摘 要
政務部門之間根據政府管理和政務服務的需求開展數據共享。做好數據共享的授權管理是保障數據安全的前提和基礎。訪問控制策略不合理,將限制數據共享工作的推進, 無法滿足數據使用需求。通過分析當前數據共享授權方式存在的問題,提出政務數據共享的3 種授權決策機制,并說明其適用的場景,以期為進一步促進政務數據安全高效共享提供有益參考。
隨著數字經濟引領經濟增長的作用日趨顯著,數據共享得到持續推進。近年來,國務院及相關部門相繼下發了《政務信息資源共享管理暫行辦法》(國發〔2016〕51 號)、《政務信息系統整合共享實施方案》(國辦發〔2017〕39 號)等一系列文件指導政務數據資源整合共享工作。根據國務院部署的相關工作要求,按照“先聯通、后提高”的原則,加快各級數據共享交換平臺建設,推進政務信息系統整合共享,全面化解互聯互通難、信息共享難、業務協同難的問題。
在國家的大力推動下,國家數據共享平臺體系建設已基本完成。政務數據共享在助力“放管服”改革、推進政務服務“一網通辦”業務, 在支撐我國數字政府建設中起到了重要作用。同時,隨著數據共享的深入推進,數據供給和數據需求對接成為持續發展需要解決的問題。
在不同的業務場景中,數據共享的內容和要求不盡相同。例如,政務服務“一網通辦”業務, 某一政務服務事項所需共享的數據是確定的, 實現“一網通辦”須在開展數據共享的基礎上進行業務協同。在智慧城市中出現火災、安全生產事故等應急事件時,數據共享的及時性是第一位的。我們需要進一步加強數據共享安全管理,構建安全與效率兼顧的數據共享決策機制,希望在一定程度解決上述問題。
政務數據共享來源于各級政務部門,具有數據類型復雜、應用范圍廣泛等特點,通常為來自不同組織或部門、不同身份與目的的用戶提供服務。分布式的系統部署、開放的網絡環境、復雜的數據應用和眾多的用戶訪問使數據在保密性、完整性、可用性等方面面臨更大的挑戰。數據保護難度加大、個人隱私泄露的風險加劇,因此需要加強數據的訪問控制。
一是用戶身份鑒別。數據的共享意味著會有更多的用戶可以訪問數據。大量的用戶和復雜的共享應用環境,導致需要更準確地識別和鑒別用戶身份,而傳統基于集中數據存儲的用戶身份鑒別難以滿足安全需求。
二是用戶訪問控制。在數據共享應用場景中,由于存在大量未知的用戶和數據,預先設置角色及權限十分困難。即使事先對用戶進行權限分類,但由于用戶角色眾多,難以精細化和細粒度地控制每個角色的實際權限,從而導致無法準確地為每個用戶指定其可以訪問的數據范圍。
1
相關工作
目前,國內外在數據共享領域中對訪問控制的研究和工作較多。2019 年 12 月,美國發布《聯邦數據戰略與 2020 年行動計劃》,確立了政府范圍內數據共享開放和數據安全的框架原則以及 40 項數據管理實踐 。2017 年 8 月,英國發布《英國新數據保護法案:改革計劃》, 提出新的法案以打造安全可靠的網絡空間,在推動英國與歐盟國家之間數據流動的同時,進一步強化數字經濟時代的個人數據保護 。2016 年 9 月,我國發布的《政務信息資源共享管理暫行辦法》中明確提出“建立機制,保障安全”,各政務部門和共享平臺管理單位應加強對共享信息采集、共享、使用全過程的身份鑒別、授權管理和安全保障,確保共享信息安全。2018 年 7 月,國家發展改革委發布《國家數據共享交換平臺(政務外網)服務接口申請、授權和使用管理暫行辦法》,明確了數據共享的申請、授權、使用的行為和流程。2021 年 6 月, 我國正式出臺《中華人民共和國數據安全法》, 在第五章政務數據安全與開放中明確提出“對在履行職責中知悉的個人隱私、個人信息、商業秘密、保密商務信息等數據應當依法予以保密,不得泄露或者非法向他人提供”“建立健全數據安全管理制度,落實數據安全保護責任, 保障政務數據安全”。
從技術上,業界提出了多種數據授權訪問控制方案。2005 年,屬性基加密(Attribute-Based Encryption,ABE)被首次提出,為數據隱私保護與訪問控制的融合提供支持 。區塊鏈技術(Blockchain Technology) 首次出現在中本聰 發表的《比特幣:一種點對點的電子現金系統》, 余益民等提出基于區塊鏈的政務信息資源共享模型,利用智能合約實現數據的訪問控制。
本文主要討論在目前國家數據共享平臺體系架構下,建立良好的數據授權管控機制,實現合法用戶在正確的時間用正確的方式對數據進行正確的操作,保證數據被安全合規地使用。數據授權管控機制的建立需要兼顧安全與效率, 既要滿足安全要求,又要簡化操作流程;既要滿足對數據資源訪問的細粒度控制要求,又要兼顧自然災害、公共衛生事件等公共安全事件發生時達到數據快速共享的要求。
2
當前政務數據共享的授權方式
自 2017 年以來,各部門各地方開展政務信息共享,主要采用“申請授權方式”。數據共享申請授權流程如圖 1 所示。
圖 1 數據共享申請授權流程
數據使用方分析業務數據需求,發起數據使用申請。申請時需要明確數據申請理由、數據使用用途、數據使用期限等。數據共享申請由數據共享平臺統一受理,開展合規性審查, 并將需要部門審批的申請進行轉辦。數據提供方對數據申請進行授權,如果不予授權應說明理由。數據共享平臺將授權結果統一反饋給數據使用方。
3
存在的問題
針對政務數據共享涉及部門多、層級多、應用場景多的特點,當前的政務數據共享授權模式能夠滿足細粒度訪問控制需求,靈活性高。但是該授權方式也存在一定的問題。一是申請審批操作量大。該授權方式屬于“一事一議” 制度,授權主體為提供部門的某一數據資源, 授權對象為政務部門的某一業務系統。對于數據提供部門,特別是對于民政部、公安部、發改委等提供數據資源價值較高的國家部門來說, 申請審批操作量較大。二是跨層級授權審批流程長。國家數據共享體系由國家、省、市三級數據共享平臺組成。中央部門數據資源向市級政務部門提供共享服務時,需要數據使用單位、數據提供單位、國家、省、市三級數據共享平臺管理單位共 5 個相關方參與授權業務辦理,審批環節多、流程長,全流程辦理時間長,效率低。三是授權標準不統一。目前各部門未明確統一的授權標準,部分部門針對不同省份提交的相似的數據共享申請存在選擇性授權的情況。
4
數據共享授權機制設計
為解決當前數據共享授權模式存在的問題, 兼顧安全與效率,實現數據共享的靈活、及時、精準授權,基于已有的申請授權數據共享授權機制,提出基于屬性授權和應急授權兩種數據共享安全管控機制,分別對應不同的數據共享需求和使用場景。
4.1 基于申請授權的安全管控機制
在現有的申請授權方式的基礎上,對申請數據授權操作流程進行優化,提出基于申請授權的安全管控機制。
數據使用方分析業務數據需求,發起數據使用申請。申請時需要明確數據申請理由、數據使用用途、數據使用期限等。需求提出方數據主管部門應審核數據使用需求的合理性,主要關注的問題為數據消費是否是部門真實需求, 資產使用范圍、使用期限是否合理。
數據提供方對數據共享申請進行授權,如果不予授權應說明理由。如果需求方提出的數據共享申請中涉及隱私數據,需要數據提供方隱私專家對個人數據使用的必要性、合規性進行審核。
數據共享管理方負責統一受理共享申請, 對申請進行合規性審查,并對提供部門進行催辦,匯總統計各政務部門的申請、授權和使用情況。如果對共享條件、申請理由、授權結果有異議,可由數字政府建設領導小組協調解決。
基于申請授權的安全管控機制的定義:
(1)設 DR 表示數據資源,O 表示機構,S 表示業務系統,R 表示申請,D 表示授權時間,A 表示提供方審批結果。
(2)圖片圖片函數表示機構圖片提出的業務系統圖片使用數據資源圖片的申請。
(3)圖片表示數據提供方對申請的審批結果,審批結果 T 為審批通過,F 為駁回,S 為駁回補正。審批時間范圍應根據業務需求確定, 最長不超過 3 年。
(4)圖片函數根據使用方及其業務系統、提供方對資源的審批結果是否為 T,當前時間是否在授權時間范圍內幾個條件的值進行判斷,如果返回 true 則允許訪問,返回 false 則拒絕訪問。
目前國家數據共享平臺體系由多級平臺構成,從申請受理到授權采用逐級審批的方式。為了簡化數據共享授權流程,建議以發布資源的數據共享平臺為中心,進行統一的申請受理, 減少多級平臺逐級受理和轉辦的工作量。整體授權以被授權開展服務代理的共享平臺為中心, 面向本級部門開展申請受理,并自動向數據提供方所在平臺備案。
4.2 基于屬性授權的安全管控機制
各政務部門面向群眾和企業提供的政務服務事項基本一致,某一政務服務事項的業務流程和所需數據的共享流程也基本一致。因此, 可以建立“場景化”授權方式。首先,由業務方主管部門與數據提供方線下協商,對某一業務場景的數據供需達成一致;其次,由數據提供方設定數據面向該業務場景進行授權;最后, 由業務主管部門負責確認哪些下屬部門、哪些業務系統用于辦理該場景的業務。通過“場景化” 授權的方式,已納入授權的部門和業務系統無需再提出資源申請,即可開展數據共享使用。
為了滿足“場景化”授權的需求,建立基于屬性授權的安全控制機制。在數據提供方和數據使用方之間,建立一套基于資源屬性、用戶屬性、業務系統屬性的授權規則,實現對數據訪問權限的控制。3 種屬性關鍵要素關系如圖2 所示。
圖 2 共享屬性關鍵要素關系
數據資源屬性包括數據資源的 URL、訪問地址、類型、業務主題等。
用戶即是數據的使用方,用戶屬性主要定義使用方的身份和特征,主要包括組織、身份、角色等。
業務系統是使用數據的系統,系統屬性主要定義系統名稱,包括 IP 地址、所屬業務等。
基于屬性授權的安全管控機制的定義:
(1)設 DR 表示數據資源,O 表示機構,S 表示業務系統,D 表示授權時間。
(2)圖片圖片為數據資源 DR、機構 O、業務系統 S 的預定義屬性。
(3)Attr(DR)、Attr(O) Attr(S) 分別表示數據資源 DR、機構 O、業務系統 S 的屬性賦值關系, 分別為:
(4)數據資源訪問判斷規則:
圖片函數 f 根據 DR、O、S 的屬性值進行判斷,如果與圖片的預定義屬性相匹配,則返回 true, 允許訪問,否則返回 false,拒絕訪問。
(5)基于屬性的構建訪問控制策略,每一條策略可以包括一個或者多個規則,每個規則包含資源、機構或系統的屬性值。訪問控制決策通過匹配資源、用戶或系統的屬性得出。
基于屬性授權的安全控制機制相對申請授權方式采用的“一事一議”的方式更加便捷, 減少了數據使用部門申請操作和數據提供部門授權操作的次數,大大提升了數據共享授權的效率,同時又能夠滿足數據提供方授權安全管控要求。
4.3 基于應急授權的安全管控機制
當自然災害、公共衛生事件、社會安全事件等公共安全事件發生時,需要多個政務部門相互協同,采取應急處置措施予以應對,提升行政效率,把事件可能造成的人員和財產損失降到最低限度。開展應急處置,需要不同部門之間的協調配合,而保持信息的流通和共享是最重要的。
申請授權機制由各相關方在平臺上進行申請授權操作,按要求在 10 個工作日內完成申請授權審批流程,時間上無法滿足公共安全事件數據共享的要求。屬性授權機制通過預設數據屬性確定授權范圍,無法滿足應急場景下的突發性需求。因此,本文新提出應急授權安全管控機制,由公共安全事件應急處置主管部門提出數據共享需求,數字政府建設領導小組負責審批,數據管理部門進行具體操作,快速完成數據使用授權工作。應急授權的時效為 14 天。如果后續還需要繼續使用數據,則由數據使用部門按照申請授權流程提出數據使用申請,補辦相關手續。
基于應急授權的安全管控機制的定義與基于申請授權的安全管控機制的定義基本一致, 核心區別主要包括以下兩個方面:
(1)圖片表示數字政府建設領導小組的審批結果,而不是提供方的審批結果,審批結果 T 為審批通過,F 為駁回,S 為駁回補正;
(2)D 表示授權時間,應急授權審批時間較短,不能大于 14 天。
應急授權的方式首先考慮共享授權效率問題,實現公共安全事件應急處置所需數據的快速共享,同時又兼顧了數據提供部門的數據審批權。
在政務信息共享工作中,應用需求和使用場景多樣,3 種不同的訪問控制機制應協同使用。
首先,應采用屬性授權方式,數據提供方明確數據屬性,根據已知的需求和場景確定授權范圍。如數據使用方確定其在授權范圍內,則無需申請直接進行數據共享應用。其次,針對不在屬性授權范圍內的共享需求,數據使用方采用申請授權方式提交授權申請,經過數據提供方的授權審批后,開展數據的共享應用。當數據提供方明確該需求具有普遍性,并能夠確定其用戶和系統范圍時,可將其設置到數據屬性中, 轉化為屬性授權方式。最后,當出現突發事件時, 采用應急授權方式,盡快獲取數據使用權限。數據使用方在確定該數據資源仍需繼續使用時, 需要與數據提供方協商,確定后續采用屬性授權或申請授權的方式進行權限的重新獲取。3 種不同的訪問控制機制三位一體,實現數據共享的精準、安全、快速授權,更好地支撐政務數據共享需求。
5
共享授權決策模型
申請授權主體基于自身業務場景和數據共享需求,選擇適用的申請授權機制進行申請操作。申請授權主體在進行數據訪問決策時,數據共享平臺需對授權情況進行驗證,以判斷是否允許數據訪問。數據共享授權決策模型如圖 3 所示。
策略實施點是授權訪問控制的實體,可攔截數據訪問請求,并向策略決策點發送授權請求,根據授權響應結果,執行允許或者拒絕用戶請求的操作。
策略決策點利用策略規則集判斷用戶的訪問請求是否滿足要求,從而決定是許可還是拒絕,并將策略決策結果反饋給策略實施點。
圖 3 數據共享授權決策模型
數據共享在進行數據訪問決策時,需要統籌考慮 3 種授權機制,進行綜合決策。其中, 應急授權機制決策優先級最高,屬性授權次之, 最后進行申請授權決策判斷,其判斷優先級如表 1 所示。
表 1 授權機制的決策優先級
6 結 語
在新時代政府數字化轉型的背景下, 政務信息共享的需求越來越多, 應用場景逐步增加, 加強數據共享安全的措施和手段正逐步落地。本文為解決不同場景下數據需求和供給有效對接的問題, 根據政務數據共享3種主要的應用場景, 提出相應的數據共享安全管控機制,并進一步提出了共享授權決策模型。根據本文的分析總結,數據提供方應在數據分類分級和敏感數據標識的基礎上, 設置數據的共享屬性和安全屬性;數據共享管理單位要做好政務信息共享組織和管理流程設計,針對不同數據共享需求和數據應用場景,選擇合理的數據共享訪問控制方式。數據使用方依據數據授權決策模型獲取數據, 依法依規合理使用數據資源。
