某地级市生态环境局建设了一套环境质量在线监测平台,实时采集和发布全市各个监测站点的空气质量、水质指标、噪声水平等环境监测数据。平台除了在官方网站上公开显示实时监测数据外,还开发了一个数据接口供第三方应用程序和开发者调用,用于开发更加便捷的环保信息服务。
开发团队在设计这个数据接口时,为了降低开发难度和减少对接成本,没有对接口的请求来源进行任何身份认证和授权校验。任何人都可以直接调用这个接口,获取平台的原始监测数据,包括各个监测站点的精确地理位置、实时监测数值和设备编号等信息。接口的设计初衷是好的,为了鼓励更多的第三方参与到环保数据服务中来,但在安全保护方面明显考虑不足。
问题出在这个接口返回的数据范围比公开数据更广泛。网站公开页面上只显示了部分主要监测指标的平均值,但接口返回的是所有监测指标的原始数据和详细元信息。这些元信息中包含了监测设备的厂商型号、安装日期、最近校准时间和维护记录等不应公开的技术细节。一段时间后,有多个IP开始频繁调用这个接口,下载了长周期的历史监测数据。通过分析这些数据,外界可以了解该市各个区域环境质量的变化趋势和不同季节的污染特征,信息量远超公众合理知悉的范围。
生态环境局的技术人员在日常监测中发现接口的调用量异常增长后,对接口进行了安全评估,发现接口确实存在未授权访问的安全隐患。随后开发团队为接口增加了访问令牌验证和调用频率限制等安全措施,对过去的异常调用进行了审计。但在此前相当长的时间里,环境监测平台的接口数据一直处于公开裸露的状态,无法确定有多少数据已经被下载和传播。
政府部门在推进数据开放共享的过程中,需要在数据开放和数据保护之间找到恰当的平衡点。公共数据的开放有助于促进社会创新和公众监督,但是开放不等于毫无限制的全量开放。数据分级分类管理在这里显得格外重要,一般公众需要什么数据、在什么粒度上公开、通过什么方式获取,都需要经过审慎的评估和设计。对于需要技术接口访问的数据,应当实施访问认证和调用审计,既满足第三方合理的数据获取需求,又确保数据的使用是可以追溯和管控的。在环境保护这类涉及公共利益的数据开放领域,智慧政府部门正在探索更加成熟和有经验的公开模式,做到真正有意义的开放,而不是简单的一次性数据全量发布。
从政府信息化项目管理实践的更广泛角度分析,这个案例也反映出开发团队在接口设计中的一种常见思维惯性。很多政府信息化项目的开发人员在设计数据接口时,首先考虑的是功能的实现和使用的便捷,对安全的考虑往往是事后补上的。接口鉴权、访问控制、数据脱敏等安全措施被认为是增加了开发和对接的复杂度,因此在不影响功能上线的前提下往往被简化或延后处理。这种开发优先、安全靠后的思维方式,在快速上线压力下尤为常见,却为后续的数据安全埋下了隐患。政府信息化项目应当在需求分析阶段就将安全要求作为功能性要求同等重要的内容纳入设计,从架构层面就构建起安全防护的基础。安全不是功能的附属品,而是信息系统可靠运行的前提条件。北京企密安在协助政府部门进行信息系统安全评估时,也多次遇到类似的情况,因此特别强调接口安全在整个信息系统中的基础性作用。
