Gartner：加强数据共享，驱动数字政府提效发展

近日，Gartner发布了最新的《2023中国智慧城市与可持续发展技术成熟度曲线报告》（Hype Cycle for Smart City and Sustainability in China, 2023）。全知科技凭借领先的政务数据共享安全治理能力，再次入选“中国跨省通办政务服务”领域，被Gartner列为中国推荐供应商代表之一。

Gartner报告指出：“跨省通办政务服务”旨在简化政府行政和服务，实现“跨省通办政务服务”强调的是加强数据共享、数字身份的互认以及通用规则和标准，这对打通政府服务的边界和辖区壁垒提供了重要支持。“跨省通办”是推进数字政府建设的重要战略和创新之一。

智慧城市的可持续发展和数字政府的高质量建设相融相生。数字政府能够引导城市多主体的数字化协同，让“数字医院、智慧消防、城市大脑”等数字政府建设成果普惠于民；同时，通过“一网通办、跨省通办、一网统管”等便民服务体系的落地，打造城市管理、公共安全、民生服务等智慧响应机制，持续推动城市管理数字化、精细化、智能化发展。

一、“跨省通办”的数字化发展

随着城市、城市群和区域经济的快速发展，农村与城市之间及城市之间人口流动愈发频繁，“异地工作生活、跨区域经营生产”已经常态化，无地域限制获取政府公共服务，激发了对统一在线政府服务和全国数字政府规划的基层需求。

2020年9月，国务院办公厅印发《关于加快推进政务服务“跨省通办”的指导意见》，明确加强政务服务“跨省通办”服务支撑，包括加强全国一体化政务服务平台服务能力，提升数据共享支撑能力等。

2022年10月，国务院办公厅发布《关于扩大政务服务“跨省通办”范围进一步提升服务效能的意见》，强调持续深化政务服务“跨省通办”改革,不断提升政务服务标准化、规范化、便利化水平，扩大政务服务“跨省通办”范围，进一步提升服务效能。

数据是我国第五大生产要素，数据的开放和共享让推进跨区域、跨层级、跨系统、跨部门的政务协作成为现实。通过政务公共数据资源的整合利用，“异地办事”政务服务的难点逐渐打通，诸如“婚姻异地登记、身份证异地申办、车辆信息变更、就业落户办理”等系列“跨省通办”政务服务创新实践相继落地，很好的解决了政务服务的区域化壁垒。

“跨省通办”政务服务的推行，不仅是促进数据要素自由流动、加强数字政府建设的重要举措，也是实现数字治理现代化的必要路径。但是，由于数字政府地理发展不平衡，市级和省级边界上政府服务的协调不一致，“跨省通办”仍然面临着数据标准不统一、数据服务渠道复杂、数据泄漏风险等诸多挑战。

数据的共享安全是释放政务数据价值的基础保障。如Gartner建议，我们需要通过建立有效的数据共享机制，明确数据需求和供应，规范数据使用和纠纷解决，并建立监督和评估措施来加强跨辖区数据共享。

二、关注“政务数据共享安全”

数字政府建设的关键在于数据共享，利用数据共享加快推进政务信息系统的互联互通和公共数据开放。“跨省通办政务服务”需要跨省域、跨部门、跨层级的多维度资源整合利用，调取各类公民信息数据、基建设施数据等数据资源，必然涉及到多方生态参与以及数据的共享交换，这个过程中会面临巨大的数据安全风险，其中尤以API安全为甚。

API是连接数据和服务的关键通道，承载着海量数据的流转、交互、使用，越来越多的数字业务应用深度依赖于API的调用。在数字政府不断深化的过程中，API扮演着极其重要的角色，是促进政务数据开放共享的重要基础设施。

得益于数据的开放共享，在线化、智能化、场景化的数字政务应用生态变得随处可见，和我们的生产生活深度融合，如智慧政务、数字缴费、在线查询、一证通办等。然而，数字政府服务落地的背后是不断激增的API接口，和随之扩大的API暴露面风险。

同时，在依赖于API接口实现政务数据交互、传输、共享的过程中，往往涉及到多个主体的参与，如合作企业、第三方供应商等，使得数据共享的安全边界扩大、外延，这也意味着，任何一个主体的接口问题都将引起数据泄露风险。

三、打造政务API安全能力闭环

各地数字政府建设如火如荼，在积极推动各级各类平台整合发展，建设一体化协同在线政务服务平台，实现数据共享的同时，大量开放的API接口面临着巨大的安全风险；此外通过攻击API窃取数据也成为新的风险点，进一步加剧了政务数据安全防护的压力。

API是数字政务服务的重要出入口，其安全不仅牵涉着个人利益、社会治理、公共安全，更关乎着国家安全。提高API风险发现能力，强化API风险动态监测，加固API暴露面管理，增强风险研判、持续分析、集中管理和统一运营能力，推动数据有序流动，安全共享是提升“跨省通办”等政务服务效能，驱动数字政府高质量发展的正确路径。

依托多年的API技术创新沉淀及丰富的实践经验，基于对API应用场景风险的深度洞察，国内首个API安全产品：全知科技知影-API风险监测系统迎来了重磅升级。全新的知影-API风险监测系统3.0，对多个产品功能进行了重要迭代升级，助力政企打造更安全的API。

全新界面：全新的UI设计，支持自定义视图，产品使用路径更清晰，拥有更舒适的操作体验

协议与格式扩展：支持 HTTP 2.0协议解析还原，支持特殊API格式，如gPRc、GraphQL等

漏洞规则扩展：集成OWASP Top 10，并新增18项漏洞规则，全面识别API可能存在的漏洞和缺陷，分析漏洞影响面

降噪处理：采用自主研发的降噪引擎，提升产品在API识别、数据内容识别、风险识别准确性，减少人工运营成本

性能提升：在同等资源配置的基础上，产品处理性能提升100%

模块化授权：支持灵活授权模式，满足多场景下的功能需求

通过“发现-评估-监测-拦截-分析-运营”API能力构建路径，知影-API风险监测系统能够深入业务环境，为政企提供API资产发现、弱点评估、风险监测、数据保护、事后审计溯源、集中管理等多种核心能力，帮助政企打造API安全能力闭环，完美应对数据共享面临的API风险威胁。

API全方位洞察

发现企业全量API资产，提供API类型、API格式、API级别、API状态、数据暴露面梳理等全方位的API资产描述；通过持续的监测和分析API交互，识别API请求和返回内容中包含的敏感数据，并及时更新敏感数据暴露的细节。

重点API清单筛选

结合API携带的数据和API分类分级算法，对API进行分类定级，根据应用系统、数据标签组合、敏感等级、访问域、等多种维度分析、筛选，形成重点API清单，同时通过持续发现能力能够自动监测和跟踪API的变化。

API弱点全面评估

产品集成OWASP API十大安全风险，并包含50+项的弱点规则，覆盖数据暴露、数据权限、安全规范、高危接口、口令认证等规则维度；提供全面的洞察力，帮助识别和解决API中的潜在风险，提供修复建议和措施。

API风险监测

基于API画像和上下文关联信息，对API活动进行实时监测和分析，识别异常行为和恶意行为。

风险规则：从数据泄露、Web攻击、账号安全三个维度审视 API 上存在的攻击行为，对不同API类型应用不同的风险检测模型，实现实时分析、精准识别、多行业场景覆盖。
风险基线：识别记录正常数据访问行为的各个属性，并建立API行为基准线；识别攻击者的扫描行为和异常行为，通过与正常行为对比，准确判断出恶意活动。

API数据保护

产品集成多家API网关、WAF、SOC平台等产品，根据风险监测结果自动阻止攻击，实现数据保护；通过系统上的实时监测和旁路阻断功能，并结合强大的内置威胁情报库（在线更新）立即阻断风险行为，有效防止账号劫持、未经授权的数据访问、数据批量拉取等。

事后审计溯源

通过对敏感数据提取留痕，记录数据访问行为，发生数据泄露事件时进行审计回溯，产品支持内置线索溯源和主体溯源模式。