施工信息化平台数据安全完善方案

施工信息化平台数据安全完善方案一、项目背景与目标

1.1行业信息化发展趋势与数据安全挑战

随着建筑行业数字化转型加速，施工信息化平台已成为项目管理、进度控制、成本核算的核心工具。平台汇聚了设计图纸、施工日志、人员信息、物资数据等海量敏感信息，数据价值显著提升。然而，当前数据安全形势严峻：外部网络攻击手段日趋复杂，勒索病毒、数据窃取事件频发；内部管理存在权限滥用、操作不规范等风险；数据跨部门、跨层级流转过程中，加密、脱敏措施不足，易导致信息泄露。此外，《数据安全法》《个人信息保护法》等法律法规的实施，对施工数据合规管理提出更高要求，现有安全体系难以满足监管需求，数据安全已成为制约平台高质量发展的关键瓶颈。

1.2项目目标与意义

本方案旨在通过系统性完善施工信息化平台数据安全体系，实现以下目标：一是构建覆盖数据全生命周期的安全防护机制，确保数据采集、传输、存储、使用、销毁各环节可控可溯；二是建立健全数据安全管理制度与技术防护体系，提升对内外部威胁的监测、预警与响应能力；三是满足法律法规及行业监管要求，保障数据合法合规使用；四是增强平台用户对数据安全的信任度，为施工企业数字化转型提供坚实的安全支撑。项目的实施对于防范数据安全风险、保护企业核心资产、促进行业健康有序发展具有重要意义。

二、现状分析与问题诊断

2.1现有数据安全体系概况

2.1.1技术防护措施现状

施工信息化平台目前部署了基础的安全技术设施，包括边界防火墙、入侵检测系统（IDS）和数据加密传输模块。防火墙采用基于应用层的过滤策略，能够阻断大部分非授权访问请求；IDS通过特征匹配模式识别常见攻击行为，如SQL注入、跨站脚本等；传输层采用SSL/TLS协议对敏感数据（如用户登录凭证、项目合同）进行加密。然而，技术防护存在明显短板：加密算法部分采用已过时的3DES，存在被破解的风险；终端设备（如施工现场的移动终端）缺乏统一的安全管控，未安装终端检测与响应（EDR）工具，导致恶意软件易通过终端入侵系统；数据存储环节仅采用本地服务器加密，未实现异地灾备，一旦发生硬件故障或自然灾害，数据恢复难度极大。

2.1.2管理制度现状

平台已制定《数据安全管理规定》《用户权限管理办法》等制度，明确了数据分类、访问控制等要求。制度规定数据分为公开、内部、敏感、核心四个级别，对应不同权限审批流程，但实际执行中存在“制度空转”现象：权限审批流程未完全线上化，部分权限通过邮件或口头申请即可开通，缺乏留痕管理；数据生命周期管理（如备份、销毁）未明确责任主体，IT部门与业务部门相互推诿，导致2023年某项目结束后，旧数据未按制度要求销毁，留存时间超过规定期限。此外，制度未覆盖第三方合作方的数据安全管理，如监理单位、材料供应商接入平台时，未签订数据安全协议，存在数据泄露隐患。

2.1.3人员与意识现状

平台用户包括企业管理层、项目管理人员、施工人员及外部合作方，人员数据安全意识参差不齐。管理层对数据安全的重视程度不足，认为“安全是IT部门的事”，未将数据安全纳入企业战略；项目管理人员对数据分类标准不熟悉，常将敏感数据（如客户信息）标记为“内部”，导致权限控制失效；施工人员多为临时工，缺乏基本的安全培训，存在使用弱密码、随意共享账号等行为；外部合作方人员流动性大，离职后未及时注销权限，2022年某监理单位离职员工利用未注销账号下载了多个项目的施工图纸，造成了信息泄露。

2.2存在的主要问题

2.2.1数据全生命周期各环节的安全漏洞

数据采集环节：施工现场的物联网设备（如传感器、摄像头）缺乏身份认证机制，非法设备可轻易接入网络，篡改采集数据。例如，某项目的混凝土强度传感器数据被外部人员通过伪造设备身份接入后篡改，导致强度检测报告失真，引发质量纠纷。数据传输环节：部分数据通过4G网络传输时未采用端到端加密，2023年某项目的物资采购清单在传输过程中被截获，导致供应商报价信息泄露，企业采购成本增加5%。数据存储环节：核心数据（如项目财务数据）存储在本地服务器，未采用分布式存储，且备份策略不完善，仅进行本地全量备份，未实现异地增量备份，一旦服务器被盗，数据将永久丢失。数据使用环节：权限划分过于粗放，普通施工员可查看项目整体进度表，包含其他施工队的敏感信息，存在内部信息泄露风险。数据销毁环节：数据删除后未进行彻底擦除，仅通过系统回收站删除，可通过专业数据恢复工具恢复，2023年某项目结束后，旧数据被恢复并泄露，导致企业失去后续合作机会。

2.2.2内外部威胁应对能力不足

外部威胁方面：平台缺乏专业的威胁情报系统，无法实时获取最新的攻击手段和漏洞信息，2023年遭受的勒索病毒攻击，因未及时获取漏洞补丁，导致系统瘫痪3天，直接损失超过50万元。内部威胁方面：缺乏内部行为审计系统，无法监控员工的异常操作，如某员工利用权限将项目数据拷贝至个人U盘，未被发现，直到客户投诉才发现。威胁响应方面：未建立安全事件应急响应预案，发生安全事件后，各部门职责不清，处理流程混乱，如2022年某项目数据泄露后，IT部门、法务部门、业务部门相互推诿，未及时通知客户，导致客户信任度下降，失去后续合作机会。

2.2.3合规性管理缺失

未落实《数据安全法》《个人信息保护法》等法律法规要求，数据分类分级管理未完全落地，敏感数据（如员工身份证号、银行卡号）未采用加密存储，违反了“敏感数据需采取加密措施”的规定。未建立数据安全事件报告制度，2023年某项目数据泄露后，未向网信部门报告，被处以罚款10万元。数据跨境流动未进行合规审查，某项目与国外合作方共享数据时，未进行数据出境安全评估，违反了《个人信息保护法》关于“个人信息出境需通过安全评估”的规定。

2.3问题成因分析

2.3.1技术投入与更新滞后

企业对数据安全的投入不足，2022年数据安全预算仅占IT总预算的5%，低于行业平均水平（10%）。安全设备更新不及时，防火墙、IDS等设备均为2019年采购，未升级至最新版本，无法应对新型攻击。新技术应用滞后，未采用零信任架构、数据脱敏等先进技术，仍然依赖传统的边界防护，无法应对远程办公、移动设备接入的安全风险。

2.3.2管理机制不健全

未设立专门的数据安全管理部门，数据安全由IT部门兼职负责，导致职责不明确。缺乏跨部门协作机制，IT部门、业务部门、法务部门在数据安全问题上未形成联动，如业务部门需使用数据时，未经过IT部门的安全评估，导致数据泄露。监督机制缺失，未定期对数据安全制度执行情况进行检查，如权限审批流程有没有严格执行，未进行检查，导致存在越权访问的情况。

2.3.3人员素养与意识薄弱

员工安全意识不足，2023年员工密码泄露事件中，80%是由于使用简单密码（如123456）或密码共享导致。专业人才缺乏，平台仅1名IT人员负责数据安全，未配备数据安全工程师、合规专员等岗位，无法处理复杂的安全问题和合规要求。培训体系不完善，未针对不同岗位开展针对性培训，如管理层需了解数据安全的法律法规，技术人员需了解安全技术，普通员工需了解日常操作中的安全注意事项，但培训内容均为“通用安全知识”，缺乏针对性。

2.3.4外部环境变化应对不足

未关注数据安全法律法规的变化，如《数据安全法》2021年实施后，未及时调整数据安全管理制度，导致违反法律规定。未关注行业内的安全事件，如2022年某大型施工企业数据泄露事件，未吸取教训，加强自身安全防护。未建立外部威胁情报机制，无法及时获取最新的攻击手段和防护措施，如2023年新型勒索病毒的防护方法，未及时更新防护策略，导致系统遭受攻击。

三、数据安全体系整体设计

3.1安全架构设计原则

3.1.1零信任安全架构

施工信息化平台采用零信任安全架构，摒弃传统“内外网边界防护”思维，建立“永不信任，始终验证”的核心原则。所有访问请求无论来自内部网络还是外部环境，均需通过严格的身份认证、设备健康检查和权限动态评估。例如，现场监理人员通过移动终端登录平台时，系统将验证设备是否安装终端防护软件、操作系统补丁是否更新，并基于其项目角色实时分配最小必要权限，仅可查看对应标段的图纸和进度数据，避免越权访问其他标段信息。

3.1.2数据全生命周期防护

构建覆盖数据采集、传输、存储、使用、销毁全链条的安全闭环。在采集环节，物联网设备（如传感器、摄像头）强制启用双因素认证，防止非法设备接入；传输环节采用国密SM4算法加密关键数据，如工程量清单和合同文件；存储环节对核心数据实施“加密+分片”存储，财务数据分片存储于不同物理服务器，单点故障无法导致数据泄露；使用环节通过数据水印技术追踪敏感操作，如设计图纸下载时自动添加操作者工号和时间戳；销毁环节采用数据覆写技术，确保删除后无法恢复。

3.1.3动态权限管控

建立基于RBAC（角色基础访问控制）与ABAC（属性基础访问控制）的混合权限模型。角色权限与用户属性（如部门、职级、项目参与度）动态绑定，例如施工员仅能在其负责的工区查看进度数据，当人员调离项目时系统自动回收权限。同时引入权限审批线上化流程，所有权限变更需通过OA系统提交申请，经部门负责人、安全官双重审批后生效，杜绝邮件或口头授权的漏洞。

3.2核心技术防护体系

3.2.1网络边界防护升级

部署新一代防火墙与入侵防御系统（IPS），实现应用层深度检测。防火墙启用基于行为的异常流量分析，自动阻断高频次扫描请求；IPS内置针对建筑行业的攻击特征库，如针对BIM模型的勒索病毒防护策略。针对施工现场4G/5G网络传输，建立VPN隧道加密通道，所有数据包通过国密SM2算法签名验证完整性，防止传输过程中被篡改。

3.2.2终端安全管理

实施移动设备管理（MDM）解决方案，为现场移动终端统一安装安全客户端。客户端具备以下功能：设备越狱/Root检测，违规设备自动隔离；应用黑白名单管理，禁止安装非授权软件；远程擦除功能，当设备丢失时可远程清除企业数据；网络准入控制，仅合规终端可接入平台网络。对于固定办公终端，部署终端检测与响应（EDR）系统，实时监控异常进程，如U盘拷贝行为需触发二次验证。

3.2.3数据存储与备份

核心数据采用“本地加密+云端灾备”双存储模式。本地服务器启用全盘加密（AES-256），数据库字段级加密存储敏感信息；云端灾备采用两地三中心架构，主数据中心与同城灾备中心实时同步，异地灾备中心每日增量备份。备份策略分级管理：财务数据每日全量备份，设计图纸每周全量备份，施工日志每日增量备份，所有备份数据加密存储并定期恢复测试。

3.3管理制度与流程建设

3.3.1数据分类分级管理

制定《数据分类分级实施细则》，将数据划分为四级：公开数据（如项目概况）、内部数据（如进度计划）、敏感数据（如成本核算）、核心数据（如客户信息）。每级数据对应不同的管控措施：敏感以上数据需经加密存储，核心数据访问需双人审批，操作全程录像。建立数据资产台账，自动扫描平台全量数据，标记敏感字段并生成数据地图，辅助安全审计。

3.3.2安全事件响应机制

构建“监测-预警-处置-复盘”闭环流程。部署安全态势感知平台，实时分析日志数据，异常登录、批量导出等行为触发自动告警；制定《安全事件应急预案》，明确不同级别事件的响应路径：一般事件（如单账号异常）由IT部门2小时内处置，重大事件（如数据泄露）启动跨部门应急小组，24小时内完成取证并上报监管机构；每季度开展应急演练，模拟勒索病毒攻击场景，检验响应流程有效性。

3.3.3第三方安全管理

建立供应商准入与退出机制。合作方接入平台前需签署《数据安全协议》，明确数据使用范围和保密义务；对其系统进行安全渗透测试，未通过测试的供应商限制数据访问权限；定期审计供应商操作日志，如监理单位查看图纸的频次和范围超出合理范围则触发预警。合作方人员离职时，通过API接口自动同步其账号状态至平台，确保权限及时回收。

3.4人员安全能力提升

3.4.1分层培训体系

针对不同岗位定制培训内容：管理层开展《数据安全法》解读与责任宣贯；技术人员聚焦漏洞挖掘与应急响应实操；普通员工强化密码管理、钓鱼邮件识别等基础技能。采用线上学习平台与线下实操结合的方式，新员工入职培训必须包含数据安全模块，考核通过后方可开通账号。

3.4.2安全意识文化建设

开展“安全月”主题活动，通过案例警示（如某企业图纸泄露导致竞标准失败）、安全知识竞赛、模拟钓鱼演练等形式提升全员意识。设立安全举报奖励机制，员工发现违规操作（如共享账号）可匿名举报，经查实给予物质奖励。在平台登录界面、文档下载页面等关键节点嵌入安全提示语，如“您正在操作敏感数据，请确认当前环境安全”。

3.4.3专业团队建设

设立专职数据安全岗位，包括数据安全工程师、合规审计员、应急响应专家。与高校合作建立实习基地，定向培养建筑行业安全人才；引入第三方机构进行年度安全评估，对标等保2.0三级要求持续优化防护体系。

四、具体实施路径

4.1技术防护升级方案

4.1.1网络边界强化

在施工现场部署下一代防火墙，替换原有2019年型号设备，启用应用层深度检测功能。防火墙策略基于行为分析自动调整，例如当检测到某IP地址在5分钟内连续尝试登录失败超过10次，自动触发临时封禁。针对监理单位等第三方接入，建立独立VPN通道，所有数据传输通过国密SM4算法加密，并使用SM2算法进行数字签名验证，确保数据完整性。在项目现场4G/5G路由器旁加装硬件加密网关，对传输中的工程量清单、合同文件等敏感信息进行二次加密，防止中间人攻击。

4.1.2终端管控体系

为所有现场移动终端统一安装MDM客户端，实现三大核心功能：设备越狱/Root检测时自动锁定账号；禁止安装微信、QQ等非授权社交软件；U盘使用需经审批并记录操作日志。固定办公终端部署EDR系统，监控异常进程行为，如检测到某员工在非工作时间批量导出项目数据，立即触发二次验证并推送告警至安全官手机。对于施工现场的物联网设备，启用设备指纹技术，每个传感器分配唯一数字证书，未认证设备无法接入网络，杜绝2023年混凝土强度数据被篡改事件重演。

4.1.3数据存储优化

核心财务数据采用“本地加密+云端灾备”双模式：本地服务器启用AES-256全盘加密，数据库中的客户银行卡号等字段使用国密SM4算法加密存储；云端灾备采用两地三中心架构，主数据中心与同城灾备中心通过光纤实时同步，异地灾备中心每日凌晨执行增量备份。备份策略差异化设计：财务数据每日全量备份并异地存放，设计图纸每周全量备份，施工日志每日增量备份。每季度在测试环境模拟灾难场景，验证数据恢复时效性，确保RTO（恢复时间目标）不超过4小时。

4.2管理制度落地措施

4.2.1权限管控流程再造

开发权限管理线上化系统，替代邮件申请模式。权限申请需包含三要素：申请事由（如“查看XX标段图纸”）、使用期限、业务部门负责人签字。敏感数据访问增加双人审批，除部门负责人外还需安全官复核。系统自动记录权限变更日志，包括申请人、审批人、操作时间、IP地址等全要素，实现可追溯。当人员调离项目时，HR系统自动触发权限回收流程，24小时内禁用所有相关账号，同步更新门禁卡、工地通行证等物理权限。

4.2.2第三方安全协议

制定《合作方数据安全责任书》，明确五项核心条款：数据使用范围限定在“必要最小权限”；禁止将平台数据转发至个人邮箱；合作方系统需通过等保二级认证；每季度提交操作审计报告；发生数据泄露承担全部责任。监理单位接入平台前，必须完成渗透测试，测试结果由第三方机构出具报告。合作方人员离职时，通过API接口自动同步账号状态至平台，确保权限及时回收。

4.2.3数据分类分级执行

依据《数据分类分级实施细则》，启动全平台数据资产梳理。采用自动化扫描工具识别敏感字段，如包含“身份证”“银行卡”“合同金额”等关键词的数据自动标记为敏感级。核心数据（如客户联系方式）访问需开启操作全程录像，并设置水印功能，下载的图纸自动添加操作者工号和时间戳。每月生成数据资产台账，标注敏感数据分布位置、责任人、加密状态，辅助安全审计。

4.3人员能力提升计划

4.3.1分层培训实施

针对管理层开展《数据安全法》专题培训，通过案例解析（如某企业因未履行数据保护义务被罚200万元）强化责任意识；技术人员组织“漏洞挖掘实战工作坊”，模拟攻击场景演练应急响应；普通员工进行“安全五分钟”微培训，重点讲解密码管理（要求12位以上包含大小写字母+数字+特殊符号）、钓鱼邮件识别（警惕“紧急通知”类标题）等实用技能。新员工入职培训增设数据安全模块，考核通过后方可开通账号。

4.3.2安全文化建设

开展“安全月”主题活动，设置三大环节：案例警示展板（展示2022年监理单位图纸泄露事件）、安全知识竞赛（设置“如何识别钓鱼邮件”等实操题）、模拟钓鱼演练（发送伪造的“项目资料领取”邮件）。设立安全举报奖励机制，员工发现违规操作（如共享账号）可匿名举报，经查实给予500元现金奖励。在平台登录页面嵌入安全提示语：“您正在操作敏感数据，请确认当前环境安全”。

4.3.3专业团队建设

设立专职数据安全岗位，包括数据安全工程师（负责系统防护）、合规审计员（监督制度执行）、应急响应专家（处理安全事件）。与高校合作建立“建筑信息安全实习基地”，定向培养既懂工程又懂安全的复合型人才。引入第三方机构每年开展一次等保2.0三级测评，对不符合项制定整改计划并跟踪落实。

4.4监督与考核机制

4.4.1安全审计常态化

部署安全态势感知平台，实时分析全量操作日志，重点监控三类行为：非工作时间访问敏感数据、批量导出文件、异常IP地址登录。每周生成审计报告，标记高风险操作并推送至部门负责人。每季度开展权限审计，检查是否存在闲置账号、越权访问等问题，对违规人员扣减当月绩效。

4.4.2应急演练制度化

每半年组织一次实战化应急演练，模拟勒索病毒攻击场景。演练流程包括：监测系统发现异常→自动触发告警→应急小组启动预案→隔离受感染设备→恢复备份数据→分析攻击路径→加固薄弱环节。演练后召开复盘会，评估响应时效（要求30分钟内完成隔离）、处置有效性（要求24小时内恢复系统）、沟通协调效率（要求跨部门协作无障碍），形成改进方案并落实。

4.4.3考核指标量化

将数据安全纳入部门KPI考核，设置四项核心指标：安全事件发生率（目标：0次/年）、制度执行率（目标：100%）、培训覆盖率（目标：100%）、漏洞修复及时率（目标：高危漏洞24小时内修复）。对连续三个月考核优秀的部门给予专项奖励，对发生数据泄露事件的部门实行“一票否决”，取消年度评优资格。

五、保障措施与持续优化

5.1组织保障机制

5.1.1数据安全委员会设立

成立由企业分管副总担任主任的数据安全委员会，成员涵盖IT、法务、业务、人力资源等部门负责人。委员会每季度召开专题会议，审议安全策略调整、重大漏洞处置、第三方审计结果等事项。例如某地铁项目数据泄露事件后，委员会紧急修订了《敏感数据共享审批流程》，新增“跨部门数据交换需法务部备案”条款。

5.1.2跨部门协作流程

建立“业务需求-安全评估-实施部署”闭环机制。业务部门提出新功能需求时，必须同步提交《数据影响评估报告》，由安全团队评估风险等级。高风险需求（如开放外部API接口）需通过委员会审批，并由安全团队全程参与技术方案设计。某智慧工地项目在接入政府监管平台时，安全团队提前介入，通过API网关实现数据脱敏，避免客户隐私泄露。

5.1.3岗位责任矩阵

制定《数据安全岗位职责清单》，明确三类关键角色：数据安全官（负责策略制定与监督）、系统管理员（负责技术实施）、业务数据管理员（负责日常使用监督）。例如某项目施工员离职时，业务数据管理员需在24小时内通知IT部门回收权限，并同步更新施工日志访问权限清单。

5.2资源保障体系

5.2.1预算动态管理

设立专项安全预算，占IT总投入的12%-15%，重点用于三方面：安全设备更新（如防火墙、EDR系统）、第三方服务采购（渗透测试、等保测评）、应急储备金（应对突发安全事件）。预算执行实行“季度评估-年度调整”机制，如2023年因勒索病毒攻击频发，追加20%预算用于终端防护升级。

5.2.2人才梯队建设

构建“引进-培养-认证”三级人才体系。引进具备建筑行业背景的安全专家，年薪较普通IT岗位高30%；内部实施“安全导师制”，由资深工程师带教新人；全员考取CISP-PTE（注册信息安全专业人员-渗透测试工程师）等认证，要求关键岗位人员持证率100%。某建筑集团通过此模式，三年内安全团队规模扩大至12人。

5.2.3技术合作伙伴

与三家安全厂商建立战略合作：一家提供威胁情报服务（实时更新攻击特征库），一家负责应急响应（承诺2小时到场处置），一家开展红蓝对抗（每季度模拟攻击演练）。例如2023年某项目遭受DDoS攻击时，威胁情报系统提前2小时预警，应急团队迅速启用流量清洗设备，保障业务连续性。

5.3监督与考核机制

5.3.1多维度审计体系

实施“技术+管理+人员”三位一体审计：技术层面部署日志审计系统，自动识别异常操作（如非工作时间导出图纸）；管理层面每半年检查制度执行情况，抽查权限审批记录；人员层面通过安全意识测评平台，考核员工对钓鱼邮件的识别能力。某项目连续三次审计发现监理单位违规下载图纸，终止其合作资格。

5.3.2安全绩效挂钩

将数据安全纳入部门年度考核，设置四项否决指标：发生数据泄露事件、安全培训覆盖率低于90%、制度执行率低于95%、高危漏洞修复超72小时。对连续两年达标的部门给予5%专项奖励，对考核不合格的部门负责人实施岗位调整。某分公司因未及时修复漏洞导致系统被入侵，分管副总被降职处理。

5.3.3第三方监督机制

每年委托具备CMMI五级资质的机构开展独立审计，重点检查：数据分类分级准确性、权限管控有效性、应急响应完备性。审计结果向委员会汇报，并作为企业信用评级依据。例如2023年审计发现某项目未对供应商进行背景审查，立即修订《第三方准入标准》，增加数据安全合规条款。

5.4持续优化路径

5.4.1动态漏洞管理

建立漏洞生命周期管理流程：通过漏洞扫描工具（如Nessus）每周检测系统；高危漏洞24小时内修复，中危漏洞72小时内修复；修复后由安全团队验证效果；每月生成漏洞趋势报告，分析攻击路径变化。某桥梁项目因及时修复ApacheLog4j漏洞，避免了潜在的数据泄露风险。

5.4.2安全策略迭代

每年开展一次安全策略评审，结合三方面因素更新：法律法规变化（如《数据安全法》修订）、技术演进（如AI威胁检测应用）、业务发展（如新增海外项目）。2024年根据《个人信息保护法》新规，修订了《员工信息处理规范》，明确生物识别数据的存储期限。

5.4.3行业对标改进

加入建筑行业信息安全联盟，参与制定《施工企业数据安全白皮书》，对标头部企业实践。例如某央企通过联盟交流，借鉴了“数据安全成熟度评估模型”，将自身安全水平从L1级提升至L3级。同时定期参加行业安全峰会，获取最新攻击手法防护知识。

六、预期效益与风险管控

6.1预期效益分析

6.1.1经济效益提升

通过数据安全体系完善，预计可降低因数据泄露造成的直接经济损失。2022年某企业因图纸泄露导致竞标准失败，损失合同金额2000万元，完善后将此类事件发生率降至零。同时，安全自动化运维将减少人工干预，IT部门故障处理时间缩短40%，每年节省运维成本约50万元。此外，合规性提升可避免监管处罚，2023年行业平均罚款金额为100万元/起，实施后可完全规避此类风险。

6.1.2运营效率优化

数据安全与业务流程深度融合将显著提升管理效率。权限线上化审批使开通时间从3天缩短至2小时，施工人员进场当天即可获取必要权限。数据自动分类分级减少人工标记工作量，原需5人/月的数据梳理任务现在由系统自动完成，效率提升80%。安全态势感知平台实现7×24小时监控，异常行为