数据安全典型场景2024案例集-西湖论剑

Collectionof2024SecurityScenarios数据安全典型场景案例集I编辑委员会指导单位：杭州市数据资源管理局发布单位： 杭州数据安全联盟杭州数据安全联合创新实验室专家指导组： 张斌、孙茂阳、胡琼达、曾露、李嘉明、徐舟、吴铤、寇亮、刘金飞、薛峰、周俊审核组： 方橙蔚、李聪辉、常凯新、卜嘉文案例提供单位： 杭州市上城区数据资源管理局杭州市拱墅区数据资源管理局杭州市西湖区数据资源管理局杭州高新区（滨江）大数据治理中心杭州市萧山区数据资源管理局杭州市余杭区数据资源管理局杭州市临平区数据资源管理局杭州市富阳区数据资源管理局杭州市临安区数据资源管理局建德市数据资源服务中心杭州市经济信息中心浙江省北大信息技术高等研究院南湖实验室国网浙江省电力有限公司信息通信分公司杭州安恒信息技术股份有限公司杭州城市大脑技术与服务有限公司杭州虎符网络有限公司杭州美创科技股份有限公司杭州孝道科技有限公司杭州中尔网络科技有限公司全知科技（杭州）有限责任公司闪捷信息科技有限公司上海凯馨信息科技有限公司深信服科技股份有限公司深圳市洞见智慧科技有限公司网宿科技股份有限公司星环信息科技（上海）股份有限公司中国电信股份有限公司重庆分公司随着以数据为关键要素的数字经济的蓬勃发展，数据已经逐渐成为基础性、战略性、先导性资源，对社会发展、国家治理产生着革命性影响。如今，数字中国建设已成为国家发展战略的重要组成部分，保障数据安全、促进数字经济发展是事关人民福祉、社会稳定和国家安全的重大问题。《中华人民共和国数据安全法》的出台和实施预示着我国数据安全管理工作步入全新的法制化阶段。在此背景下，数据安全不仅是数字经济稳健运行不可或缺的基础环节，更是推动产业实现高水平、高质量发展的核心要务。各政府部门、企事业单位、行业机构等多元主体，在实践运作中亟需建立和完善全面的数据安全治理体系，持续提升数据安全保障能力和管理水平。先进的数据管理体系通常涵盖数据共享、互联互通、开放利用及安全保障等多个维度，而数据安全则是支撑这些功能有效运行的基石。本案例集广泛汲取了数据细粒度治理、数据授权运营安全、接口使用安全、系统接入安全、批量数据共享安全、数据使用侧监管、安全风险监测、账号安全管控、第三方人员管理、密码应用等领域内的实际应用实例，深度剖析了数据安全在各典型场景下的挑战与应对策略，整理并呈现了一系列具有代表性的案例研究。同时，案例集囊括了诸多保障数据安全的核心技术和管理措施，如数据分类分级管理、账户权限控制、安全的数据开发环境构建、批量数据共享接口的安全使用、软件开发全生命周期的安全管控等。最后，衷心感谢您选择阅读本案例集。我们期望此案例集能为社会各界提供实用、有价值的参考依据，助力各行各业有效应对数据安全领域的各种挑战。在编写时尽管我们不敢有丝毫懈怠，但由于时间和能力有限，内容和编排上难免有不足之处，敬请读者批评指正。第一章数据细粒度治理场景 11基于AI识别的数据资产管理系统建设 22数据使用安全—敏感数据的精细化管控 5第二章数据授权运营安全场景 73全流程安全管控方案下的公共数据授权运营平台建设实践 8第三章接口使用安全场景 114接口使用安全 125政务应用API接口二次封装的自动化监测与发现解决方案 146API接口风险监测及处置方案 157基于API接口的能源数据安全建设实践 188针对API共享接口的精细化风险监测实践 20第四章系统接入安全场景 229基于零信任的政务外网安全接入平台 2310政务应用“上线即安全”解决方案 2511基于零信任打造政务外网终端的可信访问体系 27第五章批量数据共享安全场景 2912基于芯片级隐私计算的数据共享平台方案 3013基于云沙箱的数据隔离访问方案 3214基于隐私计算的省级政务数据开放平台 3415基于SophonP²C的隐私计算平台应用方案—以政务民生为例 3616基于隐私计算的政务数据计算价值共享 38第六章数据使用侧监管场景 4017数据交换场景中的API多重监管交叉审计 4118数据使用侧统一授权管理与监管 4319数据使用侧监管 45V第七章安全风险监测场景 4720基于全流量的流动数据风险监测方案 4821基于公共数据平台的开放数据中个人信息检查情况分析 5022基于可视化技术的数据访问监管系统设计与实现 52第八章账号安全管控场景 5423账号复用滥用发现方案 55第九章第三方人员管理场景 5724数字操作间系统 5825信息化建设第三方人员数据安全闭环管理 6026第三方人员管理 63第十章密码应用场景 6627密态数据流通解决方案 6728保护数字社会系统中的数据安全：商用密码技术的实践与应用 70第十一章综合场景 7229数据多节点泄露发现方案 73第一章数据细粒度治理场景 第一章数据细粒度治理场景2一、场景描述作为新型生产资料，数据资产在流通和使用过程中能不断创造新的价值。然而，由于数据价值提升、流动性加剧、防护边界模糊，以及数据自身海量无序、类型繁杂、场景多样等复杂因素的影响，数据安全风险变得异常突出，传统的以边界防护为主的网络安全手段已经难以有效应对这种挑战。因此，亟需从资产的视角对域内数据进行摸底盘点、分级分类、关联分析、风险评估等综合安全治理，实现数据全生命周期安全管理，确保数据来源可信、访问可控、操作可查和责任可追。本方案结合行业数据的本地化管理与直观可视、可查、可判、可用的实际需求，并结合相关工作机制，实现行业数据的更新维护，提高行业常态风险管理能力；进一步开展关键要素分类辨识应用，实现针对重点防护对象的判识、评估，并以一张图的形式分类分级显示成果；提供防护策略建议、专项评估报告动态更新等内容，为安全监管部门提供支撑。二、风险分析痛点主要包括如下四个方面：1.组织机构尚不具备数据分类分级能力组织机构对数据资产的规模、存放位置、敏感数据构成与使用情况等信息尚未掌握，无法根据数据的重要程度制定安全保护策略，直接影响了后续的数据安全体系化建设。2.可用数据分类分级信息滞后组织机构掌握的可用数据分类分级信息滞数据资产的真实情况，对数据安全能力建设效果的提升作用有限。3.内容识别技术准确度低当前的内容识别技术一方面需要大量的人工干预，另一方面会产生错误的数据分类分级结果。这会导致制定的数据安全保护策略不合理，从而对数据安全产生危害。4.缺乏数据安全风险监测能力组织机构对环境中敏感数据是否存在泄露、是否存在违规访问、是否有系统漏洞等情况不了解，导致数据安全工作的针对性不强。三、解决方案（一）数据安全分类分级服务数据安全分类分级起承上启下的作用。承上：从运维制度、保障措施、岗位职责等多个方面的管理体系都需依托数据分类分级进行针对性编制（管理体系与分类分级的结合，可强化体系落地执行性）。启下：根据不同数据级别，实现不同安全防护，如高级数据需要实现细粒度规则管控和数据加密，低级别数据实现单向审计即可。所以，数据分类分级是管理体系合理规划、数据安全合理管控、人员精力及力度合理利用的基础，是迈向数据安全精细化管理的重要一步。数据分类分级工作流程包含分类分级方案预研、分类分级方案确定、分类分级方案评审3个环节。流程如图：分类分级方案预研主要包含预研准备、数据资产梳理、方案设计等工作；分类分级方案确定主要包含方案预审、方案汇报评审和方案发布工作；分类分级实施主要是分类分级标识和安全策略规划工作。（二）数据安全资产管理系统数据分类分级方案确定后，下一步数据安全分级分类专员根据分类分级方案对数据进行分类分级标识，数据分级分类标识采用“工具”+“人工”的方式，通过自动化工具（数据安全资产管理系统）引入数据分类分级过程，加速项目实施速度，降低人力成本，降低错误率，提高输出成果的质量。31.系统概述通过对全域数据扫描和深度挖掘，对组织内的数据资产（例如数据源、数据表、字段、文档等）进行梳理，绘制数据地图，建立数据资产台账，帮助用户摸清数据资产家底，直观呈现核心数据资产的分布、状态、使用、流转等详细信息。同时，数据安全资产管理系统能够利用Ai算法、机器学习等技术，结合数据特征、元数据等信息，发现和定位敏感数据资产，并基于法律法规和行业标准，自动化完成数据资产的分类分级，为企业或组织构建数据安全运营体系打下坚实的基础。2.产品架构数据安全资产管理系统充分考虑了自身安全性、易操作、易维护等多方面设计要求，采用SOA架构将复杂的业务逻辑、流程控制逻辑和数据存取逻辑通过在不同技术层实现，使得技术实现与平台业务相分离，确保自身数据安全和业务效能最大化。功能通过平台内置的个人敏感特征库，发现和定位组织内的敏感数可控、可用”。同时，采用AI技术提升内容识别的准确性与识别工具的实用性和应用范围，支持结构化和非结构化数据。具体而言，本方案在关键字技术的基础上引入中文分词、模糊匹配和权重匹配技术，优化普通关键字的误报率；针对正则表达式，加入数据标识符，精确匹配身份证、银行卡号、社会保障号等有技术规范的内容；对非结构化文档的识别，支持为内容提取指纹，实现敏感内容分段保存，降低干扰内容影响，提升识别敏感信息和内容来源的水平；机器学习方面基于深度神经网络，用双向门控循环单元（GRU）网络进行中文分词，用深度卷积数据分类分级识别中针对诸如通讯记录、征信信息、房产信息等较难通过规则配置实现自动识别打标的数据，通过个性化建模方式构建模糊规则集实现数据智能打标。标签推荐技术实践中，主要采用经验知识与事实知识结合的理念。经验知识即标签信息可能包含的语料库或描述，如既往病史、住院记录等关键词汇；事实知识即实际的数据样本，通过多种模型的关联构建。通过机器学习技术，对待打标的数据进行预处理，如中文分词、关键词提取、词向量转换等，并利用TF-IDF算法进行关键词提取并结合word2vec算法进行词向量转换，最后计算待预测数据与每种标签对应数据的相似度得分，并依据该得分进行标签推荐。 第一章数据细粒度治理场景（三）与现有数据安全产品联动将分类分级信息与现有数据安全产品联动，实现敏感数据信息与安全风险等内容的实时同步，形成有针对性的数据安全防护策略，实现加密、脱敏、审计、访问控制等的策略协同与联防联动。（四）根据分类分级结果，自动监测敏感数据的流动和访问情况，在风险识别模型的基础上，采用AI技术提升风险识别能力（五）支持广泛的数据源类型本方案包括但不限于支持Oracle、SQLServer、MySQL、DB2、SyBase、Postgres、Informix等国际主流商用数据库，达梦、人大金仓、南大通用、金仓等国产主流商用数据库，HBASE、HIVE、HDFS、MongoDB等主流开源大数据存储组件，华三、华为等国内主流大数据平台的数据资产识别。支持对常见非结构化数据资产识别，包括doc、docx、xls、xlsx、ppt、pptx、pdf、txt、zip、rar、7z等文件类型。能够识别多层嵌套压缩文件内容、由文档转换而成的图片内容。（六）统计报表自动化生成本方案支持统计报表自动化生成与内容定制，能极大降低报表材料输出成本。四、应用成效国家政府部门为积极应对“互联网+”和大数据时代的机遇和挑战，响应全国经济社会发展与改革要求，将大数据平台的建设列为新时代信息化建设的重要工作。大数据平台汇聚了各行业的重要数据，对国计民生和社会安定至关重要。随着大数据技术持续快速发展，机构的数据安全能力面临着越来越高的要求，但机构普遍存在安全人员短缺、数据安全防护“孤岛”化的问题，这严重阻碍了大数据技术发挥价值。因此，数据资产管理系统作为大数据平台安全保障体系的重要组成部分，将对大数据平台的数据安全防护方案发挥积极作用，成为当前大规模市场需求的重点。某地建设的数据资产管理系统采用政务行业的数据识别规则模板和AI技术，对404张表共计11097个数据字段进行梳理，识别的自动化程度达到96%，极大地降低了人力成本。根据数据梳理结果将数据分类为四级，并制定了差异化的安全策略。为不同敏感数据制定的针对性的安全防护措施，优化了安全资源配置，使防护更加精准，整个防护体系统一管理，策略共享，防护无遗漏。数据资产管理系统采用独有的数据安全保障架构，数据资产的梳理、展现通过数据目录和数据映像等方式进行，数据资产管理系统自身不存储、不截留用户的真实业务数据，敏感数据样例展现也采用遮蔽脱敏方式。同时，数据资产管理系统的关键配置和操作也通过分权和二次授权模式进行限制和控制，确保用户业务数据在维护、管理过程中不会曝光和泄露。系统通过丰富的场景规则以及AI风险分析模型，为用户生成数据资产风险评估基线，同时综合其他相关安全数据和日志进行分析研判，实时监控、预测数据安全风险的变化趋势和偏离预警线的强弱幅度，并从行为、事件、合规性和脆弱性等维度为用户提供及时的风险预警和风险处置措施。上述策略在保证安全能力的基础上，既减轻了安全团队压力，又提升了防护效率。数据资产管理系统项目的建设，为数据安全行业提供了一种新的治理模式，超越了只交付产品的方式，提供了具有示范效应的安全防护案例，为数字经济的发展和数据交流融通提供了行之有效的安全保障。 第一章数据细粒度治理场景5一、场景描述文旅行业涉及很多具有高敏感性的个人数据，如身份信息、酒店入住信息、人脸信息以及家庭居住信息等。因此，某地文旅局以保护文旅数据为核心，防止游客隐私数据泄露为目的，发挥数据安全保障能力；消除SYSDBA和DBA等特权用户拥有数据库中最高权限带来的越权滥用随意访问敏感数据现象；降低日常运维中DropTable，TruncateTable等操作带来的安全风险，满足脱敏后的生产数据既能提供给开发、测试等环境，又能提供给数据交易、数据交换和数据分析等第三方数据应用场景的信息泄露防护要求；同时防范勒索病毒可能造成的系统不可用的风险。二、风险分析某地“智慧旅游”平台系统正常运行可能面临的安全风险包括：以网络防御为主，缺乏以数据资产为中心进行防护的意识，不能实现精细化管控；高权账号、高危操作层出不穷，无法进行事前管理与事中防御，缺乏全链路全面管控机制；开发、测试环境采用真实敏感数据，可能造成重要数据泄露；勒索病毒导致整个网络系统瘫痪等。以上任何一种情况都会造成重大的损失。为了“智慧文旅”平台能够有效应对上述安全威胁和风险，必须从组织管理、技术保障和人才能力等方面着手，通过各个层面的安全建设，发挥安全防护能力、隐患发现能力和应急反应能力，建立可靠的安全运行环境，以保障重要业务和数据的安全。三、解决方案本方案结合了具体的业务场景和安全需求，令数据平台在开发运维使用场景中，对使用人员进行分类、对开放给使用人员的数据权限进行分级，在使用过程中对数据的操作行为进行监测，能及时发现违规或异常操作行为。此外，本方案能全面梳理数据开发、测试场景业务流程，防范数据泄露风险，发挥公共数据安全监管能力，完善和落实数据使用场景相关安全管理制度，明确审批流程和要求，发挥数据安全运营能力和服务能力，借助日常巡检、风险评估和防勒索等手段落实安全保障。解决方案架构图如图：1.通过部署数据库网关，集数据库准入、应用访问控制、敏感数据脱敏、误操作恢复、运维审计等多种功能于一体，细化数据库访问控制粒度，识别和拦截高危操作行为，防范未授权删库/删表/清表、建库/建表/建视图/提权、越权访问、私建账号和违规导入/导出等风险操作。同时，能实现敏感数据发现管理、敏感数据危险操作防范、特权账户随意访问敏感数据限制，利用身份管理、授权等机制规范运维人员行为，实现运维人员高危操作的工单审批管理等，并提供全面审计分析报告。数据库网关功能示意图如下： 第一章数据细粒度治理场景62.结合数据库网关，根据最小授权原则操作生产库，按需导出业务所需数据，同时借助数据脱敏等技术实现对核心库的敏感内容去标识化或个人信息假名化，并保持脱敏后数据与业务数据的一致性与关联性。同时，实现真实数据的“可用不可拥”，防范重大数据泄露事件发生，实现文旅敏感数据在开发、测试，或数据交易、分析场景中的脱敏降级使用。数据脱敏功能示意图如图3：3.采用数据防勒索技术，以“识正御邪”理念为指导终止未授权进程访问数据，防止敏感信息文档和核心数据被加密勒索，确保终端上重要文档、服务器文件和数据库备份文件的安全性，同时使业务系统具备带毒生存能力，保障业务的高可用性。防勒索功能示意图如图4：4.提供常态化、持续化的安全巡检、漏洞扫描与现场应急等安全服务，协助运维人员发现、整改和复测安全问题，确保修复安全漏洞，形成安全闭环，提高平台业务安全对抗水平，规范内部数据处理人员各类行为，增强内部操作人员的安全意识。5.提供数据安全风险评估服务，及时发现系统中存在的安全风险，对症下药提供安全建议，降低设备采购与人员服务支出，以降低处理数据安全事件所需经济成本。四、应用成效1.解决数据库SysDBA、DBA、SchemaUser等特权用户权限过大的问题，提供了周密完整的身份认证解决方案，真正实现基于数据库访问用户的细颗粒度管控，将访问控制策略与敏感数据相关联，避免越权访问。2.利用“脱敏数据以假乱真”的功能特点，最大限度地保证脱敏后数据的“真实性”，即依然保持数据特征、业务规则、数据关联性，有效提升开发测试、数据分析的质量。3.遵循主动防御的思想，在安全措施上对勒索病毒的攻击进行阻断，并和其它主机安全防护措施共同作用，构建一个“主动防御、综合防范”的安全防御体系。4.通过数据安全服务，及时发现系统内部安全短板，预判可能存在的安全风险，实时进行风险监测和风险预警，提供安全事件处置服务，为平台安全提供保障。综上所述，通过一系列的安全措施和服务，保障日常工作中和业务高峰期系统安全运转，保障文旅大脑、全域旅游运营、假日旅游通、安心宿、智慧文博等平台汇聚的文旅数据安全。第二章数据授权运营安全场景 第二章数据授权运营安全场景8一、场景描述为了加快公共数据有序开发利用，培育发展数据要素市场，某市公共数据授权运营平台按照“原始数据不出域、数据可用不可见”的要求，合规推进数据加工使用、数据产品经营、第三方服务机构为核心的数字服务产业链上的政务数据安全可控。通过公共数据授权运营平台全流程安全管控方案，可以保障合规执行授权程序，获得公共数据资源与数据加工使用权；保障在数据产品加工使用与经营建设过程中的“数据可用不可见”；对接数据沙箱与隐私计算平台，配置严格可控的数据出域审核功能，实现数据跨域融合计算与交易流通。二、风险分析（一）数据脱敏与数据出域在公共数据加工与交易流通过程中，由于缺乏网络隔离、租户隔离、开发与生产环境隔离保护，存在数据脱敏与数据出域的安全风险。因此，需要全流程操作可审计，数据可溯源，以保障数据安全。（二）敏感数据泄露在公共数据跨域与集成外部数据过程中，存在敏感数据泄露风险、受限数据未审批加工使用风险，存在数据产品或数据服务用于或变相用于未经审批的应用场景的风险，需要配置分布式隐私计算能力，满足加工使用与经营产品过程中安全管控。（三）数据安全需要针对数据加工处理人员须实名认证与备案，记录并可审查其操作行为；同时，应保证原始数据对数据加工处理人员不可见，使用抽样、脱敏后公共数据进行数据产品的模型训练与验证。三、解决方案公共数据授权运营平台通过业务流程安全、开发环境安全、人员主体认证安全、数据加工安全、应用安全、合规审计安全、数据安全网关等维度，实现整体运行的安全风险管控。（一）业务流程安全公共数据授权运营平台采用开发链路一体化集成，管理开发主体准入、数据服务权限、场景认证审批、数据开发、隐私协作、产品开发、应用管理、运营管理、安全监管的工作流程节点。（二）开发环境安全搭建云桌面设备，严格执行公共数据授权运营安全策略，形成资源和数据集中化管理，按需动态分配，数据产品要素、应用代码等保存在云端，降低数据泄露风险。 第二章数据授权运营安全场景9（三）人员认证安全平台支持对授权数据加工处理环节的管理，对数据加工处理人员进行实名认证与备案；通过数据沙箱实现原始数据对数据加工处理人员不可见；通过使用抽样、脱敏后公共数据进行数据产品的模型训练与验证，保证发布代码安全，保证数据不泄露。（四）数据加工安全主要包括针对政务数据进行数据分级分类管理，对敏感数据（L4级）、较敏感数据（L3级）、低敏感数据（L2级）、不敏感数据（L1级），在公共数据授权运营平台，按照场景建设需要，进行原始政务数据申请。公共数据授权运营平台具备数据分级分类管理功能，按照通过场景认证的申请单，面向开发主体数据咨询、授权运营、数据开发等功能权限。（五）开发端运营端应用安全公共数据授权运营平台为开发端、运营端提供130多项操作埋点，基于多种协议进行日志采集，实现日志统一采集，集中管理和高效监控。对平台内置风险和安全事件进行行为监控告警，支持通过站内信方式进行发送告警，第一时间通知日志管理相关人员，快速定位并处理，提高预警能力，提升运维效率，降低风（六）合规审计安全全流程上链管控，在数据产生、处理、加工、融合与流转过程中，支持可视化展示数据处理过程、阶段及计算逻辑；平台依托区块链技术对过程进行记录，以实现对公共数据共享交换过程的可追溯，保障数据相关方的权责落实。 第二章数据授权运营安全场景（七）数据安全网关为数据产品API配置网关管理，兼容事件与任务流转业务属性，发挥多种业务场景下的“中枢”能力；实现对服务请求的协议转换、流量控制、接口监控、鉴权、路由等功能，确保开发人员对数据可用不可见，数据交易安全可控，提升数据要素流通效率与质量。四、应用成效（一）定性分析该市公共数据授权运营平台具备数据要素全周期安全监管、数据要素全链路开发管理、数据要素全流程运营管理“三全特点”，系统性规划建设“规则+市场+生态+场景”四维一体数据要素流通机制。亮点一：采用“3+1”模式，实现多平台合一、用户权限体系统一、数据资源调配统一、数据要素流通机制统一。可信空间实现数据授权平台、数据交易平台、隐私计算协作平台3平台融合，基于1套数据要素流通机制，无缝对接政务大数据平台，为政府管理侧、市场运营侧、可信空间建设运维支撑侧提供一站式操作界面。亮点二：采用“无菌数据操作间”软硬件融合监管模式，保障数据申请、数据加工、数据出域、数据交易等全链路、全周期的安全可控可溯源。从物理场地、网络控制、数据安全、制度建设上建立规范，确保公共数据不出域、数据可用不可见。亮点三：强化市场供需两侧信息对接，运行“供需大厅”、“特色专区”，为供给侧政府、企业数源单位，为需求侧数据服务商、第三方机构等，开辟实时在线数据资产、数据资源、数据模型、数据产品等展示交流机制，实现供需两侧精准对接。通过构建数据授权运营可信数据空间，实际解决当前数据要素提供方、使用方、服务方与监管方等各主体间的安全信任问题，实现数据归集、共享、授权应用及流通等技术功能，保障数据要素权益、高效合规应用，为全市公共数据授权运营、社会数据的融合应用、数据要素流通应用等多维度多场景的数据要素授权与数据产品开发，提供了基础设施保障。（二）定量分析该市公共数据授权运营平台已支持开展多个公共数据授权运营应用场景，主要包括金融、医疗健康、智能交通等。（1）个人经营性贷款服务应用场景，实现不动产等公共数据在金融场景下的融合与合规应用。通过数据授权运营平台可信空间申请不动产、社保、公积金等公共数据授权运营权限，经数据购买、创建授权、主体授权、令牌发放、令牌核验等程序审定后，在指定的内完成数据的抽样、脱敏、清洗、转义、开发等工作，建立金融产品开发的数据基础。利用部署在数据授权运营平台可信空间的应用服务开展数据管理，并进一步对数据进行建模分析，形成面向个人经营性贷款服务的信贷模型。（2）医疗健康领域医学大模型应用场景依托数据授权运营平台可信空间，对医疗方面的公共数据完成数据归集治理，通过该市公共数据授权运营工作机制实现数据授权应用。在指定的可信空间域内实现数据抽样脱敏处理并根据授权医疗数据进行医学大模型训练，确保原始数据不出域、数据可用不可见。医疗大模型建成后将优先服务临床医学事业。同时，医疗大模型将配合医生开展24小时辅助诊疗服务。未来将覆盖15个科室、3000多家医院，向医疗机构免费提供使用。同时医疗大模型将直接服务于民生、造福全民健康。医疗大模型将向广大群众提供便捷专业的线上咨询、求医问诊、健康管理等服务，进一步提升服务质量和效率。（3）智能交通车路协同应用场景主要围绕该市路口基础数据信息、交警信号机实时数据信息等公共数据，在数据授权运营平台可信空间部署安全效率服务系统对车辆定位及信号灯数据进行融合分析后，形成绿波车速、起步提醒、抢红灯预警、倒计时提醒、建议车道等智能服务，在原始数据不出域的前提下，向汽车车机系统、车载终端、移动端导航软件推送可直接面向公众应用的场景类智能应用。该应用将服务于该市交通治理服务，整体缓解整体交通通行压力，以数据算法模型对路上信号灯与路上车况进行科学分析与监管，辅助疏通路上拥堵情况以及动态调配，增加车辆的通行率。据不完全统计，等红灯概率降低18.66%；绿灯起步时间提升25.3%，节约1.83秒；路口排队长度减少14.3第三章接口使用安全场景 第三章接口使用安全场景一、场景描述在基于一体化智能化公共数据平台进行政务数据采集、归集、治理、共享、利用、销毁的整个过程中，都存在着通过API接口的数据共享与交换。本方案对数据通过API接口共享给使用方后的使用行为进行监管，能发现数据违规导出、越权调用、数据泄露等风险行为，并进行整改规范。二、风险分析（一）API资产梳理不清晰政务公共数据共享场景复杂，API接口多且调用频繁，部分接口通过API网关进行了管控，而部分接口未通过API网关发布。由于API接口传输的数据格式多样、接口参数变动大，因此难以通过接口之间的联系进行API的梳理，也无法完全理清接口之间的调用关系。（二）API接口缺陷感知不全面API接口的开发大多以业务优先为原则，因此在接口的技术路线选择上可能会有安全设计方面的忽视之处，导致API接口存在安全缺陷，比如接口存在弱口令等情况，容易被利用产生安全风险和隐患。特别是不在API网关监管下的接口，对其在实际使用过程中存在的弱口令等缺陷无法全面感知。（三）API接口风险发现不及时当API的漏洞被利用时，API接口以及重要数据的安全风险会持续扩大。并且，传统的安全风险监测产品在API接口安全风险的有效识别上存在较大难度，会造成风险发现不及时。三、解决方案本方案通过对API接口的流量进行分析和识别，能分析出接口使用过程中的安全风险，并有效保障接口使用安全。根据图2所示的API接口审计方案和图3所示的API接口审计流程，可以从以下几个方面实现接口使用的安全管控：（一）对API接口进行资产画像通过流量分析，实现对应用、接口等的识别，和全方位、多维度的资产画像展现：使用图表展示应用、接口资产的访问请求次数、敏感接口数、敏感数据数量、IP数的统计以及访问请求日志总数、用户账号及客户端IP的个数趋势和资产的关联风险、风险趋势。（二）对接口进行精确安全审计通过对HTTP/HTTPS协议进行深度解析，可审计到应用的请求状态（成功或失败）、执行时长、请求头、请求体、请求cookie、响应头、响应体、响应set-cookie、请求URL、请求方式、请求参数、会话（token）、用户账号、接口URL、数据标签、风险规则、风险等级等信息。 第三章接口使用安全场景（三）对API接口进行弱点检测通过对各种类型接口请求和响应数据的分析，发现接口设计的安全弱点，找出容易造成敏感数据泄露的接口和存在账号风险的接口，及时发现恶意攻击、撞库、接口未授权访问、敏感数据泄露威胁等行为，并进行告（四）对API接口的风险精确感知基于AI智能学习算法，构建API行为基线，能及时发现敏感数据泄露、接口异常调用、API攻击、IP攻击等风险，减少风险现误报情况。同时，系统具备自学习能力，对于处理后的告警误报，将不再被上报告警，据此可配合进行告警闭环处理，优化告警精准度、逐步减少告警误报。（五）会话回放能力建立在检索、告警、会话中选择任意请求进行日志回放，即可完整还原用户访问行为，提取与安全事件相关的所有访问记录做集中度分析，进而聚焦异常访问行为和数据泄露路径。（六）制定API接口管理相关规范制定《XX市接口日志审计规范》，保障接口使用过程风险可控。四、应用成效本方案对接口访问的流量进行采集分析，通过识别接口资产，分析接口使用行为，发现数据安全风险，可对接口访问内容等进行全面审计。本方案特点优势及预期应用成效如下：（一）敏感数据高效发现对敏感数据进行等级划分，依托公共数据分类分级结果，制定敏感数据识别规则，通过规则分析引擎高效且更细粒度地识别接口流量中请求和响应所含的敏感数据，并打上相应数据标识，对接口传输的敏感数据进行分类分级；同时可将敏感数据识别能力赋能到应用请求的安全风险识别，可以在API接口维度保障数据生命周期内的流动安全。（二）应用接口全盘梳理基于特定的数据挖掘算法，识别并建立接口资产列表，可对接API网关或者API管理文档、辨别僵尸接口、幽灵接口等未知接口，并对接口进行可视化展现、实时监测，从而对接口进行差异化监控，及时发现接口存在的安全风险。（三）敏感数据流动画像对接口的敏感数据调用行为进行完整的记录，利用智能数据分析技术，打造多场景、深入式、全覆盖的应用请求和响应数据智能追溯，可追溯到数据的源头和走向，以此作为数据取证的依据。（四）智能化分析与预警关注用户对关键业务系统、敏感接口、敏感数据的访问行为，利用强大的智能分析引擎，根据用户账号、客户端IP和访问特征构建用户模型，创建用户行为基线，通过规则、基线、大数据等分析手段识别异常访问行为并及时预警。（五）报表多维合规分析一方面，通过通用且丰富的报表模板，依据合规标准，多维度分析，可快速出具各类统计报表，轻松应对合规要求。另一方面，可自定义报表，满足个性化分析需求，大大提高风险分析效率，方便风险运营。 第三章接口使用安全场景一、场景描述目前政务应用API接口的二次封装问题较为普遍。为简化API的调用过程、增加API接口功能等业务需求，部分应用对API接口进行了二次封装，增加了敏感数据的暴露面。某地已总结了6种人工检查的方式，来尝试发现接口二次封装的问题，在总结经验的基础上，拟通过创新使用检测工具实现部分场景的自动化检测，以提高检测效率。二、风险分析由于政务系统自身安全性差异较大，对于API接口的监测能力不足，API监管往往是安全防范最薄弱的地方。面对违规越权操作、数据调用行为无痕等内部安全问题，某地无法有效对针对API接口的二次封装行为及由此带来的数据安全风险进行实时监测。三、解决方案本方案对API接口二次封装情形的定义及发现方式如下：查看文档和代码注释：API接口的文档和代码注释中涉及类似“封装”“重构”“简化”等词汇。检查请求参数和返回结果：请求参数和返回结果与原始API接口不同。观察API调用方式：API调用方式，例如参数的传递方式、调用方法的名称等，与原始API接口不同。检查代码结构和文件目录：API接口所在的代码结构和文件目录与其他API接口不同。测试API接口：通过调用API接口，观察返回结果和响应时间，发现API接口的性能和返回结果与原始API接口不同。根据以上情况，本方案通过以下两种方式对API接口二次封装的情形进行检测：一种是人工代码审计，另一种是使用自动化检测工具。代码检测：通过人工对API接口进行测试调用，或借助代码审计工具对比接口代码，来发现二次封装的API接口。拟通过自动化检测工具发现接口二次封装的场景：通过梳理接口的请求结构和返回结构，对授权接口进行监控，实时对比授权接口与其他接口结构的相似度，若相似度高则进行告警。图1.API接口二次封装发现方案架构图在政务云环境下，可通过在应用服务器上安装流量代理Agent的方式实现API二次封装的风险监测。四、预期成效从传统的人工安全审计检测向全面自动化安全监测转变：通过汇聚应用系统的流量，利用监测工具的人工智能分析引擎，从API接口的角度对二次封装的安全风险进行分析和识别，实时掌控API接口安全风险，为安全策略提供相应的决策依据。API接口审计可自动记录网络上流动的敏感数据，对API、应用资产安全开展定期、持续性的安全评估，可有效预防敏感数据通过接口泄露。同时通过自动化检测工具对接口进行检测，以提高检测效率。五、方案优越性API监测工具可与现有的数据安全平台对接，通过API接口层面的风险监测，在应用层落地数据安全检测和响应，提高数据安全管控平台的数据发现能力，全面感知数据安全综合态势数据（资产、重要数据和个人信息、API安全风险、数据泄露风险、数据安全脆弱性、数据跨境风险）。 第三章接口使用安全场景一、场景描述本方案主要针对大数据场景下，数据通过API接口、批量等方式共享给使用方后的使用行为的监管，数据违规导出、越权调用、数据泄露等风险行为的发现。本方案涉及以下五大场景：1.公众、企业、单位正常调用攻击、越权2.代办调用（帮助当事人代为办理）数据泄露3.下级单位调用敏感数据落盘4.共享接口二次封装（数据通过API接口出去后再次分享的安全性问题）5.数据回流（上级部门依据下级部门的职能和事权，按属地将统建系统中的数据及时返还至下级部门的过二、风险分析（一）API资产管理与运营由于API管理缺乏可见性，无法实时或定期开展API资产梳理和维护工作，导致存在未知接口、失活接口与未注册接口等；涉及敏感数据传输的接口缺少监控和记录，对风险没有感知，存在丢失大量数据的风险；同时，由于接口开发不规范导致的脆弱性和漏洞，传统防护视角以网络为中心，聚焦从外到内的应用供给防护，未覆盖API这种从内向外提供数据服务的场景，很难对API本身和流经API的数据做安全防护。（二）API接口脆弱性以及访问行为风险发现不安全的API接口会直接扩大程序的攻击面，针对接口脆弱性与访问行为攻击等内外部安全风险，即使建立了身份认证、访问授权、敏感数据保护等机制，有时仍无法规避黑客模拟正常用户行为实施的攻击。如何管理API的访问行为，发现接口自身脆弱性问题，如：明文密码、敏感数据未脱敏、接口未鉴权等，从API访问请求中及时准确识别业务风险，推进风险闭环，是API安全管理的重要一环。（三）通过API导致的数据泄密缺乏溯源手段API是数据共享交换的关键通路，通过API传输的数据主要是面向高流动性的业务数据，数据的持续流动特征容易导致责任划分不清、权限难以控制与问题难以追责等问题。在数据整合共享过程中，往往有多个主体参与——数据提供方、数据共享交换服务方和数据使用方，而数据又在不同主体之间流动，这就导致主体的保密责任不清晰。因为API本身的不可见性，一旦发生数据泄密，其范围、时间、对象和方式等都难以明确，导致数据泄露难以溯源。三、解决方案（一）总体思路解决方案围绕IPPDR模型（识别、预防、防护、检测、响应）构建整体API数据安全防护体系，如图1所（二）架构设计数据安全大脑：采用容器化软件方式进行旁路部署，通过agent或API安全访问代理系统获取业务系统访问流量，基于敏感数据自动梳理API资产，全面审计API请求，识别API接口脆弱性和访问风险，并支持阻断策略统一下发、联动防护；API数据安全代理：采用容器化软件反向代理模式进行部署，具备统一API接入、认证鉴权、访问控制、API攻击防护、数据动态脱敏与数据水印等能力，能保护数据中台数据安全，避免数据泄露。 第三章接口使用安全场景该架构示意图如图2所示。（三）功能设计1.API资产管理通过探针或代理网关采集数据流量之后，本方案基于HTTP/HTTPS协议对传输流量进行解析自动完成接口梳理。基于敏感数据类型，梳理当前对外的接口、接口类型、接口是否涉敏、接口状态等信息，通过API接口聚合自动关联应用与API，识别当前应用、接口、数据之间的关系，形成API数据资产清单。同时，本方案可以将数据分类分级的标签结果，与API资产中的敏感数据类型自动关联，分类分级标签可以选择指定字段进行数据动态脱敏、访问控制等数据保护。2.风险预防接口脆弱性识别：本方案内置接口脆弱性规则，能够自动识别接口脆弱性风险分布情况，支持口令认证类、安全规范类、访问权限类、数据暴露类、接口未授权访问与敏感信息泄露等类型的API脆弱性检测。访问权限控制：本方案能提取各个安全服务产品中的通用规则，构建统一的安全策略中心，支持通过访问主体、访问对象和访问请求开展的动态访问控制。其内置丰富高效的安全策略算法，提供黑白名单、IP过滤、应用过滤、自定义规则，以及大量的风险策略，包括用户未授权访问检测、接口越权调用、敏感数据外泄风险监测等，并依据用户、接口、数据权限及风险等级，实施不同的事件响应措施。3.数据防护敏感数据动态脱敏：本方案支持与数据治理平台、数据网关对接，能够对web应用、API形式调用数据的行为进行解析和监控，并自动分析其中包含的敏感数据。本方案预定义了多种敏感信息内容，如：用户姓名/邮箱账户信息/电话号码/银行卡号/身份证号码/社会信用代码/护照号码/港澳通行证号码/手机号码/地址等，能够实现敏感信息精准识别与敏感数据自动脱敏，防止敏感信息被非法泄露。API水印溯源：API数据安全代理系统支持明水印和暗水印两种方式，API文档暗水印能将一些标志性信息嵌入到文件当中，但不破坏其显示效果，不影响其正常使用。API攻击防护：支持对JSON和XML格式文件的解析，同时通过智能规则匹配以及智能语义分析检测引擎对API流量进行实时检测，针对异常的API请求进行拦截，可对通过API接口进行的SQL注入、代码注入、命令注入、XSS等攻击行为进行有效防护。4.API分析检测异常访问风险检测：本方案基于大数据计算和机器学习技术，对采集到的API应用服务器进行安全建模，通过API攻击检测与异常行为分析，自动生成安全基线，构建数据安全访问模型。在业务运行过程中，能对敏感数据的访问行为进行分析，在出现如数据违规使用、API异常调用、运维人员大量获取敏感数据等异常行为时，及时向用户预警。此外，能针对短时间内大量获取敏感数据、访问频次异常、非工作时间获取敏感数据、敏感数据外发等异常调用、异常访问行为进行实时监测分析，根据自身业务应用程序接口（API）情况建立正常行为基线，防范内部违规获取数据、外部攻击或网络爬虫等数据安全风险。场景化安全事件检测：本方案使用用户真实环境做上下文关联，把客户端上报的多条告警建模为具体事件，以攻击链形式还原攻击全貌，直观展现攻击风险主体和攻击画像。同时，能实时将数据共享交换过程中的API接口调用情况（包括接口调用异常）和敏感数据流转过程进行直观展示，对包括风险主体、风险时间、风险事件、风险举证详情与原始日志关联等在内的风险进行举证展示。5.API响应处置数据泄露快速溯源：API数据泄露溯源机制可分为线索溯源和主体溯源。线索溯源以泄露数据内容为线索，在系统中进行回溯，通过提取API日志中的相关记录进行分析，明确责任人和泄露路径；主体溯源根据账号、接口信息等访问特征线索筛选日志流量信息，分析匹配特征，追溯事件源头。发生数据泄露之后，管理员通过将泄露数据导入或手工输入监测模型对泄密数据样本进行溯源审计。产品联动处置：本方案在围绕数据安全大脑进行统一的API资产梳理、敏感数据识别和风险监测之后，进一步进行风险闭环操作，通过与API数据安全代理产品联动，可以针对API风险监测检测到的动态数据安全风险，手动下发策略到API数据安全代理处，对高危异常行为风险制定灵活的处置策略，包括阻断、告警、脱敏、水印等。同时，通过发挥一体化的API数据安全闭环能力，实现更加精准、有效的API数据安全防护。四、应用成效（一）自动梳理、省心便捷本方案通过数据安全大脑自动完成API数据资产梳理，以敏感数据为中心，自动梳理涉敏应用、涉敏接口与涉敏数据信息，构建API基线画像，轻松掌握敏感数据和接口分布情况，做到数据资产心中有数。本方案内置数十种脆弱性和风险模型，能够快速检出API接口脆弱性和访问风险，推动风险接口整改，提前预防风险事件发生，使API资产管理更省心。（二）实时检测，精准定位本方案通过数据安全大脑内置风险策略模型，结合大数据和UEBA识别技术，能够实时检出潜在数据访问风险，构建API访问风险行为基线，利用场景化的攻击检测能力，将基础风险告警进行关联聚合，以故事链的形式还原API风险攻击过程，形成场景化的安全事件，从而快速掌握风险主体和攻击画像，提升风险检出精准率，实现风险精准定位，降低日常API安全运维成本。（三）产品联动，智能防护本方案能根据基于数据安全大脑的安全事件识别结果自动下发处置命令到API数据安全代理系统，管理员也可以基于敏感数据和API的识别结果手动下发处置策略，包括：水印、脱敏与访问控制等。通过一体化的平台构建和基于WISE语义的引擎防护能力，本方案能构建数据安全防御基线，提升风险闭环效率和准确率。（四）一键溯源，有理有据本方案基于大数据搜索引擎和HTTP请求报文级日志记录，可基于关键字或文件一键溯源，溯源时将泄露的数据进行特征提取，并在存储的全量数据访问日志中对提取的特征进行高效检索，在获取到可疑的数据泄露路径和泄露时间后，能快速定位数据泄露的机构和人员，令API数据泄露责任认定有理有据。 第三章接口使用安全场景一、场景描述某地能源数据中心作为连接政府单位、能源行业、用能企业、社会民众的能源信息互联平台，承担全省能源数据的采集、汇聚、加工与应用，目前已汇聚能源数据570亿条。由于数据交叉互通错综复杂，数据泄露风险日益上升，能源数据中心公共数据的安全保障面临严峻挑战。API是数据最重要的传输方式之一，也因此成为攻击者窃取数据的重点攻击对象，三分之二的数据泄露事件是由不安全的API造成的。拥有上千个API接口，为消除这些接口的安全隐患，提升数据安全防护能力，某地能源数据中心开展能源公共数据API接口安全建设实践，保障能源公共数据安全。二、风险分析（一）能源数据API接口监管风险随着能源业务数字化进程加快，当前能源数据API接口管理面临接口数量庞大、归属部门众多、与外部对接情况错综复杂等问题，API接口安全管理难度日益提升。传统的台账记录式资产管理难以全面、实时掌握API资产，造成部分API接口被隐匿，无法落实API接口安全管控措施，难以开展漏洞与异常行为的监测发现，可能引发重要能源数据泄露风险。（二）能源数据API接口越权使用风险以往的API接口鉴权方式主要是通过验证接口调用方的业务id及密钥传参实现认证。第三方使用同样的业务id及密钥即能访问该数据接口，而无需重新获得授权。这种单一且未真正与调用方身份绑定的鉴权方式，将导致API接口易被越权使用、滥用，在出现安全事件后难以审计溯源到真正的责任方。（三）能源数据API接口恶意攻击风险能源数据中心承载众多业务应用和上千个API接口，这些接口中可能存在着接口未鉴权、水平越权、接口可遍历等安全漏洞，涉及口令认证类、数据暴露类、访问权限类、高危接口类、安全规范类等维度的弱点。这些不安全的API接口会持续扩大应用程序攻击面，让黑客更容易侦察、收集配置信息以及策划网络攻击。三、解决方案（一）解决方案总体架构 第三章接口使用安全场景能源数据API接口安全建设实践解决方案总体架构如图所示，由流量解析、数据处理、核心引擎模块、应用场景和可视化五部分组成。解决方案基于API接口资产管理、内部接口权限管理与对外开放安全防护，完善API安全工作机制，推进API风险监测、响应、处置、整改全流程闭环管控，全面提升API安全监测、防护、处置水平。（二）能源数据API资产管理能力建设能源数据中心通过解析流量自动化梳理所有内外部API，形成全量接口资产清单，并将所有API接口纳入API网关进行统一管理。同时，基于API资产清单，进一步深入刻画API接口画像，对接口进行分类（如登录接口、敏感数据接口、数据采集接口、文件上传接口、文件下载接口等梳理并展示API接口的基础信息（如API接口归属业务系统、部门及负责人等）、运行情况（如整体调用情况、敏感数据涉及情况等）、状态信息（包括新增、活跃、失活三种状态），有效支撑API漏洞监测、异常行为发现和API状态追踪。（三）能源数据API接口权限管理能力建设能源数据中心能明确所有API接口的调用方身份，与公司内部应用台账匹配，确定调用方的固定可信IP，将该IP地址作为补充的身份认证信息，并将IP加入API接口调用白名单中。API接口在被调用时，将同时验证调用方的IP和密钥，全部通过验证后才能实现接口访问，避免调用方的身份被冒用从而导致接口的越权访问。（四）能源数据API开放安全防护能力建设能源数据中心基于API接口基础信息，评估所有开放的API接口是否存在数据安全漏洞，包括API接口未鉴权、水平越权、接口可遍历、接口数据暴露面过大等，并督促相关责任方尽快修复缺陷。能源数据中心同时对API攻击行为开展监测，利用无监督学习算法，基于参数模型主动对API接口进行攻击学习，识别API扫描或试探等攻击风险。通过对数据行为的上下文分析，发现有价值的数据泄露风险，对API攻击、API数据滥用、API异常调用等行为进行告警，并根据实际情况进行风险规则的优化和调整，避免出现大量误报。此外，对于发现的风险，联动API网关设备进行阻断，形成数据安全风险闭环管理，防止API数据滥用和数据泄露。四、应用成效（一）定性分析该地能源数据中心通过本项目方案建设，提升了平台数据安全防护能力，解决了能源公共数据共享安全痛点，加快推进了电力数据与外部数据的融合，实现了大数据应用服务从电力系统内部向全行业、全领域、全链条的安全拓展延伸，促进了数据要素价值的充分释放。（二）定量分析该地能源数据中心通过本项目方案建设，实现了对重要数据的流转监控、敏感数据的节点监控、数据安全事件的风险监测。监测过程共计扫描数据应用60余个，梳理API接口达千余个，涉及数据570亿条，发现数十个接口存在安全隐患并及时完成整改。本次建设实践大幅提升了中心的接口资产管理水平、接口漏洞隐患发现水平和漏洞阻断水平，预计提高事件处理、隐患排查、数据溯源效率50%以上。能源数据中心通过推动对API接口安全隐患的监测、响应、处置与整改，形成了良性的安全治理循环，为面向全社会开放数据服务提供了重要安全支撑。 第三章接口使用安全场景一、场景描述数据接口共享指本区域内利用公共数据共享平台，通过API接口共享方式进行本层级或跨层级的数据共享行为，其安全关系到公共数据平台和调用双方的系统安全，并可能造成敏感数据泄露等风险。API接口共享安全的精细化风险监测是指通过实际的调研分析形成一套含日志记录、分析审计、策略预警的标准规范，从制度层面解决数据安全预警工作的多源汇聚难、统一分析难、策略制定难等问题，通过接口安全监控、日志审计、操作行为分析等技术手段，对接口共享的流量、日志进行风险分析和预警处置，形成有制度指引、有技术落实、有运行管理的接口监测场景。二、风险分析公共数据接口共享安全风险因素主要分外部和内部威胁两类，外部威胁主要包括接口漏洞导致数据被非法获取、接口水平越权、接口使用方非法本地留存接口数据、接口二次封装、接口请求参数被非法篡改等风险；内部威胁主要包括未脱敏数据在传输至前端时，如被接收方终端缓存，可能导致敏感数据暴露；接口缺乏有效的返回数据筛选机制，可能由于返回数据类型过多、数据量过大等因素造成数据库挂起、应用崩溃等隐患；非工作时间访问、访问频次超出业务需要等异常访问行为的风险。目前针对API共享接口的安全分析大多是单维度的，无法进行多源安全数据的智能关联分析，无法发现深层次的接口调用违规非法行为，如蚂蚁搬家、二次封装等；且由于API接口监管能力的安全数据源来自多品牌产品，数据格式不统一将导致分析能力的大打折扣；随着省市县三级数据网关的统一化集约化建设，数据安全的态势感知三级联动工作不断推进，针对数据安全监管能力的标准化需求迫切，形成全省一套日志分析标准和预警策略规范迫在眉睫。三、解决方案基于针对API共享接口的安全监管分析，其涉及到多方日志对接和智能关联分析，因此剖析本场景解决方案一是形成一个日志分析标准，统一日志格式和内容；二是通过实践倒逼一套预警策略规范，提高数据共享场景的监测预警能力的标准化；三是迭代数据安全管控平台监管能力，形成安全风险精准预警、快速处置、联动防护的闭环能力。 第三章接口使用安全场景（一）一个日志分析标准基于《DB3301/T0371—2022一体化智能化公共数据平台日志规范》，通过调研API接口共享相关的日志对接方，完善API共享接口监管能力实现所需的日志内容，并强化落实能力，明确相关平台、系统、工具的日志留存对接能力改造方向。（二）一套预警策略规范设计数据安全监测预警策略的三级指标，并对每个指标的实现进行规范化要求，统一预警名称、预警内容，明确所需工具能力及日志内容、预警规则、预警等级等，规定级联平台对接要求，强化数据安全能力共建共享。（三）迭代数据安全管控平台监管能力通过引入异常行为感知能力，基于全方位多维度的安全数据和UEBA（用户和实体行为分析）技术进行异常分析，结合某市公共数据平台所实际开展的API共享接口业务流程，按照预警策略规范配置相应策略，智能识别异常登录、异常调用、违规访问等风险行为，通过工单模块下发至对应责任人进行整改反馈，强化全市风险闭环处置能力。1.多维风险策略设置基于安全风险发现经验梳理出通用性的风险发现策略，覆盖多数API接口风险场景，无需手动添加。针对特殊场景，可通过内置百余种风险指标进行三步操作配置风险策略。2.丰富审计分析信息通过风险告警的多指标聚合，提供丰富的审计详情信息和分析维度展示，大幅减少人工的确认工作量，为应用系统业务数据安全流转、调用、传输等操作访问行为提供全方面的数据安全监测能力。3.智能文件解析引擎基于还原各场景下流转的文件能力，支持还原的文件类型2000+，覆盖各行业日常使用文档类型98%以上，识别文件敏感数据准确率高达99%，记录文件收发对象信息，实时监测文件流动风险。四、应用成效一是摸清家底，击破风险API，通过流量分析：自动化清点业务系统API，将僵尸API、影子API、涉敏API一网打尽。二是风险可控，全面监测API：洞悉业务流量中可能存在的脆弱性风险，发现异常调用数据等风险行为，实时监测API接口共享情况。三是事后溯源，实现安全举一反三：对数据使用行为能够做到全面留痕，能够在发生泄漏事件后快速定位泄漏源。四是合规运营，严守安全底线：持续识别API暴露面、数据库等多种合规审计场景，全面监测数据合规运营。第四章系统接入安全场景 第四章系统接入安全场景一、场景描述本平台为某市数据中心运营管理电子政务外网，旨在为各业务部门人员提供政务云的安全办公接入服务。随着业务云化、移动互联网、大数据、5G与IoT等技术的不断发展，日趋开放和复杂的网络边界已经成为互联网安全的重要挑战。传统的网络边界不具备多重防护设计，难以应对有组织的、武器化的、以数据及业务为攻击目标的高级持续攻击，仅仅依靠传统边界防护难以应对身份、权限、系统漏洞等多维度的攻击。为了应对这种形势，市数据中心一直致力于构建“一网统管，云网融合”的政务外网安全接入方案，旨在实现网络层面的统一管理，安全层面的可管可控，业务层面的云网融合。由此，本方案提出电子政务外网互联网通道的零信任安全接入平台建设目标，以期为政务外网访问提供安全、高效、柔性的数据与业务安全访问方式。二、风险分析（一）远程办公，互联网访问管控难各单位远程办公常态化、应用开放化，黑客往往借由暴露在互联网的业务入口实施攻击。因此，政务外网正面临着开放环境带来的安全挑战，急需收缩网络风险敞口。（二）跨网访问严重，终端同时访问两网政务外网建设的基本原则要求其与互联网严格隔离，严禁使用任何设备直接连接双网，但是仍然存在大量跨网连接访问的现象，导致互联网威胁被引入政务外网中，为政务外网带来巨大的安全隐患。（三）终端安全难以管控，病毒泛滥终端归属于业务部门，安全监管部门难以直接管理。同时，业务部门自身存在终端管理不规范或缺乏管理技术能力等问题，对BYOD自有非受控设备的使用也带来了额外的安全脆弱性。（四）终端政务数据泄密，难以管控90%的泄密事件来源于内部人员的主动/意外泄密。政务系统涉及大量公共数据与政府机密等敏感信息，数据泄露一旦发生，会造成很大的影响，需要通过有效技术手段加强数据安全控制和管理。三、解决方案本方案基于零信任理念提供一种新型业务访问安全控制机制，能从端点、身份、网络、业务多层面持续评估风险：通过多级沙箱、隔离RBI等方式有效保护政务外网数据的安全；分析并拦截敏感数据离开业务网络；使用机器学习技术识别异常行为，以灵活的安全策略支撑内控安全基线要求。 第四章系统接入安全场景（一）零信任标准化架构平台采用SDP标准构建控制中心，通过接入网关的安全防护，对客户端与电子政务外网的特定接入区域进行限制，在业务应用之间建立安全受保护的访问通道，从而完成政务应用访问。（二）收敛互联网暴露面平台采用单包认证授权方案隐藏内部业务数据，保障应用服务源站的安全，只针对授权通过的用户开放访问连接通道，从而防止恶意扫描和非法入侵。（三）持续动态评估控制平台基于最小授权原则，持续验证用户可信度，开展动态授权的访问控制。同时构建人员、设备与环境安全基线，并据此对访问权限进行动态的调整，以保障应用业务的安全。（四）安全沙箱数据保护安全隔离的“一机两用”。安全工作空间内仅允许访问政务外网，不允许访问互联网，同时个人空间内不允许访问政务外网。据此，可有效解决复杂网络环境下双网隔离、数据保护难题。（五）远程虚拟浏览器隔离平台提供通过远程虚拟浏览器隔离的政务外网安全访问通道，保证用户能在透明和交互式的隔离环境中进行Web浏览。因此，敏感数据只能在远程浏览器上显示，无法实际触达本地，可有效防止数据泄密、病毒、漏洞入侵等问题发生。（六）用户异常行为识别平台支持内置千万量级威胁情报库，基于智能威胁识别模型分析各类异常用户行为，如数据窃取、入侵探测等，能及时阻断各类数据外发泄露通道，同时结合动态授权技术限制敏感业务访问权限，保障数据访问安全。四、预期成效政务外网零信任安全接入平台为政务外网业务访问提供了安全高效的远程接入方式，能围绕政务外网云端应用按需部署网络边界，将核心网络与不安全的网络隔离开来。其基于零信任技术架构，遵循“先认证、后连接”的逻辑，能在网络边界模糊化的趋势下，结合身份安全、端点安全、加密通道技术，实现以身份为基础的动态访问控制，为互联网通道用户访问政务外网应用资源定义新安全边界。其主要特点为：1.业务（网络层）默认隐藏，仅能在验证用户/设备身份和安全性后按需开放应用的访问权限；2.提供了安全隔离工作环境，能限制办公人员同时接入互联网与政务网络，满足一机两用合规诉求；3.根据对用户/设备/行为/环境的持续信任评估，对访问权限进行细粒度动态调整；4.对终端环境和安全风险进行实时感知和检测，并通过评估联动实时做出响应处置。本方案以安全、可信、合规为目标，通过网络隐身、持续验证、细粒度访问控制与使用安全工作空间等方式减少互联网暴露面，阻止潜在的网络攻击与数据泄露行为，以提升用户访问政务外网业务的安全性。同时，本方案提出的系统架构具备开放性与可扩展性，支持与第三方安全管理平台、网管平台与云管平台互通，进而支撑全局风险汇聚透视和高效安全运营。 第四章系统接入安全场景一、场景描述公共数据，是指公共管理和服务机构在依法履行公共管理职责或者提供公共服务的过程中产生、处理的数据。公共数据是社会的公共资源，实现其最大限度的开放共享、开发利用，能够为推进国家治理体系和治理能力现代化提供有力支撑。公共数据的流转与运营强依赖于软件系统，在利用政务应用系统推进公共数据开放共享的过程中，软件系统面临自身潜在的逻辑漏洞、技术漏洞、第三方或开源成分安全性、运行时恶意攻击等风险与难题。为全面实现安全与政务应用开发建设相同步、相适应，“政务应用上线即安全与免疫防御解决方案”基于软件开发生命周期，以“安全左移”为核心指导思想，建设完善、规范、智联的政务应用供应链安全体系；利用智能威胁检测系列工具，对政务应用的开发来源以及安全状态进行分析与优化；提升数字软件整体安全能力，让应用自身具备抵抗力和免疫力，让安全赋能政务应用开发、交付、运营的各个阶段。二、风险分析政务应用的研发中，存在大量采用外部来源的三方组件或境外开源成分的情况，使得应用自身存在的代码逻辑缺陷以及漏洞被黑客利用攻击成为导致安全事件发生的关键因素，政务应用本体的安全性被迫套上不明、不定、不保的属性。（一）开源软件风险开源软件是构建公共业务信息软件系统的基础，也是安全事件发生的“重灾区”。由于其使用与获取的便利性、应用范围的全球化、许可协议的“国界敏感”等特点，开源软件存在多重安全缺陷，致使软件系统的安全性和可控性面临巨大挑战。（二）自身漏洞风险代码和三方采买的基础组件是政务应用开发的基础形态，其缺陷或逻辑漏洞是导致安全潜在风险的直接根源。在传统的研发模式中，由于高效交付与快速迭代的业务需求，导致安全手段的介入相对滞后，无法应对上线、运营等阶段的安全威胁。且安全测试范围相对有限，安全漏洞修复成本也更大。（三）在线攻击风险政务应用具有业务面广、用户数量多、数据量庞大等特点，是黑客群体的首选的攻击对象。软件部署上线运行后，遭遇恶意攻击或数据窃取等情况无法及时停用修复。三、解决方案本方案基于上述风险分析，旨在全方位确保政务应用“上线即安全”，赋予政务应用内生的免疫防御安全力，实现公共数据采集、存储、传输、交换、处理和销毁全生命周期安全防护。 第四章系统接入安全场景（一）构塑开源软件供应链安全利用开源软件分析系统（SCA）实现政务应用涉及的开源软件的全生命周期安全治理。该系统包括代码片段分析、二进制分析及深度依赖分析等核心技术，助力落地开源组件资产识别、漏洞识别、许可分析、一键式修复等活动。主要通过开源项目健康度评估，以及SBOM（软件物料清单）管理，实现开源安全的周期性运营，构塑开源软件供应链安全。（二）保障上线即安全通过部署交互式应用检测系统（IAST）对政务应用进行可视化+全面精确+实时在线的漏洞检测和安全评估，从源头降低安全风险、减少漏洞数量。以动态代码审计与应用漏洞检测能力，保证公共软件自身的安全性和合规性。同时包括全量API发现以及敏感信息泄露风险检测分析，在测试过程中不产生脏数据。实现安全测试左移，保障应用上线即安全。（三）内生自适应免疫防御能力基于运行时应用自我保护平台（RASP）的交互式应用安全检测、开源软件供应链安全和应用安全免疫防御功能，通过对政务应用正常的业务使用即可同步完成安全检测。当发现漏洞或遇到异常攻击时立即激活免疫防御机制，实现“攻防结合”，赋予政务应用具备“自我检测与自我免疫”安全能力，实现对未知安全风险的分析、监控、预警、处置。四、应用成效“政务应用‘上线即安全’解决方案”于2021年在某地的共享交换平台、公共数据开放平台等系统上部署运行，在2021年12月份ApacheLog4j2远程代码执行漏洞安全事件中，帮助该单位相关部门人员快速响应安全威胁，定位有使用该组件的系统，并有效及时地进行了系统修复，很大程度上避免了该漏洞可能导致的安全威胁和经济损失。方案通过帮助该单位对数字业务和场景的梳理，对供应商和引入的开源项目进行筛选，并将在建和运营的项目纳入系统的监控范围，建设贴身的、动态的、可持续性的公共数据安全体系（技术、管理、运维），保障平台涉及公共数据的机密性、完整性、可用性，确保公共数据在安全的环境下流转和储存，避免因数据泄露或数据库遭受攻击而造成的社会或经济损失。通过对所有应用进行成分安全性分析与安全风险排查，使安全威胁提前暴露，从很大程度上降低了由于政务应用自身安全缺陷可能导致的影响。此外，方案包含的安全系统可根据后续系统迭代升级和功能增加配置相应的服务能力，具备良好的伸缩性。方案的落地为项目涉及的政务应用进行安全能力的改进与优化，全面促进了数字安全与政务应用的创新融合，为数字化安全转型实现新统筹、新布局。 第四章系统接入安全场景一、场景描述近年来，随着政务外网信息化建设的不断深入，政务外网承载的关键业务越来越多，网络环境越来越复杂，由于管理不规范或缺乏技术能力等因素，且政务外网又缺少风险终端的管控手段，终端安全问题已经成为政务外网主要的安全隐患之一，严重影响政务外网全网安全，成为网络安全治理的重中之重。零信任架构是一种新的安全架构理念和思想，它使得安全建设视角从“基于风险”向“基于业务访问过程”转变。并且从理论上构建了一个端（用户/设备/应用）到端（业务系统）的最小访问模型，建立了一个动态的、基于身份和安全上下文的逻辑访问边界。基于零信任架构，让政务外网数字化办公所希望实现的让正确的人，使用正确的终端，在任意位置，使用正确的权限，访问正确的业务，获得正确的数据成为现实，将人（身份）、终端、网络位置、访问权限、业务、数据等分散的安全单元有效串联起来，实现用户、权限、策略的统一管理和运维，最大化落地“最小权限原则”，大幅提升政务外网终端的安全性。二、风险分析（一）终端安全难以管控，病毒泛滥终端归属于业务部门，安全监管部门难以直接管理，许多终端未按要求安装杀毒软件、存在未修复的严重漏洞，以及终端已经失陷却未能及时发现，这些风险终端在接入政务外网时缺乏有效的管控手段，导致政务外网安全事件频发。（二）违规外联、失陷终端等安全事件难以监管失陷主机向政务外网设备发起攻击，由于源地址被NAT转发后，只能溯源到网关地址，对责任主机或人的追查带来很大困难，导致找不到责任人；同时难以发现业务部门局域网内发生的违规外联行为，由此引发的数据泄密和安全事件无法追查和定责，缺乏有效手段对其违规和恶意行为进行监管。（三）政务外网环境复杂，准入手段难以落实部分业务部门政务外网使用不规范，通过私拉网线，私接路由，任何人员均可以轻易进入政务外网；政务外网业务系统访问权限策略设置不精细，接入政务外网就可以随意访问业务，导致风险加剧；（四）政务数据面临泄密风险政务系统涉及到很多个人隐私、政府机密、政府形象等敏感信息，它的安全性能极为重要，一旦发生数据泄露，对政府部门形象乃至国家安全都会造成很大的影响三、解决方案（一）整体架构思路基于零信任架构，构建政务终端安全体系，针对接入电子政务外网的终端采取基线检查、接入认证、安全防护等模块化管控手段，进行纵深管控，针对访问政务外网业务的终端确保身份可对应、安全可防护、事件可追溯、外联可阻断、权限可控制。通过纵深管控思路，构建安全、易用、易管、稳定的“可信”政务外网终端安全环境。 第四章系统接入安全场景（二）终端环境检查，确保合规终端才能接入通过零信任客户端对接入政务外网的终端进行环境检查，如系统补丁更新情况、是否运行杀毒软件、访问业务的进程是否可信等，如有不满足情况，阻断政务外网的访问接入并提示，确保接入终端合规。（三）基于实名的终端行为审计、攻击溯源将所有流量打上身份标签，当检测出异常时，即可根据身份标签快速定位，实现精准定位、溯源及审计。即使在NAT网络下，也能依据身份信息精准定位和溯源，解决传统方案无法溯源到人的短板，大大改善和提升政务外网的安全环境。（四）基于实名的终端违规外联监测及阻断零信任客户端实时向互联网应用发起探测请求，根据请求回应情况进行外联的监测判断。当探测到终端有非政务外网统一出口的互联网出口时进行告警，可以在NAT环境下实现违规外联