随着数字政府建设不断深入,政务数据规模快速增长,海量数据的收集、存储、使用、加工、传输、提供、公开,增加了数字政府网络安全防护难度,亟需构建数字政府安全屏障。
国务院于2022年6月6日发布的《国务院关于加强数字政府建设的指导意见》强调了数字政府是数字中国的重要组成部分之一,是顺应历史趋势的必然选择以及战略选择。数字政府以数据为关键驱动,提供宏观层面更精准、更有效、更实时的决策分析支撑。数字政府的建设,是政务管理的数据化转型,涉及到各部门协同组织关系变革,重点在于数据管理部门,目前不少省份组建大数据局,负责承建省市的政务云系统及政务网络建设。政务网作为独立的专网环境,大量的政务数据高频流通,涉及到民生各个方面的数据,如人口信息、家庭信息、婚姻信息、学籍管理、交通管理、资产管理等。因此,政务专网的数据传输安全、端口安全尤其重要。
数字政府安全保障体系必须采用严格的数据安全技术措施来保证数据在传输过程的保密性,如通过数据加密、去标识化、数据脱敏、安全通道等技术措施。在数字政府网络区域边界进行有效的访问控制管理,删除多余或无效的访问控制规则,具备根据回话状态信息识别数据流进行有效控制管理。网络节点有效监控网络攻击行为,恶意代码进行检测和清除,维护恶意代码防护机制,部署安全审计设备。针对跨网数据传输,应建立从业务专网传输可开放且非涉密的数据至电子政务网的高效传输机制,并通过数据安全通道等技术措施来保障数据传输过程中的安全性,进一步构建协同高效的政府数字化履职能力体系。
1. 数字政府建设总体情况
数字政府是全面数字化发展的基础性、先导性工程,在促进数字经济、建设数字社会、完善数字生态中起到关键的引领作用。加强数字政府建设是创新政府治理理念和方式的重要举措,对加快转变政府职能,建设法治政府、廉洁政府、服务型政府意义重大。近年来,我国数字政府建设取得显著成效,以数字化促改革、以数字化助决策、以数字化提服务的理念不断深入人心,一体化政务服务和监管效能大幅度提升,“一网通办”、“最多跑一次”、“一网统管”、“一网协同”等服务管理新模式广泛普及,数字营商环境持续优化,在线政务服务水平跃居全球领先行列。
数字政府建设顶层设计不断加强。《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》明确提出加快建设数字经济、数字社会、数字政府,以数字化转型整体驱动生产方式、生活方式和治理方式变革。
随后广东、浙江、上海、江苏等主要省市纷纷发布数字政府建设相关的专项规划,积极加快推进数字政府建设。
数字政府建设体制机制逐步完善。全国各省市陆续成立数字政府建设领导小组和省级大数据管理局,加快构建体系化规范化的数字政府管理机构,统筹推进数字政府建设。广东省在全国率先推行首席数据官(CDO) 制度,并遴选 6 个省级政府部门、10 个地市级政府等同步开展试点,明确将“首席数据官”列为数字政府建设的第一负责人,构建了贯穿省、市、县三级的数字政府专人专岗梯度管理体系,为数字政府岗位责任制一体化部署做出了重大贡献。
数字政府建设协同合作持续深入。各省市积极推动数字政府建设优势互补、多元协作。上海市发布《上海市公共数据开放暂行办法》,建立公共数据开放的长效机制,优化公共数据开放平台建设,打造公共数据多元开放系统,在医疗、交通、文旅等领域广泛征集公共数据开放与开发利用试点项目,推动政企数据融合,引导数据挖掘赋能行业应用创新,合作形式更加多元,落地举措更加开放。
数字政府建设亟需构建安全屏障。随着数字政府建设不断深入,政务数据规模快速增长,海量数据的收集、存储、使用、加工、传输、提供、公开,增加了数字政府网络安全防护难度。同时,受内外部多重因素影响,数字政府面临的网络安全威胁日益凸显,网络攻击形势愈加明显,网络安全形势愈加严峻复杂,亟需构建数字政府的安全屏障。
2. 数据传输安全应用场景和解决方案
数字政府建设数据传输安全应用场景主要分为面向政务服务/政务公开、面向智慧城市、面向部门协同、面向内部管理的数据传输,各应用场景的主体、客体、行为和特点如表所示。
| 序号 | 应用场景 | 主体 | 客体 | 行为 | 特点 |
| 1 | 面向政务服务/政务公开的数据传输 | 企业或 个人、相关行政机关相关部门 | 企业数据和个人数据 / 政务公开信息 | 数据从政务服务客户端到政务服务服务器的双向传输 | 发送方/ 接收方请求量大且分布广泛 |
| 2 | 面向智慧城市的数据传输 | 数据源、相关业务部门 | 生态环境和社会治理相关的数据 | 数据通过智能感知设备进行采集,再传输到网关,通过网关传输到智能感知平台 | 发送方数量大、发送方种类多,发送方覆盖范围广 |
| 3 | 面向部门协同的数据传输 | 业务部门 | 业务数据 | 数据从业务部门传输给政务数据管理中心,再传输到需要数据的业务部门;数据直接从业务部门直接传输到需要数据的业务部门 | 主体数量较为有限,范围相对固定 |
| 4 | 面向内部管理的数据传输 | 政府部门负责相关工作的员工、相关业务部门 | 内部管理涉及的数据 | 数据从客户端传输到业务部门的服务器 | 主体数量有限, 范围固定 |
2.1 面向政务服务/政务公开的数据传输
(1) 应用场景数据传输需求
政务服务是指政府相关部门及事业单位通过政务服务平台,为企业、个人等提供的许可、确认、裁决、奖励、处罚等行政服务。发送方为企业或个人,接收方为相关业务部门,传输的数据为法人办事、个人办事过程中涉及的企业数据和个人数据,具有发送方请求量大且分布广泛的特点。法人或个人通过政务服务客户端将数据传输到相关业务部门的服务器,服务器将处理结果反馈。
政务公开是指行政机关在履行职责过程中制作或者获取的,以一定形式记录、保存的信息,及时、准确地公开发布。发送方为行政机关相关部门,接收方为企业或个人,传输的数据为政务公开信息,具有接收方请求量大且分布广泛的特点。行政机关相关部门通过政务服务服务器将数据传输到政务服务客户端,企业或个人可通过政务服务客户端查询和浏览。
(2) 应用场景数据传输安全风险
• 业务流程图
• 主要风险点
- 恶意客户端接入
- 数据从客户端传输到服务器的过程中发生泄漏、窃取、篡改等
- 恶意服务器调用
(3) 应用场景数据传输安全解决方案
- 恶意客户端接入、恶意服务器调用
客户端和服务器之间的数据传输通常使用客户端向服务器上传数据和服务器从客户端拉取数据两种方式,当客户端或服务器被恶意篡改或伪造时,会导致传输的数据发生泄漏、窃取、篡改等。
管理方面,可建立传输主体安全管理规范,明确身份鉴别、签名验签、数据传输接口等安全要求,建立密钥安全管理规范,明确密钥生成、分发、存取、更新、备份和销毁的流程和要求,建立权限安全管理规范,明确权限的申请、修改等管理要求。
技术方面,可采用客户端准入控制等方式,降低未授权客户端接入风险,通过客户端加壳、完整性校验、密钥双向校验等技术措施,降低客户端和服务器被恶意篡改或伪造的风险,优化权限策略,加强权限收敛,减少越权访问的风险。
- 数据从客户端传输到服务器的过程中发生泄漏、窃取、篡改等
管理方面,可建立数据传输安全管理规范,明确传输通道加密、数据内容加密等安全要求,建立传输缓存清除机制。
技术方面,可对传输通道和数据内容进行加密,并通过对加密算法、密钥强度进行优化和升级,提升数据传输过程中的安全性,在数据传输不完整或传输完成时清除缓存和历史缓存数据。
2.2 面向智慧城市的数据传输
(1) 应用场景数据传输需求
智慧城市依托智能感知网络采集气象、环境、噪声、火灾、治安等数据,为智慧城市生态环境和社会治理提供数据支撑。发送方为生态环境和社会治理数据源,接收方为生态环境、公安等相关业务部门,传输的数据为涉及生态环境和社会治理相关的数据,具有发送方数量大、发送方种类多,发送方覆盖范围广等特点。数据通过气象监测设备、环境监测设备、噪声监控设备、火灾监测设备、治安监测设备等智能感知设备进行采集,再通过有线或无线的方式传输到网关,通过网关传输到相关业务部门的智能感知平台。
(2) 应用场景数据传输安全风险
• 业务流程图
• 主要风险点
- 恶意智能感知设备接入网关
- 智能感知设备接入到网关的传输通道和数据内容受到破坏恶意智能感知平台接入网关
- 智能感知平台接入到网关的传输通道和数据内容受到破坏
(3) 应用场景数据传输安全解决方案
- 恶意智能感知设备/智能感知平台接入网关
智能感知设备和智能感知平台的数据传输面临更多更强的安全风险和威胁, 特别是智能感知设备,更容易遭到捕获、攻击时,造成恶意接入,从而破坏数据传输的安全性。
管理方面,可建立传输主体安全管理规范,明确身份鉴别、签名验签、数据传输接口等安全要求,建立密钥安全管理规范,明确密钥生成、分发、存取、更新、备份和销毁的流程和要求,建立权限安全管理规范,明确权限的申请、修改等管理要求;对于智能感知设备,建立入侵检测机制,及时对识别异常设备,加强智能感知设备账号管理,及时停用长时间未使用的账号,强化管理账号和口令安全,禁止使用弱口令,建立安全管理基线。
技术方面,可通过完整性校验、密钥双向校验等技术措施,降低服务器和客户端被恶意篡改或伪造的风险,优化权限策略,加强权限收敛,减少越权访问的风险;对于智能感知设备,使用适用于智能感知设备的入侵检测技术,实现入侵的监测、跟踪和响应。
- 数据传输过程中传输通道和数据内容受到破坏
管理方面,可建立适用于智能感知设备、智能感知平台有线或无线传输的数据传输安全管理规范,明确传输通道加密、数据内容加密等安全要求。
技术方面,可使用适用于智能感知设备、智能感知平台有线或无线传输的方式,对传输通道和数据内容进行加密,并通过对加密算法、密钥强度进行优化和升级,提升数据传输过程中的安全性。
2.3 面向部门协同的数据传输
(1) 应用场景数据传输需求
部门协同是指通过部门之间业务数据整合共享,推动跨层级、跨地域、跨部门、跨系统、跨业务的纵深联动、高效协同。发送方为提供数据的业务部门,接收方为需要数据的业务部门。传输的数据为部门之间整合共享的业务数据,具有主体数量较为有限,范围相对固定的特点。部门之间业务数据传输有两种方式,一种是提供数据的业务部门把传输给政务数据管理部门,再通过政务数据管理中心传输给需要数据的业务部门,另一种是提供数据的业务部门直接把数据传输给需要数据的业务部门。
(2) 应用场景数据传输安全风险
• 业务流程图
• 主要风险点
传输通道受到破坏
传输内容发生泄漏、窃取、篡改等
(3) 应用场景数据传输安全解决方案
- 传输通道受到破坏
面向部门协同办公的主体数量较为有限,范围相对固定,且传输的多为业务数据,可根据业务数据采用专用网络或点对点专线进行传输。
管理方面,可建立专用网络和专线安全管理规范,明确专用网络和专线的安全管理要求。
技术方面,可通过部署防火墙等安全设备,应对外部攻击,做好内部网络的漏洞扫描、主动防御等,保证传输通道的安全,并对传输通道进行加密。
- 传输内容发生泄漏、窃取、篡改等
管理方面,可建立数据传输安全管理规范,明确数据内容加密等安全要求, 根据需要制定数据脱敏规则,定期对数据传输安全性和可靠性进行检查和评估。
技术方面,可对数据内容进行加密,并通过对加密算法、密钥强度进行优化和升级,提升数据传输过程中的安全性,并根据需要对业务数据进行脱敏处理。
2.4 面向内部管理的数据传输
(1) 应用场景数据传输需求
内部管理是指通过信息化的方式实现政府部门的内部管理,主要包括办公自动化系统、人事管理系统、财务管理系统等。发送方为政府部门负责相关工作的员工,接收方为相关业务部门。传输的数据为内部管理涉及的办公数据、人事数据、财务数据等,具有主体数量有限,范围固定的特点。负责相关工作的员工将数据通过客户端传输到业务部门的服务器,服务器将处理结果反馈。
(2) 应用场景数据传输安全风险
• 业务流程图
• 主要风险点
传输通道受到破坏
传输内容发生泄漏、窃取、篡改等
(3) 应用场景数据传输安全解决方案
- 传输通道受到破坏
面内部管理的主体数量有限,范围固定,且传输的多位内部数据,可采用内部网络进行传输。
管理方面,可建立内部网络安全管理规范,明确内部网络的安全管理要求。
技术方面,可通过部署防火墙等安全设备,应对外部攻击,做好内部网络的漏洞扫描、主动防御等,做好内部网络和外部网络的安全隔离,保证传输通道的安全,并对传输通道进行加密。
- 传输内容发生泄漏、窃取、篡改等
管理方面,可建立数据传输安全管理规范,明确数据内容加密等安全要求, 做好数据从内部向外部传输的管理要求,根据需要制定数据脱敏规则。
技术方面,可对数据内容进行加密,并通过对加密算法、密钥强度进行优化和升级,提升数据传输过程中的安全性,做好数据从内部向外部传输的技术限制,并根据需要对业务数据进行脱敏处理。
3. 数字政府建设应用场景
3.1 数字政府建设数据传输安全应用场景 1
需求分析
- 发送方是某地网信办,接收方是某地公安局及相关政府监管部门;
- 执法音频视频数据,多部门联动的视频会议数据,以及交换共享的相关数据;
- 通过租用运营商提供的专用线路来建立网信与公安、网信与政法、网信与通管局的链路数据通信。
解决方案
- 通过隐蔽自身设备及操作系统,隐蔽网络接口与隐蔽设备部署位置、隐蔽保护后端的网络资产设备的业务端口和漏洞不被探测或扫描发现,确保“安全堡垒”自身隐蔽、安全。
- 创新采用网络安全技术、数据安全技术、防绕过技术、安全隔离等技术,有效防止勒索攻击、 SQL注入攻击、CGI访问攻击、IIS服务器攻击、 远程注入等“绕过攻击”,确保信息网内安全。
- 采用国密SM4加密算法,对数据进行随机加密无特征化处理,防止被劫持数据还原、通信中被恶意引流、无感知会话劫持等风险;采用创新的数据压缩+数据混淆+数据加密技术,以及数据流进行双向隔离技术,实现信息在传输中无特征、无感知、无法被网络外部侦测、过滤、劫持和数据还原,确保信息传输安全。
- 通过创新的“微隔离”技术,根据不同需要进行各种分级、分区匹配和控制,实施数据双向 隔离,实现网络和数据在不同横向部门间的加密通信与多重加密;进行单个会话或多网段主机之间的微隔离与控制,实现对同一台主机、不同应用、不同业务间灵活的微隔离控制,保障信息在不同的范围内受控与交互。
3.2 数字政府建设数据传输安全应用场景 2
需求分析
- 数据发送方是各种感知设备,数据接收方为感知平台;
- 涉及环境、气象、应急和城市监控等方面的数据;
- 行为:感知设备将采集到的数据汇聚到网关,网关通过光纤将数据传输到边缘云服务器,或云平台,云平台将数据对接各应用。
解决方案
- 定期对感知设备进行巡检,排查设备非法接入;对每个感知设备,生成设备指纹,接入网络时进行设备认证,并且只有通过认证的设备才能接入网络。
- 定期对边缘计算物理防护设备进行巡检,制定进出边缘计算设备钥匙管理制度和人员信息安全培训;登录边缘计算设备采用Ukey进行身份鉴别,并且根据用户角色分配相关权限,对操作进行审计以及审计日志防篡改。
- 制定信息安全管理制度,结合法律法规,对违反信息安全给予相关处罚,加强用户信息安全培训,减少主动违反的动机。登录边缘计算设备采用Ukey进行身份鉴别,并且根据用户角色分配相关权限,对操作进行审计以及审计日志防篡改。
- 加强对租用网络供应商的管理,压实其责任;建立VPN通道,保证传输数据的机密性、完整性。
- 从人员、操作和敏感信息保护角度制定完善的管理制度,并定期多运维人员开展培训,避免内部人员引发信息安全事件;对重要数据,敏感数据使用密码机等设备进行机密性、完整性保护,对于关键操作使用签名验签服务器进行抗抵赖处理。
3.3 数字政府建设数据传输安全应用场景 3
需求分析
- 发送方为数据共享平台的维护部门,接收方为资源数据的请求方/申请方;
- 实际的数据需求;
- 行为:直通模式,代理模式,服务模式。
解决方案
- 为确保数据传输通道安全性,需采用加密的传输通道/协议(专网、专线、IPsec、Ht tps等);若传输的数据内容涉及敏感个人信息及重要数据的,还需对传输的数据内容进行脱敏处理, 若因业务所需,则对传输的数据内容进行加密,并对数据进行签名,保障数据的机密性、完整性。
- 为确保数据传输通道可靠性,传输前需对传输数据的两端进行身份鉴别,在数据传输通道边界部署安全设备,随时监控数据过程中出现异常行为时,能进行有效阻断;在数据传输通道的关键节点部署冗余的网络设备及备用传输通道,保障数据传输出现故障时,有效保障数据传输服务。
- 数据交换过程中,需对整个交换事务进行有效记录,记录的信息包含但不限于:数据传输的身份鉴别信息、数据传输过程信息(IP,数据长度,传输时间等)、异常记录。
- 需建立有效的访问控制及数据行为监督的机制,确保数据传输双方的访问权限分配合理、合规,定期对数据交换的平台传输通道进行检查与评估,定期对数据行为日志进行分析,确保数据传输安全、可靠。
3.4 数字政府建设数据传输安全应用场景 4
需求分析
- 发送方为某市大数据局,接收方为某市各政府部门;
- 涉及业务系统资产地图中的数据;
- 行为:采用TLS保证通讯双方的信息安全,依赖TCP传输层来传输和接收数据,采用SM2、SM4进行链路数据加密,利用特有应答纠错机制保证数据包有序、完整到达。
解决方案
- 大数据局需要将对应的服务映射到政务外网上,通过政务外网进行安全访问,因部分系统地址不方便对外公开,因此需要通过链路加密及代理地址等进行安全访问,访问服务器应用/系 统时,需要实时监控资源访问流量、自动记录相关日志,如发现有可疑链路访问,则需要进行中断会话,以此对系统地址进行伪装/代理访问,减少来自内外部的威胁。
- 通过管理办法及网络技术将大数据局的网络与政务云的专网连接,同时隔绝外网的访问。
- 通过客户端进行代理端口访问,一是针对身份的多因素的认证,自动判别登录主体的合法性;二是对用户行为信息进行记录管理,提供追溯分析;三是通过敏感SQL管理、SQL注入防护和数据库漏洞防护等手段实现数据防勒索。
- 客户端和服务器之间可自定义增加脱敏规则,提供SHA1加密、MD5加密、AES加密、RSA 加密、随机映射、固定映射、替换、截断、截取,以及保留、取整、范围内浮动、比例内浮动等各种脱敏算法,支持分段配置不同的脱敏规则;客户端和服务器之间为国产加密算法(SM2、SM4)进行链路数据加密,任何途径抓取的流量包/数据都为脱敏加密。
本文摘编自工业和信息化部网络安全产业发展中心发布的《数据传输安全白皮书》,全文下载请留意后续。
平台典型场景密码应用设计和部署-228x171.jpg)
一条评论