基于信息生命周期的政府信息服务安全保护模型研究*

朱 芳，郭家义，梁楷婕

（1.北京市大数据中心，北京 100101；2.北京数字认证股份有限公司，北京 100080）

0 引 言

各国、各级政府为公众、企业提供全面、及时、高效的政府信息服务是建设“服务型政府”的重要内容。在我国，基于网络的政府信息服务发起于20世纪90年代的“政府上网工程”，之后又经历了“政府信息公开”“政府数据开放”“互联网+政府信息服务”等过程。在“政府上网工程”中，通过政府网站建设，使人们增加了获取政府信息的渠道，也扩大了政府信息服务的范围。“政府上网工程”初期对外提供的政府信息内容少、更新差，难以满足企业、公众对政府信息的需求。21世纪初期，“政府信息公开”特别是政府信息网上公开提上议事日程，2008年5月1日，《中华人民共和国政府信息公开条例》（国务院令第492号）（以下简称《政府信息公开条例》）开始施行，标志着政府信息服务首次以法律法规的形式明确了服务的内容、范围、方式、方法和流程。随着政府信息公开的深入，人们发现，通过网上公开的政府信息仍然难以满足社会对政府信息的需求，“政府数据开放”热潮席卷各国。2009年1月，奥巴马政府颁布了《开放政府指令》，自此拉开了全球开放数据运动的帷幕[1]。在我国，“政府数据开放”逐渐得到重视，自上海第一个开通了政府数据开放网站后，北京、贵阳等城市政府纷纷开通了数据开放网站，为社会提供政府数据服务。近年来，随着互联网的普及、深入应用，与互联网的深度融合成为新的趋势，“互联网+政府信息服务”就是这一融合的成果。“互联网+政府信息服务”强调的是各部门政府信息的互联互通和信息整合，提供的不再是单部门的片段信息，而是经过整合后的信息（数据）服务。

随着政府信息服务的不断推进，政府信息服务过程中产生的安全问题也不断涌现，已经成为困扰政府信息服务提供者的重大问题。如何在政府信息服务和信息安全间建立有效的平衡，既能够满足政府信息用户对政府信息服务的需求，又能保障政府信息的安全，有效保护公众的个人隐私已经成为一个实践中的难点，也成为研究者研究的重点内容之一。

1 政府信息服务概述

《政府信息公开条例》明确指出，政府信息是指行政机关在履行职责过程中制作或者获取的、以一定形式记录和保存的信息[2]，使政府信息的概念以法规的形式加以明确。关于政府信息服务，从服务内容上看，有研究者将政府信息服务界定为政府公共信息服务[3-4]；从服务主体上看，有研究者提出政府信息服务的提供者是图书馆等公益性服务机构，更多的研究者则认为政府信息服务的提供者理所当然是政府信息的拥有者——政府部门，政府信息服务是政府对其所拥有的政府信息提供服务的过程[5-6]。周晓英等人[7]对于政府信息服务的理解是上述研究者中的典型代表，他们认为，政府信息服务是整个社会信息服务的一个子集，是指政府信息机构根据政府信息用户的具体需求，以方便的形式向政府信息用户提供政府信息的活动。本文采用周晓英等人对于政府信息服务的界定，就其内涵和外延进行下述讨论。

（1）政府信息服务主要形式：从目前政府信息服务的实践来看，政府信息服务主要是通过信息公开和数据开放两种形式开展的。《政府信息公开条例》中明确规定，信息公开是由国家行政机关和法律授权及委托的组织，主动向社会公众或依申请而向特定的个人或组织及时、准确地公开发布。《国务院办公厅关于印发政府网站发展指引的通知》（国办发〔2017〕47号）（以下简称《网站指引》）明确数据开放是以政府数据集的形式通过政府网站向社会提供，该数据集是机器可读的数据格式，并且数据集要保持更新，同时要提供数据接口，方便公众开发新的应用。

（2）政府信息服务方式：政府信息服务方式包括主动提供和依申请提供两种，前者一般是政府部门按照法律规定或者根据职能将本部门可以提供的信息（数据）主动通过各种渠道提供给社会。如《政府信息公开条例》明确行政机关应当主动公开“涉及公民、法人或者其他组织切身利益”等政府信息。后者则需要需求者按照特定的程序向政府部门申请，即“公民、法人或者其他组织还可以根据自身生产、生活、科研等特殊需要，向国务院部门、地方各级人民政府及县级以上地方人民政府部门申请获取相关政府信息。”[2]

（3）政府信息服务渠道多样化：传统上，“政府信息服务只能通过谈话、会议、文件、电话及电报等渠道来进行”[8]。随着互联网，特别是移动互联技术的发展，社会获取政府提供信息服务的渠道越来越多样化，目前，政府提供信息服务的主要渠道包括政府网站、电子邮件、政务微博、政务微信和政务App等。

（4）政府信息服务功能规范化：随着政府信息服务系统的建设，政府管理部门越来越重视政府信息服务系统的规范化建设。《网站指引》明确规定，政府网站功能主要包括信息发布、解读回应和互动交流，政府门户网站和具有对外服务职能的部门网站还要提供办事服务功能。《公共信息资源开放试点工作方案》明确要求各地要建设数据开放平台，数据开放平台应具备目录发布、数据汇集、安全存储、元数据发布、便捷检索、数据获取、统计分析、互动参与和应用展示等功能。

2 政府信息服务与安全问题

数据隐私和数据安全与政府信息服务发展并存，也是政府信息服务发展面临的重要挑战。Joseph等人[9]、Clarke等人[10]认为数据隐私是政府信息服务中的重要问题。在我国当前政策环境下，如何有效避免大数据应用可能带来的一系列隐私、安全和道德等问题是政府信息服务创新成功的关键[11]。从现实情况来看，政府和各界均非常重视政府信息服务安全保障问题，但从实践角度来看，政府信息服务安全实施的政策、法律保障环境和安全保障体系建设均有待加强。

（1）政府信息服务要保障信息安全。《政府信息公开条例》明确要求，行政机关公开政府信息，不得危及国家安全、公共安全、经济安全和社会稳定[2]。《网站指引》也明确，要在依法做好安全保障和隐私保护的前提下，通过政府网站集中规范向社会开放政府数据集；数据开放前要进行保密审查和脱敏处理，对过期失效的数据应及时清理更新或标注过期失效标识。

（2）政府信息服务的安全保障法律法规仍不健全。尽管在政府信息服务及服务过程中的信息安全问题得到了足够的重视，但开展政府信息服务的信息安全保护法律政策环境仍需健全。目前，我国只有《中华人民共和国政府信息公开条例》《中华人民共和国网络安全法》等部分法律法规对政府信息服务中的信息安全、个人信息保护做出相关规定，在政府信息采集、传输、存储、交换、加工、整合、服务和销毁等环节仍缺乏必要的法律保护。

（3）政府信息服务安全保障体系仍需加强。建立健全的政府信息服务安全保障体系需要整体考虑、顶层规划“政府信息服务”安全保障体系的建设，按照信息系统安全等级保护要求加强物理安全、网络安全、数据安全、系统安全和应用安全。在安全技术应用方面，要加强安全监控，开展安全预测与预警，将安全问题消灭在萌芽状态。在安全制度建设方面，要建立健全的安全管理制度、保密审查制度和安全管理工作的组织领导，从制度层面保障政府信息服务有效，顺利开展[12]。《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》针对政府信息服务涉及政府数据和个人信息的安全保障义务作出了明确指示，要求政府数据要率先落实安全保障责任，依法依规收集和使用政府数据，建立健全的数据安全管理制度，落实数据安全保护责任，委托他人存储、加工政府数据应当经过严格的批准程序。《关键信息基础设施安全保护条例》针对关键信息基础设施安全作出相关规定，要求依法加强关键信息基础设施安全保卫，为信息服务安全运行提供保障。

3 信息生命周期理论与政府信息服务生命周期研究

信息生命周期模型概念由霍顿首次提出，经过研究人员多年的共同研究、补充和完善，2004年，EMC公司对该模型进行了有效的集成，第一次将该理论方法应用于实践中。随后，不同的研究者针对此项内容开展了不同的研究，并对信息生命周期模型研究情况进行了系统的总结，如表1所示[13]。

表1 国内外相关信息生命周期模型

此外，一些研究者对政府信息资源的生命周期环节进行了研究，根据不同的研究基础，提出了不同的政府信息资源的生命周期环节。Veenstra等人[14]提出基于社区驱动的开放数据生命周期，包括识别、准备、发布、重用和评估5个阶段；朱晓峰[15]提出政府信息管理是具有生命周期的，这一周期包括产生、处理、应用和衰退4个阶段，具体包括政府信息采集、创造、存储、传播、交流、发布和销毁等环节；黄如花等人[16]认为政府数据开放的生命周期共分为5个相互关联、连续迭代的阶段，这5个阶段包括数据的创建与采集、组织与处理、存储与发布、发现与获取和增值与评价；粟湘等人[17]提出生命周期管理的层次模型，纵向划分为存储层、管理层和应用层，横向按时间顺序划分为创建、采集、组织、存储、利用和清理；常培等人[18]提出新的信息生命周期管理立方体模型，由技术基础维、软硬件层次结构维和信息生命周期维3个维度组成；白中英等人[19]在信息生命周期管理理论的基础上构建了三维模型，三维分别对应信息周期阶段、信息应用层次和系统架构层次，具有较高的系统稳定性、安全性和可扩展性。

本文根据政府信息（数据）服务的工作实际，认为政府信息服务包括信息（数据）采集、信息（数据）传输、信息（数据）存储、信息（数据）交换、信息（数据）加工、信息（数据）整合、信息（数据）服务和信息（数据）销毁等环节。

（1）信息（数据）采集：政府部门依法、依职能通过手工、半自动化、自动化手段采集的各类信息，也包括政府部门在办理业务过程中获取的信息和生产的信息。

（2）信息（数据）传输：将政府信息从采集终端传输到政府部门存储介质的过程，按照不同的网络可将政府信息传输网络划分为互联网、政务外网和政务内网。

（3）信息（数据）存储：以各种数据格式将政府信息保存在物理存储介质的过程，当前主流的存储方式包括数据库存储、NoSQL存储、文件存储、内存存储以及分布式存储等。

（4）信息（数据）交换：为了避免部门间重复采集数据，将一个部门获取的数据共享给其他部门的过程。

（5）信息（数据）加工：为了更加方便地管理数据，更好地提供信息（数据）服务，对政府信息（数据）进行加工处理的过程，包括数据标引、数据分类和数据标签等。

（6）信息（数据）整合：将来源于不同政府部门、不同数据机构的数据，按照一定规则并联在一起的过程。

（7）信息（数据）服务：经过整理、加工、整合后的数据通过政府信息服务系统向社会提供信息（数据）的过程。

（8）信息（数据）销毁：政府信息（数据）服务的最终环节，对于达到销毁条件的信息（数据）、存储介质和信息系统等要根据相关规则，依法依规开展销毁工作。

4 基于生命周期的政府信息服务安全保护技术框架构建

基于生命周期理论，本文提出了开展政府信息服务全生命周期安全运营的政府信息服务安全保护框架，将在本章节进行详细介绍。

4.1 基于生命周期的政府信息服务安全保护框架概述

如图1所示，基于生命周期的政府信息服务安全保护框架可以概括为以政府信息（数据）生命周期为核心，围绕人、地、事、物等安全要素，开展政府信息服务全生命周期安全运营。

（1）信息（数据）生命周期：即上节提出的政府信息服务生命周期。

（2）全生命周期安全要素：主要包括人、地、事、物等要素。其中，人包括信息服务中的数据提供人员、数据加工人员、服务提供人员、服务需求人员、服务系统开发人员、服务系统运维人员和服务系统管理人员等。地主要指政府信息服务系统和信息（数据）的存放地点，主要包括机房等。事主要指开展政府信息服务时的业务过程，主要包括数据处理、分析、服务提供等业务过程。物主要指在政府信息服务系统和信息（数据）运行过程中涉及的事物，主要包括主机（数据服务器、应用服务器等）、网络及网络设备（防火墙、路由器等）、终端、政府信息服务系统以及信息（数据）等。

（3）全生命周期安全运营：主要包括安全规划、安全建设、安全运行和安全监控。其中，安全规划包括安全定级、安全方案设计、安全设计评审、安全制度设计等。安全建设包括安全设备部署、安全策略实施、安全制度建设等。安全运行包括安全运行维护、安全审计等。安全监控包括安全进程监控、安全环境监控、安全数据库监控等。

4.2 基于生命周期的政府信息服务安全保护技术规划

基于数据生命周期的政府信息安全技术规划主要从以下层面开展说明。

4.2.1 数据采集安全

在数据生成/收集阶段，需要通过技术手段识别系统生成或收集的数据类型和安全级别，加强对数据质量的控制，确保政府数据资产管理系统的有效实施。

数据采集环节涉及的技术主要包括虚拟专用网络和SSL协议。虚拟专用网络将隧道技术、协议封装技术、密码技术和配置管理技术结合在一起，采用安全通道技术在源端和目的端建立安全的数据通道，在数据节点和管理节点之间布设VPN可以满足安全传输的需求；SSL协议可提供保密的、可靠的安全连接，并对端实体的鉴别采用非对称密码体制进行认证，具有数据加密、完整性检测和认证机制的功能，可保障数据采集全过程的安全传输。

数据采集安全规划设计需考虑：通过关键词匹配、内容识别等技术工具或手段，实现对产生/采集的数据进行有效识别、自动分类和标注，提高数据分类分级管理的效率，实施安全责任制、数据分类分级管理系统等分类管理。

4.2.2 数据传输安全

在数据传输过程中，必须保证数据的保密性和完整性，保证数据传输通道的可靠性。防止明文数据在传输过程中被第三方拦截、数据接收方或发送方对身份抵赖等安全风险造成的数据泄露和篡改。对数据进行机密性保护有两种方法：一种是基于访问控制，只有授权实体才能访问数据；另一种是任何实体都可以访问，但只有授权拥有某些机密信息的实体才能读懂数据。对数据进行完整性保护有两种形式：基于对称加密的数据完整性机制和基于非对称加密的数据完整性机制。可以通过数字证书认证机制进行数字签名和时间戳，保证数据信息的抗抵赖。

数据传输环节涉及的技术主要包括身份认证和传输加密。身份认证即在敏感数据传输前采用双因子认证措施对数据的接收端/发送端进行身份认证；传输加密即通过采用SM2、高级加密标准（Advanced Encryption Standard，AES）、安全散列算法（Secure Hash Algorithm，SHA）等加密及摘要算法对不同安全级别的数据传输进行加密保护。

数据传输安全规划设计需考虑在数据分类分级定义的基础上明确相关类型、级别的数据传输安全管理要求。设计数据传输安全机制或工具，保护传输过程中的数据和传输通道，监控数据传输过程中安全策略的实施情况，防止敏感数据泄露、数据损坏以及数据传输双方对身份抵赖的情况发生。

4.2.3 数据存储安全

在数据存储阶段，需要通过技术手段对存储数据的保密性、完整性和可用性进行保护，防止敏感数据泄露，重要数据损坏或丢失，确保相关管理制度的有效实施。

数据存储安全涉及的技术主要包括隐私保护技术、数据加密技术和备份与恢复技术。其中，隐私保护技术包括基于数据交换的隐私保护技术、基于数据加密的隐私保护技术和基于匿名化的隐私保护技术。数据加密技术包括静态数据加密机制和动态数据加密机制。完备的数据备份和恢复机制可保障数据的可用性和完整性，包括异地备份、磁盘阵列（Redundant Arrays of Independent Disks，RAID）、数据镜像和快照等技术。

数据存储安全规划设计需考虑设计数据存储安全机制，保证敏感信息、个人信息等重要数据在存储过程中的保密性。设计数据复制、备份与恢复机制，防止数据丢失。设计数据管理系统的运维审核机制，规范和监控数据库管理人员的维护管理过程。

4.2.4 数据交换安全

在数据交换安全阶段，为确保数据共享和交换管理措施的有效实施，以及各政府部门在通过数据交换和共享平台向第三方提供数据时的合规和安全，应采用加密交换和服务器证书，防止敏感数据泄露。

SSL证书是遵守SSL协议的服务器数字证书，在客户端与服务端之间搭建一条安全的加密通道，对两者之间交换的数据进行加密，确保传输数据不被泄露或篡改。保证双方传递信息的安全性，并且可以通过服务器证书验证所访问的网站是否真实。规范合理地部署SSL证书，可以提升HTTPS网站的安全性，保障数据交换安全。

数据交换安全规划设计需考虑设计边界安全保护机制或工具，以保障数据交换的安全。利用设计数据交换过程中的监控机制或工具对共享数据及数据交换服务过程进行监控，确保共享的数据未超出授权使用范围。

4.2.5 数据加工处理（整合）安全

通过对数据处理的安全控制，确保数据在授权范围内被访问和处理，防止数据被窃取、泄露和损坏，确保相关管理制度的有效实施。

数据加工处理（整合）安全涉及的技术主要包括数据脱敏和数据水印。数据脱敏即对查询、导出等业务场景下的敏感数据使用采取相应的脱敏措施，根据具体场景，脱敏方式可选静态和动态两种；数据水印即对以文件方式导出的敏感数据添加数字水印措施，水印内容可以根据具体场景和需求进行自定义。

数据处理安全规划设计需考虑设计统一的用户账号权限管理机制或工具，确保实体用户（指在政府系统中能够操作政府数据的所有人员、应用程序、系统、设备和组织，如访问数据的个人、操作和维护数据的管理员、需要数据服务的组织、收集和同步数据的套件、数据交换和共享的工具、访问数据资源的应用程序和设备等）在授权范围内使用数据资源。设计数据脱敏和数据泄露预防机制或工具，确保数据处理的结果对个人隐私、公司业务价值或国家安全不构成侵犯。

4.2.6 数据服务安全

通过对数据业务流程的安全控制，确保数据和业务在授权范围内的访问和处理，防止数据被窃取、泄露和损坏，确保相关管理制度的有效实施。

《网站指引》明确数据服务安全规划设计需考虑部署必要的安全防护设备，保护网站免受病毒感染、恶意攻击、网页篡改、漏洞利用等风险。设置严格的访问控制策略，防止后台管理系统暴露在互联网中。划分网络安全区域，建立安全访问路径。实现系统管理、内容编辑、内容审核等用户的权限分离。采用统一认证多维度建立对应关系，安全集成政府身份数据源，实现对政府人员、组织架构、应用信息的高效统一管理，通过授权模型实现应用系统的授权管理和用户访问控制策略授权，依据身份、角色、机构、岗位、用户组等不同维度建立统一的访问控制权限，实现用户权限与角色管理。

4.2.7 数据销毁安全

通过对数据销毁过程的安全控制，确保数据销毁后永久删除不可恢复，并制定科学的数据销毁流程。

数据销毁安全规划设计需考虑对拥有巨大数据量的数据存储介质进行管理。针对数据内容建立清除和净化机制。建立存储介质销毁措施和规程。

5 结 语

在保障信息安全和个人隐私的前提下，为社会提供政府信息服务是当前政府部门必须面对的问题。在政府信息服务中实现信息安全和个人隐私保护需要良好的安全框架作为顶层指导，建立技术、制度、管理三位一体的防控体系。基于生命周期理论，对政府信息服务的各个环节进行有针对性的安全建设，可保障政府信息服务过程中的信息安全。