杭州市数据资源管理局：2024数据安全典型场景案例集

数据安全典型场景案例集 杭州高新区(滨江)大数据治理中心全知科技(杭州)有限责任公司星环信息科技(上海)股份有限公司Ⅲ随着以数据为关键要素的数字经济的蓬勃发展，数据已经逐渐成为基础性、战略性、先导性资源，对社会发展、国家治理产生着革命性影响。如今，数字中国建设已成为国家发展战略的重要组成部分，保障数据安全、促进数字经济发展是事关人民福祉、社会稳定和国家安全的重大问题。《中华人民共和国数据安全法》的出台和实施预示着我国数据安全管理工作步入全新的法制化阶段。在此背景下，数据安全不仅各政府部门、企事业单位、行业机构等多元主体，在实践运作中亟需建立和完善全面的数据安全治理体系，持续提升数据安全保障能力和管理水平。先进的数据管理体系通常涵盖数据共享、互联互通、开放 1 2 5 7 8 4接口使用安全 8针对API共享接口的精细化风险监测实践 20 29基于零信任的政务外网安全接入平台 23 25 27 13基于云沙箱的数据隔离访问方案 34 4017数据交换场景中的API多重监管交叉审计 41 43 第七章安全风险监测场景 48 5 24数字操作间系统 26第三方人员管理 28保护数字社会系统中的数据安全：商用密码技术的实践与应用 70第十一章综合场景 73V21基于AI识别的数据资产管理系统建设痛点主要包括如下四个方面：1.组织机构尚不具备数据分2.可用数据分类分级3.内容识别技术准确度低类分级能力信息滞后当前的内容识别技术一方面监测能力组织机构对数据资产的规模、组织机构掌握的可用需要大量的人工干预，另一分级结果。这会导致制定的否存在违规访问、是否数据资产的真实情况，数据安全保护策略不合理，有系统漏洞等情况不了解，导致数据安全工作(一)数据安全分类分级服务数据分类分级工作流程包含分数据分类分级工作流程包含分类分级方案预研、分类分级方案确分类分级方案预研主要包含预i·nnsrnii.识和安全策略规划工作。图1.数据分类分级工作流程图(二)数据安全资产管理系统31.系统概述通过对全域数据扫描和深度挖掘，对组织内的数据资产(例如数据源、数据表、字段、文档等)进行梳理，绘制数据地图，建立数据资产台账，帮助用户摸清数据资产家底，直观呈现核心数据资产的分布、状态、使用、流转等详细信息。同时，数据安全资产管理系统能够利用Ai算法、机器学习等技术，结合数据特征、元数据等信息，发现和定位敏感数据资产，并基于法律法规和行业标准，自动化完成数据资产的分类分级，为企业或组织构建数据安全运营体系打下坚实的基础。2.产品架构数据安全资产管理系统充分考虑了自身安全性、易操作、易维护等多方面设计要求，采用SOA架构将复杂的业务逻辑、流程控制逻辑和数据存取逻辑通过在不同技术层实现，使得技术实现与平台业务相分离，确保自同时，采用AI技术提升内容识别的准确性与识别工具的实用性和应用范围，支持结构化和非结构化数据。数据分类分级识别中针对诸如通讯记录、征信信息、房产信息等较难通过规则配置实现自动识别打标的数据，通过个性化建模方式构建模糊规则集实现数据智能打标。标签推荐技术实践中，主要采用经验知识与事实知识结合的理念。经验知识即标签信息可能包含的语料库或描述，如既往病史、住院记录等关键词汇；事实知识即实际的数据样本，通过多种模型的关联构建。通过机器学习技术，对待打标的数据进行预处理，如中文分词、关键词提取、词向量转换等，并利用TF-IDF算法进行关键词提取并结合word2vec算法进行词向量转换，最后计算待预测数据与每种标签对应数据的相似度得分，并依据该得分进行标签推荐。图4.标签推荐功能展示(演示环境系统截图)4(三)与现有数据安全产品联动(四)根据分类分级结果，自动监测敏感数据的流动和访问情况，在风险识别模型的基础上，采用A技术提升风险识别能力(五)支持广泛的数据源类型本方案包括但不限于支持0racle、SQLServer、MySQL、D源大数据存储组件，华三、华为等国内主流大数据平台的数据资产识别。支持对常见非结构化数据资产识别，(六)统计报表自动化生成大数据平台的建设列为新时代信息化建设的重要工作。大数据平台汇聚了各行业的重要数据，对国计民生和社会安定至关重要。随着大数据技术持续快速发展，机构的数据安全能力面临着越来越高的要求，但机构普遍存在安全人员短缺、数据安全防护“孤岛”化的问题，这严重阻碍了大数据技术发挥价值。因此，数据资产管理系统作为大数据平台安全保障体系的重要组成部分，将对大数据平台的数据安全防护方案发挥积极作用，成为某地建设的数据资产管理系统采用政务行业的数据识别规则模板和AI技术，对404张表共计11097个数据字段进行梳理，识别的自动化程度达到96%,极大地降低了人力成本。数据资产管理系统采用独有的数据安全保障架构，数据资产的梳理、展现通过数据目录和数据映像等方式进行，数据资产管理系统自身不存储、不截留用户的真实业务数据，敏感数据样例展现也采用遮蔽脱敏方式。同时，数据资产管理系统的关键配置和操作也通过分权和二次授权模式进行限制和控制，确保用户业务数据在全数据和日志进行分析研判，实时监控、预测数据安全风险的变化趋势和偏离预警线的强弱幅度，并从行上述策略在保证安全能力的基础上，既减轻了安全团队压力，又提升了防护效率。数据资产管理系统项目的建设，为数据安全行业提供了一种新的治理模式，超越了只交付产品的方式，提供了具有示范效应的安全防2数据使用安全一敏感数据的精细化管控政务云政务云生产环境56入作3.采用数据防勒索技术，以“识正御邪”理念为指导终止未授权进程访问数据，防止敏感信息文档和核心数据被加密勒索，确保终端上重要文档、服务器文件和数据库备份文件的安全性，同时使业务系统具备带毒生存能力，保障业务的高可用性。防勒索功能示意图如图4:4.提供常态化、持续化的安全巡检、漏洞扫描与现场应急等安全服务，协助运维人员发全问题，确保修复安全漏洞，形成安全闭环，提高平台业务安全对抗2.利用“脱敏数据以假乱真”的功能特点，最大限度地保证脱敏后数据的“真实性”,即依然保持数据特8(一)数据脱敏与数据出域(二)敏感数据泄露(三)数据安全(一)业务流程安全准入管理数漏产品隐私协作监督(二)开发环境安全9开发区生(三)人员认证安全平台支持对授权数据加工处理环节的管理，对数据加工处理人员进行实名认证与备案；通过数据沙箱实现原始数据对数据加工处理人员不可见；通过使用抽样、脱敏后公共数据进行数据产品的模型训练与验证，保证发布代码安全，保证数据(四)数据加工安全主要包括针对政务数据进行数据分级分类管理，对敏感数据(L4级)、较敏感数据(L3级)、低敏感数据(L2级)、不敏感数据(L1级),在公共数据授权运营平台，按照场景建设需要，进行原始政务数据申请。公共数据授权运营平台具备数据分级分类管理功能，按照通过场景认证的申请单，面向开发主体数据咨询、授权运营、数据开发等功能权限。L3(较敏感)对人和产人名曾通成严(五)开发端运营端应用安全公共数据授权运营平台为开发端、运营端提供130多项操作埋点，基于多种协议进行日志采集，实现日志统一采集，集中管理和高效监控。对平台内置风险和安全事件进行行为监控告警，支持通过站内信方式进行发送告警，第一时间通知日志管理相关人员，快速定位并处理，提高预警能力，提升运维效率，降低风(六)合规审计安全全流程上链管控，在数据产生、处理、加工、融合与流转过程中，支持可视化展示数据处理过程、阶段及计算逻辑；平台依托区块链技术对过程进行记录，以实现对公共数据共享交换过程的可追溯，保障数据相关方的权责落实。(七)数据安全网关(一)定性分析(二)定量分析4接口使用安全(二)对接口进行精确安全审计等风险，减少风险现误报情况。同时，系统具备自学习能力，对于处理后的告警误报，将不再被上报告警，据(五)会话回放能力建立(六)制定API接口管理相关规范(一)敏感数据高效发现对敏感数据进行等级划分，依托公共数据分类分级结果，制定敏感数据识别规则，通过规则分析引擎高效且更细粒度地识别接口流量中请求和响应所含的敏感数据，并打上相应数据标识，对接口传输的敏感数据进行分类分级；同时可将敏感数据识别能力赋能到应用请求的安全风险识别，可以在API接口维度保障数据生命周(二)应用接口全盘梳理(三)敏感数据流动画像(四)智能化分析与预警关注用户对关键业务系统、敏感接口、敏感数据的访问行为，利用强大的智能分析引擎，根据用户账号、(五)报表多维合规分析在政务云环境下，可通过在应用服务器上安装流量代理(一)总体思路(二)架构设计该架构示意图如图2所示。响应处置响应处置>API数据泄露渊源API数据安全风险联动处置>API数据动态脱敏>API数据动态脱敏>API攻击防护>应用攻击防护>账号资产植理防护防护风险预防>风险预防>API收击面管理，识别接口胞弱性隐患，提前进行风险闭环>通过API访问权限控制收缩暴露面，提前预防数据泄漏风险基于策略的数据安全风险检测基于UEBA的数据安全风险检测基于数据安全泄露场景的数据泄露风险事件数据安全大脑合作伙伴20只内部用户/系统20只内部用户/系统外部用户/应用(三)功能设计理。基于敏感数据类型，梳理当前对外的接口、接口类型、接口是否涉敏、接口状态等信息，通过API接口聚数据分类分级的标签结果，与API资产中的敏感数据类型自动关联，分类分级标签可以选择指定字段进行数据访问权限控制：本方案能提取各个安全服务产品中的通用规则，构建统一的安全策略中心，支持通过访问应用过滤、自定义规则，以及大量的风险策略，包括用户未授权访问检测、接口越权调用、敏感数据外泄风险3.数据防护为进行解析和监控，并自动分析其中包含的敏感数据。本方案账户信息/电话号码/银行卡号/身份证号码/社会信用代码/护照号码/港澳通行证号码/手机号码/地址等，能够(一)自动梳理、省心便捷(二)实时检测，精准定位某地能源数据中心作为连接政府单位、能源行业、用能企业、社会民众的能源信息互联平台，承担全省能源数据的采集、汇聚、加工与应用，目前已汇聚能源数据570亿条。由于数据交叉互通错综复杂，数据泄露风险日益上升，能源数据中心公共数据的安全保障面临严峻挑战。API是数据最重要的传输方式之一，也因此成为攻击者窃取数据的重点攻击对象，三分之二的数据泄露事件是由不安全的API造成的。拥有上千个API接口，为消除这些接口的安全隐患，提升数据安全防护能力，某地能源数据中心开展能源公共数据API接口安全建设实践，保障能源公共数据安全。(一)能源数据API接口监管风险随着能源业务数字化进程加快，当前能源数据API接口管理面临接口数量庞大、归属部门众多、与外部对接情况错综复杂等问题，API接口安全管理难度日益提升。传统的台账记录式资产管理难以全面、实时掌握API资产，造成部分API接口被隐匿，无法落实API接口安全管控措施，难以开展漏洞与异常行为的监测发现，可能引发重要能源数据泄露风险。(二)能源数据API接口越权使用风险以往的API接口鉴权方式主要是通过验证接口调用方的业务id及密钥传参实现认证。第三方使用同样的业务id及密钥即能访问该数据接口，而无需重新获得授权。这种单一且未真正与调用方身份绑定的鉴权方式，将导致API接口易被越权使用、滥用，在出现安全事件后难以审计溯源到真正的责任方。(三)能源数据API接口恶意攻击风险能源数据中心承载众多业务应用和上千个API接口，这些接口中可能存在着接口未鉴权、水平越权、接口可遍历等安全漏洞，涉及口令认证类、数据暴露类、访问权限类、高危接口类、安全规范类等维度的弱点。这些不安全的API接口会持续扩大应用程序攻击面，让黑客更容易侦察、收集配置信息以及策划网络攻击。进A能源数据API接口安全建设实践解决方案总体架构如图所示，由流量解析、数据处理、核心引擎模块、应用场景和可视化五部分组成。解决方案基于API接口资产管理、内部接口权限管理与对外开放安全防护(二)能源数据API资产管理能力建设能源数据中心通过解析流量自动化梳理所有内外部API,形成全量接口资产清单，并将所有API接口纳入口、敏感数据接口、数据采集接口、文件上传接口、文件下载接口等),梳理并展示API接口的基础信息(如API接口归属业务系统、部门及负责人等)、运行情况(如整体调用情况、敏感数据涉及情况等)、状态信息(包括新增、活跃、失活三种状态),有效支撑API漏洞监测、异常行为发现和API状态追踪。(三)能源数据API接口权限管理能力建设能源数据中心能明确所有API接口的调用方身份，与公司内部应用台账匹配，确定调用方的固定可信IP,(四)能源数据API开放安全防护能力建设量误报。此外，对于发现的风险，联动API网关设备进行阻断，形成数据安全风险闭环管理，防止API数据滥(一)定性分析该地能源数据中心通过本项目方案建设，提升了平台数据安全防护能力，解决了能源公共数据共享安全痛点，加快推进了电力数据与外部数据的融合，实现了大数据应用服务从电力系统内部向全行业、全领域、全链(二)定量分析该地能源数据中心通过本项目方案建设，实现了对重要数据的流转监控、敏感数据的节点监控、数据安全事件的风险监测。监测过程共计扫描数据应用60余个，梳理API接口达千余个，涉及数据570亿条，发现数十个接口存在安全隐患并及时完成整改。本次建设实践大幅提升了中心的接口资产管理水平、接口漏洞隐患发现水平和漏洞阻断水平，预计提高事件处理、隐患排查、数据溯源效率50%以上。能源数据中心通过推动对API接口安全隐患的监测、响应、处置与整改，形成了良性的安全治理循环，为面向全社会开放数据服务提供了重数据安全平台(安全日志统一分析、异常行为智能发现、监测预警闭环处置APl审计报权访间授权访(一)一个日志分析标准基于《DB3301/T0371—2022一体化智能化公共数据平台日志规范》,通过调研API接口共享相关的日志(二)一套预警策略规范(三)迭代数据安全管控平台监管能力通过引入异常行为感知能力，基于全方位多维度的安全数据和UEBA(用户和实体行为分析)技术进行异常分析，结合某市公共数据平台所实际开展的API共享接口业务流程，按照预警策别异常登录、异常调用、违规访问等风险行为，通过工单模块下发至对应责任人进行整改反馈，强化全市风险基于还原各场景下流转的文件能力，支持还原的文件类型2000+,覆盖各行业日常使用文档类型98%以上，识别文件敏感数据准确率高达99%,记录文件收发对象信息，实时监测文件流动风险。为，实时监测API接口共享情况。三是事后溯源，实现安全举一反三：对够在发生泄漏事件后快速定位泄漏源。四是9基于零信任的政务外网安全接入平台电信口曰血血血介血业务专网一(一)零信任标准化架构(二)收敛互联网暴露面(三)持续动态评估控制(四)安全沙箱数据保护(五)远程虚拟浏览器隔离(六)用户异常行为识别公共数据，是指公共管理和服务机构在依法履行公共管理职责或者提供公共服务的过程中产生、处理的数据。公共数据是社会的公共资源，实现其最大限度的开放共享、开发利用，能够为推进国家治理体系和治理能公共数据的流转与运营强依赖于软件系统，在利用政务应用系统面临自身潜在的逻辑漏洞、技术漏洞、第三方或开源成分安全性、运行时恶意攻击等风险与难题。为全面实现安全与政务应用开发建设相同步、相适应，“政务应用上线即安全与免疫防周期，以“安全左移”为核心指导思想，建设完善、规范、智联的政务应测系列工具，对政务应用的开发来源以及安全状态进行分析与优化；提升数字软件整体安全能力，让应用自身二、风险分析政务应用的研发中，存在大量采用外部来源的三方组件或境外开源成分的情况，使得应用自身存在的代码逻辑缺陷以及漏洞被黑客利用攻击成为导致安全事件发生的关键因素，政务应用本体的安全性被迫套上不明、(一)开源软件风险开源软件是构建公共业务信息软件系统的基础，也是安全事件发生的“重灾区”。由于其使用与获取的便利性、应用范围的全球化、许可协议的“国界敏感”等特点，开源软件存在多重安全缺陷，致使软件系统的安(二)自身漏洞风险代码和三方采买的基础组件是政务应用开发的基础形态，其缺陷或逻辑漏洞是导致安全潜在风险的直接根源。在传统的研发模式中，由于高效交付与快速迭代的业务需求，导致安全手段的介入相对滞后，无法应对上(三)在线攻击风险三、解决方案本方案基于上述风险分析，旨在全方位确保政务应用“上线即安全”,8意用户图1.方案架构图(一)构塑开源软件供应链安全(二)保障上线即安全(三)内生自适应免疫防御能力变。并且从理论上构建了一个端(用户/设备/应用)到端(业务系统)的最小访问模型，建立了一个动态的、基(一)终端安全难以管控，病毒泛滥终端归属于业务部门，安全监管部门难以直接管理，许多终端未按要求安装杀毒软件、存在未修复的严重漏洞，以及终端已经失陷却未能及时发现，这些风险终端在接入政务外网时缺乏有效的管控手段，导致政务外(二)违规外联、失陷终端等安全事件难以监管失陷主机向政务外网设备发起攻击，由于源地址被NAT转发后，只能溯源到网关地址，对责任主机或人的追查带来很大困难，导致找不到责任人；同时难以发现业务部门局域网内发生的违规外联行为，由此引发的数(三)政务外网环境复杂，准入手段难以落实(四)政务数据面临泄密风险(一)整体架构思路基于零信任架构，构建政务终端安全体系，针对接入电子政务外网的终端采取基线检查、接入认证、安全防护等模块化管控手段，进行纵深管控，针对访问政务外网业务的终端确保身份可对应、安全可防护、事件可追溯、外联可阻断、权限可控制。通过纵深管控思路，构建安全、易用、易管、稳定的“可信”政务外网终端行为精准审计溯源终端安全防护各委办单位接入终端浙政钉2.0身份体系终端可信指数平台违规外联行为管理政务终端准入终端可信访问体系移动访(二)终端环境检查，确保合规终端才能接入(四)基于实名的终端违规外联监测及阻断(五)终端数据保护(一)终端身份准入可信(二)统一终端入网安全标准，精准溯源(三)全流程终端安全监管12基于芯片级隐私计算的数据共享平台方案据泄露事件频频发生，最终导致跨部门、跨层级、跨区域之间仍然存在“数据壁垒”。期密态流转解决数据信任和隐私保护、溯源等难题。规，充分发挥数据潜在价值。方案具体框架如图所示。艺片记络加(户，应用)图1.方案整体架构图1明文传输2普通TLS加密传输，无法保护密钥1高强度加密传输1明文数据库1芯片级加密数据库使用1尚无通用的使用保护方案1运行态内存加密第五章批量数据共享安全场景(一)数据全生命周期密态文件在芯片级可信执行环境片级隐私计算赋能数据全生命周期(传输、存储、使用)全密态安全，数据可用不可(二)数据可信安全管控如图2所示。理理p04t813基于云沙箱的数据隔离访问方案根据数据流转及共享的要求，新的应用场景涉及研发人员对代码数据的访问，存在第三方、外包人员对内部数据的使用，以及内部运维人员对数据资源的访问等。数据访问人员多且分配权限复杂，导致政务办公业务多方数据使用就意味着数据访问的方式多样化，比如远程访问、驻场访问、跨部门访问等。传统的VPN+堡垒机方式，无法对多样性数据使用全过程进行监管，尤其是数据的下载、打印、复制等流转环节，无法控制权数据管理部门内部的数据资源除了传统数据库，还有大量的云资源服务器、公共数据平台、人员信息文档等，数据使用接入环节复杂，访问不同业务系统还可能需要采取不同的接入和验证方式，除了带来用户体验问为了规范第三方数据开发运维人员的数据安全使用，某区数据管理部门构建了基于云沙箱的数据隔离访问机制，通过应用虚拟化技术将各种数据处理相关应用封装进云沙箱中，应用根据不同数据资源类型选择调用与该数据访问指令对应的协议，实现数据云沙箱与服务器之间的调用；并将该调用过程通过数据流方式映射，实时发送至请求端，确保数据的使用权和所有权分离。方案在不改变用户原有的使用习惯前提下，重塑了数据管终端终端测蓝器访问操作系统审批、审计数据访问安全系统黄器据审计数据库服务器用户访问转申转申数据访问安全系统发请审批通过用户访问14基于隐私计算的省级政务数据开放平台晨景曾惠金融晨景曾惠金融回民生指数应用层服务层数据层0隐私计算0I0组件I0组件I0组件且 政务一体化大数据平台及委办局数据资源公共服务企事业单位数据资源以隐私计算为核心的隐私保护计算系统，基于多方安全计算和可信联邦学习的双引擎设计，旨在保证数据的安全性和模型的精准度。该系统通过多方安全计算技术，实现了业务部门和公共服务事业单位之间的多方安全协同加密计算。此外，政务大数据开放平台和外部使用机构或企业之间的联邦学习建模和联邦预测也采用了“图形化”方式，以实现流程简单、智能和可视化。通过提供安全可信的隐私计算服务，实现大数据中心和业务部门之间、与公共服务企事业单位之间的数据开放融合和安全利用，实现内部数据中台与外部机构、企业间(一)明文数据传输泄露风险(二)数据孤岛(三)数据使用权的滥用(四)大数据量下的计算性能计算可达亿级数据量，并助力数据要素安全流通和价值迸就AUC的值而言，水电信息融合的纵向联邦学习在城市的群租房治理案例中，星环隐私计算平台TranswarpSophonp²c通过纵向联邦学习联合居民用电数据与用水数据，生成群租房预测名单。在联合建模过程中，全程不出明文数据，有效保护了居民用水用电的数联邦学习联合水电信息的训练模型比本地单独用电数据训练的模型AUC提升20%以上，提供10数种分布式识别算法，赋能政务决策高效的处理分析能力。其准确的识别结果显著减少政府部门走访、核查及整治群租现(一)数据共享难(二)个人隐私数据保护难spo#操作域服务器并图1.AiLand数据安全岛平台架构图(一)可信执行环境环境架构图如下：隐私计算过程隐私计算过程安全岛隐私计算中台参与方可信执行环境结果方键数据计算任务创建可信执行环境BDTee,从而执行空(一)多方安全计算AiLand数据安全岛平台采用的密文计算方案主要是基于秘密分享、匿踪查询与隐私求交的多秘密分享的思想是将秘密以适当PSI协议由两方组成，即数据提供方PSI协议由两方组成，即发送方和的方式拆分，拆分后的每一个份额由不和数据获益方。数据提供者开放数秘密信息，只有若干个参与者协作才能数据获取方只能查询到输入的字段有关的计算交集X∩Y。请求方只能学习到Xn恢复秘密消息。该技术通过拆分原始数数据，其他数据对他们不可见，而数据提Y,学习不到X\Y;被请求据，将秘密分散到一群参与者中，能有供方不知道数据查询方查询了哪些数据。习不到任何其他信息。通过应用PSI技效地防止系统外敌人的攻击和系统内通过应用PSI技术，安全岛平台能在不泄术，安全岛平台实现了多个数计算可支持加减乘除及多项式运算。的信息的功能。某省政数局建设了基于信创硬件的AiLand数据安全岛隐私计算平台，该平台总计覆盖11个地级市下的90个县级行政区，其中包括37个市辖区、20个县级市、32个县与1个自治县，总投入资金2000万，项目实施周期1年。创硬件的AiLand数据安全岛隐私计算平台，精准打造了“普惠金融”产品，设立了7亿元专项“强村产业贷”,等产品，累计授信对接554家，累计授信2.01现农村授信全覆盖。目前辖内有新型农业经营主体2296家，其中信用建档1812家，建档率将近80%。本方案的实施，使某银行更有“底气”,既能多维度了解企业与个人经营和诚信情况，有助于为中小微企业办理无还本续贷、信用贷款、流动资金贷款等业务，又可大大缩减诚信经营、符合条件的企业的审批时间。未来还有望联合某省政策性融资担保基金担保和保险公司增信等的支持，令融资更高效便捷，获得更多优惠利一、场景描述本方案主要是针对某区公共数据平台、业务系统以及区各部门在数据使用侧进行持续动态的监控分析，有效解决公共数据共享调用的可视化和风险预警问题，实现对数据使用侧的持续监管。对可能存在的数据安全风险和漏洞进行及时发现，缩减数据暴露面，对公共数据违规共享、直连共享、二次封装等问题进行有效发现，二、风险分析的业务逻辑和敏感数据，支撑着用户习惯的互动式数字体验，但API的广泛普及也使得攻击面更广，因直达核心数据，每一个API都有可能成为攻击入口，如API疏忽安全管理将遭受巨大的损失。相关法律法规也强调了(一)API资产管理风险随着数字化改革进程加快，当前政务数据API接口遇到业务系统归属部门多，与外部对接错综复杂，导致API接口安全管理虽然有规法全面掌握API资产，不能有效地对API接口资行管理。重要途径，但是相关从业人员却不能及时有效的监测API接口数据传输过程中的安全风险，不清楚业务系统API接口是否应该携带这些敏感数据，其数据处理公共数据通过API接口开放给数据使用者，存在数据使用者或第三方在未获得授权的情况下，把API接口进行二次封装后进行违规使用，甚至给未授权的其他组织使用，在数据提供方无感知的情况下，造成公共数据大规模滥用或者泄露。部门申请批量数据后，由于缺少完善的访问控制机制和法导出数据、使用次数超过授权范围、数据泄露难以追责等安全隐患。本方案在常规数据安全防护手段的基础上进行了升级优化，本方案整体示意图如图1所示，主要分为三个(二)方案平台策略配置—实现接口二次封录录在业务部门(镇街)侧，对于已经部署的应用系统，图5所示。图4.数据使用侧监管方案示意图图5.接口二次封装监管方案示意图监督学习算法像API参数模型、恶意参数多分类模型、API参数关系模型等主动对数据共享API进行攻击学习，识别18数据使用侧统一授权管理与监管供数据使用的态势感知，实时反馈用户使用侧敏感操作与预警。(一)权限管控能力缺乏(二)全方位监管工具单一目前众多单位对异常数据使用情况缺乏预警，迫切需要及时干预，避免数据安全事件发生。(一)搭建数据使用侧的统一授权管理体系流数据库和大数据平台的统一授权管理体系，实现按需申请所需权限，支持数据库、表、字段或数据行级别的查询变更导出7天30天365天库表行敏感列图1.数据使用侧监管实现主流数据库权限管控功能图开发人员身份认证则识别为记录(一)制度落实(二)技术防护(三)安全运维19数据使用侧监管政务数据包含国家的各类统计数据、公民的隐私以及各种重要信息，政务数据的安全保护对于国家和公民来说都至关重要。数据使用侧监管是指在数据被使用的过程中，通过一系列监管措施保障数据的合法性、安全性和可信度，以确保数据的合理、规范和安全使用。在政务领域数字化改革中，数据已经成为政府部门重要资产之一，同时也是隐私保护的重要领域，因此数据安全主管部门需要在数据库侧和接口侧结合制度、防护能力政务数据存在多种安全风险。例如，政务数据可能被黑客攻击、被内部员工泄露、受恶意软件感染等；政务数据在传输过程中可能会被窃听、拦截或者篡改；政务数据在使用过程中可能会被非法访问、篡改或者删除(一)权限控制(1)用户名和密码(2)双因素认证(3)单点登录政务数据的访问可以采用单点登录(SSO)(1)基于角色的访问控制(2)基于策略的访问控制(二)审计监管各业务系统提前适配权限策略服务Q统一认证服务20基于全流量的流动数据风险监测方案(一)接口梳理难(二)数据安全威胁加剧(三)数据安全信息孤岛(一)完整敏感日志记录统一运营平台酸合耗活号都流全链路数据流动安全平台数据资产台账梳理状数词复大数通运维法增身研因子图1.流动数据风险监测系统架构(二)多种行为风险场景(三)数据流动态势感知图2.数据流转态势可视化展示截图图2.数据流转态势可视化展示截图和高风险业务操作等风险行为的精准快速检测和联动处置。公共数据平台采用互联网种发布方式具有不可撤回公共数据的结构不统一，同一张数据表中字段可能包含多种形式数据，其内容可能是半结构化数以上形式的混合。这使得个人信息的识别统计复杂性提高，进而使得个人信息防护的难度上升。此外，由于这些不同形式的数据可能存在混合的终导致个人信息泄露事件频发。门且具有自主性。各个部门在发布数据集时很难监测到这一数据集与其它部门发布的数据的关联性。这种情况增加了开放数据被重新标识的风险，若攻击者利用关联数据分析来还原去标识化的数据，将引起个人信息泄露。台架构如图1所示。(一)洞察数据集风险(二)设计高效个人信息识别算法(三)构建个体信息统计方法本名电话身份证号(1)个体缺射身份证号(2)个体融合去重李明(一)综合监测泄露风险，保障数据安全(二)严密个人信息统计分析，提供数据支撑省、市、区县级一体化智能化公共数据平台，全省一体化数字资源系统(IRS)等基础设施为数据的安全共享提供了良好的基础。数据的共享方式分为“批量数据”和“共享接口”两种。各个部门或应用项目组可以在公共数据共享以后，存在着数据被滥用和泄露的风险。部门或应用在申请数据共享时，需要说明使用共享数据的目的、方式、预估日获取数据量和预估日调用量等信息。如果共享数据的实际使用情况相对申请信息发本案例采用技术手段对共享数据的进一步流转进行监控，了解数据共享之后被访问和使用的情况。当出现存在数据安全风险的异常访问现象时，能够产生告警，从而降低前述的共享数据被滥用或泄露的安全风险，保二、风险分析数据滥用。如果共享数据的实际使用情况与申请时不符，可能会发生共享数据的滥用。具体实例包括：数据获取过多，即实际的日获取数据量或接口日调用量与申请时的预估相比，有较大增加；接口共享数据本地留存，即把采用接口方式获得的共享数据以文件或数据库的形式保存在本地；数据访问模式变化，即应用系统的用户和RDS的运维人员访问共享数据的模式发生变化，如通常在白天访问数据的用户，突然在晚上大量访数据泄露。具体实例包括：数据接口二次封装，即应用系统将共享数据封装为新的接口后，提供给第三方使用；数据外发，即应用系统在访问共享数据后，通过电子邮件、社交软件等方式，将数据外发；数据导出，三、解决方案基于可视化技术的数据访问监管系统对公共数据共享后的使用情在什么时间对哪些共享并能在识别出数据滥用或泄露的安全风险时产构图如图1:取的数据库审计日志进行分析。从用户或数据的维度，以可视化的方式展示共享数据被使用的情况，同时为使用共享数据的用户建立用户画像。当用户对数据的访问行为触发了告警规则或偏离了用户画像时，将产生告警数据访问监管系统的核心技术，已申请发明专利《数据开放安全可视化监管系统、方法及存储介质》,并(一)账号复用风险(二)账号滥用风险使用合法账号进行非授(三)账号失陷风险(四)权限外溢风险账号遭网络攻击或暴对账号权限不做限制或限制粒度不(一)搭建数据安全分析平台如图2所示。(二)基础安全数据采集业务类、情报类等各类与(账号)、(行(三)账号复用滥用建模当某个账号被检测到首次陌常用IP登录、异地登录且较短时间范围内这个账号在另外系统中表现用IP登录，如陌生非常图3.账号混用分析模型(1)如图4,当某个账(2)发生异常创建新账张三本职责使用账号滥用张三非本职使用张三本职责行为模式张三异常行为模式图4.账号滥用分析模型(2)高价值账号(如VPN账号)在非可信地点(如境外地址)发生登录行为，可能已经失陷。(四)账号风险关联分析(五)自动化联动处置为提高账号复用滥用问题治理效率，必须逐步实现自动化、半自动化处置。从人工处置到安全编排与自动化在什么控制点拦截多长时间。比如，检测到某个账号存在违规行为，这个时候是禁用账号还是回收权限，如果是禁(六)效果初步展示图6.账号风险分析过程示例2图5图6.账号风险分析过程示例2图7.账号风险分析过程示例3图8.账号风险分析过程示例4(一)研判智能精准(二)自动化闭环处置备进行账号暂停、账号禁用、阻断连接、地址端口封禁等自动化闭环处置，提升运维处置效率。24数字操作间系统“数字操作间”聚焦于解决基层部门及镇街“数据资产难把控、数据资源难查阅、数据资源难操作、数据资源难贯通、数据安全难管控”五大难点问题。同时“数字操作间”作为基层数据安全运营载体，严格把控平台安全，把数据安全转换为平台安全，依托数据使用监管、数据统一流转、数据脱敏透出、数据权限管理、账二、风险分析(一)基层公共数据、接口使用监管存在盲区当前部门、镇街通过IRS申请数据回流落入对应数据仓后，存在第三方厂商使用各类数据开发工具直连数(二)数据流转依赖线下表格安全风险大(三)数据权限分配未落实最小化原则(四)账号管理缺乏全流程管理三、解决方案(一)系统架构两端两端标号区级数据仓部门数据仓镇街数据仓社区数据仓网络、数据)文化)技术项浙里办浙政钉政策制度体系规政策评价指标)政务云体系数据体系政务内网准规范织保障络安全本地仓(机构业网组体度(三)主要功能介绍数据只能通过数字操作间封装后上架网关共享调??数据查看、申请、使用进行留痕，形成数据血缘，支津期原、分析。5.账号全流程管理时销毁。该流程如图4所示。浙政钉用户关资产管理中心关新增、变更账号权限信息针对可能涉及敏感数据、重要系统的第三方人员(服务商员工、合作伙伴、技术顾问等),以制度建设为支撑点、以技术防护为切入点、以夯实责任为关键点采取了一系列措施，以全面加强第三方人员的安全管规范工作秩序，有效防范第三方人员可能造成的安全风险，扎牢数据安全藩篱，确保一体化智能化公共数据平各部门普遍使用大量第三方人员开展工作。这些人员可能存在多种安全隐患：第三方人员素质参差不齐第三方人员可靠性偏低第三方人第三方人员数量大、来源广，来自不同第三方人员未经过细致的政第三方人员厂商、不同岗位，人员的素质差距可能治审查，无法较好地确定人境、收入较大，人员背景、工作能力和安全意识员的忠诚度，可靠性存疑。遍具有较大的流动性，项目周期等方面可能存在一定的风险。内往往出现人员变动的情况。(一)整体流程区目前已具备相应的安全区，优化第三方人员的安全管(场t(二)安全管理(三)安全技术AI视觉检测系统终端管控软件四人脸识别Al算法口智慧联动单包认证派终端监测虚拟桌面系统④◎风险管理资产管理统一管控平台可信网关①活户2023-04-2516.5527通示助2023-04-251643.10bo-日2023-04-25163956博示2023-04-25163937通示