（河北省灤平縣人力資源和社會保障局，河北 承德 068250）

當前，統(tǒng)計數(shù)據(jù)已經(jīng)被視為一種資產(chǎn)、一種可以被衡量和計算的價值。統(tǒng)計數(shù)據(jù)的安全問題嚴重影響統(tǒng)計數(shù)據(jù)的可信度和權威性。本文圍繞信息安全保障理論框架和要求、統(tǒng)計調(diào)查數(shù)據(jù)安全的基本內(nèi)容和當前保護統(tǒng)計信息安全的一般做法及存在問題著重分析提高統(tǒng)計調(diào)查信息安全保障意義及具體措施，并得出通過完善統(tǒng)計組織機構(gòu)、加大統(tǒng)計制度改革、落實統(tǒng)計法治、構(gòu)建數(shù)據(jù)安全體系建設的四大措施，遵循信息安全保障理論的思想和方法是加強統(tǒng)計調(diào)查數(shù)據(jù)安全的一種可行方法和思路。

一、信息安全保障理論框架和要求

信息安全保障是為防止信息被泄露、防止信息被非法修改破壞、防止信息系統(tǒng)被非法入侵等而采取的計劃部署、防護檢查、管理改進等一系列工作。通過正視威脅的存在、漏洞的存在，采取風險評估、適度防護并加強檢查，改進落實對信息安全事件的響應，不斷提升防護水平。信息安全保障是要引入信息安全保障的技術框架，有效規(guī)劃統(tǒng)計調(diào)查數(shù)據(jù)的安全計劃，采取行之有效的防護措施，開展信息安全評估檢查，改進完善薄弱環(huán)節(jié)，提高統(tǒng)計調(diào)查數(shù)據(jù)的安全性。

二、統(tǒng)計調(diào)查數(shù)據(jù)安全的基本內(nèi)容

（一）通過統(tǒng)計調(diào)查獲得的個人和企業(yè)的個體數(shù)據(jù)是重要的敏感信息，必須得到有效的保護，在對統(tǒng)計調(diào)查對象要求做到數(shù)據(jù)準確、報送及時，不得提供不真實統(tǒng)計數(shù)據(jù)的同時，作為政府統(tǒng)計調(diào)查部門更有保密的義務，為此應采取一定的技術和管理手段。

（二）一些統(tǒng)計調(diào)查數(shù)據(jù)涉及國防和國家安全的重要信息，不能被外界獲取，否則可能導致國家利益受損。

（三）政府統(tǒng)計部門運行統(tǒng)計調(diào)查業(yè)務系統(tǒng)需要采取技術管理信息安全防護措施，確保其收集保存的的敏感信息和調(diào)查個體信息的安全，防止信息泄露、毀損、丟失，依法承擔本部門的信息安全設施安全保護的職責。

三、當前保護統(tǒng)計信息安全的一般做法及存在問題

（一）企業(yè)上報的CA 認證

身份認證技術是信息安全的第一道大門，目前有普通的根據(jù)用戶名和口令進行身份認證；也有基于數(shù)字證書（CA 證書）的身份認證系統(tǒng)。通過獨立的認證服務器以及與應用服務器的安全憑證的傳遞技術模型，解決統(tǒng)計聯(lián)網(wǎng)直報等網(wǎng)上應用的用戶身份認證問題。

（二）統(tǒng)計調(diào)查管理端的安全認證

依托統(tǒng)計業(yè)務專網(wǎng)的基于口令認證的統(tǒng)計數(shù)據(jù)處理平臺，隨著統(tǒng)計調(diào)查業(yè)務處理系統(tǒng)的推廣運行，為滿足當前政府統(tǒng)計調(diào)查過程中的信息安全的需求，很多采取網(wǎng)絡隔離的技術手段，在內(nèi)網(wǎng)運行。這樣使用帶來的問題是統(tǒng)計調(diào)查管理端的安全更多依賴內(nèi)網(wǎng)的安全性，在某些內(nèi)網(wǎng)管理不夠嚴格的基層統(tǒng)計機構(gòu)，或部分功能允許外網(wǎng)操作的情況下，帶來較大的安全隱患。

（三）防范未授權修改和非法代報的痕跡管理和IP 地址管理

通過對系統(tǒng)和數(shù)據(jù)的操作行為的日志和審計，保障了操作行為是有理有據(jù)的正當業(yè)務行為。由于行為審計工作沒有常規(guī)化，導致存在痕跡管理審查不嚴，整治代報行為的工作也只大多停留在集中整治期間，有較大的監(jiān)管空白有待填補。

四、提高統(tǒng)計調(diào)查信息安全保障的幾點建議

目前，統(tǒng)計調(diào)查的數(shù)據(jù)安全保障工作已較過去有了長足的進步，為進一步提高，建議從以下幾個方面入手。

（一）認證軟硬件的來源

安全性核心電子器件、高端通用芯片及基礎軟件產(chǎn)品是作為信息安全的基礎和核心，強化高可信的軟硬件研究，是保障數(shù)據(jù)安全的基礎性要求，還要采取保密工作中常規(guī)的防護要求。要加強對采購的計算機軟硬件的認證檢驗，確保沒有預設的隱匿后門，以防備通過設備后門非法盜取統(tǒng)計調(diào)查數(shù)據(jù)。

（二）構(gòu)建數(shù)據(jù)操作的審計

系統(tǒng)信息安全領域通行的做法是構(gòu)建面向業(yè)務的信息安全審計系統(tǒng)，防火墻、防病毒、入侵檢測系統(tǒng)、內(nèi)外網(wǎng)隔離等解決大部分非法侵入問題，而有效地控制信息安全風險，從“審用戶、審角色、審權限”到行為日志的記載，將每個訪問和操作行為做全面的記錄，確保用戶的操作合法合理有依據(jù)。它代表著由傳統(tǒng)信息安全向業(yè)務信息安全發(fā)展的必然要求，在保障統(tǒng)計調(diào)查數(shù)據(jù)的安全方面將能發(fā)揮越來越重要的作用。

（三）保持密級信息處理的離線獨立性

通過設立單獨的涉密計算機和涉密網(wǎng)絡，使得在物理完全隔離方式下，將密級信息和普通的統(tǒng)計調(diào)查數(shù)據(jù)隔離開來。不盲目依賴系統(tǒng)的權限設置等軟措施。

（四）構(gòu)建合理有效的檢查體系

統(tǒng)計調(diào)查行業(yè)應制定一套規(guī)范清晰的信息安全檢查工作體系，增強評估能力。通過建立信息安全檢查指標體系時加強管理與技術并重，合理結(jié)合自查與監(jiān)督，形成經(jīng)常性、規(guī)律性的自查，以增強內(nèi)部人員的信息安全意識和管理水平。通過監(jiān)督檢查強化針對性，既節(jié)約檢查時間和成本，又有一套合理的評估管理機制，降低安全風險。

（五）改進和落實數(shù)據(jù)信息公開的制度

統(tǒng)計調(diào)查數(shù)據(jù)的發(fā)布是政府信息公開的重要內(nèi)容，在盡可能地減少統(tǒng)計數(shù)據(jù)發(fā)布前被泄露的風險。應縮短統(tǒng)計數(shù)據(jù)生產(chǎn)到發(fā)布的時間，有利于降低數(shù)據(jù)被提前泄露的風險。