1、20242024数据安全典型场景案例集Collection of Case Studies on Typical Data Security ScenariosI编辑委员会编辑委员会指导单位：杭州市数据资源管理局发布单位：杭州数据安全联盟杭州数据安全联合创新实验室专家指导组：张斌、孙茂阳、胡琼达、曾露、李嘉明、徐舟、吴铤、寇亮、刘金飞、薛峰、周俊审核组：方橙蔚、李聪辉、常凯新、卜嘉文案例提供单位：杭州市上城区数据资源管理局杭州安恒信息技术股份有限公司杭州市拱墅区数据资源管理局杭州城市大脑技术与服务有限公司杭州市西湖区数据资源管理局杭州虎符网络有限公司杭州高新区（滨江）大数据治理中心杭州美创科技

2、股份有限公司杭州市萧山区数据资源管理局杭州孝道科技有限公司杭州市余杭区数据资源管理局杭州中尔网络科技有限公司杭州市临平区数据资源管理局全知科技（杭州）有限责任公司杭州市富阳区数据资源管理局闪捷信息科技有限公司杭州市临安区数据资源管理局上海凯馨信息科技有限公司建德市数据资源服务中心深信服科技股份有限公司杭州市经济信息中心深圳市洞见智慧科技公司浙江省北大信息技术高等研究院网宿科技股份有限公司南湖实验室星环信息科技（上海）股份有限公司国网浙江省电力有限公司信息通信分公司中国电信股份有限公司重庆分公司III前前言言随着以数据为关键要素的数字经济的蓬勃发展，数据已经逐渐成为基础性、战略性、先导性资源，对

3、社会发展、国家治理产生着革命性影响。如今，数字中国建设已成为国家发展战略的重要组成部分，保障数据安全、促进数字经济发展是事关人民福祉、社会稳定和国家安全的重大问题。中华人民共和国数据安全法的出台和实施预示着我国数据安全管理工作步入全新的法制化阶段。在此背景下，数据安全不仅是数字经济稳健运行不可或缺的基础环节，更是推动产业实现高水平、高质量发展的核心要务。各政府部门、企事业单位、行业机构等多元主体，在实践运作中亟需建立和完善全面的数据安全治理体系，持续提升数据安全保障能力和管理水平。先进的数据管理体系通常涵盖数据共享、互联互通、开放利用及安全保障等多个维度，而数据安全则是支撑这些功能有效运行的基

4、石。本案例集广泛汲取了数据细粒度治理、数据授权运营安全、接口使用安全、政务系统接入安全、批量数据共享安全、数据使用侧监管、安全风险监测、账号安全管控、第三方人员管理、密码应用等领域内的实际应用实例，深度剖析了数据安全在各典型场景下的挑战与应对策略，整理并呈现了一系列具有代表性的案例研究。同时，案例集囊括了诸多保障数据安全的核心技术和管理措施，如数据分类分级管理、账户权限控制、安全的数据开发环境构建、批量数据共享接口的安全使用、软件开发全生命周期的安全管控等。最后，衷心感谢您选择阅读本案例集。我们期望此案例集能为社会各界提供实用、有价值的参考依据，助力各行各业有效应对数据安全领域的各种挑战。在编

5、写时尽管我们不敢有丝毫懈怠，但由于时间和能力有限，内容和编排上难免有不足之处，敬请读者批评指正。目目录录IV目目录录第一章 数据细粒度治理场景.11 基于 AI 识别的数据资产管理系统建设.22 数据使用安全敏感数据的精细化管控.5第二章 数据授权运营安全场景.73 全流程安全管控方案下的公共数据授权运营平台建设实践.8第三章 接口使用安全场景.114 接口使用安全.125 政务应用 API 接口二次封装的自动化监测与发现解决方案.146 API 接口风险监测及处置方案.157 基于 API 接口的能源数据安全建设实践.188 针对 API 共享接口的精细化风险监测实践.20第四章 系统接入安

6、全场景.229 基于零信任的政务外网安全接入平台.2310 政务应用“上线即安全”解决方案.2511 基于零信任打造政务外网终端的可信访问体系.27第五章 批量数据共享安全场景.2912 基于芯片级隐私计算的数据共享平台方案.3013 基于云沙箱的数据隔离访问方案.3214 基于隐私计算的省级政务数据开放平台.3415 基于 Sophon PC 的隐私计算平台应用方案以政务民生为例.3616 基于隐私计算的政务数据计算价值共享.38第六章 数据使用侧监管场景.4017 数据交换场景中的 API 多重监管交叉审计.4118 数据使用侧统一授权管理与监管.4319 数据使用侧监管.45目目录录V第

7、七章 安全风险监测场景.4720 基于全流量的流动数据风险监测方案.4821 基于公共数据平台的开放数据中个人信息检查情况分析.5022 基于可视化技术的数据访问监管系统设计与实现.52第八章 账号安全管控场景.5423 账号复用滥用发现方案.55第九章 第三方人员管理场景.5724 数字操作间系统.5825 信息化建设第三方人员数据安全闭环管理.6026 第三方人员管理.63第十章 密码应用场景.6627 密态数据流通解决方案.6728 保护数字社会系统中的数据安全：商用密码技术的实践与应用.70第十一章 综合场景.7229 数据多节点泄露发现方案.73第一章第一章数据细粒度治理场景第一章第

8、一章 数据细粒度治理数据细粒度治理场景场景21 基于 AI 识别的数据资产管理系统建设一、场景描述作为新型生产资料，数据资产在流通和使用过程中能不断创造新的价值。然而，由于数据价值提升、流动性加剧、防护边界模糊，以及数据自身海量无序、类型繁杂、场景多样等复杂因素的影响，数据安全风险变得异常突出，传统的以边界防护为主的网络安全手段已经难以有效应对这种挑战。因此，亟需从资产的视角对域内数据进行摸底盘点、分级分类、关联分析、风险评估等综合安全治理，实现数据全生命周期安全管理，确保数据来源可信、访问可控、操作可查和责任可追。本方案结合行业数据的本地化管理与直观可视、可查、可判、可用的实际需求，并结合相

9、关工作机制，实现行业数据的更新维护，提高行业常态风险管理能力；进一步开展关键要素分类辨识应用，实现针对重点防护对象的判识、评估，并以一张图的形式分类分级显示成果；提供防护策略建议、专项评估报告动态更新等内容，为安全监管部门提供支撑。二、风险分析痛点主要包括如下四个方面：1.组织机构尚不具备数据分类分级能力组织机构对数据资产的规模、存放位置、敏感数据构成与使用情况等信息尚未掌握，无法根据数据的重要程度制定安全保护策略，直接影响了后续的数据安全体系化建设。2.可用数据分类分级信息滞后组织机构掌握的可用数据分类分级信息滞后，这些信息不能反映数据资产的真实情况，对数据安全能力建设效果的提升作用有限。3

10、.内容识别技术准确度低当前的内容识别技术一方面需要大量的人工干预，另一方面会产生错误的数据分类分级结果。这会导致制定的数据安全保护策略不合理，从而对数据安全产生危害。4.缺乏数据安全风险监测能力组织机构对环境中敏感数据是否存在泄露、是否存在违规访问、是否有系统漏洞等情况不了解，导致数据安全工作的针对性不强。三、解决方案（一）数据安全分类分级服务数据安全分类分级起承上启下的作用。承上：从运维制度、保障措施、岗位职责等多个方面的管理体系都需依托数据分类分级进行针对性编制（管理体系与分类分级的结合，可强化体系落地执行性）。启下：根据不同数据级别，实现不同安全防护，如高级数据需要实现细粒度规则管控和数

11、据加密，低级别数据实现单向审计即可。所以，数据分类分级是管理体系合理规划、数据安全合理管控、人员精力及力度合理利用的基础，是迈向数据安全精细化管理的重要一步。数据分类分级工作流程包含分类分级方案预研、分类分级方案确定、分类分级方案评审 3 个环节。流程如图：分类分级方案预研主要包含预研准备、数据资产梳理、方案设计等工作；分类分级方案确定主要包含方案预审、方案汇报评审和方案发布工作；分类分级实施主要是分类分级标识和安全策略规划工作。图图 1 1.数据分类分级工作流程图数据分类分级工作流程图（二）数据安全资产管理系统数据分类分级方案确定后，下一步数据安全分级分类专员根据分类分级方案对数据进行分类分

12、级标识，数据分级分类标识采用“工具”+“人工”的方式，通过自动化工具（数据安全资产管理系统）引入数据分类分级过程，加速项目实施速度，降低人力成本，降低错误率，提高输出成果的质量。第一章第一章 数据细粒度治理数据细粒度治理场景场景31.系统概述通过对全域数据扫描和深度挖掘，对组织内的数据资产（例如数据源、数据表、字段、文档等）进行梳理，绘制数据地图，建立数据资产台账，帮助用户摸清数据资产家底，直观呈现核心数据资产的分布、状态、使用、流转等详细信息。同时，数据安全资产管理系统能够利用 Ai 算法、机器学习等技术，结合数据特征、元数据等信息，发现和定位敏感数据资产，并基于法律法规和行业标准，自动化完

13、成数据资产的分类分级，为企业或组织构建数据安全运营体系打下坚实的基础。2.产品架构数据安全资产管理系统充分考虑了自身安全性、易操作、易维护等多方面设计要求，采用 SOA 架构将复杂的业务逻辑、流程控制逻辑和数据存取逻辑通过在不同技术层实现，使得技术实现与平台业务相分离，确保自身数据安全和业务效能最大化。数据安全资产管理系统可以分为数据资产探测、数据资产梳理、敏感数据识别、数据分类分级、数据资产多维分析等功能模块。数据资产探测功能帮助客户发现组织内的未知数据源；数据资产梳理功能帮助组织掌握内部数据资产现状，构建数据资产地图；敏感数据识别功能通过平台内置的个人敏感特征库，发现和定位组织内的敏感数据

14、；数据分类分级功能通过数据特征、资产属性、环境信息等多维度，对数据资产进行自动化的分类分级打标签，为后续数据安全管控策略提供基础；数据资产多维分析从多个维度呈现资产现状，让组织管理层能够直观、全面了解数据资产现状，确保数据资产“可见、可懂、可控、可用”。图图 2.2.数据资产管理系统逻辑架构图数据资产管理系统逻辑架构图同时，采用 AI 技术提升内容识别的准确性与识别工具的实用性和应用范围，支持结构化和非结构化数据。具体而言，本方案在关键字技术的基础上引入中文分词、模糊匹配和权重匹配技术，优化普通关键字的误报率；针对正则表达式，加入数据标识符，精确匹配身份证、银行卡号、社会保障号等有技术规范的内

15、容；对非结构化文档的识别，支持为内容提取指纹，实现敏感内容分段保存，降低干扰内容影响，提升识别敏感信息和内容来源的水平；机器学习方面基于深度神经网络，用双向门控循环单元（GRU）网络进行中文分词，用深度卷积（DCNN）网络进行文本深度特征提取，采用集成支持向量机（SVM）的方法进行文本分类。图图 3.3.系统部分技术功能展示（演示环境系统截图）系统部分技术功能展示（演示环境系统截图）数据分类分级识别中针对诸如通讯记录、征信信息、房产信息等较难通过规则配置实现自动识别打标的数据，通过个性化建模方式构建模糊规则集实现数据智能打标。标签推荐技术实践中，主要采用经验知识与事实知识结合的理念。经验知识即

16、标签信息可能包含的语料库或描述，如既往病史、住院记录等关键词汇；事实知识即实际的数据样本，通过多种模型的关联构建。通过机器学习技术，对待打标的数据进行预处理，如中文分词、关键词提取、词向量转换等，并利用 TF-IDF 算法进行关键词提取并结合 word2vec 算法进行词向量转换，最后计算待预测数据与每种标签对应数据的相似度得分，并依据该得分进行标签推荐。图图 4.4.标签推荐功能展示（演示环境系统截图）标签推荐功能展示（演示环境系统截图）第一章第一章 数据细粒度治理数据细粒度治理场景场景4（三）与现有数据安全产品联动将分类分级信息与现有数据安全产品联动，实现敏感数据信息与安全风险等内容的实时

17、同步，形成有针对性的数据安全防护策略，实现加密、脱敏、审计、访问控制等的策略协同与联防联动。（四）根据分类分级结果，自动监测敏感数据的流动和访问情况，在风险识别模型的基础上，采用 AI技术提升风险识别能力（五）支持广泛的数据源类型本方案包括但不限于支持 Oracle、SQL Server、MySQL、DB2、SyBase、Postgres、Informix 等国际主流商用数据库，达梦、人大金仓、南大通用、金仓等国产主流商用数据库，HBASE、HIVE、HDFS、MongoDB 等主流开源大数据存储组件，华三、华为等国内主流大数据平台的数据资产识别。支持对常见非结构化数据资产识别，包括 doc、

18、docx、xls、xlsx、ppt、pptx、pdf、txt、zip、rar、7z 等文件类型。能够识别多层嵌套压缩文件内容、由文档转换而成的图片内容。（六）统计报表自动化生成本方案支持统计报表自动化生成与内容定制，能极大降低报表材料输出成本。图图 5.5.敏感数据流转监测功能展示敏感数据流转监测功能展示（演示环境系统截图）（演示环境系统截图）图图 6.6.系统支持广泛的数据源类型系统支持广泛的数据源类型（演示环境系统截图）（演示环境系统截图）图图 7.7.统计报表自动生成统计报表自动生成（演示环境系统截图）（演示环境系统截图）四、应用成效国家政府部门为积极应对“互联网+”和大数据时代的机遇和

19、挑战，响应全国经济社会发展与改革要求，将大数据平台的建设列为新时代信息化建设的重要工作。大数据平台汇聚了各行业的重要数据，对国计民生和社会安定至关重要。随着大数据技术持续快速发展，机构的数据安全能力面临着越来越高的要求，但机构普遍存在安全人员短缺、数据安全防护“孤岛”化的问题，这严重阻碍了大数据技术发挥价值。因此，数据资产管理系统作为大数据平台安全保障体系的重要组成部分，将对大数据平台的数据安全防护方案发挥积极作用，成为当前大规模市场需求的重点。某地建设的数据资产管理系统采用政务行业的数据识别规则模板和 AI 技术，对 404 张表共计 11097 个数据字段进行梳理，识别的自动化程度达到 9

20、6%，极大地降低了人力成本。根据数据梳理结果将数据分类为四级，并制定了差异化的安全策略。为不同敏感数据制定的针对性的安全防护措施，优化了安全资源配置，使防护更加精准，整个防护体系统一管理，策略共享，防护无遗漏。数据资产管理系统采用独有的数据安全保障架构，数据资产的梳理、展现通过数据目录和数据映像等方式进行，数据资产管理系统自身不存储、不截留用户的真实业务数据，敏感数据样例展现也采用遮蔽脱敏方式。同时，数据资产管理系统的关键配置和操作也通过分权和二次授权模式进行限制和控制，确保用户业务数据在维护、管理过程中不会曝光和泄露。系统通过丰富的场景规则以及 AI 风险分析模型，为用户生成数据资产风险评估

21、基线，同时综合其他相关安全数据和日志进行分析研判，实时监控、预测数据安全风险的变化趋势和偏离预警线的强弱幅度，并从行为、事件、合规性和脆弱性等维度为用户提供及时的风险预警和风险处置措施。上述策略在保证安全能力的基础上，既减轻了安全团队压力，又提升了防护效率。数据资产管理系统项目的建设，为数据安全行业提供了一种新的治理模式，超越了只交付产品的方式，提供了具有示范效应的安全防护案例，为数字经济的发展和数据交流融通提供了行之有效的安全保障。第一章第一章 数据细粒度治理数据细粒度治理场景场景52 数据使用安全敏感数据的精细化管控一、场景描述文旅行业涉及很多具有高敏感性的个人数据，如身份信息、酒店入住信

22、息、人脸信息以及家庭居住信息等。因此，某地文旅局以保护文旅数据为核心，防止游客隐私数据泄露为目的，发挥数据安全保障能力；消除 SYSDBA和 DBA 等特权用户拥有数据库中最高权限带来的越权滥用随意访问敏感数据现象；降低日常运维中 Drop Table，Truncate Table 等操作带来的安全风险，满足脱敏后的生产数据既能提供给开发、测试等环境，又能提供给数据交易、数据交换和数据分析等第三方数据应用场景的信息泄露防护要求；同时防范勒索病毒可能造成的系统不可用的风险。二、风险分析某地“智慧旅游”平台系统正常运行可能面临的安全风险包括：以网络防御为主，缺乏以数据资产为中心进行防护的意识，不能

23、实现精细化管控；高权账号、高危操作层出不穷，无法进行事前管理与事中防御，缺乏全链路全面管控机制；开发、测试环境采用真实敏感数据，可能造成重要数据泄露；勒索病毒导致整个网络系统瘫痪等。以上任何一种情况都会造成重大的损失。为了“智慧文旅”平台能够有效应对上述安全威胁和风险，必须从组织管理、技术保障和人才能力等方面着手，通过各个层面的安全建设，发挥安全防护能力、隐患发现能力和应急反应能力，建立可靠的安全运行环境，以保障重要业务和数据的安全。三、解决方案本方案结合了具体的业务场景和安全需求，令数据平台在开发运维使用场景中，对使用人员进行分类、对开放给使用人员的数据权限进行分级，在使用过程中对数据的操作

24、行为进行监测，能及时发现违规或异常操作行为。此外，本方案能全面梳理数据开发、测试场景业务流程，防范数据泄露风险，发挥公共数据安全监管能力，完善和落实数据使用场景相关安全管理制度，明确审批流程和要求，发挥数据安全运营能力和服务能力，借助日常巡检、风险评估和防勒索等手段落实安全保障。解决方案架构图如图：图图 1.1.解决方案总体架构图解决方案总体架构图1.通过部署数据库网关，集数据库准入、应用访问控制、敏感数据脱敏、误操作恢复、运维审计等多种功能于一体，细化数据库访问控制粒度，识别和拦截高危操作行为，防范未授权删库/删表/清表、建库/建表/建视图/提权、越权访问、私建账号和违规导入/导出等风险操作

25、。同时，能实现敏感数据发现管理、敏感数据危险操作防范、特权账户随意访问敏感数据限制，利用身份管理、授权等机制规范运维人员行为，实现运维人员高危操作的工单审批管理等，并提供全面审计分析报告。数据库网关功能示意图如下：第一章第一章 数据细粒度治理数据细粒度治理场景场景6图图 2.2.数据库网关功能示意图数据库网关功能示意图2.结合数据库网关，根据最小授权原则操作生产库，按需导出业务所需数据，同时借助数据脱敏等技术实现对核心库的敏感内容去标识化或个人信息假名化，并保持脱敏后数据与业务数据的一致性与关联性。同时，实现真实数据的“可用不可拥”，防范重大数据泄露事件发生，实现文旅敏感数据在开发、测试，或数

26、据交易、分析场景中的脱敏降级使用。数据脱敏功能示意图如图 3：3.采用数据防勒索技术，以“识正御邪”理念为指导终止未授权进程访问数据，防止敏感信息文档和核心数据被加密勒索，确保终端上重要文档、服务器文件和数据库备份文件的安全性，同时使业务系统具备带毒生存能力，保障业务的高可用性。防勒索功能示意图如图 4：图图 3.3.数据脱敏功能示意图数据脱敏功能示意图图图 4.4.防勒索模块示意图防勒索模块示意图4.提供常态化、持续化的安全巡检、漏洞扫描与现场应急等安全服务，协助运维人员发现、整改和复测安全问题，确保修复安全漏洞，形成安全闭环，提高平台业务安全对抗水平，规范内部数据处理人员各类行为，增强内部

27、操作人员的安全意识。5.提供数据安全风险评估服务，及时发现系统中存在的安全风险，对症下药提供安全建议，降低设备采购与人员服务支出，以降低处理数据安全事件所需经济成本。四、应用成效1.解决数据库 SysDBA、DBA、Schema User 等特权用户权限过大的问题，提供了周密完整的身份认证解决方案，真正实现基于数据库访问用户的细颗粒度管控，将访问控制策略与敏感数据相关联，避免越权访问。2.利用“脱敏数据以假乱真”的功能特点，最大限度地保证脱敏后数据的“真实性”，即依然保持数据特征、业务规则、数据关联性，有效提升开发测试、数据分析的质量。3.遵循主动防御的思想，在安全措施上对勒索病毒的攻击进行阻

28、断，并和其它主机安全防护措施共同作用，构建一个“主动防御、综合防范”的安全防御体系。4.通过数据安全服务，及时发现系统内部安全短板，预判可能存在的安全风险，实时进行风险监测和风险预警，提供安全事件处置服务，为平台安全提供保障。综上所述，通过一系列的安全措施和服务，保障日常工作中和业务高峰期系统安全运转，保障文旅大脑、全域旅游运营、假日旅游通、安心宿、智慧文博等平台汇聚的文旅数据安全。第二章第二章数据授权运营安全场景第二章第二章 数据数据授权运营授权运营安全场景安全场景83 全流程安全管控方案下的公共数据授权运营平台建设实践一、场景描述为了加快公共数据有序开发利用，培育发展数据要素市场，某市公共

29、数据授权运营平台按照“原始数据不出域、数据可用不可见”的要求，合规推进数据加工使用、数据产品经营、第三方服务机构为核心的数字服务产业链上的政务数据安全可控。通过公共数据授权运营平台全流程安全管控方案，可以保障合规执行授权程序，获得公共数据资源与数据加工使用权；保障在数据产品加工使用与经营建设过程中的“数据可用不可见”；对接数据沙箱与隐私计算平台，配置严格可控的数据出域审核功能，实现数据跨域融合计算与交易流通。二、风险分析（一）数据脱敏与数据出域在公共数据加工与交易流通过程中，由于缺乏网络隔离、租户隔离、开发与生产环境隔离保护，存在数据脱敏与数据出域的安全风险。因此，需要全流程操作可审计，数据可

30、溯源，以保障数据安全。（二）敏感数据泄露在公共数据跨域与集成外部数据过程中，存在敏感数据泄露风险、受限数据未审批加工使用风险，存在数据产品或数据服务用于或变相用于未经审批的应用场景的风险，需要配置分布式隐私计算能力，满足加工使用与经营产品过程中安全管控。（三）数据安全需要针对数据加工处理人员须实名认证与备案，记录并可审查其操作行为；同时，应保证原始数据对数据加工处理人员不可见，使用抽样、脱敏后公共数据进行数据产品的模型训练与验证。三、解决方案公共数据授权运营平台通过业务流程安全、开发环境安全、人员主体认证安全、数据加工安全、应用安全、合规审计安全、数据安全网关等维度，实现整体运行的安全风险管控

31、。（一）业务流程安全公共数据授权运营平台采用开发链路一体化集成，管理开发主体准入、数据服务权限、场景认证审批、数据开发、隐私协作、产品开发、应用管理、运营管理、安全监管的工作流程节点。图图 1.1.公共数据授权运营平台的数据开发流程公共数据授权运营平台的数据开发流程（二）开发环境安全搭建云桌面设备，严格执行公共数据授权运营安全策略，形成资源和数据集中化管理，按需动态分配，数据产品要素、应用代码等保存在云端，降低数据泄露风险。第二章第二章 数据数据授权运营授权运营安全场景安全场景9图图 2.2.开发人员审核，采用数据沙箱进行数据可用不可见开发人员审核，采用数据沙箱进行数据可用不可见（三）人员认证

32、安全平台支持对授权数据加工处理环节的管理，对数据加工处理人员进行实名认证与备案；通过数据沙箱实现原始数据对数据加工处理人员不可见；通过使用抽样、脱敏后公共数据进行数据产品的模型训练与验证，保证发布代码安全，保证数据不泄露。（四）数据加工安全主要包括针对政务数据进行数据分级分类管理，对敏感数据（L4级）、较敏感数据（L3 级）、低敏感数据（L2 级）、不敏感数据（L1 级），在公共数据授权运营平台，按照场景建设需要，进行原始政务数据申请。公共数据授权运营平台具备数据分级分类管理功能，按照通过场景认证的申请单，面向开发主体数据咨询、授权运营、数据开发等功能权限。图图 3 3.公共数据分级分类架构图

33、公共数据分级分类架构图（六）合规审计安全全流程上链管控，在数据产生、处理、加工、融合与流转过程中，支持可视化展示数据处理过程、阶段及计算逻辑；平台依托区块链技术对过程进行记录，以实现对公共数据共享交换过程的可追溯，保障数据相关方的权责落实。图图 5 5.数据产品区块链凭证，支持在线查询验证状态数据产品区块链凭证，支持在线查询验证状态图图 4.4.公共数据授权运营平台的操作流程与操作埋点公共数据授权运营平台的操作流程与操作埋点（五）开发端运营端应用安全公共数据授权运营平台为开发端、运营端提供 130 多项操作埋点，基于多种协议进行日志采集，实现日志统一采集，集中管理和高效监控。对平台内置风险和安

34、全事件进行行为监控告警，支持通过站内信方式进行发送告警，第一时间通知日志管理相关人员，快速定位并处理，提高预警能力，提升运维效率，降低风险。第二章第二章 数据数据授权运营授权运营安全场景安全场景10（七）数据安全网关为数据产品 API 配置网关管理，兼容事件与任务流转业务属性，发挥多种业务场景下的“中枢”能力；实现对服务请求的协议转换、流量控制、接口监控、鉴权、路由等功能，确保开发人员对数据可用不可见，数据交易安全可控，提升数据要素流通效率与质量。四、应用成效（一）定性分析该市公共数据授权运营平台具备数据要素全周期安全监管、数据要素全链路开发管理、数据要素全流程运营管理“三全特点”，系统性规划

35、建设“规则+市场+生态+场景”四维一体数据要素流通机制。亮点一：采用“3+1”模式，实现多平台合一、用户权限体系统一、数据资源调配统一、数据要素流通机制统一。可信空间实现数据授权平台、数据交易平台、隐私计算协作平台 3 平台融合，基于 1 套数据要素流通机制，无缝对接政务大数据平台，为政府管理侧、市场运营侧、可信空间建设运维支撑侧提供一站式操作界面。亮点二：采用“无菌数据操作间”软硬件融合监管模式，保障数据申请、数据加工、数据出域、数据交易等全链路、全周期的安全可控可溯源。从物理场地、网络控制、数据安全、制度建设上建立规范，确保公共数据不出域、数据可用不可见。亮点三：强化市场供需两侧信息对接，

36、运行“供需大厅”、“特色专区”，为供给侧政府、企业数源单位，为需求侧数据服务商、第三方机构等，开辟实时在线数据资产、数据资源、数据模型、数据产品等展示交流机制，实现供需两侧精准对接。通过构建数据授权运营可信数据空间，实际解决当前数据要素提供方、使用方、服务方与监管方等各主体间的安全信任问题，实现数据归集、共享、授权应用及流通等技术功能，保障数据要素权益、高效合规应用，为全市公共数据授权运营、社会数据的融合应用、数据要素流通应用等多维度多场景的数据要素授权与数据产品开发，提供了基础设施保障。（二）定量分析该市公共数据授权运营平台已支持开展多个公共数据授权运营应用场景，主要包括金融、医疗健康、智能

37、交通等。（1）个人经营性贷款服务应用场景，实现不动产等公共数据在金融场景下的融合与合规应用。通过数据授权运营平台可信空间申请不动产、社保、公积金等公共数据授权运营权限，经数据购买、创建授权、主体授权、令牌发放、令牌核验等程序审定后，在指定的内完成数据的抽样、脱敏、清洗、转义、开发等工作，建立金融产品开发的数据基础。利用部署在数据授权运营平台可信空间的应用服务开展数据管理，并进一步对数据进行建模分析，形成面向个人经营性贷款服务的信贷模型。（2）医疗健康领域医学大模型应用场景依托数据授权运营平台可信空间，对医疗方面的公共数据完成数据归集治理，通过该市公共数据授权运营工作机制实现数据授权应用。在指定

38、的可信空间域内实现数据抽样脱敏处理并根据授权医疗数据进行医学大模型训练，确保原始数据不出域、数据可用不可见。医疗大模型建成后将优先服务临床医学事业。同时，医疗大模型将配合医生开展 24 小时辅助诊疗服务。未来将覆盖 15 个科室、3000多家医院，向医疗机构免费提供使用。同时医疗大模型将直接服务于民生、造福全民健康。医疗大模型将向广大群众提供便捷专业的线上咨询、求医问诊、健康管理等服务，进一步提升服务质量和效率。（3）智能交通车路协同应用场景主要围绕该市路口基础数据信息、交警信号机实时数据信息等公共数据，在数据授权运营平台可信空间部署安全效率服务系统对车辆定位及信号灯数据进行融合分析后，形成绿

39、波车速、起步提醒、抢红灯预警、倒计时提醒、建议车道等智能服务，在原始数据不出域的前提下，向汽车车机系统、车载终端、移动端导航软件推送可直接面向公众应用的场景类智能应用。该应用将服务于该市交通治理服务，整体缓解整体交通通行压力，以数据算法模型对路上信号灯与路上车况进行科学分析与监管，辅助疏通路上拥堵情况以及动态调配，增加车辆的通行率。据不完全统计，等红灯概率降低 18.66%；绿灯起步时间提升 25.3%，节约 1.83 秒；路口排队长度减少 14.3第三章第三章接口使用安全场景第三章第三章 接口使用安全场景接口使用安全场景124 接口使用安全一、场景描述在基于一体化智能化公共数据平台进行政务数

40、据采集、归集、治理、共享、利用、销毁的整个过程中，都存在着通过 API 接口的数据共享与交换。本方案对数据通过 API 接口共享给使用方后的使用行为进行监管，能发现数据违规导出、越权调用、数据泄露等风险行为，并进行整改规范。二、风险分析（一）API 资产梳理不清晰政务公共数据共享场景复杂，API 接口多且调用频繁，部分接口通过 API 网关进行了管控，而部分接口未通过 API 网关发布。由于 API 接口传输的数据格式多样、接口参数变动大，因此难以通过接口之间的联系进行 API的梳理，也无法完全理清接口之间的调用关系。（二）API 接口缺陷感知不全面API 接口的开发大多以业务优先为原则，因此

41、在接口的技术路线选择上可能会有安全设计方面的忽视之处，导致 API 接口存在安全缺陷，比如接口存在弱口令等情况，容易被利用产生安全风险和隐患。特别是不在 API网关监管下的接口，对其在实际使用过程中存在的弱口令等缺陷无法全面感知。（三）API 接口风险发现不及时当 API 的漏洞被利用时，API 接口以及重要数据的安全风险会持续扩大。并且，传统的安全风险监测产品在API 接口安全风险的有效识别上存在较大难度，会造成风险发现不及时。三、解决方案本方案通过对 API 接口的流量进行分析和识别，能分析出接口使用过程中的安全风险，并有效保障接口使用安全。根据图 2 所示的 API 接口审计方案和图 3

42、 所示的 API 接口审计流程，可以从以下几个方面实现接口使用的安全管控：图图 2.2.APIAPI 接口数据审计方案逻辑架构图接口数据审计方案逻辑架构图图图 3.API 接口应用数据审计流程接口应用数据审计流程（一）对 API 接口进行资产画像通过流量分析，实现对应用、接口等的识别，和全方位、多维度的资产画像展现：使用图表展示应用、接口资产的访问请求次数、敏感接口数、敏感数据数量、IP 数的统计以及访问请求日志总数、用户账号及客户端IP 的个数趋势和资产的关联风险、风险趋势。（二）对接口进行精确安全审计通过对 HTTP/HTTPS 协议进行深度解析，可审计到应用的请求状态（成功或失败）、执行

43、时长、请求头、请求体、请求 cookie、响应头、响应体、响应 set-cookie、请求 URL、请求方式、请求参数、会话（token）、用户账号、接口 URL、数据标签、风险规则、风险等级等信息。第三章第三章 接口使用安全场景接口使用安全场景13（三）对 API 接口进行弱点检测通过对各种类型接口请求和响应数据的分析，发现接口设计的安全弱点，找出容易造成敏感数据泄露的接口和存在账号风险的接口，及时发现恶意攻击、撞库、接口未授权访问、敏感数据泄露威胁等行为，并进行告警。（四）对 API 接口的风险精确感知基于 AI 智能学习算法，构建 API 行为基线，能及时发现敏感数据泄露、接口异常调用、

44、API 攻击、IP 攻击等风险，减少风险现误报情况。同时，系统具备自学习能力，对于处理后的告警误报，将不再被上报告警，据此可配合进行告警闭环处理，优化告警精准度、逐步减少告警误报。（五）会话回放能力建立在检索、告警、会话中选择任意请求进行日志回放，即可完整还原用户访问行为，提取与安全事件相关的所有访问记录做集中度分析，进而聚焦异常访问行为和数据泄露路径。（六）制定 API 接口管理相关规范制定XX 市接口日志审计规范，保障接口使用过程风险可控。四、应用成效本方案对接口访问的流量进行采集分析，通过识别接口资产，分析接口使用行为，发现数据安全风险，可对接口访问内容等进行全面审计。本方案特点优势及预

45、期应用成效如下：（一）敏感数据高效发现对敏感数据进行等级划分，依托公共数据分类分级结果，制定敏感数据识别规则，通过规则分析引擎高效且更细粒度地识别接口流量中请求和响应所含的敏感数据，并打上相应数据标识，对接口传输的敏感数据进行分类分级；同时可将敏感数据识别能力赋能到应用请求的安全风险识别，可以在 API 接口维度保障数据生命周期内的流动安全。（二）应用接口全盘梳理基于特定的数据挖掘算法，识别并建立接口资产列表，可对接 API 网关或者 API 管理文档、辨别僵尸接口、幽灵接口等未知接口，并对接口进行可视化展现、实时监测，从而对接口进行差异化监控，及时发现接口存在的安全风险。（三）敏感数据流动画

46、像对接口的敏感数据调用行为进行完整的记录，利用智能数据分析技术，打造多场景、深入式、全覆盖的应用请求和响应数据智能追溯，可追溯到数据的源头和走向，以此作为数据取证的依据。（四）智能化分析与预警关注用户对关键业务系统、敏感接口、敏感数据的访问行为，利用强大的智能分析引擎，根据用户账号、客户端 IP 和访问特征构建用户模型，创建用户行为基线，通过规则、基线、大数据等分析手段识别异常访问行为并及时预警。（五）报表多维合规分析一方面，通过通用且丰富的报表模板，依据合规标准，多维度分析，可快速出具各类统计报表，轻松应对合规要求。另一方面，可自定义报表，满足个性化分析需求，大大提高风险分析效率，方便风险运

47、营。第三章第三章 接口使用安全场景接口使用安全场景145 政务应用 API 接口二次封装的自动化监测与发现解决方案一、场景描述目前政务应用 API 接口的二次封装问题较为普遍。为简化 API 的调用过程、增加 API 接口功能等业务需求，部分应用对 API 接口进行了二次封装，增加了敏感数据的暴露面。某地已总结了 6 种人工检查的方式，来尝试发现接口二次封装的问题，在总结经验的基础上，拟通过创新使用检测工具实现部分场景的自动化检测，以提高检测效率。二、风险分析由于政务系统自身安全性差异较大，对于 API 接口的监测能力不足，API 监管往往是安全防范最薄弱的地方。面对违规越权操作、数据调用行为

48、无痕等内部安全问题，某地无法有效对针对 API 接口的二次封装行为及由此带来的数据安全风险进行实时监测。三、解决方案本方案对 API 接口二次封装情形的定义及发现方式如下：查看文档和代码注释：API 接口的文档和代码注释中涉及类似“封装”“重构”“简化”等词汇。检查请求参数和返回结果：请求参数和返回结果与原始 API 接口不同。观察 API 调用方式：API 调用方式，例如参数的传递方式、调用方法的名称等，与原始 API 接口不同。检查代码结构和文件目录：API 接口所在的代码结构和文件目录与其他 API 接口不同。测试 API 接口：通过调用 API 接口，观察返回结果和响应时间，发现 AP

49、I 接口的性能和返回结果与原始 API接口不同。图图 1.1.APIAPI 接口二次封装发现方案架构图接口二次封装发现方案架构图根据以上情况，本方案通过以下两种方式对 API 接口二次封装的情形进行检测：一种是人工代码审计，另一种是使用自动化检测工具。代码检测：通过人工对 API 接口进行测试调用，或借助代码审计工具对比接口代码，来发现二次封装的 API 接口。拟通过自动化检测工具发现接口二次封装的场景：通过梳理接口的请求结构和返回结构，对授权接口进行监控，实时对比授权接口与其他接口结构的相似度，若相似度高则进行告警。在政务云环境下，可通过在应用服务器上安装流量代理Agent 的方式实现 AP

50、I 二次封装的风险监测。四、预期成效从传统的人工安全审计检测向全面自动化安全监测转变：通过汇聚应用系统的流量，利用监测工具的人工智能分析引擎，从 API 接口的角度对二次封装的安全风险进行分析和识别，实时掌控 API 接口安全风险，为安全策略提供相应的决策依据。API 接口审计可自动记录网络上流动的敏感数据，对 API、应用资产安全开展定期、持续性的安全评估，可有效预防敏感数据通过接口泄露。同时通过自动化检测工具对接口进行检测，以提高检测效率。五、方案优越性API 监测工具可与现有的数据安全平台对接，通过 API 接口层面的风险监测，在应用层落地数据安全检测和响应，提高数据安全管控平台的数据发

51、现能力，全面感知数据安全综合态势数据（资产、重要数据和个人信息、API 安全风险、数据泄露风险、数据安全脆弱性、数据跨境风险）。第三章第三章 接口使用安全场景接口使用安全场景156 API 接口风险监测及处置方案一、场景描述本方案主要针对大数据场景下，数据通过 API 接口、批量等方式共享给使用方后的使用行为的监管，数据违规导出、越权调用、数据泄露等风险行为的发现。本方案涉及以下五大场景：1.公众、企业、单位正常调用攻击、越权2.代办调用（帮助当事人代为办理）数据泄露3.下级单位调用敏感数据落盘4.共享接口二次封装（数据通过 API 接口出去后再次分享的安全性问题）5.数据回流（上级部门依据下

52、级部门的职能和事权，按属地将统建系统中的数据及时返还至下级部门的过程）二、风险分析（一）API 资产管理与运营由于 API 管理缺乏可见性，无法实时或定期开展 API 资产梳理和维护工作，导致存在未知接口、失活接口与未注册接口等；涉及敏感数据传输的接口缺少监控和记录，对风险没有感知，存在丢失大量数据的风险；同时，由于接口开发不规范导致的脆弱性和漏洞，传统防护视角以网络为中心，聚焦从外到内的应用供给防护，未覆盖 API 这种从内向外提供数据服务的场景，很难对 API 本身和流经 API 的数据做安全防护。（二）API 接口脆弱性以及访问行为风险发现不安全的 API 接口会直接扩大程序的攻击面，针

53、对接口脆弱性与访问行为攻击等内外部安全风险，即使建立了身份认证、访问授权、敏感数据保护等机制，有时仍无法规避黑客模拟正常用户行为实施的攻击。如何管理 API 的访问行为，发现接口自身脆弱性问题，如：明文密码、敏感数据未脱敏、接口未鉴权等，从 API 访问请求中及时准确识别业务风险，推进风险闭环，是 API 安全管理的重要一环。（三）通过 API 导致的数据泄密缺乏溯源手段API 是数据共享交换的关键通路，通过 API 传输的数据主要是面向高流动性的业务数据，数据的持续流动特征容易导致责任划分不清、权限难以控制与问题难以追责等问题。在数据整合共享过程中，往往有多个主体参与数据提供方、数据共享交换

54、服务方和数据使用方，而数据又在不同主体之间流动，这就导致主体的保密责任不清晰。因为 API 本身的不可见性，一旦发生数据泄密，其范围、时间、对象和方式等都难以明确，导致数据泄露难以溯源。三、解决方案（一）总体思路解决方案围绕 IPPDR 模型（识别、预防、防护、检测、响应）构建整体 API 数据安全防护体系，如图 1 所示。（二）架构设计数据安全大脑：采用容器化软件方式进行旁路部署，通过 agent 或 API 安全访问代理系统获取业务系统访问流量，基于敏感数据自动梳理 API 资产，全面审计 API 请求，识别 API 接口脆弱性和访问风险，并支持阻断策略统一下发、联动防护；API 数据安全

55、代理：采用容器化软件反向代理模式进行部署，具备统一 API 接入、认证鉴权、访问控制、API攻击防护、数据动态脱敏与数据水印等能力，能保护数据中台数据安全，避免数据泄露。第三章第三章 接口使用安全场景接口使用安全场景16该架构示意图如图 2 所示。图图 1.1.整体思路架构图整体思路架构图图图 2.2.解决方案部署架构图解决方案部署架构图（三）功能设计1.API 资产管理通过探针或代理网关采集数据流量之后，本方案基于 HTTP/HTTPS 协议对传输流量进行解析自动完成接口梳理。基于敏感数据类型，梳理当前对外的接口、接口类型、接口是否涉敏、接口状态等信息，通过 API 接口聚合自动关联应用与

56、API，识别当前应用、接口、数据之间的关系，形成 API 数据资产清单。同时，本方案可以将数据分类分级的标签结果，与 API 资产中的敏感数据类型自动关联，分类分级标签可以选择指定字段进行数据动态脱敏、访问控制等数据保护。2.风险预防接口脆弱性识别：本方案内置接口脆弱性规则，能够自动识别接口脆弱性风险分布情况，支持口令认证类、安全规范类、访问权限类、数据暴露类、接口未授权访问与敏感信息泄露等类型的 API 脆弱性检测。访问权限控制：本方案能提取各个安全服务产品中的通用规则，构建统一的安全策略中心，支持通过访问主体、访问对象和访问请求开展的动态访问控制。其内置丰富高效的安全策略算法，提供黑白名单

57、、IP 过滤、应用过滤、自定义规则，以及大量的风险策略，包括用户未授权访问检测、接口越权调用、敏感数据外泄风险监测等，并依据用户、接口、数据权限及风险等级，实施不同的事件响应措施。3.数据防护敏感数据动态脱敏：本方案支持与数据治理平台、数据网关对接，能够对 web 应用、API 形式调用数据的行为进行解析和监控，并自动分析其中包含的敏感数据。本方案预定义了多种敏感信息内容，如：用户姓名/邮箱账户信息/电话号码/银行卡号/身份证号码/社会信用代码/护照号码/港澳通行证号码/手机号码/地址等，能够实现敏感信息精准识别与敏感数据自动脱敏，防止敏感信息被非法泄露。API 水印溯源：API 数据安全代理

58、系统支持明水印和暗水印两种方式，API 文档暗水印能将一些标志性信息嵌入到文件当中，但不破坏其显示效果，不影响其正常使用。API 攻击防护：支持对 JSON 和 XML 格式文件的解析，同时通过智能规则匹配以及智能语义分析检测引擎对API 流量进行实时检测，针对异常的 API 请求进行拦截，可对通过 API 接口进行的 SQL 注入、代码注入、命令注入、XSS 等攻击行为进行有效防护。第三章第三章 接口使用安全场景接口使用安全场景174.API 分析检测异常访问风险检测：本方案基于大数据计算和机器学习技术，对采集到的 API 应用服务器进行安全建模，通过 API 攻击检测与异常行为分析，自动生

59、成安全基线，构建数据安全访问模型。在业务运行过程中，能对敏感数据的访问行为进行分析，在出现如数据违规使用、API 异常调用、运维人员大量获取敏感数据等异常行为时，及时向用户预警。此外，能针对短时间内大量获取敏感数据、访问频次异常、非工作时间获取敏感数据、敏感数据外发等异常调用、异常访问行为进行实时监测分析，根据自身业务应用程序接口（API）情况建立正常行为基线，防范内部违规获取数据、外部攻击或网络爬虫等数据安全风险。场景化安全事件检测：本方案使用用户真实环境做上下文关联，把客户端上报的多条告警建模为具体事件，以攻击链形式还原攻击全貌，直观展现攻击风险主体和攻击画像。同时，能实时将数据共享交换过

60、程中的 API接口调用情况（包括接口调用异常）和敏感数据流转过程进行直观展示，对包括风险主体、风险时间、风险事件、风险举证详情与原始日志关联等在内的风险进行举证展示。5.API 响应处置数据泄露快速溯源：API 数据泄露溯源机制可分为线索溯源和主体溯源。线索溯源以泄露数据内容为线索，在系统中进行回溯，通过提取 API 日志中的相关记录进行分析，明确责任人和泄露路径；主体溯源根据账号、接口信息等访问特征线索筛选日志流量信息，分析匹配特征，追溯事件源头。发生数据泄露之后，管理员通过将泄露数据导入或手工输入监测模型对泄密数据样本进行溯源审计。产品联动处置：本方案在围绕数据安全大脑进行统一的 API

61、资产梳理、敏感数据识别和风险监测之后，进一步进行风险闭环操作，通过与 API 数据安全代理产品联动，可以针对 API 风险监测检测到的动态数据安全风险，手动下发策略到 API 数据安全代理处，对高危异常行为风险制定灵活的处置策略，包括阻断、告警、脱敏、水印等。同时，通过发挥一体化的 API 数据安全闭环能力，实现更加精准、有效的 API 数据安全防护。四、应用成效（一）自动梳理、省心便捷本方案通过数据安全大脑自动完成 API 数据资产梳理，以敏感数据为中心，自动梳理涉敏应用、涉敏接口与涉敏数据信息，构建 API 基线画像，轻松掌握敏感数据和接口分布情况，做到数据资产心中有数。本方案内置数十种脆

62、弱性和风险模型，能够快速检出 API 接口脆弱性和访问风险，推动风险接口整改，提前预防风险事件发生，使 API 资产管理更省心。（二）实时检测，精准定位本方案通过数据安全大脑内置风险策略模型，结合大数据和 UEBA 识别技术，能够实时检出潜在数据访问风险，构建 API 访问风险行为基线，利用场景化的攻击检测能力，将基础风险告警进行关联聚合，以故事链的形式还原 API 风险攻击过程，形成场景化的安全事件，从而快速掌握风险主体和攻击画像，提升风险检出精准率，实现风险精准定位，降低日常 API 安全运维成本。（三）产品联动，智能防护本方案能根据基于数据安全大脑的安全事件识别结果自动下发处置命令到 A

63、PI 数据安全代理系统，管理员也可以基于敏感数据和 API 的识别结果手动下发处置策略，包括：水印、脱敏与访问控制等。通过一体化的平台构建和基于 WISE 语义的引擎防护能力，本方案能构建数据安全防御基线，提升风险闭环效率和准确率。（四）一键溯源，有理有据本方案基于大数据搜索引擎和 HTTP 请求报文级日志记录，可基于关键字或文件一键溯源，溯源时将泄露的数据进行特征提取，并在存储的全量数据访问日志中对提取的特征进行高效检索，在获取到可疑的数据泄露路径和泄露时间后，能快速定位数据泄露的机构和人员，令 API 数据泄露责任认定有理有据。第三章第三章 接口使用安全场景接口使用安全场景187 基于 A

64、PI 接口的能源数据安全建设实践一、场景描述某地能源数据中心作为连接政府单位、能源行业、用能企业、社会民众的能源信息互联平台，承担全省能源数据的采集、汇聚、加工与应用，目前已汇聚能源数据 570 亿条。由于数据交叉互通错综复杂，数据泄露风险日益上升，能源数据中心公共数据的安全保障面临严峻挑战。API 是数据最重要的传输方式之一，也因此成为攻击者窃取数据的重点攻击对象，三分之二的数据泄露事件是由不安全的 API 造成的。拥有上千个 API 接口，为消除这些接口的安全隐患，提升数据安全防护能力，某地能源数据中心开展能源公共数据 API 接口安全建设实践，保障能源公共数据安全。二、风险分析（一）能源

65、数据 API 接口监管风险随着能源业务数字化进程加快，当前能源数据 API 接口管理面临接口数量庞大、归属部门众多、与外部对接情况错综复杂等问题，API 接口安全管理难度日益提升。传统的台账记录式资产管理难以全面、实时掌握 API资产，造成部分 API 接口被隐匿，无法落实 API 接口安全管控措施，难以开展漏洞与异常行为的监测发现，可能引发重要能源数据泄露风险。（二）能源数据 API 接口越权使用风险以往的 API 接口鉴权方式主要是通过验证接口调用方的业务 id 及密钥传参实现认证。第三方使用同样的业务 id 及密钥即能访问该数据接口，而无需重新获得授权。这种单一且未真正与调用方身份绑定的

66、鉴权方式，将导致 API 接口易被越权使用、滥用，在出现安全事件后难以审计溯源到真正的责任方。（三）能源数据 API 接口恶意攻击风险能源数据中心承载众多业务应用和上千个 API 接口，这些接口中可能存在着接口未鉴权、水平越权、接口可遍历等安全漏洞，涉及口令认证类、数据暴露类、访问权限类、高危接口类、安全规范类等维度的弱点。这些不安全的 API 接口会持续扩大应用程序攻击面，让黑客更容易侦察、收集配置信息以及策划网络攻击。三、解决方案（一）解决方案总体架构图图 1.1.能源公共数据能源公共数据 APIAPI 接口安全建设架构图接口安全建设架构图第三章第三章 接口使用安全场景接口使用安全场景19

67、能源数据 API 接口安全建设实践解决方案总体架构如图所示，由流量解析、数据处理、核心引擎模块、应用场景和可视化五部分组成。解决方案基于 API 接口资产管理、内部接口权限管理与对外开放安全防护，完善API 安全工作机制，推进 API 风险监测、响应、处置、整改全流程闭环管控，全面提升 API 安全监测、防护、处置水平。（二）能源数据 API 资产管理能力建设能源数据中心通过解析流量自动化梳理所有内外部 API，形成全量接口资产清单，并将所有 API 接口纳入API 网关进行统一管理。同时，基于 API 资产清单，进一步深入刻画 API 接口画像，对接口进行分类（如登录接口、敏感数据接口、数据

68、采集接口、文件上传接口、文件下载接口等），梳理并展示 API 接口的基础信息（如API 接口归属业务系统、部门及负责人等）、运行情况（如整体调用情况、敏感数据涉及情况等）、状态信息（包括新增、活跃、失活三种状态），有效支撑 API 漏洞监测、异常行为发现和 API 状态追踪。（三）能源数据 API 接口权限管理能力建设能源数据中心能明确所有 API 接口的调用方身份，与公司内部应用台账匹配，确定调用方的固定可信 IP，将该 IP 地址作为补充的身份认证信息，并将 IP 加入 API 接口调用白名单中。API 接口在被调用时，将同时验证调用方的 IP 和密钥，全部通过验证后才能实现接口访问，避免

69、调用方的身份被冒用从而导致接口的越权访问。（四）能源数据 API 开放安全防护能力建设能源数据中心基于 API 接口基础信息，评估所有开放的 API 接口是否存在数据安全漏洞，包括 API 接口未鉴权、水平越权、接口可遍历、接口数据暴露面过大等，并督促相关责任方尽快修复缺陷。能源数据中心同时对 API 攻击行为开展监测，利用无监督学习算法，基于参数模型主动对 API 接口进行攻击学习，识别 API 扫描或试探等攻击风险。通过对数据行为的上下文分析，发现有价值的数据泄露风险，对 API攻击、API 数据滥用、API 异常调用等行为进行告警，并根据实际情况进行风险规则的优化和调整，避免出现大量误报

70、。此外，对于发现的风险，联动 API 网关设备进行阻断，形成数据安全风险闭环管理，防止 API 数据滥用和数据泄露。四、应用成效（一）定性分析该地能源数据中心通过本项目方案建设，提升了平台数据安全防护能力，解决了能源公共数据共享安全痛点，加快推进了电力数据与外部数据的融合，实现了大数据应用服务从电力系统内部向全行业、全领域、全链条的安全拓展延伸，促进了数据要素价值的充分释放。（二）定量分析该地能源数据中心通过本项目方案建设，实现了对重要数据的流转监控、敏感数据的节点监控、数据安全事件的风险监测。监测过程共计扫描数据应用 60 余个，梳理 API 接口达千余个，涉及数据 570 亿条，发现数十个

71、接口存在安全隐患并及时完成整改。本次建设实践大幅提升了中心的接口资产管理水平、接口漏洞隐患发现水平和漏洞阻断水平，预计提高事件处理、隐患排查、数据溯源效率 50%以上。能源数据中心通过推动对 API接口安全隐患的监测、响应、处置与整改，形成了良性的安全治理循环，为面向全社会开放数据服务提供了重要安全支撑。第三章第三章 接口使用安全场景接口使用安全场景208 针对 API 共享接口的精细化风险监测实践一、场景描述数据接口共享指本区域内利用公共数据共享平台，通过 API 接口共享方式进行本层级或跨层级的数据共享行为，其安全关系到公共数据平台和调用双方的系统安全，并可能造成敏感数据泄露等风险。API

72、 接口共享安全的精细化风险监测是指通过实际的调研分析形成一套含日志记录、分析审计、策略预警的标准规范，从制度层面解决数据安全预警工作的多源汇聚难、统一分析难、策略制定难等问题，通过接口安全监控、日志审计、操作行为分析等技术手段，对接口共享的流量、日志进行风险分析和预警处置，形成有制度指引、有技术落实、有运行管理的接口监测场景。二、风险分析公共数据接口共享安全风险因素主要分外部和内部威胁两类，外部威胁主要包括接口漏洞导致数据被非法获取、接口水平越权、接口使用方非法本地留存接口数据、接口二次封装、接口请求参数被非法篡改等风险；内部威胁主要包括未脱敏数据在传输至前端时，如被接收方终端缓存，可能导致敏

73、感数据暴露；接口缺乏有效的返回数据筛选机制，可能由于返回数据类型过多、数据量过大等因素造成数据库挂起、应用崩溃等隐患；非工作时间访问、访问频次超出业务需要等异常访问行为的风险。目前针对 API 共享接口的安全分析大多是单维度的，无法进行多源安全数据的智能关联分析，无法发现深层次的接口调用违规非法行为，如蚂蚁搬家、二次封装等；且由于 API 接口监管能力的安全数据源来自多品牌产品，数据格式不统一将导致分析能力的大打折扣；随着省市县三级数据网关的统一化集约化建设，数据安全的态势感知三级联动工作不断推进，针对数据安全监管能力的标准化需求迫切，形成全省一套日志分析标准和预警策略规范迫在眉睫。三、解决方

74、案基于针对 API 共享接口的安全监管分析，其涉及到多方日志对接和智能关联分析，因此剖析本场景解决方案一是形成一个日志分析标准，统一日志格式和内容；二是通过实践倒逼一套预警策略规范，提高数据共享场景的监测预警能力的标准化；三是迭代数据安全管控平台监管能力，形成安全风险精准预警、快速处置、联动防护的闭环能力。图图 1.1.A APIPI 接口监管逻辑图接口监管逻辑图第三章第三章 接口使用安全场景接口使用安全场景21（一）一个日志分析标准基于DB3301/T 03712022 一体化智能化公共数据平台日志规范，通过调研 API 接口共享相关的日志对接方，完善 API 共享接口监管能力实现所需的日志

75、内容，并强化落实能力，明确相关平台、系统、工具的日志留存对接能力改造方向。（二）一套预警策略规范设计数据安全监测预警策略的三级指标，并对每个指标的实现进行规范化要求，统一预警名称、预警内容，明确所需工具能力及日志内容、预警规则、预警等级等，规定级联平台对接要求，强化数据安全能力共建共享。（三）迭代数据安全管控平台监管能力通过引入异常行为感知能力，基于全方位多维度的安全数据和 UEBA（用户和实体行为分析）技术进行异常分析，结合某市公共数据平台所实际开展的 API 共享接口业务流程，按照预警策略规范配置相应策略，智能识别异常登录、异常调用、违规访问等风险行为，通过工单模块下发至对应责任人进行整改

76、反馈，强化全市风险闭环处置能力。1.多维风险策略设置基于安全风险发现经验梳理出通用性的风险发现策略，覆盖多数 API 接口风险场景，无需手动添加。针对特殊场景，可通过内置百余种风险指标进行三步操作配置风险策略。2.丰富审计分析信息通过风险告警的多指标聚合，提供丰富的审计详情信息和分析维度展示，大幅减少人工的确认工作量，为应用系统业务数据安全流转、调用、传输等操作访问行为提供全方面的数据安全监测能力。3.智能文件解析引擎基于还原各场景下流转的文件能力，支持还原的文件类型 2000+，覆盖各行业日常使用文档类型 98%以上，识别文件敏感数据准确率高达 99%，记录文件收发对象信息，实时监测文件流动

77、风险。四、应用成效一是摸清家底，击破风险 API，通过流量分析：自动化清点业务系统 API，将僵尸 API、影子 API、涉敏 API一网打尽。二是风险可控，全面监测 API：洞悉业务流量中可能存在的脆弱性风险，发现异常调用数据等风险行为，实时监测 API 接口共享情况。三是事后溯源，实现安全举一反三：对数据使用行为能够做到全面留痕，能够在发生泄漏事件后快速定位泄漏源。四是合规运营，严守安全底线：持续识别 API 暴露面、数据库等多种合规审计场景，全面监测数据合规运营。第四章第四章系统接入安全场景第四章第四章 系统接入安全场景系统接入安全场景239 基于零信任的政务外网安全接入平台一、场景描述

78、本平台为某市数据中心运营管理电子政务外网，旨在为各业务部门人员提供政务云的安全办公接入服务。随着业务云化、移动互联网、大数据、5G 与 IoT 等技术的不断发展，日趋开放和复杂的网络边界已经成为互联网安全的重要挑战。传统的网络边界不具备多重防护设计，难以应对有组织的、武器化的、以数据及业务为攻击目标的高级持续攻击，仅仅依靠传统边界防护难以应对身份、权限、系统漏洞等多维度的攻击。为了应对这种形势，市数据中心一直致力于构建“一网统管，云网融合”的政务外网安全接入方案，旨在实现网络层面的统一管理，安全层面的可管可控，业务层面的云网融合。由此，本方案提出电子政务外网互联网通道的零信任安全接入平台建设目

79、标，以期为政务外网访问提供安全、高效、柔性的数据与业务安全访问方式。二、风险分析（一）远程办公，互联网访问管控难各单位远程办公常态化、应用开放化，黑客往往借由暴露在互联网的业务入口实施攻击。因此，政务外网正面临着开放环境带来的安全挑战，急需收缩网络风险敞口。（二）跨网访问严重，终端同时访问两网政务外网建设的基本原则要求其与互联网严格隔离，严禁使用任何设备直接连接双网，但是仍然存在大量跨网连接访问的现象，导致互联网威胁被引入政务外网中，为政务外网带来巨大的安全隐患。（三）终端安全难以管控，病毒泛滥终端归属于业务部门，安全监管部门难以直接管理。同时，业务部门自身存在终端管理不规范或缺乏管理技术能力

80、等问题，对 BYOD 自有非受控设备的使用也带来了额外的安全脆弱性。（四）终端政务数据泄密，难以管控90%的泄密事件来源于内部人员的主动/意外泄密。政务系统涉及大量公共数据与政府机密等敏感信息，数据泄露一旦发生，会造成很大的影响，需要通过有效技术手段加强数据安全控制和管理。三、解决方案本方案基于零信任理念提供一种新型业务访问安全控制机制，能从端点、身份、网络、业务多层面持续评估风险：通过多级沙箱、隔离 RBI 等方式有效保护政务外网数据的安全；分析并拦截敏感数据离开业务网络；使用机器学习技术识别异常行为，以灵活的安全策略支撑内控安全基线要求。图图 1.1.零信任安全接入网络拓扑零信任安全接入网

81、络拓扑第四章第四章 系统接入安全场景系统接入安全场景24图图 2.2.零信任安全接入平台架构零信任安全接入平台架构（一）零信任标准化架构平台采用 SDP 标准构建控制中心，通过接入网关的安全防护，对客户端与电子政务外网的特定接入区域进行限制，在业务应用之间建立安全受保护的访问通道，从而完成政务应用访问。（二）收敛互联网暴露面平台采用单包认证授权方案隐藏内部业务数据，保障应用服务源站的安全，只针对授权通过的用户开放访问连接通道，从而防止恶意扫描和非法入侵。（三）持续动态评估控制平台基于最小授权原则，持续验证用户可信度，开展动态授权的访问控制。同时构建人员、设备与环境安全基线，并据此对访问权限进行

82、动态的调整，以保障应用业务的安全。（四）安全沙箱数据保护平台通过安全沙箱双域空间访问政务外网，实现安全隔离的“一机两用”。安全工作空间内仅允许访问政务外网，不允许访问互联网，同时个人空间内不允许访问政务外网。据此，可有效解决复杂网络环境下双网隔离、数据保护难题。图图 3.3.一机两用案例沙箱工作空间一机两用案例沙箱工作空间（五）远程虚拟浏览器隔离平台提供通过远程虚拟浏览器隔离的政务外网安全访问通道，保证用户能在透明和交互式的隔离环境中进行 Web 浏览。因此，敏感数据只能在远程浏览器上显示，无法实际触达本地，可有效防止数据泄密、病毒、漏洞入侵等问题发生。（六）用户异常行为识别平台支持内置千万量

83、级威胁情报库，基于智能威胁识别模型分析各类异常用户行为，如数据窃取、入侵探测等，能及时阻断各类数据外发泄露通道，同时结合动态授权技术限制敏感业务访问权限，保障数据访问安全。四、预期成效政务外网零信任安全接入平台为政务外网业务访问提供了安全高效的远程接入方式，能围绕政务外网云端应用按需部署网络边界，将核心网络与不安全的网络隔离开来。其基于零信任技术架构，遵循“先认证、后连接”的逻辑，能在网络边界模糊化的趋势下，结合身份安全、端点安全、加密通道技术，实现以身份为基础的动态访问控制，为互联网通道用户访问政务外网应用资源定义新安全边界。其主要特点为：1.业务（网络层）默认隐藏，仅能在验证用户/设备身份

84、和安全性后按需开放应用的访问权限；2.提供了安全隔离工作环境，能限制办公人员同时接入互联网与政务网络，满足一机两用合规诉求；3.根据对用户/设备/行为/环境的持续信任评估，对访问权限进行细粒度动态调整；4.对终端环境和安全风险进行实时感知和检测，并通过评估联动实时做出响应处置。本方案以安全、可信、合规为目标，通过网络隐身、持续验证、细粒度访问控制与使用安全工作空间等方式减少互联网暴露面，阻止潜在的网络攻击与数据泄露行为，以提升用户访问政务外网业务的安全性。同时，本方案提出的系统架构具备开放性与可扩展性，支持与第三方安全管理平台、网管平台与云管平台互通，进而支撑全局风险汇聚透视和高效安全运营。第

85、四章第四章 系统接入安全场景系统接入安全场景2510 政务应用“上线即安全”解决方案一、场景描述公共数据，是指公共管理和服务机构在依法履行公共管理职责或者提供公共服务的过程中产生、处理的数据。公共数据是社会的公共资源，实现其最大限度的开放共享、开发利用，能够为推进国家治理体系和治理能力现代化提供有力支撑。公共数据的流转与运营强依赖于软件系统，在利用政务应用系统推进公共数据开放共享的过程中，软件系统面临自身潜在的逻辑漏洞、技术漏洞、第三方或开源成分安全性、运行时恶意攻击等风险与难题。为全面实现安全与政务应用开发建设相同步、相适应，“政务应用上线即安全与免疫防御解决方案”基于软件开发生命周期，以“

86、安全左移”为核心指导思想，建设完善、规范、智联的政务应用供应链安全体系；利用智能威胁检测系列工具，对政务应用的开发来源以及安全状态进行分析与优化；提升数字软件整体安全能力，让应用自身具备抵抗力和免疫力，让安全赋能政务应用开发、交付、运营的各个阶段。二、风险分析政务应用的研发中，存在大量采用外部来源的三方组件或境外开源成分的情况，使得应用自身存在的代码逻辑缺陷以及漏洞被黑客利用攻击成为导致安全事件发生的关键因素，政务应用本体的安全性被迫套上不明、不定、不保的属性。（一）开源软件风险开源软件是构建公共业务信息软件系统的基础，也是安全事件发生的“重灾区”。由于其使用与获取的便利性、应用范围的全球化、

87、许可协议的“国界敏感”等特点，开源软件存在多重安全缺陷，致使软件系统的安全性和可控性面临巨大挑战。（二）自身漏洞风险代码和三方采买的基础组件是政务应用开发的基础形态，其缺陷或逻辑漏洞是导致安全潜在风险的直接根源。在传统的研发模式中，由于高效交付与快速迭代的业务需求，导致安全手段的介入相对滞后，无法应对上线、运营等阶段的安全威胁。且安全测试范围相对有限，安全漏洞修复成本也更大。（三）在线攻击风险政务应用具有业务面广、用户数量多、数据量庞大等特点，是黑客群体的首选的攻击对象。软件部署上线运行后，遭遇恶意攻击或数据窃取等情况无法及时停用修复。三、解决方案本方案基于上述风险分析，旨在全方位确保政务应用

88、“上线即安全”，赋予政务应用内生的免疫防御安全力，实现公共数据采集、存储、传输、交换、处理和销毁全生命周期安全防护。图图 1.1.方案架构图方案架构图第四章第四章 系统接入安全场景系统接入安全场景26（一）构塑开源软件供应链安全利用开源软件分析系统（SCA）实现政务应用涉及的开源软件的全生命周期安全治理。该系统包括代码片段分析、二进制分析及深度依赖分析等核心技术，助力落地开源组件资产识别、漏洞识别、许可分析、一键式修复等活动。主要通过开源项目健康度评估，以及 SBOM（软件物料清单）管理，实现开源安全的周期性运营，构塑开源软件供应链安全。（二）保障上线即安全通过部署交互式应用检测系统（IAST

89、）对政务应用进行可视化+全面精确+实时在线的漏洞检测和安全评估，从源头降低安全风险、减少漏洞数量。以动态代码审计与应用漏洞检测能力，保证公共软件自身的安全性和合规性。同时包括全量 API 发现以及敏感信息泄露风险检测分析，在测试过程中不产生脏数据。实现安全测试左移，保障应用上线即安全。（三）内生自适应免疫防御能力基于运行时应用自我保护平台（RASP）的交互式应用安全检测、开源软件供应链安全和应用安全免疫防御功能，通过对政务应用正常的业务使用即可同步完成安全检测。当发现漏洞或遇到异常攻击时立即激活免疫防御机制，实现“攻防结合”，赋予政务应用具备“自我检测与自我免疫”安全能力，实现对未知安全风险的

90、分析、监控、预警、处置。四、应用成效“政务应用上线即安全解决方案”于 2021 年在某地的共享交换平台、公共数据开放平台等系统上部署运行，在 2021 年 12 月份 Apache Log4j2 远程代码执行漏洞安全事件中，帮助该单位相关部门人员快速响应安全威胁，定位有使用该组件的系统，并有效及时地进行了系统修复，很大程度上避免了该漏洞可能导致的安全威胁和经济损失。方案通过帮助该单位对数字业务和场景的梳理，对供应商和引入的开源项目进行筛选，并将在建和运营的项目纳入系统的监控范围，建设贴身的、动态的、可持续性的公共数据安全体系（技术、管理、运维），保障平台涉及公共数据的机密性、完整性、可用性，确

91、保公共数据在安全的环境下流转和储存，避免因数据泄露或数据库遭受攻击而造成的社会或经济损失。通过对所有应用进行成分安全性分析与安全风险排查，使安全威胁提前暴露，从很大程度上降低了由于政务应用自身安全缺陷可能导致的影响。此外，方案包含的安全系统可根据后续系统迭代升级和功能增加配置相应的服务能力，具备良好的伸缩性。方案的落地为项目涉及的政务应用进行安全能力的改进与优化，全面促进了数字安全与政务应用的创新融合，为数字化安全转型实现新统筹、新布局。第四章第四章 系统接入安全场景系统接入安全场景2711 基于零信任打造政务外网终端的可信访问体系一、场景描述近年来，随着政务外网信息化建设的不断深入，政务外网

92、承载的关键业务越来越多，网络环境越来越复杂，由于管理不规范或缺乏技术能力等因素，且政务外网又缺少风险终端的管控手段，终端安全问题已经成为政务外网主要的安全隐患之一，严重影响政务外网全网安全，成为网络安全治理的重中之重。零信任架构是一种新的安全架构理念和思想，它使得安全建设视角从“基于风险”向“基于业务访问过程”转变。并且从理论上构建了一个端（用户/设备/应用）到端（业务系统）的最小访问模型，建立了一个动态的、基于身份和安全上下文的逻辑访问边界。基于零信任架构，让政务外网数字化办公所希望实现的让正确的人，使用正确的终端，在任意位置，使用正确的权限，访问正确的业务，获得正确的数据成为现实，将人（身

93、份）、终端、网络位置、访问权限、业务、数据等分散的安全单元有效串联起来，实现用户、权限、策略的统一管理和运维，最大化落地“最小权限原则”，大幅提升政务外网终端的安全性。二、风险分析（一）终端安全难以管控，病毒泛滥终端归属于业务部门，安全监管部门难以直接管理，许多终端未按要求安装杀毒软件、存在未修复的严重漏洞，以及终端已经失陷却未能及时发现，这些风险终端在接入政务外网时缺乏有效的管控手段，导致政务外网安全事件频发。（二）违规外联、失陷终端等安全事件难以监管失陷主机向政务外网设备发起攻击，由于源地址被 NAT 转发后，只能溯源到网关地址，对责任主机或人的追查带来很大困难，导致找不到责任人；同时难以

94、发现业务部门局域网内发生的违规外联行为，由此引发的数据泄密和安全事件无法追查和定责，缺乏有效手段对其违规和恶意行为进行监管。（三）政务外网环境复杂，准入手段难以落实部分业务部门政务外网使用不规范，通过私拉网线，私接路由，任何人员均可以轻易进入政务外网；政务外网业务系统访问权限策略设置不精细，接入政务外网就可以随意访问业务，导致风险加剧；（四）政务数据面临泄密风险政务系统涉及到很多个人隐私、政府机密、政府形象等敏感信息，它的安全性能极为重要，一旦发生数据泄露，对政府部门形象乃至国家安全都会造成很大的影响三、解决方案（一）整体架构思路基于零信任架构，构建政务终端安全体系，针对接入电子政务外网的终端

95、采取基线检查、接入认证、安全防护等模块化管控手段，进行纵深管控，针对访问政务外网业务的终端确保身份可对应、安全可防护、事件可追溯、外联可阻断、权限可控制。通过纵深管控思路，构建安全、易用、易管、稳定的“可信”政务外网终端安全环境。第四章第四章 系统接入安全场景系统接入安全场景28图图 1.1.整体方案架构图整体方案架构图（二）终端环境检查，确保合规终端才能接入通过零信任客户端对接入政务外网的终端进行环境检查，如系统补丁更新情况、是否运行杀毒软件、访问业务的进程是否可信等，如有不满足情况，阻断政务外网的访问接入并提示，确保接入终端合规。（三）基于实名的终端行为审计、攻击溯源将所有流量打上身份标签

96、，当检测出异常时，即可根据身份标签快速定位，实现精准定位、溯源及审计。即使在 NAT 网络下，也能依据身份信息精准定位和溯源，解决传统方案无法溯源到人的短板，大大改善和提升政务外网的安全环境。（四）基于实名的终端违规外联监测及阻断零信任客户端实时向互联网应用发起探测请求，根据请求回应情况进行外联的监测判断。当探测到终端有非政务外网统一出口的互联网出口时进行告警，可以在 NAT 环境下实现违规外联终端的定位和阻断，对违规外联行为进行有效监管。（五）终端数据保护零信任基于终端安全沙箱技术，在终端访问政务业务系统时，自动对下载的数据/文件进行加密、隔离，并可以通过策略限制截屏录屏、限制拷贝、增加屏幕

97、水印等多种方式确保数据安全。四、应用成效（一）终端身份准入可信由基于 IP 地址的终端管理转化为以浙政钉身份为核心的终端监管，结合政务办公特色，入网用户采用浙政钉身份认证，终端安全监管以浙政钉身份为核心，终端安全问题定位更加精准，权责更加清晰；（二）统一终端入网安全标准，精准溯源通过零信任技术统一构建政务外网终端的认证准入、合规检查、跨网访问、违规外联、病毒查杀、NAT 终端溯源等安全能力，减少重复建设，统一终端安全防护标准，实现两级联动协调，达成终端全链路安全监管目标；（三）全流程终端安全监管由基于安全事件的终端管理转化为基于安全制度的全流程终端监管能力，通过统一政务外网终端安全建设标准，建

98、立身份安全、终端环境安全、终端访问安全三位一体的全流程终端安全管理制度保障。第五章第五章批量数据共享安全场景第五章第五章 批量数据共享安全场景批量数据共享安全场景3012 基于芯片级隐私计算的数据共享平台方案一、场景描述随着数据安全法个人信息保护法等法律法规的颁布实施对数据开发利用提出了新要求，各级业务部门数据共享开放还不完全满足安全合规的要求。政务数据的共享可以实现数据价值发挥，提升公共服务的效率，然而数据平台建设良莠不齐，数据管控能力差、数据明文形式传输等一系列问题会引发内部或者外部的数据泄露事件频频发生，最终导致跨部门、跨层级、跨区域之间仍然存在“数据壁垒”。基于芯片级隐私计算技术的敏感

99、数据共享方案打造统一的政务数据共享目录，有力支撑应用安全监管、数据权限可控、业务场景融合的目标。方案聚焦数据全生命周期的密态流转，通过构建安全数据计算环境，提供应用管控安全策略等功能实现数据的可用不可见，数据用途可控可计量。通过技术手段提供共享数据的一键销毁、一键下架的能力，依托数据回收、删除证明等唯一标识确保数据共享、处理合规。通过实现数据全生命周期密态流转解决数据信任和隐私保护、溯源等难题。二、风险分析(一)数据明文传输多在政务数据融合共享和开发利用过程中，数据通常是以明文形式传输或导出从而满足不同应用场景中的数据处理，同时数据处理过程涉及多方数据应用。明文数据一旦导出之后即为失控状态，数

100、据安全保障难以有效实施。(二)应用开发管控难针对数据应用开发不可避免地需要数据服务商业介入，共享的数据一旦审批通过给应用使用后，无法对应用进行较为精细的管控，边界安全机制也无法有效防止数据在流动过程中被非法复制、传播、泄露等问题。(三)数据存储风险大大量个人敏感信息、重要数据的数据多次共享后潜藏了导致大批量数据泄露的风险。数据的互联互通容易出现数据安全防护的短板效应，大规模数据一旦泄露将造成更为严重的损失。(四)数据管控能力弱各地域、各业务部门数据安全防护等级的差异，难以进行有效地统一管控，仍然存在数据孤岛的现象。数据不免被各方调取、使用、或存储到本地，存在多环节的信息留存、数据暴露面扩大等问

101、题。三、解决方案平台整体基于芯片级隐私计算框架开发，构建数据管理平台与应用管理平台，结合可信执行环境的密态数据传输计算特性，支撑不同业务主体之间数据共享互联互通。方案支持原有应用无缝迁移，从取数、用数、管数三个维度提升政务数据资源整合、安全防护、应用合规，充分发挥数据潜在价值。方案具体框架如图所示。图图 1.1.方案整体架构图方案整体架构图第五章第五章 批量数据共享安全场景批量数据共享安全场景31传统技术传统技术芯片级隐私计算技术芯片级隐私计算技术传输传输安全安全1 明文传输2 普通 TLS 加密传输，无法保护密钥安全1 高强度加密传输2 芯片层级加密密钥保护3 密钥无法人为窃取存储存储安全安

102、全1 明文数据库2 加密数据库，无法保护密钥安全3 数据库安全保障能力弱4 账户和密钥信息人为泄露风险1 芯片级加密数据库2 数据库存储态与运行态全流程加密3 芯片层级加密密钥保护4 账户与密钥信息无法窃取使用使用安全安全1 尚无通用的使用保护方案2 运行态内存可被明文窃取3 程序运行逻辑可被恶意篡改1 运行态内存加密2 运行态数据不可窃取3 运行程序不可篡改表表 1.1.芯片级隐私计算技术芯片级隐私计算技术（一）数据全生命周期密态采用基于椭圆曲线算法 ECDHE的芯片级隐私计算技术，保障TSL 安全传输、存储中的私钥文件在芯片级可信执行环境中生成并加密，从而预防私钥被任何人知晓与窃取。基于芯

103、片级隐私计算赋能数据全生命周期（传输、存储、使用）全密态安全，数据可用不可见。（二）数据可信安全管控以“数据可控”为安全保障的核心要素，整合与健全数据资源目录，基于芯片级隐私计算通过数据源绑定数据提供者并提供账号一键销毁、禁用数据的能力，通过芯片级签名机制生成数据下架、销毁可验证证明，同时对数据的使用记录进行可靠追溯，形成数据管控、应用管理安全保障体系。从落地性角度分析，隐私计算平台可兼容各行业数据处理原生应用，在保证数据密态运算性能的同时极大提升数据隐私安全性。通过平台提升数据信息汇聚、管理和共享一体化支撑，打通敏感数据流通合规及应用安全。具体流程如图 2 所示。图图 2.2.数据目录与应用

104、管理流程示意图数据目录与应用管理流程示意图四、应用成效（一）定向定量可信管控，跨业务保障数据安全数据共享平台基于芯片级可信根赋能数据高性能密态运算与操作，兼容国产信创通用芯片。结合某市数据共享和利用的需求，打造了政务数据要素由公安到人社的密态流转、密态使用的试点项目。平台打破了原有数据跨域流转的明文裸奔困境，基于芯片级隐私计算赋能人社高效合规分析比对异常在保人员数据。（二）融入信创产业体系，赋能数字经济安全可靠以数据安全为主线开展基于国产信创芯片（海光、飞腾、鲲鹏、Risc-V 等）适配技术方案，打造自主可控机密计算框架。支持数据随时一键禁用，销毁的能力，兼容原始应用的无缝移植。支持高通量加密

105、内存（TB 级别）、支持高性能复杂运算，包含人工智能推理，大数据分析等在内的各类复杂应用业务场景能够支持最高亿级数据查询、处理、分析，对数据处理性能影响极低，性能损耗在 5%以内，国密 100%覆盖支持。（三）坚持统筹协调升级，健全数据目录提质增效遵循“以数据为中心、以组织为单位、以能力成熟度为基本抓手”的原则，围绕数据安全工作核心思想，加强政务数据全生命周期安全和合法利用管理，贯彻落实数据的防窃取防滥用防误用。构建敏感数据目录和应用管理平台，达到数据汇权不汇数，数据密态应用可信的目标。第五章第五章 批量数据共享安全场景批量数据共享安全场景3213 基于云沙箱的数据隔离访问方案一、场景描述公共

106、数据的共享和开放，使数据的应用产生了大量价值。北京、上海、浙江等地陆续确立了公共数据授权运营基本原则，即“原始数据不出域、数据可用不可见”。在公共数据有序开发利用过程中，数据加工和流转是数据风险最大的两个环节。数据授权运营体系、数据流转体系、数据加工体系是新行业新场景，传统的使用外挂式安全的做法已经无法满足这些新场景的安全需求，亟需一种全新的数据安全管理方案，以数据流转为核心进行全过程管控，实现对流转数据的全生命周期管理。典型业务需求包括：1.对不同身份进行权限管理。明确每个用户的数据资源访问权限，无权限不可访问，同时也不可越权访问。2.为每个用户数据使用进行隔离。用户不能直接接触目标资源，不

107、能获得资源的实际地址、登录账号等各种具体信息，数据无需落地就可以安全使用。3.多维度监测数据使用行为。完整记录操作风险和安全隐患，且可以可视化还原上述操作以便有针对性地实施追踪与审计。二、风险分析根据数据流转及共享的要求，新的应用场景涉及研发人员对代码数据的访问，存在第三方、外包人员对内部数据的使用，以及内部运维人员对数据资源的访问等。数据访问人员多且分配权限复杂，导致政务办公业务系统风险暴露面扩大，数据被窃取或滥用的概率增加。多方数据使用就意味着数据访问的方式多样化，比如远程访问、驻场访问、跨部门访问等。传统的 VPN+堡垒机方式，无法对多样性数据使用全过程进行监管，尤其是数据的下载、打印、

108、复制等流转环节，无法控制权限和追溯行为。数据管理部门内部的数据资源除了传统数据库，还有大量的云资源服务器、公共数据平台、人员信息文档等，数据使用接入环节复杂，访问不同业务系统还可能需要采取不同的接入和验证方式，除了带来用户体验问题外，同时也增大了数据安全管控的难度。三、解决方案为了规范第三方数据开发运维人员的数据安全使用，某区数据管理部门构建了基于云沙箱的数据隔离访问机制，通过应用虚拟化技术将各种数据处理相关应用封装进云沙箱中，应用根据不同数据资源类型选择调用与该数据访问指令对应的协议，实现数据云沙箱与服务器之间的调用；并将该调用过程通过数据流方式映射，实时发送至请求端，确保数据的使用权和所有

109、权分离。方案在不改变用户原有的使用习惯前提下，重塑了数据管控与使用方式，保障数据可用、可见而不可得。第五章第五章 批量数据共享安全场景批量数据共享安全场景33图图 1.1.技术架构图技术架构图方案的核心落脚点是采用云数据沙箱技术来解决数据安全共享、访问及使用的问题。云数据沙箱基于轻量化的虚应用技术，通过构建面向应用的虚拟隔离环境，为每个用户分配独立的数据安全空间。用户可以在安全空间内调用各类数据访问、运维及开发等应用，同时确保数据使用全过程被隔离在沙箱环境，用户无法直接下载、复制、外发数据；在确保第三方人员数据共享使用的同时，将数据的共享和流转进行控制。方案的核心是解决“确保关键数据资源安全使

110、用”问题：通过基于零信任的访问安全手段减少数据资产暴露面，未经授权的用户无法访问数据资源；通过虚拟投影技术实现数据不落地，合法用户只能在隔离的数据安全盘中使用数据但无法非授权带走。这些措施可以为数据共享和流通提供全过程的数据安全保障。四、应用成效基于云沙箱的数据隔离访问方案主要面向第三方数据开发运维人员，方案借鉴了疫情防控的工作经验，通过沙箱技术构建了一个安全隔离域，把区一体化平台、三级数据仓等核心数据资源放在安全域内，运维人员不能直接访问核心数据，必须通过安全沙箱调用、分析数据；同时沙箱兼容了目前各种主流开发运维工具及协议，可满足数据开发运维全过程的技术需求，截至目前已覆盖第三方用户超过 2

111、0 名，集成了近 10 种数据开发运维工具，对接数据资源服务器及应用 10 余个，实现了数据开发运维全过程数据不落地，真正实现了“数据可见不可得”。图图 2 2.业务流程图业务流程图第五章第五章 批量数据共享安全场景批量数据共享安全场景3414 基于隐私计算的省级政务数据开放平台一、场景描述为贯彻国务院全国一体化政务大数据体系建设指南及某省人民政府颁发的省公共数据开放办法，更好地解决政务数据开放和隐私保护之间难以两全的问题，提升政务数据存储、计算、应用、通用支撑和服务管理能力，提高社会治理能力和公共服务水平，洞见科技为某省大数据中心建设了国内首个基于隐私计算的省级政务数据开放平台，为政务数据开

112、放、流通与应用提供技术基础设施，推动数字经济发展。二、风险分析近几年来，随着电子政务建设的不断发展，政府部门在履行行政职能和管理社会事务中，已积累了大量与公众的生产、生活息息相关的数据，成为数据量最大的持有者。但海量数据在为人们提供更多知识与信息的同时，出现了严重的个人隐私被泄露和滥用问题，为保障个人隐私信息安全，政府相继出台了一系列法律法规规范，如网络安全法数据安全法个人信息保护法等，以严厉打击个人隐私数据非法泄露滥用问题，不断提高数据流通合规要求。政府行业迫切需要使用新兴技术解决目前遇到的数据开放与隐私保护“两难”问题，具体体现在：1.如何实现数据的“可用不可见”2.如何在协作中保护自有数

113、据隐私与安全3.如何更广泛、更高效地利用数据服务社会4.如何扩大政府部门间数据开放力度三、解决方案基于隐私计算的省级政务数据开放平台面向政府内部以及外部数据需求方，提供安全可信的隐私计算服务，推动政府的数据智能生态体系建设，实现数据价值的“重组式”创新。平台整体基于洞见科技隐私计算平台的成熟框架开发，支持多方安全计算和联邦学习融合应用模式，并通过联邦区块链保证过程的不可篡改性与可溯源性，达到原始数据不出私域即能完成数据共享应用的目的。平台整体架构设计包括了数据层、服务层、应用层、场景层，并提供了以隐私计算技术为核心，“双通道”为输出模式的政务大数据流通解决方案。图图 1.1.平台整体架构图平台

114、整体架构图该平台依照政务大数据分级管理原则，采取了以隐私计算技术为核心，“双通道”为输出模式的政务大数据流通解决方案。“双通道”模式是指，在数据流通交接过程中，政府部门之间内部数据共享和政府与社会机构之间的非涉密数据开放可以通过技术实用性强、灵活性高的 API 接口进行传输；而在政府与社会机构间的敏感数据开放则需采用安全等级高、数据隐私性强的隐私计算接口进行交互。第五章第五章 批量数据共享安全场景批量数据共享安全场景35图图 2.2.“双通道双通道”输出模式示意图输出模式示意图图图 3.3.隐私保护计算系统架构图隐私保护计算系统架构图以隐私计算为核心的隐私保护计算系统，基于多方安全计算和可信联

115、邦学习的双引擎设计，旨在保证数据的安全性和模型的精准度。该系统通过多方安全计算技术，实现了业务部门和公共服务事业单位之间的多方安全协同加密计算。此外，政务大数据开放平台和外部使用机构或企业之间的联邦学习建模和联邦预测也采用了“图形化”方式，以实现流程简单、智能和可视化。通过提供安全可信的隐私计算服务，实现大数据中心和业务部门之间、与公共服务企事业单位之间的数据开放融合和安全利用，实现内部数据中台与外部机构、企业间的数据融合计算与应用，让数据价值进行安全流通。四、应用成效在技术方面，该平台实现了隐私计算技术的重要突破。平台采用多方安全计算和可信联邦学习的双引擎设计，以保证数据安全性及模型精确度。

116、此外，该平台支持跨平台互联互通，实现了多个厂商隐私计算平台的无缝对接，并应用对等网络无可信第三方的联合建模，较大程度上提升了算法性能。平台采用算法容器框架设计，使算法可以在计算框架内自定义设计、实现和执行。在应用方面，本平台实现了数据价值的“重组式”创新和跨域数据开放融合业务应用全生命周期安全保障。此外，平台还实现了外部政务大数据分布式统一访问应用机制，以便适应外部政务大数据分布式访问和异构应用访问。同时，实现了良性闭环的数据价值链生态，打通了跨域数据的应用价值链，并且助力了政务数据面向社会各行业开放，加快推进了政务数据在普惠金融、乡村振兴、智慧城市等场景应用和生态建设。第五章第五章 批量数据

117、共享安全场景批量数据共享安全场景3615 基于 Sophon PC 的隐私计算平台应用方案以政务民生为例一、场景描述AI 模型的训练往往需要大量的优质数据作为支撑，然而现今许多企业都面临着训练样本不足、样本标准不统一，难以进行数据互通的问题。同时，由于隐私保护监管日渐严格，企业间的数据孤岛问题日益凸显，联邦学习应运而生。联邦学习作为一种分布式机器学习框架，能够让各参与方在不共享数据的前提下联合建模，在保护用户隐私、企业数据安全、符合政府法规的基础上，从技术角度解决数据孤岛问题，实现 AI 协作。对于政府部门而言，正面临着同样的难题：为整治隐蔽性强又具严重危害性的群租现象，政府部门需要投入大量的

118、人力、物力及财力核实居住情况，但往往整治完不久后又“回潮”。而根据以往经验，单独使用居住用电数据对群租房进行预测时，预测模型效果不理想，亟待通过纵向联邦学习，纳入更多维度的特征，才能够在保障数据隐私安全的前提下，有效提升预测模型准确度。二、风险分析（一）明文数据传输泄露风险在过往的数据协作过程中，由于隐私计算等相关技术尚未成熟，机构间常常通过直接传输明文数据来进行数据协作，例如使用 HTTPS 协议进行个人敏感信息的明文传输，在中间人攻击、降级攻击、协议版本漏洞等攻击场景下会导致个人敏感信息的泄露。（二）数据孤岛在数字经济时代，数据作为各机构的核心资产，由于担心数据资产遭到泄露，以及企业间缺乏

119、信任，机构常常拒绝为外部机构提供有效样本，导致“数据孤岛”现象。（三）数据使用权的滥用在数据协作过程中，由于数据对外开放，提供方在授权之后，担心数据遭到需求方的滥用，以及数据使用过程难以追溯。（四）大数据量下的计算性能由于隐私计算传输的密文数据量是明文数据的十倍甚至数百倍，而且联邦学习场景涉及到跨机构的多次数据传输，隐私计算场景的计算和传输性能均面临较大的挑战。三、解决方案本方案的部署搭建方式如图所示，采用的是联合主动方、参与方及协调方三方的纵向联邦学习框架，分别使用耗电数据和耗水数据进行联合建模。其中，主动方为某电力部门，参与方为政府水务相关部门。图图 1.1.部署方案示意图部署方案示意图处

120、理过程如下图所示，首先分别对用电数据和用水数据进行数据清洗以及特征工程处理，然后进行联邦学习模型的训练，最后生成群租房预测名单。模型训练完毕后，双方协同使用用电数据和用水数据进行联合测试。图图 2.2.联邦模型训练流程图联邦模型训练流程图第五章第五章 批量数据共享安全场景批量数据共享安全场景37图图 3.3.SophonSophon P PC C 平台平台算子算子画布画布-数据清洗工作流数据清洗工作流以上联邦学习建模流程基于Sophon PC分布式隐私计算平台完成。星环科技分布式隐私计算平台 Sophon PC 集多方安全计算、联邦学习等多种功能，能为隐私计算提供完整的解决方案。该平台以隐私保

121、护为前提，解决了跨组织协作时无法安全利用各方数据的困境。平台支持联邦学习、多方安全计算、匿踪查询等功能；性能方面，联邦学习与多方安全计算可达亿级数据量，并助力数据要素安全流通和价值迸发，实现数字经济时代下的跨企业和行业的 AI 协作。图图 4.4.SophonSophon P PC C 平台平台算子算子画布画布-联邦模型预测工作流联邦模型预测工作流四、应用成效纵向联邦模型训练与单独用电数据训练的群租房识别模型相比，准确率提升 20%以上。在模型训练的过程中，能保证无明文数据流出本地，严格保护各方数据隐私安全。就 AUC 的值而言，水电信息融合的纵向联邦学习模型的 AUC 相较于单独用电数据的模

122、型有 20%的提升，同样说明了纵向联邦学习模型的效果更佳。图图 5.5.联邦学习建模准确率示意图联邦学习建模准确率示意图在城市的群租房治理案例中，星环隐私计算平台 Transwarp Sophon PC 通过纵向联邦学习联合居民用电数据与用水数据，生成群租房预测名单。在联合建模过程中，全程不出明文数据，有效保护了居民用水用电的数据隐私信息。联邦学习联合水电信息的训练模型比本地单独用电数据训练的模型 AUC 提升 20%以上，提供 10 数种分布式识别算法，赋能政务决策高效的处理分析能力。其准确的识别结果显著减少政府部门走访、核查及整治群租现象所花费的人力物力和财力，并有效避免了大量因群租所导致

123、的火灾等后果造成的严重财产损失。Sophon PC 所提供的联邦学习建模技术为政府有效排查群租房，消除群租房造成的消防、安全隐患，打造和谐、安全、美丽的生活环境作出了突出贡献，为政务决策、民生建设发挥了信息化支撑保障作用。第五章第五章 批量数据共享安全场景批量数据共享安全场景3816 基于隐私计算的政务数据计算价值共享一、场景描述数字化政府旨在打造一个以政务数据为生产要素且对外开放的应用平台，进一步深耕政务数据价值共享开放，打造更便捷、更多元化、更安全的数据共享场景，让政务数据能在更多的领域实现业务融合，为提升全区各行业的信息化建设快速升级贡献力量。本方案基于隐私计算技术构建多方数据安全融合计

124、算平台，利用“原始数据不出域，数据可用不可见”的新范式为数据价值开发利用场景赋能。通过这种方式，可以解决数据所有权与使用权分离、数据流通全生命周期安全，以及数据开发利用过程中侵犯个人隐私等问题，同时保障各个数源单位对各自数据拥有绝对的管理权；可以对加密数据的数据目录、运行的数据模型，以及生成的数据结果集进行审核，以确保数据全流程可控、可管。基于隐私计算技术构建的政务数据与社会数据安全融合计算环境，能通过深入挖掘政务数据和社会数据的计算价值，探索政务数据赋能社会机构发展路径，促进数字经济高速发展。二、风险分析（一）数据共享难数据的易复制性导致数据在共享或交易后的使用过程中变得不可控。通过对数据所

125、有权和使用权的分离，能充分保障数据共享方的权益，促进数据的流通。（二）个人隐私数据保护难数据打通与共享的推进必然会涉及到用户的隐私保护问题。本方案通过上传调试数据或对原始数据采样、脱敏的方式，实现数据的可用不可见；通过密文计算方案实现在数据加密状态下的计算，从而保护数据拥有者的隐私权。（三）数据流通全生命周期安全保障难数据在传输、存储和使用中均存在被窃取、泄露等的安全风险，任意环节的安全漏洞均可能导致数据安全的不可控。本方案通过对数据共享上传-存储使用-结果下载的全链路加密来保障数据的端到端安全。三、解决方案本方案利用了安恒信息自主研发的 AiLand 数据安全岛隐私计算技术，平台主体功能和模

126、块包括共享交换业务平台、安全可信大数据计算中台和智能安全运营防护系统。平台架构图如下：图图 1.1.AiLandAiLand 数据安全岛平台架构图数据安全岛平台架构图AiLand 数据安全岛平台本身不生产也不汇聚数据，而是“数据价值”的孵化器，即通过隐私计算、模型算法等手段处理原始数据，仅流通产生的计算结果。AiLand 数据安全岛隐私计算技术包含可信执行环境与多方安全计算两大技术路线。（一）可信执行环境可信执行环境包含安全调试环境与安全计算环境两部分。安全调试沙箱通过调试测试进行数据模型开发和数据模型验证，同时能通过验证成功的数据模型运算数据集得到满足数据获益方需求的数据结果集。可信执行环境

127、架构图如下：第五章第五章 批量数据共享安全场景批量数据共享安全场景39图图 2.2.可信执行环境架构图可信执行环境架构图1.安全调试环境数据进入安全计算环境进行运算前，AiLand 数据安全岛平台给开发人员提供安全测试环境，开放部分样本数据进行算法的调试。既能保障最终算法的准确性，又能确保开发人员不过多地接触到敏感数据，从而保障数据安全；2.安全计算环境AiLand 数据安全岛平台基于安全计算环境技术，将安全计算环境与数据合约绑定，为每个计算任务创建独立的容器环境，使不同合约之间的数据完全隔离；为关键数据计算任务创建可信执行环境 BDTee，从而执行空间和资源的分离，令所有需要高度保密的操作在

128、操作系统内核隔离态执行，其余操作在正常环境执行。四、应用成效某省政数局建设了基于信创硬件的 AiLand 数据安全岛隐私计算平台，该平台总计覆盖 11 个地级市下的 90个县级行政区，其中包括 37 个市辖区、20 个县级市、32 个县与 1 个自治县，总投入资金 2000 万，项目实施周期 1 年。AiLand 数据安全岛隐私计算平台通过隐私计算技术方案，帮助政企之间开展数据融合计算，实现政务公共数据授权经营，能在保障政务数据安全的前提下，释放政务数据计算价值。某银行通过为某省政数局建设的基于信创硬件的 AiLand 数据安全岛隐私计算平台，精准打造了“普惠金融”产品，设立了 7 亿元专项“

129、强村产业贷”，支持了村集体产业、家庭农场与农民合作社等新型农业主体发展，创新推出了“XX 易贷”“农创易贷”与“农资贷”等产品，累计授信对接 554 家，累计授信 2.01 亿元。同时，通过大力开展信用建档评级工作，实现农村授信全覆盖。目前辖内有新型农业经营主体 2296 家，其中信用建档 1812 家，建档率将近 80%。本方案的实施，使某银行更有“底气”，既能多维度了解企业与个人经营和诚信情况，有助于为中小微企业办理无还本续贷、信用贷款、流动资金贷款等业务，又可大大缩减诚信经营、符合条件的企业的审批时间。未来还有望联合某省政策性融资担保基金担保和保险公司增信等的支持，令融资更高效便捷，获得

130、更多优惠利率和信贷额度支持。综上所述，本方案符合某省“十四五”规划，有助于推动数据要素优化配置。尤其是，本方案以银行的业务需求为突破口，推动公共数据与企业数据深度对接，规范数据开发利用场景，提升社会数据资源价值。同时，还能助力探索某省公共数据授权运营工作基本流程制度，研究建立数据交易机制，鼓励数据资源合规交易、有序流通与高效利用。（一）多方安全计算AiLand 数据安全岛平台采用的密文计算方案主要是基于秘密分享、匿踪查询与隐私求交的多方安全技术。1.1.秘密分享秘密分享秘密分享的思想是将秘密以适当的方式拆分，拆分后的每一个份额由不同的参与者管理，单个参与者无法恢复秘密信息，只有若干个参与者协作

131、才能恢复秘密消息。该技术通过拆分原始数据，将秘密分散到一群参与者中，能有效地防止系统外敌人的攻击和系统内用户的背叛。基于秘密分享的多方安全计算可支持加减乘除及多项式运算。2.2.匿踪查询匿踪查询PSI 协议由两方组成，即数据提供方和数据获益方。数据提供者开放数据集，数据获益方根据开放字段进行密文查询。数据获取方只能查询到输入的字段有关的数据，其他数据对他们不可见，而数据提供方不知道数据查询方查询了哪些数据。通过应用 PSI 技术，安全岛平台能在不泄露查询之外数据的前提下实现密文查询。3.3.隐私求交隐私求交PSI 协议由两方组成，即发送方和接收方，双方输入分别表示为 X 和 Y。双方的目的是在

132、不泄露内容的前提下计算交集 XY。请求方只能学习到 XY，学习不到 X Y；被请求方除了 Y 学习不到任何其他信息。通过应用 PSI 技术，安全岛平台实现了多个数据集求交集，但却不泄露任何一方除了交集之外的信息的功能。第第六六章章数据使用侧监管场景第六章第六章 数据使用侧监管场景数据使用侧监管场景4117 数据交换场景中的 API 多重监管交叉审计一、场景描述本方案主要是针对某区公共数据平台、业务系统以及区各部门在数据使用侧进行持续动态的监控分析，有效解决公共数据共享调用的可视化和风险预警问题，实现对数据使用侧的持续监管。对可能存在的数据安全风险和漏洞进行及时发现，缩减数据暴露面，对公共数据违

133、规共享、直连共享、二次封装等问题进行有效发现，有效降低数据泄露风险。二、风险分析API 在促进数据、应用、场景深度融合中发挥了巨大作用，作为数据要素的重要载体，API 承载了大量核心的业务逻辑和敏感数据，支撑着用户习惯的互动式数字体验，但 API 的广泛普及也使得攻击面更广，因直达核心数据，每一个 API 都有可能成为攻击入口，如 API 疏忽安全管理将遭受巨大的损失。相关法律法规也强调了需要对数据在传输、共享、开放时提供保护，确保 API 的安全是数字化改革数据安全保护的重要环节，构建 API安全防护体系势在必行。三、解决方案本方案在常规数据安全防护手段的基础上进行了升级优化，本方案整体示意

134、图如图 1 所示，主要分为三个阶段实施推行：图图 1.1.数据使用侧监管整体示意图数据使用侧监管整体示意图1.在某区公共数据平台网关处部署 API 监测系统，对公共数据平台网关接口进行集中的监控管理，形成接口调用情况一本账，对收集到的 API 请求及返回参数进行分析，判断 API 设计是否有异常行为、数据泄露的风险点及弱点，并给出描述及整改意见，从而达到 API 安全持续治理的效用。2.在区数据管理部门各业务系统服务器部署应用数据风险监测系统，针对从公共数据平台调用数据的应用系统进行监控，及时发现接口二次封装、违规共享等问题以及应用系统 API 的自身弱点及风险。3.在某区政务网核心交换机部署

135、 API 监测系统，扩大监控范围，对某区各业务部门数据使用情况进行持续监测，对发现的数据暴露问题和数据使用风险问题进行及时通报处置。图图 2.2.解决方案流程图解决方案流程图图图 3.3.系统技术架构图系统技术架构图（一）API 资产管理风险随着数字化改革进程加快，当前政务数据 API 接口遇到业务系统归属部门多，与外部对接错综复杂，导致 API 接口安全管理虽然有规则的制定，但是无法确保规则是否有效落实和安全管控是否合规，无法全面掌握 API 资产，不能有效地对 API 接口资产的生命安全周期进行管理。（二）公共数据对外开放风险API 接口是承载各种高价值服务和敏感数据的重要途径，但是相关从

136、业人员却不能及时有效的监测API 接口数据传输过程中的安全风险，不清楚业务系统 API 接口是否应该携带这些敏感数据，其数据处理方式是否合法以及涉敏数据是否被恶意使用。（三）API 接口非法二次封装风险公共数据通过 API 接口开放给数据使用者，存在数据使用者或第三方在未获得授权的情况下，把 API 接口进行二次封装后进行违规使用，甚至给未授权的其他组织使用，在数据提供方无感知的情况下，造成公共数据大规模滥用或者泄露。（四）批量数据共享风险部门申请批量数据后，由于缺少完善的访问控制机制和监测审计机制，导致可能存在内部越权访问数据、非法导出数据、使用次数超过授权范围、数据泄露难以追责等安全隐患。

137、第六章第六章 数据使用侧监管场景数据使用侧监管场景42（一）方案平台策略配置（一）方案平台策略配置实现数据使用侧监管实现数据使用侧监管通过对 API 接口的归一化处理，基于流量特征自动识别 API 中传输的敏感数据，并会基于 API 传输的敏感数据、原始请求和返回、参数形态、访问域等多维度对 API 进行分类分级，找出对外共享数据的 API 接口，并梳理这些 API 的对外数据暴露情况。对数据共享 API 接口的每次数据访问记录请求方的身份、访问时间、请求内容等信息进行记录，并对数据访问行为进行审计，及时发现异常访问行为，对数据违规访问进行及时处置。对数据通过 API 接口、批量等方式共享给使

138、用方后的使用行为进行监管，发现数据违规导出、越权调用、数据泄露等风险行为。方案示意图如图 4 所示。（二）方案平台策略配置（二）方案平台策略配置实现接口二次封装监管实现接口二次封装监管整体分为三步走：第一步：在公共数据平台侧进行监测第一步：在公共数据平台侧进行监测在公共数据一体化平台部署 API 风险监测系统，通过在公共数据一体化平台API 网关上部署 agent，获取各业务部门（镇街）调用 API 接口流量进行分析。API 接口非法二次封装发现模型：1、首先梳理出所有的数据共享 API。系统通过对 API 接口的归一化处理，基于流量特征自动识别 API 的访问源，并贴合网段划分，梳理出数据共

139、享 API 的范围并打上对应的标签。根据数据共享 API 的开放域，设置白名单范围，严格限制超出此范围的 IP 访问行为。2、针对调用方获取 API 数据进行二次封装供他人调用的情况，系统会实时监测 API 的短时间内的总调用量，如果总调用量很大，说明可能此 API 存在二次封装的情况。3、针对把 API 封装成新的 API 被调用的情况，随着调用方的增多，API 的整体调用趋势会呈现上升的趋势，对数据共享 API 的访问趋势进行实时监控预警，一旦发现存在有此现象的 API，给出相对应的告警。4、除此之外，为数据共享 API 设置画像，严格分析数据共享 API 的访问量、访问终端、访问网段、访

140、问时间段等其他访问特征，基于 API 接口自动画像，识别通过代理转发或开放 key 的方式进行二次封装的数据共享 API 的行为。第二步：在数据使用侧进行监测分析第二步：在数据使用侧进行监测分析在业务部门（镇街）侧，对于已经部署的应用系统，在 API 接口使用侧部署应用数据安全审计系统，在数据使用侧进行监测，同时将监测信息同步至数管部门API 风险监测系统。API 接口非法二次封装发现模型：1、对比数管部门和业务部门 API 资产，分析是否存在内容格式相类似的接口；对比分析两侧 API 接口调用数据类型，发现数据类型一致接口。2、在各业务部门分析所有调用数管部门API接口的IP，对比分析哪些是

141、授权应用正常调用，哪些是非授权应用调用，发现 API 接口二次封装行为。方案示意图如图 5 所示。第三步：全域监管，扩大使用侧监管范围第三步：全域监管，扩大使用侧监管范围扩大使用侧监管范围，在某区政务网核心交换机部署API 监测系统，对某区各业务部门数据使用情况进行持续监测，采取以上两种发现模型，对发现的数据暴露面问题和数据使用风险问题进行及时通报处置。图图 4.4.数据使用侧监管方案示意图数据使用侧监管方案示意图图图 5.5.接口二次封装监管方案示意图接口二次封装监管方案示意图四、应用成效1.建立 API 接口全生命周期防护运营机制，有效管理 API 接口开发、测试、申请、上线、开放、下线等

142、全流程安全问题。2.有效发现 API 接口非法二次封装，防止公共数据大规模滥用或者泄露。3.落实数据使用侧监管，有效解决数据到使用侧后的越权访问数据、非法导出数据、用数超过授权范围、数据泄露难于追责等安全隐患。五、方案优越性整体方案通过旁路流量和探针抓取流量的方式，在不影响业务的前提下，进行全面的数据流动监测。通过无监督学习算法像 API 参数模型、恶意参数多分类模型、API 参数关系模型等主动对数据共享 API 进行攻击学习，识别 API 扫描、试探等的攻击风险，刻画接口访问画像和形成访问基线，减少误报。为数据的建设运营方和使用方提供评估管理抓手，有效解决公共数据使用不合规问题，降低数据安全

143、风险。第六章第六章 数据使用侧监管场景数据使用侧监管场景4318 数据使用侧统一授权管理与监管一、场景描述数据使用侧监管场景，重点解决数据使用侧系统多、平台多、人员多、账号多、业务多，导致监管盲区多，监管有漏洞，监管成本高，监管颗粒度大，不能形成精准的监管审计报表等问题。降低开发、测试、运维等不同人员类型在使用主流数据库和大数据平台数据资源过程中的安全管控风险。通过打通浙政钉用户体系，搭建统一授权管理体系，提升数据使用侧的审计能力，全量记录所有的用户访问行为，实现权限管控及操作审计到人，数据侧管理精确到人，提供权限过期提醒、离职转岗交接一件事。根据数据使用侧监管场景需求，建设数据资产管理中心、

144、元数据治理中心、知识库中心、安全策略中心、风险防控中心等功能模块，实现对数据元、数据表等数据资产的全面管理，突出对不同用户提供不同权限，提供数据使用的态势感知，实时反馈用户使用侧敏感操作与预警。二、风险分析（一）权限管控能力缺乏在数据使用侧场景中，相关法律法规落实执行存在人事物数据监管不到位风险，缺乏对企业及运维人员进行有效约束，缺乏对核心技术人员进行背景调查，缺乏有效手段对系统使用人员设置最小访问权限管控。（二）全方位监管工具单一目前众多单位还未建设数据安全管控平台和保密自监管系统，数据不能实现分类分级、态势感知、权限管控、数据脱敏等，在采集、传输、存储、处理、交换、销毁流程中存在风险。迫切

145、需要加强水印溯源、传输存储加密、数据使用侧监管等方面能力建设。（三）对异常数据使用情况缺乏预警目前众多单位对异常数据使用情况缺乏预警，迫切需要及时干预，避免数据安全事件发生。三、解决方案（一）搭建数据使用侧的统一授权管理体系数据使用侧监管场景，打通浙政钉用户体系，按照最小化权限授予原则，通过数据管理工具，建立针对主流数据库和大数据平台的统一授权管理体系，实现按需申请所需权限，支持数据库、表、字段或数据行级别的查询、导出或变更权限；支持实例的登录权限，支持实例、数据库或表 owner 等权限。图图 1.1.数据使用侧监管实现主流数据库权限管控功能图数据使用侧监管实现主流数据库权限管控功能图第六章

146、第六章 数据使用侧监管场景数据使用侧监管场景44（二）数据使用侧开发人员的身份认证与权限管理重点针对开发人员，完成统一身份认证，通过数据使用侧监管在数据增删改查、批量查询下载、敏感数据查询、风险规则识别、访问行为记录上进行全方位监管。1.通过统一门户访问数据开发不同组件，访问时身份认证通过浙政钉作为认证源，进去自己权限范围内的数据开发组件，并记录访问行为。2.进行数据增删改查操作：针对主流关系型数据库和大数据平台，通过对应的数据管理组件进行数据权限控制。针对高风险语句进行实时告警。3.批量查询下载：通过数据水印技术实现数据泄露溯源。4.敏感数据查询：通过主流关系型数据库和大数据平台内置的数据管

147、理组件实现敏感数据脱敏。5.高敏感数据加密：依托云原生的密钥管理服务，实现对主流关系型数据库和大数据平台的加密服务。图图 2.2.开放人员通过身份认证获取操作权限开放人员通过身份认证获取操作权限四、应用成效基于数据使用侧监管应用推广，某地从三个维度推进数据安全管控体系建设：（一）制度落实贯彻落实数据安全法和个人信息保护法，制定完善数据安全相关制度规范和配套措施，进行对应的贯宣工作。（二）技术防护建立数据安全管控平台和保密自监管系统，持续提升分类分级、态势感知、权限管控、数据脱敏等能力，重点加强水印溯源、传输存储加密、数据使用侧监管等方面能力建设，落实某市网信办的“区块链+数据安全”试点建设，构

148、建覆盖数据采集、传输、存储、处理、交换、销毁等全生命周期的可追溯安全体系。建立网络安全态势感知平台，全面落实网络安全等级保护制度和涉密网络分级保护制度，强化关键信息基础设施网络安全检查。（三）安全运维建立数据安全责任机制，建立数据安全运维专班，压实数据安全主体责任，强化涉疫数据等个人敏感信息保护，加强以态势感知为核心的风险监测能力建设，重点加强对数据共享、数据回流、开发环境等场景的安全风险监测，树立数据安全底线思维，强化运维管理机制，全面筑牢公共数据安全防线。第六章第六章 数据使用侧监管场景数据使用侧监管场景4519 数据使用侧监管一、场景描述政务数据包含国家的各类统计数据、公民的隐私以及各种

149、重要信息，政务数据的安全保护对于国家和公民来说都至关重要。数据使用侧监管是指在数据被使用的过程中，通过一系列监管措施保障数据的合法性、安全性和可信度，以确保数据的合理、规范和安全使用。在政务领域数字化改革中，数据已经成为政府部门重要资产之一，同时也是隐私保护的重要领域，因此数据安全主管部门需要在数据库侧和接口侧结合制度、防护能力和运行管理等方面进行全方位的保护。二、风险分析政务数据存在多种安全风险。例如，政务数据可能被黑客攻击、被内部员工泄露、受恶意软件感染等；政务数据在传输过程中可能会被窃听、拦截或者篡改；政务数据在使用过程中可能会被非法访问、篡改或者删除等。这些风险可能会导致国家重要信息泄

150、露、公民隐私泄露，以及公众信任度受损。三、解决方案为全方位保证政务数据在处理、传输、使用的安全管控，数据安全主管部门在数据库侧和接口侧采取权限控制、审计监控等防护方式，对数据全流程使用进行全面保护。具体如下：（一）权限控制权限控制是数据使用侧监管方案的核心之一。它可以确保只有获得授权的人员才能访问和使用数据。权限控制包括两个方面：身份验证和访问控制。1.身份验证在验证用户身份的过程，确保只有获得授权的用户才能访问和使用数据，采用以下方式：（1）用户名和密码政务数据的访问应该使用强密码，建议密码长度不少于 8 位，并且包含数字、字母和特殊字符等多种元素。此外，应该规定密码的有效期限和强制修改密码

151、的频率，以防止密码被泄露或破解。同时，本方案建议使用密码策略来规范密码的设置，例如禁止使用简单密码，禁止重复使用密码等。（2）双因素认证在政务数据的访问过程中，建议采用双因素认证技术，同时验证用户的身份。除了用户名和密码，还应该使用其他安全因素，例如指纹识别、虹膜识别、人脸识别等，以提高认证的安全性。此外，建议设置访问限制，例如每天访问次数的上限，以防止恶意攻击。（3）单点登录政务数据的访问可以采用单点登录（SSO）技术，使得用户只需要登录一次，就可以访问多个政务系统，从而提高操作效率和用户体验。此外，单点登录还可以提供安全控制和访问审计功能，以加强对政务数据的保护。2.访问控制通过权限管控系

152、统，配置对应策略以控制用户访问和使用数据的过程：（1）基于角色的访问控制根据用户的职务或角色来确定其访问权限。例如，业务人员只能访问测试环境数据，而不能直接访问生产数据。基于角色的访问控制可以方便地管理用户的权限，减少权限管理的工作量。（2）基于策略的访问控制建立访问策略规则库。该规则库中包含了所有的访问策略规则，当使用者发出访问请求时，系统会根据访问请求的属性和数据的属性，匹配相应的访问策略规则，以确定该用户是否具有访问权限。第六章第六章 数据使用侧监管场景数据使用侧监管场景46（二）审计监管审计监管是数据使用侧监管方案中的另一个关键方面，可以通过追踪数据接口访问和使用的情况，检查数据是否被

153、恶意使用或泄露，并及时采取相应的措施。在审计监管方面，我们采用了以下方案来提高数据安全性：1.API 审计：通过审计数据访问的方式，检查数据的访问记录，包括访问时间、访问者身份、访问目的和访问结果等。通过访问审计，可以了解数据的访问情况，包括哪些用户访问了数据、何时访问了数据、访问的目的和结果如何等。通过 API 审计系统，可以设置访问审计规则，并根据规则检查访问记录是否合规，及时发现异常行为和违规操作。2.API 水印：通过网关判断当前接口是否为敏感数据接口或重点接口，若为敏感及重点接口，则通过 API水印系统，添加水印至接口内，若此接口发生二次封装或接口外泄后，可以将泄露接口进行审计溯源。

154、图图 1.1.数据使用侧监管架构图数据使用侧监管架构图四、预期成效通过采取上述措施，数据安全主管部门可以全方位保证政务数据在处理、传输、使用过程中的安全管控。提高政务数据的安全性，减少政务数据泄露和损失的风险，提高政府的管理能力和行政效率，提高公民的信任度，增强政府的公信力和形象。五、方案优越性本方案从多个方面入手，采取了访问控制、安全审计等多重防御措施，能全方位保证政务数据的安全管控，有效提升政务数据的安全性，可靠地保护政务数据的完整性、保密性和可用性。在全面保护政务数据的安全的同时，能提升政府的安全管理水平，防范数据的非法滥用，控制数据的规范流动，为公民提供更加安全、便捷的政务服务，有助于

155、构建更加安全、稳定、有序的信息化社会。第七章第七章安全风险监测场景第七章第七章 安全风险监测场景安全风险监测场景4820 基于全流量的流动数据风险监测方案一、场景描述近年来，随着运营商的数字化转型，有各式各样的数据分布在业务系统，数据平台，终端上。然而，在数据流转过程中，无法有效把控明文传输未备案的个人用户信息与敏感信息行为，存在一定的数据泄露风险；在业务系统数据下载场景，缺少对数据流转过程的实时监测，无法感知数据流动过程。为切实保护公司数据安全，应降低数据安全风险，杜绝数据安全隐患，接应数据安全重点能力建设要求，提升数据流动监测能力，有效发现数据泄露、违规操作等行为；同时应满足相关数据流转监

156、测、接口安全管理等要求。因此，需要建立一个流动数据风险监测系统，以进一步提升安全检测分析、安全防护处置、安全管理、安全监管等基础能力，持续打造网络信息安全能力底座，为企业生产经营和业务发展提供有力的网络和信息安全支撑。二、风险分析（一）接口梳理难业务的不断变化导致企业 API 接口数量与日俱增。由于不同 API 接口的生命周期差异很大，没有及时下线的 API 接口很容易被攻击者发现并利用。另外，很多企业对自身开放 API 接口的数量了解不够充分，这些 API接口是否受控使用和被有效使用、存在怎样的安全风险和隐患等问题就更不得而知。（二）数据安全威胁加剧近年来，数据安全形势愈发严峻，敏感数据泄露

157、事件频发，重要政府部门和重点行业的数据遭受泄露的情况越来越普遍。这一问题的根源在于企业内部对于数据的流动过程缺乏全面的了解，无法清楚地知道数据从何处来、到何处去；同时，越来越多的企业员工越权访问数据，有些员工甚至监守自盗；此外，大量交由第三方开发的系统中存在后门，导致数据被窃取的风险日益增加，而这些数据一旦外泄，很难追查和溯源。为了解决这一问题，需要采取一系列措施来加强数据安全监管。（三）数据安全信息孤岛随着业务系统不断扩大、应用更加广泛，各种信息安全事故的发生率不断攀升，日志量也在飞速增长。企业因海量安全事件数据无法有效存储、分析与告警而导致信息孤立的情况屡见不鲜。三、解决方案总体方案是在对

158、用户无感知、对系统无侵入的情况下，确保在数据高效流通和共享的同时，最小化潜在的数据安全风险。中国电信股份有限公司重庆分公司通过建立一套针对应用数据传输的风险监测系统，在服务器网络出口上进行镜像流量分析，纳管多方向互联网全流量数据等，实现应用系统接口梳理、数据流动感知、敏感数据自动发现、用户行为审计、数据风险防控、数据泄露溯源等六方面的能力。系统架构如图 1 所示。方案创新性：（一）完整敏感日志记录传统的应用行为审计类产品往往不记录返回内容，或只记录返回内容的一部分。如果记录全部返回内容，往往需要巨大存储量，后续分析也非常困难。与传统产品相比，本系统无需业务方改造，采用返回内容结构化提取技术，对

159、返回内容中的关键数据（如个人隐私数据）进行记录，既减少了存储量，又可以对操作行为进行细粒度审计、数据流动态势刻画，同时有助于数据泄露事件溯源。第七章第七章 安全风险监测场景安全风险监测场景49图图 1.1.流动数据风险监测系统架构流动数据风险监测系统架构（二）多种行为风险场景产品采用基于用户和实体行为分析的设计思路，对数据行为建立用户基线、系统基线、接口基线；并进行用户划群、IP 划段、系统分类；使用聚群分析和历史行为对比分析提升风险报告准确度，并对已报告出来的风险行为自动进行场景关联分析，减少用户的运营风险投入时间，提高产出效率。产品同时提供丰富的监控指标，可根据需要自定义风险策略。（三）数

160、据流动态势感知系统账号解析：可自动识别流量中的用户账号，并自动对产出账号-人员-组织架构进行关联，识别用户获取数据的行为特征以及获取的数据量。系统可以产出并可视化用户获取数据的关系图谱。图图 2.2.数据流转态势可视化展示截图数据流转态势可视化展示截图四、应用成效开展流动数据风险监测项目建设，扩展业务安全监测覆盖面：通过分析业务应用场景，对用户行为信息、资产标签信息、用户鉴权信息等数据进行实时采集和关联分析；综合资产指纹、用户动态和静态特征、业务流、数据流、黑白名单等要素进行全链路业务安全管理分析，构建基于资产、用户、业务场景的神经网络风险监测模型；根据业务流程和用户活动记录、快速智能标记用户

161、信誉、资产信誉和数据价值等特征，实现对访问越权、违规行为和高风险业务操作等风险行为的精准快速检测和联动处置。综上所述，本技术方案不仅能够帮助公司在数据流动安全行业领域获得前沿地位，而且可以为数据安全技术领域的其他相关研究提供重要的参考价值。作为产品核心的智能检测技术将进一步应用于金融、公安、国安等重要行业场景，对推动其他交叉行业发展、赋能全社会产业做出巨大贡献。第七章第七章 安全风险监测场景安全风险监测场景5021 基于公共数据平台的开放数据中个人信息检查情况分析一、场景描述公共数据平台是政务数据开放流转的重要载体，旨在推进政府部门间的数据共享，提升政府与公众、企业的交互水平，促进政府数据资源

162、的共享和利用。然而当前的公共数据平台在隐私保护机制上并不健全，个人信息泄露时有发生，身份盗用、网络诈骗等事件频发，引发了公众对个人隐私安全的担忧。针对公共数据平台的个人信息分析方案，能打造持续性数据风险监测，及时发现数据泄露事件，保障开放数据的隐私安全。该方案从个人信息本体特征、行业特性、合规性等角度出发，以个人信息资产为载体开展敏感信息识别及个体绑定，完善个人敏感信息描述形式，构建统一的开放个人信息汇聚方法。同时，能依托匿名化、脱敏等技术手段着重解决数据在单一平台的隐私安全问题。此外，该方案可以结合政务数据开放共享的业务需求，从确保开放数据的信息安全到正确发挥数据价值，形成隐私安全闭环。二、

163、风险分析（一）（一）完全开放隐患大完全开放隐患大公共数据平台采用互联网公开发布数据的共享模型，数据集完全对外公开共享，无需任何条件即可下载。这种发布方式具有不可撤回性，一旦发布后，很难对其进行召回。如果发布的数据集中涉及个人信息，将会对个体造成无法挽回的影响。（二）（二）数据混合识别难数据混合识别难公共数据的结构不统一，同一张数据表中字段可能包含多种形式数据，其内容可能是半结构化数据，如 HTML 网页代码，或结构化数据，如身份证号，或非结构数据，如描述诉求的短文本，或以上形式的混合。这使得个人信息的识别统计复杂性提高，进而使得个人信息防护的难度上升。此外，由于这些不同形式的数据可能存在混合的

164、情况，个人信息的识别和分离变得更加困难，最终导致个人信息泄露事件频发。（三）（三）独立发布风险高独立发布风险高开放数据集来源于各个政府部门且具有自主性。各个部门在发布数据集时很难监测到这一数据集与其它部门发布的数据的关联性。这种情况增加了开放数据被重新标识的风险，若攻击者利用关联数据分析来还原去标识化的数据，将引起个人信息泄露。三、解决方案本方案基于对公共数据平台数据内容的深入分析，能洞察敏感数据集，精准刻画数据平台个人敏感信息画像，实现数据风险监测与个人信息防护功能。该方案紧密围绕个人信息去标识化指南、个人信息安全规范等相关国家标准，针对个人信息直接泄露、个人信息重标识泄露等多种不同形式的个

165、人信息泄露进行风险监测。平台架构如图 1 所示。（一）洞察数据集风险通过对现有的开放数据进行数据清理、预处理与特征选取，构建用于训练敏感数据集检测的 AI 模型，用于洞察公共数据平台中的数据集风险程度，记录高敏感数据集 ID 并向管理员告警，以杜绝敏感个人信息数据集完全公开共享，消除个人信息泄露隐患。（二）设计高效个人信息识别算法采用分组和逐字段的敏感信息识别方法，构建完备的敏感信息识别规则与模型，以充分检测不同结构的开放数据：1.利用关键词匹配技术，初步进行字段分组。2.依据字段属性与各类目标敏感信息的特征匹配度，确定字段内容的结构化程度，选择对应的识别算法识别该字段内容中的敏感信息。3.利

166、用基于结构信息的同字段信息一致的假设，用识别成功率校验识别结果。图图 1.1.个人信息识别统计平台架构图个人信息识别统计平台架构图第七章第七章 安全风险监测场景安全风险监测场景51（三）构建个体信息统计方法通过敏感信息上下文判断信息主体，从而构建出已识别敏感信息与个人信息的映射，设计基于同个体信息融合与个体去重的统计方法。图图 2.2.个体映射与去重示例个体映射与去重示例通过对多个部门公共数据的个体信息分析，得到以个体为单位的个人信息图谱，并记录可被关联的个体，向管理人员告警，杜绝重标识风险。四、应用成效（一）综合监测泄露风险，保障数据安全本方案对数据开放平台定向开展风险评估，以实现对平台个人

167、信息情况的具体描绘，帮助该平台下架涉及个人信息泄露的数据集。（二）严密个人信息统计分析，提供数据支撑对从公共数据开放平台获得的数据表进行个人信息统计分析，汇总形成个人信息统计报告，助力数据管控与可视化分析：1.以每个包含个人信息的数据表为对象，描述并展示每个数据表的个人信息。2.对平台包含个人信息的所有数据表作为分析对象，统计数据源中个人信息的综合情况，展示关联分析后平台新增的暴露个体数量。图图 3.3.关联分析后关联分析后个人信息涉及人数增量的统计图（测试数据）个人信息涉及人数增量的统计图（测试数据）第七章第七章 安全风险监测场景安全风险监测场景5222 基于可视化技术的数据访问监管系统设计

168、与实现一、场景描述省、市、区县级一体化智能化公共数据平台，全省一体化数字资源系统（IRS）等基础设施为数据的安全共享提供了良好的基础。数据的共享方式分为“批量数据”和“共享接口”两种。各个部门或应用项目组可以在IRS 中发起数据共享申请，然后由包括数据局和数源部门在内的各级部门进行审批。公共数据共享以后，存在着数据被滥用和泄露的风险。部门或应用在申请数据共享时，需要说明使用共享数据的目的、方式、预估日获取数据量和预估日调用量等信息。如果共享数据的实际使用情况相对申请信息发生偏离时，可能会发生共享数据的滥用。此外，一旦共享数据导入到部门或应用的 RDS 中，可能通过写入本地文件、网络外发、数据库

169、导出等途径流出该部门或应用，从而造成数据的泄露。本案例采用技术手段对共享数据的进一步流转进行监控，了解数据共享之后被访问和使用的情况。当出现存在数据安全风险的异常访问现象时，能够产生告警，从而降低前述的共享数据被滥用或泄露的安全风险，保障数据共享的健康发展。二、风险分析在数据共享中主要存在两类安全风险。数据滥用。如果共享数据的实际使用情况与申请时不符，可能会发生共享数据的滥用。具体实例包括：数据获取过多，即实际的日获取数据量或接口日调用量与申请时的预估相比，有较大增加；接口共享数据本地留存，即把采用接口方式获得的共享数据以文件或数据库的形式保存在本地；数据访问模式变化，即应用系统的用户和 RD

170、S 的运维人员访问共享数据的模式发生变化，如通常在白天访问数据的用户，突然在晚上大量访问数据，或者访问其通常不访问的数据。数据泄露。具体实例包括：数据接口二次封装，即应用系统将共享数据封装为新的接口后，提供给第三方使用；数据外发，即应用系统在访问共享数据后，通过电子邮件、社交软件等方式，将数据外发；数据导出，即运维人员将共享数据从 RDS 中导出；数据访问模式变化，即应用系统的用户和 RDS 的运维人员访问共享数据的模式发生变化，可能意味着该人员的账户被劫持了，并可能因此导致数据泄露。三、解决方案基于可视化技术的数据访问监管系统对公共数据共享后的使用情况进行监管，明确了“谁在什么时间对哪些共享

171、数据进行了什么操作”，并能在识别出数据滥用或泄露的安全风险时产生告警，切实解决数据共享过程中的“拿不走、赖不掉”问题。该系统的架构图如图 1：图图 1 1.数据访问监管系统架构图数据访问监管系统架构图第七章第七章 安全风险监测场景安全风险监测场景53该系统主要由两部分组成：(一)监管探针它基于 AOP 技术实现，部署在部门应用系统的应用服务器中。探针采集在某个时间点，某个用户访问应用程序的某个 URL 时，进行的以下一种或几种操作：对 RDS 中的数据进行操作；访问接口平台提供的接口；进行本地磁盘文件读写；通过电子邮件、社交软件等方式发送数据。监管探针采集到这些信息后，发送到监管系统，进行关联

172、分析。(二)监管系统该系统从探针接收应用数据访问日志，结合从接口平台获取的接口访问日志、从 RDS 的数据库审计系统获取的数据库审计日志进行分析。从用户或数据的维度，以可视化的方式展示共享数据被使用的情况，同时为使用共享数据的用户建立用户画像。当用户对数据的访问行为触发了告警规则或偏离了用户画像时，将产生告警信息。本系统具有以下技术特色：1.部署探针无需修改应用系统，仅需进行简单的适配，将探针设置为随应用系统启动即可。2.精细化的数据访问情况采集。在通常的数据库审计日志中，来自应用系统的数据库访问都表现为单个账号的行为。而监管探针采集的应用数据访问日志记录的是应用系统用户对数据库的访问。3.全

173、面地应用行为采集。除数据库访问以外，监管探针可以采集到接口调用、文件操作、网络外发等全面的应用行为。四、应用成效某应用运用“智能装备+大数据+区块链”技术，融合了政府公共数据、渔企生产数据、供应链数据，构建船舶污染物治理体系、涉渔企业数字信用体系、渔业服务标准化体系和多部门协同管理体系。该项目对渔业环保、供应链、融资、物流等传统方式进行数字化重塑，以渔业大礼包服务的方式，解决渔民生产生活实际需求，提高渔民收入。该应用中使用了来自渔业局和农水局等数源部门的多项共享数据。为识别潜在的数据安全风险，该应用中部署了数据访问监管系统。数据访问监管系统全面采集了来自互联网、浙里办、内部运维等的用户对共享数

174、据的访问行为，建立了用户画像，并以简洁生动的方式进行了可视化的展示。当数据访问行为偏离了用户画像，或者触发了告警规则时，会产生告警信息。数据访问监管系统的使用取得了良好的效果，达到了预期的目标。数据访问监管系统的核心技术，已申请发明专利数据开放安全可视化监管系统、方法及存储介质，并获得授权。在使用过程中，数据访问监管系统的部分运行界面如图所示。图图 2 2.数据访问监管系统信息数据访问监管系统信息概况页面概况页面图图 3 3.数据访问监管系统数据访问监管系统用户访问行为页面用户访问行为页面图图 4 4.数据访问监管系统数据访问监管系统告警信息页面告警信息页面第第八八章章账号安全管控场景第八章第

175、八章 账号安全管控场景账号安全管控场景5523 账号复用滥用发现方案一、场景描述区县级公共数据平台拥有多种数据资产和数据载体资产，资产的使用者（接触者）复杂，既有内部人员，也有多种外部人员。当前账号和访问权限控制薄弱，普遍存在账号权限过大、账号共用、账号滥用、账号失陷等现象，现已经部署的防火墙、态势感知、APT 等大量的安全防护设备都无法有效解决账号复用滥用问题，数据安全风险较大。二、风险分析当前账号主要涵盖终端入网账号（实名认证）、应用系统账号、资产维护相关的特权账号三类。前两类主要账号拥有/使用者为内部办公人员，第三类账号拥有者既有内部特权人员，也有开发商、供应商、外包服务人员。账号风险主

176、要包含以下几类：（一（一）账号复用风险账号复用风险多人混用同一账号，无法对账号行为进行有效定位追溯。（二）账号滥用风险（二）账号滥用风险使用合法账号进行非授权访问，对数据资产构成来源于内部的重大风险。（三）账号失陷风险（三）账号失陷风险账号遭网络攻击或暴力破解，被内外部非法身份人员获取和使用。（四）权限外溢风险（四）权限外溢风险对账号权限不做限制或限制粒度不足，导致账号权限过高，或与人员身份等级不匹配，为设备、系统、数据等资产带来风险。三、解决方案图图 1.1.流程示意图流程示意图本方案结合各类安全日志、行为日志等数据，基于大数据、流计算、知识图谱、机器学习等数字化手段，建立精准的账号复用滥用

177、关联检测分析模型，及时准确发现各类账号滥用复用风险。主要任务如下：（一）搭建数据安全分析平台基于大数据、流计算技术构建数字安全防护框架，搭建安全大数据分析平台，如图 2 所示。（二）基础安全数据采集采集网内安全类、网络类、应用类、业务类、情报类等各类与（账号）、（行为）有关的数据，深度清洗、融合、归一。梳理有用的字段，丢弃没有价值的部分。图图 2.2.安全分析平台框架安全分析平台框架（三）账号复用滥用建模账号混用、滥用本质上会出现，登录设备、登录行为周期、登录源、登录之后的行为模式变化，只要能够识别这种变化，问题就迎刃而解。根据账号复用、滥用行为模式，建立安全数据模型，之后进入多维度实时安全威

178、胁检测阶段，基于命中安全策略模型的情况或用户自定义的自动化处置配置，半自动化或全自动化联动任意安全设备，用户可通过此平台进行全流程的安全运营，比如统一查看、分析全网的账号安全威胁态势、沉浸式安全分析、策略模型定制以及安全告警处置闭环操作。第八章第八章 账号安全管控场景账号安全管控场景56通过历史行为基线算法学习每个账号的常用设备、常用 IP、正常行为模式，在通过关联算法经过比对，发现非常用设备、非常用 IP、异地登录、异常行为序列等。用法举例（实践会更为复杂）：1.1.账号混用账号混用当某个账号被检测到首次陌生设备登录，非常用 IP 登录、异地登录且较短时间范围内这个账号在另外系统中表现出常用

179、设备、常用 IP 登录，如图 3。图图 3.3.账号混用分析模型账号混用分析模型2 2.账号滥用账号滥用（1）如图 4，当某个账号正常的行为序列模式已经学到时，当这个账号滥用时，就会检测到异常行为序列，但不能 100%确认，需要与账号本人沟通。（2）发生异常创建新账号/修改权限/修改口令等行为事件，可能入侵后提权或进行破坏；新建账号后，发生删除账号行为事件，可能入侵结束后消除入侵痕迹。图图 4.4.账号滥用分析模型账号滥用分析模型3.账号失陷（1）多次发生账号登录失败事件后，发生账号登录成功事件，可能暴力破解成功。（2）高价值账号（如 VPN 账号）在非可信地点（如境外地址）发生登录行为，可能

180、已经失陷。（四）账号风险关联分析通过安全场景与情景关联分析，构建全过程、全路径、高感知的攻击行为“透明镜像”，有效提升账号安全事件研判的科学性，基于完整风险数据，自动展现、关联、计算每一个事件主体在各种安全场景下的风险状况，以账号安全事件发生的先后顺序展现，为网络安全工作处置决策提供了有效可靠依据。（五）自动化联动处置为提高账号复用滥用问题治理效率，必须逐步实现自动化、半自动化处置。从人工处置到安全编排与自动化响应这一过程，安全团队须经历处置标准化、自动化、场景化、状态化等阶段，让处置更加精准。标准化、自动化很容易理解，而场景化、状态化才能最终提升账号复用滥用问题治理的效率。即在什么样的场景，

181、将事件主体在什么控制点拦截多长时间。比如，检测到某个账号存在违规行为，这个时候是禁用账号还是回收权限，如果是禁用账号，禁用多长时间。一旦命中某一安全风险就自动执行对应的处置策略，确保安全策略执行的精准性和及时性。（六）效果初步展示演示账号从一开始被爆破到爆破成功的过程，通过关联分析展示事情来龙去脉与风险细节。图图 5.5.账号风险分析过程示例账号风险分析过程示例 1 1图图 6.6.账号风险分析过程示例账号风险分析过程示例 2 2图图 7.7.账号风险分析过程示例账号风险分析过程示例 3 3图图 8.8.账号风险分析过程示例账号风险分析过程示例 4 4四、应用成效（一）研判智能精准结合账号风险

182、行为分析模型，可以精准发现账号复用、账号滥用、账号失陷等风险，分析模型可不断丰富和完善，提升安全运维精准发现和定位能力。（二）自动化闭环处置针对已发现的账号复用、账号滥用、账号失陷行为，结合平台的安全编排自动化与响应能力，联动安全设备进行账号暂停、账号禁用、阻断连接、地址端口封禁等自动化闭环处置，提升运维处置效率。第第九九章章第三方人员管理场景第九章第九章 第三方人员管理场景第三方人员管理场景5824 数字操作间系统一、场景描述“数字操作间”聚焦于解决基层部门及镇街“数据资产难把控、数据资源难查阅、数据资源难操作、数据资源难贯通、数据安全难管控”五大难点问题。同时“数字操作间”作为基层数据安全

183、运营载体，严格把控平台安全，把数据安全转换为平台安全，依托数据使用监管、数据统一流转、数据脱敏透出、数据权限管理、账号全流程管理等方式做到数据“拿不走、看不懂、赖不掉”。二、风险分析（一）基层公共数据、接口使用监管存在盲区当前部门、镇街通过 IRS 申请数据回流落入对应数据仓后，存在第三方厂商使用各类数据开发工具直连数据仓的情况，数据最终使用在哪里、谁使用了无法监管，发生问题追溯困难。（二）数据流转依赖线下表格安全风险大由于基层缺乏统一的数据流转工具，区、镇、村三级数据流转时往往通过线上电子表格，一方面会发生数据暴露在互联网外的问题，另一方面数据下载后流转给了谁都无法监管，存在较大数据安全风险

184、。（三）数据权限分配未落实最小化原则目前部门、镇街在建设应用系统过程当中，数据一般交给第三方厂商进行全流程使用，没有对数据的使用权限进行有效、细化分配，往往采用“权限最大化分配”。（四）账号管理缺乏全流程管理数据库、数据仓、数据工具、数据应用等系统账号缺乏从申请、审批、开通到销毁的全生命周期监管，存在一个项目完成后第三方厂商账号没有及时销毁，还在继续使用的情况。三、解决方案（一）系统架构图图 1.1.技术架构图技术架构图本系统对照数字化改革中四横四纵的架构体系进行建设：业务应用体系：以问题为导向提供数据汇聚、数据资产、指标中心、数据处理、系统管理等能力，覆盖数据使用全链条生命周期。应用支撑体系

185、：复用已有信息化建设成果，对接用户权限中心、流程审批平台、网关中心、数据分析等系统能力赋能系统建设。数据资源体系：以回流数据、业务数据、本地数据、采集数据等多维度数据源为基础，依托区、镇街、部门、社区、本地数据仓建立贴近实际业务开展的数据资源体系。基础设施体系：利用已有政务云基础设施能力。第九章第九章 第三方人员管理场景第三方人员管理场景59（三）主要功能介绍1.数据使用监管“数字操作间”利用智能表单、电子表格、数据同步等能力把零散的数据汇聚到一起，在云端共同管理数据。基层通过 IRS 申请的 API 接口、批量数据只能通过数字操作间封装后上架网关共享调用，收拢数据向外提供途径，杜绝第三方公司

186、或系统直连数据仓，开发人员直接操作数据仓的风险，切实保护数据仓数据安全。同时对平台与网关的所有行为日志进行监管，包括对 API 访问 IP、时间、次数、流量等进行留痕，实时发现数据违规导出、越权调用、数据泄露等风险行为。图图 2.2.数据使用监管图数据使用监管图2.数据统一流转通过数据资产分类管理，结合纵向数据贯通、横向数据协同、目标数据共享、基层数据治理加工、数据多维度指标分析等能力，构建“横向到边、纵向到底”的数据网格，打造全方位基层数据资源管理体系。破解数据上行及下行中过度依赖于线上电子表格传输，数据暴露在外难以进行安全把控等问题。该流程如图 3 所示。图图 3.3.数据统一流转图数据统

187、一流转图3数据脱敏透出“数字操作间”可实现敏感隐私数据的可靠保护。在涉及用户安全数据或者一些敏感数据的情况下，设置系统规则对数据进行部分隐藏，如对身份证号、手机号、卡号、客户号等个人信息进行数据脱敏。4数据权限管理“数字操作间”可通过配置对部门、镇街内部的数据权限进行管理，以数据安全为核心，打破传统基于边界的防御体系，从“身份、应用、数据”维度构建纵深防御体系，强化业务访问、运维开发等场景的安全保障。通过对单位内部和第三方人员的权限配置，确保权限最小化分配，避免横向越权，实现应用数据安全访问、接口数据授权访问、核心数据隔离访问。5账号全流程管理“数字操作间”作为基层数据集成平台，包含了基层关于

188、数据应用和工具的所有账号管理，对账号申请、审批、开通、销毁进行全生命周期监管，实现事前严格审批、事中精细监管、事后及时销毁。该流程如图 4 所示。图图 4.4.账号全流程管理示意图账号全流程管理示意图6.安全监管在进行数据使用的同时牢牢守住数据安全红线，所有数据使用操作过程在系统中都留存日志，并在重要操作节点，强制要求对接流程审批平台，由数据局进行审批后方可操作。四、应用成效“数字操作间”能让镇街、部门不借助 ISV 力量，把数据管起来、用起来，成为基层工作者的日常数据工作台，不仅能看数据还能操作数据，做到保障数据安全的前提下真正赋能基层，打通数据共享的最后一公里。目前“数字操作间”作为基层公

189、共数据操作平台，实现了基层数据回流、数据导入、数据治理、数据共享、数据安全的基本功能，从 2022 年 9 月至今进行了小范围适用并获得一致好评。下一步我们将根据试点情况，进一步完善数据支撑能力，加强数据安全管控，形成突出成效后向全省提供经验。第九章第九章 第三方人员管理场景第三方人员管理场景6025 信息化建设第三方人员数据安全闭环管理一、场景描述针对可能涉及敏感数据、重要系统的第三方人员（服务商员工、合作伙伴、技术顾问等），以制度建设为支撑点、以技术防护为切入点、以夯实责任为关键点采取了一系列措施，以全面加强第三方人员的安全管理，规范工作秩序，有效防范第三方人员可能造成的安全风险，扎牢数据

190、安全藩篱，确保一体化智能化公共数据平台的安全、稳定运行。二、风险分析政务信息系统涉及大量开发运维、数据开发利用操作。因相关操作的工作量及专业技能要求偏高，各单位各部门普遍使用大量第三方人员开展工作。这些人员可能存在多种安全隐患：第三方人员素质参差不齐第三方人员数量大、来源广，来自不同厂商、不同岗位，人员的素质差距可能较大，人员背景、工作能力和安全意识等方面可能存在一定的风险。第三方人员可靠性偏低第三方人员未经过细致的政治审查，无法较好地确定人员的忠诚度，可靠性存疑。第三方人员流动性大第三方人员因个人原因、工作环境、收入待遇与厂商原因等，普遍具有较大的流动性，项目周期内往往出现人员变动的情况。综

191、上所述，第三方人员的安全隐患可能为政务信息系统和政务数据带来系统可用性问题，以及系统破坏、敏感信息泄露与数据篡改等潜在安全风险，对一体化智能化公共数据平台的安全、稳定运行产生负面影响。三、解决方案（一）整体流程区目前已具备相应的安全管理制度及安全技术能力，此次试点工作将重点细化访问权限、日志审计、合作方及其人员管理制度等，迭代态势感知、权限管控、数据水印溯源、应用接口审计等技术，并通过建立红黄绿区，优化第三方人员的安全管理。图图 1.1.第三方人员管理全生命周期流程图第三方人员管理全生命周期流程图图图 2.2.第三方人员安全管理组织架构第三方人员安全管理组织架构（二）安全管理1.第三方人员安全

192、管理组织健全第三方人员管理组织建设，组建第三方人员管理专班，由大数据治理中心分管数据安全的领导担任负责人，下设管理流程制度组、技术支持组与执行组。其中流程制度组负责第三方人员管理流程制度的制定、发布与更新等；技术支持组负责用于第三方人员管理的技术工具研究、开发与使用辅导；执行组负责第三方人员管理制度和管理技术工具在各单位、各项目中引入的第三方人员中的落实。第九章第九章 第三方人员管理场景第三方人员管理场景612.第三方人员事前管理第三方人员入场前，对其本人及所属单位进行背景调查，并签署个人及单位数据安全保密承诺书，严格遵守第三方人员安全管理规定做好入场准备。3.第三方人员事中管理第三方人员入场

193、后，要求其按照国家与行业安全、区安全管理等相关规范开展日常工作，建立人员安全培训与安全考核管理机制，对其日常工作、安全及保密义务的履行进行监督与考核评价。4.第三方人员事后管理第三方人员离场前，对其进行数据权限情况、办公终端敏感数据存储情况、VPN 访问行为情况等方面的安全审计；离场时，第三方人员需填写离场申请表，做好离场交接工作与离场后的信息保密，明确离场后的责任与义务；离场后，安全管理组织及时禁用、取消其相关权限。5.第三方人员全流程电子存档第三方人员完成入场审批后，按照其简历、所属单位、工作岗位与背景调查记录等入场申请材料初步建立电子记录。第三方人员入场后，其日常工作轨迹（上下班、工作区

194、进出等记录）、工作绩效、培训记录、账号权限、异常操作行为与违规行为都将形成电子记录，可以据此对其进行管控。第三方人员离场后，离场申请表、工作交接、离场审计、账号权限注销等将被记录，其所有事前事中事后记录将进行存档，存储期限至少为半年。6.第三方人员红黄绿区管理针对第三方人员设立红黄绿区，其中绿区为公共办公区域，黄区为绝大部分重要办公区域，红区为包括数据安全开发实验室在内的核心区域。所有通过入场审核的第三方人员将自动拥有绿区访问权限；进入黄区的第三方人员，应通过黄区权限审核，通过后可访问绝大部分办公区域；进入红区的第三方人员，必须通过严格的权限审核，原则上临时来访的第三方人员不应开通红区权限。图

195、图 3.3.第三方人员红黄绿区管理图第三方人员红黄绿区管理图（三）安全技术通过终端管控、可信网关、虚拟桌面和 AI 视觉检测系统以及统一管控平台，实现对用户访问的统一安全接入及动态权限管理，以及对身份、终端、应用系统的安全可信认证，与 AI 视觉检测系统联动，对第三方人员进行事中管理。图图 4.4.第三方人员安全管控技术思维导图第三方人员安全管控技术思维导图1.访问控制针对第三方人员物理活动范围划定了红黄绿区。红区数据安全开发实验室采用 AI 智慧视觉与电子门禁对第三方人员物理访问范围进行控制，并对第三方人员访问记录及异常行为进行监控。如 AI 视觉检测系统具备实验室进出人员黑白名单库，可以通

196、过 AI 人脸相机抓拍室内人员人脸进行视图库比对，智能分析人员行为，并转化为报警联动和记录报表。第九章第九章 第三方人员管理场景第三方人员管理场景62图图 5.5.第三方人员访问及终端控制示例图第三方人员访问及终端控制示例图2.终端控制针对第三方人员终端，采用终端管控软件、终端信息记录、虚拟桌面等方式进行控制。具体地，对于黄区、绿区，若不涉及敏感数据，可以采用安装终端管控软件、完成终端信息记录的普通终端的方式进行管控；对于访问红区或访问黄区敏感数据的第三方人员，要求其使用虚拟桌面，并通过视频流方式进行访问，以防止数据流入个人终端。这些措施是为了保护机构内部的敏感业务数据，以及预防可能出现的安全

197、威胁和风险。3.行为审计通过运维审计系统、数据平台、数据库审计等关键系统进行第三方人员操作行为记录与审计，针对敏感数据的操作均通过数据安全防护系统、应用网关系统代理端口进行，并对所有第三方人员操作行为做好日志审计管理。图图 6.6.数据平台操作日志记录图数据平台操作日志记录图（四）第三方人员安全等级评价探索与省局合作，深化探索 IRS 系统中的 ISV 管理功能，并增加部门 ISV 人员名册管理、ISV 人员安全管理评价等功能，实现对第三方人员在项目全生命周期中的监管，特别是在出现重大安全事件时，做好对第三方人员的信息留痕。四、应用成效本方案从时间（参与项目的事前、事中、事后）和空间（参与项目

198、开发的物理环境）两个维度，采用安全技术、安全管理、安全等级评价等方式对第三方人员开展数据安全管控。安全管理方面，目前已完成红黄绿区划分，实现按区权限管控，已收集保密协议 30 份，离场申请表 3 份，已对现有 27 名第三方人员进行安全管控和全流程电子存档，实现 100%覆盖。安全技术层面，一周内数据库防护系统记录行为日志约 10.3 万条，数据库审计系统记录日志约 12.1 万条，拦截高危操作 42 次，人员安全风险隐患显著降低，数据安全水平得到提升。整体来看，本方案既有软性管理又有硬性措施，采用了更多元的手段对第三方人员进行安全有序管理，成本可控、务实管用，易形成可复制可借鉴可推广的试点经

199、验。第九章第九章 第三方人员管理场景第三方人员管理场景6326 第三方人员管理一、场景描述“第三方人员管理”场景主要基于“零信任”理念，以“进不来”“拿不走”的安全要求为核心，从“身份、设备、应用、数据、制度”五个维度构建纵深防御体系，以加强对某区“第三方人员”的安全管理与审计，强化业务访问与运维开发等场景的安全保障。二、风险分析为贯彻落实习近平总书记“以数字化改革助推政府职能转变”的重要论述，全方位推进某区数字化改革进程，有力促进一体化智能化公共数据平台各项考核指标提升，本方案依据省市相关文件指导意见，从集约化运维，高性能计算，安全可靠的角度出发，建设（测试）“零信任”安全实验室。该方案的特

200、点如下：（1）满足人员随时随地安全接入，实现办公业务处置，提高办公效率。（2）加固网络数据安全，防范网络入侵攻击与病毒感染，保证终端访问业务数据时不会发生数据泄露，且能够对数据交互进行审计，在确保高效办公的同时，保障网络和数据安全。（3）方案建设采用业界主流的云计算、信息安全、零信任、人工智能等先进技术，并与网络规划结合，确保先进的技术、模式能够有效应用。三、解决方案（一）建设思路集成统一管理、安全、接入、监控与审计等手段，实现对人员的出入场闭环管理，重点管理数据使用与账号权限控制等重要行为。基于用户身份、终端环境、运维行为、数据管控、设备状态等因素进行访问权限控制。采用以人为中心的动态安全架

201、构，通过全场景的应用授权及管控，在保障运维人员在任何设备和任何位置下便捷访问的同时，确保应用和数据安全。同时，可以基于访问者身份进行细粒度授权和管控，监测上下文状态并进行动态策略调整，防止数据泄露。图图 1.1.某区某区“第三方人员管理第三方人员管理”全流程业务访问图全流程业务访问图图图 2 2.某区某区“第三方人员管理第三方人员管理”技术架构图技术架构图云桌面安全涉及三部分内容，接入终端安全、桌面控制器安全、服务器安全：（1）为保护用户投资，可利用旧有终端设备进行桌面接入，并提前做接入可行性测试，保障接入效果。（2）虚拟桌面控制器主要负责账号及资源管理、用户认证。（3）建设信创服务器资源，开

202、展资源虚拟化承载终端效果测试，基于实际测试使用效果匹配终端资源，支撑“拿不走”安全要求。第九章第九章 第三方人员管理场景第三方人员管理场景641.零信任接入认证基于零信任理念架构，以数据安全为核心，打破传统的基于边界的防御体系，从“身份、设备、应用、数据、制度”五个维度构建纵深防御体系。安全代理网关支持 HTTPS 代理访问和 SSL 隧道代理访问。控制中心和安全代理网关均使用 SPA 单包授权技术对设备本身的服务进行隐身保护，能做好单位内部和第三方人员的授权访问，确保权限最小化分配，避免横向越权，实现应用数据安全访问、接口数据授权访问与核心数据隔离访问，支撑“进不来”安全要求。图图 3.3.

203、某区某区“第三方人员管理第三方人员管理”云桌面整体架构图云桌面整体架构图2.云桌面安全管理从网端控制到云桌面防护，全方位保障安全，支撑“拿不走”安全要求。具体而言，网端控制方面通过零信任接入、动态策略访问方式，采用了零信任联动登录、零信任安全策略联动、多因子认证、基于用户的分布式防火墙、基于环境感知的访问策略、基于需求的临时策略、零信任访问权限联动等技术手段。云间防护通过数据流转安全、云平台内建等安全方式，采用了事前可预防、事中可封堵、事后可溯源、病毒向导化处置和封锁、漏洞实时检测和隔离、东西向（服务器之间）流量安全隔离和内置 WAF 墙防护等技术手段。云桌面整体架构如图 4 所示。3.账号特

204、权管理账号特权管理平台作为账号风险检测工具，能提供持续的账号发现与风险分析能力，可以发现弱口令、长期未登录账号（僵尸账号、幽灵账号）、新增账号、长期未改密账号、权限变更账号等高风险账号及其分布情况，并通过账号监控大屏和账号风险态势大屏进行可视化的展示，安全人员可以及时通知相关责任部门进行风险治理。通过账号访问管理平台（运维审计与风险控制系统）与“零信任”安全接入网关进行对接，通过账号管理、身份认证、资源授权、实时监控、操作还原、自定义策略、日志服务等操作进一步增强审计信息的安全性规范，将原第三方人员管理的能力进一步在云桌面上延伸体现。图图 4.4.某区某区“第三方人员管理第三方人员管理”特权访

205、问架构特权访问架构第九章第九章 第三方人员管理场景第三方人员管理场景654.日志审计通过云桌面内置的行为风险管理系统和堡垒机对终端进行审计监控，以发现来自内部的威胁和风险，实现操作行为全面记录、操作行为风险监控、操作行为审计和追溯，以及工作状态监控。图图 5.5.某区某区“第三方人员管理第三方人员管理”行为审计管理系统行为审计管理系统-主页信息主页信息5.建立第三方人员管理制度通过制度建设，进一步规范对第三方人员在服务期间的管理和监督，消除安全隐患，明确第三方服务人员的定义及风险，包括进场管理、日常管理、离场管理、考核管理及违规处罚等，通过签订保密协议、服务安全协议等手段，强化开发运维场景的安

206、全保障。（二）应用场景终端访问业务数据前，首先通过加密通道接入“零信任”安全平台。各类终端必须通过虚拟桌面程序接入安全平台，才能进一步访问区电子政务网。办公安全接入：通过构建统一的安全平台，可适配各类接入终端、各种接入环境和各种办公场景，达到随时随地安全接入的效果。安全接入要求在进行终端身份验证后才能连接，通过前置安全代理网关，能强制所有访问都必须经过认证、授权和加密，保护后端业务系统的安全。1.开发人员通过零信任和云桌面等系统为开发人员提供逻辑强隔离开发环境，确保开发安全、数据不落地、USB 黑白名单、文档导出审计，全方位保证开发环境数据安全。2.运维人员通过零信任和云桌面等系统为运维人员提

207、供独立的运维空间接入环境，通过统一管理终端权限分配、屏幕水印、录屏审计，全面保障运维人员安全管理等手段，实现“安全运维”。四、方案优越性通过“第三方人员管理”建设，运用“零信任”等新技术，系统提升某区数据安全防护能力与整体安全性，保障数据不丢失，业务无风险；实现任意时间、任意地点、任意设备的安全办公接入，并在认证和连接速度，以及访问时延等性能指标上取得大幅提升。五、预期成效通过“第三方人员管理”建设，系统化提升某区数据安全防护能力，在全面满足等级保护及第三方运维监管合规要求的前提下，具备对新型病毒、木马等外部攻击入侵以及数据窃取、权限管控不力、异常访问等内部威胁行为的防御、发现、追溯与处置能力

208、，提升整体安全性，保障数据不丢失，业务无风险。聚焦内外部环境数据访问管理，提升应用开发、数据运维、接口及批量数据使用等场景的细粒度权限管控能力，做好单位内部和第三方人员的授权访问，确保权限最小化分配，避免横向越权，实现应用数据安全访问、接口数据授权访问、核心数据隔离访问。通过云桌面实现数据不落地的业务安全访问，将云桌面服务器部署在政务网内，基于零信任理念实施人员身份接入认证，动态管控人员权限。基于登录环境、登录时间等因素做动态权限收缩，保障业务访问安全，最大程度减少业务数据暴露面。在经过身份及终端安全认证匹配后，接入虚拟云桌面环境，基于云桌面访问业务系统，通过数据不落地、水印等数据防泄露机制实

209、现远程办公数据防泄密的问题。第第十十章章密码应用场景第十章第十章 密码应用场景密码应用场景6727 密态数据流通解决方案一、场景描述此解决方案旨在解决政务数据安全场景建设需求。随着数据体量越来越大、业务架构更加开放、数据流动环境更加复杂、访问行为更加多元、合规性要求越来越严，传统以“边界防护”为理念的解决方案已经不能适应高复杂环境的安全要求。该方案聚焦“策略定义”，通过对访问人员、访问权限、数据类型、流动环境、风险行为等的梳理，形成数据流动地图。用户以梳理结果为基础来制定和下发安全访问策略，策略由平台安全工具具体执行和监控，形成识别保护监控安全闭环，用户无需关注底层具体执行工具及执行逻辑和技术

210、细节，只需聚焦“策略定义”便可对“业务访问、生产运维、大数据分析、开发测试、数据出入境、数据联合查询”等各类场景进行管理。平台采用容器化部署方式，全局透明，无需改造，具备高安全、高可用、无改造的特点，在保障安全的同时不改变用户使用习惯、大幅降低改造成本，以“一套安全策略”的管理方式大幅降低用户的安全管理成本。二、风险分析（一）高权限账号违规风险DBA 高权限账号、驻场运维人员高权限账号与 BI 分析账号可以通过客户端直连数据库，访问权限大，存在违规操作、误操作等高危风险行为。（二）账号混用、借用、滥用风险应用账号与数据库账户仅能对用户和角色鉴权，实际使用人员属性无法识别，导致存在低权限人员违规

211、使用高权限账号进行越权操作风险。（三）账号盗用风险外部攻击者盗用合法账户对数据进行风险操作的行为无法识别。（四）数据明文访问、明文使用、明文存储风险传统防护手段通过防火墙、WAF、堡垒机鉴权后仍然访问的是明文数据，数据泄露、篡改风险仍然存在。绕过安全防线对明文发起拖库行为风险极大，数据明文流向各类场景存在明显高危泄露风险。（五）数据链路复杂难以完整溯源数据能在生产环境、准生产环境（大数据平台）、隔离环境（开发测试）、合作多方环境（数据共享、交易）、跨境环境、多云和混合云等环境下流动，流动链路十分复杂，完整溯源十分困难。（六）安全管理无闭环，难以验证安全实际落地成效因为无法穿透到个人、数据链路与

212、数据内容，导致无法可视化安全落地效果，难以验证安全落地实际成效。三、解决方案（一）实现数据资产清单本方案对各类数据存储环境进行扫描，统一对接各数据来源，获取解析数据对象并构建输出数据源资产清单和数据对象结构树。它能从数据源管理模块中获取数据对象，解析识别其结构，进而获取其内容，由内置敏感类型分析引擎完成数据内容特征识别与判定，设置敏感数据类型标签，并依据数据源资产清单，构建形成敏感数据资产清单。（二）形成数据分类分级结果通过自动化分析+人工标记或者引入外部清单的方式，给数据资产添加分类分级标签。（三）设置访问策略基于自动识别构建的数据源清单、数据对象结构树和敏感数据资产清单，对对象类别、数据对

213、象、敏感类型、操作类型、访问频率、操作时间、影响范围与影响程度等因素快速进行精细化的权限配置管理，且支持设定全局模板或方案，实现高效复用和统一管理，同时对接企业原有审批流程和系统。（四）施加安全控制措施运用数据安全访问控制系统、数据安全脱敏系统、数据存储加密系统、应用访问网关以及数据联合查询系统在各场景访问链路节点中设置“卡点”进行安全控制。第十章第十章 密码应用场景密码应用场景68（五）运用监控1.流向追溯:定义数据追踪对象和溯源级别，启动和存证数据流动状态。2.授权优化:通过技术手段监测访问策略和实际用数之间的最小化授权匹配度优化访问控制策略。存储加密系统具备数据落地加密存储安全能力，能降

214、低监管平台在数据汇聚存储环节的安全风险；动态数据脱敏系统具备实时数据访问安全控制能力，能降低监管平台对外为数据查询、数据分析、数据建模、监管报送等场景提供实时数据服务时的安全风险；静态数据脱敏系统具备离线数据敏捷使用安全供给能力，能降低监管平台为开发测试、外部合作等场景提供数据外发服务时的安全风险；秘钥管理系统及其他安全辅助系统，为数据的存储加密、动态脱敏和静态脱敏提供安全能力支撑，有助于共同实现密态数据流通基础安全架构的落地建设。图图 1.1.数据安全管控平台架构图数据安全管控平台架构图四、应用成效（一）数据存储加密数据存储加密系统能实现与多云平台环境中各种来源数据的对接，并在海量数据落地时

215、进行高效存储加密，具备敏感数据管理、高效安全加密、灵活 ETL 数据通道管控等核心安全能力和数据源管理、自定义秘钥管理系统对接等重要安全能力。（二）数据安全访问网关数据安全访问网关系统为数据实时访问场景提供事前审核、事中防护和事后审计全过程安全保护，具备敏感数据管理、安全访问控制、动态去标识化高仿真脱敏和行为审计，与 AI 风险识别等能力。数据源管理组件能对接各数据库、获取对象结构信息，输出数据源与数据对象结构清单；敏感数据管理组件能获取对象数据内容并智能识别其隐私类型等数据特征，输出敏感数据资产清单；安全访问控制组件能统一管理用户身份、访问权限及安全策略执行等；去标识化/匿名化高仿真脱敏组件

216、能实现明文数据去标识化/匿名化高仿真脱敏和密文数据先解密再标识化/匿名化高仿真脱敏，满足不同权限下敏感数据的查看需求；行为审计与 AI 风险识别组件能完成用户访问行为全程审计；最后，实时访问通道集成了各个组件，能对外提供统一的数据实时访问服务，发挥事前审核、事中防护和事后审计全过程完整安全能力。第十章第十章 密码应用场景密码应用场景69图图 2.2.存储加密示意图存储加密示意图图图 3.3.系统架构与整体处理流程图系统架构与整体处理流程图（三）数据安全脱敏针对上述数据离线使用场景中存在的安全、效率、流程等方面的问题，监管平台静态数据脱敏系统集合了数据源管理、敏感数据管理、匿名化高仿真算法、异构

217、转换管理、ETL 数据通道等相关安全基础组件，能为用户提供安全、合规、高效、灵活的数据使用服务，同时可与副本管理、实时同步等系统协同构建组合方案，从而解决存储备份、匿名化脱敏使用与敏捷化副本数据管理等整体管理问题。图图 4.4.数据安全脱敏系统整体处理流程图数据安全脱敏系统整体处理流程图表表 1.1.密钥算法一览表密钥算法一览表加密算法加密算法国密国密国际常用国际常用对称SM4DES、3DES、AES 等非对称/公钥SM2RSA 等密码杂凑/散列SM3MD5、SHA-1、SHA-2 等另一方面，该系统能为数据存储加密、动态脱敏、静态脱敏等其他安全产品提供分布式、高性能的数据加解密服务，并提供算

218、法秘钥相关基本信息、描述、使用方法等查询接口，供其他密态流通系统查询、配置和调用。同时，秘钥管理系统加解密可作为独立服务，帮助其他仅具备生成维护功能的秘钥系统发挥完整的安全管理能力。第十章第十章 密码应用场景密码应用场景7028 保护数字社会系统中的数据安全：商用密码技术的实践与应用一、场景描述数字社会系统是围绕人的全生命周期服务需求，以提升群众对公共服务满意度和政府治理科学性为出发点，突出“服务治理”双功能的数字社会综合应用系统。该系统同时面向机关工作人员，可提供通过数字社会系统的门户链接，以及人口、住房、教育、文旅、就业、交通、保障、医疗、未来社区等领域数字社会应用。数字社会系统涉及的重要

219、业务数据包括治理端和应用端的主体人员的姓名、手机号、身份证号、积分数值等，另外，本系统所涉及的重要审计日志数据也是重点数据安全保护对象。该系统部署于电子政务云平台，使用云平台提供的云计算资源实现应用支撑，通过云平台所提供的安全服务为该系统提供基础的安全防护。数据安全保护方面，该系统应用了商用密码技术，在网络和通信安全与应用和数据安全层面进行了数据重点安全保护，其中的密码技术在数据安全保护方面发挥了可靠、经济、有效的作用。二、风险分析数字社会系统治理端综合门户由云平台提供的安全服务为该系统提供基础的安全防护，但在网络与应用层面该系统还存在以下风险：（一）身份鉴别正确性保障终端访问堡垒机的运维通道

220、身份鉴别证书时，一般使用的算法均为国际算法，不符合国家有关规定。此外，证书及其私钥通常存储在堡垒机中，而堡垒机的密钥管理也存在一定的不合规风险。（二）通信数据与访问控制信息完整性保障通过 PC 浏览器访问数字社会治理端综合门户系统，以及通过手机客户端访问子系统数字化应用，未使用国密的密码算法对通信双方进行身份鉴别和通信数据的机密性、完整性保护，存在通信数据在信息系统外部被非授权方截取、篡改的风险。（三）重要信息传输与存储机密性保障该系统的身份鉴别数据（账号、口令）、业务数据（姓名、手机号码、身份证号码）等重要数据未采用密码技术保证传输与存储过程中的机密性保护。这种做法可能会导致数据泄露和信息安

221、全问题。在系统设计中，应采用合适的密码技术来保护敏感数据，以确保数据的机密性和安全性。（四）网络边界访问控制信息完整性保障运维通道、业务通道的数据将通过边界防火墙，防火墙的设备配置信息、安全策略、资源访问控制列表等未使用密码技术对信息的边界访问控制策略进行完整性保护。网络边界访问控制信息被破坏可能导致无法确保接入人员身份的真实性。三、解决方案该系统的整体部署架构及网络安全防护拓扑图如图 1 所示。针对上述风险分析，数字社会系统通过 SSL VPN构建运维管理通道，通过子系统构建国密访问通道（如图 2、图 3 所示）；系统运维需要运维人员插入智能密码钥匙（USBKey,基于 SM2 算法）进行身

222、份鉴别，通过SSL VPN 构建加密隧道后，再对服务器、数据库等设备进行运维。实现对系统管理员的身份鉴别和身份鉴别信息传输的机密性保护，防止非授权人员登录、管理员远程登录身份鉴别信息被非授权窃取。图图 1.1.整体部署架构及网络安全防护拓扑图整体部署架构及网络安全防护拓扑图第十章第十章 密码应用场景密码应用场景71图图 2.2.社会治理门户与公共服务子系统商密应用工作流程图社会治理门户与公共服务子系统商密应用工作流程图图图 3.3.子系统商密应用工作流程图子系统商密应用工作流程图应用系统的访问控制信息、重要业务数据和审计日志数据调用某市密码服务平台的加密服务接口，需进行机密性或者完整性防护，措

223、施如下：（一）数字社会治理端门户、公共服务子系统的访问控制权限表和系统日志信息采用 HMAC-SM3 计算，进行完整性防护。（二）子系统的重要业务数据（姓名、身份证号码、手机号）采用 SM4 加密计算后存储在服务器中，采用HMAC-SM3 计算，进行完整性防护。（三）对称密钥体系基于 SM4 对称密码技术实现；非对称密钥体系基于 PKI 技术实现，包括 CA 公钥及 Web站点密钥对；散列密钥体系基于 HMAC-SM3 密码技术实现。四、应用成效通过使用商用密码技术对数字社会系统进行改造后，提高该系统在网络和通信安全、设备和计算安全、应用和数据安全层面的密码应用防护水平；同时，商用密码的合规、

224、正确、有效使用，保障了数字社会系统的网络访问与业务重要数据保护，最终使密码技术在该系统的数据安全保护方面发挥了可靠、经济、有效的作用。第第十十一章一章综合场景第十一章第十一章 综合场景综合场景7329 数据多节点泄露发现方案一、场景描述区县级公共数据平台拥有大量数据资产，分布于本地机房、政务云主机以及区一体化智能化公共数据平台、三级数据仓、城市大脑平台及各部门应用系统中。当前随着公共数据不断积累，各类数据不断深化利用，每天有大量的数据访问、共享、流转，公共数据分布于各种节点环节，有多重人员角色（所有者、开发人员、运维人员、共享人员等）接触和使用数据，从管理的角度很难全盘掌控数据泄露，数据存在较

225、大的安全风险。二、风险分析根据当前公共数据的来源、分布与数据访问特点，主要数据泄露风险节点包括：数据承载节点、数据交换节点（以 API 接口为主）、互联网出口边界、政务网边界、终端节点。具体数据泄露风险包括：（一）外部攻击窃取风险：外部人员通过网络攻击、非法接入等方法恶意攻击、破坏和窃取数据资源。（二）内部人员泄露风险：包括内部合法人员误操作导致数据泄露；内部人员非授权下载、获取数据资源。（三）数据权限失控：访问权限失控与防护能力失效导致数据资源暴露引发的泄露风险。三、解决方案区县公共数据主要的数据流向节点如图 1，数据泄露本质上会体现出与正常数据访问流转不同的模式，包括访问设备异常、访问账号

226、异常、登录行为周期异常、登录源异常、访问行为模式变化（如批量下载）等，通过在全网范围内多节点采集流量/安全设备日志/终端审计日志，经过安全大数据策略建模，有助于分析所有模式的异常，从而发现数据泄露风险（行为）。具体可结合安全日志、行为日志等数据，基于大数据、知识图谱、行为画像等技术，建立精准的数据泄露关联检测分析模型，及时准确发现各个节点数据泄露的风险，提升公共数据安全能力。具体数据采集、治理、建模、关联分析、处置流程如图 2 所示。图图 1.1.公共数据流转示意图公共数据流转示意图图图 2.2.数据多节点泄露发现流程图数据多节点泄露发现流程图第十一章第十一章 综合场景综合场景74主要任务如下

227、：（一）构建数据安全分析平台基于大数据、流计算技术构建安全大脑分析平台，如图 3 所示。（二）基础安全数据采集采集互联网边界网络访问数据、政务网边界网络访问数据、上网行为管理系统数据、态势感知系统数据、APT 系统数据、蜜罐系统数据、堡垒机日志、数据库审计系统日志、公共数据平台数据操作日志、数据库防火墙日志、数据库堡垒机日志、网络 DLP 数据、终端安全管理日志（准入系统、防病毒系统、EDR 系统）及其他各种安全设备日志、应用系统日志及资产类型/地理位置等数据，深度清洗、融合、归一。图图 3.3.安全大数据分析平台架构图安全大数据分析平台架构图（三）数据多节点泄露建模通过在全网范围内多节点采集

228、流量/安全设备日志，经过安全大数据策略建模，以三种方式去识别多节点数据泄露行为，后期可逐步完善场景模型：1.关键场景建模与关联分析通过全网安全数据日志进行安全策略模型建模，识别关键威胁场景与数据流动场景，进行实时关联分析，捕捉数据泄露行为。威胁场景的识别，可采用若干安全算子构造多维特征去识别，比如：某个 IP 持续性发动高危攻击、某个 IP 某短时期慢速拖数据、某个 IP 近 7 天出现恶意流量突然出现突然消失等。说明：通过对各种安全设备输出的安全攻击行为日志、防火墙等输出网络访问日志进行安全策略建模分析，识别关键的安全威胁场景与数据流动相关的行为特征，经过实时关联分析，如果一个 IP 地址同

229、时满足上述两种特征，那说明存在数据泄露行为。图图 4.4.数据泄露场景建模与关联分析示意图数据泄露场景建模与关联分析示意图2.突发式数据波动异常行为模式通过趋势算法，识别数据量一开始低量、突发爆量等情况，配合滑动创建，就可以提炼若干这种威胁特征，如短期内流量突增、短期内发送多个不同文件等，用于流量异常波动场景策略建模。3.历史行为基线对比异常行为模式通过历史行为基线算法，识别当下的数据波动量与过去同时段对比，配合滑动创建，就可以提炼若干这种威胁特征，如短期内发送的流量总量与过去 3 个月历史行为基线差异过大（3 倍以上），向过去 3 个月内从未访问过的地址发送数据等用于流量波动与过去同时段不同

230、的异常行为特征进行策略建模。第十一章第十一章 综合场景综合场景75图图 5.5.异常流量波动建模逻辑示意图异常流量波动建模逻辑示意图横坐标：事件发生时间纵坐标：事件出现次数图图 6 6.异常行为历史基线建模逻辑示意图异常行为历史基线建模逻辑示意图横坐标：事件发生时间纵坐标：事件出现次数（四）安全威胁关联分析通过安全场景与情景关联分析，构建全过程、全路径、高感知的异常行为“透明镜像”，从而有效地分析发现各种数据泄露行为，从多种视角去感知、探究全网安全风险（包含数据泄露风险），包括攻击源、目标资产、账号、域名等视角。基于完整风险数据，自动展现、关联、计算每一个事件主体在各种安全场景下的风险状况，以

231、事件发生的先后顺序展现。为闭环处置决策提供有效可靠的依据。（五）自动化联动处置为提高多节点数据泄露场景处置效率，依托平台安全编排自动化与响应能力实现自动化、半自动化处置。从人工处置到安全编排与自动化响应须经历处置标准化、自动化、场景化、状态化等阶段，让处置更加精准，最终提升管理的效率。即在什么样的场景，将事件主体在哪个控制点拦截多长时间。（六）效果初步展示1定位数据泄露节点图图 7.7.数据泄露节点定位示意图数据泄露节点定位示意图2.关联分析效果图图 8.8.关联分析过程示意图关联分析过程示意图四、应用成效（一）整合完整的安全数据依托多种采集方式汇集各类设备数据，打破不同品牌安全设备=之间的壁垒，将所需安全数据进行整合。（二）海量数据极速分析处理采用流批一体自主创新数据处理技术，极大地提高海量历史数据的分析处理速度。（三）精准的风险分析研判能力结合关联分析模型提高分析精度，从而避免了传统网络设备海量告警和误报多的问题。（四）赋能安全设备依托平台综合分析能力和安全编排自动化及响应能力，联动不同品牌的安全设备自动化处置，为安全设备分析处置赋能。