DB52/T 1540.6-2021标准规范下载简介
DB52/T 1540.6-2021 政务数据 第6部分:安全技术规范.pdf简介:
DB52/T 1540.6-2021 是中国重庆市的地方标准,全称为《政务数据安全技术规范 第6部分:安全技术规范简介》。这个标准主要针对政务数据的安全管理,旨在为政务数据的采集、存储、处理、传输和共享等环节提供安全技术指导,以保护政务数据的安全性和隐私性。
《政务数据安全技术规范》系列标准的6部分可能涵盖了数据加密、访问控制、安全审计、灾难恢复、身份认证、数据备份等多个方面,强调了在政务信息化建设中对数据安全的重视。它可能包括了防止数据泄露、防止未授权访问、确保数据完整性和可用性的措施。
然而,具体的6部分内容可能需要查阅标准原文或相关的技术文档才能获得详细信息。这个标准是针对重庆市的,其他地区可能有类似但不完全一致的安全标准。如果你需要了解更多关于这个标准的具体内容,建议你查阅官方发布的标准文本或咨询相关领域的专业人士。
DB52/T 1540.6-2021 政务数据 第6部分:安全技术规范.pdf部分内容预览:
DB52/T1540.62021
DB52/T1540.62021
元数据metadata
提供政务数据相关技术支持和服务的组织机构
GB/T 51262-2017标准下载下列缩略语适用于本文件。 DLP:数据泄露防护(DataLeakageProtection) SSL:安全套接字层协议(SecureSocketsLayer) TLS:安全传输层协议(TransportLayerSecurity) UEBA:用户实体行为分析(User and Entity Behavior Analytics)
DB52/T1540.62021
政务数据安全框架见图1。框架由数据基本安全、数据生命周期安全、数据安全检测与评估构成, 包括以下内容: a 数据基本安全:包括制度与规程、人员管理、数据资产管理、数据分类分级、元数据管理、数 据供应链、终端数据安全、数据访问控制; b 数据生命周期安全:包括数据归集、数据传输、数据存储、数据处理、数据交换、数据销毁: ℃数据安全检测与评估:包括流量监测、异常行为检测、安全审计、检测评估。
图1政务数据安全框架
6.1.1应制定满足业务规划的数据安全方针、安全目标和安全原则。 6.1.2应基于目标和原则,形成以数据为核心的体系化的数据安全制度和规程。
DB52/T1540.62021
6.1.4应建立制度和规程的评审、发布流程, 明确适当频率和时机进行更新,确保与业务规划相适宜。
6.2.1数据安全团队技术能力
6.2.1.1应熟悉国内外主流的数据安全产品和工具,如DLP、脱敏工具、数据溯源、加密平台等,能 判断当前组织的需求。 6.2.1.2在数据生命周期中,应能评估潜在数据安全风险,包括但不限于数据业务风险、数据泄露风 险、隐私保护风险等,并能制定有效、合理降低数据风险的解决方案或措施。 3.2.1.3应能对敏感数据流动做好审计工作,具备风险排查能力,快速处置数据的篡改和泄露等。 6.2.1.4应能对当前数据安全体系进行技术验证,可采用白盒、灰盒和黑盒等安全测试和对抗,确保 数据安全防御形成一个持续迭代更新的良性循环系统。 6.2.1.5应了解国内外前沿的数据安全和隐私保护技术,如加密技术、差分隐私和UEBA等,能在恰当 时期引入组织需要的技术,降低数据安全和隐私保护的风险,
6. 2. 2人员安全
6.2.2.1人员聘用前,应对重要岗位人员进行必要的背景调查,签署相关的保密协议。 6.2.2.2应识别数据安全关键岗位,并签署数据安全岗位责任协议。数据安全关键岗位包括但不限于 数据安全管理岗位、审计岗位、特权账户所有者、数据各级权限审批者、重要数据采集或处理岗位等 6.2.2.3发生调岗、离职时,应及时将人员变更通知到相关方,及时调整人员变化涉及的账号和权限 回收相关资源、设备和授权。 6.2.2.4数据库管理、操作及安全审计等岗位应设立专人专岗,并实行权限分离,必要时设立双岗。 6.2.2.5应制定与各参与方人员的保密协议,明确相关人员与组织的数据安全责任。 6.2.2.6应建立数据安全能力和意识的培养、考核机制
6.3.1应明确数据资产安全责任主体及相关方。 6.3.2 应对数据资产进行登记,并按照一定的分类方法进行排序和编码,形成数据资源目录并发布 6.3.3 应对数据资源目录的发布进行审核,检查数据资源目录的规范性和准确性。 6.3.4 应根据政务业务的变化情况,及时更新数据资源目录及相关信息。 6.3.5应根据数据分类分级相关要求确定数据资源目录对应的数据安全等级。 5.3.6 应建立数据资源及目录访问控制和传输加密的保护机制。 6.3.7 数据资产的登记、查询和变更管理宜通过技术工具实现
DB52/T1540.62021
6.5.1应明确元数据的统一格式和管理规则,数据格式、数据域、字段类型、表结构、逻辑存储和物 理存储结构及管理方式等。 6.5.2应提供元数据管理工具,支持数据表的导航和搜索,提供表血缘关系、字段信息和关联信息等 6.5.3应通过访问控制及授权确保元数据的安全性和保密性。 6.5.4应采集元数据操作日志,确保对元数据的操作可追溯。 6.5.5应保证元数据、元模型的一致性和连续性,避免元数据错乱。 6.5.6通过元模型的版本管理,保障元数据在使用时的稳定性
6.6.1应明确数据供应链安全管理的责任部门和人员。 6.6.2应建立政务数据提供者、政务数据使用者、数据服务提供者的安全管理规范,明确数据供应链 的安全目标、原则和范围。 6.6.3应签订合作协议,明确数据供应链中数据的使用目的、供应方式、保密约定和参与方责任等, 并对合作方及参与人员进行背景调查,
5.7.1人网的终端设备应部署防护工具,如防病毒、终端入侵检测等软件,并定期进行病毒扫描和软 件的更新。 6.7.2应通过硬盘加密的方式保障存储重要数据终端设备的安全性。 6.7.3应建立终端设备的白名单,实现对特定数据的访问授权管理。 6.7.4可访问敏感数据的终端,宜部署终端数据防泄漏方案,如数字水印、文档加密等,通过技术工 具对终端设备上数据及数据的操作进行风险监控。 6.7.5宜实现终端设备与组织内部人员的有效绑定。 6.7.6应采用身份鉴别、访问控制等手段对打印输出设备进行安全管控,并对用户账户在该终端设备 上的数据操作进行日志记录。
6.8.1应明确政务信息系统、平台和数据库的身份鉴别、访问控制与权限管理的要求。 6.8.2应建立用户口令长度、口令生存周期、口令复杂度等管理策略,保证基于口令的身份鉴别安全 性。 6.8.3关键系统应采用口令、密码技术、生物技术等2种及以上组合的鉴别技术对用户进行身份鉴别 且其中一种鉴别技术应使用国密密码技术来实现。 6.8.4权限分配应遵循最少够用、职权分离等原则,仅授予不同账户完成其工作内容所需的最小权限, 并保留授权记录。 6.8.5应定期审核数据访问权限,及时删除或停用多余的、过期的账户和角色,避免共享账户和角色 权限冲突的存在。 6.8.6应严格限制批量修改、拷贝、下载等操作的权限。 6.8.7账号应采用实名认证,可追潮
DB52/T1540.62021
7.1.1.1应明确个人信息采集的目的、方式、范围和保存期限。当涉及敏感个人信息时,应明确采集 的必要性及对个人的影响,不得收集与其提供的服务无关的个人信息。 7.1.1.2个人信息的采集需要用户授权同意,通过采集工具记录授权完整过程。 7.1.1.3移动端采集数据时,应实现终端数据安全防护,防止数据泄露,如通过隔离于宿主机硬盘的 安全存储区等方式。
7.1.2.1应设立归集库,用于保留归集的原始数据,满足溯源、核查等需求。 7.1.2.2应通过数据归集技术工具,对政务数据归集的数据抽取、数据清洗、数据规范化和数据加载 过程进行管控。 7.1.2.3应采取全量和增量对账、单向和双向结合的技术手段,确保归集数据的完整性。
7. 1. 4数据质量
7.1.4.1应建立政务数据的数据字典,并定期维护和更新。 7.1.4.2应定义数据质量标准,包括但不限于数据格式要求(类型、范围、长度、精度等)、空缺值、 内容冲突、不合规约束等,并定期维护和更新。 7.1.4.3应通过数据质量标准、可解读的元数据规范、参考数据列表、数据的业务规范等监控和管理 数据质量。 7.1.4.4数据发生变化时,存储在不同位置的同一数据应同步修改。 7.1.4.5应通过数据清洗提升数据质量,可采用缺失数据处理、不一致数据处理、重复对象检测、异 常数据检测、逻辑错误检测等方式进行。 7.1.4.6应利用技术工具对关键数据进行质量管理和监控,实现数据质量异常告警,
DB52/T1540.62021
载等方式,确保数据传输的保密性和不可抵赖性。 7.2.1.4应提供对传输通道两端进行主体身份鉴别、认证的技术方案和工具
DB41/T 1669-2018标准下载7. 2. 2网络可用性
7.2.2.1应对关键的网络传输链路、网络设备节点实行穴余建设。 7.2.2.2应部署相关设备对网络可用性及数据泄露风险进行防范,如负载均衡、防入侵攻击、数据防 泄漏检测与防护等设备。 7.2.2.3应对传输数据的完整性进行检测、发现问题及时告警并进行阻断和恢复,
7.3.1.1应建立各类数据存储系统的安全配置规则,明确各类数据存储系统的账号权限管理、访问控 制、日志管理、加密管理、版本升级等方面的要求。 7.3.1.2应提供工具支撑存储介质及逻辑存储空间的安全管理,如权限管理、身份鉴别、访问控制等, 防止存储介质和逻辑存储空间的不当使用。 7.3.1.3应具备多用户数据存储安全隔离能力。 7.3.1.4应提供数据存储系统配置扫描工具,定期对重要的数据存储系统进行安全配置扫描,确保符 合安全基线要求。 7.3.1.5应将可用于恢复识别个人的信息与去标识化后的信息分开存储,并加强访问控制。 7.3.1.6个人生物识别信息应与个人身份信息分开存储,在使用面部识别特征、指纹、掌纹、虹膜等 实现识别身份后,不应存储可提取个人生物识别信息的原始图像
7.3.2数据备份与恢复
7.3.2.1应明确数据备份与恢复的操作规程,包含数据备份和恢复的范围、频率、工具、过程、日志 记录、数据保存时长等。 7.3.2.2应建立数据备份与恢复的技术工具支持本地和异地数据灾备,保证数据备份、数据恢复的自 动执行。 7.3.2.3 应建立备份数据安全的技术手段,包括但不限于对备份数据的访问控制、压缩或加密管理。 7.3.2.4过期存储数据及其备份数据应采用彻底删除或匿名化的方法进行处理。 7.3.2.5应定期检查数据备份存储介质,确保进行数据恢复时备份可用。 7.3.2.6应定期进行数据恢复测试,确保备份数据能进行正常的恢复,数据恢复后应进行数据完整性 校验。
7.4.1.1应采用技术手段降低数据分析过程中的隐私泄露风险,如差分隐私保护、K匿名、数据沙箱等。 7.4.1.2应记录并保存数据处理与分析过程中对个人信息、重要数据等敏感数据的操作行为,包括但不 限于处理人员、处理系统IP地址、处理时间处理方式等 7.4.1.3处理与分析后的数据,应能通过数据血缘等方式保留溯源的信息。 7.4.1.4应对数据分析结果的输出和使用进行安全审核,避免信息泄漏风险,
GB∕T 50554-2017 煤炭工业矿井工程建设项目设计文件编制标准7. 4. 2数据脱敏