数字化时代，加强数字政府建设是创新政府治理理念，推进国家治理体系和治理能力现代化的重要举措。在数字政府建设中，政务数据是重要的支撑和资源。本方案基于分类分级的政务数据安全管控要求，以“源头管控、边界防护、多维感知、智能分析、主动防护、审计溯源”为总体思路，采用人工智能、大数据分析等技术，建立“知-识-防-监-控”的闭环动态数据安全体系，实现数据安全管理由“人控”到“技控”再到“智控”的转变，从而达到“全面保障、智能管控、内外兼防”的目标，有效保障政务数据开放共享安全，满足国家合规监管要求。

本方案基于信创国产化基础设施环境，以数据安全为核心、自主可控的国密算法应用技术为基础，自主研发的Chinasec（安元）数据安全系列产品，覆盖数据采集、传输、存储、处理、交换、销毁等全生命周期重要环节，以数据分类分级为基础，实现对“端、边、网、云”全IT架构下的数据安全协同联动管理，结合管理制度建设与运营体系保障，打造“数据可见、风险可视、安全可控”的一体化政务数据安全防护体系。

1、数据采集安全

针对政务数据以非结构化数据为主、海量、分散等特征，通过智能数据治理平台，以数据特征为基础定义行业数据分类分级标准，通过自动发现、数据录入等方式对数据库资产/非结构化资产进行匹配扫描，非结构化文件梳理为资产目录，以分类分级任务为扫描入口将政务数据分类分级模板作用在扫描任务中，通过高性能扫描引擎对非结构化资产文件进行匹配、识别，在利用关键字、正则表达式等实现数据发现的基础上，引入自然语言处理、机器学习聚类分类等智能技术，实现数据的智能分类分级，从而在后续的安全管控中根据分类分级的结果匹配细粒度的安全策略，做到“突出重点、精确防护”，满足行业监管要求。

2、数据传输安全

针对政府大数据局部门或政务数据共享交换平台需要将对应的服务映射到政务外网上，供各委办局通过政务外网进行服务访问的场景，通过在政务网络边界处部署安全接入网关，为内部数据对外提供服务和外部用户安全接入内部网络提供安全保障；同时，通过网络DLP、安全邮件等技术手段，防止数据通过网络、邮件等途径非法外泄，并可通过审批功能满足正常的文件外发需要。

3、数据存储安全

政务数据或集中、或分散存储在服务器、数据库、云端、办公终端等环境，通过数据加密、数据保险箱，终端DLP、存储DLP，云访问安全代理CASB、数据库审计等技术手段，实现数据在服务器、云端、办公终端上以密文的状态存储，并按照分类分级的控制权限授权相应的人员解密使用，构建事前身份认证、事中权限控制、事后操作审计的全流程安全体系。

4、数据处理安全

政务数据使用场景丰富，随着政务数据开放共享的推进，数据跨部门、跨层级、跨地区汇聚融合和利用不断深入，尤其随着“互联网+政务服务”、“移动政务”、“最多跑一次”、“一网通办”的推广普及，政务数据在处理过程中的安全风险愈加凸显。通过安全沙箱、应用保护、数据脱敏、水印溯源等技术手段，实现数据在各类业务应用系统、办公终端等场景使用时的安全，防止数据被非法下载、删除、篡改、滥用。

5、数据交换安全

目前的政务外网与互联网区通常以网闸隔离，但这种单纯的数据交换无法满足“互联网+政务服务”的新型需求，导致政府机构对外特别是对公众的业务服务能力受限。通过安全交换系统，实现内外网及跨域之间各类数据、文件、视频的安全交换，打破多年来形成的数据孤岛现象，在物理隔离的基础上搭建跨网业务服务的“桥梁隧道”，实现数据共享交换的同时，保证数据的安全。

6、数据销毁安全

政府单位存在各类办公设备，数量巨大，且会定期报废或升级，针对整机、各类存储介质等硬件设备弃置时的数据安全问题，以及高敏感数据共享后过期销毁的安全需要，可采用介质销毁（物理销毁）、内容销毁（消磁技术、文件有效期管控）等手段，并通过流程审批与安全审计，保证数据销毁过程的安全可控与事后审计，防止恶意备份、数据还原造成的数据泄漏等风险。

7、数据安全大脑

针对政务数据安全运营阶段的管理难、检测难、防护难、追溯难等问题，基于大数据技术收集硬件设备、网络、应用系统等用户行为数据，同时依据可视化建模技术关联分析海量多源异构数据，及时发现安全告警事件，提供告警的归并、分诊、调查取证，并提供基于动作编排的安全响应联动处置。从数据资产、安全风险、安全策略以及安全事件四个维度构建“数据可见、风险可视、安全可管”的一体化政务数据安全运营体系。

本方案针对数据共享开放及分类分级背景下的安全管理需求，基于信创国产化基础设施环境，开辟以数据为核心的全生命周期安全管控新思路，解决了传统围栏式安全防护的诸多弊端；从数据的采集、传输、存储、处理、交换和销毁等过程，建立“数据可见、风险可视、安全可控”的数据安全防护体系，满足“数字政府”、“互联网+政务服务”、“移动政务应用”等政务发展趋势，提升政务资源融合、交换、共享能力，保障数据安全；利用大数据分析技术，通过可视化的态势展示界面，使用户对数据的分布和流转，以及潜在的安全风险一目了然，提升安全运营的能力；解决数据泄露后，追溯难度大，无法追踪审计的难题，提升风险监测和响应能力，满足国家安全监管和审计要求。

具备以下优势亮点：

1、源头管控，分类分级管理。综合利用关键词、正则表达式、文档指纹以及自然语言处理等技术，基于内容对数据文件进行扫描，主动发现敏感数据并确定数据类别、涉密等级等信息，在数据文件创建、产生阶段即开展管控，直至文件销毁，在安全管控的同时，为合规检查工作提供便利。

2、全程防护，技术效率并重。通过透明加解密、应用权限管控、数字水印、外发管控、传输加密等技术，对政务数据流转进行管控，有效避免数据泄露、越权使用等安全问题，管控工作无感知，不影响当前业务流程，具有较高的管控效率。

3、智能分析，掌握数据态势。采用大数据和深度学习等技术，对海量运行日志进行模型计算，掌握政务数据资产的实时流转和分布情况，及时发现各种运行安全事件，并进行处置，实现数据安全态势感知。

4、审计溯源，流转轨迹可查。通过行为日志和水印标签，实现数据的审计溯源、流转轨迹图形化展现。

本方案作为政务领域体系化的数据安全管理创新方案，解决了政务数据开放共享场景下的数据安全防护问题，实现了数据资产识别、数据分类分级、异常行为分析以及数据指纹溯源等技术的突破，满足政务领域的数据分类分级管控需要；

方案已实现与国产化芯片、操作系统、数据库及中间件等上下游软硬件兼容适配，已形成较健全的应用生态规模；

1、方案在党政、金融、运营商等领域已实现规模化、成熟化落地应用，具备替代国外同类产品的能力，有效打破国外技术和价格垄断的局面；
方案可有效支撑政务公共数据及其他行业领域数据安全融合共享开放需要，具备可复制可推广性。

2、经济效益

通过建立完整的数据安全防护体系，实现政务数据全生命周期可视、可管、可控，保障业务安全运行，从而持续、稳定地产生价值；保护数据不被非法窃取或破坏，从而不因数据损害产生经济损失；降本增效，降低安全风险检测成本、误报率、漏报率以及安全运维成本，提升安全管理效率，从而保证业务安全、稳定、高效运行。通过本方案的实施，预计可降低数据安全相关人工运维成本约40%，每年减少相关支出约200万元。

3、社会效益

本方案将帮助政府机构提升数据安全治理能力，做好数据安全的依法监管和风险防范，最大限度为数据开放保驾护航，体现政府作为维护数据开放秩序和保障数据安全的“守护者”责任，保障数字经济安全高效发展，满足国家合规监管要求。