2020 年新冠疫情发生以来,在新型冠状病毒肺炎疫情防控工作中,数字政府发挥了积极作用,同时疫情防控也为政务数据共享开放带来新动力。截至 2020 年 10 月,据北京市政务服务局数据统计,目前北京已有涵盖 55 个政府部门的千余件高频服务事项实现“指尖办”。
海量政务数据在云端“堆积”,谁为云端数据安全保驾护航?“我们团队的方案是给数据安装一个保险柜。” 北京成众志科技有限公司总经理丁爱民告诉记者,“把数据控制权锁定到数据保险柜中,数据保险柜的控制权由政府安全责任人管控,政务数据‘确权上锁、离柜用不了’”。
数据控制权保护是“刚需”和“痛点”
据了解,目前多数政府信息化项目的研发和维护是由外包方完成的,一些项目部署在政务云上,而政务云的建设和运维也由外包方完成。记者就此问题采访某IT项目开发负责人,他表示,自己的团队在承接项目中是可以看到后台全部数据,并且可以从存储设施中复制带出全部数据,在使用政务云情况下,甚至可通过镜像和快照技术,将全部数据整体打包带出。
确保数据由政府数据安全责任人员控制,在外包过程中实现政府数据的控制权保护,防范外包方、外包方技术人员窃取、泄露政府数据,是实现政府数据有序共享和保护个人信息的“刚需”。 10 月 29 日,中国共产党第十九届五中全会公报提出,坚定不移建设数字中国,加快数字化发展。数字政府是数字中国的重要组成部分,党的十九届四中全会把数字政府建设作为重要举措,提出要推进数字政府建设,加强数据有序共享,依法保护个人信息。
在数字政府信息化建设、运维采用服务外包过程中,如何防范服务提供商窃取政务数据、侵犯个人隐私等方面的数据安全风险? 业界普遍认为,数据控制权保护是关键也是难点。
黑科技1:用户数据“确权上锁”,打造了电子数据确权控权技术抓手。
北京成众志科技有限公司总经理丁爱民告诉记者,“数据保险柜是一款用于保护用户对电子数据的控制权的数据安全产品,为政府数据有序共享和保护个人信息提供了有效的技术支撑。”
丁爱民介绍,数据保险柜包含数权锁、防盗门、数权堡垒三个组件,数权锁是保护政府数据安全责任人员的数据控制权的技术抓手,防盗门是信息系统存取数据的安全管控出入口,数权堡垒是执行数权锁设定的数据管控安全策略的数据保密编解码器。
数据保险柜以秘密分割为框架,将用户数据分割后,根据不同的访问权限,采用不同的策略进行隔离和加密,生成与数据保险柜锁定的混沌码,该混沌码只有通过其锁定的数据保险柜才能解码,混沌码离开其锁定的数据保险柜无法解码,这是政务数据“确权上锁、离柜用不了”的基本原理。
丁爱民介绍,在国家监察委、北京市、雄安等一些重要项目中,数据保险柜已经成为政府数据安全责任人员管控政府数据的技术抓手,有效保障了政府数据安全责任人员对数据的控制权,将数据控制权从服务外包方技术人员转移到政府数据安全责任人员,实现了政府数据防窃取、防失控扩散。
黑科技2:用户数据“不可见”,打造了建设数据安全责任制的技术抓手。
根据中共中央、国务院 2020 年 4 月 9 日印发的《关于构建更加完善的要素市场化配置体制机制的意见》,数据作为一种生产要素单独列出上升为新的生产要素,对数字经济发展起到基础性和支撑性的关键作用。
在数据要素市场化大背景下,数字政府迫切需要建立政府数据安全责任制,加强政务数据有序共享,依法保护个人信息,防范政务数据非法复制和盗卖,防范个人信息泄露。但由于电子数据的所有权和控制权存在着“两权分离”的特性,电子数据在采集、传输、存储、应用过程中,易于复制和修改,确保所有权人对电子数据的控制权一直以来是信息安全领域的技术难题之一,导致数据安全责任制更多停留在人工管理层面,安全风险点分散到数据安全责任人员、软件研发人员、系统运维人员、数据服务人员、基础设施提供商及其工作人员等等多个方面,安全责任很难定位、追溯。
数据保险柜有效解决了所有权和控制权“两权分离”问题。数据保险柜通过数据锁将数据控制权锁定到安全责任人,通过数权堡垒将用户数据分割加密为混沌码,在网络、存储设施中,用户数据以混沌码形态存在,具备“可传不可见、可存不可见”的特点,用户数据对于技术管理人员而言处于“不可见”状态,从而无法窃取、非法复制、泄露用户数据,技术管理人员失去了对用户数据的实际控制能力。
丁爱民表示,数据保险柜能够确保数据安全责任人员对数据的实际控制权,将安全责任风险点集中到安全责任人员,便于安全责任管控和追溯,是建立数据安全责任机制的技术抓手。据了解,数据保险柜产品符合等保2. 0 数据保密存储要求和云计算镜像和快照保护安全要求,可在涉密信息系统中使用。其中,数据保险柜——“成众志安全网关DSESS-CVS880 V1.0”产品已获得公安部监制颁发的《计算机信息系统安全(三级)专用产品销售许可证》和国家保密科技测评中心颁发的《涉密信息系统产品检测证书》,产品入围中央政府采购网软件协议供货目录。