2016年12月,国务院印发《“十三五”国家信息化规划》,其中讲到要加快信息化发展,适应把握引领经济发展新常态。数据资源工作是信息化发展的重中之重。2017年,杭州、广州、沈阳、成都、合肥等多个城市纷纷设立大数据管理局,归集处理政务民生数据,提高政府服务效率。

回看过去一年,杭州成绩斐然。自2017年8月启动“数据归集共享”大会战至今(2018.1.5),归集59个部门近293.6亿条信息,几乎覆盖杭州所有政务数据,85%的新设企业可按“一件事”标准进行网上办理,公民仅凭“身份证”可办事项203项。

作为数据归集共享先进城市,杭州还推出了全国首个人工智能数据平台“祥云”DRMS、首个数据安全规范《杭州市数据安全保障体系规划(2018-2020)》,为后续发展打下了坚实基础。

杭州市如何做到又快又好发展?ISC中国行杭州站后,安全内参有幸采访了杭州市“数据归集共享”大会战的推动者、数据资源管理局数据资源处齐同军处长,以下为采访实录。

图:齐同军,博士,教授级高级工程师,注册规划师。杭州市数据资源管理局数据资源处处长,杭州市政府津贴专家,杭州市计算机学会理事。

破解数据上云的三重阻碍:安全、权利本位、法律约束

当前我们没有全部上云,还在陆续上云的过程中。我们认为“上云”比放在你自己那里安全,为什么?因为云的安全级别肯定是高于自己机房的安全级别。举一个例子,你是把钱放在你家枕头下面安全?还是放在银行更安全呢?肯定是放在银行更安全。为什么你不把钱存在自己家里呢?说明你更相信银行。对数据来说,云就相当于银行,而你放在自己家里的机房,就相当于你把钱放在自己的房间里,实际上是非常不安全的。

权利削弱方面,我觉得只有共享出去的数据,才能产生更大的价值。数据在你一个市局,产生的价值是很小的,如果把它共享给其它市局,能产生很多的价值。举个例子,社保的数据放在社保局,它只起到了“管理”作用,如果共享给其它市局,老百姓就可以少跑很多次。

比如说你去投标,需要提供社保证明,以前你就要到社保局去看,实际上我们可以把这个数据直接共享给招标部门,让他直接可以查询到,而不用让企业/老百姓再去跑。其价值不仅仅是少跑腿,过去你到社保局去停个车,说不定又违章了,现在就不会;你不用开车去跑了,还可以减少用度和碳排放;要去处理一个违章,要跑到交警、城管那里去处理,处理的过程中没有地方停车,结果处理完之前违章出来又被贴了一张。少跑腿会带来很多的便利,这个就是数据共享带来的附加值。

这种附加值只是表面的,我们希望将来数据共享能够产生更大的价值。用电数据放在国家电网,只是管理电的使用、收费、用电量,但这个用电量数据共享出来,用来计算有多少疑似僵尸企业(开办了但没有运行),克强总理就把它命名为“克强指数”。怎么判断呢?我用工商数据和国家电网数据进行比对,很容易发现某些企业连一度电都没有用,你说这种企业有工作人员吗?怎么连个灯也不开?有生产吗?它们就可以定为疑似僵尸企业。电网数据拿来评判企业,肯定不是国家电网能够做的,它的数据共享出来,就完全得到了更大的其它价值。

数据共享是趋势,也是必然的。法律依据当前国家也有一些,像去年5月国务院出台的《政务信息系统整合共享实施方案》,里面就明确规定,除了涉密数据其它都要拿出来共享。当然,有些数据是有条件共享,需要申请,共享方式不一样,但是总的来说是有依据的。

国家立法比较慢,地方立法也有先后。像贵州已经立法了,其它城市还在可能走向立法的这个过程,暂时没有那么快,各个省市都有相应的管理办法出台,相当于政府的规范性文件,这些也是依据。杭州徐立毅市长提出,所有政府数据将“无条件归集,有条件使用”,“无条件归集”就是要保证所有的数据能够全部拿出来共享。

数据上云的安全管理之道

我们用了很多的手段去保证数据的安全性。一开始我们做了一套顶层设计的数据安全规划,这个规划已经通过专家评测,正在进行修订,修订好后全市征求意见就正式发布。

其次,我们还出台了《政务数据资源共享管理暂行办法》,从整体上对数据安全进行了考量。下一步我们会基于数据的全生命周期安全,出很多实施文件,确保这个数据在各个环节能够越来越安全。我们认为数据共享是必然的,不能因为安全问题就不共享了,只是采取的手段、方式方法需要斟酌。

数据安全和传统网络安全、系统安全很不同,主要是保证不泄漏,隐私受到保护。

目前我们有多种数据共享方案,一种是提供数据,对方保存,我们这边也保存;第二种是接口调用的方式,我开发一个接口,可以随时来调用它的数据,不一定要存储;第三种是页面查询的方式,大家都可以到这个页面上去查相关的数据,只要看一看就可以。

数据共享平台做了严格的权限控制,所有访问地址都是经过实名认证的,非实名认证的地址全部禁止访问。实名认证地址有访问次数限制,比如公安要用社保的数据,我们根据2016年每天办件量统计一个数据,高峰值一天150,那我就定160,对方每天只能访问160次。同时,你访问160次是有平均时间的,我们对时间也会有所限制。假如说你一分钟访问了10次,我已经给你停掉了。有的数据是不允许你调用的,你这个身份去调用了这个数据,那就会被禁止。

传统安全的手段,现在国内常见的安全产品我们也都用了,包括虚拟主机、防火墙、入侵检测、安全审计等。当前每天防范的攻击数还是很多的,量非常大,一般他们攻击的也就是我们对外的这一台。

安全维护主要靠各个安全公司。我们是外包服务,有驻场人员。不同安全产品选择了不同公司,因为每个安全公司做的不是很全面,我们选择各个方向上的优质企业来做服务,争取吸取各自的强项,所有面都没有短板。

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。