殷士華

摘 要：當前，統(tǒng)計數(shù)據(jù)已經(jīng)被視為一種資產(chǎn)、一種可以被衡量和計算的價值。統(tǒng)計數(shù)據(jù)的安全問題嚴重影響統(tǒng)計數(shù)據(jù)的可信度和權威性。本文圍繞信息安全保障理論框架和要求、統(tǒng)計調查數(shù)據(jù)安全的基本內容和當前保護統(tǒng)計信息安全的一般做法及存在問題著重分析提高統(tǒng)計調查信息安全保障意義及具體措施，并得出通過完善統(tǒng)計組織機構、加大統(tǒng)計制度改革、落實統(tǒng)計法治、構建數(shù)據(jù)安全體系建設的四大措施，遵循信息安全保障理論的思想和方法是加強統(tǒng)計調查數(shù)據(jù)安全的一種可行方法和思路。

關鍵詞：統(tǒng)計調查信息安全數(shù)據(jù)

經(jīng)濟社會快速發(fā)展，社會管理和經(jīng)濟管理對統(tǒng)計調查數(shù)據(jù)提出了更多的需求，統(tǒng)計數(shù)據(jù)已經(jīng)上升為重要的信息資產(chǎn)，使得“互聯(lián)網(wǎng)+統(tǒng)計”也將成為統(tǒng)計現(xiàn)代化的新常態(tài)。大量的國家經(jīng)濟基礎數(shù)據(jù)的安全與否，影響著政府統(tǒng)計調查的可信度和權威性，通過完善統(tǒng)計組織機構、加大統(tǒng)計制度改革、落實統(tǒng)計法治、構建數(shù)據(jù)安全體系建設的四大措施，遵循信息安全保障理論的思想和方法是加強統(tǒng)計調查數(shù)據(jù)安全的一種可行方法和思路。

1信息安全保障理論框架和要求

信息安全保障是為防止信息被泄露、防止信息被非法修改破壞、防止信息系統(tǒng)被非法入侵等而采取的計劃部署、防護檢查、管理改進等一系列工作。通過正視威脅的存在、漏洞的存在，采取風險評估、適度防護并加強檢查，改進落實對信息安全事件的響應，不斷提升防護水平。信息安全保障是要引入信息安全保障的技術框架，有效規(guī)劃統(tǒng)計調查數(shù)據(jù)的安全計劃，采取行之有效的防護措施，開展信息安全評估檢查，改進完善薄弱環(huán)節(jié)，提高統(tǒng)計調查數(shù)據(jù)的安全性。

2統(tǒng)計調查數(shù)據(jù)安全的基本內容

（1）通過統(tǒng)計調查獲得的個人和企業(yè)的個體數(shù)據(jù)是重要的敏感信息，必須得到有效的保護，在對統(tǒng)計調查對象要求做到數(shù)據(jù)準確、報送及時，不得提供不真實統(tǒng)計數(shù)據(jù)的同時，作為政府統(tǒng)計調查部門更有保密的義務，為此應采取一定的技術和管理手段。

（2）一些統(tǒng)計調查數(shù)據(jù)涉及國防和國家安全的重要信息，不能被外界獲取，否則可能導致國家利益受損。

（3）政府統(tǒng)計部門運行統(tǒng)計調查業(yè)務系統(tǒng)需要采取技術管理信息安全防護措施，確保其收集保存的的敏感信息和調查個體信息的安全，防止信息泄露、毀損、丟失，依法承擔本部門的信息安全設施安全保護的職責。

3當前保護統(tǒng)計信息安全的一般做法及存在問題

3.1企業(yè)上報的CA認證

身份認證技術是信息安全的第一道大門，目前有普通的根據(jù)用戶名和口令進行身份認證;也有基于數(shù)字證書（CA證書）的身份認證系統(tǒng)。通過獨立的認證服務器以及與應用服務器的安全憑證的傳遞技術模型，解決統(tǒng)計聯(lián)網(wǎng)直報等網(wǎng)上應用的用戶身份認證問題。

3.2統(tǒng)計調查管理端的安全認證

依托統(tǒng)計業(yè)務專網(wǎng)的基于口令認證的統(tǒng)計數(shù)據(jù)處理平臺，隨著統(tǒng)計調查業(yè)務處理系統(tǒng)的推廣運行，為滿足當前政府統(tǒng)計調查過程中的信息安全的需求，很多采取網(wǎng)絡隔離的技術手段，在內網(wǎng)運行。這樣使用帶來的問題是統(tǒng)計調查管理端的安全更多依賴內網(wǎng)的安全性，在某些內網(wǎng)管理不夠嚴格的基層統(tǒng)計機構，或部分功能允許外網(wǎng)操作的情況下，帶來較大的安全隱患。

3.3防范未授權修改和非法代報的痕跡管理和IP地址管理

通過對系統(tǒng)和數(shù)據(jù)的操作行為的日志和審計，保障了操作行為是有理有據(jù)的正當業(yè)務行為。由于行為審計工作沒有常規(guī)化，導致存在痕跡管理審查不嚴，整治代報行為的工作也只大多停留在集中整治期間，有較大的監(jiān)管空白有待填補。

4提高統(tǒng)計調查信息安全保障的幾點建議

目前，統(tǒng)計調查的數(shù)據(jù)安全保障工作已較過去有了長足的進步，為進一步提高，建議從以下幾個方面入手。

4.1認證軟硬件的來源

安全性核心電子器件、高端通用芯片及基礎軟件產(chǎn)品是作為信息安全的基礎和核心，強化高可信的軟硬件研究，是保障數(shù)據(jù)安全的基礎性要求，還要采取保密工作中常規(guī)的防護要求。要加強對采購的計算機軟硬件的認證檢驗，確保沒有預設的隱匿后門，以防備通過設備后門非法盜取統(tǒng)計調查數(shù)據(jù)。

4.2構建數(shù)據(jù)操作的審計

系統(tǒng)信息安全領域通行的做法是構建面向業(yè)務的信息安全審計系統(tǒng)，防火墻、防病毒、入侵檢測系統(tǒng)、內外網(wǎng)隔離等解決大部分非法侵入問題，而有效地控制信息安全風險，從“審用戶、審角色、審權限”到行為日志的記載，將每個訪問和操作行為做全面的記錄，確保用戶的操作合法合理有依據(jù)。它代表著由傳統(tǒng)信息安全向業(yè)務信息安全發(fā)展的必然要求，在保障統(tǒng)計調查數(shù)據(jù)的安全方面將能發(fā)揮越來越重要的作用。

4.3保持密級信息處理的離線獨立性

通過設立單獨的涉密計算機和涉密網(wǎng)絡，使得在物理完全隔離方式下，將密級信息和普通的統(tǒng)計調查數(shù)據(jù)隔離開來。不盲目依賴系統(tǒng)的權限設置等軟措施。

4.4構建合理有效的檢查體系

統(tǒng)計調查行業(yè)應制定一套規(guī)范清晰的信息安全檢查工作體系，增強評估能力。通過建立信息安全檢查指標體系時加強管理與技術并重，合理結合自查與監(jiān)督，形成經(jīng)常性、規(guī)律性的自查，以增強內部人員的信息安全意識和管理水平。通過監(jiān)督檢查強化針對性，既節(jié)約檢查時間和成本，又有一套合理的評估管理機制，降低安全風險。

4.5改進和落實數(shù)據(jù)信息公開的制度

統(tǒng)計調查數(shù)據(jù)的發(fā)布是政府信息公開的重要內容，在盡可能地減少統(tǒng)計數(shù)據(jù)發(fā)布前被泄露的風險。應縮短統(tǒng)計數(shù)據(jù)生產(chǎn)到發(fā)布的時間，有利于降低數(shù)據(jù)被提前泄露的風險。

參考文獻

[1] 毛琨.定制數(shù)據(jù)安全交換模型及其關鍵技術研究[D].解放軍信息工程大學，2013（03）.

[2] 陳亮.數(shù)據(jù)安全交換若干關鍵技術研究[D].解放軍信息工程大學，2015（06）.

[3] 錢勇.基于PKI/PMI的統(tǒng)計信息安全平臺研究[J].網(wǎng)絡安全技術與應用，2009（06）.

[4] 門鳳超，王會仙.淺談統(tǒng)計信息化建設[J].經(jīng)濟研究導刊，2009（11）.