4　結(jié)　語

為全面推進我國政務(wù)數(shù)據(jù)安全治理，學(xué)界已在頂層理論、宏觀整體、中觀推進和微觀實施層面開展一系列研究。例如，在頂層理論層面，孫軒等人圍繞政務(wù)大數(shù)據(jù)，探討了技術(shù)與管理要素對數(shù)據(jù)安全治理體系的影響及建設(shè)完善方向；在宏觀整體層面，李三群、焦偉、倪舒婷總結(jié)了我國政務(wù)數(shù)據(jù)面臨的一系列安全挑戰(zhàn)，并從不同角度提出了應(yīng)對方針；在中觀推進實施層面，焦萌、高亞楠、王晛、余曉斌分別從不同維度構(gòu)建多個涵蓋管理、技術(shù)、運營三位一體的、較完整的政務(wù)大數(shù)據(jù)安全治理框架；在微觀實施層面，王玉等人提出了一個較完整的政務(wù)大數(shù)據(jù)安全體系技術(shù)方案。以上研究成果，從不同層面明晰了我國政務(wù)數(shù)據(jù)安全治理的目標(biāo)圖景與努力方向，但聚焦中觀建設(shè)實踐，上述研究成果整體上是以目標(biāo)體系導(dǎo)向、直接風(fēng)險驅(qū)動2條思路為主線，難以科學(xué)有序地指導(dǎo)各地方各部門建設(shè)實踐的具體過程。前者思路受限于改革進度、客觀基礎(chǔ)、資源條件等制約因素，難以一蹴而就地建立完整的安全治理體系；后者思路則僅圍繞直接安全風(fēng)險，忽略了建設(shè)層面的其他迫切挑戰(zhàn)，以此提出的安全體系可能存在嚴(yán)重隱患。同時，現(xiàn)有研究成果主要聚焦政務(wù)大數(shù)據(jù)安全隱患的治理，普遍存在忽略政務(wù)業(yè)務(wù)系統(tǒng)數(shù)據(jù)安全管控的顯著缺失。

此外，顧江等人、王凡等人、胡國華等人分別從涉密政務(wù)數(shù)據(jù)安全治理、政務(wù)數(shù)據(jù)安全風(fēng)險、政務(wù)數(shù)據(jù)合規(guī)分析等安全治理具體方向進行探討；周群等人則聚焦政務(wù)數(shù)據(jù)共享開放這一典型政務(wù)數(shù)據(jù)應(yīng)用場景的數(shù)據(jù)安全保障體系進行研究；劉浪等人、楊富豪立足江西、貴州政務(wù)數(shù)據(jù)治理工作，從具體問題出發(fā)提出部分對策建議。以上研究成果均未針對我國實際問題提出體系性的政務(wù)數(shù)據(jù)安全策略，難以有效應(yīng)對安全威脅。

聚焦中觀推進實施層面，在資源有限的條件下，安全治理體系建設(shè)應(yīng)是一個以需求挑戰(zhàn)為驅(qū)動，向目標(biāo)安全體系持續(xù)演進的過程。政務(wù)數(shù)據(jù)安全需求挑戰(zhàn)總體可以分為3個方面：一是頂層制度驅(qū)動下的安全合規(guī)要求；二是內(nèi)在需求驅(qū)動下的安全風(fēng)險應(yīng)對；三是運行過程暴露的突出問題解決。

本文基于項目組對58個省部級政府政務(wù)數(shù)據(jù)安全治理情況調(diào)查（截至2023年上半年），對每一個政府部門對其政務(wù)數(shù)據(jù)安全治理體系建設(shè)發(fā)展面臨的主要痛難點情況研判，并基于量化數(shù)據(jù)分析方法測算面臨該痛難點挑戰(zhàn)的政府部門在整體中的占比，從而以量化數(shù)據(jù)明晰我國政務(wù)數(shù)據(jù)安全治理體系面臨的合規(guī)、風(fēng)險、問題3大需求挑戰(zhàn)的最突出痛難點表現(xiàn)。在此基礎(chǔ)上，以需求挑戰(zhàn)為邏輯驅(qū)動，從中觀推進層面系統(tǒng)地提出一攬子政務(wù)數(shù)據(jù)安全體系建設(shè)策略，并圍繞政務(wù)業(yè)務(wù)系統(tǒng)數(shù)據(jù)、政務(wù)大數(shù)據(jù)安全治理2個方面，提出一種較為高效的建設(shè)方案，供政府部門在推進實踐過程中參考借鑒，并以此為基點不斷優(yōu)化完善數(shù)據(jù)安全治理體系。

2.1　數(shù)據(jù)安全合規(guī)要求

（1）法律制度層面。政務(wù)數(shù)據(jù)安全治理主要面向非涉密數(shù)據(jù)，《中華人民共和國數(shù)據(jù)安全法》從數(shù)據(jù)處理者的角度給出了保障數(shù)據(jù)安全方面的一系列基本要求，并提出了對重要數(shù)據(jù)分級保護的規(guī)定；《中華人民共和國個人信息保護法》則圍繞個人相關(guān)數(shù)據(jù)，提出了加密、脫敏等技術(shù)要求及一系列管理保護要求；《中華人民共和國統(tǒng)計法》《中華人民共和國反不正當(dāng)競爭法》和《上市公司信息披露管理辦法》等進一步提出了對企業(yè)商業(yè)秘密等數(shù)據(jù)資源的安全管理要求；此外，承載政務(wù)數(shù)據(jù)的政務(wù)業(yè)務(wù)系統(tǒng)還需要按照《中華人民共和國網(wǎng)絡(luò)安全法》規(guī)定滿足容災(zāi)備份相關(guān)等級保護要求。綜上，面向非涉密數(shù)據(jù)的重要數(shù)據(jù)管控、個人敏感信息保護和企業(yè)商業(yè)秘密防護等手段是數(shù)據(jù)安全合規(guī)的基礎(chǔ)和前提。面向58個省部級政府?dāng)?shù)據(jù)安全治理工作的調(diào)查統(tǒng)計顯示，約有12%的省部級政府認(rèn)為以上內(nèi)容是當(dāng)前落實政務(wù)數(shù)據(jù)安全治理的關(guān)鍵。對涉密政務(wù)數(shù)據(jù)安全治理則需要進一步遵守《中華人民共和國保守國家秘密法》相關(guān)規(guī)定。

（2）規(guī)章制度層面。國家有關(guān)部門面向政務(wù)數(shù)據(jù)安全管理陸續(xù)制定并出臺了一系列規(guī)定，對數(shù)據(jù)庫管理、數(shù)據(jù)外包管理等提出明確要求。特別是隨著數(shù)字政府建設(shè)的深入推進，大量政務(wù)業(yè)務(wù)系統(tǒng)上云運行，而通常云平臺與上層應(yīng)用系統(tǒng)分別由政府?dāng)?shù)據(jù)部門或信息中心及政府業(yè)務(wù)部門分工管理，政務(wù)數(shù)據(jù)分責(zé)管理、協(xié)同保護需求日益急迫。面向58個省部級政府?dāng)?shù)據(jù)安全治理工作的調(diào)查統(tǒng)計顯示，約有55%的省部級政府尚未建立面向政務(wù)業(yè)務(wù)系統(tǒng)數(shù)據(jù)安全的管理機制或手段，而其本身承載著全量的政務(wù)數(shù)據(jù)資源，因此政務(wù)業(yè)務(wù)系統(tǒng)數(shù)據(jù)的安全治理是政務(wù)數(shù)據(jù)安全治理體系的重中之重，其數(shù)據(jù)庫安全管控、外包團隊安全管理已成為數(shù)據(jù)安全合規(guī)的焦點，而政務(wù)大數(shù)據(jù)安全治理更多的是面向按需匯入統(tǒng)一數(shù)據(jù)平臺的部分政務(wù)數(shù)據(jù)資源。

2.2　政務(wù)數(shù)據(jù)安全風(fēng)險

政務(wù)數(shù)據(jù)在實際運行中面臨的安全風(fēng)險是建設(shè)完善數(shù)據(jù)安全治理體系的最重要驅(qū)動因素。業(yè)內(nèi)機構(gòu)發(fā)布的《中國政企機構(gòu)數(shù)據(jù)安全風(fēng)險分析報告》顯示 ，政務(wù)數(shù)據(jù)是我國數(shù)據(jù)安全事件最為高發(fā)的領(lǐng)域，主要安全威脅按程度自高到低可分為：一是外部威脅，是指未獲認(rèn)證的和未經(jīng)授權(quán)的非法用戶進行的訪問請求或攻擊行為；二是內(nèi)部威脅，是指合法用戶進行的非授權(quán)信息處理或越權(quán)的敏感信息處理，如數(shù)據(jù)共享流通失控、各場景訪問失控等；三是系統(tǒng)漏洞，如業(yè)務(wù)系統(tǒng)開發(fā)漏洞、供應(yīng)鏈安全等；四是合作方泄露，如外包廠商泄露數(shù)據(jù)及源代碼等；五是操作失誤。

由于政務(wù)數(shù)據(jù)主體部署于專門的政務(wù)網(wǎng)絡(luò)并與互聯(lián)網(wǎng)實現(xiàn)邏輯隔離，外部威脅只有突破網(wǎng)絡(luò)安全體系的防護才能沖擊數(shù)據(jù)安全治理體系。因此，我國政務(wù)數(shù)據(jù)安全體系面臨的最主要威脅是內(nèi)部威脅、系統(tǒng)漏洞、合作方泄露3類風(fēng)險，結(jié)合面向58個省部級政府?dāng)?shù)據(jù)安全治理工作調(diào)查統(tǒng)計結(jié)果可知：除外部攻擊風(fēng)險外（17%），內(nèi)部威脅、系統(tǒng)漏洞、合作方泄露3類風(fēng)險在所有風(fēng)險中以19%、13%、9%排名前三，與業(yè)內(nèi)統(tǒng)計情況基本一致。

2.3　治理體系突出問題

圖1　面向數(shù)據(jù)安全治理需求挑戰(zhàn)的應(yīng)對策略

在制度規(guī)范策略方面，聚焦健全數(shù)據(jù)安全治理管理制度、協(xié)同機制、標(biāo)準(zhǔn)規(guī)范以及業(yè)務(wù)系統(tǒng)數(shù)據(jù)安全治理管控流程；在技術(shù)防護策略方面，重點建設(shè)數(shù)據(jù)安全感知運行能力、數(shù)據(jù)安全管控審計能力以及數(shù)據(jù)庫審計、數(shù)據(jù)加解密等基礎(chǔ)數(shù)據(jù)安全保障能力；在運行管理策略方面，著力完善數(shù)據(jù)安全運行管理機制和實施全生命周期數(shù)據(jù)安全運行管控。面向政務(wù)業(yè)務(wù)系統(tǒng)數(shù)據(jù)、政務(wù)大數(shù)據(jù)安全治理，應(yīng)以急用優(yōu)先、痛點優(yōu)先原則推動我國政務(wù)數(shù)據(jù)安全治理體系的系統(tǒng)化構(gòu)建。

3.1　制度規(guī)范策略

制度規(guī)范策略涉及組織管理機制、制度規(guī)范標(biāo)準(zhǔn)、業(yè)務(wù)系統(tǒng)管控3個方面。

（1）組織管理機制方面。一是應(yīng)建立網(wǎng)絡(luò)安全部門與數(shù)據(jù)安全部門間的高效協(xié)同工作機制，聯(lián)合處置風(fēng)險事件；二是應(yīng)進一步明確內(nèi)部人員和運維人員的數(shù)據(jù)安全責(zé)任與行為規(guī)范，加大培訓(xùn)與宣傳力度，并制定定期考核評估機制。

（2）制度規(guī)范標(biāo)準(zhǔn)方面。面向安全合規(guī)要求、主要安全風(fēng)險、體系突出問題 3大數(shù)據(jù)安全治理需求挑戰(zhàn)，應(yīng)加快制定分類分級、分級防護、外包管理、供應(yīng)鏈管理和安全運維管理等制度與相關(guān)流程、策略、標(biāo)準(zhǔn)規(guī)范。

（3）業(yè)務(wù)系統(tǒng)管控方面。聚焦政務(wù)業(yè)務(wù)系統(tǒng)數(shù)據(jù)的安全管理，一是面向業(yè)務(wù)系統(tǒng)制定安全設(shè)計開發(fā)規(guī)范、數(shù)據(jù)庫運行管理規(guī)范，推進數(shù)據(jù)安全技術(shù)能力面向業(yè)務(wù)系統(tǒng)的服務(wù)化開放，夯實系統(tǒng)內(nèi)生安全；二是明確面向業(yè)務(wù)系統(tǒng)需求、設(shè)計、開發(fā)、上線、運行、下線各環(huán)節(jié)的管理流程及各方權(quán)責(zé)，明晰數(shù)據(jù)接口清單、數(shù)據(jù)導(dǎo)入導(dǎo)出功能臺賬等，落實面向數(shù)據(jù)安全的各方管控職責(zé)。

3.2　技術(shù)防護策略

技術(shù)防護策略涉及安全感知運行、安全管控審計、基礎(chǔ)安全能力3個方面。

（1）安全感知運行方面。一是建設(shè)數(shù)據(jù)安全態(tài)勢感知運行平臺，感知數(shù)據(jù)接口等流量情況，監(jiān)測發(fā)現(xiàn)數(shù)據(jù)安全威脅，以支撐數(shù)據(jù)安全日常運行工作開展，阻斷數(shù)據(jù)泄露等風(fēng)險發(fā)生；二是對重要數(shù)據(jù)與個人敏感信息、商業(yè)秘密信息實施專門隔離管理，確保全面落實合規(guī)要求。

（2）安全管控審計方面。一是建立數(shù)據(jù)庫管理平臺，支撐各方面向業(yè)務(wù)系統(tǒng)數(shù)據(jù)的安全運維與審計；二是強化鑒權(quán)控制，特別是特權(quán)賬號管理，推進細(xì)粒度授權(quán)以強化訪問控制；三是強化監(jiān)控記錄用戶行為，實施面向關(guān)鍵處理、風(fēng)險操作等的事前審核、事后審計與評估。

（3）基礎(chǔ)安全能力方面。一是重點聚焦政務(wù)業(yè)務(wù)系統(tǒng)數(shù)據(jù)的安全管理，完善堡壘機、代碼掃描等網(wǎng)絡(luò)安全技術(shù)設(shè)施，聯(lián)動數(shù)據(jù)安全能力應(yīng)對外部攻擊；二是構(gòu)建數(shù)據(jù)加密、數(shù)據(jù)脫敏、數(shù)據(jù)水印及數(shù)據(jù)防泄露等數(shù)據(jù)安全基礎(chǔ)防護設(shè)施，支撐實現(xiàn)數(shù)據(jù)分級技術(shù)保護。

3.3　運行管理策略

運行管理策略涉及運行管理機制、運行管理實施2個方面：

（1）運行管理機制方面。一是梳理數(shù)據(jù)權(quán)責(zé)清單，建立內(nèi)部人員、運維運營人員基于審批與授權(quán)的關(guān)鍵處理、風(fēng)險操作等方面的行為管控工作機制；二是聚焦政務(wù)業(yè)務(wù)系統(tǒng)數(shù)據(jù)的安全管理，建立數(shù)據(jù)庫運行管理、數(shù)據(jù)備份、安全審計、應(yīng)急處置和安全運維等數(shù)據(jù)安全日常工作機制。

（2）運行管理實施方面。開展數(shù)據(jù)資產(chǎn)梳理、安全日常巡檢、風(fēng)險定期評估和事件處置響應(yīng)等工作，面向政務(wù)數(shù)據(jù)全生命周期開展數(shù)據(jù)安全運行管控，強化針對關(guān)鍵處理與風(fēng)險操作的事前審核評估、事中監(jiān)測分析、事后行為審計和三方對賬，及時發(fā)現(xiàn)、溯源和處置數(shù)據(jù)安全風(fēng)險事件，并優(yōu)化相關(guān)安全策略與規(guī)則，形成數(shù)據(jù)安全管理閉環(huán)。

3.4　整體建設(shè)方案

基于以上策略，可形成涵蓋制度規(guī)范、技術(shù)防護和運行管理3個方面的政務(wù)數(shù)據(jù)安全治理體系整體方案，如圖2所示。該方案圍繞政務(wù)業(yè)務(wù)系統(tǒng)數(shù)據(jù)、政務(wù)大數(shù)據(jù)，構(gòu)建起涵蓋組織管理機制、制度規(guī)范標(biāo)準(zhǔn)、業(yè)務(wù)系統(tǒng)管控、安全感知運行、安全管控審計、基礎(chǔ)安全能力、運行管理機制和運行管理實施8個方面的核心建設(shè)內(nèi)容。

圖2　面向安全治理體系需求挑戰(zhàn)的整體方案

該方案立足于我國政務(wù)數(shù)據(jù)安全整體建設(shè)實際，以有限的資源投入，較高效地應(yīng)對政務(wù)數(shù)據(jù)安全治理體系面臨的安全合規(guī)要求、主要安全風(fēng)險、體系突出問題3大需求挑戰(zhàn)，從而為政府部門推進政務(wù)數(shù)據(jù)安全治理提供參考借鑒，并以此為基點不斷優(yōu)化完善。

該方案可以同時滿足政務(wù)業(yè)務(wù)系統(tǒng)數(shù)據(jù)、政務(wù)大數(shù)據(jù)的安全治理需要。其中業(yè)務(wù)系統(tǒng)管控、數(shù)據(jù)庫管理平臺建設(shè)、數(shù)據(jù)庫運行管理與備份等建設(shè)任務(wù)主要面向政務(wù)業(yè)務(wù)系統(tǒng)數(shù)據(jù)的安全治理工作；其他建設(shè)任務(wù)則同時兼顧面向政務(wù)業(yè)務(wù)系統(tǒng)數(shù)據(jù)和政務(wù)大數(shù)據(jù)的安全治理工作。該方案可以確保政務(wù)數(shù)據(jù)安全治理體系完全覆蓋政務(wù)數(shù)據(jù)的整個生命周期，并構(gòu)建起從數(shù)據(jù)源端（政務(wù)業(yè)務(wù)系統(tǒng)數(shù)據(jù)）到數(shù)據(jù)末端（政務(wù)大數(shù)據(jù)）的整體安全屏障。

本文提出以合規(guī)、風(fēng)險、問題3大需求挑戰(zhàn)為驅(qū)動建立政務(wù)數(shù)據(jù)安全治理體系的思路主線，立足我國政務(wù)數(shù)據(jù)安全治理體系建設(shè)發(fā)展實際情況，基于量化數(shù)據(jù)分析方法，全面系統(tǒng)地明晰安全合規(guī)要求、主要安全風(fēng)險和體系突出問題3大需求挑戰(zhàn)的具體痛難點表現(xiàn)，進而圍繞制度規(guī)范、技術(shù)防護和運行管理數(shù)據(jù)安全治理任務(wù)框架，針對性地提出組織管理機制、制度規(guī)范標(biāo)準(zhǔn)、業(yè)務(wù)系統(tǒng)管控、安全感知運行、安全管控審計、基礎(chǔ)安全能力、運行管理機制和運行管理實施8個方面應(yīng)對策略與建議，并圍繞政務(wù)業(yè)務(wù)系統(tǒng)數(shù)據(jù)、政務(wù)大數(shù)據(jù)安全治理，給出一種較為高效的建設(shè)參考方案，以急用優(yōu)先、痛點優(yōu)先原則推動我國政務(wù)數(shù)據(jù)安全治理體系系統(tǒng)化構(gòu)建，為政府部門在有限資源下快速建立政務(wù)數(shù)據(jù)安全治理體系、有效應(yīng)對各類數(shù)據(jù)安全威脅提供參考。

隨著我國政務(wù)數(shù)據(jù)安全治理體系的完善及數(shù)據(jù)安全攻防技術(shù)的快速發(fā)展，政務(wù)數(shù)據(jù)安全體系的需求挑戰(zhàn)具體表現(xiàn)也在不斷變化，未來研究應(yīng)立足于最新實際情況，提出適配相應(yīng)建設(shè)策略，推動我國政務(wù)數(shù)據(jù)安全治理體系的不斷升級完善。