ICS 35.020 CCS L 70 DB52 贵 州 省 地 方 标 准 DB52/T 1540.6—2021 政务数据 第 6 部分：安全技术规范 Government data—part:6 security technical specification 2021 - 08 - 18 发布 贵州省市场监督管理局 2021 - 12 - 01 实施 发 布 DB52/T 1540.6—2021 目 次 1 范围 .............................................................................. 1  2 规范性引用文件 .................................................................... 1  3 术语和定义 ........................................................................ 1  4 缩略语 ............................................................................ 1  5 数据安全框架 ...................................................................... 1  6 数据基本安全 ...................................................................... 1  7 数据生命周期安全 .................................................................. 1  8 数据安全监测与评估 ................................................................ 1  参考文献 ............................................................................. 2  I DB52/T 1540.6—2021 前 言 本文件按照GB/T 1.1-2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定起 草。 本文件是DB52/T 1540的第6部分。DB52/T 1540已经发布了以下部分： ——第 1 部分：术语； ——第 2 部分：元数据管理规范； ——第 3 部分：数据清洗加工规范； ——第 4 部分：数据质量评估规范； ——第 5 部分：共享交换基本要求； ——第 6 部分：安全技术规范。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本文件由贵州省大数据发展管理局提出。 本文件由贵州省大数据标准化技术委员会归口。 本文件起草单位：贵州省机械电子产品质量检验检测院、大数据安全工程研究中心（贵州）有限公 司、云上贵州大数据产业发展有限公司、贵州中软云上数据技术服务有限公司、中电科大数据研究院 有限公司（提升政府治理能力大数据应用技术国家工程实验室）。 本文件主要起草人：廖芳、宿睿智、刘彦嘉、蒋开明、徐明春、刘东昊、邵建平、李雪松、李迪、 唐昶、张洋、陈驰、孙瑾、韦超、黄海峰、张婧慧、刘汪洋、丁剑飞。 II DB52/T 1540.6—2021 政务数据 第 6 部分：安全技术规范 1 范围 本文件规定了政务数据安全的数据安全框架、数据基本安全、数据生命周期安全、数据安全检测与 评估。 本文件适用于政务数据安全的控制和管理。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 25069-2010 信息安全技术 术语 GB/T 38667-2020 信息技术 大数据 数据分类指南 GB/T 39477-2020 信息安全技术 政务信息共享数据安全技术要求 GM/T 0054-2018 信息系统密码应用基本要求 DB 52/T 1123-2016 政府数据 数据分类分级指南 DB 52/T 1126-2016 政府数据 数据脱敏工作指南 3 术语和定义 GB/T 25069-2010界定的以及下列术语和定义适用于本文件。 3.1 政务数据 government data 各级部门及其技术支撑单位在履行职责过程中依法采集、生成、存储、管理的各类数据资源。 [来源：GB/T 38664.1-2020，3.1] 3.2 数据安全 data security 采用技术和管理措施来保护数据的保密性、完整性和可用性等。 [来源：GB/T 39477-2020，3.1] 1 DB52/T 1540.6—2021 3.3 个人信息 personal information 以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然 人活动情况的各种信息。 [来源：GB/T 35273-2020，3.1] 3.4 敏感数据 sensitive data 由权威机构确定的受保护的信息数据。 注：敏感信息数据的泄露、修改、破环或丢失会对人或事产生可预知的损害。 [来源：GB/T 39477-2020，3.7] 3.5 数据脱敏 data desensitization 通过一系列数据处理方法对原始数据进行处理以屏蔽敏感数据的一种数据保护方法。 [来源：GB/T 37988-2019，3.12] 3.6 数据沙箱 data sandbox 一种通过实现数据所有权和数据使用权分离，以确保数据流通过程安全可控的产品或平台。 3.7 数字水印 digital watermarking 一种将特定的数字信号嵌入数字产品中以保护数字产品版权或完整性的技术。 3.8 数据归集 data ingestion 面向特定场景或领域对数据进行采集、清洗加工和整合的活动。 3.9 数据供应链 data supply chain 为满足数据供应关系，通过资源和过程将需求方、供给方相互关联的结构。 [来源：GB/T 37988-2019，3.14] 3.10 访问控制 access control 用于控制用户可否进入系统以及进入系统的用户能够读写的数据集的方法。 2 DB52/T 1540.6—2021 3.11 资源目录 data resource catalog 通过对政务数据资源依据规范的元数据描述，按照一定的分类方法进行排序和编码的一组信息。 [来源：GB/T 39477-2020，3.6] 3.12 溯源信息 provenance information 数据处理过程中记录的可以实现追踪数据来源的信息。 [来源：GB/T 39477-2020，3.10] 3.13 元数据 metadata 关于数据或数据元素的数据（可能包括其数据描述），以及关于数据拥有权、存取路径、访问权和 数据易变性的数据。 [来源：GB/T 35297-2017，2.2.7] 3.14 政务数据提供者 government data provider 利用各种技术向其他政府部门、事业单位、企业或公众提供政务数据的实体。 3.15 政务数据使用者 government data user 使用政务数据的实体。 [来源：GB/T 38664.1-2020，3.8] 3.16 数据服务提供者 data service provider 提供政务数据相关技术支持和服务的组织机构。 4 缩略语 下列缩略语适用于本文件。 DLP：数据泄露防护（Data Leakage Protection） SSL：安全套接字层协议(Secure Sockets Layer) TLS：安全传输层协议(Transport Layer Security) UEBA：用户实体行为分析 (User and Entity Behavior Analytics) 3 DB52/T 1540.6—2021 5 数据安全框架 政务数据安全框架见图1。框架由数据基本安全、数据生命周期安全、数据安全检测与评估构成， 包括以下内容： a) 数据基本安全：包括制度与规程、人员管理、数据资产管理、数据分类分级、元数据管理、数 据供应链、终端数据安全、数据访问控制； b) 数据生命周期安全：包括数据归集、数据传输、数据存储、数据处理、数据交换、数据销毁； c) 数据安全检测与评估：包括流量监测、异常行为检测、安全审计、检测评估。 政务数据安全框架 数据生命周期安全 数据采集 数据汇集 数据溯源 数据质量 流量监测 数据归集 数据传输 传输加密 网络可用性 数据保存 数据备份与恢复 数据处理 数据分析 数据开发利用 异常行为检测 数据存储 数据脱敏 数据处理环境 数据导入导出 安全审计 数据交换 数据开放 数据共享 数据销毁 数据销毁处置 存储媒体销毁 制度与规程 人员管理 数据资产管理 数据分类分级 元数据管理 数据供应链 终端数据安全 数据访问控制 图1 6 政务数据安全框架 数据基本安全 6.1 6.1.1 6.1.2 4 制度与规程 应制定满足业务规划的数据安全方针、安全目标和安全原则。 应基于目标和原则，形成以数据为核心的体系化的数据安全制度和规程。 检测评估 数据基本安全 数 据 安 全 检 测 与 评 估 DB52/T 1540.6—2021 6.1.3 6.1.4 6.2 6.2.1 应明确制度和规程分发机制，确保制度和规程分发至组织的相关部门、岗位和人员。 应建立制度和规程的评审、发布流程，明确适当频率和时机进行更新，确保与业务规划相适宜。 人员管理 数据安全团队技术能力 6.2.1.1 应熟悉国内外主流的数据安全产品和工具，如 DLP、脱敏工具、数据溯源、加密平台等，能 判断当前组织的需求。 6.2.1.2 在数据生命周期中，应能评估潜在数据安全风险，包括但不限于数据业务风险、数据泄露风 险、隐私保护风险等，并能制定有效、合理降低数据风险的解决方案或措施。 6.2.1.3 应能对敏感数据流动做好审计工作，具备风险排查能力，快速处置数据的篡改和泄露等。 6.2.1.4 应能对当前数据安全体系进行技术验证，可采用白盒、灰盒和黑盒等安全测试和对抗，确保 数据安全防御形成一