导图社区 数据安全检测规范
推动国家数据安全落地工作:HTTP:超文本传输协议(HTTP,HyperText Transfer Protocol);HTTPS:超文本传输安全协议(Hypertext Transfer Protocol Secure)。
编辑于2022-06-29 14:19:34实时更新——本文件基于20多个国标、行标,综合分析数据分类分级办法。 数据分类分级管理办法是一种用于规范和管理数据分类分级的方法。它可以确保数据在收集、存储和使用过程中得到适当的保护和控制。以下是一些常见的数据分类分级管理办法: 1. 制定数据分类标准:根据组织的需求和业务特点,制定适合的数据分类标准。这包括确定数据的敏感程度、重要性和保密级别等。 2. 分级标识和标记:对不同级别的数据进行明确的标识和标记。可以使用符号、颜色、代码等方式,使得数据的分类分级信息可以清晰地表达出来。 3. 限制数据访问权限:根据数据的分类分级,设置不同的访问权限。只有经过授权的人员才能访问和使用相应级别的数据,以确保数据不被未授权的人员获取。 4. 加强数据存储和传输安全:对于高级别的敏感数据,采取额外的安全措施,如加密、防火墙、访问日志等,确保数据在存储和传输过程中不被非法获取或篡改。 5. 定期审查和更新:定期审查已分类分级的数据,确保分类分级仍然准确和适用。根据实际情况,及时更新数据的分类分级信息。 通过这些数据分类分级管理办法,组织可以更好地保护和管理数据,并确保数据的安全性和合规性。
实时更新——本文件基于20多个国标、行标,综合分析数据分类分级办法。 数据分类分级管理办法是一种用于规范和管理数据分类分级的方法。它可以确保数据在收集、存储和使用过程中得到适当的保护和控制。以下是一些常见的数据分类分级管理办法: 1. 制定数据分类标准:根据组织的需求和业务特点,制定适合的数据分类标准。这包括确定数据的敏感程度、重要性和保密级别等。 2. 分级标识和标记:对不同级别的数据进行明确的标识和标记。可以使用符号、颜色、代码等方式,使得数据的分类分级信息可以清晰地表达出来。 3. 限制数据访问权限:根据数据的分类分级,设置不同的访问权限。只有经过授权的人员才能访问和使用相应级别的数据,以确保数据不被未授权的人员获取。 4. 加强数据存储和传输安全:对于高级别的敏感数据,采取额外的安全措施,如加密、防火墙、访问日志等,确保数据在存储和传输过程中不被非法获取或篡改。 5. 定期审查和更新:定期审查已分类分级的数据,确保分类分级仍然准确和适用。根据实际情况,及时更新数据的分类分级信息。 通过这些数据分类分级管理办法,组织可以更好地保护和管理数据,并确保数据的安全性和合规性。
实时更新——本文件基于20多个国标、行标,综合分析数据分类分级办法。 数据分类分级管理办法是一种用于规范和管理数据分类分级的方法。它可以确保数据在收集、存储和使用过程中得到适当的保护和控制。以下是一些常见的数据分类分级管理办法: 1. 制定数据分类标准:根据组织的需求和业务特点,制定适合的数据分类标准。这包括确定数据的敏感程度、重要性和保密级别等。 2. 分级标识和标记:对不同级别的数据进行明确的标识和标记。可以使用符号、颜色、代码等方式,使得数据的分类分级信息可以清晰地表达出来。 3. 限制数据访问权限:根据数据的分类分级,设置不同的访问权限。只有经过授权的人员才能访问和使用相应级别的数据,以确保数据不被未授权的人员获取。 4. 加强数据存储和传输安全:对于高级别的敏感数据,采取额外的安全措施,如加密、防火墙、访问日志等,确保数据在存储和传输过程中不被非法获取或篡改。 5. 定期审查和更新:定期审查已分类分级的数据,确保分类分级仍然准确和适用。根据实际情况,及时更新数据的分类分级信息。 通过这些数据分类分级管理办法,组织可以更好地保护和管理数据,并确保数据的安全性和合规性。
社区模板帮助中心,点此进入>>
实时更新——本文件基于20多个国标、行标,综合分析数据分类分级办法。 数据分类分级管理办法是一种用于规范和管理数据分类分级的方法。它可以确保数据在收集、存储和使用过程中得到适当的保护和控制。以下是一些常见的数据分类分级管理办法: 1. 制定数据分类标准:根据组织的需求和业务特点,制定适合的数据分类标准。这包括确定数据的敏感程度、重要性和保密级别等。 2. 分级标识和标记:对不同级别的数据进行明确的标识和标记。可以使用符号、颜色、代码等方式,使得数据的分类分级信息可以清晰地表达出来。 3. 限制数据访问权限:根据数据的分类分级,设置不同的访问权限。只有经过授权的人员才能访问和使用相应级别的数据,以确保数据不被未授权的人员获取。 4. 加强数据存储和传输安全:对于高级别的敏感数据,采取额外的安全措施,如加密、防火墙、访问日志等,确保数据在存储和传输过程中不被非法获取或篡改。 5. 定期审查和更新:定期审查已分类分级的数据,确保分类分级仍然准确和适用。根据实际情况,及时更新数据的分类分级信息。 通过这些数据分类分级管理办法,组织可以更好地保护和管理数据,并确保数据的安全性和合规性。
实时更新——本文件基于20多个国标、行标,综合分析数据分类分级办法。 数据分类分级管理办法是一种用于规范和管理数据分类分级的方法。它可以确保数据在收集、存储和使用过程中得到适当的保护和控制。以下是一些常见的数据分类分级管理办法: 1. 制定数据分类标准:根据组织的需求和业务特点,制定适合的数据分类标准。这包括确定数据的敏感程度、重要性和保密级别等。 2. 分级标识和标记:对不同级别的数据进行明确的标识和标记。可以使用符号、颜色、代码等方式,使得数据的分类分级信息可以清晰地表达出来。 3. 限制数据访问权限:根据数据的分类分级,设置不同的访问权限。只有经过授权的人员才能访问和使用相应级别的数据,以确保数据不被未授权的人员获取。 4. 加强数据存储和传输安全:对于高级别的敏感数据,采取额外的安全措施,如加密、防火墙、访问日志等,确保数据在存储和传输过程中不被非法获取或篡改。 5. 定期审查和更新:定期审查已分类分级的数据,确保分类分级仍然准确和适用。根据实际情况,及时更新数据的分类分级信息。 通过这些数据分类分级管理办法,组织可以更好地保护和管理数据,并确保数据的安全性和合规性。
实时更新——本文件基于20多个国标、行标,综合分析数据分类分级办法。 数据分类分级管理办法是一种用于规范和管理数据分类分级的方法。它可以确保数据在收集、存储和使用过程中得到适当的保护和控制。以下是一些常见的数据分类分级管理办法: 1. 制定数据分类标准:根据组织的需求和业务特点,制定适合的数据分类标准。这包括确定数据的敏感程度、重要性和保密级别等。 2. 分级标识和标记:对不同级别的数据进行明确的标识和标记。可以使用符号、颜色、代码等方式,使得数据的分类分级信息可以清晰地表达出来。 3. 限制数据访问权限:根据数据的分类分级,设置不同的访问权限。只有经过授权的人员才能访问和使用相应级别的数据,以确保数据不被未授权的人员获取。 4. 加强数据存储和传输安全:对于高级别的敏感数据,采取额外的安全措施,如加密、防火墙、访问日志等,确保数据在存储和传输过程中不被非法获取或篡改。 5. 定期审查和更新:定期审查已分类分级的数据,确保分类分级仍然准确和适用。根据实际情况,及时更新数据的分类分级信息。 通过这些数据分类分级管理办法,组织可以更好地保护和管理数据,并确保数据的安全性和合规性。
数据安全检测技术规范
前言
参考:
《中华人民共和国网络安全法》
《中华人民共和国数据安全法》
《中华人民共和国个人信息保护法》
《关键信息基础设施安全保护条例》
《信息安全等级保护管理办法》
《个人信息安全规范》
起草单位:
参与单位:
1 范围
本文件规定了数据安全与合规检测系统产品需要具备的功能要求、自身安全要求和安全保障要求。
本文件适用于数据安全与合规检测系统产品的开发及检测,该产品可以作为等保检查工具箱的配套工具。
2 规范性引用文件
GB/T 25069 信息安全技术 术语
GB/T 5271.8 信息技术 词汇 第8部分:安全
GB/T 20984 信息安全技术 信息安全风险评估规范
GB/T 31167-2014 信息安全技术 云计算服务安全指南
GB/T 31168-2014 信息安全技术 云计算服务安全能力要求
GB/T 18336.3-2015 信息技术 安全技术 信息技术安全性评估准则 第3部分:安全保障组件
GB/T 35274-2017 信息安全技术 大数据服务安全能力要求
GB/T 36073-2018 数据管理能力成熟度评估模型
GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求
GB/T 28448-2019 信息安全技术 网络安全等级保护测评要求
GB/T 35273-2020 信息安全技术 个人信息安全规范
3 术语和定义
数据安全 Data Security
保护数据的机密性、完整性和可用性。
安全策略 Security Policy
有关管理、保护和传播敏感数据的一套规则。
网络数据 Network data
指通过网络收集、存储、传输、处理和产生的各种电子数据。
个人信息 Personal information
以电子或其他方式记录的能够单独或与其他信息结合识别自然人身份的各种信息,如姓名、出生日期、身份证号、个人账号信息、住址、电话号码、指纹、虹膜等。
重要数据 Important data
相关组织、机构和个人在境内收集、产生的不涉及国家秘密,但与国家安全、经济发展以及公共利益密切相关的数据(包括原始数据和衍生数据)。
注1:经政府信息公开渠道合法公开的,不再属于重要数据。
敏感数据 Sensitive information
网络数据中的个人信息和重要数据。
正则表达式 Regular Expression
使用预定义字符或字符组合来描述、匹配一系列符合某个句法规则的字符串。
文档特征 Document Feature
描述文件属性的信息,如文件的类型、名称、体积等。
结构化数据指纹 Structured Data Inspection
能够将数据库中每条记录的指定字段通过指纹算法处理后录入指纹数据库,利用该指纹可以检测待处理数据中是否存在数据库中的记录信息。
非结构化数据指纹 Unstructured Data Inspection
分为精确文档指纹和相似度文档指纹,精确指纹采用快速散列算法对整个文件进行处理,生成其特征,并存储到指纹数据库。相似度指纹通过自然语言处理技术,并结合相应的指纹算法,提取其特征, 并存入指纹数据库,可以支持部分匹配检测。
向量机学习 Support Vector Machine
是一种二类分类模型,基本模型是定义在特征空间上的间隔最大的线性分类器,将向量映射到一个 更高维的空间里,在这个空间里建立有一个最大间隔超平面。在分开数据的超平面的两边建有两个互相 平行的超平面。建立方向合适的分隔超平面使两个与之平行的超平面间的距离最大化。
关系型数据库服务 Relational Database Service
是一种即开即用、稳定可靠、可弹性伸缩的在线数据库服务。具有多重安全防护措施和完善的性能 监控体系,并提供专业的数据库备份、恢复及优化方案。
中间件 Middlerware
位于系统软件之上,用于支持分布式应用软件,连接不同软件实体的支撑软件。
授权管理员 Authorized administrator
具有产品管理权限的人,负责对产品的系统配置、安全策略以及审计日志等进行管理。
用户 User
在产品的安全策略布控之下,能够接触敏感数据的人,并且此人不具有能影响产品安全策略执行的权限。
4 缩略语
HTTP:超文本传输协议(HTTP,HyperText Transfer Protocol)
HTTPS:超文本传输安全协议(Hypertext Transfer Protocol Secure)
SMTP:简单邮件传输协议(Simple Mail Transfer Protocol)
SMTPS: 简单邮件传输协议的安全协议(SMTP-over-SSL)
IMAP:Internet邮件访问协议(Internet Mail Access Protocol)
FTP:文件传输协议(File Transfer Protocol)
FTPS: 增强型文件传输协议(FTP-over-SSL)
SMB2: 服务器信息块协议(Server Message Block protocol)
SSL:安全套接层(Secure Socket Layer)
POP3:邮局协议版本3(Post Office Protocol - Version 3)
5 数据安全合规检测系统产品描述
功能结构
部署方式
服务器存储数据的产品部署
网络传输数据的产品部署
终端数据的产品部署
6 功能要求
6.1 数据安全法规符合性评估功能
基本信息录入
检查范围框定
合规问询评估
报告文书编制
6.2 检测对象数据抽取功能
存储检测对象
终端检测对象
网络检测对象
6.3 数据内容检测功能
数据规则管理
数据检测技术
结构化、非结构化数据内容解析
数据内容识别技术
6.4 安全措施检测功能
加密存储检测
加密传输检测
剩余信息保护检测
个人信息保护检测
6.5 数据检测性能
6.6 检查结果分析统计展示功能
7 自身安全要求
7.1 标识与鉴别
唯一性标识
身份鉴别
鉴别数据保护
鉴别失败处理
7.2 安全管理
7.3 区分安全管理角色
7.4 远程管理
7.5 数据保密
7.6 设备
7.7 审计
审计日志生成
审计日志存储
审计日志管理
7.8 报警
事件报警
报警消息
报警方式
7.9 安全性
运行稳定性
数据安全
8 安全保障要求
8.1 配置管理
部分配置管理自动化
配置管理能力
版本号
配置项
授权控制
产生支持和接受程序
配置管理范围
配置管理覆盖
问题跟踪配置管理覆盖
8.2 交付与运行
交付程序
修改检测
安装、生成和启动程序
8.3 开发
功能规范
非形式化功能规范
充分定义的外部接口
高层设计
描述性高层设计
安全加强的高层设计
安全功能实现的子集
描述性低层设计
非形式化对应性证实
非形式化产品安全策略模型
8.4 指导性文档
管理员指南
用户指南
8.5 生命周期支持
安全措施标识
开发者定义的生命周期模型
明确定义的开发工具
8.6 测试
测试覆盖
覆盖证据
覆盖分析
测试:高层设计
功能测试
独立测试
一致性
抽样
8.7 脆弱性评定
误用
指南审查
分析确认
产品安全功能强度评估
脆弱性分析
开发者/独立的脆弱性分析,中级抵抗力
附录A
资料性附录
个人信息示例
附录B
规范性附录
重要数据识别
B.1 石油
B.2 煤炭
B.3 石化
B.4 电力
B.5 通信
B.6 电子信息
B.7 钢铁
B.8 有色金属
B.9 装备制造
B.10 化学工业
B.11 国防军工
B.12 其他工业
B.13 地理信息
B.14 民用核设施
B.15 交通运输
B.16 邮政快递
B.17 水利
B.18 人口健康
B.19 金融
B.20 征信
B.21 食品药品
B.22 统计
B.23 气象
B.24 广播电视
B.25 海洋环境
B.26 电子商务
B.27 其他