强化数据管理 保障政务信息安全--访湖南省人民政府发展研究中心总工程

admin管理员组

文章数量:1534370

2024年6月5日发(作者：)

产业观察

Industry Observations

强化数据管理　保障政务信息安全

——访湖南省人民政府发展研究中心总工程师柳松

本刊记者　唐　莉，王　超

随着国家和地方数据共享交换平台的建设，数据

正在源源不断、常态化、大量地聚集到共享平台或通

过共享平台交换。数据的不断归集与交换将带来诸多

亟待解决的安全问题，尤其是数据的安全性是国家政

务部门极度关注的问题，也是影响国家政务信息资源

进行共享交换、业务开展的重要因素。

国家标准GB/T 39477—2020《信息安全技术 政务

信息共享 数据安全技术要求》（以下简称《标准》）

是为解决政务信息共享交换环节数据泄露、数据滥用

等问题而专门制定，是指导政务信息共享交换数据安

全体系建设，增强政务信息共享交换的数据安全保障

的重要支撑。

作为政务信息化领域首个出台的安全国标，不仅

柳松，高级工程师，湖南省人民政府发展研

究中心（湖南省人民政府政务服务中心）总工程师，

信息资源部部长（兼）。长期从事湖南省电子政

务外网的建设、运维和安全防护工作，现从事湖

南省政务信息共享共用工作。

为政务数据在应用方面的安全保护提供借鉴，也为政

务数据治理体系建设和政务大数据安全应用提供指导，

对动态流转场景下的政务数据应用具有普适性和指引

性，同时也标志着我国政务数据安全保护工作迈入了

“有章可依”的新阶段。

为进一步了解《标准》在政务系统的运营情况，

信息安全与通信保密杂志社特邀湖南省人民政府发展

研究中心总工程师柳松，就《标准》的评价、运行、措施、

布局等方面，进行了深入沟通和交流。

36

信息安全与通信保密 JUNE

2021

栏目责编：李天婴

记者：请您谈谈，贵单位目前在政务数据

共享安全方面的整体情况。

柳松：湖南省政务数据共享交换平台（以下

简称共享平台）是湖南省政务大数据中心的重要

组成部分，依托湖南省电子政务外网统一云平台

（以下简称云平台）建设，是我省政务数据共享

交换的核心基础设施，由政务信息目录系统、数

据共享交换系统、数据共享开发门户网站组成。

截至今年4月底，已对接12个国家部委、14个

市州、75个省直部门，累计交换任务4853个，

交换数据100亿条，其中定期更新的有26个部

门513类数据，累计落地数据88亿条。共享平

台与国家部委、省直单位和市州采用部署前置机

进行数据交换的方式构建共享体系，详见下图1。

图1　湖南省数据共享交换平台

湖南省政务数据共享总体上安全可控。

一是云平台安全防控措施相对严密，为数

据安全提供7层安全保障。2019年11月，云平

台已通过等保三级测评,并完成公安备案工作。

网络出口区域防护提供了第一层安全保障。

部署了主动防御设备ADS防DDoS、AC流控、

物理出口防火墙，通过防DDoS和流量清洗设备

可以过滤将进入外部数据中心的非法流量。还有

NPM溯源系统、IDS入侵检测，提供攻击识别判

断的技术手段，从而可以人工干预主动拦截。

云平台防护提供了第二层安全保障。其中

主动防御型设备有物理出口防火墙、IPS、防病毒、

WAF，对进入数据中心的Web、Ftp、Mail等类

型应用数据包进行主动分析和拦截。

云核心区域防护提供了第三层安全保障。

通过TAP交换机对各个关键网络区域（互联网、

城域网、外部数据中心、内部数据中心）的流

量进行流量镜像或者利用Sflow等技术，对部

署的AILPHA大数据智能安全分析平台、DAS-

APT攻击（网络战）预警平台设备、流量深度

威胁监测平台、IDS、NPM等分析型设备提供流

量数据，从而实现安全事件智能分析和预判，

利用旁路部署漏洞扫描系统、日志审计系统、

SOC设备和系统，来实现安全漏洞主动发现、

事件回溯、证据留存等。

云租户内部网络防护提供了第四层安全保

JUNE

2021

信息安全与通信保密

37

产业观察

Industry Observations

障。部署了VFW虚拟防火墙作为租户网络边界

进行端口发布、安全策略、内网防护、攻击事

件识别和主动防护等安全控制。

云租户主机防护提供了第五层安全保障。

云平台为租户分别提供了必选的安恒EDR、360

无代理杀毒软件和可选的高重APT防勒索、网

页防篡改等安全服务，可以保障租户最终主机

和应用端的病毒、补丁更新、应用防护。同时

为租户运维接入提供了安全的堡垒机方式管理

指定授权的云主机，可对租户运维操作日志进

行图像审计。

云租户数据库防护提供了第六层安全保障。

云平台为数据库划分单独数据库专区，应用主

机访问数据库专区的访问通过数据库防火墙进

行访问控制，并可对租户申请和授权的数据库

实例通过审计设备进行安全审计。云平台还具

备郴州、永州双灾备中心为数据共享提供数据

备份服务，为数据安全提供了第七层安全保障。

二是共享平台进一步强化数据安全防护策

略。2020年12月, 共享平台已通过等保三级测评,

并完成公安备案工作。

强化数据库防护设备。部署数据库审计设

备、数据库防火墙设备、数据库保险箱设备各

2台,用于强化对政务大数据中心数据库的流量

审计、数据防护和数据加密。目前已经将大数

据中心下面的数据资源中心的oracle rac和共享

交换平台的中心库以及自然人库都做了审计、

防火墙配置。共享交换平台中心库对部分部门

采集来的数据配置了保险箱（数据加密）。综

合运用了多种应用级防护策略。强化加密数据

通信策略，前置机与共享平台中心节点核心区

38

信息安全与通信保密 JUNE

2021

之间采用SFTP服务实现数据通信，采用HTTPS

方式用于交互信息。

强化用户管理。通过统一预设系统管理员、

系统操作员、系统维护员、系统监控员四类用

户角色，严格配置用户操作权限，实现用户通

过指定的IP使用指定的账号密码在限定的时间

和系统资源内对指定的应用服务器和数据库进

行授权操作。

强化数据传递安全管理。使用SFTP技术实

现共享平台核心区与前置机之间数据同步；数

据库同步功能采用事前防范、事中报警、事后

追踪的技术，确保数据在整个传输过程中可审、

可查、可追溯，在断电、网络中断、业务中断

等多种繁杂情况下，用户数据不丢失；同步到

核心区的原始数据先通过大数据技术进行分布

式备份，如发现问题，利用备份的原始数据进

行恢复；支持用户密码、隐私敏感信息加密存

储和传递；支持双机热备，当主机系统出现异

常时，能够切换到备机上运行。

强化数据安全审计管理。提供操作日志功

能，针对重点事件进行操作日志记录回溯功能，

包括操作名、用户名、操作时间、主机IP、详细

信息，详细信息中包括了时间发起者信息描述和

结果；提供记录用户登录、注销、锁定、解锁等

操作的安全日志；所有日志可查看可追溯到具体

用户、具体操作行为，且不可人为修改和删除，

可支持第三方安全审计系统的查询和处理。

记者：请您评价一下《信息安全技术 政务

信息共享 数据安全技术要求》国家标准（以下

简称国家标准）。

柳松：一是内容很全面。首先，国家标准

建立了政务信息共享交换业务模型，明确了共

享数据提供方、共享数据交换服务方和共享数

据使用方三方在共享数据准备、共享交换和共

享数据使用3个阶段的业务管理职责和安全技

术要求框架。然后，从共享数据准备安全（数

据归集、分级分类、目录管理、数据维护4个

环节）、共享交换安全（用户管理、授权管理、

数据导出、数据交换、数据导入5个环节）、共

享数据使用安全（数据处理、数据存储、数据

备份、数据销毁、数据使用监管5个环节）以

及基础设施安全（通用要求、基础网络、共享

交换云平台、前置交换子系统、资源共享网站5

个方面）分类进行了详细阐述，提出了明确的

要求。最后附录中还明确了政务信息共享交换

平台体系和一般技术框架以及直通模式、代理

模式和服务模式3种共享交换模式。整个标准

涵盖了政务数据共享各个环节的各个具体要点，

内容很全面丰富。

二是出台很及时。目前，贵州（《贵州省

大数据开放共享安全管理规范》）、福建（《福

建省政务数据共享管理实施细则》）、浙江（《浙

江省公共数据开放与安全管理办法》）等省份

出台类似的标准或规范性文件，有力地推动了

当地数据共享安全工作的发展。但这些规范性

文件是结合当地某项工作制定的，数据共享的

各个环节没有全盘考虑，安全技术要求不够明

确，具有明显的局限性。国家标准正好填补了

政务数据共享安全技术标准的空白，必将进一

步规范和促进我省政务信息共享安全建设。

三是指导性很强。国家标准明确了政务数

栏目责编：李天婴

据共享业务模型的3个阶段以及各个阶段共享

数据提供单位、共享数据服务单位和共享数据

使用单位的工作职责，进一步厘清了各有关部

门的数据安全责任边界，为政务数据共享实施

提供了有力的工作指导，也将为各地推动制定

相关法律提供依据。另外，政务信息共享安全

技术要求框架中技术要点及具体技术要求，为

我国政务数据共享安全方案编制提供了较为全

面的遵循，也为相关IT服务厂商定制开发相关

产品提供了较为全面的指导，必将促进我国政

务数据共享安全技术解决方案的跨越式发展。

记者：该标准的出台对贵单位的数据安全

工作有哪些助力和影响？

柳松：一是助推我省数据安全工作规范化

建设。近年来，我中心作为湖南省政务数据共

享的技术支撑单位，深感责任重大，高度重视

政务数据共享安全工作，虽做了大量的安全防

范保障工作，仍倍感压力。通过学习国家标准，

我们增强了工作信心，找准了工作重点，为下

一步开展规范化运营工作找到了努力的方向。

主要有3个方面的工作：探索如何补强全省特

别是信息化相对薄弱的单位共享网络节点的安

全；对照国家标准安全技术要求补齐我省共享

平台的工作短板；参考国家标准结合我省实际

制定我省相关地方标准。

二是助推我省政务数据共享工作规范化发

展。长期以来，我省政务信息共享工作在探索

中完善，数据提供单位共享的数据质量普遍不

高，需要投入大量人力物力开展数据归集、分

级分类、目录管理、数据维护等工作，而相关

JUNE

2021

信息安全与通信保密

39

产业观察

Industry Observations

单位也没有充足的经费保障，导致许多单位不

愿意共享数据。国家标准正式实施后，将有助

于改变这一被动局面。各有关单位以此为依据，

向相关省委省政府争取项目和经费支持，从民

生突出领域入手，全面规范梳理本单位相关政

务数据，完成本单位或本行业内部的分级分类

工作、数据治理工作和政务信息资源编目工作，

对政务数据进行正本清源的清理，从源头上保

障政务数据的完整性和准确性。

记者：为加强新时期政务数据共享工作，

贵单位是如何探索工作新机制，不断健全优化

数据共享措施的？

柳松：一是进一步厘清政务数据共享参与

各方的工作边界。采取灵活务实的态度，倡导

信息化较强的单位和协助信息化较弱的单位开

展数据归集、分级分类、目录管理、数据维护

等共享数据准备安全相关工作，全省一盘棋统

筹推进共享的政务数据的源头治理工作。

二是进一步完善政务数据技术标准。参照

国家政务数据分级分类有关要求，制订我省政

务数据分级分类管理工作实施方案和计划。参

照国家政务信息资源目录管理有关要求，明确

政务信息资源目录编码规则，进一步落实共享

交换平台与行业部门目录编制以及市州目录系

统指导对接工作。按照“一数一源”原则，联

合业务数据主管单位参照国家部委要求制定政

务数据的元数据标准，建立我省政务大数据中

心政务数据标准。

三是进一步完善政务数据共享网站功能。

以优化用户体验推动网站功能提质改造，增加

40

信息安全与通信保密 JUNE

2021

网站的凝聚力；以强化共享绩效考核调动各共

享单位工作积极性，增加网站影响力；以促进

政务信息资源目录发布和资源挂接推动单位内

部数据治理，增加网站的竞争力。

四是探索利用区块链技术创新开展“可用

不可见”的数据共享模式。探索利用区块链底

层技术，推动政务数据跨部门、跨区域共享利

用，解决数据提供方“不愿交”、数据使用方“不

敢用”等问题。开展公共信息资源开发利用试点，

创新构建政务数据“可查不可存、可用不可见”

的共享共用应用场景。

记者：请您谈谈，为提升政务数据共享能力，

贵部门的整体部署和落实情况。

柳松：一是强化数据归集。2020年，我中

心在省发改委、省自然资源厅、省生态环境厅、

省民政厅、省人社厅、省交通厅、省应急管理

厅、省卫健委、省市场监管局9个政务服务事

项较多的省直部门和长沙市、衡阳市、张家界

市、湘西州4个市州开展了政务数据共享共用

试点工作，共理了2419条目录，确定可发布

目录1744条，累计已发布目录1797条，挂

接了424条政务信息资源，实现了对挂接数

据的共享申请、审批、联调等工作在湖南省

政务数据共享网站上的全流程办理，取得了

初步成效。今年将继续扩大试点范围，以进

一步完善省政务数据共享网站功能为抓手，

抓紧对接省直单位推动政务服务“三张清单”

数据落地工作，加强与市州目录系统对接联调，

加大对省直主要单位和14个市州主要数据的归

集力度，实现政务有关数据全省一张网的逻辑

集中发布。

二是完善标准规范。探索解决数据共享流

程线下申请与线上申请如何有效结合的难题。

针对各地各部门反馈的数据共享申请流程复

杂、效率不高的问题，编写了《湖南省数据共

享交换平台体系（政务外网）总体框架（征求

意见稿）》,优化了省政务数据共享网站功能，

研究制定了数据共享线上申请的模版，确定了

各部门在省政务数据共享网站开展共享服务的

责任边界，逐步推进政务数据共享流程以线上

线下申请相结合的方式向以线上申请为主的方

式转变。

初步实现了试点市州的省市两级政务数据

的共享联调。收集研究了国家、其他省份、12

个市州政务信息资源目录编目规则，编写了《湖

南省政务信息资源目录编目规则》《湖南省政

务信息资源目录管理系统 省市（州）级联对接

实施方案（征求意见稿）》《湖南省政务信息

资源目录管理系统 省市（州）级联接口规范（征

求意见稿）》，提出了省市信息资源目录编目

规则不一致的临时解决方案。目前，已完成了

栏目责编：李天婴

省市（州）目录系统级联对接的14个接口的开

发和部署，组织湘西州、湘潭市和衡阳市完成

测试环境的联调和正式环境的部署，正在开始

上传市州政务信息资源。

正在调研细化政务数据共享共用标准规范。

以DB43/T 1754—2020《政务大数据中心数据交

换规范》地方标准为基础，组建专业团队深入

开展工作调研，进一步研究完善政务信息资源

目录编码规则、政务信息共享交换平台技术规

范以及市州工作对接指南、政务数据治理及分

级分类管理实施细则规范、政务大数据中心数

据安全管理制度规范等。

三是筹划共享平台提质改造。一方面，利

用云平台扩容升级和信创工作契机，我们编制

了省政务大数据中心和共享平台提质改造方案。

目前已进入立项程序。另一方面，依托省电子

政务外网和我省十大技术攻关的区块链底层技

术研发项目，建设安全、自主可控、覆盖省市

县三级的政务链底层平台，打造政务区块链示

范应用，形成政务区块链标准规范体系，推动

建立政务数据共享区块链应用服务。

JUNE

2021

信息安全与通信保密

41

本文标签： 数据政务共享工作平台