数字政府应用场景中数据安全体系

数字政府应用场景

随着数字政府建设不断深入，政务数据规模快速增长，海量数据的收集、存储、使用、加工、传输、提供、公开，增加了数字政府网络安全防护难度，亟需构建数字政府安全屏障。

数字政府建设总体情况

数字政府是全面数字化发展的基础性、先导性工程，在促进数字经济、建设数字社会、完善数字生态中起到关键的引领作用。加强数字政府建设是创新政府治理理念和方式的重要举措，对加快转变政府职能，建设法治政府、廉洁政府、服务型政府意义重大。近年来，我国数字政府建设取得显著成效，以数字化促改革、以数字化助决策、以数字化提服务的理念不断深入人心，一体化政务服务和监管效能大幅度提升，“一网通办”、“最多跑一次”、“一网统管”、“一网协同”等服务管理新模式广泛普及，数字营商环境持续优化，在线政务服务水平跃居全球领先行列。
数字政府建设顶层设计不断加强。《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》明确提出加快建设数字经济、数字社会、数字政府，以数字化转型整体驱动生产方式、生活方式和治理方式变革。随后广东、浙江、上海、江苏等主要省市纷纷发布数字政府建设相关的专项规划，积极加快推进数字政府建设。
数字政府建设体制机制逐步完善。全国各省市陆续成立数字政府建设领导小组和省级大数据管理局，加快构建体系化规范化的数字政府管理机构，统筹推进数字政府建设。广东省在全国率先推行首席数据官(CDO) 制度，并遴选6 个省级政府部门、10 个地市级政府等同步开展试点，明确将“首席数据官”列为数字政府建设的第一负责人，构建了贯穿省、市、县三级的数字政府专人专岗梯度管理体系，为数字政府岗位责任制一体化部署做出了重大贡献。
数字政府建设协同合作持续深入。各省市积极推动数字政府建设优势互补、多元协作。上海市发布《上海市公共数据开放暂行办法》，建立公共数据开放的长效机制，优化公共数据开放平台建设，打造公共数据多元开放系统，在医疗、交通、文旅等领域广泛征集公共数据开放与开发利用试点项目，推动政企数据融合，引导数据挖掘赋能行业应用创新，合作形式更加多元，落地举措更加开放。
数字政府建设亟需构建安全屏障。随着数字政府建设不断深入，政务数据规模快速增长，海量数据的收集、存储、使用、加工、传输、提供、公开，增加了数字政府网络安全防护难度。同时，受内外部多重因素影响，数字政府面临的网络安全威胁日益凸显，网络攻击形势愈加明显，网络安全形势愈加严峻复杂，亟需构建数字政府的安全屏障。

数字政府建设中数据传输场景及解决方案

数字政府建设数据传输安全应用场景主要分为面向政务服务/政务公开、面向智慧城市、面向部门协同、面向内部管理的数据传输，各应用场景的主体、客体、行为和特点如表所示。

面向政务服务/政务公开的数据传输 应用场景数据传输需求政务服务是指政府相关部门及事业单位通过政务服务平台，为企业、个人等提供的许可、确认、裁决、奖励、处罚等行政服务。发送方为企业或个人，接收方为相关业务部门，传输的数据为法人办事、个人办事过程中涉及的企业数据和个人数据，具有发送方请求量大且分布广泛的特点。法人或个人通过政务服务客户端将数据传输到相关业务部门的服务器，服务器将处理结果反馈。
政务公开是指行政机关在履行职责过程中制作或者获取的，以一定形式记录、保存的信息，及时、准确地公开发布。发送方为行政机关相关部门，接收方为企业或个人，传输的数据为政务公开信息，具有接收方请求量大且分布广泛的特点。行政机关相关部门通过政务服务服务器将数据传输到政务服务客户端，企业或个人可通过政务服务客户端查询和浏览。
应用场景数据传输安全风险

主要风险点
恶意客户端接入
数据从客户端传输到服务器的过程中发生泄漏、窃取、篡改等
恶意服务器调用
应用场景数据传输安全解决方案
恶意客户端接入、恶意服务器调用客户端和服务器之间的数据传输通常使用客户端向服务器上传数据和服务器从客户端拉取数据两种方式，当客户端或服务器被恶意篡改或伪造时，会导致传输的数据发生泄漏、窃取、篡改等。
管理方面，可建立传输主体安全管理规范，明确身份鉴别、签名验签、数据传输接口等安全要求，建立密钥安全管理规范，明确密钥生成、分发、存取、更新、备份和销毁的流程和要求，建立权限安全管理规范，明确权限的申请、修改等管理要求。技术方面，可采用客户端准入控制等方式，降低未授权客户端接入风险，通过客户端加壳、完整性校验、密钥双向校验等技术措施，降低客户端和服务器被恶意篡改或伪造的风险，优化权限策略，加强权限收敛，减少越权访问的风险。
数据从客户端传输到服务器的过程中发生泄漏、窃取、篡改等管理方面，可建立数据传输安全管理规范，明确传输通道加密、数据内容加密等安全要求，建立传输缓存清除机制。
技术方面，可对传输通道和数据内容进行加密，并通过对加密算法、密钥强度进行优化和升级，提升数据传输过程中的安全性，在数据传输不完整或传输完成时清除缓存和历史缓存数据。
面向智慧城市的数据传输应用场景数据传输需求
智慧城市依托智能感知网络采集气象、环境、噪声、火灾、治安等数据，为智慧城市生态环境和社会治理提供数据支撑。发送方为生态环境和社会治理数据源，接收方为生态环境、公安等相关业务部门，传输的数据为涉及生态环境和社会治理相关的数据，具有发送方数量大、发送方种类多，发送方覆盖范围广等特点。数据通过气象监测设备、环境监测设备、噪声监控设备、火灾监测设备、治安监测设备等智能感知设备进行采集，再通过有线或无线的方式传输到网关，通过网关传输到相关业务部门的智能感知平台。

应用场景数据传输安全风险
恶意智能感知设备接入网关
智能感知设备接入到网关的传输通道和数据内容受到破坏
恶意智能感知平台接入网关
智能感知平台接入到网关的传输通道和数据内容受到破坏
应用场景数据传输安全解决方案
恶意智能感知设备/智能感知平台接入网关智能感知设备和智能感知平台的数据传输面临更多更强的安全风险和威胁，特别是智能感知设备，更容易遭到捕获、攻击时，造成恶意接入，从而破坏数据传输的安全性。
管理方面，可建立传输主体安全管理规范，明确身份鉴别、签名验签、数据传输接口等安全要求，建立密钥安全管理规范，明确密钥生成、分发、存取、更新、备份和销毁的流程和要求，建立权限安全管理规范，明确权限的申请、修改等管理要求；对于智能感知设备，建立入侵检测机制，及时对识别异常设备，加强智能感知设备账号管理，及时停用长时间未使用的账号，强化管理账号和口令安全，禁止使用弱口令，建立安全管理基线。
技术方面，可通过完整性校验、密钥双向校验等技术措施，降低服务器和客户端被恶意篡改或伪造的风险，优化权限策略，加强权限收敛，减少越权访问的风险；对于智能感知设备，使用适用于智能感知设备的入侵检测技术，实现入侵的监测、跟踪和响应。
数据传输过程中传输通道和数据内容受到破坏管理方面，可建立适用于智能感知设备、智能感知平台有线或无线传输的数据传输安全管理规范，明确传输通道加密、数据内容加密等安全要求。
技术方面，可使用适用于智能感知设备、智能感知平台有线或无线传输的方式，对传输通道和数据内容进行加密，并通过对加密算法、密钥强度进行优化和升级，提升数据传输过程中的安全性。

** 面向部门协同的数据传输**
应用场景数据传输需求
部门协同是指通过部门之间业务数据整合共享，推动跨层级、跨地域、跨部门、跨系统、跨业务的纵深联动、高效协同。发送方为提供数据的业务部门，接收方为需要数据的业务部门。传输的数据为部门之间整合共享的业务数据，具有主体数量较为有限，范围相对固定的特点。部门之间业务数据传输有两种方式，一种是提供数据的业务部门把传输给政务数据管理部门，再通过政务数据管理中心传输给需要数据的业务部门，另一种是提供数据的业务部门直接把数据传输给需要数据的业务部门。
应用场景数据传输安全风险
传输通道受到破坏
传输内容发生泄漏、窃取、篡改等
应用场景数据传输安全解决方案
传输通道受到破坏面向部门协同办公的主体数量较为有限，范围相对固定，且传输的多为业务数据，可根据业务数据采用专用网络或点对点专线进行传输。
管理方面，可建立专用网络和专线安全管理规范，明确专用网络和专线的安全管理要求。
技术方面，可通过部署防火墙等安全设备，应对外部攻击，做好内部网络的漏洞扫描、主动防御等，保证传输通道的安全，并对传输通道进行加密。
传输内容发生泄漏、窃取、篡改等管理方面，可建立数据传输安全管理规范，明确数据内容加密等安全要求，根据需要制定数据脱敏规则，定期对数据传输安全性和可靠性进行检查和评估。技术方面，可对数据内容进行加密，并通过对加密算法、密钥强度进行优化和升级，提升数据传输过程中的安全性，并根据需要对业务数据进行脱敏处理。
面向内部管理的数据传输应用场景数据传输需求
内部管理是指通过信息化的方式实现政府部门的内部管理，主要包括办公自动化系统、人事管理系统、财务管理系统等。发送方为政府部门负责相关工作的员工，接收方为相关业务部门。传输的数据为内部管理涉及的办公数据、人事数据、财务数据等，具有主体数量有限，范围固定的特点。负责相关工作的员工将数据通过客户端传输到业务部门的服务器，服务器将处理结果反馈。
应用场景数据传输安全风险
传输通道受到破坏
传输内容发生泄漏、窃取、篡改等
应用场景数据传输安全解决方案
传输通道受到破坏面内部管理的主体数量有限，范围固定，且传输的多位内部数据，可采用内部网络进行传输。
管理方面，可建立内部网络安全管理规范，明确内部网络的安全管理要求。技术方面，可通过部署防火墙等安全设备，应对外部攻击，做好内部网络的漏洞扫描、主动防御等，做好内部网络和外部网络的安全隔离，保证传输通道的安全，并对传输通道进行加密。
传输内容发生泄漏、窃取、篡改等管理方面，可建立数据传输安全管理规范，明确数据内容加密等安全要求，做好数据从内部向外部传输的管理要求，根据需要制定数据脱敏规则。技术方面，可对数据内容进行加密，并通过对加密算法、密钥强度进行优化和升级，提升数据传输过程中的安全性，做好数据从内部向外部传输的技术限制，并根据需要对业务数据进行脱敏处理。

应用场景实践

数字政府建设数据传输安全应用场景1需求分析
主体： 发送方是某地网信办，接收方是某地公安局及相关政府监管部门；
客体： 执法音频视频数据，多部门联动的视频会议数据，以及交换共享的相关数据；
行为： 通过租用运营商提供的专用线路来建立网信与公安、网信与政法、网信与通管局的链路数据通信。
解决方案
1、通过隐蔽自身设备及操作系统，隐蔽网络接口与隐蔽设备部署位置、隐蔽保护后端的网络资产设备的业务端口和漏洞不被探测或扫描发现，确保“安全堡垒”自身隐蔽、安全。
2、创新采用网络安全技术、数据安全技术、防绕过技术、安全隔离等技术，有效防止勒索攻击、 SQL注入攻击、CGI访问攻击、IIS服务器攻击、远程注入等“绕过攻击”，确保信息网内安全。
3、采用国密SM4加密算法，对数据进行随机加密无特征化处理，防止被劫持数据还原、通信中被恶意引流、无感知会话劫持等风险；采用创新的数据压缩+数据混淆+数据加密技术，以及数据流进行双向隔离技术，实现信息在传输中无特征、无感知、无法被网络外部侦测、过滤、劫持和数据还原，确保信息传输安全。
4、通过创新的“微隔离”技术，根据不同需要进行各种分级、分区匹配和控制，实施数据双向隔离，实现网络和数据在不同横向部门间的加密通信与多重加密；进行单个会话或多网段主机之间的微隔离与控制，实现对同一台主机、不同应用、不同业务间灵活的微隔离控制，保障信息在不同的范围内受控与交互。
数字政府建设数据传输安全应用场景2
需求分析
主体： 数据发送方是各种感知设备，数据接收方为感知平台；
客体： 涉及环境、气象、应急和城市监控等方面的数据；
行为： 感知设备将采集到的数据汇聚到网关，网关通过光纤将数据传输到边缘云服务器，或云平台，云平台将数据对接各应用。
解决方案
1、定期对感知设备进行巡检，排查设备非法接入；对每个感知设备，生成设备指纹，接入网络时进行设备认证，并且只有通过认证的设备才能接入网络。
2、定期对边缘计算物理防护设备进行巡检，制定进出边缘计算设备钥匙管理制度和人员信息安全培训；登录边缘计算设备采用Ukey进行身份鉴别，并且根据用户角色分配相关权限，对操作进行审计以及审计日志防篡改。
3、制定信息安全管理制度，结合法律法规，对违反信息安全给予相关处罚，加强用户信息安全培训，减少主动违反的动机。登录边缘计算设备采用Ukey进行身份鉴别，并且根据用户角色分配相关权限，对操作进行审计以及审计日志防篡改。
4、加强对租用网络供应商的管理，压实其责任；建立VPN通道，保证传输数据的机密性、完整性。
5、从人员、操作和敏感信息保护角度制定完善的管理制度，并定期多运维人员开展培训，避免内部人员引发信息安全事件；对重要数据，敏感数据使用密码机等设备进行机密性、完整性保护，对于关键操作使用签名验签服务器进行抗抵赖处理。
数字政府建设数据传输安全应用场景3
需求分析
主体： 发送方为数据共享平台的维护部门，接收方为资源数据的请求方/申请方；
客体： 实际的数据需求；
行为： 直通模式，代理模式，服务模式。
解决方案
1、为确保数据传输通道安全性，需采用加密的传输通道/协议（专网、专线、IPsec、Https等）；若传输的数据内容涉及敏感个人信息及重要数据的，还需对传输的数据内容进行脱敏处理，若因业务所需，则对传输的数据内容进行加密，并对数据进行签名，保障数据的机密性、完整性。
2、为确保数据传输通道可靠性，传输前需对传输数据的两端进行身份鉴别，在数据传输通道边界部署安全设备，随时监控数据过程中出现异常行为时，能进行有效阻断；在数据传输通道的关键节点部署冗余的网络设备及备用传输通道，保障数据传输出现故障时，有效保障数据传输服务。
3、数据交换过程中，需对整个交换事务进行有效记录，记录的信息包含但不限于：数据传输的身份鉴别信息、数据传输过程信息（IP，数据长度，传输时间等）、异常记录。
4、需建立有效的访问控制及数据行为监督的机制，确保数据传输双方的访问权限分配合理、合规，定期对数据交换的平台传输通道进行检查与评估，定期对数据行为日志进行分析，确保数据传输安全、可靠。
大数据安全权责划分
解决方案
1、利用LDAP/AD、Radius、第三方CA、自建CA、短信认证、硬件特征码、动态令牌多种安全认证方式并结合可信安全接入网关，通过多因素组合认证最大限度地保证了接入通信双方的合法性；加强数据安全管理的账号权限管理及审批，关注组织内部不同账号类型对生产数据库进行操作的权限管理及授权审批规则，有效防范内部人员恶意窃取、泄漏数据的风险。
2、针对政务数据资产和信息系统管理流程，建立数据资产和信息系统的安全管理规范，明确安全管理目标和安全原则，定义数据资产和信息系统的管理者和所应承担的职责；构建业务数据资产清单，建立数据资产和信息系统的分类分级方法和操作指南，明确分类分级的变更审批流程；依据数据主体分级要求建立相应的标记策略、访问控制、数据加解密、数据脱敏等安全机制和管控措施。
3、建立数据共享安全管理制度，开展数据共享活动前，对数据接受方的背景、资质进行审查;二是检验数据接受方的数据安全保护能力，保障数据共享后的安全水平不降低；签订安全协议或在合同中设置安全条款，明确双方安全责任。
数字政府建设数据传输安全应用场景5
需求分析
主体：发送方和接收方均为应急指挥系统省市县三级视频会议节点；
客体：应急指挥视频调度中的音视频实时数据流；
行为：采用IPSec协议保证网络中各节点的接入认证和传输安全；采用SM2算法进行密钥协商，采用SM4算法进行链路加密，采用SM3+MAC对网络报文进行完整性保护。
需求分析.1、在省级单位与地市级单位的专用线路中，通过直连方式部署吞吐率为13Gbps的万兆型主干路IPsec VPN安全网关，实现大数据量、低延时的数据安全传输，确保数据传输的机密性、完整性。2、在区县级单位侧部署千兆型IPsec VPN安全网关，与地市级单位侧进行直连，实现区县级单位与地市级单位数据传输的机密性、完整性。3、在省级节点部署视频调度系统传输加密管理平台，为各节点入网设备统一签发数字证书，基于SM2数字证书认证机制，实现各节点入网设备的身份认证。4、通过视频调度系统传输加密管理平台对各节点入网设备统一下发通信策略，统一密码算法和隧道协议，保证各节点之间通信协议的一致性。5、采用SM2+SM4+SM3+ESP隧道模式，在各节点之间，构建安全传输通道，组建虚拟专用网，各节点之间通信链路采用SM4算法进行加密，采用SM3+MAC保证通信报文的完整性。6、音视频数据流通过IPSec加密隧道进行传输，保证数据流的完整性和机密性，防止数据泄露和被恶意篡改。

参考文档

赛迪中国关键信息基础设施保护建设白皮书关基保护白皮书
美国关键基础设施信息安全框架 IPDRR
关键信息基础设施网络安全保护基本要求关基安全保护基本要求报批稿 2019.11.5