如何破解数据上云的三重阻碍：杭州“数据归集共享”大会战后的思考

2016年12月，国务院印发《“十三五”国家信息化规划》，其中讲到要加快信息化发展，适应把握引领经济发展新常态。数据资源工作是信息化发展的重中之重。2017年，杭州、广州、沈阳、成都、合肥等多个城市纷纷设立大数据管理局，归集处理政务民生数据，提高政府服务效率。

回看过去一年，杭州成绩斐然。自2017年8月启动“数据归集共享”大会战至今（2018.1.5），归集59个部门近293.6亿条信息，几乎覆盖杭州所有政务数据，85%的新设企业可按“一件事”标准进行网上办理，公民仅凭“身份证”可办事项203项。

作为数据归集共享先进城市，杭州还推出了全国首个人工智能数据平台“祥云”DRMS、首个数据安全规范《杭州市数据安全保障体系规划（2018-2020）》，为后续发展打下了坚实基础。

杭州市如何做到又快又好发展？ISC中国行杭州站后，安全内参有幸采访了杭州市“数据归集共享”大会战的推动者、数据资源管理局数据资源处齐同军处长，以下为采访实录。

图：齐同军，博士，教授级高级工程师，注册规划师。杭州市数据资源管理局数据资源处处长，杭州市政府津贴专家，杭州市计算机学会理事。

破解数据上云的三重阻碍：安全、权利本位、法律约束

当前我们没有全部上云，还在陆续上云的过程中。我们认为“上云”比放在你自己那里安全，为什么？因为云的安全级别肯定是高于自己机房的安全级别。举一个例子，你是把钱放在你家枕头下面安全？还是放在银行更安全呢？肯定是放在银行更安全。为什么你不把钱存在自己家里呢？说明你更相信银行。对数据来说，云就相当于银行，而你放在自己家里的机房，就相当于你把钱放在自己的房间里，实际上是非常不安全的。

权利削弱方面，我觉得只有共享出去的数据，才能产生更大的价值。数据在你一个市局，产生的价值是很小的，如果把它共享给其它市局，能产生很多的价值。举个例子，社保的数据放在社保局，它只起到了“管理”作用，如果共享给其它市局，老百姓就可以少跑很多次。

比如说你去投标，需要提供社保证明，以前你就要到社保局去看，实际上我们可以把这个数据直接共享给招标部门，让他直接可以查询到，而不用让企业/老百姓再去跑。其价值不仅仅是少跑腿，过去你到社保局去停个车，说不定又违章了，现在就不会；你不用开车去跑了，还可以减少用度和碳排放；要去处理一个违章，要跑到交警、城管那里去处理，处理的过程中没有地方停车，结果处理完之前违章出来又被贴了一张。少跑腿会带来很多的便利，这个就是数据共享带来的附加值。

这种附加值只是表面的，我们希望将来数据共享能够产生更大的价值。用电数据放在国家电网，只是管理电的使用、收费、用电量，但这个用电量数据共享出来，用来计算有多少疑似僵尸企业（开办了但没有运行），克强总理就把它命名为“克强指数”。怎么判断呢？我用工商数据和国家电网数据进行比对，很容易发现某些企业连一度电都没有用，你说这种企业有工作人员吗？怎么连个灯也不开？有生产吗？它们就可以定为疑似僵尸企业。电网数据拿来评判企业，肯定不是国家电网能够做的，它的数据共享出来，就完全得到了更大的其它价值。

数据共享是趋势，也是必然的。法律依据当前国家也有一些，像去年5月国务院出台的《政务信息系统整合共享实施方案》，里面就明确规定，除了涉密数据其它都要拿出来共享。当然，有些数据是有条件共享，需要申请，共享方式不一样，但是总的来说是有依据的。

国家立法比较慢，地方立法也有先后。像贵州已经立法了，其它城市还在可能走向立法的这个过程，暂时没有那么快，各个省市都有相应的管理办法出台，相当于政府的规范性文件，这些也是依据。杭州徐立毅市长提出，所有政府数据将“无条件归集，有条件使用”，“无条件归集”就是要保证所有的数据能够全部拿出来共享。

数据上云的安全管理之道

我们用了很多的手段去保证数据的安全性。一开始我们做了一套顶层设计的数据安全规划，这个规划已经通过专家评测，正在进行修订，修订好后全市征求意见就正式发布。

其次，我们还出台了《政务数据资源共享管理暂行办法》，从整体上对数据安全进行了考量。下一步我们会基于数据的全生命周期安全，出很多实施文件，确保这个数据在各个环节能够越来越安全。我们认为数据共享是必然的，不能因为安全问题就不共享了，只是采取的手段、方式方法需要斟酌。

数据安全和传统网络安全、系统安全很不同，主要是保证不泄漏，隐私受到保护。

目前我们有多种数据共享方案，一种是提供数据，对方保存，我们这边也保存；第二种是接口调用的方式，我开发一个接口，可以随时来调用它的数据，不一定要存储；第三种是页面查询的方式，大家都可以到这个页面上去查相关的数据，只要看一看就可以。

数据共享平台做了严格的权限控制，所有访问地址都是经过实名认证的，非实名认证的地址全部禁止访问。实名认证地址有访问次数限制，比如公安要用社保的数据，我们根据2016年每天办件量统计一个数据，高峰值一天150，那我就定160，对方每天只能访问160次。同时，你访问160次是有平均时间的，我们对时间也会有所限制。假如说你一分钟访问了10次，我已经给你停掉了。有的数据是不允许你调用的，你这个身份去调用了这个数据，那就会被禁止。

传统安全的手段，现在国内常见的安全产品我们也都用了，包括虚拟主机、防火墙、入侵检测、安全审计等。当前每天防范的攻击数还是很多的，量非常大，一般他们攻击的也就是我们对外的这一台。

安全维护主要靠各个安全公司。我们是外包服务，有驻场人员。不同安全产品选择了不同公司，因为每个安全公司做的不是很全面，我们选择各个方向上的优质企业来做服务，争取吸取各自的强项，所有面都没有短板。

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。