交通运输政务数据分类分级方法研究_白紫秀.pdf

资源描述

1、808|信息安全研究Journal of Information Security Research第 9 卷第 8 期 2023 年 8 月Vol.9 No.8 Aug.2023DOI:10.12379/j.issn.2096-1057.2023.08.13 收稿日期:2 0 2 2-1 1-1 8 基金项目:陕西省交通运输厅2 0 2 1年度交通科研项目(2 1-3 2 R);交通运输部科学研究院科研项目(2 0 2 1 1 2 0 3)通信作者:王涛(w a n g t a o m o t c a t s.a c.c n)引用格式:白紫秀,王涛,郭明多,等.交通运输政务数据分

2、类分级方法研究J.信息安全研究,2 0 2 3,9(8):8 0 88 1 3交通运输政务数据分类分级方法研究白紫秀王涛郭明多曹剑东尚赞娣(交通运输部科学研究院北京 1 0 0 0 2 9)(b a i z x m o t c a t s.a c.c n)C l a s s i f i c a t i o na n dG r a d i n gM e t h o do fT r a n s p o r t a t i o nG o v e r n m e n tD a t aB a iZ i x i u,W a n gT a o,G u oM i n g d u o,C a oJ

3、i a n d o n g,a n dS h a n gZ a n d i(C h i n aA c a d e m yo fT r a n s p o r t a t i o nS c i e n c e,B e i j i n g1 0 0 0 2 9)A b s t r a c t I no r d e r t op r o m o t e t h eo p e ns h a r i n go f g o v e r n m e n t d a t a a n d i m p r o v ed a t a s e c u r i t y,i t i su r g e n t t os o

4、 l v e t h e c l a s s i f i c a t i o na n dg r a d i n go f g o v e r n m e n t d a t a r e s o u r c e s.T h i sp a p e r s u mm a r i z e dt h ee x p e r i e n c eo fd o m e s t i ca n df o r e i g ng o v e r n m e n td a t ac l a s s i f i c a t i o na n dg r a d i n g,u s i n gah y b r i dc l

5、a s s i f i c a t i o n m e t h o d c o m b i n i n g s u r f a c e a n d l i n e t o b u i l d t r a n s p o r t a t i o n g o v e r n m e n t d a t ac l a s s i f i c a t i o nf r a m e w o r k.Af i v e-l e v e ld a t ag r a d i n g m o d e lw a sf o r m e db a s eo nt h ed a t ag r a d i n gm e t

6、 h o do fd a t as e c u r i t yr i s ka n a l y s i s,a n dt h ee f f e c to ft h em e t h o dw a sv e r i f i e db yi n t r o d u c i n ga c t u a l d a t a.T r a n s p o r t a t i o ng o v e r n m e n t d a t a c l a s s i f i c a t i o na n dg r a d i n gm e t h o dc a ne f f e c t i v e l ya s s

7、 i s tt h er e l e v a n td e p a r t m e n t st oc a r r yo u tc l a s s i f i c a t i o na n dg r a d i n go fg o v e r n m e n td a t a,a sw e l la si m p o r t a n td a t ap r o t e c t i o n,a n dp r o m o t i n gt h el e v e lo fi n d u s t r yd a t as e c u r i t yg o v e r n a n c ea n ds e

8、c u r i t yt e c h n o l o g ya d v a n c e m e n t.K e yw o r d s t r a n s p o r t a t i o n;c l a s s i f i c a t i o na n dg r a d i n g;g o v e r n m e n td a t a;d a t as e c u r i t y;d a t ar e s o u r c es h a r i n g摘要为了促进政务数据开放共享,提升数据安全能力,政务数据资源的分类分级亟待解决.总结国内外政务数据分类分级经验,采用面线结合的混合分类方法搭建交

9、通运输政务数据分类框架;并基于数据安全风险分析的数据分级方法,形成数据分级模型,通过引入实际数据验证方法的效果.交通运输政务数据分类分级方法能够有效协助行业相关部门开展政务数据分类分级和重要数据保护,促进行业数据安全治理水平和安全防护技术进步.关键词交通运输;分类分级;政务数据;数据安全;数据资源共享中图法分类号 T P 3 0 9.2 近年来,数据泄露、过度采集滥用和非法交易等事件频发,数据安全面临着严峻的挑战.交通运输政务数据涉及大量重要数据和个人敏感信息,对数据进行有效分类和分级是加强数据精细化管理、平衡数据安全和共享使用的关键.美国政府在2 0世纪就出台了数据分类分级网址 http

10、:/|809技术应用Technical Applications的相关政策,克林顿、小布什、奥巴马政府先后发布了关于国家安全信息分类的总统令,修正并完善数据分类分级法案.美国对于政府涉密数据和政府非涉密但敏感数据的分类分级管理对我国政府数据实施分类分级管理具有很强的借鉴意义1.我国高度重视数据分类分级工作,法规政策及相关标准中对于数据的分类分级给出了通用的方法论.国家标准信息技术大数据数据分类指南提出了数据通用的分类方法论,包括分类过程、分类视角、分类维度和分类方法2.中华人民共和国数据安全法(以下简称数据安全法)明确提出,数据级别主要取决于数据发生泄露、篡改、丢失或滥用后的影

11、响对象、影响广度、影响深度等因素3.国家标准信息安全技术网络数据分类分级要求(征求意见稿)明确了数据分类分级的原则、方法,界定关键概念的范围,提出通用的数据分类分级保护要求4.李玉亮5从数据分类分级制度以及政务、金融、工业等行业的分类分级实践总结了数据分类分级的现状与发展,并给出制度和技术上的建议.陈兵等人6以数据安全法为中心,提出依据数据特征,统筹数据的发展和安全,做好数据的分类分级及其制度实施.张琼丽等人7和袁康等人8认为数据分类分级工作应以满足网络安全等级保护等合规工作为基础进行开展.陈杰等人9以汽车数据为案例,提出企业在数据保护建设中的数据分类分级管理路径和数据全生命周期进行分

12、类分级管理的建议.此外,学者们对教育数据1 0、港口数据1 1、计量大数据1 2、司法数据1 3等不同行业数据的分类分级方法和制度进行了深入的研究.交通运输政务数据的分类分级研究仍处于探索阶段.尽管对数据分类分级方法有了一定的研究,且多个行业已经开展数据分类分级实践.但由于分类分级工作与业务的强相关性,其他行业的成功经验很难直接应用到交通运输行业.因此,开展交通运输政务数据分类分级工作对于防范数据安全风险,提升数据深度开发利用具有重要意义.1 交通运输政务数据分类方法研究1.1交通运输政务数据分类框架为了满足应用和实践要求,本文在分类上立足于业务应用视角,以交通运输领域部门职责及相关业务数据为

13、基础,采用面线结合的混合分类法搭建数据分类框架1 4,如图1所示:图1 交通运输政务数据分类框架1.2 交通运输政务数据分类类别本文针对交通运输行业公路交通、道路运输、城市交通、水路交通、综合管理和其他行业管理等业务领域的管理职责,以自上而下、面线分类相结合进行业务分类,包括公路建设管理、道路客运管理、水运管理、海事管理和其他管理等4 1项分类,其中结合交通运输新业态发展,细化了收费公路、轨道交通行车组织、轨道交通客运组织等业务类别,增加了互联网共享自行车、小微型客车租赁等新业务类别.在业务范围内从管理对象、业务行为的主题和数据的信息类别3个不同维度分别进行分类.具体类别如表1所示.1.3 交

14、通运输政务数据分类实例以道路运输行业为例,进行交通政务数据分类,常见的道路运输政务数据分类结果如表2所示.2 交通运输政务数据分级方法研究2.1 分级对象交通运输政务数据的管理对象主要为字段、数据表或数据文件,分级应该考虑字段和数据表或文件2种层级.本文将政务数据安全分级最小颗粒度定为字段,一般情况下数据表或数据文件的整体安全级别应不低于所包含字段最高级别,同时综合考虑数据所包含字段关联后的影响、数据规模、数据范围、数据时效性等因素,确定数据安全级别.2.2 分级原则按照数据分级保护的思路,交通运输政务数据应按照“边界清晰、就高从严、综合研判、动态更新”的分级原则进行,如表3所示.810|信

15、息安全研究Journal of Information Security Research第 9 卷第 8 期 2023 年 8 月Vol.9 No.8 Aug.2023表1 交通运输政务数据分类类别业务领域具体业务类别管理对象行为主题信息类别公路交通公路建设市场管理、公路养护运行管理、公路工程项目管理、收费公路、其他道路运输道路货运管理、道路客运管理、道路运输相关业务、其他城市交通城市公共汽电车、客运轮渡、轨道交通设施监测养护、轨道交通设备运行维修、轨道交通行车组织、轨道交通客运组织、轨道交通运行环境、出租汽车管理、互联网共享自行车、小微型客车租赁、其他水路交通水运管理、航道养护运

16、行管理、水运工程、港口生产水路运输服务、海事管理、救助打捞管理、其他综合管理行政办公管理、政策法规管理、综合规划管理、财务管理、审计管理、人事教育、安全应急管理、质量监督管理、科技管理、网络安全管理、国际合作管理、节能环保管理、党务管理、离退休干部管理、交通新闻宣传管理、其他其他行业管理其他人员、组织、运输装备、基础设施、货物、环境、项目、资金、制度、事件、其他行政许可事项、行政执法事项、行政征收事项、公众服务事项、运行管理事项、基本建设事项、行业监管事项、信用管理事项、应急管理事项、一般政务管理基本信息、动态信息、统计信息表2 道路运输政务数据分类参考示例表政务数据政务数据分类业务领域分类具

17、体业务分类管理对象分类行为主题分类信息类别分类班线线路信息道路运输道路客运管理运输装备运行管理事项基本信息道路货运营运车辆基本信息道路运输道路货运管理运输装备行业监管事项基本信息道路货运经营业户基本信息道路运输道路货运管理组织行业监管事项基本信息班次营运信息道路运输道路客运管理组织公众服务事项基本信息客运站信息道路运输道路客运管理基础设施公众服务事项基本信息机动车维修企业信息道路运输道路运输相关业务组织行业监管事项基本信息重点营运车辆动态轨迹信息道路运输其他运输装备行业监管事项动态信息表3 交通运输政务数据分级原则分级原则具体内容边界清晰数据分级的各级别应界限明确,不同级别的数据采用不同的管控

18、手段和保护措施就高从严数据分级时采用就高不就低的原则进行定级,例如数据集包含多个级别的数据项,按照数据项的最高级别对数据集进行定级综合研判数据分级既要考虑单项数据分级,也要充分考虑多个领域、群体或区域的数据汇聚融合后对数据重要性、规模、精度、安全风险等的影响,综合确定数据级别动态更新数据级别可能因时间变化、政策变化、安全事件发生、不同业务场景的敏感性变化或相关行业规则不同而发生改变,因此需要对数据分级进行定期审核并及时更新2.3 分级要素交通运输政务数据按照“规模、精度、深度”3个分级要素,综合判定数据一旦遭到泄露、篡改、非法使用或共享所危害的对象及程度.由于数据分级与业务的强相关,本文仅给出

19、具体要素含义和常见的考虑因素及示例,供业务部门在定级时参考,如表4所示.2.4 分级模型2.4.1 安全风险分析在数据定级要素分析的基础上,通过定量与定性相结合的方式综合评估数据安全风险,确定数据级别.安全风险指数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用、非法共享,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,包括国家安全风险、公共利益风险、个人合法权益风险、组织合法权益风险等.危害程度从低到高可分为无危害、轻微危害、一般危害、严重危害.2.4.2 分级规则安全风险分析交通运输政务数据涵盖范围广、覆盖领域多,为满足数据的安全精细管控需求,本文在一般数据、重要数据、核心数据的

20、分级基础上,将一般数据进一步细分为3个级别,数据级别判定条件如表5所示.数据级别与安全风险的判定关系如表6所示.网址 http:/|811技术应用Technical Applications表4 交通运输政务数据定级要素的含义、常见考虑因素及举例定级要素含义常见考虑因素及举例规模数据描述对象覆盖的群体、区域的范围或数量大小1)数据存储量,如公路养护数据为1 0G B2)群体规模,如北京市1 0万人网约车驾驶员数据,覆盖北京市网约车驾驶员群体的比例为8 0%;全国1 0 0 0家水运工程建设企业数据,覆盖全水运工程建设企业群体的比例为6 0%3)区域范围,如北京全市公交车运行数据精度数据的

21、精确程度,数据精度越高标识采集数据和真实数据的误差越小1)定位精度,如分米级位置定位数据2)地图精度,如精度和比例尺优于开放标准的地图数据3)图像清晰度,如高速公路摄像头采集的7 2 0 P视频深度数据描述对象的隐含信息挖掘的触达程度,或多维度细节信息的刻画程度1)科技成果,如包含“科技成果名称、完成单位、完成人”的数据,与包含“科技成果名称、完成单位、完成人、创新点、关键技术”的数据深度不同2)动态轨迹,如包含“车牌号、经度、纬度、定位时间”的数据,与包含“车牌号、经度、纬度、定位时间、车速、方向、海拔高度”的数据深度不同表5 数据级别判定条件数据级别判定条件核心数据直接影响政治安全的数据;

22、关系国家安全重点领域的数据;关系国民经济命脉、重要民生和重大公共利益的数据;经有关部门评估确定的核心数据(满足任一条件即可)重要数据直接关系国家安全、经济运行、社会稳定、公共健康和安全的特定领域、特定群体或特定区域的数据;其他行业各领域主管(监管)部门根据行业领域特点确定的重要数据;一旦被泄露或篡改、损毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的其他数据(满足任一条件即可)一般数据3级数据数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能对个人、组织合法权益造成严重危害,但不会危害国家安全或公共利益2级数据数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能对个人、

23、组织合法权益造成一般危害1级数据数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用,不会对个人、组织合法权益造成危害,或可能造成轻微危害表6 数据级别与安全风险的判定关系数据级别安全风险国家安全风险公共利益风险个人合法权益风险组织合法权益风险核心数据一般危害、严重危害严重危害重要数据轻微危害一般危害一般数据3级数据无危害无危害、轻微危害严重危害严重危害2级数据无危害无危害、轻微危害一般危害一般危害1级数据无危害无危害、轻微危害无危害、轻微危害无危害、轻微危害2.4.3 个人信息定级个人信息定级应优先判定是否属于敏感个人信息,个人基本信息的家庭住址、个人财产信息、个人轨迹位置信息、未公开的个人违

24、规违法信息、个人生理健康信息、身份鉴别信息应作为敏感个人信息进行管理,个人身份信息在能够与敏感个人信息关联的情况下也应视为敏感个人信息.个人信息定级在遵循上述分级规则基础上还应遵循以下原则:1)超过1 0 0万人以上的个人信息数据集首先应判定是否为重要数据、核心数据,如不属于重要数据,其数据集的安全级别不低于一般数据3级;2)敏感个人信息数据安全级别不低于一般数据3级;3)一般个人信息数据安全级别通常不低于一般数据2级.2.4.4 衍生数据定级衍生数据是指原始数据经过不同程度加工程度后的数据,可分为脱敏数据、标签数据、统计数据、融合数据等.衍生数据级别原则上依据就高从严原则,对照加工的原始数据

25、集级别进行定级,同时按照数据加工程度也可进行升级或降级调整.脱敏数据、标签数据、统计数据级别一般比原始数据级别低;统计数据如涉及大规模群体特征或行动轨迹、未公开的统计数据级别应升高;融合数据根据数据规模、敏感程度和标识化程度等判定级别4.812|信息安全研究Journal of Information Security Research第 9 卷第 8 期 2023 年 8 月Vol.9 No.8 Aug.20232.4.5 重新定级数据级别确定后,若因数据的内容、规模、时效性、应用场景、加工处理方式等发生变化,或因国家或行业主管部门要求导致原定的数据级别不再适用时,应对数据级别及

26、时进行更新.数据发生变化导致安全级别变化的规则如表7所示.2.4.6 定级步骤数据项定级按照国家核心数据和重要数据目录及有关识别要求,依次判定数据是否为重要数据、核心数据;如数据不是重要数据或核心数据定为一般数据,参考定级模型确定一般数据的细分等级.数据集定级应在确定数据项级别基础上,按照就高从严原则定级,同时考虑数据集的数据规模、数据范围、数据时效、数据项之间的关联效应等各类因素.定级步骤如图2所示.表7 数据安全级别变化示例措施或情形安全级别变化数据体量增加到特定规模导致对社会影响增大升级达到国家有关部门规定的精度的数据升级关联多个组织机构、业务部门的数据升级大量多维数据进行关联升级发生特

27、定事件导致数据敏感性增强升级数据已被公开或披露降级数据进行脱敏或删除敏感字段降级数据进行去标识化、假名化、匿名化降级数据发生特定事件导致数据失去敏感性降级图2 数据定级步骤2.5 交通运输政务数据分级实例1)个人信息定级示例安全风险分析.交通运输政务数据中的典型个人信息定级示例如表8所示.2)重要数据示例.交通运输政务数据中重要数据示例如表9所示.表8 交通运输个人信息定级参考示例数据名称个人信息种类数据内容字段参考级别数据参考级别道路运输从业人员基本信息个人基本信息从业人员户籍地行政区划、姓名、性别、民族一般数据2级个人身份信息证件号码一般数据2级个人教育工作信息技术职称、文化程度、从业资格

28、类别、从业资格证号、从业资格证初领证日期、有效期止、证照状态、从业资格证发证日期一般数据2级一般数据2级水运工程和交通支持系统工程评标专家信息个人基本信息姓名、性别、单位、出生日期、籍贯、办公电话、手机、通信地址、邮编一般数据2级个人身份信息身份证号一般数据2级个人教育工作信息职务、职称、所学专业、从事专业、毕业学校、学位、专家库类别、参与项目名称、是否参加一般数据2级一般数据3级安全生产举报管理信息个人基本信息举报人姓名、地区、举报联系人手机、电话、邮箱、举报地区邮编一般数据2级个人基本信息举报联系人地址一般数据3级个人教育工作信息证书编号、所属公司编号、举报内容一般数据2级一般数据3级网

29、址 http:/|813技术应用Technical Applications表9 重要数据分类及内容举例数据类别具体内容举例(包括但不限于)地理信息1)精度和比例尺优于开放标准的地图数据2)分辨率和位置精度优于遥感影像开放使用要求的影像危化品数据1)危险化学品的存储设施相关信息,如仓库、堆场的位置、实时存储信息等2)剧毒化学品和易爆危险化学品的道路、水路实时运输轨迹信息等其他重要数据1)不属于以上所列的其他可能对国家安全、经济发展以及公共利益产生重大影响的数据3 结论本文基于交通运输新业态发展、交通运输领域部门职责及相关业务数据,采用面线结合的混合分类法搭建了“业务领域、具体业务、管理

30、对象、行为主题、信息类别”5个维度的数据分类框架,完善了数据分类体系;按照“边界清晰、就高从严、综合研判、动态更新”的分级原则,以及交通运输政务数据分级要素“规模、精度、深度”,形成了基于数据安全风险分析的数据分级模型.按照本文提出的分类方法和分级模型给出示例,研究成果支撑交通运输主管部门制定的公路水路交通运输数据分类分级指南在行业中应用,解决信息资源分级保护没有依据的难题,为提升交通运输政务数据安全治理水平奠定了基础.参考文献1 完颜邓邓,陶成煦.美国政府数据分类分级管理的实践及启示J.情报理论与实践,2 0 2 0,4 3(1 2):1 7 21 7 7,1 5 52 全国信息技术标准

31、化技术委员会.G B T3 8 6 6 72 0 2 0信息技术大数据数据分类指南S.北京:中国标准出版社,2 0 2 03 高磊,赵章界,林野丽,等.基于数据安全法的数据分类分级方法研究J.信息安全研究,2 0 2 1,7(1 0):9 3 39 4 04 全国信息安全标准化技术委员会.2 0 2 2 0 7 8 7-T-4 6 9信息安全技术网络数据分类分级要求(征求意见稿)E B O L.2 0 2 2-0 9-1 6.h t t p s:w w w.s o h u.c o m a 5 8 5 5 0 3 5 7 1_1 2 1 3 9 4 2 0 75 李玉亮.数据分类分级的

32、现状与发展J.中国信息安全,2 0 2 1(5):5 55 66 陈兵,郭光坤.数据分类分级制度的定位与定则以数据安全法为中心的展开 J.中国特色社会主义研究,2 0 2 2(3):5 06 07 张琼丽,陈翼.数据分级分类方法及实践研究J.技术与市场,2 0 2 2,2 9(8):1 5 01 5 38 袁康,鄢浩宇.数据分类分级保护的逻辑厘定与制度构建以重要数据识别和管控为中心J.中国科技论坛,2 0 2 2(7):1 6 71 7 79 陈杰,王婷云,王倩,等.企业数据分类分级管理路径研究J.网络安全技术与应用,2 0 2 2(4):7 07 11 0 洪

33、伟,任剑洪,徐丽娜,等.数据安全法实施背景下的教育数据分类分级研究J.中国教育信息化,2 0 2 2,2 8(3):4 15 01 1 钟璐潞,卢栋.基于数据分类分级的港口企业数据安全管理研究J.中国水运,2 0 2 2(2):5 75 91 2 智峰,田锋,赵若凡.计量科学大数据分级分类J.大数据,2 0 2 2,8(1):6 07 21 3 郑曦.刑事司法数据分类分级问题研究J.国家检察官学院学报,2 0 2 1,2 9(6):31 61 4 郭明多,魏彬.交通运输政务信息资源目录编制方法及应用J.交通运输研究,2 0 1 8,4(2):3 74 3白紫秀硕士.主要研究方向为交通运输规划与管理.b a i z x m o t c a t s.a c.c n王涛硕士,副研究员.主要研究方向为交通运输规划与管理.w a n g t a o m o t c a t s.a c.c n郭明多硕士,工程师.主要研究方向为交通运输信息化.g u o m d m o t c a t s.a c.c n曹剑东博士,研究员.主要研究方向为交通运输信息化.c a o j d m o t c a t s.a c.c n尚赞娣博士,研究员.主要研究方向为交通运输管理.s h a n g z a n d i m o t c a t s.a c.c n

展开阅读全文