文 | 中国电子技术标准化研究院网安中心副主任、高级工程师 胡影

近日，国家数据局发布《基于“一次性授权采集、多领域安全流通”场景的公共数据流通安全管理实践案例》（以下简称“案例”），案例以构建“一张表”为目标，针对智慧党建、数字政府等应用场景，采取数据分类分级、权限管控等安全措施，探索构建了“采集—共享—复用”的动态优化机制，以精细化管控的方式实现公共数据闭环流通服务。

一、以分类分级为抓手，以数据元目录构建为基础，做好公共数据流通安全管控

由于公共数据所涉主管部门众多，各部门对数据类别和级别的界定存在差异，在地方极易出现“数据共享难、重复录、报表繁”等突出问题。案例基于“一次采集、多次复用”的理念，提出了基于数据元目录清单的数据分类分级安全管控方案。参照国家标准，对公共数据进行分类分级，建立数据元目录清单，对同一类数据进行一次性采集，明确相应安全级别，对共享后数据出现的缺口进行精准补录，不断完善本地基础数据库，并基于不同安全级别确定不同的安全保护措施，做到数据共享过程中精细化安全管控。

二、以权限管控为基石，以多安全措施配合为保障，做好公共数据的精细化共享

针对海量数据集中存储后数据加密和高效访问需求难以兼顾的问题，案例参照国家标准提出了以权限管控为基础、多种安全措施相配套的安全保障方案。一是针对一般数据，采用安全通道传输数据、存储系统权限管控、安全监控和异常处置、定期数据安全操作审计和人员培训等措施；二是针对重要数据，提出在一般数据安全保障措施的基础上，在数据传输阶段采用加密通道传输和强身份验证等措施，在数据存储阶段采用存储加密、访问控制、安全审计、权限核查等措施，在数据使用阶段采用使用审批、限制查询量、全过程留痕、日志查验等措施。

三、以监控审计为核心，以流通环节全覆盖为目标，做好公共数据流通安全管理

针对部分人员数据安全意识不强和数据超范围使用等风险，案例采用了技术和管理相结合的管控方案，一是在事前事中环节，技术上搭建了安全监控平台，按照数据级别配置监控策略，对数据共享等操作行为进行监控和告警，管理上提出人员上岗前的安全培训要求，培训考核通过后方可上岗，并要求数据处理相关人员每年接受培训；二是事后环节，技术上提出数据操作行为的安全审计要求，对照法规开展自查审计，核查相关账号的日志信息，确保没有超权限处理数据行为。管理上制定了数据安全事件应急预案，针对不同的安全事件等级采取不同的应急处置措施，做到安全保障资源有效利用和合理管控。

综上所述，案例以建立数据元目录清单方式，结合精细化权限管控策略，以及数据加密、应急预案等管理和技术保障措施，解决数据重复性采集、多部门管理界定不清等问题，使公共数据高效流动起来。案例验证了以数据分类分级和权限管控为核心的数据流通安全方案的可行性，可为其他地区数据流通利用提供参考。