FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

一、战略背景与核心依据

（一）时代背景与安全诉求

随着数字政府建设的深化，政务大模型在两大核心场景的应用已成为提升政务效能的关键支撑：一是办公业务支撑，通过部署办公助手或嵌入政务系统，为内部人员提供资料检索、文案生成、数据分析等服务；二是公众政务服务，依托政务热线、数字服务平台，向公众提供政策问答、信息检索、业务导办等智能化服务。但与此同时，安全风险的传导性与破坏性显著增强：数据层面，超范围使用政务数据、敏感个人信息上传及权限管控不严可能引发信息泄露；系统层面，供应链漏洞、网络防护缺失使大模型成为网络攻击的新入口；内容层面，模型幻觉、数据集筛选不足可能导致违法不良信息生成，直接损害政务公信力。在此背景下，构建与应用深度适配的网络安全体系成为必然要求。

（二）核心遵循与对标标准

本战略以全国网络安全标准化技术委员会发布的《政务大模型应用安全规范》（TC260-004，以下简称《规范》）为唯一核心依据，全面覆盖文件中 “范围、规范性引用文件、术语定义、安全要求、测试方法” 等核心章节，严格对标以下关键要求：

1）全生命周期管控要求：贯穿大模型 “选用、部署、运行、停用” 四阶段的安全规范，确保各环节无安全死角；

2）三维风险防控要求：针对数据安全、系统安全、内容安全三大核心风险的防控措施；

3）技术与管理融合要求：结合安全护栏、日志审计等技术手段与制度流程、人员培训等管理措施的综合防控体系；

4）合规适配要求：衔接文件引用的 GB/T 36637—2018（供应链安全）、GB/T 45396—2025（政务数据处理）、GB 45438—2025（生成内容标识）等国家标准，同时明确涉密信息系统应用需额外遵守国家保密法律法规。

二、战略定位、原则与目标

（一）战略定位

立足政务大模型 “对内支撑办公、对外服务公众” 的双重属性，构建 “合规为纲、技术为骨、管理为脉、运营为血” 的网络安全战略体系，通过明确权责边界、部署防护技术、优化运营流程，实现政务大模型应用 “数据不泄露、系统不被攻、内容不违规、服务可信赖”，为数字政府建设筑牢安全屏障。

（二）核心原则

1）合规刚性原则：将《规范》要求作为不可突破的底线，所有建设、运营、停用活动均需通过合规校验，未达标的模型不得上线、存在隐患的服务必须暂停。

2）全链覆盖原则：实现从 “模型选型前的合规核查” 到 “停用后的 data 销毁” 全流程管控，同步覆盖 “人员、技术、流程、数据” 四大要素，避免安全能力碎片化。

3）风险聚焦原则：优先管控高影响风险，如政务敏感数据泄露、公众服务类内容误导、供应链恶意后门等，针对不同场景实施差异化防护策略。

4）协同共治原则：建立 “网信部门统筹、业务部门主责、技术部门支撑、第三方服务监督” 的内部协同机制，明确模型提供方、安全厂商等外部主体的安全责任，形成共治合力。

（三）阶段目标

1. 短期目标（1 年内）：基础体系成型，合规底线筑牢
   1. 组织与制度：成立专项工作组，出台 6 项核心管理制度，明确平台、数据、模型、应用四方提供方的安全职责；
   2. 合规管控：实现模型选用备案核查、部署漏洞扫描全覆盖，核心风险识别率 100%，完成首轮第三方合规评估；
   3. 人员能力：关键岗位人员（选用审核、运维

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）