ICS35.020

CCSM01

YD

中華人民共和國通信行業標準

YD/T[×××××]—[××××]

[代替YD/T]

基礎電信企業數據安全管理系統

技術要求

Technicalrequirementsfordatasecuritymanagementsystemofbasic

telecommunicationenterprises

（報批稿）

[××××]-[××]-[××]發布[××××]-[××]-[××]實施

中華人民共和國工業和信息化部發布

YD/T×××××—××××

目次

前言...........................................................................................................................................................V

1范圍................................................................................................................................................................1

2規范性引用文件............................................................................................................................................1

3術語和定義....................................................................................................................................................1

4縮略語............................................................................................................................................................2

5數據安全管理系統架構................................................................................................................................2

6監控管理系統功能要求................................................................................................................................4

6.1指令管理.................................................................................................................................................4

6.1.1指令配置..........................................................................................................................................4

指令配置概述...........................................................................................................................4

指令創建...................................................................................................................................4

指令變更...................................................................................................................................4

指令失效...................................................................................................................................4

6.1.2指令審批..........................................................................................................................................4

6.1.3指令下發..........................................................................................................................................4

6.2數據展示.................................................................................................................................................5

6.2.1安全態勢展示..................................................................................................................................5

6.2.2安全態勢分析和預警......................................................................................................................5

6.3事件追蹤處置.........................................................................................................................................5

6.4基礎管理.................................................................................................................................................5

6.4.1用戶管理..........................................................................................................................................5

賬號管理...................................................................................................................................5

身份認證...................................................................................................................................5

權限管理...................................................................................................................................6

遠程管理...................................................................................................................................6

6.4.2日志管理..........................................................................................................................................6

日志記錄...................................................................................................................................6

安全審計...................................................................................................................................6

6.4.3交互接口管理..................................................................................................................................6

6.4.4備份恢復管理..................................................................................................................................6

6.4.5時間同步管理..................................................................................................................................6

6.4.6系統數據保護..................................................................................................................................6

數據加密...................................................................................................................................6

數據脫敏...................................................................................................................................7

7基礎能力系統功能要求................................................................................................................................7

I

YD/T×××××—××××

7.1數據資產管理.........................................................................................................................................7

7.1.1數據資產信息采集..........................................................................................................................7

采集方式及范圍.......................................................................................................................7

采集策略管理...........................................................................................................................7

采集任務管理...........................................................................................................................7

7.1.2數據資產信息存儲..........................................................................................................................7

7.1.3數據資產識別..................................................................................................................................8

數據內容識別...........................................................................................................................8

數據分類分級...........................................................................................................................8

數據資產清單管理...................................................................................................................8

7.1.4數據資產分析..................................................................................................................................8

7.2訪問和操作審計.....................................................................................................................................8

7.2.1審計信息采集..................................................................................................................................8

7.2.2審計信息存儲和查詢......................................................................................................................8

7.2.3審計分析..........................................................................................................................................9

協議分析...................................................................................................................................9

審計策略...................................................................................................................................9

會話和軌跡分析.......................................................................................................................9

告警管理.................................................................................................................................10

審計報表.................................................................................................................................10

7.3數據脫敏...............................................................................................................................................10

7.3.1數據梳理和識別............................................................................................................................10

7.3.2數據脫敏模式................................................................................................................................10

集中審批模式.........................................................................................................................10

隔離模式.................................................................................................................................10

實時模式.................................................................................................................................10

7.3.3數據脫敏策略.................................................................................................................................11

數據源過濾..............................................................................................................................11

數據脫敏策略..........................................................................................................................11

數據脫敏任務管理..................................................................................................................11

數據對比..................................................................................................................................11

集群脫敏..................................................................................................................................11

7.3.4數據源支持能力.............................................................................................................................11

7.4數據溯源................................................................................................................................................11

7.4.1數據溯源策略.................................................................................................................................11

7.4.2數據源支持能力............................................................................................................................12

7.5數據加密...............................................................................................................................................12

7.5.1數據加密管理................................................................................................................................12

基礎加密管理.........................................................................................................................12

動態表加密.............................................................................................................................12

增強權限控制.........................................................................................................................12

7.5.2加密密鑰管理................................................................................................................................12

II

YD/T×××××—××××

分級密鑰管理.........................................................................................................................12

密鑰更新管理.........................................................................................................................12

7.5.3數據加密任務管理........................................................................................................................12

7.6應用流量安全.......................................................................................................................................12

7.6.1應用流量數據采集........................................................................................................................12

7.6.2應用流量數據存儲........................................................................................................................13

7.6.3數據流動分析................................................................................................................................13

數據流轉分析.........................................................................................................................13

用戶行為分析.........................................................................................................................13

數據泄露風險分析.................................................................................................................13

違規操作風險分析.................................................................................................................13

數據流動關聯分析與預警推送.............................................................................................13

7.7數據接口安全.......................................................................................................................................14

7.7.1數據開放接口管理........................................................................................................................14

7.7.2數據對外開放管理........................................................................................................................14

7.8集中管控與數據展示...........................................................................................................................14

7.8.1策略管控........................................................................................................................................14

7.8.2安全態勢展示................................................................................................................................14

7.8.3安全態勢分析和預警....................................................................................................................14

數據資產分析.........................................................................................................................14

分類分級分析.........................................................................................................................15

數據熱度分析.........................................................................................................................15

數據流向分析.........................................................................................................................15

數據風險分析.........................................................................................................................15

用戶行為分析.........................................................................................................................15

安全風險模型與告警.............................................................................................................15

7.9事件追蹤處置.......................................................................................................................................15

7.10數據上報與指令接收.........................................................................................................................16

7.10.1數據上報......................................................................................................................................16

數據上報要求.......................................................................................................................16

數據資產情況上報...............................................................................................................16

數據對外共享情況上報.......................................................................................................16

敏感數據脫敏處理情況上報...............................................................................................16

數據安全事件上報...............................................................................................................16

7.10.2指令接收......................................................................................................................................16

7.11基礎管理.............................................................................................................................................16

7.11.1用戶管理......................................................................................................................................16

7.11.2日志管理......................................................................................................................................16

7.11.3交互接口管理..............................................................................................................................16

一類接口管理.......................................................................................................................16

二類接口管理.......................................................................................................................16

7.11.4備份恢復管理..............................................................................................................................17

III

YD/T×××××—××××

7.11.5時間同步管理..............................................................................................................................17

7.11.6系統數據保護..............................................................................................................................17

附錄A（資料性）數據安全管理系統部署示例................................................................................18

IV

YD/T×××××—××××

基礎電信企業數據安全管理系統技術要求

1范圍

本文件規定了基礎電信企業數據安全管理系統技術要求，包括數據安全管理系統架構、監控管理

系統功能要求和基礎能力系統功能要求。在監控管理系統層面提出指令管理、數據展示、事件追蹤處

置、基礎管理等功能的技術要求，在基礎能力系統層面提出數據資產管理、訪問和操作審計、數據脫

敏、數據溯源、數據加密、應用流量安全、數據接口安全、集中管控與數據展示、事件追蹤處置、數

據上報與指令接收、基礎管理等功能的技術要求。

本文件適用于基礎電信企業數據安全管理系統的規劃設計、研發、實施、測評和驗收等工作。企

業可依據本規范開展數據安全管理系統建設或數據安全單點能力建設，提升企業數據安全風險監測和

防護能力。

2規范性引用文件

下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款。其中，注日期的引用文

件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用

于本文件。

GB/T25069信息安全技術術語

GB/T29246-2017信息安全技術信息安全管理體系概述和詞匯

GB/T35273-2020信息安全技術個人信息安全規范

YD/T3802-2020電信網和互聯網數據安全通用要求

YD/T3813-2020基礎電信企業數據分類分級方法

3術語和定義

GB/T25069和GB/T29246-2017界定的以及下列術語和定義適用于本文件。

3.1

數據安全管理系統datasecuritymanagementsystem

具備數據資產管理、訪問和操作審計、數據脫敏、數據加密、應用流量安全、數據接口安全等能

力的統一管控系統，能夠實現各類數據安全策略的集中化管理和數據安全風險的統一管控，并提供數

據資產分布態勢、數據使用態勢、數據流動態勢、流量監控態勢、用戶行為態勢、風險分布態勢分析

等數據展示，以及數據安全事件追蹤處置管控能力。

1

YD/T×××××—××××

3.2

數據資產dataassets

以電子形式記錄的組織機構所擁有和控制的數據。

3.3

去標識化de-identification

通過對個人信息的技術處理，使其在不借助額外信息的情況下，無法識別個人信息主體的過程。

注：去標識化建立在個體基礎之上，保留了個體顆粒度，采用假名、加密、哈希函數等技術手段替代對個人信息

的標識。

3.4

數據脫敏datamasking

對某些敏感信息通過一定規則進行數據的變形，實現敏感隱私數據的可靠保護。

4縮略語

下列縮略語適用于本文件。

API應用程序接口ApplicationProgrammingInterface

APT高級持續威脅AdvancedPersistentThreat

FTP文件傳輸協議FileTransferProtocol

HTTP超文本傳輸協議HypertextTransferProtocol

IP互聯網協議InternetProtocol

MAC媒體訪問控制MediaAccessControl

NTP網絡時間協議NetworkTimeProtocol

VPN虛擬專用網VirtualPrivateNetwork

5數據安全管理系統架構

數據安全管理系統功能架構可劃分為監控管理系統和基礎能力系統的雙層架構，系統功能架構如

圖1所示。企業可結合自身組織架構劃分情況，構建集團與子公司聯動的雙層架構系統，或構建單層

架構系統，以提升企業數據安全管理能力。

2

YD/T×××××—××××

圖1數據安全管理系統功能架構圖

圖1中，監控管理系統采用集中建設部署方式，適用于基礎電信企業集團公司部署，基礎能力系統

適用于省級基礎電信企業及專業公司建設部署（數據安全管理系統雙層架構部署示例參見附錄A）。

針對基礎能力系統，企業可根據圖1給出的功能架構建設部署數據安全管理系統；如企業已具備部分安

全能力，可針對尚未具備的能力進行建設部署，已具備的能力可將分析、處置等結果數據和原始信息

傳送至數據安全管理系統的集中管控和態勢分析模塊，以便實現企業級數據安全風險匯總分析和態勢

呈現。如企業組織架構僅包含單層架構，可采用單層數據安全管理系統架構部署方案（數據安全管理

系統單層架構部署示例參見附錄A）。單層架構的數據安全管理系統中，應用層包括數據資產管理、

訪問和操作審計、數據脫敏、數據溯源、數據加密、應用流量安全、數據接口安全、事件跟蹤處置；

展示層包括集中管控、數據展示（安全態勢展示、安全態勢分析和預警）；基礎管理包括用戶管理、

日志管理、交互接口管理（二類接口管理）、備份恢復管理、時間同步管理、系統數據保護。

數據安全管理系統涉及兩類交互接口：

3

YD/T×××××—××××

a）一類接口指監控管理系統與基礎能力系統間交互的接口，包括數據上報接口和指令下發接

口。數據上報接口指基礎能力系統向監控管理系統進行數據上報的接口，指令接收接口指監

控管理系統向基礎能力系統下發指令的接口。監控管理系統負責一類接口規范制定，基礎能

力系統按照接口規范配置其一類接口參數，實現與監控管理系統的接口對接。

b）二類接口指基礎能力系統與企業內其他系統間數據交互的接口，用于獲取如網絡流量、日

志、數據等信息。

6監控管理系統功能要求

6.1指令管理

6.1.1指令配置

指令配置概述

指令配置包括對本層數據展示策略的指令配置，以及對基礎能力系統資產管理策略、訪問和操作

審計策略、數據脫敏策略、數據溯源策略、數據加密策略、應用流量安全策略、數據接口安全策略、

集中管控與數據展示策略的指令配置。

指令創建

應支持以人工填寫或文件導入方式實現指令創建。

應支持指令校驗，校驗內容包括不可命中、必然命中等。

應支持指令創建操作的日志記錄功能，日志記錄包括操作人員、操作時間、操作方式、指令編

號、指令內容等。

指令變更

應支持以人工填寫或文件導入方式實現指令變更。

應支持指令變更操作的日志記錄功能，日志記錄包括操作人員、操作時間、操作方式、指令編

號、變更前指令內容、變更后指令內容等。

應支持屏蔽已失效指令的變更操作功能。

指令失效

應支持以人工填寫或文件導入方式實現指令失效，應支持指令失效原因填寫。

應支持指令失效操作的日志記錄功能，日志記錄包括操作人員、操作時間、操作方式、指令編

號、指令內容等。

應支持失效指令的留存時間設置功能。

6.1.2指令審批

應支持指令審批流程，能夠通過多個角色的相互配合，實現指令創建、指令變更、指令失效、指

令下發環節的多層級的指令審批，滿足如下要求：

a）應支持審批流程設置和審批角色管理；

b）應支持審批進度查看，并通過站內消息、短信、郵件等方式對審批人員進行通知。

6.1.3指令下發

4

YD/T×××××—××××

應支持指令下發的配置功能，包括下發對象、下發方式（全量、逐條）、下發時間（立即、定

時）等，提供指令下發結果查詢，并通過站內消息、短信、郵件等方式對指令下發對象進行指令下發

狀態通知；針對下發失敗行為，應提供原因記錄和重試功能。

應支持指令下發日志記錄功能，日志記錄包括操作人員、操作時間、操作方式、指令編號、指令

內容等。

6.2數據展示

6.2.1安全態勢展示

應支持數據安全態勢可視化展示功能，展示內容包括資產分布態勢、數據使用態勢、數據流動態

勢、流量監控態勢、用戶行為態勢、風險分布態勢等，并提供安全態勢可視化展示的下鉆功能，支持

下鉆查看各安全態勢的詳情與明細內容。

應支持自定義配置可視化內容的展示方式，包括地圖、柱狀圖、餅圖、環形圖、儀表、面積圖和

雷達圖等，支持通過配置地區IP段、組織架構進行不同地區和不同下屬機構的態勢展示。

6.2.2安全態勢分析和預警

分析和預警功能應滿足如下要求：

a）數據態勢分析：應支持對當前采集的各類數據等進行關聯性分析，支持不同維度、不同層

次、不同角度的統計分析能力；

b）風險模型管理：應支持內置風險事件模型，支持風險指標體系和風險模型配置功能，模型配

置維度包含用戶信息、數據操作行為、訪問對象、訪問事件和訪問結果等；

c）安全態勢分析：應支持多因子的關聯識別能力，并根據資產所受威脅程度生成數據資產安全

態勢圖；

d）安全告警：應支持對現存威脅事件、預知的安全風險等進行告警和預警，提供風險處置解決

建議辦法；應支持利用數據挖掘與融合技術處理歷史數據和監測數據，經過安全態勢評估與

預測分析，對潛在安全風險進行分析預測，并輸出預警信息。

6.3事件追蹤處置

應支持對系統告警和預警信息的追蹤處置功能，對于監測發現的預警信息應跟蹤處置結果，并形

成處置記錄，處置記錄應包括：處置對象名稱、處置方式和處置時間等。

6.4基礎管理

6.4.1用戶管理

賬號管理

應支持賬號實名制管理，如提供工號、手機號等實名信息綁定功能。

應支持口令長度、復雜度、有效期和更換周期策略配置和自動檢查功能。

身份認證

應支持除口令鑒別以外的其他身份鑒別機制，至少包括以下一種：

a）電子簽名或證書鑒別；

b）指紋鑒別、虹膜鑒別等生物鑒別方式；

c）圖片驗證、短信驗證等驗證碼機制；

5

YD/T×××××—××××

應支持認證失敗策略配置功能，配置內容包括最大失敗次數、鎖定時間、解鎖方式等。

應支持用戶登錄超時鎖定或注銷策略配置功能，配置內容包括最大超時時間、超時處置方式等。

權限管理

應支持用戶角色劃分功能，支持按照系統各功能模塊細粒度的用戶角色授權配置能力。

應支持創建子管理員并配置子管理員權限的功能。

遠程管理

應支持遠程管理策略配置，包括訪問IP地址、端口、VPN認證方式等。

6.4.2日志管理

日志記錄

日志記錄范圍應覆蓋所有用戶訪問和操作行為，以及系統運行、告警日志記錄等。

a）日志記錄內容應包括：時間、事件主體、事件客體、事件描述等。

b）應支持日志記錄留存時間配置功能。

c）應支持日志記錄完整性保護功能。

安全審計

審計范圍應覆蓋所有用戶訪問和操作日志記錄。

應支持生成審計記錄，審計記錄內容應包括：事件時間、事件類型、事件主體身份、事件成功或

失敗等。

應支持審計記錄完整性保護功能。

6.4.3交互接口管理

應支持一類接口管理功能，滿足如下要求：

a）應支持接口認證功能，可采用IP、MAC地址、賬號口令、令牌等方式對請求訪問接口的用

戶或系統進行身份認證；

b）應支持接口訪問控制功能，支持對接口不安全輸入參數進行限制或過濾能力，支持接口訪問

時間、訪問頻次等安全策略配置，能夠對接口異常狀態進行告警。

6.4.4備份恢復管理

應支持備份恢復管理功能，支持對系統采集和產生數據的備份和恢復功能，提供自動化備份策略

配置和備份文件恢復能力驗證功能。

6.4.5時間同步管理

應支持手工或NTP時間同步方式。

6.4.6系統數據保護

數據加密

應支持數據加密能力，能夠對傳輸和存儲涉及的個人敏感信息及重要數據進行加密處理。

應支持安全傳輸協議，能夠對登錄認證、接口交互等數據傳輸通道進行保護。

6

YD/T×××××—××××

數據脫敏

按照GB/T35273-2020的規定，支持對個人信息前端展示的去標識化處理等措施。

7基礎能力系統功能要求

7.1數據資產管理

7.1.1數據資產信息采集

采集方式及范圍

應采用數據源直連掃描、旁路協議解析、軟件代理等方式實現數據的發現和采集，對不能自動發

現的資產應支持通過接口、手動錄入、批量導入等方式進行資產添加；應具備增量資產發現能力，能

夠根據數據表的變更情況或者新增視圖等情況發現數據的變化，實施增量掃描。

數據資產采集范圍應覆蓋常見數據庫、文件數據源、數據流量、數據集群，應滿足如下要求：

a)常見數據庫：應支持關系型數據庫表結構化數據的掃描能力，以及非關系型數據庫數據掃描

能力，包括Oracle、Db2、SQLServer、PostgreSQL、MySQL、MongoDB、Redis、Hive、

HBase、星環TDH、Impala等；

b)文件數據源：應支持對文件服務系統、主機系統中文件的掃描能力，包括CSV、XML、

PDF、WORD、EXCEL和TXT等文檔，RAR、ZIP、GZ、7Z、GAR等壓縮文件（支持多層

壓縮解壓），以及SYSLOG等日志文件進行采集；

c)數據流量：應支持FTP、HTTP、TNS等協議流量中數據的采集能力；

d)數據集群：應具備對疑似數據集群的檢測與集群確認能力，能夠對集群內的數據資產進行采

集。

采集策略管理

應支持即時、定時、周期性在網數據資產掃描方式，能夠及時發現新增資產，并提供掃描中斷恢

復機制。

應支持通過人工錄入或文件導入的方式創建策略，能夠對資產掃描的網段、端口范圍、單一IP超

時、服務類型、掃描方式等參數進行配置，提供采集策略的新建、修改、注銷、查詢等管理功能。

采集任務管理

采集任務管理包括采集任務配置、采集任務執行跟蹤、采集任務查詢、采集任務展示，應滿足如

下要求：

a）采集任務配置：單項任務應支持單條或批量策略導入功能；應支持對目標數據資產相關信

息、任務執行方式、任務執行開始時間等關