文｜李国良

政府数据作为国家基础性战略资源，在数据要素市场化配置中起经济治理的作用。当前，随国家大力推动政务服务“一网通办”和政务数据共享应用，已初步构建政务数据共享交换体系，数据归集量和数据共享量、数据共享应用场景均有较大进步，为加速实现政务数据共享奠定坚实的基础。政务数据共享核心目的在于建立统一的政务数据共享交换渠道，连通各政府机关部门，实现政务数据的共享及汇聚，以充分释放数据潜在价值，激发数据经济活力。

一、发展现状及面临的风险

一般来讲，数据共享的方式主要分为数据开放、数据交换和数据交易，目前，在数字政府建设领域所指的数据共享主要包括数据共享交换、数据开放两种方式，尤其是近年来国家大力提倡的政务服务“一网通办”，涉及大量政务数据共享应用的需求。在政务数据归集治理、共享开放和数据交易过程中，仍存在许多安全隐患，例如，数据存储安全、数据明文共享、数据源可信程度、数据共享去向不明等，尤其是跨域数据共享过程中的敏感数据暴露以及数据整体安全防护能力变弱、追踪溯源困难等都给数据安全共享带来较大的风险。本文是基于政务数据共享赋能、进一步提升政务数据共享安全性这个角度开展研究。因此，本文研究主要目的是在政务数据共享过程中存在安全隐患的基础上，研究提出加强政务数据共享安全防护措施，主要包括使用数据传输安全、数据共享安全控制措施、数据共享服务接口调用动态授权控制、数据共享追溯及数据动态脱敏等方面的措施，以提升数据共享安全防护能力，消除政务数据共享安全隐患，让政务数据能更安全传输，让政务数据共享过程可追溯，为下一步各地区强化政务数据共享安全提供借鉴。

二、政务数据共享安全防护措施

（一）数据加密传输和异步分批传输

为确保政务数据在不同地区、不同部门、不同政务信息系统以及同一平台不同子系统间安全地进行数据传输、共享和互调用，非常有必要对传输全过程实行安全防护控制。本文首先在使用符合国密算法标准的SSL协议进行传输基础上，又采用了系统独有的加解密技术对政务数据加解密并形成数据传输包；其次，在传输过程中采用多加密数据包技术，并且对待传的多加密数据包使用异步分批随机传输技术；同时，控制每对节点之间的数据流量，对数据传输日志进行实时跟踪；最后，在数据传输目标服务系统内对数据进行解密，与调用者技术握手确认成功后，再将数据交由调用者。这种措施的技术原理为：一份数据是加密分批传输，即使在传输过程中某些数据包被攻击者截获，攻击者也无法破解并恢复完整的数据包。通过数据加密传输和异步分批传输对数据采取了双重防护措施，进一步提升政务数据共享时的安全性。

（二）AppSign授权访问机制

随着政务数据应用场景越来越丰富，使用政务数据的渠道也越来越多，如业务系统软件、App、小程序、智能终端等均成为共享使用政务数据的终端，为消除数据安全风险隐患，进一步提高数据共享安全性，有效进行边界控制，防止出现越界访问数据的现象发生，需要对使用政务数据的第三方应用进行管控。具体实现方式如下：

在第三方应用申请共享政务数据时，通过获取绑定调用者IP地址，使用“一人、一账号、一地址、一登录、一认证”的绑定机制对第三方应用进行管控，通过这种机制，就能识别数据获取者是否是合法用户。

第三方应用调用者通过身份认证之后，采用“自动+人工”组合的授权模式对待共享数据授权，授权成功后数据共享平台自动随机生成1个AppSign信息码，该信息码采用36位随机字符码，用来辅助验证第三方应用调用者的身份。AppSign信息码采取“一应用、一服务、一分配”模式进行授权，每个服务会分配一个AppSign信息码给第三方应用调用者，用来识别第三方应用调用者身份。通过数据共享平台服务系统中的白名单过滤机制，可以指定第三方应用调用者的IP，如白名单外的第三方应用调用者IP，即使截获了AppSign信息码，在调用服务时，将拒绝调用者的请求，实现访问安全认证。

第三方应用调用者正式获得共享的政务数据之前，数据共享平台对其IP地址、账号、登录信息、AppSign信息码等有关信息进行二次组合验证，并自动绑定第三方应用调用者所在设备的IP地址，采用账号登录排斥技术确保同一账号只能在绑定的设备上登录并获取AppSign信息码，待这些信息都验证通过后，才可接通第三方应用调用者要查询的数据接口，执行数据共享查询、核验等操作服务。同时，数据共享平台对上述操作全流程进行记录，以便于后期的追溯。

（三）DynamicSignKey码动态刷新授权认证

在AppSign信息码授权访问机制基础上，为防止暴力破解或其他方式截获AppSign信息码，在第三方应用调用数据接口时，又增加DynamicSignKey码认证模式进行强化授权，可进一步提升政务数据共享接口安全性。主要原理是采用动态刷新的DynamicSignKey码进行强授权，首先，第三方应用在调用共享的数据接口前，每天都需使用调用方服务Id、用户标识、AppSign信息码等信息，依托数据共享平台自动分配一个DynamicSignKey码给第三方应用调用者；其次，通过DynamicSignKey值生成每日的sign动态签名，每天生成的sign动态签名值均不同；最后，每次调用数据接口时，都需要附上sign动态签名值才能进行数据接口调用，同时系统做好调用记录。需要说明的是，DynamicSignKey码24小时内有效，这样通过强认证方式，又提升了数据共享过程中的安全性。具体的数据共享接口调用流程如下所示：

首先，第三方应用调用者填写相关申请信息并通过算法生成密钥DynamicSignKey；

根据密钥（DynamicSignKey）对第三方应用调用者ID、IP地址和申请时间戳标记等信息进行哈希运算后进行base64转码获得gjzwfwpt_sign值，该数值的有效期为15分钟；

根据第三方应用调用者的请求头参数、请求参数调用接口地址获取数据报文；

基于前面获得的授权码（AppSign），对第三方应用调用者标识（App_rid）、接口编码（App_sid）和请求时间戳（App_rtime）进行计算签名，得到签名密钥（App_sign）；

在接下来的数据共享接口调用过程中，先使用签名密钥对第三方应用调用者标识、接口编码和请求时间戳进行计算签名，然后调用数据共享接口。该签名密钥可以连续多次使用，直至密钥过期或主动更新。DynamicSignKey每日更新一次，以保障该密钥的安全性。

（四）数据全程追溯和动态脱敏机制

要确保政务数据共享全程可追溯，便于清楚地掌握数据流向、路径、目的地、参与者等信息，应采取监管记录措施，实现数据共享全程追溯。主要方法是健全数据共享系统日志机制，记录数据流转的全过程，日志内容尽可能完整，主要包括：操作日期、工作站名、用户名、文件名、操作方式、流向ip、路径端口、目的系统等信息，为数据审计提供详细记录。

针对所有数据共享调用服务都会建立访问策略，包括访问权限的控制、访问时间段的控制、访问次数的控制、异常访问的调度等。

针对所有数据共享调用服务的都形成日志记录，日志记录的内容为调用的应用、调用的开发者、调用的时间、调用的传入参数、调用的IP、调用的成功状态等。

针对异常访问以及错误访问，进行记录日志并及时反馈给数据维护者，数据维护者及时处理异常访问及错误访问，保证数据服务的正常运转。

采用数据动态脱敏技术。数据持有者希望可以在不泄露隐私信息的前提下将数据共享给数据访问者，在政务数据共享过程中，为防止个人信息泄露和有效防止数据扩散带来的安全风险，有些数据需要在共享边界内外进行脱敏处理，但还需要保持数据共享边界内外的独立性和识别度，因此，需要在数据共享过程中对需要脱敏的数据开展数据动态脱敏处理，等数据到达共享边界之外的时候，数据已经完成了脱敏处理，能有效保护数据安全。动态数据脱敏是针对不同用户需求、不同数据共享使用场景而随机灵活确定，对数据进行屏蔽处理（类似数据沙箱内黑盒处置）的数据脱敏方式，前提是数据共享平台必须有严格的安全措施确保第三方应用调用者不能绕过数据脱敏防护层而直接接触敏感数据。执行动态数据脱敏方法时，针对不同的数据用途和第三方应用调用者情况，通过事先约定好脱敏方式，在动态数据脱敏执行时，采用均化、乱序、替换、散列、数据截断、日期偏移取整、限制返回行列数、掩码等不同组合开展动态脱敏，以适应不同的数据共享需求。在执行数据动态脱敏过程中，还需采取如下措施强化数据安全：

对数据脱敏过程实行全程运行监控和分析预警，以防止未脱敏数据意外流出；

还需定期对数据脱敏记录开展“自动审计+人工审计”，以发现数据脱敏过程中存在的隐患及漏洞，便于及时弥补；

要确保数据动态脱敏服务是自动执行的，不能有人工干预数据脱敏过程。

三、结语

各级政府在政务数据共享平台建设使用过程中，虽按等级保护测评第三级标准建设，也采取了常规安全防护措施，但仍存在安全风险隐患。本文结合实际，紧紧围绕进一步提升政务数据共享安全能力，从数据传输安全、强化访问授权、对数据共享全程监管、动态数据脱敏等方面提出几点有效的安全防护措施，以期为今后的政务数据共享安全防护提供一些有意义的借鉴。