案例摘要
针对数据安全管理中“管理与技术两张皮、安全技术碎片化、市县协同能力弱”等突出问题,丽水市数据局作为数据安全管理牵头单位,率先提出“数据安全一体化智能化管理”理念,构建“制度规范、技术防护、运行管理”三位一体的公共数据全生命周期安全防护体系。通过打造数据安全一体化技术支撑平台,建立统一资源管理、统一安全策略、统一监测预警、统一风险处置、统一稽核优化等协同机制,打破安全能力各自为战、厂商产品难以联动、内外能力无法融合等壁垒,实现安全资源可管理、未知威胁可监测、安全事件可闭环、管理工作可运营、防护效果可呈现。平台上线以来,已累计纳入管控资源216个,形成数据安全预警31300条次并全部闭环处置,数据安全事件零发生;通过“统一建设、分级运营”模式赋能全部九个区县,构建起全省领先的市县数据安全管理“一盘棋”格局。本案例以管理创新为核心、以中小城市为样本,为数字政府数据安全治理提供了可复制、可推广的“丽水经验”。
一、实施背景
随着数字政府建设深入推进,公共数据归集规模扩大、共享流通频繁、应用场景拓展,数据安全成为数字政府生命线。传统管理模式存在三大短板:
1.管理与技术“两张皮”:制度停留在纸面,与技术防护脱节;策略配置依赖第三方人工,缺乏标准化规则库。
2.安全技术“碎片化”:采购各种不同功能不同产商的安全产品,分类分级、权限管控、脱敏水印等技术能力分散,无法形成体系化防御。
3.市县协同“断层化”:区县能力薄弱,市级优质能力难以延伸,形成“市级强、区县弱”的结构性风险。
2023年市数据局进行第一次DSMM参照性评估,显示丽水市在组织建设、制度流程、人员能力等管理维度符合度偏低(分别为39.47%、21.43%、43.24%),而技术工具维度达74.34%。这一反差深刻揭示:短板不在技术,在管理;不在单点,在体系;不在建设,在运营。作为负责全市公共数据安全的职能部门,市数据局认识到必须从管理创新入手,以一体化理念重构数据安全治理体系。
二、实施目标
管理理念层面:从“分散防御”转向“整体防御”,从“被动应对”转向“主动运营”,从“技术驱动”转向“管理+技术双轮驱动”。
机制建设层面:构建统一资源管理、统一安全风险管理、统一安全策略防护、统一安全策略实施、统一安全策略稽核、统一安全监测防护、统一安全风险处置、统一情报共享、统一稽核优化等九大工作机制。
效能提升层面:实现“资源可管理、威胁可监测、事件可闭环、工作可运营、效果可呈现”五大能力,确保安全事件零发生;通过“统一建设、分级运营”将市级能力快速下沉,整体提升全市防护水平。
三、建设内容
(一)摸清家底,构建数据资产“一本账”
将丽水市公共数据平台作为防护对象,结合自动发现能力与人工导入,盘点应用、数据目录、数据库、表、接口及运维人员,形成管理资源目录。全市完成数据目录25857个、字段467820个,其中L4级(极高敏感)字段273946个、L3级(高敏感)109118个。纳入一体化管控的资源175个,对44名运维人员实施全链路管控,实现“人、资产、数据”精准画像与动态管理。
(二)制度先行,夯实安全治理“规则库”
系统解读《网络安全法》《数据安全法》《个人信息保护法》等13份法规文件,形成《丽水市数据安全防护策略规则表》84条,覆盖数据全生命周期六大阶段。编制发布《公共数据安全运维规范》《丽水市公共数据一体化管理指南》等系列制度,从组织建设、流程、人员能力等方面补齐管理短板。引入DSMM第三方评估,以评促建,针对8个突出问题制定整改方案,系统提升策略规划、组织制度、合规管理等薄弱环节。市数据局作为制度设计者,推动形成全市统一的安全治理规则体系。
(三)平台赋能,打造策略管控“中枢脑”
建设安全“策略中心”,根据数据安全级别,将83条防护策略辐射至全生命周期。通过自动下发或工单发布策略,联动权限管控、脱敏水印、水印溯源、接口管控、日志审计、数据加密等六类安全能力。累计下发策略596次,每周稽核复核;完成权限管控144个数据库、44个账号和149676张表,脱敏水印16210张表,审计216个资产、1029个接口,实现技术防护集中调度与统一管控。多厂商、多产品能力得以通过一体化平台整合,安全策略得到真正实施。
(四)智慧运营,建立监测预警“闭环链”
制定统一预警接入接口,将日志审计、接口管控、异常访问等异常行为统一汇聚到一体化平台。通过关联分析、场景分析、模型分析判定风险等级(特大、重大、较大、一般)。预警事件自动推送至事件中心,分发责任人处置,形成“监测—分析—预警—处置—复核”闭环。累计形成安全预警31300条次(高危9676次、中危5498次、低危4298次、无定级799次),全部闭环处置,数据安全事件零发生。相较传统模式下,预警事件分散、处置周期长、责任不清的状况,闭环机制大幅提升了响应效率。
(五)市县协同,织密全域防护“一张网”
创新“统一建设、分级运营”模式,区县通过采购平台“分域许可”加运维服务,快速建立县级防护体系,避免重复建设。以遂昌县为例,围绕县级平台四大库建立技术防护与运营管理,强化应用数据安全与“三同步”要求。全市10个区县全部接入,完成144个数据资产入库、18588个数据目录定级、1539个接口定级,分类分级完成率100%;实际管控144个数据库、44个账号和149676张表,脱敏水印16210张表,审计216个资产、1029个接口,闭环处置风险告警31300条,完成率100%。该模式使原本能力薄弱的区县能够以较低成本共享市级优质安全资源,真正实现了全市“一盘棋”。
(六)智能化策略调优,推动安全能力从“人工经验”向“智能驱动”升级
在实现一体化管理的基础上,提升数据安全智能化,推动安全策略从静态配置向智能自适应演进。一是智能化分类分级赋能。平台内置分类分级智能模型,根据数据内容、字段特征、业务上下文自动识别敏感级别,辅助各单位高效完成数据定级工作。系统支持智能推荐与人工复核相结合,将原有完全依赖人工的经验型定级转变为“机器初判+人工确认”模式,大幅提升分级效率与一致性。2023年开始嵌入公共数据平台数据编目应用,累计开展4737数据目录,101283数据字段分级,分类分级准确率达92%以上。二是智能评估赋能自查自评。建立数据安全智能评估模型,将数据安全要求转化为可量化的评估指标。各单位可在线开展数据安全自查自评,系统根据填报数据和后台监测日志自动生成风险画像,智能诊断薄弱环节并给出改进建议,实现“一键自评、智能诊断、闭环整改”。三是告警规则智能调优。针对平台累计形成的3813条次安全预警,通过关联分析、聚类分析和机器学习算法,自动识别告警规则中的误报、漏报及冗余规则。系统定期提出告警阈值、触发条件、聚合逻辑等优化建议,经安全运营人员复核确认后动态更新策略库。经过多轮调优,无效告警数量下降约30%,有效告警准确率提升至85%以上,显著降低运维人员负担,使安全监测资源更聚焦于真实风险。
四、实施效果
(一)管理效能显著提升:从“碎片化”到“一体化”
打破各自为战局面,构建制度、技术、运营三位一体的协同治理体系。在2024年DSMM评估中,组织建设维度符合度44.74%、制度流程维度42.41%、技术工具维度75%、人员能力维度47.30%;管理维度通过制度建设和流程优化实质性加强——以评促改后,组织建设、制度流程、人员能力等管理短板明显改善。数据安全管理从被动应对转向主动运营,从单点防护转向体系防御。
(二)资产底数全面清晰:从“模糊化”到“精准化”
完成25857个数据目录、467820个字段分类分级;市本级2500多张表中完成1800多张归集表血缘关系梳理;61个市级部门梳理136个应用系统,实现数据资产、系统资源、运维人员全要素、全链路、全周期管控。过去“有多少资产、谁在访问、风险在哪里”模糊不清的问题得到根本解决。
(三)技术防护体系成型:从“分散化”到“集约化”
平台持续迭代61个版本,实现128项功能需求,稳定运行无中断。市本级20个应用系统纳入管理,20个完成权限管控、脱敏水印、日志审计;累计下发、执行、稽核策略596条,优化9条,闭环处置风险告警31300条,处置率100%。统一策略中心实现多厂商能力整合,避免了传统模式下各系统独立建设、互不联动的重复投资。
(四)市县协同格局构建:从“单点化”到“全域化”
“统一建设、分级运营”模式覆盖全部10个区县,形成全市“一盘棋”。区县层面低成本、高效率接入优质安全资源,完成大量资产入库、定级和告警闭环,实现了安全能力的均衡配置与普惠共享。这在全国地市级政府中属于领先实践,有效破解了“市级强、区县弱”的共性难题。
(五)实战保障能力过硬:从“理论化”到“实战化”
亚运重保、省级飞行检查、区县交叉检查等多轮实战检验证明体系具备较强的监测预警与应急处置能力。数据安全事件零发生,预警100%闭环处置,敏感数据导出整改完成,安全监管从“事后补救”转向“事前预防、事中监测、事后追溯”的全流程管控。
总结:丽水市数据安全一体化管理实践以管理创新为核心、平台建设为支撑、制度规范为保障、实战运营为导向,充分发挥了政府管理部门的统筹主导作用,探索出符合中小城市实际的数字政府数据安全治理路径。作为全国首个实现市县一体化全域覆盖的地级市样本,本案例为同类地区提供了可直接复制的“丽水经验”。
完成单位:丽水市数据局
完成人:杜战、王玲玲、王茜