《数据安全法》、《个人信息保护法》等法律法规的颁布实施,坚持安全和发展并重的原则,积极应对复杂严峻的安全风险与挑战,加速构建数据安全保障体系,成为电信和互联网行业重要工作。
“安全发展、标准先行”,标准化工作是保障数据安全的重要基础。
日前,中国通信标准化协会归口、美创科技参与起草的5项电信和互联网行业数据安全标准,于8月1日正式实施。
-
《电信网和互联网数据分类分级技术要求与测试方法》
-
《电信网和互联网数据脱敏技术要求和测试方法》
-
《电信网和互联网数据异常行为监测技术要求与测试方法》
-
《电信网和互联网数据库审计技术要求与测试方法》
-
《电信网和互联网应用程序接口数据安全技术要求和测试方法》
今天,2023国家网络安全宣传周-电信日,本文将对5项电信和互联网行业数据安全标准主要内容进行解读分享。
《电信网和互联网数据分类分级技术要求与测试方法》
文件规定了电信网和互联网数据在分类分级过程中所需技术的相关要求和对应的测试方法。
文件适用于企业、组织或机构在实施数据分类分级过程中对相关技术工具或产品的设计、开发、测试、评估。
● 数据分类分级技术
文件按《YD/T3813-2020 基础电信企业数据分类分级方法》中电信和互联网数据分类分级的过程,将电信和互联网数据分类分级技术划分成三个方面:数据资源梳理、数据分类分级识别标注、数据分类分级结果管理。各模块与分类分级工作过程的对应情况如下:
数据分类分级技术与数据分类分级过程的对应关系
● 数据分类分级技术要求
◼︎ 数据源梳理
| 主动嗅探数据源发现 | 应支持向给定IP地址/地址段和给定端口/端口范围发送探测消息;应支持关系型数据库、非关系型数据库、使用文件存储、共享类协议搭建的数据源发现;应支持周期性自动触发、事件触发、手工触发或其他启动方式。 |
| 被动监测数据源发现 | 应支持对数据源所在网络的流量进行监测和分析;应支持关系型教据库、非关系型数据库、使用文件存储、共享类协议搭建的数据源以及动态数据源的发现。 |
| 数据源信息管理 | 应支持手工录入或批量导入致据源信息;应支持数据源信息的编辑和删除;应支持数据源梳理结果的展示,展示形式宜为列表或图标。 |
◼︎ 数据分类分级识别与标注
| 分类分级映射模板制定 | 应根据己有的分类分级方法制定好分类和分级映射模板;分级映射模板应根据分级方法制定若干级别,并与分类的最小子类或其他级别子类相关联。 |
| 数据识别 | 应具备对数据源中数据的识别能;在对结构化数据的识别时,应根据数据特点采用相适应的算法;在对非结构化数据的识别时,应支持文本、图片、办公文档等格式的支持。 |
| 数据标注 | 应具备对已有数据分类分级映射的更新能力;标注过程不应对数据源数据造成修改或删除等破坏性影响。 |
◼︎ 数据分类分级结果管理
| 结果展示 | 应支持单个或多个数据源汇总的展示。结果展示内容包括但不限于数据源名称、数据源地址、库名、表名、字段名、文件类型、文件名、分级、所属分类。结果展示形式宜为可视化表格、统计图等。 |
| 结果更新 | 结果更新应支持将最新的扫描结果更新到数据分类分级结果中。 |
| 结果查询 | 应支持可视化查询;应支持使用查询条件对数据分类分级结果的查询;宜支持通过接口对数据分类分级结果的查询;宜支持导出查询结果,导出文件的格式宜是以下一种或多种:文本、办公文档、图片、压缩文件等。 |
以上是《电信网和互联网数据分类分级技术要求和测试方法》中技术要求部分的主要内容。对应每一项技术要求,标准中也明确了与之配套的测试方法。
《电信网和互联网数据脱敏技术要求和测试方法》
文件规定了电信网和互联网数据脱敏的技术要求与测试方法。
文件适用于电信网和互联网数据的脱敏工作,脱敏技术能力的设计、研发、测试、评估和验收等,包括数据脱敏的提供商、用户、测评机构和监管机构等。
● 数据脱敏应用架构
数据脱敏应用架构
● 数据脱敏技术要求
◼︎ 安全功能要求
| 数据源支持 | 应支持数据源输入校验、应至少支持一种数据库和数据仓库、应至少支持一种文件类型的数据,应至少支持一种大数据平台和一种动态数据流。 |
| 脱敏算法 | 应明示脱敏对象的目标脱敏结果;应支持配置异常数据的处理方式;宜根据不同场景优先使用散列、随机替换、截断、掩码、泛化等算法实现匿名化脱敏。 |
| 脱敏规则 | 应明示脱敏规则,避免跨业务跨机构数据脱敏效果相互消解;应支持脱敏字段预置与自定义功能;应支持脱敏规则的管理功能,例如创建、查询、编辑、删除等;应支持脱敏规则参数的配置功能(具体分为可逆类和不可逆类)。 |
| 脱敏策略 | 应支持脱敏策略自定义;应支持自定义敏感数据发现及对应脱敏规则的模板;脱敏策略的配置应支持到细粒度数据;宜支持通过数据子集、黑名单、白名单等方式控制数据脱敏范围;应支持对脱敏策略进行管理;应对脱敏相关行为进行完善的日志记录。 |
| 结果管理 | 应支持单个或多个脱敏任务汇总的展示;结果展示形式宜为可视化表格、统计图等;应支持可视化查询,通过查询条件对数据脱敏结果进行筛选;宜支持通过接口对数据脱敏结果的查询;宜支持导出查询结果,导出文件的格式宜是以下一种或多种:文本、办公文档、图片、压缩文件等。 |
◼︎ 业务场景要求
| 静态脱敏 | 开发和测试:使用业务系统中的真实数据时,需要通过脱敏手段保证敏感数据不被泄露。 |
| 数据共享分析:需要对特定敏感数据进行处理,保留部分敏感数据,从而实现数据共享或者部分数据分发给第三方或上游组织。 | |
| 动态脱敏 | 数据库运维脱敏:运维人员在运维的工作中直接连接生产数据库,能够查询数据库中的敏感数据存在敏感数据泄露风险,需要根据用户权限不同,对查询的敏感数据进行脱敏处理。 |
| 业务系统前台脱敏:业务系统前台页面中存在敏感数据,业务用户登录业务系统并访问敏感页面时,存在敏感数据泄露风险,需要根据用户权限不同,对敏感页面中的敏感数据进行脱敏处理。 | |
| 应用程序接口 (API) 脱敏:通过API方式实时获取业务数据,当接口中传递敏感数据时,存在敏感数据泄露风险,需要根据API调用方的权限不同,对接口中的敏感数据进行脱敏处理。 |
◼︎ 自身安全要求
| 安全运维 | 运维管理能力:应支持用户和用户组的创建、修改和删除等管理功能,并能根据实际需求分配与变更不同的角色和权限,并应支持对用户密码和用户信息的修改;应支持系统异常发现和告警;应提供可视化查看系统总体脱敏作业的列表清单、运行状态。 |
| 安全能力:应能够对用户身份进行标识和鉴别,并且身份标识具有唯一性;权限管理应依据“三权分立”原则,对脱敏管理、使用、审计人员角色进行分离设置。 | |
| 拓展能力 | 数据脱敏技术应能通过实施扩展策略、提供对外开放接口、具备与其它设备、工具、系统、平台联动能力等方面提升脱敏能力与性能。 |
《电信网和互联网数据异常行为监测技术要求与测试方法》
文件规定了通信行业中电信网和互联网异常行为监测技术的要求与测试方法。
文件适用于通信行业中电信网和互联网异常行为监测工作,异常行为监测技术能力的设计、研发、测试、评估和验收等,包括异常行为监测的提供商、用户、测评机构和监管机构。
● 数据异常行为监测技术总体框架
数据异常行为监测技术总体框架
● 数据异常行为监测技术要求
◼︎ 监测数据采集技术要求
| 监测数据源类型 | 应提供针对不同类型的数据库和通信协议的支持能力。 |
| 采集方式 | 应支持一种或多种数据采集方式,为满足办公网络、生产网络、公有云、私有云等常见场景的灵活部署。 |
| 采集传输 | 采集的数据在传输到平台集中存储和分析时,应通过身份认证、加密传输、数据完整性校验、数据断点重传机制等保证数据传输安全。 |
◼︎ 异常行为数据处理技术要求
| 数据解析 | 应支持通过不同协议和格式采集的数据解析为统一的元数据结构;应支持对数据源中非加密协议中的数据包进行高效完整的还原;应支持通过预先配置的方式,根据预定义数据格式解析数据;应支持根据不同的数据类型和数据来源将导入数据转化为对应的数据模型;应支持自定义策略配置,完整准确识别关键信息;宜支持利用机器学习、深度学习等技术。 |
| 数据清洗 | 应支持根据异常行为分析需求对数据进行过滤,提取对分析有价值的数据;应支持字段取值的标准化处理;应支持对错误数据或其它脏数据进行清洗;应具备数据聚合操作。 |
| 数据整理 | 应支持用户身份解析;应支持设备解析;应支持对数据进行筛选、关联、转换,进行特征工程构建;应能够输出用于异常行为分析的训练数据集和测试数据集。 |
| 数据存储 | 应支持结构化、半结构化数据和非结构化数据存储;宜支持分布式存储,具备大数据存储能力;应采取加密机制保证敏感数据机密性;应采取校验机制保证监测数据完整性;宜设置访问权限,按权限限定监测数据的使用;应具备备份及恢复能力。 |
◼︎ 异常行为分析技术要求
| 异常行为分析总体要求 | 应支持以数据处理结果集为依据,对数据的异常使用、用户异常行为进行分析,形成数据安全分析报告;应支持按照规则引擎、模型引擎、场景分析对不同业务场景、不同账号类型构建个性化的异常行为风险识别模型;应支持异常行为识别的扩展能力;应支持实时分析和离线分析两种模式;应支持对异常行为的可视化自助分析的能力;宜支持对用户进行标签挖掘。 |
| 规则引擎 | 应支持规则冲突检测;应支持预定义规则的更改;规则引擎可分为离线规则引擎和动态基线引擎。 |
| 模型引擎 | 宜提供多种算法支持,能够涵盖有监督与无监督学习模型;应能够从大量的数据中通过统计、在线分析处理、情报检索和模式识别等诸多方法,搜索隐藏于其中的信息;应支持在分布式部署情况下提供不同的大量复杂事件的关联分析;应支持异常行为识别模型的动态更新。 |
| 场景分析 | 宜支持从内外部攻击方式或数据资产风险因素等维度对数据生命周期过程中的异常行为进行场景分析或对信息系统应用过程进行场景分析;宜支持按照规则引擎、基线比对或模型检测技术对已经或将要产生实质危害的行为定性为安全事件;宜能够支持异常行为场景初始配置或基线规则的优化变更,以及上下线管理。 |
◼︎ 异常行为告警与响应技术要求
| 告警要求 | 当监测到异常行为时,应自动发出安全警告; 告警应包含事件级别、事件内容、事件时间、事件主体、事件客体、处置建议;告警功能应提供实时查询、批量导出或开放性接口等方式。 |
| 告警方式 | 告警方式应包括屏幕实时提示、邮件告警、短信告警和声音告警等方式;告警宜采用可视化展示和全景展示功能。 |
| 告警策略 | 应允许管理员自定义安全策略,对指定事件不子告警或定制响应方式;应对高频度发生的相同安全事件进行合并告警,避免出现告警风暴;针对大规模安全告警,宜通过关联分析算法,提高告警分析效率。 |
| 告警处置 | 告警处置应支撑手动执行和自动执行;告警功能应支持记录和归档,以支持后续安全审计。 |
| 阻断能力 | 宜实现应用层协议、网络层协议,主动阻断能力;宜实现与防火墙\DNS\IPS\网关,主动阻断能力。 |
| 联动能力 | 宜实现与其它网络设备或网络安全部件,按照设定的策略进行联动的能力;宜实现与其它安全管控平台(如安管平台、认证系统) 按照设定的策略进行联动的能力。 |
《电信网和互联网数据库审计技术要求与测试方法》
文件规定了电信网和互联网数据库审计产品、工具、系统、平台的技术要求与测试方法。
文件适用于电信网和互联网数据库审计技术能力的设计、研发、测试、评估和验收等,包括数据库审计的提供商、用户、测评机构和监管机构等。
● 数据库审计应用架构
数据库审计应用架构
数据源管理支持人工编辑,以及基于地址和端口扫描的主动嗅探和基于网络流量协议分析的被动监测两种自动发现方式。
审计策略管理支持用户选用基于系统内嵌模板的默认规则和根据自身需求创建自定义规则,并具备配置风险识别的各项参数及告警响应机制的能力。
审计引擎能够根据数据源和审计策略配置,从网络流量(基于数据库协议解析和语法分析技术)和插件(部署在数据库服务器上)提交的信息中采集和存储日志记录,并为日志建立好索引,还应支持对日志记录进行检索查询、稽核审查和定期生成统计报表等功能,还宜支持具备自动分析发现安全风险,并按照响应机制进行告警的能力。
数据库审计工具/系统/平台自身具备用户权限管理和访问控制功能,并提供图形化管理界面和能够与外部系统对接的调用接口。
● 数据库审计主要功能
实时记录网络上的数据库的活动,对数据库操作进行合规性管理,具备对数据库遭受到的风险行为进行告警,可以有能力对攻击行为进行阻断等。
通过对用户访问数据库行为的记录、分析和汇报,具备生成合规报告、事故追根溯源等功能,达到加强内外部数据库网络行为记录,提高数据资产安全。
具备数据源管理、审计策略、用户权限管理、告警响应、接口调用、审计结果查询与展示功能,支持多类数据库和数据仓库的审计等。
具备自身安全管理功能,包括身份鉴权、访问控制、插件安全和数据保护措施等。
美创科技参与起草的GB/T 20945-2023《信息安全技术 网络安全审计产品技术规范》国家标准,明确了数据库审计产品的技术要求和测试方法,新国标将于12月1日正式实施,后续美创科技将结合国家标准以及《电信网和互联网数据库审计技术要求与测试方法》,对数据库审计技术要求进行深度解读。
《电信网和互联网应用程序接口数据安全技术要求和测试方法》
文件规定了电信网和互联网应用程序接口 (API)数据安全的技术要求,并提供了相应测试方法、判定准则等。
文件适用电信网和互联网API相关的开发者、运营者及专业测评机构开展API数据安全测试工作,为提升API数据安全水平,强化测试能力、健全技术手段提供指引和依据。本文件不适用于操作系统接口、硬件接口。
● 应用程序接口 (API)安全技术要求
◼︎ 身份认证
| 认证机制 | 应设置API用户身份认证机制,通过如密钥、令牌、证书、静/动态口令等手段实现有效的用户身份验证。 |
| 安全策略 | 应具备口令复杂度策略,限制或禁止常见弱口令;应具备身份认证操作锁定策略,对错误尝试次数进行限制;应具备凭证有效期策略,要求定期对静态身份凭证进行修改。 |
◼︎ 接入授权
| 授权机制 | 应具备API用户授权机制,并基于不同用户身份分配其可访问的服务、资源及可执行操作。 |
| 会话管理 | 宜具备API访问会话管理机制,当用户会话过期或被放弃,应及时锁定/注销用户并终止会话。 |
◼︎ 访问控制
| 粗粒度访问控制 | 应具备针对未授权访问的识别和阻断能力,实现基于如访问时间、访问次数、用户IP等要素的粗粒度API访问控制。 |
| 细粒度访问控制 | 宜通过ACL、RBAC等技术,实现基于如签名、时间戳、黑白名单等机制的细粒度API资源访问控制。 |
| 令牌添加变量 | 应对API会话令牌等重要身份验证凭证进行添加变量操作,以防范重放、彩虹表碰撞等攻击。 |
| 二次认证机制 | 涉及重要数据或个人信息的API,宜部署基于动态口令、oAuth(2.0及以上)等技术的二次认证机制。 |
◼︎ 数据传输
| 请求参数校验 | 宜部署具备请求参数(如名称、参数类型、取值范围等) 校验能力的API管控机制。 |
| 数据资源安全 | 宜对API请求参数的规则、配置、URL等进行转义编码,避免关键地址、参数、字段泄露或存在歧义。 |
| 安全传输策略 | 涉及重要数抓或个人信息的API,应在数据传输中采用如加密、签名等手段对关键参数、数据内容等进行保护。 |
◼︎ 数据脱敏
| 脱敏能力 | 涉及重要数据或个人信息等的API,宜部署数据脱敏工具并根据API功能及用户配置相应脱敏策路,以实现返回数据有效脱敏。 |
| 脱敏有效性 | API返回数据脱敏效果应与脱敏规则一致,确保数据脱敏的有效性、真实性高效性和多样性。 |
◼︎ 数据筛选
| 返回数据筛选 | 宜根据API功能及数据类型对返回数据类型、格式等进行筛选,避免返回数据量及数据内容超出API设计要求。 |
| 差异化管控 | 宜根据API涉及的数据类型及数据分类分级情况对接口进行梳理,形成差异化管控。 |
| 重要数据识别 | 涉及重要数据或个人信息等的API,宜部署管控机制对返回内容进行识别并设置有效的告警、阻断策略。 |
◼︎ 攻击防护
| 自动攻击防护 | 应具备同一用户或IP地址认证失败重试次数的限制,防范针对API的暴力破解攻击;应具备对爬虫或扫描器等的数据爬取行为的监测识别能力;应具备对API访问速率和连接数管控机制。 |
| 基于API模式的攻击防护 | 对API请求,应建立基于OpenAPI模式规范的安全防护机制;对基于XML SOAP的API请求,宜建立基于WSDL模式规范的安全防护机制。 |
| 数据传输防护 | 应对API远程数据传输采用TLS/TLCP加密技术,确保请求真实性;宜根据API功能及涉及数据类型通过安全管控工具、系统、平台等实现对数据传输行为的监控,防范非法访问、攻击行为等。 |
| 注入攻击防护 | 应防范针对API的注入漏洞攻击,如通过API参数实现的SQL注入漏洞、命令注入漏洞、LDAP注入漏洞等。 |
◼︎ 安全监测
| 异常行为监测 | 应形成API访问行为基线,针对如高频登陆尝试、爬虫访问、访问源IP地址异常、特权账号登陆、访问频次超标、批量下载等异常访问行为进行监测、记录,并阻断高危异常访问。 |
| 特权账号监测 | 宜对API特权用户行为进行监测、记录,防范特权用户滥权操作。 |
| 合作访问监测 | 宜对API合作方用户异常行为进行监测,防范合作方用户越权操作。 |
◼︎ 进退网管理
| 进网管理 | 应具备API上线审核机制,确保在满足安全要求下进行审核发布并记录形成API资产清单。 |
| 退网管理 | 应具备API下线审批制度并根据API关联情况进行退网管理。 |
◼︎ 安全审计
| 日志记录 | 应对API的访问、操作、告警等进行完整的日志记录。 |
| 日志审计 | 应对定期对API日志进行安全审计,确保日志完整性和可用性并形成审计报告。 |
| 日志溯源 | 日志内容应直接或间接含有数据泄露源头、途径、类型、规模等信息,满足对与API相关的数据泄露事件的溯源需求。 |
自成立以来,美创科技持续为我国电信和互联网行业提供数据安全技术、产品和服务,并基于数据安全领域的长期沉淀,积极参与到电信和互联网行业标准制定工作,为行业规范化、标准化发展贡献力量。
