2024数据安全典型场景案例集.pdf

20242024数据安全典型场景案例集Collection of Case Studies on Typical Data Security ScenariosI编辑委员会编辑委员会指导单位：杭州市数据资源管理局发布单位：杭州数据安全联盟杭州数据安全联合创新实验室专家指导组：张斌、孙茂阳、胡琼达、曾露、李嘉明、徐舟、吴铤、寇亮、刘金飞、薛峰、周俊审核组：方橙蔚、李聪辉、常凯新、卜嘉文案例提供单位：杭州市上城区数据资源管理局杭州安恒信息技术股份有限公司杭州市拱墅区数据资源管理局杭州城市大脑技术与服务有限公司杭州市西湖区数据资源管理局杭州虎符网络有限公司杭州高新区（滨江）大数据治理中心杭州美创科技股份有限公司杭州市萧山区数据资源管理局杭州孝道科技有限公司杭州市余杭区数据资源管理局杭州中尔网络科技有限公司杭州市临平区数据资源管理局全知科技（杭州）有限责任公司杭州市富阳区数据资源管理局闪捷信息科技有限公司杭州市临安区数据资源管理局上海凯馨信息科技有限公司建德市数据资源服务中心深信服科技股份有限公司杭州市经济信息中心深圳市洞见智慧科技公司浙江省北大信息技术高等研究院网宿科技股份有限公司南湖实验室星环信息科技（上海）股份有限公司国网浙江省电力有限公司信息通信分公司中国电信股份有限公司重庆分公司III前前言言随着以数据为关键要素的数字经济的蓬勃发展，数据已经逐渐成为基础性、战略性、先导性资源，对社会发展、国家治理产生着革命性影响。如今，数字中国建设已成为国家发展战略的重要组成部分，保障数据安全、促进数字经济发展是事关人民福祉、社会稳定和国家安全的重大问题。中华人民共和国数据安全法的出台和实施预示着我国数据安全管理工作步入全新的法制化阶段。在此背景下，数据安全不仅是数字经济稳健运行不可或缺的基础环节，更是推动产业实现高水平、高质量发展的核心要务。各政府部门、企事业单位、行业机构等多元主体，在实践运作中亟需建立和完善全面的数据安全治理体系，持续提升数据安全保障能力和管理水平。先进的数据管理体系通常涵盖数据共享、互联互通、开放利用及安全保障等多个维度，而数据安全则是支撑这些功能有效运行的基石。本案例集广泛汲取了数据细粒度治理、数据授权运营安全、接口使用安全、政务系统接入安全、批量数据共享安全、数据使用侧监管、安全风险监测、账号安全管控、第三方人员管理、密码应用等领域内的实际应用实例，深度剖析了数据安全在各典型场景下的挑战与应对策略，整理并呈现了一系列具有代表性的案例研究。同时，案例集囊括了诸多保障数据安全的核心技术和管理措施，如数据分类分级管理、账户权限控制、安全的数据开发环境构建、批量数据共享接口的安全使用、软件开发全生命周期的安全管控等。最后，衷心感谢您选择阅读本案例集。我们期望此案例集能为社会各界提供实用、有价值的参考依据，助力各行各业有效应对数据安全领域的各种挑战。在编写时尽管我们不敢有丝毫懈怠，但由于时间和能力有限，内容和编排上难免有不足之处，敬请读者批评指正。目目录录IV目目录录第一章 数据细粒度治理场景.11 基于 AI 识别的数据资产管理系统建设.22 数据使用安全敏感数据的精细化管控.5第二章 数据授权运营安全场景.73 全流程安全管控方案下的公共数据授权运营平台建设实践.8第三章 接口使用安全场景.114 接口使用安全.125 政务应用 API 接口二次封装的自动化监测与发现解决方案.146 API 接口风险监测及处置方案.157 基于 API 接口的能源数据安全建设实践.188 针对 API 共享接口的精细化风险监测实践.20第四章 系统接入安全场景.229 基于零信任的政务外网安全接入平台.2310 政务应用“上线即安全”解决方案.2511 基于零信任打造政务外网终端的可信访问体系.27第五章 批量数据共享安全场景.2912 基于芯片级隐私计算的数据共享平台方案.3013 基于云沙箱的数据隔离访问方案.3214 基于隐私计算的省级政务数据开放平台.3415 基于 Sophon PC 的隐私计算平台应用方案以政务民生为例.3616 基于隐私计算的政务数据计算价值共享.38第六章 数据使用侧监管场景.4017 数据交换场景中的 API 多重监管交叉审计.4118 数据使用侧统一授权管理与监管.4319 数据使用侧监管.45目目录录V第七章 安全风险监测场景.4720 基于全流量的流动数据风险监测方案.4821 基于公共数据平台的开放数据中个人信息检查情况分析.5022 基于可视化技术的数据访问监管系统设计与实现.52第八章 账号安全管控场景.5423 账号复用滥用发现方案.55第九章 第三方人员管理场景.5724 数字操作间系统.5825 信息化建设第三方人员数据安全闭环管理.6026 第三方人员管理.63第十章 密码应用场景.6627 密态数据流通解决方案.6728 保护数字社会系统中的数据安全：商用密码技术的实践与应用.70第十一章 综合场景.7229 数据多节点泄露发现方案.73第一章第一章数据细粒度治理场景第一章第一章 数据细粒度治理数据细粒度治理场景场景21 基于 AI 识别的数据资产管理系统建设一、场景描述作为新型生产资料，数据资产在流通和使用过程中能不断创造新的价值。然而，由于数据价值提升、流动性加剧、防护边界模糊，以及数据自身海量无序、类型繁杂、场景多样等复杂因素的影响，数据安全风险变得异常突出，传统的以边界防护为主的网络安全手段已经难以有效应对这种挑战。因此，亟需从资产的视角对域内数据进行摸底盘点、分级分类、关联分析、风险评估等综合安全治理，实现数据全生命周期安全管理，确保数据来源可信、访问可控、操作可查和责任可追。本方案结合行业数据的本地化管理与直观可视、可查、可判、可用的实际需求，并结合相关工作机制，实现行业数据的更新维护，提高行业常态风险管理能力；进一步开展关键要素分类辨识应用，实现针对重点防护对象的判识、评估，并以一张图的形式分类分级显示成果；提供防护策略建议、专项评估报告动态更新等内容，为安全监管部门提供支撑。二、风险分析痛点主要包括如下四个方面：1.组织机构尚不具备数据分类分级能力组织机构对数据资产的规模、存放位置、敏感数据构成与使用情况等信息尚未掌握，无法根据数据的重要程度制定安全保护策略，直接影响了后续的数据安全体系化建设。2.可用数据分类分级信息滞后组织机构掌握的可用数据分类分级信息滞后，这些信息不能反映数据资产的真实情况，对数据安全能力建设效果的提升作用有限。3.内容识别技术准确度低当前的内容识别技术一方面需要大量的人工干预，另一方面会产生错误的数据分类分级结果。这会导致制定的数据安全保护策略不合理，从而对数据安全产生危害。4.缺乏数据安全风险监测能力组织机构对环境中敏感数据是否存在泄露、是否存在违规访问、是否有系统漏洞等情况不了解，导致数据安全工作的针对性不强。三、解决方案（一）数据安全分类分级服务数据安全分类分级起承上启下的作用。承上：从运维制度、保障措施、岗位职责等多个方面的管理体系都需依托数据分类分级进行针对性编制（管理体系与分类分级的结合，可强化体系落地执行性）。启下：根据不同数据级别，实现不同安全防护，如高级数据需要实现细粒度规则管控和数据加密，低级别数据实现单向审计即可。所以，数据分类分级是管理体系合理规划、数据安全合理管控、人员精力及力度合理利用的基础，是迈向数据安全精细化管理的重要一步。数据分类分级工作流程包含分类分级方案预研、分类分级方案确定、分类分级方案评审 3 个环节。流程如图：分类分级方案预研主要包含预研准备、数据资产梳理、方案设计等工作；分类分级方案确定主要包含方案预审、方案汇报评审和方案发布工作；分类分级实施主要是分类分级标识和安全策略规划工作。图图 1 1.数据分类分级工作流程图数据分类分级工作流程图（二）数据安全资产管理系统数据分类分级方案确定后，下一步数据安全分级分类专员根据分类分级方案对数据进行分类分级标识，数据分级分类标识采用“工具”+“人工”的方式，通过自动化工具（数据安全资产管理系统）引入数据分类分级过程，加速项目实施速度，降低人力成本，降低错误率，提高输出成果的质量。第一章第一章 数据细粒度治理数据细粒度治理场景场景31.系统概述通过对全域数据扫描和深度挖掘，对组织内的数据资产（例如数据源、数据表、字段、文档等）进行梳理，绘制数据地图，建立数据资产台账，帮助用户摸清数据资产家底，直观呈现核心数据资产的分布、状态、使用、流转等详细信息。同时，数据安全资产管理系统能够利用 Ai 算法、机器学习等技术，结合数据特征、元数据等信息，发现和定位敏感数据资产，并基于法律法规和行业标准，自动化完成数据资产的分类分级，为企业或组织构建数据安全运营体系打下坚实的基础。2.产品架构数据安全资产管理系统充分考虑了自身安全性、易操作、易维护等多方面设计要求，采用 SOA 架构将复杂的业务逻辑、流程控制逻辑和数据存取逻辑通过在不同技术层实现，使得技术实现与平台业务相分离，确保自身数据安全和业务效能最大化。数据安全资产管理系统可以分为数据资产探测、数据资产梳理、敏感数据识别、数据分类分级、数据资产多维分析等功能模块。数据资产探测功能帮助客户发现组织内的未知数据源；数据资产梳理功能帮助组织掌握内部数据资产现状，构建数据资产地图；敏感数据识别功能通过平台内置的个人敏感特征库，发现和定位组织内的敏感数据；数据分类分级功能通过数据特征、资产属性、环境信息等多维度，对数据资产进行自动化的分类分级打标签，为后续数据安全管控策略提供基础；数据资产多维分析从多个维度呈现资产现状，让组织管理层能够直观、全面了解数据资产现状，确保数据资产“可见、可懂、可控、可用”。图图 2.2.数据资产管理系统逻辑架构图数据资产管理系统逻辑架构图同时，采用 AI 技术提升内容识别的准确性与识别工具的实用性和应用范围，支持结构化和非结构化数据。具体而言，本方案在关键字技术的基础上引入中文分词、模糊匹配和权重匹配技术，优化普通关键字的误报率；针对正则表达式，加入数据标识符，精确匹配身份证、银行卡号、社会保障号等有技术规范的内容；对非结构化文档的识别，支持为内容提取指纹，实现敏感内容分段保存，降低干扰内容影响，提升识别敏感信息和内容来源的水平；机器学习方面基于深度神经网络，用双向门控循环单元（GRU）网络进行中文分词，用深度卷积（DCNN）网络进行文本深度特征提取，采用集成支持向量机（SVM）的方法进行文本分类。图图 3.3.系统部分技术功能展示（演示环境系统截图）系统部分技术功能展示（演示环境系统截图）数据分类分级识别中针对诸如通讯记录、征信信息、房产信息等较难通过规则配置实现自动识别打标的数据，通过个性化建模方式构建模糊规则集实现数据智能打标。标签推荐技术实践中，主要采用经验知识与事实知识结合的理念。经验知识即标签信息可能包含的语料库或描述，如既往病史、住院记录等关键词汇；事实知识即实际的数据样本，通过多种模型的关联构建。通过机器学习技术，对待打标的数据进行预处理，如中文分词、关键词提取、词向量转换等，并利用 TF-IDF 算法进行关键词提取并结合 word2vec 算法进行词向量转换，最后计算待预测数据与每种标签对应数据的相似度得分，并依据该得分进行标签推荐。图图 4.4.标签推荐功能展示（演示环境系统截图）标签推荐功能展示（演示环境系统截图）第一章第一章 数据细粒度治理数据细粒度治理场景场景4（三）与现有数据安全产品联动将分类分级信息与现有数据安全产品联动，实现敏感数据信息与安全风险等内容的实时同步，形成有针对性的数据安全防护策略，实现加密、脱敏、审计、访问控制等的策略协同与联防联动。（四）根据分类分级结果，自动监测敏感数据的流动和访问情况，在风险识别模型的基础上，采用 AI技术提升风险识别能力（五）支持广泛的数据源类型本方案包括但不限于支持 Oracle、SQL Server、MySQL、DB2、SyBase、Postgres、Informix 等国际主流商用数据库，达梦、人大金仓、南大通用、金仓等国产主流商用数据库，HBASE、HIVE、HDFS、MongoDB 等主流开源大数据存储组件，华三、华为等国内主流大数据平台的数据资产识别。支持对常见非结构化数据资产识别，包括 doc、docx、xls、xlsx、ppt、pptx、pdf、txt、zip、rar、7z 等文件类型。能够识别多层嵌套压缩文件内容、由文档转换而成的图片内容。（六）统计报表自动化生成本方案支持统计报表自动化生成与内容定制，能极大降低报表材料输出成本。图图 5.5.敏感数据流转监测功能展示敏感数据流转监测功能展示（演示环境系统截图）（演示环境系统截图）图图 6.6.系统支持广泛的数据源类型系统支持广泛的数据源类型（演示环境系统截图）（演示环境系统截图）图图 7.7.统计报表自动生成统计报表自动生成（演示环境系统截图）（演示环境系统截图）四、应用成效国家政府部门为积极应对“互联网+”和大数据时代的机遇和挑战，响应全国经济社会发展与改革要求，将大数据平台的建设列为新时代信息化建设的重要工作。大数据平台汇聚了各行业的重要数据，对国计民生和社会安定至关重要。随着大数据技术持续快速发展，机构的数据安全能力面临着越来越高的要求，但机构普遍存在安全人员短缺、数据安全防护“孤岛”化的问题，这严重阻碍了大数据技术发挥价值。因此，数据资产管理系统作为大数据平台安全保障体系的重要组成部分，将对大数据平台的数据安全防护方案发挥积极作用，成为当前大规模市场需求的重点。某地建设的数据资产管理系统采用政务行业的数据识别规则模板和 AI 技术，对 404 张表共计 11097 个数据字段进行梳理，识别的自动化程度达到 96%，极大地降低了人力成本。根据数据梳理结果将数据分类为四级，并制定了差异化的安全策略。为不同敏感数据制定的针对性的安全防护措施，优化了安全资源配置，使防护更加精准，整个防护体系统一管理，策略共享，防护无遗漏。数据资产管理系统采用独有的数据安全保障架构，数据资产的梳理、展现通过数据目录和数据映像等方式进行，数据资产管理系统自身不存储、不截留用户的真实业务数据，敏感数据样例展现也采用遮蔽脱敏方式。同时，数据资产管理系统的关键配置和操作也通过分权和二次授权模式进行限制和控制，确保用户业务数据在维护、管理过程中不会曝光和泄露。系统通过丰富的场景规则以及 AI 风险分析模型，为用户生成数据资产风险评估基线，同时综合其他相关安全数据和日志进行分析研判，实时监控、预测数据安全风险的变化趋势和偏离预警线的强弱幅度，并从行为、事件、合规性和脆弱性等维度为用户提供及时的风险预警和风险处置措施。上述策略在保证安全能力的基础上，既减轻了安全团队压力，又提升了防护效率。数据资产管理系统项目的建设，为数据安全行业提供了一种新的治理模式，超越了只交付产品的方式，提供了具有示范效应的安全防护案例，为数字经济的发展和数据交流融通提供了行之有效的安全保障。第一章第一章 数据细粒度治理数据细粒度治理场景场景52 数据使用安全敏感数据的精细化管控一、场景描述文旅行业涉及很多具有高敏感性的个人数据，如身份信息、酒店入住信息、人脸信息以及家庭居住信息等。因此，某地文旅局以保护文旅数据为核心，防止游客隐私数据泄露为目的，发挥数据安全保障能力；消除 SYSDBA和 DBA 等特权用户拥有数据库中最高权限带来的越权滥用随意访问敏感数据现象；降低日常运维中 Drop Table，Truncate Table 等操作带来的安全风险，满足脱敏后的生产数据既能提供给开发、测试等环境，又能提供给数据交易、数据交换和数据分析等第三方数据应用场景的信息泄露防护要求；同时防范勒索病毒可能造成的系统不可用的风险。二、风险分析某地“智慧旅游”平台系统正常运行可能面临的安全风险包括：以网络防御为主，缺乏以数据资产为中心进行防护的意识，不能实现精细化管控；高权账号、高危操作层出不穷，无法进行事前管理与事中防御，缺乏全链路全面管控机制；开发、测试环境采用真实敏感数据，可能造成重要数据泄露；勒索病毒导致整个网络系统瘫痪等。以上任何一种情况都会造成重大的损失。为了“智慧文旅”平台能够有效应对上述安全威胁和风险，必须从组织管理、技术保障和人才能力等方面着手，通过各个层面的安全建设，发挥安全防护能力、隐患发现能力和应急反应能力，建立可靠的安全运行环境，以保障重要业务和数据的安全。三、解决方案本方案结合了具体的业务场景和安全需求，令数据平台在开发运维使用场景中，对使用人员进行分类、对开放给使用人员的数据权限进行分级，在使用过程中对数据的操作行为进行监测，能及时发现违规或异常操作行为。此外，本方案能全面梳理数据开发、测试场景业务流程，防范数据泄露风险，发挥公共数据安全监管能力，完善和落实数据使用场景相关安全管理制度，明确审批流程和要求，发挥数据安全运营能力和服务能力，借助日常巡检、风险评估和防勒索等手段落实安全保障。解决方案架构图如图：图图 1.1.解决方案总体架构图解决方案总体架构图1.通过部署数据库网关，集数据库准入、应用访问控制、敏感数据脱敏、误操作恢复、运维审计等多种功能于一体，细化数据库访问控制粒度，识别和拦截高危操作行为，防范未授权删库/删表/清表、建库/建表/建视图/提权、越权访问、私建账号和违规导入/导出等风险操作。同时，能实现敏感数据发现管理、敏感数据危险操作防范、特权账户随意访问敏感数据限制，利用身份管理、授权等机制规范运维人员行为，实现运维人员高危操作的工单审批管理等，并提供全面审计分析报告。数据库网关功能示意图如下：userid:532115,docid:164557,date:2024-06-08,第一章第一章 数据细粒度治理数据细粒度治理场景场景6图图 2.2.数据库网关功能示意图数据库网关功能示意图2.结合数据库网关，根据最小授权原则操作生产库，按需导出业务所需数据，同时借助数据脱敏等技术实现对核心库的敏感内容去标识化或个人信息假名化，并保持脱敏后数据与业务数据的一致性与关联性。同时，实现真实数据的“可用不可拥”，防范重大数据泄露事件发生，实现文旅敏感数据在开发、测试，或数据交易、分析场景中的脱敏降级使用。数据脱敏功能示意图如图 3：3.采用数据防勒索技术，以“识正御邪”理念为指导终止未授权进程访问数据，防止敏感信息文档和核心数据被加密勒索，确保终端上重要文档、服务器文件和数据库备份文件的安全性，同时使业务系统具备带毒生存能力，保障业务的高可用性。防勒索功能示意图如图 4：图图 3.3.数据脱敏功能示意图数据脱敏功能示意图图图 4.4.防勒索模块示意图防勒索模块示意图4.提供常态化、持续化的安全巡检、漏洞扫描与现场应急等安全服务，协助运维人员发现、整改和复测安全问题，确保修复安全漏洞，形成安全闭环，提高平台业务安全对抗水平，规范内部数据处理人员各类行为，增强内部操作人员的安全意识。5.提供数据安全风险评估服务，及时发现系统中存在的安全风险，对症下药提供安全建议，降低设备采购与人员服务支出，以降低处理数据安全事件所需经济成本。四、应用成效1.解决数据库 SysDBA、DBA、Schema User 等特权用户权限过大的问题，提供了周密完整的身份认证解决方案，真正实现基于数据库访问用户的细颗粒度管控，将访问控制策略与敏感数据相关联，避免越权访问。2.利用“脱敏数据以假乱真”的功能特点，最大限度地保证脱敏后数据的“真实性”，即依然保持数据特征、业务规则、数据关联性，有效提升开发测试、数据分析的质量。3.遵循主动防御的思想，在安全措施上对勒索病毒的攻击进行阻断，并和其它主机安全防护措施共同作用，构建一个“主动防御、综合防范”的安全防御体系。4.通过数据安全服务，及时发现系统内部安全短板，预判可能存在的安全风险，实时进行风险监测和风险预警，提供安全事件处置服务，为平台安全提供保障。综上所述，通过一系列的安全措施和服务，保障日常工作中和业务高峰期系统安全运转，保障文旅大脑、全域旅游运营、假日旅游通、安心宿、智慧文博等平台汇聚的文旅数据安全。第二章第二章数据授权运营安全场景第二章第二章 数据数据授权运营授权运营安全场景安全场景83 全流程安全管控方案下的公共数据授权运营平台建设实践一、场景描述为了加快公共数据有序开发利用，培育发展数据要素市场，某市公共数据授权运营平台按照“原始数据不出域、数据可用不可见”的要求，合规推进数据加工使用、数据产品经营、第三方服务机构为核心的数字服务产业链上的政务数据安全可控。通过公共数据授权运营平台全流程安全管控方案，可以保障合规执行授权程序，获得公共数据资源与数据加工使用权；保障在数据产品加工使用与经营建设过程中的“数据可用不可见”；对接数据沙箱与隐私计算平台，配置严格可控的数据出域审核功能，实现数据跨域融合计算与交易流通。二、风险分析（一）数据脱敏与数据出域在公共数据加工与交易流通过程中，由于缺乏网络隔离、租户隔离、开发与生产环境隔离保护，存在数据脱敏与数据出域的安全风险。因此，需要全流程操作可审计，数据可溯源，以保障数据安全。（二）敏感数据泄露在公共数据跨域与集成外部数据过程中，存在敏感数据泄露风险、受限数据未审批加工使用风险，存在数据产品或数据服务用于或变相用于未经审批的应用场景的风险，需要配置分布式隐私计算能力，满足加工使用与经营产品过程中安全管控。（三）数据安全需要针对数据加工处理人员须实名认证与备案，记录并可审查其操作行为；同时，应保证原始数据对数据加工处理人员不可见，使用抽样、脱敏后公共数据进行数据产品的模型训练与验证。三、解决方案公共数据授权运营平台通过业务流程安全、开发环境安全、人员主体认证安全、数据加工安全、应用安全、合规审计安全、数据安全网关等维度，实现整体运行的安全风险管控。（一）业务流程安全公共数据授权运营平台采用开发链路一体化集成，管理开发主体准入、数据服务权限、场景认证审批、数据开发、隐私协作、产品开发、应用管理、运营管理、安全监管的工作流程节点。图图 1.1.公共数据授权运营平台的数据开发流程公共数据授权运营平台的数据开发流程（二）开发环境安全搭建云桌面设备，严格执行公共数据授权运营安全策略，形成资源和数据集中化管理，按需动态分配，数据产品要素、应用代码等保存在云端，降低数据泄露风险。第二章第二章 数据数据授权运营授权运营安全场景安全场景9图图 2.2.开发人员审核，采用数据沙箱进行数据可用不可见开发人员审核，采用数据沙箱进行数据可用不可见（三）人员认证安全平台支持对授权数据加工处理环节的管理，对数据加工处理人员进行实名认证与备案；通过数据沙箱实现原始数据对数据加工处理人员不可见；通过使用抽样、脱敏后公共数据进行数据产品的模型训练与验证，保证发布代码安全，保证数据不泄露。（四）数据加工安全主要包括针对政务数据进行数据分级分类管理，对敏感数据（L4级）、较敏感数据（L3 级）、低敏感数据（L2 级）、不敏感数据（L1 级），在公共数据授权运营平台，按照场景建设需要，进行原始政务数据申请。公共数据授权运营平台具备数据分级分类管理功能，按照通过场景认证的申请单，面向开发主体数据咨询、授权运营、数据开发等功能权限。图图 3 3.公共数据分级分类架构图公共数据分级分类架构图（六）合规审计安全全流程上链管控，在数据产生、处理、加工、融合与流转过程中，支持可视化展示数据处理过程、阶段及计算逻辑；平台依托区块链技术对过程进行记录，以实现对公共数据共享交换过程的可追溯，保障数据相关方的权责落实。图图 5 5.数据产品区块链凭证，支持在线查询验证状态数据产品区块链凭证，支持在线查询验证状态图图 4.4.公共数据授权运营平台的操作流程与操作埋点公共数据授权运营平台的操作流程与操作埋点（五）开发端运营端应用安全公共数据授权运营平台为开发端、运营端提供 130 多项操作埋点，基于多种协议进行日志采集，实现日志统一采集，集中管理和高效监控。对平台内置风险和安全事件进行行为监控告警，支持通过站内信方式进行发送告警，第一时间通知日志管理相关人员，快速定位并处理，提高预警能力，提升运维效率，降低风险。第二章第二章 数据数据授权运营授权运营安全场景安全场景10（七）数据安全网关为数据产品 API 配置网关管理，兼容事件与任务流转业务属性，发挥多种业务场景下的“中枢”能力；实现对服务请求的协议转换、流量控制、接口监控、鉴权、路由等功能，确保开发人员对数据可用不可见，数据交易安全可控，提升数据要素流通效率与质量。四、应用成效（一）定性分析该市公共数据授权运营平台具备数据要素全周期安全监管、数据要素全链路开发管理、数据要素全流程运营管理“三全特点”，系统性规划建设“规则+市场+生态+场景”四维一体数据要素流通机制。亮点一：采用“3+1”模式，实现多平台合一、用户权限体系统一、数据资源调配统一、数据要素流通机制统一。可信空间实现数据授权平台、数据交易平台、隐私计算协作平台 3 平台融合，基于 1 套数据要素流通机制，无缝对接政务大数据平台，为政府管理侧、市场运营侧、可信空间建设运维支撑侧提供一站式操作界面。亮点二：采用“无菌数据操作间”软硬件融合监管模式，保障数据申请、数据加工、数据出域、数据交易等全链路、全周期的安全可控可溯源。从物理场地、网络控制、数据安全、制度建设上建立规范，确保公共数据不出域、数据可用不可见。亮点三：强化市场供需两侧信息对接，运行“供需大厅”、“特色专区”，为供给侧政府、企业数源单位，为需求侧数据服务商、第三方机构等，开辟实时在线数据资产、数据资源、数据模型、数据产品等展示交流机制，实现供需两侧精准对接。通过构建数据授权运营可信数据空间，实际解决当前数据要素提供方、使用方、服务方与监管方等各主体间的安全信任问题，实现数据归集、共享、授权应用及流通等技术功能，保障数据要素权益、高效合规应用，为全市公共数据授权运营、社会数据的融合应用、数据要素流通应用等多维度多场景的数据要素授权与数据产品开发，提供了基础设施保障。（二）定量分析该市公共数据授权运营平台已支持开展多个公共数据授权运营应用场景，主要包括金融、医疗健康、智能交通等。（1）个人经营性贷款服务应用场景，实现不动产等公共数据在金融场景下的融合与合规应用。通过数据授权运营平台可信空间申请不动产、社保、公积金等公共数据授权运营权限，经数据购买、创建授权、主体授权、令牌发放、令牌核验等程序审定后，在指定的内完成数据的抽样、脱敏、清洗、转义、开发等工作，建立金融产品开发的数据基础。利用部署在数据授权运营平台可信空间的应用服务开展数据管理，并进一步对数据进行建模分析，形成面向个人经营性贷款服务的信贷模型。（2）医疗健康领域医学大模型应用场景依托数据授权运营平台可信空间，对医疗方面的公共数据完成数据归集治理，通过该市公共数据授权运营工作机制实现数据授权应用。在指定的可信空间域内实现数据抽样脱敏处理并根据授权医疗数据进行医学大模型训练，确保原始数据不出域、数据可用不可见。医疗大模型建成后将优先服务临床医学事业。同时，医疗大模型将配合医生开展 24 小时辅助诊疗服务。未来将覆盖 15 个科室、3000多家医院，向医疗机构免费提供使用。同时医疗大模型将直接服务于民生、造福全民健康。医疗大模型将向广大群众提供便捷专业的线上咨询、求医问诊、健康管理等服务，进一步提升服务质量和效率。（3）智能交通车路协同应用场景主要围绕该市路口基础数据信息、交警信号机实时数据信息等公共数据，在数据授权运营平台可信空间部署安全效率服务系统对车辆定位及信号灯数据进行融合分析后，形成绿波车速、起步提醒、抢红灯预警、倒计时提醒、建议车道等智能服务，在原始数据不出域的前提下，向汽车车机系统、车载终端、移动端导航软件推送可直接面向公众应用的场景类智能应用。该应用将服务于该市交通治理服务，整体缓解整体交通通行压力，以数据算法模型对路上信号灯与路上车况进行科学分析与监管，辅助疏通路上拥堵情况以及动态调配，增加车辆的通行率。据不完全统计，等红灯概率降低 18.66%；绿灯起步时间提升 25.3%，节约 1.83 秒；路口排队长度减少 14.3第三章第三章接口使用安全场景第三章第三章 接口使用安全场景接口使用安全场景124 接口使用安全一、场景描述在基于一体化智能化公共数据平台进行政务数据采集、归集、治理、共享、利用、销毁的整个过程中，都存在着通过 API 接口的数据共享与交换。本方案对数据通过 API 接口共享给使用方后的使用行为进行监管，能发现数据违规导出、越权调用、数据泄露等风险行为，并进行整改规范。二、风险分析（一）API 资产梳理不清晰政务公共数据共享场景复杂，API 接口多且调用频繁，部分接口通过 API 网关进行了管控，而部分接口未通过 API 网关发布。由于 API 接口传输的数据格式多样、接口参数变动大，因此难以通过接口之间的联系进行 API的梳理，也无法完全理清接口之间的调用关系。（二）API 接口缺陷感知不全面API 接口的开发大多以业务优先为原则，因此在接口的技术路线选择上可能会有安全设计方面的忽视之处，导致 API 接口存在安全缺陷，比如接口存在弱口令等情况，容易被利用产生安全风险和隐患。特别是不在 API网关监管下的接口，对其在实际使用过程中存在的弱口令等缺陷无法全面感知。（三）API 接口风险发现不及时当 API 的漏洞被利用时，API 接口以及重要数据的安全风险会持续扩大。并且，传统的安全风险监测产品在API 接口安全风险的有效识别上存在较大难度，会造成风险发现不及时。三、解决方案本方案通过对 API 接口的流量进行分析和识别，能分析出接口使用过程中的安全风险，并有效保障接口使用安全。根据图 2 所示的 API 接口审计方案和图 3 所示的 API 接口审计流程，可以从以下几个方面实现接口使用的安全管控：图图 2.2.APIAPI 接口数据审计方案逻辑架构图接口数据审计方案逻辑架构图图图 3.API 接口应用数据审计流程接口应用数据审计流程（一）对 API 接口进行资产画像通过流量分析，实现对应用、接口等的识别，和全方位、多维度的资产画像展现：使用图表展示应用、接口资产的访问请求次数、敏感接口数、敏感数据数量、IP 数的统计以及访问请求日志总数、用户账号及客户端IP 的个数趋势和资产的关联风险、风险趋势。（二）对接口进行精确安全审计通过对 HTTP/HTTPS 协议进行深度解析，可审计到应用的请求状态（成功或失败）、执行时长、请求头、请求体、请求 cookie、响应头、响应体、响应 set-cookie、请求 URL、请求方式、请求参数、会话（token）、用户账号、接口 URL、数据标签、风险规则、风险等级等信息。第三章第三章 接口使用安全场景接口使用安全场景13（三）对 API 接口进行弱点检测通过对各种类型接口请求和响应数据的分析，发现接口设计的安全弱点，找出容易造成敏感数据泄露的接口和存在账号风险的接口，及时发现恶意攻击、撞库、接口未授权访问、敏感数据泄露威胁等行为，并进行告警。（四）对 API 接口的风险精确感知基于 AI 智能学习算法，构建 API 行为基线，能及时发现敏感数据泄露、接口异常调用、API 攻击、IP 攻击等风险，减少风险现误报情况。同时，系统具备自学习能力，对于处理后的告警误报，将不再被上报告警，据此可配合进行告警闭环处理，优化告警精准度、逐步减少告警误报。（五）会话回放能力建立在检索、告警、会话中选择任意请求进行日志回放，即可完整还原用户访问行为，提取与安全事件相关的所有访问记录做集中度分析，进而聚焦异常访问行为和数据泄露路径。（六）制定 API 接口管理相关规范制定XX 市接口日志审计规范，保障接口使用过程风险可控。四、应用成效本方案对接口访问的流量进行采集分析，通过识别接口资产，分析接口使用行为，发现数据安全风险，可对接口访问内容等进行全面审计。本方案特点优势及预期应用成效如下：（一）敏感数据高效发现对敏感数据进行等级划分，依托公共数据分类分级结果，制定敏感数据识别规则，通过规则分析引擎高效且更细粒度地识别接口流量中请求和响应所含的敏感数据，并打上相应数据标识，对接口传输的敏感数据进行分类分级；同时可将敏感数据识别能力赋能到应用请求的安全风险识别，可以在 API 接口维度保障数据生命周期内的流动安全。（二）应用接口全盘梳理基于特定的数据挖掘算法，识别并建立接口资产列表，可对接 API 网关或者 API 管理文档、辨别僵尸接口、幽灵接口等未知接口，并对接口进行可视化展现、实时监测，从而对接口进行差异化监控，及时发现接口存在的安全风险。（三）敏感数据流动画像对接口的敏感数据调用行为进行完整的记录，利用智能数据分析技术，打造多场景、深入式、全覆盖的应用请求和响应数据智能追溯，可追溯到数据的源头和走向，以此作为数据取证的依据。（四）智能化分析与预警关注用户对关键业务系统、敏感接口、敏感数据的访问行为，利用强大的智能分析引擎，根据用户账号、客户端 IP 和访问特征构建用户模型，创建用户行为基线，通过规则、基线、大数据等分析手段识别异常访问行为并及时预警。（五）报表多维合规分析一方面，通过通用且丰富的报表模板，依据合规标准，多维度分析，可快速出具各类统计报表，轻松应对合规要求。另一方面，可自定义报表，满足个性化分析需求，大大提高风险分析效率，方便风险运营。第三章第三章 接口使用安全场景接口使用安全场景145 政务应用 API 接口二次封装的自动化监测与发现解决方案一、场景描述目前政务应用 API 接口的二次封装问题较为普遍。为简化 API 的调用过程、增加 API 接口功能等业务需求，部分应用对 API 接口进行了二次封装，增加了敏感数据的暴露面。某地已总结了 6 种人工检查的方式，来尝试发现接口二次封装的问题，在总结经验的基础上，拟通过创新使用检测工具实现部分场景的自动化检测，以提高检测效率。二、风险分析由于政务系统自身安全性差异较大，对于 API 接口的监测能力不足，API 监管往往是安全防范最薄弱的地方。面对违规越权操作、数据调用行为无痕等内部安全问题，某地无法有效对针对 API 接口的二次封装行为及由此带来的数据安全风险进行实时监测。三、解决方案本方案对 API 接口二次封装情形的定义及发现方式如下：查看文档和代码注释：API 接口的文档和代码注释中涉及类似“封装”“重构”“简化”等词汇。检查请求参数和返回结果：请求参数和返回结果与原始 API 接口不同。观察 API 调用方式：API 调用方式，例如参数的传递方式、调用方法的名称等，与原始 API 接口不同。检查代码结构和文件目录：API 接口所在的代码结构和文件目录与其他 API 接口不同。测试 API 接口：通过调用 API 接口，观察返回结果和响应时间，发现 API 接口的性能和返回结果与原始 API接口不同。图图 1.1.APIAPI 接口二次封装发现方案架构图接口二次封装发现方案架构图根据以上情况，本方案通过以下两种方式对 API 接口二次封装的情形进行检测：一种是人工代码审计，另一种是使用自动化检测工具。代码检测：通过人工对 API 接口进行测试调用，或借助代码审计工具对比接口代码，来发现二次封装的 API 接口。拟通过自动化检测工具发现接口二次封装的场景：通过梳理接口的请求结构和返回结构，对授权接口进行监控，实时对比授权接口与其他接口结构的相似度，若相似度高则进行告警。在政务云环境下，可通过在应用服务器上安装流量代理Agent 的方式实现 API 二次封装的风险监测。四、预期成效从传统的人工安全审计检测向全面自动化安全监测转变：通过汇聚应用系统的流量，利用监测工具的人工智能分析引擎，从 API 接口的角度对二次封装的安全风险进行分析和识别，实时掌控 API 接口安全风险，为安全策略提供相应的决策依据。API 接口审计可自动记录网络上流动的敏感数据，对 API、应用资产安全开展定期、持续性的安全评估，可有效预防敏感数据通过接口泄露。同时通过自动化检测工具对接口进行检测，以提高检测效率。五、方案优越性API 监测工具可与现有的数据安全平台对接，通过 A