《DB3404_T 13-2023 政务数据安全监控管理规范.docx》由会员分享,可在线阅读,更多相关《DB3404_T 13-2023 政务数据安全监控管理规范.docx(11页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、ICS35.020CCSL803404淮南市地方标准DB3404/T132023政务数据安全监控管理规范Managementspecificationforsecuritymonitoringofgovernmentdata2023-12-20发布2024-1-20实施淮南市市场监督管理局发布DB3404/T132023目次前言.II1范围.12规范性引用文件.13术语和定义.14数据安全监控内容.1数据资产.1数据流转.2数据安全风险.2数据安全审计.3数据安全事件处置.4数据安全合规.55数据安全监控管理流程.5使用申请.5权限审批.5操作监控.5监控过程行为审计.56执行评价.5附录A(
2、资料性)数据安全系统使用申请表.6附录B(资料性)监控管理规范执行等级表.7参考文献.8IDB3404/T132023前言本文件按照GB/T1.12020标准化工作导则第1部分:标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由淮南市数据资源管理局提出并归口。本文件起草单位:淮南市信息中心、杭州数安工场科技股份有限公司、淮南师范学院、淮南市公安局、杭州数梦工场科技有限公司。本文件主要起草人:孙凯、李港、王雷、王宏政、郑孝淮、伍德伟。IIDB3404/T132023政务数据安全监控管理规范1范围本文件规定了政务数据安全监控管理
3、的监控内容、执行评价和管理流程。本文件适用于政务数据的数据安全监控管理工作。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T22239信息安全技术网络安全等级保护基本要求GB/T37988信息安全技术数据安全能力成熟度模型GB/T39786信息安全技术信息系统密码应用基本要求3术语和定义下列术语和定义适用于本文件。敏感数据sensitivedata由权威机构确定的受保护的信息数据。注:敏感信息数据的泄露、修改、破坏或丢失会对人或事产生可
4、预知的损害。来源:GB/T394772020,3.74数据安全监控内容数据资产4.1.1业务数据4.1.1.1结构化数据结构化数据主要监控:a)资产分布,主要包括数据总量、字段总量、表数量;b)敏感数据分布,主要包括敏感数据总量、敏感表数量、敏感列数量;c)数据分类分级,数据分类主要包括数据资源目录划分,分为:1)大类划分:政务数据目录、社会数据目录、经济数据目录等;2)子类划分:主题资源类目、基础资源类目;字段分级清单,包括数据库信息、表结构、表名称、表描述、字段结构、字段分类、字段等级、部门标签、所属系统、所属用户等;敏感数据资产清单,包括数据库信息、表信息、敏感标签、敏感字段级别等。4.
5、1.1.2非结构化数据1场景监控数据数据归集数据源数据申请、数据源身份鉴别、合法性校验、完整性校验、数据分类分级等数据归集平台数据归集方式(前置库、API接口、库表)、数据归集效率、数据归集质量等数据传输业务系统系统名称、账号、权限及归属部门等传输方式加密传输、明文传输、传输通道等人员数据操作日志、访问记录、所属部门等数据完整性数据的格式、内容、空间等数据存储数据库系统类型、版本、使用状态、安全漏洞等加密方式透明加密、非透明加密、加密策略等存储机制存储位置、存储方式、备份方式等数据使用应用访问应用访问特定目录或文件(该目录生命周期是从用户选择使用到该应用取消应用的一段时间)、应用访问非特定目录
6、或文件数据运维客户端IP、账号密码、访问权限、访问操作记录等测试和开发人员的权限、操作日志、测试记录等终端安全运行进程、病毒木马、文件外发、密码强度、漏洞等数据准入数据源接入申请、人员审批记录、数据内容、数据的敏感级别等数据治理数据源数据源身份鉴别、合法性校验、完整性校验等数据处理者数据者的账号密码、权限、操作行为等数据治理平台数据清洗质量、数据清洗的效率等数据共享交换数据共享方式有条件共享、无条件共享、不予共享共享交换系统共享交换的效率、共享交换的数据内容等数据来源方、接收方各委办局、市直属单位等DB3404/T132023非结构化数据主要监控:a)数据库运维日志,主要包括上行的SQL操作命
7、令和下行的数据查询结果。通过旁路或者软件探针的方式,采集到运维人员对数据库的操作日志;b)日志收集协议,包括Syslog、SNMP、JDBC/ODBC、SFTP、SCP等。4.1.2平台数据4.1.2.1数据库系统数据包括运行状态、类型,其中运行状态主要关注索引效率、查询统计、查询缓冲命中率、系统性能等。类型主要分为国产数据库、国外数据库。4.1.2.2应用软件自身运行数据包括缓存数据、配置数据等。数据流转数据流转应监控的数据见表1。表1数据流转监控数据数据安全风险4.3.1内部数据安全风险2DB3404/T1320234.3.1.1业务系统漏洞包括漏洞数量、漏洞类型、漏洞危害程度三个方面,其
8、中漏洞类型需要关注弱口令、sql注入、xss跨站脚本、数据库漏洞等。漏洞危害程度要关注高危、中危漏洞。4.3.1.2内部工作人员包括账号、密码、权限等人员主体信息,以及记录访问及操作数据的行为。4.3.1.3API接口包括数据平台所提供的接口数量,向外部透出的数据内容,是否涉及敏感数据,透出对象,以及以下几种情况:a)当数据接口被不同第三方调用时,是否违规拉取数据情况;b)数据接口是否按照安全合规标准进行开发,报备和真实的是否一致;c)当数据平台发生变化时,接口传输数据内容是否发生变化或者失活接口是否有做及时的下线处理。4.3.2外部数据安全风险4.3.2.1恶意非法攻击包括攻击方、攻击目的、
9、攻击目标等,其中攻击方包括个人、黑客、APT组织等。4.3.2.2第三方运维人员包括人员账号权限、访问操作数据的行为、日常运维记录。其中对于访问操作数据的行为,应对安全管理员、系统管理员、审计管理员这三者的所有操作行为审计记录,包括sql语句增删改查记录、账号登录和退出系统时间、系统操作日志等。对于日常运维记录,应不定期查看,发现记录内容有错误的或者描述不清的,应按要求规范记录。数据安全审计4.4.1数据访问行为审计4.4.1.1正常合法行为包括登录方式、登录时间、合法账号、合规访问等。4.4.1.2异常非法行为包括非授权访问、越权访问、异常频繁访问、异常恶意攻击等。4.4.2数据操作行为审计
10、4.4.2.1数据接入申请包括数据接入方申请记录、平台方的审批记录、数据完整性校验等。4.4.2.2数据使用审批包括数据使用方的申请记录、平台方的审批记录、数据提供的途径(API接口、库表等方式)等。4.4.2.3sql增删改查3DB3404/T132023包括sql语句查询、非法删除、恶意篡改等。数据安全事件处置4.5.1数据安全风险事件4.5.1.1数据非法篡改包括数据完整性校验、数据来源、数据接触方等。4.5.1.2API接口滥用、未鉴权包括API接口梳理探测、调用频率、API权限管控等。4.5.1.3异常告警包括异常风险行为命中策略规则产生的告警日志、告警通知方式(邮件、短信、sysl
11、og等)。4.5.1.4SQL类型行为阻断包括源、目的IP、源、目的端口、数据库用户、操作时间、匹配的策略名、数据库操作SQL等。4.5.1.5高危SQL操作行为包括源、目的IP、源、目的端口、阻断和等高危行为、高危操作语句是否被拦截、高危操作告警信息等。4.5.1.6操作对象行为阻断包括对操作对象(数据库、表、视图、索引、列等)进行访问控制的限定,对“增、删、改、查”行为进行的阻断。4.5.1.7用户行为阻断包括源、目的IP、对用户的操作和对象进行访问控制的限定。4.5.1.8匹配正则表达式SQL字符串阻断包括自定义正则表达式的规则设置,对某一或某些特征的SQL语句进行访问控制的限定,防止非
12、法访问数据库。4.5.1.9防SQL注入包括SQL注入特征库,对SQL语句进行检测识别是否符合SQL注入特征,对符合SQL注入特征的语句进行访问控制的限定,防止非法访问数据库。4.5.1.10基于IP/用户名过高访问频率行为阻断包括对某IP/用户名过于频繁访问数据库控制的阻断,以及对过于频繁访问数据库的IP地址或用户名进行访问控制的限定。4.5.2数据泄露事件4.5.2.1泄露时间4DB3404/T132023包括数据泄露发生时间点、数据泄露发现时间点、数据泄露持续时间。4.5.2.2泄露方式包括黑客入侵、内部外泄、主动出售、爬虫获取。4.5.2.3涉及人员包括攻击者、内部人员、第三方运维人员
13、。4.5.2.4产生的影响包括对个人组织、社会经济、国家利益带来不同程度的影响。数据安全合规4.6.1等级保护评估(等保)应按业务系统的安全级别,根据GB/T22239对不同的业务系统开展定级备案、等级测评、建设整改、监督检查,重点关注三级业务系统,需每年测评一次,二级业务系统,需每两年测评一次。4.6.2商用密码应用安全性评估(密评)应按业务系统的安全级别,根据GB/T39786对密码应用的合规性、正确性和有效性进行安全评估。4.6.3数据安全能力成熟度评估(DSMM测评)应按业务系统的安全级别,根据GB/T37988围绕数据全生命周期的各个阶段,需要从管理、技术手段两方面加强数据安全能力建
14、设,提升数据安全能力。5数据安全监控管理流程使用申请数据安全监控管理人员需提交数据安全系统使用申请表(见附录A),明确申请人、使用目的、系统信息、使用时间等内容。权限审批数据安全部门应建立权限审批管理工作机制,并由其数据安全负责人审核,决定是否批准使用申请。操作监控通过自动化数据安全技术工具,对数据分类分级情况、数据威胁情况、安全事件处置情况进行记录。监控过程行为审计确保所有的操作过程被审计,并做好记录留存,由数据安全部门负责人定期组织进行过程审计。6执行评价参照附录B衡量组织数据安全监控的质量。5申请人申请部门申请目的用于日常数据安全监控申请时间审批人审批部门系统信息IP:XX.XX.XX.
15、XX,用户名:XXXX,密码:XXXXX登录方式本地登录、VPN等使用时间DB3404/T132023AA附录A(资料性)数据安全系统使用申请表数据安全系统使用申请表见表A.1。表A.1数据安全系统使用申请表6等级代码等级规范名称特征描述备注L1非正式执行级仅根据临时的需要或者基于个人经验对部分监控指标项进行安全监控管理随机、无序、被动地执行数据安全监控活动,依赖于个人经验,无法复制L2计划跟踪级利用部分数据安全技术工具开展安全监控活动,形成定期执行监控任务的习惯,但缺乏标准化的监控时长以及针对性的监控,没有形成体系化主动地实现数据安全监控活动的计划和执行,但没有形成体系化L3充分定义级熟练利
16、用相关数据安全技术工具开展安全监控活动,按照一定的标准定期对各类监控指标项进行监控,严格按照监控方法执行,并对监控内容进行记录,形成监控备忘录实现了数据安全监控活动的规范执行L4量化控制级对数据安全监控工作进行量化,例如“监控时长、监控效率、监控质量”等建立了量化目标,数据安全监控活动可度量L5持续优化级应跟踪数据安全监控的效果,持续改进相关数据安全监控管理的技术工具DB3404/T132023BB附录B(资料性)监控管理规范执行等级表监控管理规范执行等级表表B.1。表B.1监控管理规范执行等级7DB3404/T132023参考文献1GB/T39477-2020信息安全技术政务信息共享数据安全技术要求8