政務大數據安全防護能力建設基于技術和管理視角的探討

　　摘 要 政務大數據是新時期數字政府建設的核心資產，對推動政府功能服務升級和經濟、社會創新發展具有重要意義。但在復雜的網絡流通環境下，為了保障政務大數據的合理、有序和可靠利用，其數據安全防護能力建設不容忽視。在技術層面，政務大數據安全防護涉及網絡安全(NetworkSecurity)、平臺安全(PlatformSecurity)和應用安全(ApplicationSecurity)等核心要素;在管理層面，政務大數據安全防護則需要重點關注人員素養(PersonnelQuality)和制度質量(InstitutionalQuality)這兩方面的內容。在理論探討的基礎上，給出了具體的技術和管理能力指標，并進一步對省級機關單位 A 的建設實踐進行了分析。

　　關鍵詞：政務大數據;數據安全防護;能力建設;技術應用;管理制度

　　1 引言

　　隨著現代信息技術的發展，政府的功能、形態和運行方式正在發生著巨大變化。十八屆三中全會首次提出“國家治理體系和治理能力現代化”的建設理念，而在十九大報告中，我黨進一步明確指出“強化電子政務基礎創新，支撐數字中國建設”的發展方向。在政府機構內部，依托云計算平臺，通過各級政務數據中心建設，不同單位和部門得以有效整合與協同，實現了“一網統管”“一網通辦”等一體化數字管理與服務;面向社會公眾，政府 部 門 則 根 據 《促 進 大 數 據 發 展 行 動 綱 要》積極推動政務數據開放與共享，通過各種形式的互聯網平臺建設，助力社會多元共治與公共服務的改革、創新。

　　從業務處理、問題分析到應用服務，政務大數據是新時期數字政府建設的核心資產，其數據安全問題也日益成為影響我國經濟、社會發展，甚至是國家安全的重要因素。在實際工作中，大數據需要持續流動和更新。只有通過數據的流通和使用，其功能價值才能被不斷挖掘和實現[1]。

　　大數據論文：基于大數據分析的新能源汽車行業發展研究

　　然而，復雜的網絡流通環境也使得政務大數據的完整性、保密性、可用性和可控性都面臨嚴峻挑戰。不僅數據泄露、越權訪問、數據篡改、數據丟失、侵犯用戶隱私等信息安全問題頻發，而且其數據安 全 防 護 的 復 雜 性 和 難 度 也 大 大 高 于 傳 統 的 信 息 安 全 管理過程。長期以來，面對網絡和信息安全問題，我們習慣于從技術層面尋求應對策略和解決方案，包括：加密存儲與傳輸、訪問驗證與控制、系統漏洞掃描和網絡攻擊追溯等。通過各種技術手段和方法，努力將核心數據和敏感信息保留在一個可控的有限范圍內。但是，隨著數字化時代的來臨，我們正面臨一個全新的議題，即數據的內容開放與信息保護同等重要。此時，大數據安全防護不僅是一個技術問題，它更涉及管理層面的制度建設與行為約束。

　　2017年，習近平同志在參加中共中央政治局集體學習時曾指出：“要切實保障國家數據安全，要加強關鍵信息基礎設施安全保護，強化國家關鍵數據資源保護能力，增強數據安全預警和溯源能力”;2020年12月，全國信息安全標準化技術委員會和工信部先后發布了《信息安全技術 政務信息共享數據安全技術要求》和《電信和互聯網行業數據安全標準體系建設指南》;而2021年6月10日，第十三屆全國人民代表大會常務委員會第二十九次會議審議通過了《中華人民共和國數據安全法》。

　　為了保障政務大數據的合理、有序和可靠利用，相關法律、法規和管理制度得到不斷完善。從技術到管理，我國日益重視政務大數據的安全防護能力建設。但相比宏觀層面的努力，在實際工作中，各級政府部門的理論認知和實踐應用都還存在諸多不足：一方面，政務大數據安全防護的技術和管理能力提升缺少明確的指標參考;另一方面，政府機關單位的軟、硬件環境改善缺乏有效的經驗借鑒和案例指導。

　　2 相關理論研究

　　總體而言，大數據安全指大數據全生命周期的信息安全，即在數據采集、流動、存儲、應用和銷毀過程中，保證數據不被竊取、不被泄露，保持數據真實性及質量的能力和狀態。全球最權威的IT研究與顧問咨詢公司 Gartner曾指出：大數據和云存儲環 境 正 在 改 變 數 據 的 存 儲、訪 問 和 處 理 方 式，未 來80%的大型組織將面臨大數據的重大安全問題，信息安全管理則必須采用以數據為中心的全新方法[2]。

　　2.1 大數據安全技術

　　在技術層面，西方發達國家一直以來都十分重視對大數據安全的理論和實踐研究。其中，考慮到大數據應用的生命周期特點，Mehmood等將大數據安全防護過程劃分為生成、存儲和處理3個不同階段，通過訪問控制、數據偽造等手段防止數據的非授權采集和隱私泄露，采用數據加密和完整性驗證方法保證大數據的存儲安全，并憑借隱私保護數據發布和隱私保護數據挖掘來實現大數據的處理安全[3]。

　　為了保障網絡環境下的數據安全，Cardenas等采用對抗式機器學習以及穩健 統 計 等 方 式 來 減 輕 惡 意 插 入 數 據 的 不 良 影 響[4];Erdmann則認為在數據處理時應當通過聚合算法將典型數據轉換為非典型數據，以降低用戶被識別出來的風險[5]。相比國外，國內在大數據安全技術領域的研究起步較晚，無論是從研究規模還是層次上，都與西方發達國家有一定差距。但隨著相 關 產 業 和 應 用 的 快 速 發 展，大 數 據 安 全 防 護問 題也開始得到技術領域越來越多的關注。

　　Wang等認為目前的安全防護技術難以滿足大數據時代的信息安全需求，在對現有技術進行系統化梳理的基礎上，指出了大數據安全技術進一步發展的突破口[6];Chen等從大數據生命周期安全和大數據平臺安全兩個角度分析了目前大數據發展面臨的安全問題，并提出大數據安全在標準缺口、關鍵技術難點和大數據安全分析3個方面的現實問題[7];Wei等從數據加密角度，對大數據的密碼使用、完整性校驗、訪問控制、密文數據去重與可信刪除、密文搜索等內容進行了深度分析[8];而 Tian等則致力于可信固態硬盤(TrustedSSD)的設計、開發，嘗試在硬件層面保障大數據的存儲安全[9]。

　　2.2 大數據安全管理

　　自1999年開始，由于金融、電信等行業的信息安全問題頻發，僅依靠當時的信息安全產品和技術手段已無法有效應對可能出現的各種風險，進而提出了“三分技術，七分管理”的口號，旨在通過對管理手段的強化，來解決越來越多的信息安全問題。此后，眾多專家、學者一致同意并倡導在使用技術的同時重視信息的安全管理。

　　以世界信息安全標準ISO27001[10]為例，其全部14個控制區域中，只有3個區域是純粹的技術要求，其他11個區域都需要采取信息安全管理手段來實現。而在大數據安全管理方面，美國學者 Tankard認為集中存儲、管理的大數據不應僅僅圍繞數據應用建立安全防護體系，其管理工作需要更多地關注數據本身的特征[11]。此后，Kshetri通過分析、調研，將隱私、安全和收益等目標要素與數據的收集、存儲、共享和可訪問性問題聯系起來，明確指出大數據的存儲和管理風險會隨著數據體量大小、多樣性和復雜度的提升而有所增加[12]。

　　近年來，從大數據的實際應用發展狀況出發，我國相關領域的學者針對大數據安全管理問題開展了一系列研究探索。其中，大數據安全管理的政策法規是研究的重點內容之一，例如：Feng等從大數據的隱私保護、信任和訪問控制等多個不同角度出發，指出只有將技術手段與相關政策法規結合，才能更好地解決大數據安全保護問題[13];Tian認為大數據涉及公共利益，需要通過立法手段來防范安全漏洞[14];Han則認為數據安全立法應兼顧安全和自由，實現多元共治是其最終目標[15]。

　　此外，也有大量研究針對大數據安全防護的工作要點進行討論，例如：Hu等在分析、整理多個行業大數據安全管理需求的基礎上，指出大數據安全問題涉及移動數據安全、易攻擊目標、用戶隱私保護、數據安全存儲、數據安全進化和信任安全等多個維度，且針對不同問題需要采取不同的安全保障策略[16];Huang等認為，降低或回避大數據的信息安全風險需要從組織所處的內、外部環境出發，在基礎設施、數據分析、數據管理、技術漏洞以及數據自身可信度、現有法律法規、行業內自律性、個人隱私意識、黑客攻擊9個層面采取應對策略[17]。

　　與此同時，也有研究從國家 甚 至 全 球 治 理 的 角 度 出發，對大數據的安全防護工作進行宏觀探討：Xu在分析大數據積累所產生的世界性影響的基礎上，指出在大數據時代中國所面臨的安全管理能力、存儲及處理能力、應用能力以及人才培養能力等多方面的挑戰，并提出了相應的對策和建議[18];Liu等則 認 為 傳 統 的 安 全 防 護 手 段 已 經 難 以 滿 足 大 數 據安全管理的現實需求，國家應該進一步完善相關安全標準、法律法規和監管體系[19]。

　　2.3 政務大數據安全與傳統的信息安全相比，大數據安全更加注重數據應用的安全性，即：在不暴露用戶敏感信息的前提下，對數據價值進行充分挖掘和有效利用。特別是對于政務大數據而言，其公共屬性決定了數據的安全防護工作需要在信息共享與隱私保護之間尋求一個最佳平衡點，既確保個人、企業隱私和政府秘密不被 泄 露，又 能 通 過 數 據 的 開 發、開 放 促 進 社 會 經 濟發展。正如 Meng等所述，如果僅僅為了保護隱私就將所有的數據加以隱藏，那么數據的價值根本無從體現[20]。在數字時代，政務大數據不僅是政府部門提升管理決策質量、優化公共服務供給的重要依據，也是政府、企業、民眾多主體互動、協作的基礎[21]。

　　針對數據開放與數據安全間的平衡關系，Zhang等認為個人隱私保護與政府數據利用之間相互制衡、彼此促進，在對中美兩國政策法規進行對比、分析的基礎上，提出了具體的應用發展建議[22];Cai等則從多個方面分析了美國政府數據開放的政策、法規和機構設置，為我國政務數據開放和安全防護提供了重要啟示[23]。

　　而在應用平臺建設方面，Yu認為我國政府的數據管理部門應加強大數據安全意識的培養，強化自主研發和部門間合作，構建政務大數據資源開放平臺，并通過政務大數據管理促進國家治理的現代化發展[24]。Du通過對美、英、澳政府數據開放平臺的隱私政策進行梳理和分析，建立了較為系統的評價指標體系，并在此基礎上對我國政務數據開放平臺的隱私保護現狀進行評價，認為其數據安全防護能力整體較差，用戶隱私面臨嚴峻挑戰[25]。

　　3 技術視角下的政務

　　大數據安全防護政務大數據的安全防護離不開技術層面的能力建設。由于政府部門間的大數據應用通常基于云計算平臺，采用分布式存儲、管理方式，且涉及多用戶間的共用、共享和功能交互，因此其安全防護技術包含網絡通訊、加密傳輸、身份驗證、智能合約等多方面的內容。雖然保障大數據安全的技術手段多樣，但現有的法律、法規和技術標準為政務大數據安全防護搭建了總體框架，明確了其基本工作思路和要求。

　　3.1 現有法律、法規及技術標準

　　目前，我國涉及網絡信息安全的法律法規主要包括《中華人民共和國網絡安全法》(以下簡稱《網絡安全法》)、《網絡安全等級保護條例》《中華人民共和國計算機信息系統安全保護條例》《中華人民共和國計算機信息網絡國際聯網管理暫行規定》《計算機信息網絡國際聯網安全保護管理辦法》和《互聯網信息服務管理辦法》。

　　其中，《網絡安全法》是我國為網絡空間管轄頒布的第一部法律。該法律雖然以“網絡安全”命名，但數據安全是其重要組成部分。該法律不僅強調“關鍵信息基礎設施”的保護工作，也明確提出了采取“數據分類、重要數據備份和加密等措施”來維護網絡數據完整性、保密性和可用性的相關技術要求[26]。與此同時，由公安部牽頭組織印發的《信息安全等級保護管理辦法》，特 別 是 2019 年 出 臺 的 “等 保 2.0”相 關 國 家 標準[27]，更將信息安全防護技術要求細分為具體的應用類別。在大數據安全防護方面，其根據應用場景的不同給出相對應的系統概念和模型，并明確了可供參考的安全控制措施。

　　目前，“等保2.0”中針對大數據的測評指標是政府部門大數據安全自查時應當遵循的最新標準。在技術要求分類上，“等保2.0”采用的是傳統的自底向上的標準體系，涉及物理環境、通信網絡和計算環境3個層面。在具體要求方面，安全物理環境僅要求機房位于中國境內;安全通信網絡提出了對大數據平臺承載應用及流量分離的要求;安全計算環境則提出了大量針對大數據平臺以及數據處理流程中的詳細技術要求，具體包含身份鑒別、資源存儲管理、工具組件管理、數據訪問控制、數據全生命周期管理、數據應用審計等技術要求。

　　3.2 政務大數據安全防護技術要點

　　政府機關單位的網絡和應用系統由行業主管部門和地方網信辦指導建設，一般都符合“等保 2.0”的物理環境要求。因此，政務大數據安全防護的技術要點主要集中于通信網絡和計算環境方面。其相關內容涉及網絡安全技術、平臺安全技術和應用安全技術等。政務大數據的網絡安全技術既包含以防火墻和入侵檢測為代表的傳統信息安全技術，又包括近年來逐漸興起和推廣的網絡安全態勢感知[28]、APT(AdvancedPersistentThreat)攻擊防護[29]和網絡回溯分析[30]等現代網絡安全防護技術。

　　從純粹的軟件功能實現到軟、硬件一體化應用，這些技術手段正在被越來越多地固化為特定的網絡安全產品，而相應設備的綜合防 護 與 日 志 分 析 能 力 則 成 為 網 絡 安 全 技 術 關 注 的焦點。政務大數據的平臺安全技術致力于解決分布式、多用戶平臺所帶來的各種潛在的數據安全問題，以確保不同功能服務在動態、隨機、復雜和開放環境下的有效性[31]。

　　其中，用戶資源的高效、安全共享以及個性化、多層次安全防護體系的構建是平臺安全的核心內容。為了實現該目標，相關系統需要基于虛擬化層次結構對底層故障進行有效屏蔽[32]，基于用戶間的信任關系對網絡數據流進行邏輯劃分與隔離[33]，并通過自動化程序對平臺資源進行可靠管控[34]。政務大數據的應用安全技術強調數據應用框架的整體可靠性。面對網絡計算過程中錯綜復雜的功能操作，它通過對數據管理系統的漏洞和缺陷進行修復、完善，使得惡意訪問和非法信息獲取的難度大大增加，進而提高應用抵御外部攻擊和信息泄露的能力。為了保證相應安全防護功能的實現，其需要解決的技術問題包括數據組件的身份認證、數據訪問的邊界保護、數據內容的協調管理和數據操作的動態審計等[7]。

　　3.3 政務大數據安全防護技術指標

　　根據相關技術要點，政務大數據安全防護能力在宏觀層面包含網絡安全、平臺安全和應用安全3個核心要素;而在微觀層面，各核心要素背后又分別涉及多項具體的能力指標內容。

　　(1)網絡設備防護(NetworkEquipmentProtection)指標關注于設備的功能完備性，主要考查設備運轉是否正常、是否定期維護巡檢、是否能夠維持特征庫的最新版本，以及其配置是否符合國家法律、法規的相關要求。

　　(2)網絡日志分析(NetworkLogfileAnalysis)指標關注于設備的日志存儲與分析能力，主要考查設備安全防護日志的保存時長，以及能否在日志分析的基礎上對可能存在的各種安全威脅進行有效防御。

　　(3)平臺故障屏蔽(PlatformFaultShielding)指標關注于系統的底層穩健性，主要考查相關云計算平臺的虛擬化功能和故障時期的資源調配能力，以及是否擁有足夠資源以滿足數據容災和虛擬機漂移等技術應用需要。

　　(4)平臺流量劃分(Platform DataflowDivision)指標關注于系統的安全域分割與隔離能力，主要考 查 SDN(SoftwareDefinedNetwork)網絡技術的使用情況，以及不同實現方式下數據流分離技術的實際應用水平。

　　(5)平臺資源管控(Platform ResourceManagement)指標關注于系統的資源監測與調控能力，主要考查平臺是否具備實時運行狀態的監測頁面和接口，是否支持計算和存儲資源的靈活調整和管控，以及相關技術的應用情況。

　　(6)應用身份鑒別(ApplicationIdentityAuthentication)指標關注于功能服務的接入可靠性，主要考查大數據應用的身份標識和驗證能力，以及能否對多用戶、多終端環境下的數據采集、導入和導出等應用操作進行自適應配置。

　　(7)應用訪問控制(ApplicationAccessControl)指標關注于功能服務的訪問授權能力，主要考查大數據應用是否具備相應的數據安全標記功能，以及基于安全標記的細粒度訪問控制與多角色應用協調的技術水平。

　　(8)應用數據管理(ApplicationData Management)指 標關注于功能服務的數據協同能力，主要考查大數據應用針對不同類別、不同級別數據的差異化管理功能，以及為滿足多用戶數據使用所采取的各種安全保障手段。

　　(9)應用操作審計(ApplicationOperationAudit)指標關注于功能服務的操作追溯能力，主要考查大數據應用對數據采集、處理、分析和挖掘等過程的跟蹤記錄情況，以及相關操作數據的收集匯總和集中審計功能。

　　4 管理視角下的政務大數據安全防護管理對于政務大數據的安全防護至關重要。然而，區別于技術層面的設備、平臺和功能服務升級，在管理層面，政務大數據安全防護能力建設的核心是人員和體制，包括人員的安全意識和安全能力培養、數據應用與管理的相關規章制度建設等。而國內外的先進案例為政務大數據安全防護能力建設提供了寶貴經驗。

　　4.1 國內外政務數據安全管理體系美國是世界上最早發展電子政務應用的國家，其業務體系相對成熟和完善。近年來，在大力推動政務數據開放、共享的同時，政府也高度重視網絡數據的安全防護問題。

　　一方面，美國政府注重對普通人員和專業技術人員的數據安全意識培養，通過多種渠道宣傳普及相關知識，構建了一整套網絡安全標準、知識體系和資質認定方法;另一方面，美國政府認識到信息安全情報共享在應對網絡安全威脅工作中的重要作用，建立了從聯邦政府至各地方、涵蓋多個行業的網絡安全信息共享組織機構;與此同時，白宮和國土安全部都從自身角度提出了相應的網絡安全風險應對策略，將國家保護和計劃局升級為網絡安全和基礎設施安全局，并在局內成立國家風險管理中心，通過政府部門與私營機構的信息共享和協調運作來應對關鍵基礎設施可能遇到的各種安全威脅。英國也是較早開展電子政務建設工作的國家之一。為了保障網絡數據安全，其政府部門出臺了一系列規劃法案和標準。

　　一方面，由英國標準協會編寫的 BS7799標準為各種機構進行信息安全管理提供了一個完整的體系框架，并被國際標準化組織采納，成為ISO17799國際標準;另一方面，英國通過立法和機構設置的方式進行信息安全管理權責劃分，不僅授權警察、國家安全等執法機構在必要時對數據信息進行合法監控，而且成立了網絡安全辦公室、網絡安全行動中心和網絡安全應急指揮中心。另外，2016年6月由英國下議院文化、媒體和體育委員會發布的《網絡安全：個人在線數據保護》報告還對個人數據保護涉及的政府部門、企業、服務商和用戶的具體工作提出了明確的指導意見。

　　與西方發達國家相比，我國的電子政務應用雖然起步較晚，但政務大數據安全防護管理工作發展迅速。在情報共享方面，我國已經建立了以國家網絡與信息安全信息通報中心為核心的網絡信息安全檢測、通報、預警和處理全流程工作機制;在安全意識方面，各級政府部門也逐漸從“以系統為核心”的傳統信息安全保障理念轉向“以數據為核心”的信息安全防護理念。

　　目前，我國正在努力構建政務大數據的開放、共享平臺，相關數據資源包括國家統計數據、中國政府數據，以及源自各省、直轄市、自治區的開放數據內容。但面對數據開放帶來的一系列信息安全問題，現有的數據管理體系面臨極大挑戰。首先，網絡安全信息共享的組織協調機構成立不久，缺乏有效的政企信息共享與協作激勵機制;其次，不完善的網絡信息安全管理制度增加了政府部門對自身數據的安全防護難度，數據被泄露、盜取、篡改的風險依然存在;再次，網絡信息安全事務的責任劃分還不明確，各部門的監管職權配置極易出現交叉和重疊。

　　4.2 政務大數據安全防護管理要點

　　由國外經驗和國內情況分析可知，人員的安全防護意識和防護能力提升是應對大數據安全威脅的關鍵，可靠的安全防護制度則是各組織機構信息安全防護體系構建的基礎。人員方面，政務大數據安全防護需要人們在頭腦中建立起基本的信息安全意識，即對數據安全問題和數據存儲、傳播介質的損壞保持應有的警覺。與此同時，參照信息安全保護相關的測評內容，不僅要求設備供應商具有一定的安全建設資質和運維服務能力，而且單位內部管理人員也要主動提升其自身的信息系統安全操作、檢查與循環整改能力[35]。

　　在有限的技術條件下，相關人員的信息安全知識、能力素養在很大程度上決定了政府機構的數據安全防護水平。制度方面，政務大數據安全防護是一個系統工程，各項網絡保護和數據管理工作的開展都需要相應的體制、機制約束。網絡安全情報共享機制的建立有助于提升政府部門對新型黑客攻擊和木馬病毒的防護能力[36];數據操作規范、管理流程和保護方案的制定使得不同類別、不同等級數據的采集、存儲、處理、應用、流動、銷毀等全生命周期行為過程得以有序推進[37];而各相關主體責任與義務的明確劃分對數據安全防護措施的有效施行也至關重要[38]。在特定體系框架下，只有依法、依規地對數據資源進行管理，才能確保政務大數據的存儲和應用安全。

　　5 省級機關單位A 的案例分析

　　在國務院所屬部委及其直屬機構的指導下，省級政府部門實際承擔了地區政務系統建設、日常運行維護、安全保障和數據管理的大部分工作，在大數據應用、管理過程中扮演著重要角色。而為了滿足日益豐富的數字化應用需要，各部門運維的系統數量逐年增多，所管理的數據規模也越來越大，涉及經濟、文化、教育、醫療等諸多領域。

　　大數據安全防護形勢日益嚴峻。作為省級政府部門的典型代表，機關單位 A 使用自建的云計算平臺進行數據管理和應用，并在數據安全防護能力建設方面做出了大量努力。經過多年發展，不僅其技術運行環境不斷升級，而且相關管理制度也得到進一步完善。面向網絡安全，機關單位 A 于2012年之前即完成了網絡防火墻和病毒防護網關建設。多年來設備運轉正常，按月巡檢并進行特征庫更新，符合等級保護三級要求。

　　自2017年《網絡安全法》實施以來，該單位進一步對安全防護設備日志和服務器日志進行分析。相關日志內容均留存6個月以上，并由設備維保商負責分析、研判和技術升級。面向 平 臺 安 全，機 關 單 位 A 一 直 采 用 較 為 成 熟 的VMWARE技術框架對云計算平 臺 進 行 虛 擬 化 管 理。雖 然未使用 SDN 網絡 技 術，但 該 單 位 通 過 服 務 器 管 理 和 交 換機接口區 分 也 實 現 了 業 務 流 量 與 管 理 流 量 的 有 效 分 離。

　　在功能上，基于 VMWARE 的 技 術 框 架，機 關 單 位 A 可 以實現計算和存儲資源的集中監測和管 控，卻 無 法 實 現 完 全的底層故障屏蔽。面向應用安全，機關單位 A 過去僅依靠數據庫系統自帶的用戶認證功能進行應用安全控制和管理。2018年，在大數據應用平臺建成后，其前臺訪問開始由業務系統鑒別，后臺訪問由堡壘機鑒別，滿足雙因素身份認證要求。然而，到目前為止，該系統還不具有基于安全標記的細粒度授權和訪問控制功能，且未對應用進行操作審計和分析。針對人員素養，機關單位 A 自2013年起就制定了一系列網絡安全和數據管理規定，并根據技術發展趨勢每年對內部用戶開展信息安全意識培訓。

　　其所使用的軟、硬件系統均通過政府采購招標流程購置，服務廠商具備相應的技術安全資質。而該單位的數據管理員和部門領導都對網絡安全環境、信息安 全 管 理 制 度 非 常 熟 悉，且 于 2015 年 獲 得 CISP(CertifiedInformationSecurityProfessional)專業證書。針對制度框架，機關單位 A 僅于2017年單獨購置了互聯網信息安 全 情 報 服 務，目 前 尚 未 建 立 起 穩 定 的 情 報 共 享機制。雖然出臺了《A 機關數據應用管理規定》《A 機關數據備份流程》和《A 機關數據恢復流程》等一系列規章制度，但數據的全生命周期行為還沒有得到有效規范。單位內部根據其《A 機關信息安全組織機構管理規范》對不同部門的工作進行劃分，而機關單位 A 與其他服務提供商之間則通過合同與保密協議的方式明確其各自的權責范圍。

　　基于多維度指標內容，對機關單位 A 近6年的大數據安全防護能力建設情況進行綜合評價和分析，可知：其在技術和管理方面雖然還存在著一些缺陷，但多年來整體發展較好。一方面，該單位的技術防護能力提升顯著，特別是2018年以后，隨著大數據管理平臺的開發，其在應用安全防護方面有了較大突破;另一方面，該單位在管理層面的能力建設還十分有限，除了人員素養提升，一直以來在制度框架方面缺乏足夠重視。

　　結束語

　　隨著地方政務數據開放、共享和大數據應用的發展，政府機關單位的數據安全問題日益突出。在此背景下，大數據安全防護已成為保障我國數字政府建設成效的重要內容。它不僅涉及技術層面的設備、平臺和系統建設，更包含管理層面的人員和制度建設。特別是省級政府部門，其政務大數據安全防護能力的高低在很大程度上影響著地方政府數字化改革的成敗。然而，受傳統認知框架的影響，我們在實踐過程中往往過度追求技術層面的提升和改進，而忽略了政府部門在管理制度上的改革與創新。相比昂貴的技術產品，可靠、高效的管理機制、策略和體系對于提升大數據安全防護能力同樣重要。

　　參 考 文 獻

　　[1] SUNX，SUNT.DynamicUrbanGovernanceinaBigDataCom-putingEnvironment：ConceptualConnotationand ApplicationFramework[J].E-government，2020(1)：20-28.

　　[2] MARRISON C.Gartner warnsofbigdatasecurityproblems[J].NetworkSecurity，2014(6)：1-20.

　　[3] MEHMOODA，NATGUNANATHANI，XIANG Y，etal.Pro-tectionofbigdataprivacy[J].IEEEAccess，2016，4：1821-1834.

　　[4] CARDENAS A，MANADHATA P，RAJAN S.BigDataAna-lyticsforSecurity[J].IEEESecurity & Privacy，2013，11(6)：74-76.

　　[5] ERDMANNJ.AsPersonalGenomesJoinBigDataWillPrivacyandAccessShrink?[J].Chemistry&Biology，2013，20(1)：1-2.

　　[6] WANG D，ZHAO W B，DINGZ M.AnOverviewofKeyTech-nologyAnalysisofBigDataSecurityAssurance[J].JournalofBeijingUniversityofTechnology，2017，43(3)：335-349，322.

　　作者：孫 軒1，2，3 王煥驍1

轉載請注明來自發表學術論文網：http://www.zpfmc.com/jylw/29938.html