一体化智能化公共数据平台（数据资源体系）建设方案.docx

一体化智能化公共数据平台（数据资源体系）建设方案址、接入时间、接入状态应用系统负责人等详情权限管理主要提供用户、角色管理功能人员驻场人员驻场服务提供人员驻场服务，实现与省级及区县部门数据治理问题对接。3统一用户体系升级组织 架构 及人 员信 息获 取组织架构 及人员信 息获取通过全量获取的方式拉取组织架 构及人员信息，采用实时更新的 方式推送用户信息统一身份 认证 对接前端单点插件集成前端单点插件集成后端单点用户信息解析后端单点用户信息解析数据迁移开发用户权限部门功能，给个人 用户设置部门用户目录管理权 限。将目录从原有的易和部门用 户对应到idaas的用户上。在用 户权限部门功能中根据部门提供 的人员，配置用户权限部门。将1011与易和部门绑定的目录，切换到 idaas部门上。用户用idaas账 号登录，检查目录，查漏补缺共享 域与 IDaa S统 一用 户中 心的 对接与IDaaS统一用户中心的对接共享域将完成与IMaS统一用户 中心的对接工作；获取易和与浙 政钉用户关联关系，与部门确认 更新关联关系。同时，针对历史 用户数据，做好数据映射，本地 数据存储易和ID、浙政钉ID4统计分析统计分析统计分析通过对省回流目录、本地目录、 数据接口数据的统计分析，对目 前各县、市（区）目录数量情况 进行可视化展示；以时间、部门、 目录为维度，展现目录归集率、 接口调用量、部门调用量、开放 数据量、汇聚数据总数等情况； 通过对数据归集过程的监控，对 目前一体化智能化公共数据平台 归集全流程进行可视化展示；以 时间、地区、部门、目录为维度，展现目录归集率、日归集数据量、 市本级部门数据量排名、汇聚数 据总数、月归集数据量、区县归 集数据量等情况；通过多维度的 统计分析2、公共数据共享域2、公共数据共享域1对接 IRS资源管 理系 统对接 IRS资源管 理系 统对接IRS资源管理系统由级公共数据服务平台负责对接 IRS【数据资源开通通知接口】， 统一接收IRS完成数据审批后向 对应的数据资源平台发送IRS流 程单编码和应用ID2区县 专区 建设 及服 务用户权限管理升级可视化分区可视化分区增加区县权限共享市场分区共享市场分区增加区县权限应用管控权限应用管控权限增加区县权限接口服务审批权接口服务审批权增加区县权限安全检测权限安全检测权限增加区县权限区县 共享 技术 实施接口开发接口开发服务是基于区县业务部 门提出的明确且具体的接口需求， 将数据治理后产生的优质数据及 专题库内的专题数据开发成接口，1213服务注册到数据共享平台上。接口注册将已开发的接口注册到数据共享 平台区县专区上。由数据共享平台 作为区县公共数据的统一出口，实 现数据在部门间、应用内的安全流 转。接口申请根据区县各级业务部门数据使用 需求，协助各部门进行接口使用材 料的准备，主要包括接口使用申请 填写讲解、初步判断接口使用申请 是否合规，接口使用申请通过后的 接口封装、接口配置等接口审批在区县专区建设规划中提供接口审批服务，根据受限接口和非受限接口申请情况分别建立相应审批流程接口应用统计提供接口应用统计服务，对区县专 区接口共享服务情况进行统计，包 括接口调用量、接口申请审批办理 实效性、接口应用服务场景等进行 统计3日志分析系统分析规那么梳理分析规那么梳理模型搭建模型搭建规那么管理规那么管理异常总览异常总览分析规那么梳理.异常调用分析以被 调用的接口为主线，主要从日调用 量、非工作时间调用、瞬时调用三 个时间维度对应用对应接口的异 常调用进行分析；敏感调用分析。 主要从接口的敏感等级以及从接 口出参中的敏感数据两个角度进 行分析。针对异常分析规那么进行模型搭建， 包含异常调用分析模型、敏感调用 分析模型两大类。异常调用分析模 型的底层异常指标主要分为异常 调用量、非工作时间调用、敏感调 用分析三大类。敏感调用分析模型 主要针对个人信息进行安全分级 评估，并对接口进行敏感等级标 注。规那么列表进行检索、规那么配置和对 不适用规那么的应用进行增删改查 操包含调用异常统计总量、报警情况 统计、部门报警情况列表、报警应14用明细异常分析异常分析由条件筛选、异常应用列表、查看详情等模块组成异常查询异常查询异常查询以调用时间异常、日调用 量异常、瞬时调用异常、敏感信息 调用、调用阀域(IP)异常报警处理报警处理报警处理模块包括未处理列表功能和已处理列表功能日志查询日志查询系统将以列表的形式展示接口名称、调用应用、部门、appkey等信息日志服务日志服务提供日志分析人工服务，包括分析、跟踪、整改催促等3、公共数据开放域3、公共数据开放域1开放平台(企 业侧) 建设数据开放实验室门户数据开放实验室门户数据开放实验室入口，展示数据开放平台简介、工作流程注册登陆用户注册、登陆、认证支持合作方注册、登陆和密码找 回及密码修改。浙里办账号体系打通支持与浙里办合作方账号体系打通，支持浙里办的合作方账号15登录实名认证支持合作方实名认证（浙里办）数据资源申请数据资源申请支持合作方提交申请材料（“四个一”流程）、查看申请进度，反应等数据资源目录支持合作方查看数据资源目录数据服务管理数据服务管理支持合作方查看当前所有数据服务的基本信息、当前状态数据服务发布在数据服务开发完成后，提交发布数据服务申请，审批通过后完成数据服务的发布平台用户管理子账号创立支持合作方管理员创立平台的子账号子账号管理支持合作方管理员管理平台的子账号开放平台（运 营侧） 建设合作方管理待审核合作方支持运营人员新增合作方、审核 合作方的基本信息、通过合作方 名称或联系人的相关信息查询 待审核合作方的基本信息。合作方信息查询支持运营人员通过合作方名称、联系人信息查询合作方的基本16信息合作方申请管理提供合作方信息审核、管理、“四 个一”申请材料审核、管理等功 能。云资源账号维护支持运营人员在合作方数据资 源申请审核通过后，维护ODPS 相关云账号的信息，并与ODLAB 的合作方做关联。服务上架管理数据服务创 建在合作方完成数据服务开发，提 交数据服务发布申请时使用。支 持运营人员填写数据服务名称、 类型、地址等信息，并由运营人 员后台同步脚本至ODPS环境。数据服务展示在合作方完成数据开发，提交数 据服务发布申请，经审批后，提供数据服务结果查看功能数据服务配置为运营人员提供数据服务生成API配置的工作流。数据服务发 布选配，支持运营人员进行导出表 的申请和实际导出表至RDS的操 作。（如需以API形式发布至网 关，那么进行相应的数据服务上架17网关的发布操作）资源管理数据资源对接1、公开数据、受限数据的目录 快捷对接，并能经由运营人员确 认是否纳入数据资源管理。经确 认后，自动完成数据资源对接。2、开放域系统承接用户自有数 据开放目录平台的对接。数据资源管理使用图表、列表展7K经由运营人 员确认后的数据资源情况，包含 且不限于基本信息、来源信息、 数据更新状态、关联应用数量。网关管理应用关系维护提供应用及各类API关系维护功 能，包含是否校验、是否限流、 限流次数等应用日志各类应用API调用次数等应用日 志查看，包括：调用次数等，并提供基础日志查询功能来源API第三方来源支持多平台的鉴权 逻辑维护，来源API将多平台的 接口注册在网关上，出口 API可 以对来源API设置出口规那么，包出口 API第三方来源18括映射关系，脱敏规那么，限流规 那么等。网关提供基础的日志查询 功能API管理数据源管理提供对多来源的数据源进行管理。API创立提供API数据服务生成功能，将 多数据源的数据快速定义成API 接口。脱敏管理脱敏函数管理定义脱敏函数的相关设置，针对不同的对象设置不同脱敏规那么。定义脱敏函数，对存储的数据进行静态脱敏处理。用户权限管理用户管理管理后台创立账号、分配角色，实现运营管理账号创立以及管理权限管理管理后台创立角色，分配页面访 问权限、功能使用权限，支持对 角色的编辑数据授权系统建设个人数据授权系统（端）个人数据宝（端）提供数据宝授权端，可在浙里办 /微信等多端上架应用。提供对 接认证登陆、授权列表、档案中 心（个人）等功能。实现受限开19（一）建设背景3（二）建设规模3（三）建设概述3（四）工程建设清单4（五）建设内容51、公共数据基础域52、公共数据共享域123、公共数据开放域154、公共数据安全域235、数据N仓4320放数据的可用不可见。企业数据授权系统（端）企业数据宝（端）提供数据宝授权端，可在浙里办 /微信等多端上架应用。提供对 接认证登陆、授权列表、档案中 心（企业）等功能。实现受限开 放数据的可用不可见。数据授权管理模块授权场景配置配置授权场景，定义数据合作类 型、授权模式、API数据包及管 理授权场景下的合作方应用。授权模式配置配置授权的有效期或计次模式 相关类型和参数。个档数据服务个档数据服务提供个档标准数据服务（以省开放域为准）企档数据服务企档数据服务提供企档标准数据服务（以省开放域为准）数据沙箱系统建设脱敏核心服务脱敏中间件结合网关，在出口 API处调用脱 敏服务，完成对接口参数的脱敏 处理。脱敏工具箱在0DPS中，根据业务需求提供遮挡类、假名类、信息转换类等 漂白函数。开发生开发生产环提供2套-4套环境标准别离方21产环境别离方案境别离方案案可供选择。基础网关服务API接口及网关搭建搭建满足数据开放场景需求的API接口平台及对应的网关环境，数据接口打通发布数据沙箱的模型结果可以申请 同步到RDS关系型数据库中，运 维人员使用工具，将RDS的数据 生成接口并注册到数据网关上数据合规性校验数据合规性校验是对数据出口 内容的最后一道关卡，是数据安 全的最后保障，可分为两局部： 一是数据校验，对开放出口数据 进行合规性校验，保障数据明细 不透出，个体信息不泄露；二是 代码校验，对企业操作代码执行 日志进行记录对代码进行检测， 防止敏感操作。开放门户升级开放门户升级开放门户升级对接数林指数评价结果，对开放 门户进行功能升级，提升指数排 名提供在线问题解答、受限数据集申请、可视化分析6开放 门户 管理 端建 设开放门户管理端设计开放门户管理端设计管理端，从目录管理、资源管理、 网站审核、开放统计、政策管理、 问卷管理、系统管理区县特 色开放 目录区县特色开放目录区县特色开放目录可对信息资 源名称、信息资源代码、信息资 源摘要、信息资源格式、标签、 数据领域、行业分类进行管理梳理出各区县开放数据集，并在7区县开放专区开放数据集发布开放数据集发布开放平台区县专区进行展示。用 户可进行数据集的查询、查看、 预览、下载等操作，还可对数据 集进行订阅、收藏、纠错及评论建设开放数开放数据接梳理出各区县开放数据接口，并据接口口在开放平台区县专区进行展示。开放平 台区县 管理端 用户权 限开放平台区 县管理端用 户权限对开放平台的用户权限体系进 行升级，与浙江省统一用户进行 对接。接入区县级用户，在开放 后台新增区县级管理员角色。22区县目录管理区县目录管理区县管理员可通过领域、场景、 时间等维度的筛选对平台内数 据开放资源目录进行精准定位， 并对区县所属的开放目录进行 审核、发布、查看、删除等操作。区县开 放资源 管理区县开放资源管理要包括数据集管理、接口管理， 为区县管理员提供开放数据集 的发布、撤回和开放接口的发 布、撤回的能力区县审核管理区县审核管理主要包括数据集下载审核、接口注册审核、接口申请审核区县开放统计看板区县开放统计看板管理端中新增区县开放统计的 看板，对各区县的数据开放与其 使用情况进行统计并做可视化 展示，展示内容包括目录审核统 计、数据集下载统计、接口申请 统计、开放领域统计、开放数据 统计等板块4、公共数据安全域4、公共数据安全域序号内容指标项详细要求231公 共 数 据 入 侵 防 御 系 统 建 设入侵防御 防护目标对公共数据平台上部署的公共数据库提供入侵防 御服务同时要求能够支持ORACLE （含12C、18C、 190、MYSQL、SQLSERVER> DB2、GBASE、HIVE、 达梦、PG、优炫、人大金仓、神舟通用、MongoDB. SYBASE> 巨杉、上海热璞、HANA、informix、cache> OceanBase> RDS-Mysql> RDS-PG、 TIDB> Mariadb> Greenplum> PostgreSQL> EnterpriseDB> GaussDB、 K-DB、 HBase> redis> TDSQL、 teledb> Vertica 等主流数据库、国产数据库、大数据平台等。部署方式在政务云平台上采用反向代理方式接入数据库。SQL语句学习能力能够自主学习业务和数据库的交互SQL语句，识 别安全SQL；内置机器模型，通过学习的SQL语句 形成应用SQL白名单，设置自动激活模式，在学 习到一定时间后，SQL白名单自动执行生效。SQL注入防护可以检测SQL访问语句是否含有SQL注入特征， 能够对正常SQL特征及SQL注入特征双重防护， 防止SQL注入工具。虚拟补丁防护根据CVE漏洞提供的数据库漏洞形成数据库漏洞 虚拟补丁，同时服务团队需要具备CVE漏洞挖掘 能力，能够提供数据库漏洞挖掘服务，要求在本 次工程中提供不少于1600个数据库漏洞虚拟补 To24入侵防护 策略定制 服务能够针对已建设的数据安全监管平台对公共数据 资产梳理形成的敏感数据集合进行访问管理，提 供访问授权服务，业务访问前先通过入侵防御服 务配置合适的访问权限，通过授权才可以访问， 不具备访问权限的操作，明确阻断拒绝并提供错 误信号。在入侵防御过程中设置敏感标签身份，使之具备 合法访问指定敏感数据的权限。未明确注册的身 份，默认表示为不合法身份，不能访问任何敏感 表格。对数据行数（阀值）进行精细管控，超出阀值的行 为进行阻断或拦截，防止数据大量泄漏。支持访问频次控制，防止一定时间内的高频次访 问。识别真实应用程序，防止假冒应用访问数据库。入侵防御防护能力对数据库访问流量的峰值SQL吞吐不低于50000 条语句/秒，峰值QPS吞吐量70000,响应延时小于 1毫秒，在线SQL存储160亿条。本次服务要求针 对60个数据库实例提供入侵防御服务。2数 据 防数据识别系统内置多种数据内容识别规那么，支持内置规那么 根据行业特性自主添加。支持多种文件编码格式。25泄 漏 系 统 建 设内置图片内容识别。支持识别多层压缩文件、嵌套文件的内容，嵌套 层数可自定义。支持关键字对规那么识别，能够设置关键字间距。关键字匹配支持次数匹配，支持去重匹配支持识别故意打乱的关键字支持英文识别忽略大小写支持全字匹配支持简体繁体自适应支持词典规那么识别支持正那么表达式规那么识别，支持次数匹配，支持 去重匹配。支持通过数据标识符对数据本身的规那么和校验功 能进行判断，支持二次校验进行更精确识别。支持通过后处理脚本对发现的敏感数据进行进一步校验，提高准确率支持结构化数据指纹，结构化数据指纹可指定具体敏感的数据列支持非结构化数据指纹，非结构化数据指纹识别 依据指纹匹配的百分比（相似度）进行响应，匹 配百分比可设置支持图章26支持基于自然语义的机器学习结果进行内容识别。支持位置识别，须包含但不限于以下位置识别方式：(1)识别文档正文、页眉页脚、文本框、office 宏等各种不同位置中的敏感内容(2)识别office正文、批注、模板等位置的敏 感内容(3)对于office、pdf类嵌套文件，支持按组件 粒度或文件粒度进行敏感内容识别(4)对于excel文件，支持按工作表或工作薄进 行内容识别(5)支持识别邮件标题、正文、附件等位置的敏 感内容(6)支持人员、组织、设备、IP、URL、电子邮 件地址进行识别支持数据属性识别，须包含但不限于以下数据属 性识别方式：(1)支持识别常见的文件类型，包括office办 公软件(doc、docx> xls> xlsx> ppt> pptx> wps> visio)、pdf>网络文件、压缩文件(zip、rar> rar5> 7z)、txt、mpp> vsd等。对于不带扩展名27或修改扩展名的文件，能根据其文件特征识别其 文件类型；(2)支持识别加密的Office类文档、RAR、ZIP、 ARJ压缩包、PDF文档，以及通过指定加密软件加 密的文档；(3)支持识别图片、影音、多媒体文件，以及多 种绘图文件；(4)支持识别 office、pdf> wps> iwork 类加密 文件；(5)支持识别zip、rarrar5等加密压缩文件;(6)支持用户自定义文件格式、未知文件格式识 另限(7)支持 Unicode、GB18030. GBK 编码格式；(8)支持识别文件名、文件大小、文件修改时间 等属性，文件名支持通配符匹配。支持组合识别，须包含但不限于以下组合识别方 式：(1)支持各种识别技术通过与、或运算进行任意组合；(2)支持检测算法例外，例外可以支持全局例外 或局部例外。网络防泄支持旁路镜像、多路镜像、透明网桥、路由模式、28漏正向代理、反向代理等部署方式。支持bypass模式、主备模式。支持 HTTP、HTTPS> SMTP、POP3、IMAP、samba、NFS、IM等协议识别、内容恢复和扫描。扫描维度须支持但不限于以下方式：(1)支持按触发者定义不同外发权限；(2)支持按目的地址定义不同上传权限；(3)支持按外发内容等级进行不同处理；(4)支持根据IP地址、URL配置黑白名单；(5)对于外发的邮件，可配置收件人、发件人黑 白名单。支持审计、告警、阻断、证据留存、邮件通知等 系统响应方式。支持按触发的不同条件触发不同动作，条件包括 但不限于事件严重程度、内容扫描结果、终端信 息等0程序管理须支持但不限于以下功能：(1) 支持客户端软件一键安装，一键卸载；(2) 支持平滑升级；(3) 支持对相关程序运行状态进行监控；(4) 定时与管理平台同步状态，同步周期可自定义。29（一）建设背景通过一体化智能化公共数据平台（数据资源体系）的建设，完善 全市统一的数据资源目录，优化数据供需对接，提高数据归集的时效 性、完整性和可靠性，提升数据共享保障能力和效率，进一步巩固一 体化智能化公共数据平台的数据安全防护能力。根据业务需求对数据 仓不断进行迭代更新，全面保障专题库数据的完整性、准确性、及时 性，长效支撑数字化改革应用。（二）建设规模工程建设覆盖市本级和县（市）区。建设1套市县一体的公共数 据平台。涉及县（市）区共享专区、开放专区建设，以及市县两级公 共数据仓、数字化改革任务仓和专题库服务。（三）建设概述一体化智能化公共数据平台（数据资源体系）具体建设内容主要 为数据资源体系建设，具体包括公共数据基础域、公共数据共享域、 公共数据开放域、公共数据安全域、数据N仓服务等内容。公共数据基础域包括数据资源目录升级、数据治理升级、统一用 户体系升级和统计分析等内容。公共数据共享域包括对接IRS资源管理系统、区县专区建设及服 务、日志分析系统等内容。公共数据开放域包括开放平台（企业侧）建设、开放平台（运营 侧）建设、数据授权系统建设、数据沙箱系统建设、开放门户升级、 开放门户管理端建设和区县开放专区建设。终端防泄漏支持终端节点数：100支持 Windows、Windows Server> macOS> Linux 系统，可实现外设管控、应用程序管控，可实现 审计、阻断等操作；支持对移动存储设备进行使用管控，须包含但不 限于以下管控手段：(1)禁用不允许的外接设备(2)支持通过对内容的识别，可阻止敏感文件拷贝、压缩、解压、另存到外接设备(3)支持移动存储白名单，白名单设备可以拷贝敏感内容，非白名单设备无法拷贝敏感内容(4)支持禁止运行移动设备上的应用程序，防止 危险程序对本机造成危害支持应用管控，须包含但不限于以下功能：(1)自动收集所有安装的应用程序；(2)支持黑白名单定义不同应用程序运行级别；(3)支持对应用程序伪装、改名后的文件访问行 为进行监控；(4)支持对应用程序访问敏感文件的行为进行 监控。支持共享管控，须包含但不限于以下功能：(1)对上传到共享目录的文件进行监控，可阻止30上传敏感文件；(2)对本地共享的文件进行监控，可阻止共享敏 感文件；(3)支持远程共享目录例外，对上传到例外目录 的文件不进行拦截。支持打印管控，须包含但不限于以下功能：(1)对本地打印机、远程打印机进行监控，对打印的敏感文件进行控制；(2)支持添加打印水印，水印内容可自定义。支持IM消息管控，须包含但不限于以下功能：(1)支持对QQ外发的敏感消息进行监控；(2)支持对TIM外发的敏感消息进行监控。支持屏幕管控，须包含但不限于以下功能：(1)支持敏感文件翻开时禁止截屏，可不区分截 屏软件，敏感文件最小化或关闭后可以正常截屏；(2)支持禁止对敏感内容进行远程屏幕提供、无 线投屏、远程协助；(3)支持屏幕水印，支持文字、二维码、图片， 水印大小、颜色、内容、透明度可自定义。(4)支持窗口水印，水印可随程序窗口移动。支持离线模式，须包含但不限于以下功能：(1)支持安全策略由各终端本地离线缓存及处31理；(2)支持离线状态下事件、日志的保存；重新连 接后事件、日志上传；(3)支持终端在接入公司内网后自动对本地的 安全策略进行更新；(4)支持客户端在离线情况下根据本地策略正 常工作。支持审计、提醒告警、阻断、申述放行、审批、加密、证据留存、邮件通知等系统响应方式；支持自定义审批流，审批节点、审核人员自定义， 支持同节点审核人间关系自定义(或、与)，支 持移交审批等处理方式；文档加密外发下，对有权限的设备可以无密钥解密文件；支持按触发的不同条件触发不同动作，条件包括 但不限于事件严重程度、内容扫描结果、终端信 息等；程序管理须支持但不限于以下功能：(1)支持一键安装，一键卸载；(2)支持通过第三方工具进行推送安装、远程卸载；(3)支持在线升级；32（4）支持设备与用户的关联，可按用户权限进行 设备管理，未登陆时无法访问安全区中的文件；（5）支持对相关程序运行状态进行监控（自我保护）；（6）定时与管理平台同步状态，同步周期可自定义；（7）支持通过管理平台进行远程卸载；（8）在自我保护下，支持通过密码卸载。支持以图表方式按文件密级、文件类别展示整体、部门、设备上各文件密级及对应数量；支持以图表方式按文件泄漏严重性展示整体、部 门、设备上各严重性及对应数量；支持设置终端安全区，安全区内文件可正常使用，文件脱离安全区（拷贝至其他路径）那么无法翻开；资质证书非OEM产品。产品具有自主知识产权。3数 据 安 全 态 势 感服务内容1、支持安全日志采集处理分析、网络安全监管、 数据安全监管、风险预警通报、工单管理及指标 上传2、针对监管的业务应用场景，定制化数据安全监 管大屏。3、提供重点应用场景的流程梳理服务，结合业务 逻辑制定安全监测规那么策略，实现基于业务规那么33知系统的数据流动安全监管。服务交付物1、数据资产态势：数据资产态势作为数据资产的 全景视图，包括数据资产视图、敏感数据资产视 图、数据分级分类视图2、数据风险态势：数据风险态势作为数据风险的 全景视图，包括数据安全事件概述视图、数据安 全事件量视图、数据安全风险趋势视图、数据资 产流向视图、应用行为视图等态势感知大屏支持数据资产安全大屏，可为用户提供全网的数 据资产分布情况、数据资产安全水位、敏感数据 流转态势等信息。4数 据 分 类 分 级 服 务数据分类 分级咨询 服务根据公共数据平台情况进行数据分类分级咨询调 研服务，调研内容包括但不限于以下内容： 数据基础信息调研：资源提供方、所属目录资源 分类、信息资源摘要、所属系统名称、信息资源 格式、数据保存位置、数据量大小、主题分类、 重点领域分类、更新周期、共享方式、英文表名、 数据类型、中文名称、字段描述等20余项信息。 数据安全等级：数据级别、级别标识、影响范围、 影响程度以及判断标准等。信息资源格式：电子文件、电子表格、数据库、 图形图像、流媒体、其他等。34在对以上信息收集完成、字段含义识别完成之后， 形成数据资源列表，并且按照数字化改革公共 数据分类分级指南制定适合公共数据平台的分 类分级标准。数据分类分级建模服务根据数据分类分级的咨询标准结果，生成数据分 类分级模型，能够将数据分类分级模型定制到数 据分类分级平台，通过数据分类分级平台能够直 观的查看分类分级模型指标。分类模型 及策略制 定及分类 实施确定数据分级分类原那么；数据分类分级基于前期 梳理完成的数据资源，按照业务属性和数据重要 程度等多方面因素进行细分。数据分类分级可参 考对应模型，数据分类分级模型具有数据分类、 数据分级和行业实践三个维度。数据分类一般分 为重要数据、个人信息数据和其他业务数据的大 类，数据分级一般分为合规性等级、敏感性等级 和风险控制等级的大类;然后按照数据性质、重要 程度、管理需求或使用需求等进行数据分类进而 得到数据一级分类，形成数据表、数据项、数据 文件等不同的组合。分类和分级后，需要结合国 家政策、行业及自身特点，确定数据分类分级策 略，将分类和分级进行对应，形成数据分类分级 策略，通常是表单的方式提供，根据组织的实际35需求，制定数据分类分级管理规范，为组织分类 分级管理提供依据，为后续的业务应用奠定基础 分级分类实施数据分类分级按照分类分级咨询建 立数据分类分级模型后，会将数据分类分级模型 算法内置到数据分类分级平台，然后通过数据分 类分级平台对数据项进行数据扫描，扫描后的结 果通过数据分类分级平台进行数据类别和安全级 别进行匹配，数据分类分级平台扫描的结果需要 进行人工复核，复核过程涉及大量的人工操作， 需要专业的具备数据治理能力的人员进行数据复 核，同时还需要和各业务部门进行数据沟通，确 定分类分级结果的准确性和可用性。数据分类 分级工具 服务分类分级服务提供分类分级工具服务，该工具能 够适配多种数据源，支持主流关系型数据库 （Oracle, Mysql, sqlServer, DB2, PostgreSQL, 浪潮K-DB、大数据平台（hive）、云数据库（阿 里云 RDS for mysql）等。能够对不同行业的数据标准和分类分级标准进行 灵活适配，内置专业行业模版至少包括公共（通 用）、医疗、金融、证券等行业模版，保障准确 率，页面支持用户自定义业务类型及规那么配置， 同时支持按照模版导入数据标准、数据字典等信36息。提供完整的对接接口方案以及标准接口文档，能 与其他系统进行交互；支持横向拓展，根据业务 需要可以动态扩展。能够手工新增、批量导入、数据源发现三种方式 添加数据源，可根据业务部门划分归属，页面支 持查看数据源的关联用户、角色、权限。支持根据网段范围自动探测网络中的数据库，可 扫描发现不限于 Oracle> MySQL、SQL sever DB2> postgresql> Sybase> redis 、 hbase> mongodb> informix等类型的数据库IP、端口、数据库类型 等信息，支持仅对数据库常见的端口进行扫描以 缩短扫描所用时间。支持定时执行数据源发现任务，可自定义定时周 期和启动时间，启动时间可精确到小时、分、秒。 支持对任务进行跟踪，展示发现作业名称、扫描 IP范围、开始时间、扫描用时，发现数据库数量、 任务执行状态等信息。支持用户选择两个不同的作业发现结果进行对 比，包括数据库类型分布、数据库IP分布、数据 库新增或者信息变化情况，支持导出比照报告。支持用户上传数据库台账文件，和扫描结果进行37 比照，并生成比照分析报告。支持用户创立资产发现作业，支持按照schema或 者表选择需要发现的数据范围。支持选择发现模板自定义发现内容。支持自定义抽样行数范围、抽样行数（最小为10 行）、输出命中率。支持查看发现作业分析进度，并可以对每一步的 结果进行修改和确认。支持通过列内容匹配、列注释匹配、列名称匹配、 函数分析等方式对数据语义内容进行自动识别， 识别字段代表的业务类型。支持自动分析字段数据内容是否为空数据和脏数 据。支持对存在数据特征比拟明显的字段，自动分析 并整理为规那么，包括可整理为数据字典、可整理 为规那么，辅助用户快速确认结果。字段业务类型分析完成后，会分组展示分析结果, 包括已识别、自动配置和人工配置三局部，支持 用户分别查看、确认和修改识别结果。支持在业务类型识别的基础上，根据分类分级标 准自动化完成数据的分类分级。分类结果确认 在自动完成数据分类分级时，支持用户对业务38类型未分类的、字段对应业务类型存在多个分类 的字段进行确认，确认完成后输出最终分类分级 结果。支持通过业务含义识别对多种敏感数据类型进行 自动识别；支持用户自定义需要发现的敏感类型, 并对识别结果进行确认。按照数据表内包含的敏感字段数量和敏感等级， 提供敏感指数帮助用户快速确认表格敏感程度， 支持查看表格包含的敏感字段信息支持对敏感表 格发现结果进行导出，格式为excel。支持以清单的形式资产发现的结果，包括字段业 务类型、分类、分级、是否敏感等信息。支持导出资产发现清单，格式为Excel、XMLo 支持提供完整、直观、内容丰富的发现结果报告, 包括数据统计信息，敏感数据统计、数据分类统 计等；支持用户进行导出，格式为Pdf。支持以分类分级目录形式查看数据资产的自动发 现的结果和分类分级情况。支持按照分组-数据源-schema-表的维度，展示不 同对象下的数据分类分级和敏感数据信息。支持用户导出资产发现总览和敏感数据统计报 告，格式为Excel。39公共数据安全域包括公共数据入侵防御系统建设、数据安全态势感知系统升级、数据防泄漏系统建设、数据安全运营服务、数据分级 分类服务等内容。数据N仓服务：一体化数据仓管理平台服务、数据仓服务、数据 专题库建设服务、数据治理服务、数据归集服务、数据运维服务等内 容。（四）工程建设清单序号建设内容数量单位一、公共数据基础域1数据资源目录升级1套2数据治理升级1套3统一用户体系升级1套4统计分析1项二、公共数据共享域1对接IRS资源管理系统1套2区县专区建设及服务1套3日志分析系统1套三、公共数据开放域1开放平台（企业侧）1套2开放平台（运营侧）1套3数据授权系统1套支持通过手动新增和批量导入的方式添加规那么配 置中需要的数据字典。配置完成后可在“业务类 型管理-规那么配置”中进行选择。支持用户维护和定义数据资产的业务标准，支持 用户自定义业务类型。支持用户自定义发现规那么，包括列内容匹配、列 注释匹配、字段名匹配等方式支持自定义业务类型的导入和导出。支持用户按照资产发现的需求，选择需要发现的 业务类型，并以模板的形式进行管理支持用户对字段业务类型的分类和分级信息进行 编辑对于发现流程中可配置的参数，提供前端页面进 行配置，从而提高识别的效果。分类分级梳理服务提供数据分类分级梳理服务，要求分类分级平台 服务商具备较强的数据治理能力，能够通过前期 的数据分类分级咨询产生的分类分级标准，分类 分级执行过程中通过分类分级平台定的分类分级 模型对公共数据进行分类分级扫描，扫描后提供 人工梳理服务，对全部已归集、已回流公共数据 分类分级进行校对和修订，服务厂商提供至少3 名DAMA数据治理服务工程师。40数据安全运营服务提供一名数据安全驻场工程师，负责公共数据平 台日常运营服务，主要服务内容包括：1）数据分级分类结果应用对数据分类分级结果进行对接到数据安全监 管平台，通过数据安全监管平台将分类分级后的 结果数据推动给各数据安全模块，进行数据安全 管理，需要推送的模块包括已建设的数据库访问 控制模块、数据脱敏模块、数据库审计模块以及 本次建设的数据库入侵防御、数据库防泄漏模块。 2）数据权限管理梳理公共数据访问权限，通过数据库访问控制 模块对数据访问权限进行管理。3）敏感接口审查和确认梳理公共数据敏感接口，对敏感接口进行定期 审查服务，排除数据接口中的非法接口，对接口 进行安全管理。4）自定义风控规那么制定根据公共数据平台实际情况梳理风险控制规 那么，通过防护模块对风险规那么进行防御配置。5）日常监控巡检服务定时对数据安全防护各模块