DB3404 T 13-2023 政务数据安全监控管理规范.pdf

1、 ICS 35.020 CCS L 80 3404 淮南市地方标准 DB 3404/T 132023 政务数据安全监控管理规范 Management specification for security monitoring of government data2023-12-20 发布2024-1-20 实施淮南市市场监督管理局发 布 DB 3404/T 132023 I 目次 前言.II 1 范围.1 2 规范性引用文件.1 3 术语和定义.1 4 数据安全监控内容.1 数据资产.1 数据流转.2 数据安全风险.2 数据安全审计.3 数据安全事件处置.4 数据安全合规.5 5 数据安全监控

2、管理流程.5 使用申请.5 权限审批.5 操作监控.5 监控过程行为审计.5 6 执行评价.5 附录 A（资料性）数据安全系统使用申请表.6 附录 B（资料性）监控管理规范执行等级表.7 参考文献.8 DB 3404/T 132023 II 前言 本文件按照GB/T 1.12020标准化工作导则 第1部分：标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由淮南市数据资源管理局提出并归口。本文件起草单位：淮南市信息中心、杭州数安工场科技股份有限公司、淮南师范学院、淮南市公安局、杭州数梦工场科技有限公司。本文件主要起草人：孙凯、

3、李港、王雷、王宏政、郑孝淮、伍德伟。DB 3404/T 132023 1 政务数据安全监控管理规范 1 范围 本文件规定了政务数据安全监控管理的监控内容、执行评价和管理流程。本文件适用于政务数据的数据安全监控管理工作。2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 22239 信息安全技术 网络安全等级保护基本要求 GB/T 37988 信息安全技术 数据安全能力成熟度模型 GB/T 39786 信息安全技术 信息系统密码应用基本

4、要求 3 术语和定义 下列术语和定义适用于本文件。敏感数据 sensitive data 由权威机构确定的受保护的信息数据。注：敏感信息数据的泄露、修改、破坏或丢失会对人或事产生可预知的损害。来源：GB/T 394772020，3.7 4 数据安全监控内容 数据资产 4.1.1 业务数据 4.1.1.1 结构化数据 结构化数据主要监控：a)资产分布，主要包括数据总量、字段总量、表数量；b)敏感数据分布，主要包括敏感数据总量、敏感表数量、敏感列数量；c)数据分类分级，数据分类主要包括数据资源目录划分，分为：1)大类划分：政务数据目录、社会数据目录、经济数据目录等；2)子类划分：主题资源类目、基础

5、资源类目；字段分级清单，包括数据库信息、表结构、表名称、表描述、字段结构、字段分类、字段等级、部门标签、所属系统、所属用户等；敏感数据资产清单，包括数据库信息、表信息、敏感标签、敏感字段级别等。4.1.1.2 非结构化数据 DB 3404/T 132023 2 非结构化数据主要监控：a)数据库运维日志，主要包括上行的 SQL 操作命令和下行的数据查询结果。通过旁路或者软件探针的方式，采集到运维人员对数据库的操作日志；b)日志收集协议，包括 Syslog、SNMP、JDBC/ODBC、SFTP、SCP 等。4.1.2 平台数据 4.1.2.1 数据库系统数据 包括运行状态、类型，其中运行状态主要

6、关注索引效率、查询统计、查询缓冲命中率、系统性能等。类型主要分为国产数据库、国外数据库。4.1.2.2 应用软件自身运行数据 包括缓存数据、配置数据等。数据流转 数据流转应监控的数据见表1。表1 数据流转监控数据 场景 监控数据 数据归集 数据源 数据申请、数据源身份鉴别、合法性校验、完整性校验、数据分类分级等 数据归集平台 数据归集方式（前置库、API接口、库表）、数据归集效率、数据归集质量等 数据传输 业务系统 系统名称、账号、权限及归属部门等 传输方式 加密传输、明文传输、传输通道等 人员数据 操作日志、访问记录、所属部门等 数据完整性 数据的格式、内容、空间等 数据存储 数据库系统 类

7、型、版本、使用状态、安全漏洞等 加密方式 透明加密、非透明加密、加密策略等 存储机制 存储位置、存储方式、备份方式等 数据使用 应用访问 应用访问特定目录或文件（该目录生命周期是从用户选择使用到该应用取消应用的一段时间）、应用访问非特定目录或文件 数据运维 客户端IP、账号密码、访问权限、访问操作记录等 测试和开发 人员的权限、操作日志、测试记录等 终端安全 运行进程、病毒木马、文件外发、密码强度、漏洞等 数据准入 数据源接入申请、人员审批记录、数据内容、数据的敏感级别等 数据治理 数据源 数据源身份鉴别、合法性校验、完整性校验等 数据处理者 数据者的账号密码、权限、操作行为等 数据治理平台

8、数据清洗质量、数据清洗的效率等 数据共享交换 数据共享方式 有条件共享、无条件共享、不予共享 共享交换系统 共享交换的效率、共享交换的数据内容等 数据来源方、接收方 各委办局、市直属单位等 数据安全风险 4.3.1 内部数据安全风险 DB 3404/T 132023 3 4.3.1.1 业务系统漏洞 包括漏洞数量、漏洞类型、漏洞危害程度三个方面，其中漏洞类型需要关注弱口令、sql注入、xss跨站脚本、数据库漏洞等。漏洞危害程度要关注高危、中危漏洞。4.3.1.2 内部工作人员 包括账号、密码、权限等人员主体信息，以及记录访问及操作数据的行为。4.3.1.3 API 接口 包括数据平台所提供的接

9、口数量，向外部透出的数据内容，是否涉及敏感数据，透出对象，以及以下几种情况：a)当数据接口被不同第三方调用时，是否违规拉取数据情况；b)数据接口是否按照安全合规标准进行开发，报备和真实的是否一致；c)当数据平台发生变化时，接口传输数据内容是否发生变化或者失活接口是否有做及时的下线处理。4.3.2 外部数据安全风险 4.3.2.1 恶意非法攻击 包括攻击方、攻击目的、攻击目标等，其中攻击方包括个人、黑客、APT组织等。4.3.2.2 第三方运维人员 包括人员账号权限、访问操作数据的行为、日常运维记录。其中对于访问操作数据的行为，应对安全管理员、系统管理员、审计管理员这三者的所有操作行为审计记录，

10、包括sql语句增删改查记录、账号登录和退出系统时间、系统操作日志等。对于日常运维记录，应不定期查看，发现记录内容有错误的或者描述不清的，应按要求规范记录。数据安全审计 4.4.1 数据访问行为审计 4.4.1.1 正常合法行为 包括登录方式、登录时间、合法账号、合规访问等。4.4.1.2 异常非法行为 包括非授权访问、越权访问、异常频繁访问、异常恶意攻击等。4.4.2 数据操作行为审计 4.4.2.1 数据接入申请 包括数据接入方申请记录、平台方的审批记录、数据完整性校验等。4.4.2.2 数据使用审批 包括数据使用方的申请记录、平台方的审批记录、数据提供的途径（API接口、库表等方式）等。4

11、.4.2.3 sql 增删改查 DB 3404/T 132023 4 包括sql语句查询、非法删除、恶意篡改等。数据安全事件处置 4.5.1 数据安全风险事件 4.5.1.1 数据非法篡改 包括数据完整性校验、数据来源、数据接触方等。4.5.1.2 API 接口滥用、未鉴权 包括API接口梳理探测、调用频率、API权限管控等。4.5.1.3 异常告警 包括异常风险行为命中策略规则产生的告警日志、告警通知方式（邮件、短信、syslog等）。4.5.1.4 SQL 类型行为阻断 包括源、目的IP、源、目的端口、数据库用户、操作时间、匹配的策略名、数据库操作SQL等。4.5.1.5 高危 SQL 操

12、作行为 包括源、目的IP、源、目的端口、阻断和等高危行为、高危操作语句是否被拦截、高危操作告警信息等。4.5.1.6 操作对象行为阻断 包括对操作对象（数据库、表、视图、索引、列等）进行访问控制的限定，对“增、删、改、查”行为进行的阻断。4.5.1.7 用户行为阻断 包括源、目的IP、对用户的操作和对象进行访问控制的限定。4.5.1.8 匹配正则表达式 SQL 字符串阻断 包括自定义正则表达式的规则设置，对某一或某些特征的SQL语句进行访问控制的限定，防止非法访问数据库。4.5.1.9 防 SQL 注入 包括SQL注入特征库，对SQL语句进行检测识别是否符合SQL注入特征，对符合SQL注入特征

13、的语句进行访问控制的限定，防止非法访问数据库。4.5.1.10 基于 IP/用户名过高访问频率行为阻断 包括对某IP/用户名过于频繁访问数据库控制的阻断，以及对过于频繁访问数据库的IP地址或用户名进行访问控制的限定。4.5.2 数据泄露事件 4.5.2.1 泄露时间 DB 3404/T 132023 5 包括数据泄露发生时间点、数据泄露发现时间点、数据泄露持续时间。4.5.2.2 泄露方式 包括黑客入侵、内部外泄、主动出售、爬虫获取。4.5.2.3 涉及人员 包括攻击者、内部人员、第三方运维人员。4.5.2.4 产生的影响 包括对个人组织、社会经济、国家利益带来不同程度的影响。数据安全合规 4

14、.6.1 等级保护评估（等保）应按业务系统的安全级别，根据GB/T 22239对不同的业务系统开展定级备案、等级测评、建设整改、监督检查，重点关注三级业务系统，需每年测评一次，二级业务系统，需每两年测评一次。4.6.2 商用密码应用安全性评估（密评）应按业务系统的安全级别，根据GB/T 39786对密码应用的合规性、正确性和有效性进行安全评估。4.6.3 数据安全能力成熟度评估（DSMM 测评）应按业务系统的安全级别，根据GB/T 37988围绕数据全生命周期的各个阶段，需要从管理、技术手段两方面加强数据安全能力建设，提升数据安全能力。5 数据安全监控管理流程 使用申请 数据安全监控管理人员需

15、提交数据安全系统使用申请表（见附录A），明确申请人、使用目的、系统信息、使用时间等内容。权限审批 数据安全部门应建立权限审批管理工作机制，并由其数据安全负责人审核，决定是否批准使用申请。操作监控 通过自动化数据安全技术工具，对数据分类分级情况、数据威胁情况、安全事件处置情况进行记录。监控过程行为审计 确保所有的操作过程被审计，并做好记录留存，由数据安全部门负责人定期组织进行过程审计。6 执行评价 参照附录B衡量组织数据安全监控的质量。DB 3404/T 132023 6 A A 附录A （资料性）数据安全系统使用申请表 数据安全系统使用申请表见表A.1。表A.1 数据安全系统使用申请表 申请人

16、 申请部门 申请目的 用于日常数据安全监控 申请时间 审批人 审批部门 系统信息 IP：XX.XX.XX.XX，用户名:XXXX，密码：XXXXX 登录方式 本地登录、VPN等 使用时间 DB 3404/T 132023 7 B B 附录B （资料性）监控管理规范执行等级表 监控管理规范执行等级表表B.1。表B.1 监控管理规范执行等级 等级代码 等级规范名称 特征描述 备注 L1 非正式执行级 仅根据临时的需要或者基于个人经验对部分监控指标项进行安全监控管理 随机、无序、被动地执行数据安全监控活动，依赖于个人经验，无法复制 L2 计划跟踪级 利用部分数据安全技术工具开展安全监控活动，形成定期

17、执行监控任务的习惯，但缺乏标准化的监控时长以及针对性的监控，没有形成体系化 主动地实现数据安全监控活动的计划和执行，但没有形成体系化 L3 充分定义级 熟练利用相关数据安全技术工具开展安全监控活动，按照一定的标准定期对各类监控指标项进行监控，严格按照监控方法执行，并对监控内容进行记录，形成监控备忘录 实现了数据安全监控活动的规范执行 L4 量化控制级 对数据安全监控工作进行量化，例如“监控时长、监控效率、监控质量”等 建立了量化目标，数据安全监控活动可度量 L5 持续优化级 应跟踪数据安全监控的效果，持续改进相关数据安全监控管理的技术工具 DB 3404/T 132023 8 参考文献 1 GB/T 39477-2020 信息安全技术 政务信息共享 数据安全技术要求