近日，Gartner發(fā)布了最新的《2023中國(guó)智慧城市與可持續(xù)發(fā)展技術(shù)成熟度曲線報(bào)告》（Hype Cycle for Smart City and Sustainability in China, 2023）。全知科技憑借領(lǐng)先的政務(wù)數(shù)據(jù)共享安全治理能力，再次入選“中國(guó)跨省通辦政務(wù)服務(wù)”領(lǐng)域，被Gartner列為中國(guó)推薦供應(yīng)商代表之一。

“跨省通辦”是一種政務(wù)服務(wù)模式，推進(jìn)政務(wù)服務(wù)“跨省通辦”，是轉(zhuǎn)變政府職能、提升政務(wù)服務(wù)能力的重要途徑，對(duì)于提升國(guó)家治理體系和治理能力現(xiàn)代化水平具有重要作用。

Gartner報(bào)告指出：“跨省通辦政務(wù)服務(wù)”旨在簡(jiǎn)化政府行政和服務(wù)，實(shí)現(xiàn)“跨省通辦政務(wù)服務(wù)”強(qiáng)調(diào)的是加強(qiáng)數(shù)據(jù)共享、數(shù)字身份的互認(rèn)以及通用規(guī)則和標(biāo)準(zhǔn)，這對(duì)打通政府服務(wù)的邊界和轄區(qū)壁壘提供了重要支持?！翱缡⊥ㄞk”是推進(jìn)數(shù)字政府建設(shè)的重要戰(zhàn)略和創(chuàng)新之一。

智慧城市的可持續(xù)發(fā)展和數(shù)字政府的高質(zhì)量建設(shè)相融相生。數(shù)字政府能夠引導(dǎo)城市多主體的數(shù)字化協(xié)同，讓“數(shù)字醫(yī)院、智慧消防、城市大腦”等數(shù)字政府建設(shè)成果普惠于民；同時(shí)，通過(guò)“一網(wǎng)通辦、跨省通辦、一網(wǎng)統(tǒng)管”等便民服務(wù)體系的落地，打造城市管理、公共安全、民生服務(wù)等智慧響應(yīng)機(jī)制，持續(xù)推動(dòng)城市管理數(shù)字化、精細(xì)化、智能化發(fā)展。

一、“跨省通辦”的數(shù)字化發(fā)展

隨著城市、城市群和區(qū)域經(jīng)濟(jì)的快速發(fā)展，農(nóng)村與城市之間及城市之間人口流動(dòng)愈發(fā)頻繁，“異地工作生活、跨區(qū)域經(jīng)營(yíng)生產(chǎn)”已經(jīng)常態(tài)化，無(wú)地域限制獲取政府公共服務(wù)，激發(fā)了對(duì)統(tǒng)一在線政府服務(wù)和全國(guó)數(shù)字政府規(guī)劃的基層需求。

2020年9月，國(guó)務(wù)院辦公廳印發(fā)《關(guān)于加快推進(jìn)政務(wù)服務(wù)“跨省通辦”的指導(dǎo)意見(jiàn)》，明確加強(qiáng)政務(wù)服務(wù)“跨省通辦”服務(wù)支撐，包括加強(qiáng)全國(guó)一體化政務(wù)服務(wù)平臺(tái)服務(wù)能力，提升數(shù)據(jù)共享支撐能力等。

2022年10月，國(guó)務(wù)院辦公廳發(fā)布《關(guān)于擴(kuò)大政務(wù)服務(wù)“跨省通辦”范圍進(jìn)一步提升服務(wù)效能的意見(jiàn)》，強(qiáng)調(diào)持續(xù)深化政務(wù)服務(wù)“跨省通辦”改革,不斷提升政務(wù)服務(wù)標(biāo)準(zhǔn)化、規(guī)范化、便利化水平，擴(kuò)大政務(wù)服務(wù)“跨省通辦”范圍，進(jìn)一步提升服務(wù)效能。

數(shù)據(jù)是我國(guó)第五大生產(chǎn)要素，數(shù)據(jù)的開(kāi)放和共享讓推進(jìn)跨區(qū)域、跨層級(jí)、跨系統(tǒng)、跨部門(mén)的政務(wù)協(xié)作成為現(xiàn)實(shí)。通過(guò)政務(wù)公共數(shù)據(jù)資源的整合利用，“異地辦事”政務(wù)服務(wù)的難點(diǎn)逐漸打通，諸如“婚姻異地登記、身份證異地申辦、車輛信息變更、就業(yè)落戶辦理”等系列“跨省通辦”政務(wù)服務(wù)創(chuàng)新實(shí)踐相繼落地，很好的解決了政務(wù)服務(wù)的區(qū)域化壁壘。

“跨省通辦”政務(wù)服務(wù)的推行，不僅是促進(jìn)數(shù)據(jù)要素自由流動(dòng)、加強(qiáng)數(shù)字政府建設(shè)的重要舉措，也是實(shí)現(xiàn)數(shù)字治理現(xiàn)代化的必要路徑。但是，由于數(shù)字政府地理發(fā)展不平衡，市級(jí)和省級(jí)邊界上政府服務(wù)的協(xié)調(diào)不一致，“跨省通辦”仍然面臨著數(shù)據(jù)標(biāo)準(zhǔn)不統(tǒng)一、數(shù)據(jù)服務(wù)渠道復(fù)雜、數(shù)據(jù)泄漏風(fēng)險(xiǎn)等諸多挑戰(zhàn)。

數(shù)據(jù)的共享安全是釋放政務(wù)數(shù)據(jù)價(jià)值的基礎(chǔ)保障。如Gartner建議，我們需要通過(guò)建立有效的數(shù)據(jù)共享機(jī)制，明確數(shù)據(jù)需求和供應(yīng)，規(guī)范數(shù)據(jù)使用和糾紛解決，并建立監(jiān)督和評(píng)估措施來(lái)加強(qiáng)跨轄區(qū)數(shù)據(jù)共享。

二、關(guān)注“政務(wù)數(shù)據(jù)共享安全”

數(shù)字政府建設(shè)的關(guān)鍵在于數(shù)據(jù)共享，利用數(shù)據(jù)共享加快推進(jìn)政務(wù)信息系統(tǒng)的互聯(lián)互通和公共數(shù)據(jù)開(kāi)放?！翱缡⊥ㄞk政務(wù)服務(wù)”需要跨省域、跨部門(mén)、跨層級(jí)的多維度資源整合利用，調(diào)取各類公民信息數(shù)據(jù)、基建設(shè)施數(shù)據(jù)等數(shù)據(jù)資源，必然涉及到多方生態(tài)參與以及數(shù)據(jù)的共享交換，這個(gè)過(guò)程中會(huì)面臨巨大的數(shù)據(jù)安全風(fēng)險(xiǎn)，其中尤以API安全為甚。

API是連接數(shù)據(jù)和服務(wù)的關(guān)鍵通道，承載著海量數(shù)據(jù)的流轉(zhuǎn)、交互、使用，越來(lái)越多的數(shù)字業(yè)務(wù)應(yīng)用深度依賴于API的調(diào)用。在數(shù)字政府不斷深化的過(guò)程中，API扮演著極其重要的角色，是促進(jìn)政務(wù)數(shù)據(jù)開(kāi)放共享的重要基礎(chǔ)設(shè)施。

得益于數(shù)據(jù)的開(kāi)放共享，在線化、智能化、場(chǎng)景化的數(shù)字政務(wù)應(yīng)用生態(tài)變得隨處可見(jiàn)，和我們的生產(chǎn)生活深度融合，如智慧政務(wù)、數(shù)字繳費(fèi)、在線查詢、一證通辦等。然而，數(shù)字政府服務(wù)落地的背后是不斷激增的API接口，和隨之?dāng)U大的API暴露面風(fēng)險(xiǎn)。

同時(shí)，在依賴于API接口實(shí)現(xiàn)政務(wù)數(shù)據(jù)交互、傳輸、共享的過(guò)程中，往往涉及到多個(gè)主體的參與，如合作企業(yè)、第三方供應(yīng)商等，使得數(shù)據(jù)共享的安全邊界擴(kuò)大、外延，這也意味著，任何一個(gè)主體的接口問(wèn)題都將引起數(shù)據(jù)泄露風(fēng)險(xiǎn)。

三、打造政務(wù)API安全能力閉環(huán)

各地?cái)?shù)字政府建設(shè)如火如荼，在積極推動(dòng)各級(jí)各類平臺(tái)整合發(fā)展，建設(shè)一體化協(xié)同在線政務(wù)服務(wù)平臺(tái)，實(shí)現(xiàn)數(shù)據(jù)共享的同時(shí)，大量開(kāi)放的API接口面臨著巨大的安全風(fēng)險(xiǎn)；此外通過(guò)攻擊API竊取數(shù)據(jù)也成為新的風(fēng)險(xiǎn)點(diǎn)，進(jìn)一步加劇了政務(wù)數(shù)據(jù)安全防護(hù)的壓力。

API是數(shù)字政務(wù)服務(wù)的重要出入口，其安全不僅牽涉著個(gè)人利益、社會(huì)治理、公共安全，更關(guān)乎著國(guó)家安全。提高API風(fēng)險(xiǎn)發(fā)現(xiàn)能力，強(qiáng)化API風(fēng)險(xiǎn)動(dòng)態(tài)監(jiān)測(cè)，加固API暴露面管理，增強(qiáng)風(fēng)險(xiǎn)研判、持續(xù)分析、集中管理和統(tǒng)一運(yùn)營(yíng)能力，推動(dòng)數(shù)據(jù)有序流動(dòng)，安全共享是提升“跨省通辦”等政務(wù)服務(wù)效能，驅(qū)動(dòng)數(shù)字政府高質(zhì)量發(fā)展的正確路徑。

依托多年的API技術(shù)創(chuàng)新沉淀及豐富的實(shí)踐經(jīng)驗(yàn)，基于對(duì)API應(yīng)用場(chǎng)景風(fēng)險(xiǎn)的深度洞察，國(guó)內(nèi)首個(gè)API安全產(chǎn)品：全知科技 知影-API風(fēng)險(xiǎn)監(jiān)測(cè)系統(tǒng)迎來(lái)了重磅升級(jí)。全新的知影-API風(fēng)險(xiǎn)監(jiān)測(cè)系統(tǒng)3.0，對(duì)多個(gè)產(chǎn)品功能進(jìn)行了重要迭代升級(jí)，助力政企打造更安全的API。

• 全新界面：全新的UI設(shè)計(jì)，支持自定義視圖，產(chǎn)品使用路徑更清晰，擁有更舒適的操作體驗(yàn)

• 協(xié)議與格式擴(kuò)展：支持 HTTP 2.0協(xié)議解析還原，支持特殊API格式，如gPRc、GraphQL等

• 漏洞規(guī)則擴(kuò)展：集成OWASP Top 10，并新增18項(xiàng)漏洞規(guī)則，全面識(shí)別API可能存在的漏洞和缺陷，分析漏洞影響面

• 降噪處理：采用自主研發(fā)的降噪引擎，提升產(chǎn)品在API識(shí)別、數(shù)據(jù)內(nèi)容識(shí)別、風(fēng)險(xiǎn)識(shí)別準(zhǔn)確性，減少人工運(yùn)營(yíng)成本

• 性能提升：在同等資源配置的基礎(chǔ)上，產(chǎn)品處理性能提升100%

• 模塊化授權(quán)：支持靈活授權(quán)模式，滿足多場(chǎng)景下的功能需求

通過(guò)“發(fā)現(xiàn)-評(píng)估-監(jiān)測(cè)-攔截-分析-運(yùn)營(yíng)”API能力構(gòu)建路徑，知影-API風(fēng)險(xiǎn)監(jiān)測(cè)系統(tǒng)能夠深入業(yè)務(wù)環(huán)境，為政企提供API資產(chǎn)發(fā)現(xiàn)、弱點(diǎn)評(píng)估、風(fēng)險(xiǎn)監(jiān)測(cè)、數(shù)據(jù)保護(hù)、事后審計(jì)溯源、集中管理等多種核心能力，幫助政企打造API安全能力閉環(huán)，完美應(yīng)對(duì)數(shù)據(jù)共享面臨的API風(fēng)險(xiǎn)威脅。

API全方位洞察：發(fā)現(xiàn)企業(yè)全量API資產(chǎn)，提供API類型、API格式、API級(jí)別、API狀態(tài)、數(shù)據(jù)暴露面梳理等全方位的API資產(chǎn)描述；通過(guò)持續(xù)的監(jiān)測(cè)和分析API交互，識(shí)別API請(qǐng)求和返回內(nèi)容中包含的敏感數(shù)據(jù)，并及時(shí)更新敏感數(shù)據(jù)暴露的細(xì)節(jié)。

重點(diǎn)API清單篩選：結(jié)合API攜帶的數(shù)據(jù)和API分類分級(jí)算法，對(duì)API進(jìn)行分類定級(jí)，根據(jù)應(yīng)用系統(tǒng)、數(shù)據(jù)標(biāo)簽組合、敏感等級(jí)、訪問(wèn)域、等多種維度分析、篩選，形成重點(diǎn)API清單，同時(shí)通過(guò)持續(xù)發(fā)現(xiàn)能力能夠自動(dòng)監(jiān)測(cè)和跟蹤API的變化。

API弱點(diǎn)全面評(píng)估：產(chǎn)品集成OWASP API十大安全風(fēng)險(xiǎn)，并包含50+項(xiàng)的弱點(diǎn)規(guī)則，覆蓋數(shù)據(jù)暴露、數(shù)據(jù)權(quán)限、安全規(guī)范、高危接口、口令認(rèn)證等規(guī)則維度；提供全面的洞察力，幫助識(shí)別和解決API中的潛在風(fēng)險(xiǎn)，提供修復(fù)建議和措施。

API風(fēng)險(xiǎn)監(jiān)測(cè)：基于API畫(huà)像和上下文關(guān)聯(lián)信息，對(duì)API活動(dòng)進(jìn)行實(shí)時(shí)監(jiān)測(cè)和分析，識(shí)別異常行為和惡意行為。

• 風(fēng)險(xiǎn)規(guī)則：從數(shù)據(jù)泄露、Web攻擊、賬號(hào)安全三個(gè)維度審視 API 上存在的攻擊行為，對(duì)不同API類型應(yīng)用不同的風(fēng)險(xiǎn)檢測(cè)模型，實(shí)現(xiàn)實(shí)時(shí)分析、精準(zhǔn)識(shí)別、多行業(yè)場(chǎng)景覆蓋。

• 風(fēng)險(xiǎn)基線：識(shí)別記錄正常數(shù)據(jù)訪問(wèn)行為的各個(gè)屬性，并建立API行為基準(zhǔn)線；識(shí)別攻擊者的掃描行為和異常行為，通過(guò)與正常行為對(duì)比，準(zhǔn)確判斷出惡意活動(dòng)。
  

API數(shù)據(jù)保護(hù)：產(chǎn)品集成多家API網(wǎng)關(guān)、WAF、SOC平臺(tái)等產(chǎn)品，根據(jù)風(fēng)險(xiǎn)監(jiān)測(cè)結(jié)果自動(dòng)阻止攻擊，實(shí)現(xiàn)數(shù)據(jù)保護(hù)；通過(guò)系統(tǒng)上的實(shí)時(shí)監(jiān)測(cè)和旁路阻斷功能，并結(jié)合強(qiáng)大的內(nèi)置威脅情報(bào)庫(kù)（在線更新）立即阻斷風(fēng)險(xiǎn)行為，有效防止賬號(hào)劫持、未經(jīng)授權(quán)的數(shù)據(jù)訪問(wèn)、數(shù)據(jù)批量拉取等。

事后審計(jì)溯源：通過(guò)對(duì)敏感數(shù)據(jù)提取留痕，記錄數(shù)據(jù)訪問(wèn)行為，發(fā)生數(shù)據(jù)泄露事件時(shí)進(jìn)行審計(jì)回溯，產(chǎn)品支持內(nèi)置線索溯源和主體溯源模式。

• 線索溯源是以泄露的數(shù)據(jù)內(nèi)容為線索，在系統(tǒng)中進(jìn)行回溯，將所有訪問(wèn)過(guò)泄露內(nèi)容的記錄提取出來(lái)做集中度分析，進(jìn)而一步步聚焦嫌疑人和泄露路徑。

• 主體溯源根據(jù)訪問(wèn)的特征線索（如User-Agent，Referer，賬號(hào)，接口等），在流量中進(jìn)行篩選，找出匹配特征的記錄進(jìn)行統(tǒng)計(jì)分析，查找蛛絲馬跡。

知影-API風(fēng)險(xiǎn)監(jiān)測(cè)系統(tǒng)的核心安全能力貫穿API整個(gè)生命周期，從建立、部署、鏈接、運(yùn)維到失活、下線，進(jìn)行全鏈路持續(xù)風(fēng)險(xiǎn)監(jiān)測(cè)和數(shù)據(jù)保護(hù)，幫助政企動(dòng)態(tài)、全面得掌握API安全態(tài)勢(shì)，有效保障政務(wù)數(shù)據(jù)共享安全。

數(shù)據(jù)是當(dāng)下極具價(jià)值的社會(huì)資源，政務(wù)數(shù)據(jù)的開(kāi)放共享已經(jīng)融入到數(shù)字化轉(zhuǎn)型的各個(gè)環(huán)節(jié)中，對(duì)推動(dòng)生活改善、社會(huì)治理、產(chǎn)業(yè)變革有著舉足輕重的作用。API安全是數(shù)字政府發(fā)展的重要基石，加強(qiáng)數(shù)據(jù)共享安全，打造更安全的數(shù)字政府協(xié)同能力，才能更好得推動(dòng)數(shù)字政府高質(zhì)量建設(shè)。