ICS35.020

CCSL80

3404

淮南市地方標(biāo)準(zhǔn)

DB3404/T13—2023

政務(wù)數(shù)據(jù)安全監(jiān)控管理規(guī)范

Managementspecificationforsecuritymonitoringofgovernmentdata

2023-12-20發(fā)布2024-1-20實(shí)施

淮南市市場(chǎng)監(jiān)督管理局發(fā)布

DB3404/T13—2023

目次

前言.................................................................................II

1范圍...............................................................................1

2規(guī)范性引用文件.....................................................................1

3術(shù)語和定義.........................................................................1

4數(shù)據(jù)安全監(jiān)控內(nèi)容...................................................................1

數(shù)據(jù)資產(chǎn).......................................................................1

數(shù)據(jù)流轉(zhuǎn).......................................................................2

數(shù)據(jù)安全風(fēng)險(xiǎn)...................................................................2

數(shù)據(jù)安全審計(jì)...................................................................3

數(shù)據(jù)安全事件處置...............................................................4

數(shù)據(jù)安全合規(guī)...................................................................5

5數(shù)據(jù)安全監(jiān)控管理流程...............................................................5

使用申請(qǐng).......................................................................5

權(quán)限審批.......................................................................5

操作監(jiān)控.......................................................................5

監(jiān)控過程行為審計(jì)...............................................................5

6執(zhí)行評(píng)價(jià)...........................................................................5

附錄A（資料性）數(shù)據(jù)安全系統(tǒng)使用申請(qǐng)表...............................................6

附錄B（資料性）監(jiān)控管理規(guī)范執(zhí)行等級(jí)表...............................................7

參考文獻(xiàn)..............................................................................8

I

DB3404/T13—2023

前言

本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定

起草。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。

本文件由淮南市數(shù)據(jù)資源管理局提出并歸口。

本文件起草單位：淮南市信息中心、杭州數(shù)安工場(chǎng)科技股份有限公司、淮南師范學(xué)院、淮南市公安

局、杭州數(shù)夢(mèng)工場(chǎng)科技有限公司。

本文件主要起草人：孫凱、李港、王雷、王宏政、鄭孝淮、伍德偉。

II

DB3404/T13—2023

政務(wù)數(shù)據(jù)安全監(jiān)控管理規(guī)范

1范圍

本文件規(guī)定了政務(wù)數(shù)據(jù)安全監(jiān)控管理的監(jiān)控內(nèi)容、執(zhí)行評(píng)價(jià)和管理流程。

本文件適用于政務(wù)數(shù)據(jù)的數(shù)據(jù)安全監(jiān)控管理工作。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T22239信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求

GB/T37988信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型

GB/T39786信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求

3術(shù)語和定義

下列術(shù)語和定義適用于本文件。

敏感數(shù)據(jù)sensitivedata

由權(quán)威機(jī)構(gòu)確定的受保護(hù)的信息數(shù)據(jù)。

注：敏感信息數(shù)據(jù)的泄露、修改、破壞或丟失會(huì)對(duì)人或事產(chǎn)生可預(yù)知的損害。

[來源：GB/T39477—2020，3.7]

4數(shù)據(jù)安全監(jiān)控內(nèi)容

數(shù)據(jù)資產(chǎn)

4.1.1業(yè)務(wù)數(shù)據(jù)

結(jié)構(gòu)化數(shù)據(jù)

結(jié)構(gòu)化數(shù)據(jù)主要監(jiān)控：

a)資產(chǎn)分布，主要包括數(shù)據(jù)總量、字段總量、表數(shù)量；

b)敏感數(shù)據(jù)分布，主要包括敏感數(shù)據(jù)總量、敏感表數(shù)量、敏感列數(shù)量；

c)數(shù)據(jù)分類分級(jí)，數(shù)據(jù)分類主要包括數(shù)據(jù)資源目錄劃分，分為：

1)大類劃分：政務(wù)數(shù)據(jù)目錄、社會(huì)數(shù)據(jù)目錄、經(jīng)濟(jì)數(shù)據(jù)目錄等；

2)子類劃分：主題資源類目、基礎(chǔ)資源類目；字段分級(jí)清單，包括數(shù)據(jù)庫信息、表結(jié)構(gòu)、表

名稱、表描述、字段結(jié)構(gòu)、字段分類、字段等級(jí)、部門標(biāo)簽、所屬系統(tǒng)、所屬用戶等；敏

感數(shù)據(jù)資產(chǎn)清單，包括數(shù)據(jù)庫信息、表信息、敏感標(biāo)簽、敏感字段級(jí)別等。

非結(jié)構(gòu)化數(shù)據(jù)

1

DB3404/T13—2023

非結(jié)構(gòu)化數(shù)據(jù)主要監(jiān)控：

a)數(shù)據(jù)庫運(yùn)維日志，主要包括上行的SQL操作命令和下行的數(shù)據(jù)查詢結(jié)果。通過旁路或者軟件探

針的方式，采集到運(yùn)維人員對(duì)數(shù)據(jù)庫的操作日志；

b)日志收集協(xié)議，包括Syslog、SNMP、JDBC/ODBC、SFTP、SCP等。

4.1.2平臺(tái)數(shù)據(jù)

數(shù)據(jù)庫系統(tǒng)數(shù)據(jù)

包括運(yùn)行狀態(tài)、類型，其中運(yùn)行狀態(tài)主要關(guān)注索引效率、查詢統(tǒng)計(jì)、查詢緩沖命中率、系統(tǒng)性能等。

類型主要分為國(guó)產(chǎn)數(shù)據(jù)庫、國(guó)外數(shù)據(jù)庫。

應(yīng)用軟件自身運(yùn)行數(shù)據(jù)

包括緩存數(shù)據(jù)、配置數(shù)據(jù)等。

數(shù)據(jù)流轉(zhuǎn)

數(shù)據(jù)流轉(zhuǎn)應(yīng)監(jiān)控的數(shù)據(jù)見表1。

表1數(shù)據(jù)流轉(zhuǎn)監(jiān)控?cái)?shù)據(jù)

場(chǎng)景監(jiān)控?cái)?shù)據(jù)

數(shù)據(jù)源數(shù)據(jù)申請(qǐng)、數(shù)據(jù)源身份鑒別、合法性校驗(yàn)、完整性校驗(yàn)、數(shù)據(jù)分類分級(jí)等

數(shù)據(jù)歸集

數(shù)據(jù)歸集平臺(tái)數(shù)據(jù)歸集方式（前置庫、API接口、庫表）、數(shù)據(jù)歸集效率、數(shù)據(jù)歸集質(zhì)量等

業(yè)務(wù)系統(tǒng)系統(tǒng)名稱、賬號(hào)、權(quán)限及歸屬部門等

傳輸方式加密傳輸、明文傳輸、傳輸通道等

數(shù)據(jù)傳輸

人員數(shù)據(jù)操作日志、訪問記錄、所屬部門等

數(shù)據(jù)完整性數(shù)據(jù)的格式、內(nèi)容、空間等

數(shù)據(jù)庫系統(tǒng)類型、版本、使用狀態(tài)、安全漏洞等

數(shù)據(jù)存儲(chǔ)加密方式透明加密、非透明加密、加密策略等

存儲(chǔ)機(jī)制存儲(chǔ)位置、存儲(chǔ)方式、備份方式等

應(yīng)用訪問特定目錄或文件（該目錄生命周期是從用戶選擇使用到該應(yīng)用取消

應(yīng)用訪問

應(yīng)用的一段時(shí)間）、應(yīng)用訪問非特定目錄或文件

數(shù)據(jù)運(yùn)維客戶端IP、賬號(hào)密碼、訪問權(quán)限、訪問操作記錄等

數(shù)據(jù)使用

測(cè)試和開發(fā)人員的權(quán)限、操作日志、測(cè)試記錄等

終端安全運(yùn)行進(jìn)程、病毒木馬、文件外發(fā)、密碼強(qiáng)度、漏洞等

數(shù)據(jù)準(zhǔn)入數(shù)據(jù)源接入申請(qǐng)、人員審批記錄、數(shù)據(jù)內(nèi)容、數(shù)據(jù)的敏感級(jí)別等

數(shù)據(jù)源數(shù)據(jù)源身份鑒別、合法性校驗(yàn)、完整性校驗(yàn)等

數(shù)據(jù)治理數(shù)據(jù)處理者數(shù)據(jù)者的賬號(hào)密碼、權(quán)限、操作行為等

數(shù)據(jù)治理平臺(tái)數(shù)據(jù)清洗質(zhì)量、數(shù)據(jù)清洗的效率等

數(shù)據(jù)共享方式有條件共享、無條件共享、不予共享

數(shù)據(jù)共享交換共享交換系統(tǒng)共享交換的效率、共享交換的數(shù)據(jù)內(nèi)容等

數(shù)據(jù)來源方、接收方各委辦局、市直屬單位等

數(shù)據(jù)安全風(fēng)險(xiǎn)

4.3.1內(nèi)部數(shù)據(jù)安全風(fēng)險(xiǎn)

2

DB3404/T13—2023

業(yè)務(wù)系統(tǒng)漏洞

包括漏洞數(shù)量、漏洞類型、漏洞危害程度三個(gè)方面，其中漏洞類型需要關(guān)注弱口令、sql注入、xss

跨站腳本、數(shù)據(jù)庫漏洞等。漏洞危害程度要關(guān)注高危、中危漏洞。

內(nèi)部工作人員

包括賬號(hào)、密碼、權(quán)限等人員主體信息，以及記錄訪問及操作數(shù)據(jù)的行為。

API接口

包括數(shù)據(jù)平臺(tái)所提供的接口數(shù)量，向外部透出的數(shù)據(jù)內(nèi)容，是否涉及敏感數(shù)據(jù)，透出對(duì)象，以及以

下幾種情況：

a)當(dāng)數(shù)據(jù)接口被不同第三方調(diào)用時(shí)，是否違規(guī)拉取數(shù)據(jù)情況；

b)數(shù)據(jù)接口是否按照安全合規(guī)標(biāo)準(zhǔn)進(jìn)行開發(fā)，報(bào)備和真實(shí)的是否一致；

c)當(dāng)數(shù)據(jù)平臺(tái)發(fā)生變化時(shí)，接口傳輸數(shù)據(jù)內(nèi)容是否發(fā)生變化或者失活接口是否有做及時(shí)的下線

處理。

4.3.2外部數(shù)據(jù)安全風(fēng)險(xiǎn)

惡意非法攻擊

包括攻擊方、攻擊目的、攻擊目標(biāo)等，其中攻擊方包括個(gè)人、黑客、APT組織等。

第三方運(yùn)維人員

包括人員賬號(hào)權(quán)限、訪問操作數(shù)據(jù)的行為、日常運(yùn)維記錄。其中對(duì)于訪問操作數(shù)據(jù)的行為，應(yīng)對(duì)安

全管理員、系統(tǒng)管理員、審計(jì)管理員這三者的所有操作行為審計(jì)記錄，包括sql語句增刪改查記錄、賬

號(hào)登錄和退出系統(tǒng)時(shí)間、系統(tǒng)操作日志等。對(duì)于日常運(yùn)維記錄，應(yīng)不定期查看，發(fā)現(xiàn)記錄內(nèi)容有錯(cuò)誤的

或者描述不清的，應(yīng)按要求規(guī)范記錄。

數(shù)據(jù)安全審計(jì)

4.4.1數(shù)據(jù)訪問行為審計(jì)

正常合法行為

包括登錄方式、登錄時(shí)間、合法賬號(hào)、合規(guī)訪問等。

異常非法行為

包括非授權(quán)訪問、越權(quán)訪問、異常頻繁訪問、異常惡意攻擊等。

4.4.2數(shù)據(jù)操作行為審計(jì)

數(shù)據(jù)接入申請(qǐng)

包括數(shù)據(jù)接入方申請(qǐng)記錄、平臺(tái)方的審批記錄、數(shù)據(jù)完整性校驗(yàn)等。

數(shù)據(jù)使用審批

包括數(shù)據(jù)使用方的申請(qǐng)記錄、平臺(tái)方的審批記錄、數(shù)據(jù)提供的途徑（API接口、庫表等方式）等。

sql增刪改查

3

DB3404/T13—2023

包括sql語句查詢、非法刪除、惡意篡改等。

數(shù)據(jù)安全事件處置

4.5.1數(shù)據(jù)安全風(fēng)險(xiǎn)事件

數(shù)據(jù)非法篡改

包括數(shù)據(jù)完整性校驗(yàn)、數(shù)據(jù)來源、數(shù)據(jù)接觸方等。

API接口濫用、未鑒權(quán)

包括API接口梳理探測(cè)、調(diào)用頻率、API權(quán)限管控等。

異常告警

包括異常風(fēng)險(xiǎn)行為命中策略規(guī)則產(chǎn)生的告警日志、告警通知方式（郵件、短信、syslog等）。

SQL類型行為阻斷

包括源、目的IP、源、目的端口、數(shù)據(jù)庫用戶、操作時(shí)間、匹配的策略名、數(shù)據(jù)庫操作SQL等。

高危SQL操作行為

包括源、目的IP、源、目的端口、阻斷和等高危行為、高危操作語句是否被攔截、高危操作告警信

息等。

操作對(duì)象行為阻斷

包括對(duì)操作對(duì)象（數(shù)據(jù)庫、表、視圖、索引、列等）進(jìn)行訪問控制的限定，對(duì)“增、刪、改、查”

行為進(jìn)行的阻斷。

用戶行為阻斷

包括源、目的IP、對(duì)用戶的操作和對(duì)象進(jìn)行訪問控制的限定。

匹配正則表達(dá)式SQL字符串阻斷

包括自定義正則表達(dá)式的規(guī)則設(shè)置，對(duì)某一或某些特征的SQL語句進(jìn)行訪問控制的限定，防止非法

訪問數(shù)據(jù)庫。

防SQL注入

包括SQL注入特征庫，對(duì)SQL語句進(jìn)行檢測(cè)識(shí)別是否符合SQL注入特征，對(duì)符合SQL注入特征的語句進(jìn)

行訪問控制的限定，防止非法訪問數(shù)據(jù)庫。

0基于IP/用戶名過高訪問頻率行為阻斷

包括對(duì)某IP/用戶名過于頻繁訪問數(shù)據(jù)庫控制的阻斷，以及對(duì)過于頻繁訪問數(shù)據(jù)庫的IP地址或用戶

名進(jìn)行訪問控制的限定。

4.5.2數(shù)據(jù)泄露事件

泄露時(shí)間

4

DB3404/T13—2023

包括數(shù)據(jù)泄露發(fā)生時(shí)間點(diǎn)、數(shù)據(jù)泄露發(fā)現(xiàn)時(shí)間點(diǎn)、數(shù)據(jù)泄露持續(xù)時(shí)間。

泄露方式

包括黑客入侵、內(nèi)部外泄、主動(dòng)出售、爬蟲獲取。

涉及人員

包括攻擊者、內(nèi)部人員、第三方運(yùn)維人員。

產(chǎn)生的影響

包括對(duì)個(gè)人組織、社會(huì)經(jīng)濟(jì)、國(guó)家利益帶來不同程度的影響。

數(shù)據(jù)安全合規(guī)

4.6.1等級(jí)保護(hù)評(píng)估（等保）

應(yīng)按業(yè)務(wù)系統(tǒng)的安全級(jí)別，根據(jù)GB/T22239對(duì)不同的業(yè)務(wù)系統(tǒng)開展定級(jí)備案、等級(jí)測(cè)評(píng)、建設(shè)整改、

監(jiān)督檢查，重點(diǎn)關(guān)注三級(jí)業(yè)務(wù)系統(tǒng)，需每年測(cè)評(píng)一次，二級(jí)業(yè)務(wù)系統(tǒng)，需每?jī)赡隃y(cè)評(píng)一次。

4.6.2商用密碼應(yīng)用安全性評(píng)估（密評(píng)）

應(yīng)按業(yè)務(wù)系統(tǒng)的安全級(jí)別，根據(jù)GB/T39786對(duì)密碼應(yīng)用的合規(guī)性、正確性和有效性進(jìn)行安全評(píng)估。

4.6.3數(shù)據(jù)安全能力成熟度評(píng)估（DSMM測(cè)評(píng)）

應(yīng)按業(yè)務(wù)系統(tǒng)的安全級(jí)別，根據(jù)GB/T37988圍繞數(shù)據(jù)全生命周期的各個(gè)階段，需要從管理、技術(shù)手

段兩方面加強(qiáng)數(shù)據(jù)安全能力建設(shè)，提升數(shù)據(jù)安全能力。

5數(shù)據(jù)安全監(jiān)控管理流程

使用申請(qǐng)

數(shù)據(jù)安全監(jiān)控管理人員需提交數(shù)據(jù)安全系統(tǒng)使用申請(qǐng)表（見附錄A），明確申請(qǐng)人、使用目的、系

統(tǒng)信息、使用時(shí)間等內(nèi)容。

權(quán)限審批

數(shù)據(jù)安全部門應(yīng)建立權(quán)限審批管理工作機(jī)制，并由其數(shù)據(jù)安全負(fù)責(zé)人審核，決定是否批準(zhǔn)使用申請(qǐng)。

操作監(jiān)控

通過自動(dòng)化數(shù)據(jù)安全技術(shù)工具，對(duì)數(shù)據(jù)分類分級(jí)情況、數(shù)據(jù)威脅情況、安全事件處置情況進(jìn)行記錄。

監(jiān)控過程行為審計(jì)

確保所有的操作過程被審計(jì)，并做好記錄留存，由數(shù)據(jù)安全部門負(fù)責(zé)人定期組織進(jìn)行過程審計(jì)。

6執(zhí)行評(píng)價(jià)

參照附錄B衡量組織數(shù)據(jù)安全監(jiān)控的質(zhì)量。

5

DB3404/T13—2023

A

A

附錄A

（資料性）

數(shù)據(jù)安全系統(tǒng)使用申請(qǐng)表

數(shù)據(jù)安全系統(tǒng)使用申請(qǐng)表見表A.1。

表A.1數(shù)據(jù)安全系統(tǒng)使用申請(qǐng)表

申請(qǐng)人

申請(qǐng)部門

申請(qǐng)目的用于日常數(shù)據(jù)安全監(jiān)控

申請(qǐng)時(shí)間

審批人

審批部門

系統(tǒng)信息IP：XX.XX.XX.XX，用戶名:XXXX，密碼：XXXXX

登錄方式本地登錄、VPN等

使用時(shí)間

…………

6

DB3404/T13—2023

B

B

附錄B

（資料性）

監(jiān)控管理規(guī)范執(zhí)行等級(jí)表

監(jiān)控管理規(guī)范執(zhí)行等級(jí)表表B.1。

表B.1監(jiān)控管理規(guī)范執(zhí)行等級(jí)

等級(jí)代碼等級(jí)規(guī)范名稱特征描述備注

僅根據(jù)臨時(shí)的需要或者基于個(gè)人經(jīng)驗(yàn)對(duì)部分隨機(jī)、無序、被動(dòng)地執(zhí)行數(shù)據(jù)安全監(jiān)

L1非正式執(zhí)行級(jí)

監(jiān)控指標(biāo)項(xiàng)進(jìn)行安全監(jiān)控管理控活動(dòng)，依賴于個(gè)人經(jīng)驗(yàn)，無法復(fù)制

利用部分?jǐn)?shù)據(jù)安全技術(shù)工具開展安全監(jiān)控活

動(dòng)，形成定期執(zhí)行監(jiān)控任務(wù)的習(xí)