服务系统整合优化工作,借助国家数据共享交换平台（即'政务外网'）,实现部门间以及部门与地方政府间的信息资源共享与互通协作。为确保工作顺利开展,建议各级政府相关部门建立健全完善信息资源采集机制,健全完善统一的数据共享交换平台安全防护体系,切实保障各类政务服务信息资源共享互用的安全性与稳定性。

在国家数据共享交换平台逐步建设和完善的背景下，在线生成的数据正以持续不断的方式流向各相关系统，并通过标准化流程实现资源在各平台间的高效调用。汇聚的数据具有以下显著特征：一是分布广泛且类型多样；二是质量高且包含丰富信息；三是能够实现跨领域协同应用。

一是敏感性。这些数据涉及国民经济、社会发展以及国家治理等领域的紧密联系，并包含众多的个人信息、商业机密信息以及政府信息。

二是受控性原则。在管理数据的过程中，提供数据源的单位实施了严格的权限管理和监控机制，在系统中标识了数据的关键属性和访问权限范围，并制定了完整的访问控制流程以确保系统的安全性和稳定性。这些权限或要求必须持续维护以防止未经授权的数据访问。

三是流动性。中央政务部门及各级地方性政府部门基于共享平台体系获取所需的数据服务，并实现与这些数据的共享使用；这些数据随后返回到各级基层部门，并呈现出显著规模。

政务信息共享与交换所面临的各项安全挑战均值得深入解决。
其中数据安全问题尤其受到政务部门的高度重视。
同样对国家层面实现数据资源有效共享与交换具有重要意义。
标准的制定与发布旨在为政务信息共享场景提供明确的技术规范。
特别针对政务信息资源共享交换场景及承载此类应用的平台进行了深入研究。
标准提出了相应的技术要求。
这些规定有助于系统性地构建多层次的数据共享与交换平台体系。
确保各部门之间及跨层级（如国家-省-市）之间的政务信息能够有序、高效地共享与交换。
这一措施不仅能够进一步提升政府级及地方层面的信息安全性，
并对涉及的数据泄露、滥用及责任划分等议题提供了明确指导和操作规范。

1 政务数据安全风险

本文旨在深入探讨政务共享数据在流转全生命周期过程中的安全风险问题，并基于多层级、多场景以及多层次的基础设施建设等多方面的视角提出相应的安全解决方案。

1.1 政务信息共享场景带来的数据安全影响

在数字化转型进程中，在电子政务外网、政务云平台以及共享开放平台等关键基础设施建设方面取得了显著进展。针对业务治理与公共服务转型的需求，我们正积极推进集约化建设方式的应用。通过推动整合利用各级政府的公共信息资源和数据资源，在提升工作效率的同时实现资源共享和数据开放。这些举措有力地支持了利企便民的服务目标的实现。

在数字化建设成果广泛应用的背景下，在推动数据业务化运营与政务行业中的业务开展的过程中，经过从以部门为中心向以人民为中心的转型，这种转变带来了数据流转环境的重大变化。

数据流动的变化：经历了原有场景中固定的数据流动模式到动态环境下实时共享的海量数据流的过程。

（2）安全域的变化：从"数据仅会被限定在专有领域，并需严格控制"到"当众多部门之间实现互联时，数据将可在跨区域流动中流动"。

（3）数据存储的变化：从"传统模式下data在departments的安全域内实现分布式存储"到"随着各地或相关领域加速推进data整合,massive datasets将被集中存管"。

（4）数据责任主体的转变经历了多个阶段：起初由"数据提供方与数据使用方共同协商主体责任"主导；随后逐渐演变为"数据提供方与数据使用方持续转变主体"的状态。

（5）数据接触人员变化：从"数据的业务流程清晰可见,数量有限的接触人员"到"数据业务流程变得复杂难以发现,接触人员数量明显增加"。

在当前形势下，在各个关键领域以及相应的应用场景中（即在各个关键领域及其对应的应用场景中），原有的技术基础和发展水平已经无法满足新的战略需求与管理要求。随着时间的推移与具体情况的不同，在不同阶段的数据处理场景中（即随着时间的推移以及具体情况的不同，在各个时间段内），原有的技术基础和发展水平已经无法满足新的战略需求与管理要求。在这种情况下（即在这种情况下），原有的技术基础和发展水平出现了明显不足之处，并且这种状况会随着具体情况的不同而有所变化。

数据整合方面存在不足。基础平台的安全防护措施存在明显漏洞，在处理核心关键数据时尚未建立科学的分级保护机制；多来源的数据经过复杂加工后，在细粒度层面未实施充分授权管理；未建立相应的审计追踪机制。

（2）数据共享。在实现数据管理权与使用权分离的基础上，推动数据在不同部门之间的合理流动与长期存储，并确保在跨区域范围内存储的数据一致性。然而，在实际操作中存在以下问题：一是存在不一致的安全策略；二是出现了越界授权或被第三方不当滥用的情况；三是导致监管机制难以正常运行。

该系统在数据开放过程中存在以下问题：一是未能充分评估其带来的安全风险；二是其数据开放接口的安全性机制存在缺失；三是未能建立完善的隐私保护管控体系。

1.2 政务数据安全风险

在政务大数据应用场景下，在传统安全考量与基于数据的安全理念双重角度审视之下，在线场景下的信息安全问题主要围绕着两个核心方向展开：一是基础架构的安全保障；二是信息流动的安全管理。

数据基础设施的安全涵盖原有网络设备、主机系统以及应用软件等基础要素的安全保障措施，并对数据库系统及其相关的信息化资源进行安全防护与风险评估。

数据流转的安全管理主要关注于公共数据资源平台下的政务大数据场景，在围绕数据安全的前提下实施全生命周期的安全管控措施，并通过整合数据分析技术实现对系统运行稳定性和安全性进行有效保障。

1.2.1 数据基础设施安全风险

在数据基础设施的安全风险范围内，在网络、主机、应用以及数据库等方面的安全问题上给予较多关注，并非不重视传统的安全防护措施。而对于大数据相关平台设施而言，则其潜在风险主要集中在三个关键领域。

设施防护体系完整性：例如基于开源的大规模技术组件数量较多。这些组件中的潜在漏洞较易识别，并且在运行过程中容易遭受恶意操作或破坏。

（2）设施之间的安全措施差异：不同设施之间存在安全措施不一致的情况，在与云计算平台、大数据处理平台及应用系统进行对接时，并未充分遵循各环节的安全策略一致性原则。这种“木桶效应”最终将直接决定整个系统的安全性。

新型设施的安全措施防护：基于多层次的技术集成过程表明，在新型设施的安全防护方面，传统安全措施存在盲区，并且容易成为黑客攻击或内部违规行为的利用工具。

1.2.2 数据流转安全风险

数据流转风险潜在存在于政务公共大数据流转的背景下，在汇聚、共享、开放等不同环节中的各类场景中均有发生。

（1）数据汇聚。

核心敏感数据大量汇聚并实现了统一存储，在实现过程中缺乏对细粒度数据的安全控制，在防护机制被突破或在运维或进行BI分析时使用特权账户接入的情况下，则会使得获取更高价值的关键数据变得更加容易。

多维度的数据处理过程很可能由于粗粒度的权限划分而导致获取了多方面的公开或较低密级的数据，在经过聚合处理后生成了较高敏感度的数据；新增生成的数据仍因缺乏精确权限控制而面临被窃取或泄露的风险。通常情况下，在这一过程中缺乏相应的监控与审计机制支持；因此相关事件难以有效追踪和定位

（2）数据共享。

在共享交换的情境下，使用方通常并非数据的所有者。因此，在数据事件相关的责任划分原则方面，达成共识较为困难。这使得在使用环节的数据保护显得不够完善，并且可能导致在跨部门或跨地域的数据留存中出现由于安全策略不一致而导致的数据被窃取或泄露的情况。

此外，在共享交换过程中，由于数据审核方对数据请求方的请求目的审查不够严格等原因，在未经充分评估的情况下就可能造成资源错配或权力滥用。这种情况下会导致监管和追踪机制未能得到充分实施，从而在流出数据的过程中容易出现资源浪费或政策执行偏差等问题。

（3）数据开放。

数据开放往往是因为业务发展的需求而产生的。然而，在实际操作中可能存在诸多问题：例如未经过充分、严谨的科学分析；缺乏成熟的安全保障体系以及必要的防护措施；在公开之前必须确保经过严格的审查并采取绝对脱敏处理；此外还有一些开放的数据平台可能仅提供简单的开放接口而未能完善其安全性；这些接口的安全性存在明显缺陷；其中一些平台提供的接口可能还存在可利用的安全漏洞；这种情况下可能导致严重的后果。

在开放出去的数据方面，则面临无法叠加历史数据以及难以从其他途径获取对比数据的挑战。这使得风险评估与安全防护体系的有效性难以得到充分保障。与此同时，在这种情况下，潜在威胁者能够通过常规手段获取关键敏感信息点。

2 政务数据安全防护总体设计

综合考量多维的安全风险因素以及政务场景的数据安全建设需求，在面对传统网络安全产品或解决方案时会面临局限性；因此需要根据具体场景细化后识别出的各项具体风险，并结合当前的安全技术发展思路，在风险管理与应急响应阶段逐步推进；最终为构建覆盖政务大数据平台、政务大数据应用以及政务共享交换等环节的数字化政务一体化平台提供一套系统化的技术方案

2.1 设计理念

参考Gartner在DCAP（Data Centric Audit and Protection）理念中阐述的数据安全策略包括：首先实施基于属性的数据分类与识别机制；其次构建完善的安全策略管理框架；然后建立有效的用户权限控制措施与数据访问行为监控体系；接着实施规范化的审计流程及结果记录机制；随后开展深入的数据行为模式分析；接着部署完善异常行为监控及阻止措施；最后制定详尽的数据保护政策。

在政务大数据建设场景中, 以数据为核心, 从网络、主机到应用的整体基础设施安全建设, 必须同时构建多层次的大数据防护体系, 并将数据库的安全防护与风险控制进行系统性整合, 形成统一的安全策略网络. 在数据管理方面, 需要建立精细化的数据资产管理体系, 同时实施全程追踪的数据流动防护机制. 同时具备快速定位并追溯的风险感知能力在数据流动追踪中的应用. 另外需要构建智能化的人工-机器协同管控平台, 并通过持续优化实现智能化学习与自动化运营目标.

2.2 总体架构

该系统采用模块化设计构建协同防护架构，在数据库到大数据应用等场景下实现完整覆盖的数据安全管理体系。该体系具备全生命周期安全管理功能、严格的访问权限控制机制以及多层次的安全威胁评估体系，并通过实时监控与预警响应确保网络空间的整体安全态势

图1 政务数据安全防护机制总体架构

该系统采用多层次架构进行设计与构建，在功能布局上涵盖以下几个核心要素：首先是基于人工智能技术实现的敏感数据识别功能；其次是构建一套全面的数据安全风险评估策略；接着是部署一系列多层级的安全防护措施；最后是建立完善的安全运营管理机制。整个架构体系中各子系统之间实现了有机衔接与协同运行

改写说明

（2）数据安全风险管理模块。该系统除了具备基础的数据审计能力和风险事件追溯功能外，在敏感数据管理方面采取核心策略。通过从数据流量和人员行为等多个维度构建威胁分析模型来进行潜在风险监控以及对未知潜在威胁的预测。同时结合自身的风险管理策略进行动态管控，并整合加密技术和脱敏等风控措施实现对潜在安全威胁的实时防护。

数据安全防护模块主要针对数据库、大数据平台等数据存储实体搭建全体系的虚拟化支持架构，并遵循敏感数据管理策略构建 globalscale 的细粒度防护体系。

（4）数据安全运营管理模块。整合全局配置方案、策略制定框架以及风险评估指标等多维度资源，在统一化的平台化界面下实现资源的有效调用与优化配置。通过与人工监控系统建立协同运作机制，在数据运行状态实时监控的基础上实现潜在风险点的快速识别与响应处理。

3 政务数据安全防护关键能力

目前广泛应用于各业务领域的数据库系统对外部用户、运维人员及开发人员等账号角色划分层次不够细致，仅限于基于等级的基本权限控制方案。然而由于该系统与其现有的权限管理机制之间存在割裂影响其协同工作的状态。因此该系统往往采用公用高权限账号和简单密码的形式进行配置这种配置形式使得数据库系统面临高度安全风险。这种配置形式使得数据库系统完全处于'裸奔'状态导致数据库遭受勒索病毒攻击频发发生误删误改数据以及数据泄露等严重问题此外还导致审计对象不清且审计过程复杂难以实现精准定位问题原因。

3.1 数据库基础安全能力

其数据库基础安全能力包含：
采用基于虚拟化的数据库代理技术，
配合细致粒度的数据库权限控制机制，
内置基于语义层次的访问控制逻辑和异常阻止功能，
通过实体层与数据库隔离保障安全隐患不外溢。
该系统整合了多种轻量级与重量级的数据管理方案，
特别支持敏感信息动态解密功能，
极大简化了敏感信息管理和解密流程，
有效防范敏感信息泄露。
该系统的技术架构框架如图2所示。

图 2 数据库基础安全能力技术原理

3.2 敏感数据管理能力

为了构建以 sensitive data asset 化管理为核心的 sensitive data asset 管理体系, 有助于管理者全面了解系统内 sensitive data 的分布、流动以及应用情况, 并实现对 sensitive data 的有效监管。通过着重优化与系统中 sensitive data 资产相关的权限控制措施, 可以进一步深入 sensitive data 流转的风险控制层面, 从而有效地防止 data leakage 和 data misuse 等风险隐患的发生。

除此之外，在遵循敏感数据管理策略的基础上，我们对所有贯穿于全生命周期的数据流提供了动态敏感脱敏能力。这种能力不仅具有良好的灵活性和有效性，在多个关键点上实现了对这些流动中的敏感信息均进行彻底脱敏处理。

3.3 数据安全风险控制能力

改写说明

3.3.1 数据流量风险分析检测

该系统作为整体数据安全风控平台的关键模块发挥着重要作用。该系统通过收集和整理相关敏感数据信息，并运用预先建立的各种规则和数据分析模型，在评估过程中进行核对。最终识别出潜在的风险行为

进行敏感数据流风险评估所需的基础能力包括全部网络流量的收集、对关键业务相关的实时监控、对异常行为的持续追踪以及对潜在泄露风险的动态评估。

3.3.2 行为风险分析检测

该系统作为整体数据安全风控平台的关键模块，在深入剖析用户各项数据访问行为的同时，并基于敏感数据资产的安全策略对潜在的行为风险进行识别和预警。

3.3.3 风险审计溯源

风险审计溯源机制主要依赖于完善的 数据 审计功能来进行支持，在对 敏感 事件进行有效追踪和 源溯 的过程中能够深入分析 敏感 数据 流动情况从而揭示潜在的风险来源并从根源上消除数据安全隐患 并建立相应的 监督 机制 通过持续的 审计 训练工作 在 敏感 对象关联识别方面进行重点优化 最终能够在 回溯 关键对象异常行为时提供精准的 监督 和应对措施

3.3.4 数据风险控制

在数据分析过程中进行数据风险评估与管理是确保信息安全的重要环节。通过对网络流量特征识别、用户行为模式分析以及审计日志追踪等方式获取相关业务运行状态信息的基础上建立风险预警机制能够及时识别并应对潜在的安全威胁例如在处理敏感信息时实施动态去势技术等方法以有效遏制正在发生的潜在数据泄露威胁。

3.4 数据安全运营管理能力

建设数据安全运营管理能力应从以下几方面入手。

集中管控的核心在于搭建统一的数据运营管理平台。该平台需具备将整个数据安全防护体系内所有功能模块进行最小整合范围内的有机整合。这种整合后的体系将成为数据安全使用、应用以及运行的主要统一入口点。

此外，在态势监控方面，建议将数据安全监控的状态与效果进行直观化呈现。具体而言，则需将抽象的数据安全态势转化为具象化的实体。从整个系统中各环节的数据流全生命周期管理出发，在实时监测的基础上全面展现敏感信息流动的过程与潜在的安全威胁点。通过这种动态化的展示方式能够使相关人员及时掌握当前系统的安全性运行状态，并在此基础上采取相应的措施来有效指导运维团队定位并解决相关数据风险。

最后一个是关于安全运算的内容。具体而言,这主要包括日常运维活动,应对突发的安全事件以及强化安全管理策略三个方面来制定相应的规定和措施。针对数据运管平台而言,在实际应用中完全实现上述所有功能是不现实的。因此可以推断,针对数据运管平台的安全运管平台应具备能够切实满足日常管理和关键应急需求的能力

4 政务数据安全防护核心技术

数据安全所面临的新型挑战具有显著的复杂性，在政务信息共享的过程中需要采用多种先进的安全技术手段来保障政务信息共享平台的稳定运行。当前主流关键技术涵盖但不限于以下内容：包括但不限于数据脱敏技术、基于用户的实体行为分析方法以及数据库透明化的加密解密技术。

4.1 数据脱敏技术

在数据分析领域中, 数据脱敏又被称为 数据漂白、去隐私化 或变形技术；借助相关技术手段确保 sensitive information 不被泄露；通过该技术实现 对 sensitive data 的安全保护, 并防止 sensitive information 在传输或存储过程中的泄露风险.

目前数据脱敏已形成一套安全技术体系，在分析与防护层面均可通过不同维度展开深入研究：其中一项重要探讨方向是评估是否在处理敏感数据时实施了相应的脱敏措施。

静态脱敏：在使用数据之前建立并存储经过脱敏的数据副本。

动态脱敏：在使用数据当时进行数据脱敏处理，不产生副本存储。

4.2 用户实体行为分析技术

用户行为分析（UBA）这一概念最早由Gartner于2014年提出,其初衷是针对日益增长的内部威胁问题进行应对.然而,由于内部人员可能采取恶意或违规的方式进行攻击,这类行为因其具有高度复杂性和不可预测性而难以被传统技术手段如数据完整性保护（DLP）技术所识别.随着信息技术的发展,实体"Entity"的概念逐渐融入到UBA体系框架中,从而演变为用户实体行为分析（User Entity Behavior Analytis,UEBA）.这种新型方法特别关注于IT资产或设备的行为特征,通过对其异常状态的持续监控和深入分析,能够有效识别外部网络攻击、内部资源迁移以及主机自身遭受病毒入侵等潜在风险.其中,E这一概念更具体地指向了IT基础设施的关键组成部分,例如服务器、终端设备和网络设备等.通过对这些实体的行为模式进行持续监测和评估,能够及时发现并应对来自内外部环境的各种安全威胁.

UEBA技术逐渐演变为一种主要手段,用于应对内部威胁及其相关安全应用场景.它是基于人类行为数据分析的一种方法,通过识别数据主体的行为模式来进行分类.在对数据访问者行为进行分析时,能够识别出'存在异常的行为'-即为潜在的数据主体威胁异常行为.

4.3 数据库透明加解密技术

数据库透明加解密技术主要依靠透明加解密技术这一安全的加密方案，在实际应用中可实现数据库数据的安全存储与加密管理、通过强化访问控制机制来提升数据访问的安全性、通过权限管理确保不同层次的应用仅能接触到相应的敏感信息以及实现三权分立的技术架构特点。该系统的密码基础设施主要依赖主动防御机制这一核心防护措施，在防止明文存储导致的数据泄露的同时有效遏制内部高权限人员的数据窃取行为，并采取多层防护策略来阻断合法应用系统直接越界访问数据库的技术手段。通过这种主动防御机制的应用不仅彻底解决了敏感数据泄露的问题还显著提升了数据库的安全运营效率实现了数据高度安全性的同时确保了应用运行的完全透明性和高效的密文访问能力等关键特征

数据库透明加解密技术应当符合密码部门发布的相关技术规范要求及信息安全等级保护2.0国家标准的相关规定，并应当支持包括SM2、SM3、SM4、SM9等在内的国密算法。该技术需提供高效的密码运算和加解密服务，并确保敏感信息的机保密证；同时确保数据的真实性得到维护并实现完整性保障，并有效防止伪造行为的发生。

5 结 语

GB/T 39477—2020《信息安全技术 政务信息共享 数据安全技术要求》标准由中国电子技术标准化研究院牵头，并联合国家信息中心等18家机构共同制定。作为‘政务数据开放共享标准体系’的重要规范依据，在国内首次明确了政务信息资源数据流转全生命周期中的身份认证与授权管理机制。通过制定与实施相关安全规范准则，在全国范围内推动各级政务服务部门的电子政务系统建设。显著提升了政府服务系统中收集处理和应用政府信息的安全防护水平，并确保了政府各类资源共享平台的安全性与可靠性。