2023智能化礦山數(shù)據(jù)融合共享數(shù)據(jù)安全規(guī)范

數(shù)據(jù)安全規(guī)范IntelligentminedatafusionandsharingSpecificationsfordatasecurity20236月IIIIII目次前言 III范圍 1規(guī)性用件 1術和義 1數(shù)安全datasecurity 1保性confidentiality 1完性integrity 2可性availability 2敏性sensitivity 2安級別securitylevel 2數(shù)處活動dataprocessingactivity 2數(shù)采集datacollection 2數(shù)生產(chǎn)dataproduction 2據(jù)輸datatransmission 2據(jù)儲datastorage 3據(jù)換dataexchange 3據(jù)示datapresentation 3據(jù)毀datadestruction 3數(shù)安基原則 3合正原則 3目明原則 3全可原則 3動控原則 4權一原則 4數(shù)處活安要求 4數(shù)采安要求 4數(shù)生安要求 7數(shù)傳安要求 8數(shù)存安要求 9數(shù)交安要求 數(shù)應安要求 14數(shù)展安要求 15數(shù)銷安要求 15數(shù)安風評要求 16安評要求 16風評要要求 16風分的要容求 17風評流要求 17數(shù)安審要求 21數(shù)安管要求 22管制與程求 22組人管要求 22數(shù)供鏈理求 23合性理求 24數(shù)安技要求 25數(shù)安監(jiān)測 25數(shù)安防護 28數(shù)安運要求 36預處置 36問通報 37策優(yōu)化 38人培訓 39附錄A 40附錄B 44參考獻 46PAGE13PAGE13PAGE10PAGE10智能化礦山數(shù)據(jù)融合共享數(shù)據(jù)安全規(guī)范范圍本文件規(guī)定了智能化礦山數(shù)據(jù)的基本安全要求、安全風險評估要求、安全管理要求、安全技術要求以及安全運營要求。本文件適用于數(shù)據(jù)控制者安全開展智能化礦山建設相關業(yè)務。規(guī)范性引用文件件，其最新版本（包括所有的修改單）適用于本文件。GB/T22240-2020《信息安全技術網(wǎng)絡安全等級保護定級指南》GB/T25069-2022《信息安全技術術語》GB/T29246-2017《信息技術安全技術信息安全管理體系概述和詞匯》GB/T35273-2020《信息安全技術個人信息安全規(guī)范》GB/T37988-2019《信息安全技術數(shù)據(jù)安全能力成熟度模型》GB/T38667-2020《網(wǎng)絡安全標準實踐指南——網(wǎng)絡數(shù)據(jù)分類分級指引》術語和定義下列術語和定義適用于本文件。datasecurity通過管理和技術措施，確保數(shù)據(jù)有效保護和合規(guī)使用的狀態(tài)。[GB/T37988-2019，定義3.1]confidentiality信息對未授權的個人、實體或過程不可用或不泄露的性質(zhì)。[GB/T25069-2022，定義3.41]integrity準確和完備的特性。[GB/T29246-2017，定義2.40]availability可由經(jīng)授權實體按需訪問和使用的性質(zhì)。[GB/T25069-2022，定義3.345]sensitivity信息擁有者賦予信息，以標明其保護需求重要程度的一種度量。[GB/T25069-2022，定義3.422]安全級別securitylevel有關敏感信息訪問的級別劃分，以此級別加之安全范疇更精細地控制對數(shù)據(jù)的訪問。dataprocessingactivity基于礦山數(shù)據(jù)從產(chǎn)生到銷毀的過程，包括數(shù)據(jù)采集、數(shù)據(jù)生產(chǎn)、數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)交換、數(shù)據(jù)應用、數(shù)據(jù)展示、數(shù)據(jù)銷毀。dataacquisition提供標準通信協(xié)議、通信接口，從礦山數(shù)據(jù)源獲得原始數(shù)據(jù)，處理并轉(zhuǎn)換為滿足數(shù)據(jù)共享與利用需求的活動。dataproduction原始數(shù)據(jù)或數(shù)據(jù)材料通過加工、清洗、包裝、質(zhì)量控制、合規(guī)性審核等手段成為新數(shù)據(jù)或數(shù)據(jù)產(chǎn)品的過程。datatransmission數(shù)據(jù)在組織機構(gòu)內(nèi)部從一個實體通過網(wǎng)絡流動到另一個實體的過程。datastorage非動態(tài)數(shù)據(jù)以任何數(shù)字格式進行物理存儲的階段。根據(jù)數(shù)據(jù)熱度不同，對存儲量、時效性、讀寫查詢性能等差異性要求選擇合適的存儲技術。dataexchange數(shù)據(jù)經(jīng)由組織機構(gòu)內(nèi)部與外部組織機構(gòu)及個人在交互過程中提供數(shù)據(jù)的過程。datapresentation通過可視化的手段幫助用戶快速的定位和瀏覽數(shù)據(jù)，達到高效協(xié)同工作的目的。datadestruction對數(shù)據(jù)及數(shù)據(jù)的存儲介質(zhì)通過相應的操作手段，使數(shù)據(jù)徹底滅失且無法通過任何手段恢復的過程。數(shù)據(jù)安全基本原則為防范和抵御數(shù)據(jù)安全風險，礦山企業(yè)在開展智能化礦山建設過程中應遵循以下數(shù)據(jù)安全基本原則。合法正當原則應確保智能化礦山數(shù)據(jù)全生命周期各環(huán)節(jié)數(shù)據(jù)活動的合法性和正當性。目的明確原則應制定智能化礦山數(shù)據(jù)安全防護策略，明確智能化礦山數(shù)據(jù)生命周期各環(huán)節(jié)的安全防護目標和要求。全程可控原則數(shù)據(jù)處理活動內(nèi)被未授權訪問。動態(tài)控制原則智能化礦山數(shù)據(jù)的安全控制策略和安全防護措施不應是一次性和靜態(tài)的，應可基于業(yè)務需求、安全環(huán)境屬性、系統(tǒng)用戶行為等因素進行實時和動態(tài)調(diào)整。權責一致原則應明確本單位數(shù)據(jù)安全防護工作相關部門及其職責，有關部門及人員應積極落實相關措施，履行數(shù)據(jù)安全防護職責。數(shù)據(jù)處理活動安全要求數(shù)據(jù)采集安全要求設備安全防護傳感器數(shù)據(jù)傳感器數(shù)據(jù)具體采集安全要求如下：應選用支持標準ModbusProfibusProfinet智能傳感器數(shù)據(jù)通信時，應綁定IP/MAC地址。定。據(jù)測量準確和安全使用?？刂破鲾?shù)據(jù)控制器數(shù)據(jù)具體采集安全要求如下：數(shù)據(jù)宜采用冗余I/O卡的方式保證數(shù)據(jù)的安全真實可用?？梢宰钄喾欠ǖ耐獠窟B接?？刂圃O備應有唯一性標識，防止未經(jīng)授權的修改。監(jiān)控系統(tǒng)數(shù)據(jù)監(jiān)控系統(tǒng)數(shù)據(jù)具體采集安全要求如下：真實性、穩(wěn)定性、防竊取等。對監(jiān)控系統(tǒng)的訪問和控制應具有身份鑒別的措施。應對監(jiān)控系統(tǒng)數(shù)據(jù)采集服務器進行主機加固。業(yè)務系統(tǒng)安全應對關鍵系統(tǒng)及控制數(shù)據(jù)定期備份，縮短維護時間，提高維護效率。減少非必要的數(shù)據(jù)采集點。對系統(tǒng)的實時數(shù)據(jù)、歷史數(shù)據(jù)應定期監(jiān)測，確保系統(tǒng)的運行正常。輸、數(shù)據(jù)加密的方式實現(xiàn)互聯(lián)互通。保證通信安全。應確保數(shù)據(jù)采集的高時效性，實時刷新數(shù)據(jù)最新狀態(tài)。露風險。對于系統(tǒng)出現(xiàn)重要報警、故障、破壞、失靈將直接影響到安全生產(chǎn)的關鍵系統(tǒng)，對其數(shù)據(jù)采集過程應主要防護，具體數(shù)據(jù)采集安全要求如下：應保證數(shù)據(jù)在設定的周期下規(guī)律采集。應采用通信加密的方式降低控制系統(tǒng)的非法干擾。宜選擇國產(chǎn)自主研發(fā)的數(shù)采控制器及控制系統(tǒng)，降低威脅侵入及數(shù)據(jù)泄露風險。常流量行為。用于輔助企業(yè)生產(chǎn)業(yè)務直接關聯(lián)的控制系統(tǒng)，對其數(shù)據(jù)采集過程應采取防護措施，具體數(shù)據(jù)采集安全要求如下：露風險。宜采用通信加密或私有協(xié)議的方式降低控制系統(tǒng)的非法干擾。數(shù)據(jù)接入數(shù)據(jù)接入具體安全要求如下：應明確數(shù)據(jù)的發(fā)送方、發(fā)送途徑、發(fā)送方式及發(fā)送數(shù)據(jù)的類型。應嚴禁未知身份的發(fā)送源訪問系統(tǒng)的數(shù)據(jù)接口。新增需要接入的數(shù)據(jù)源應報備和登記，并與現(xiàn)有接收方式保持一致。應嚴格評估數(shù)據(jù)發(fā)起端和接收端設備的物理安全和網(wǎng)絡安全。個人數(shù)據(jù)采集個人數(shù)據(jù)采集具體安全要求如下：應加強數(shù)據(jù)防泄漏、數(shù)據(jù)防篡改能力。對個人真實的數(shù)據(jù)信息應采取加密或脫敏的方式后傳遞應用。音視頻數(shù)據(jù)采集音視頻數(shù)據(jù)采集具體安全要求如下：寬。應確保安全監(jiān)控系統(tǒng)的數(shù)據(jù)與圖像監(jiān)視系統(tǒng)的數(shù)據(jù)分開采集。數(shù)采對象確認數(shù)采對象確認過程的具體安全要求如下：錯誤信息采集等情況。原則上與現(xiàn)有采集方式一致。責任。應明確視頻數(shù)據(jù)的數(shù)據(jù)源、數(shù)據(jù)量、數(shù)據(jù)格式、傳輸方式等基本屬性。應明確個人數(shù)據(jù)的采集方式、傳輸方式、加密形式等。數(shù)據(jù)生產(chǎn)安全要求數(shù)據(jù)生產(chǎn)通用要求礦山企業(yè)應針對生產(chǎn)核心數(shù)據(jù)、重要數(shù)據(jù)、一般數(shù)據(jù)采取專項安全防護，數(shù)據(jù)生產(chǎn)通用安全要求具體如下：實現(xiàn)數(shù)據(jù)的機密性。據(jù)完整性。據(jù)真實性。數(shù)據(jù)生產(chǎn)專用要求數(shù)據(jù)生產(chǎn)專用安全要求具體如下：山生產(chǎn)運行數(shù)據(jù)的保密性、完整性、安全性要求。礦山企業(yè)分析統(tǒng)計數(shù)據(jù)應根據(jù)一般數(shù)據(jù)安全防護措施進行防護。通。數(shù)據(jù)傳輸安全要求數(shù)據(jù)傳輸模式--于不同會話模式提供對應的安全傳輸保護。兩類會話模式示意圖參考附錄B。“請求-響應”安全傳輸“請求-響應”式會話的安全傳輸模型示意圖如圖B.3，具體數(shù)據(jù)傳輸安全要求如下：“請求-構(gòu)建設備級的安全傳輸通道?！罢埱?響應”式會話安全應滿足以下安全屬性要求：傳輸通道兩端應通過通道完成雙向設備連接認證，建立互信關系。應對會話數(shù)據(jù)加密和簽名后進行安全傳輸，保證機密性和完整性。數(shù)據(jù)傳輸使用的密鑰宜通過協(xié)商方式確定，密鑰應通過安全通道更新。客戶端設備和服務端設備之間宜建立一個或多個安全傳輸通道，不同的會話宜復用同一個安全傳輸通道?！罢埱?響應”式會話安全應滿足以下安全傳輸通道能力要求：初始化安全通道應建立一個設備間的傳輸通道，完成設備間連接認證，并完成可信的安全傳輸通道的初始化。創(chuàng)建安全會話應在已初始化的安全傳輸通道上基于服務的安全傳輸策略確定會話數(shù)據(jù)安全傳輸模式，并完成會話的客戶端身份等信息傳遞。關閉安全會話應清除會話的客戶端身份、權限等信息?！坝嗛?發(fā)布”安全傳輸“訂閱-發(fā)布”式會話的安全傳輸模型示意圖如圖B.4，具體數(shù)據(jù)傳輸安全要求如下：“訂閱-播加密方案”的方式提供會話過程中傳輸數(shù)據(jù)的安全保護。“訂閱-發(fā)布”式會話安全應滿足以下要求：由可信方生成會話加密和簽名的密鑰，應通過“請求-安全傳遞給發(fā)布端和訂閱端。發(fā)布端和訂閱端的身份合法性則應由可信方分別對雙方進行認證來實現(xiàn)，確保僅特定設備可以獲得消息的密鑰。發(fā)布端宜使用密鑰保護數(shù)據(jù)后進行廣播，訂閱端收到數(shù)據(jù)后可使用密鑰進行解密、完整性驗證，實現(xiàn)數(shù)據(jù)的安全傳輸。數(shù)據(jù)存儲安全要求存儲介質(zhì)安全要求數(shù)據(jù)存儲介質(zhì)具體安全要求如下：等安全目標。護，并將存儲介質(zhì)做唯一標識。誤或者損壞的告警，對超過安全閾值的存儲媒體介質(zhì)進行預警。器、工業(yè)主機等，控制其通過不必要的USB、光驅(qū)、無線等接口進行數(shù)控。數(shù)據(jù)存儲區(qū)域根據(jù)數(shù)據(jù)分類分級的結(jié)果，將應用系統(tǒng)的存儲服務器部署在對應的保護區(qū)域，重點數(shù)據(jù)保護區(qū)域應重點保護，不同的存儲區(qū)域可通過物理或者邏輯隔離手段實現(xiàn)。數(shù)據(jù)存儲加解密要求數(shù)據(jù)存儲加解密具體安全要求如下：權限的控制。據(jù)。加密算法宜采用國密算法。數(shù)據(jù)備份恢復要求數(shù)據(jù)備份與恢復具體安全要求如下：用性等安全目標。重要信息系統(tǒng)應具備數(shù)據(jù)本地/要信息系統(tǒng)應采取冗余部署機制，保證信息系統(tǒng)的高可用性。測試，及時發(fā)現(xiàn)問題，不斷優(yōu)化數(shù)據(jù)存儲備份過程中的問題。數(shù)據(jù)存儲安全規(guī)則數(shù)據(jù)存儲安全規(guī)則具體如下：數(shù)據(jù)（流式數(shù)據(jù)、數(shù)據(jù)庫、文件等類型的數(shù)據(jù)）在數(shù)據(jù)庫存儲后，應重點防范數(shù)據(jù)庫內(nèi)部出現(xiàn)DBA情況而導致的數(shù)據(jù)泄密事故。備份和存儲介質(zhì)管控。數(shù)據(jù)分布情況。應對存儲數(shù)據(jù)掃描結(jié)果進行敏感數(shù)據(jù)類型、敏感數(shù)據(jù)級別的標簽管理。宜從數(shù)據(jù)源、數(shù)據(jù)表、數(shù)據(jù)字段、文件等多個維度統(tǒng)計敏感數(shù)據(jù)量。應依據(jù)數(shù)據(jù)分類分級的標準規(guī)范，對核心數(shù)據(jù)在存儲時進行加密處理。被非法復制情況下的數(shù)據(jù)安全。數(shù)據(jù)交換安全要求數(shù)據(jù)訪問安全數(shù)據(jù)訪問具體安全要求如下：同時對數(shù)據(jù)的訪問請求進行監(jiān)控，對異常請求進行告警。障礦山數(shù)據(jù)在被訪問過程中的保密性和完整性。3或訪問控制代理技術對訪問的終端設備、系統(tǒng)進行控制，以及對實際操作和申請操作進行驗證，保證實際操作與申請及審批操作的一致性。22確的主體、客體、操作時間、具體操作類型、操作結(jié)果等。3取脫敏和控制訪問數(shù)據(jù)行數(shù)的技術措施。數(shù)據(jù)導入導出安全數(shù)據(jù)導入導出操作具體安全要求如下：完善的身份驗證措施對導出操作人員進行實名認證。流程，建立導入導出介質(zhì)管理。數(shù)據(jù)類型及安全級別等，留存時間不少于6個月。身份的真實性和合法性。保證在導入導出過程中涉及的數(shù)據(jù)不會被惡意恢復。2級及以上數(shù)據(jù)的導出操作應有明確的權限申請和審核批準機制。2執(zhí)行的網(wǎng)絡地址限制在有限的范圍內(nèi)。2據(jù)在導入導出過程中的保密性、完整性和可用性。3溯源機制。數(shù)據(jù)共享安全數(shù)據(jù)共享過程具體安全要求如下：圍的內(nèi)容和數(shù)據(jù)共享的有效控制機制。共享數(shù)據(jù)。應建立組織統(tǒng)一的數(shù)據(jù)共享交換系統(tǒng)，建立安全共享交換區(qū)域，綜合采/等措施，確保礦山數(shù)據(jù)在對外共享場景中的安全合規(guī)。據(jù)共享使用授權范圍，并形成審計日志，日志留存時間不少于6個月。查和評估自動化工具的安全性和可靠性。2應對數(shù)據(jù)進行加密、選用安全可靠的傳輸協(xié)議或在安全可控的環(huán)境中進行共享。2簽名、數(shù)字水印等技術，降低數(shù)據(jù)被泄露、誤用、濫用的風險。按照國家及行業(yè)主管部門有關要求，在向行業(yè)主管和監(jiān)管部門等有關機以及數(shù)據(jù)的保密性、真實性與完整性。數(shù)據(jù)接口安全數(shù)據(jù)接口具體安全要求如下：及必要的數(shù)據(jù)訪問API接口。的使用目的、供應方式、保密約定等。即關停。應采用技術工具實現(xiàn)對數(shù)據(jù)服務接口調(diào)用的身份鑒別和訪問控制。處理能力。的數(shù)據(jù)服務接口。全機制。系統(tǒng)應支持自定義sql查詢，支持第三方廠家靈活的查詢需求。對實時性要求較高的數(shù)據(jù)，應支持數(shù)據(jù)主動推送能力。據(jù)安全。接口應支持運行時監(jiān)控，對異常情況進行及時報警。數(shù)據(jù)應用安全要求數(shù)據(jù)應用是智能化礦山數(shù)據(jù)產(chǎn)生價值的出口，前期所有的數(shù)據(jù)動作應為后期的價值輸出做準備。數(shù)據(jù)應用安全具體要求如下：操作合規(guī)審計應收集并存儲數(shù)據(jù)應用中的各類操作信息；記錄信息可用于追蹤溯源；對不合規(guī)操作，應給予審計告警；應提供關鍵字分析、關聯(lián)分析和統(tǒng)計分析功能。內(nèi)容合規(guī)審計應進行關鍵字、數(shù)據(jù)格式、數(shù)據(jù)狀態(tài)、歸屬權等的審計；應進行數(shù)據(jù)的真實性、一致性、完整性審計；標識等內(nèi)容。應用數(shù)據(jù)輸出接口管理應提供數(shù)據(jù)輸出接口類型、加密方式、傳輸周期的管理；管理內(nèi)容可包括接口使用用途、認證方式、日常管理等。應用數(shù)據(jù)脫敏應在業(yè)務系統(tǒng)中對應用的數(shù)據(jù)進行脫敏處理，包括動態(tài)脫敏和靜態(tài)脫敏；應明確應用數(shù)據(jù)脫敏的目的、方式、算法；對于實時應用的數(shù)據(jù)宜采取動態(tài)脫敏技術；對于測試、開發(fā)場景中的數(shù)據(jù)宜采用靜態(tài)脫敏技術。審計操作留痕對應用數(shù)據(jù)所有審計行為宜留有記錄并獨立存儲；應禁止在任何情況下開放對審計結(jié)果的修改與刪除權限。數(shù)據(jù)展示安全要求數(shù)據(jù)展示前需對數(shù)據(jù)進行保密性與完整性驗證，針對涉及敏感、個人隱私的數(shù)據(jù)，確有展示必要的需在展示前進行脫敏處理，確保用戶關鍵信息不被泄露。數(shù)據(jù)展示過程中需進行完整性驗證，防止數(shù)據(jù)篡改導致信息、事件等內(nèi)容誤判，降低生產(chǎn)管理效率甚至引發(fā)生產(chǎn)事故，數(shù)據(jù)展示過程具體安全要求如下：公司秘密的數(shù)據(jù)。對于確有必要展示的數(shù)據(jù)，嚴格控制受眾范圍與閱覽權限。展示前經(jīng)過責任方確認或通過審批。導致錯誤決策及引發(fā)安全事故。負面影響。數(shù)據(jù)銷毀安全要求數(shù)據(jù)銷毀過程具體安全要求如下：應加強對涉外數(shù)據(jù)、敏感數(shù)據(jù)銷毀等過程的監(jiān)督控制。內(nèi)容。導致的數(shù)據(jù)泄漏風險。存儲高密級數(shù)據(jù)的硬盤，應采用硬銷毀（物理銷毀、化學銷毀），保障硬盤數(shù)據(jù)不可被恢復。應對用戶訪問歸檔數(shù)據(jù)的權限進行控制，確保歸檔數(shù)據(jù)安全。應在中國境內(nèi)對數(shù)據(jù)進行清除或銷毀。數(shù)據(jù)整體遷移過程中，應杜絕數(shù)據(jù)殘留。重要文檔數(shù)據(jù)宜設置閱讀次數(shù)、閱讀時限及過期自動銷毀等保護。數(shù)據(jù)安全風險評估要求安全評估要求數(shù)據(jù)安全評估相關要求如下：濫用等風險，并形成相應的數(shù)據(jù)安全評估報告。應在新業(yè)務上線、數(shù)據(jù)遷移、數(shù)據(jù)出境、數(shù)據(jù)開放共享等重大操作行為造成的問題和影響等，并形成相應的數(shù)據(jù)安全評估報告。應及時整改數(shù)據(jù)安全評估中發(fā)現(xiàn)的風險隱患和問題。風險評估要素要求數(shù)據(jù)風險評估要素相關要求如下：展開。殘余風險、業(yè)務重要性和資產(chǎn)價值等與基本要素相關的各類屬性。施和風險六個基本要素。數(shù)據(jù)資產(chǎn)應根據(jù)數(shù)據(jù)受到損害后的影響對象和影響程度進行內(nèi)容識別。應用場景應根據(jù)場景中涉及到的數(shù)據(jù)資產(chǎn)、數(shù)據(jù)處理行為、參與主體、數(shù)據(jù)處理環(huán)境進行內(nèi)容識別。威脅的識別內(nèi)容應包含動機、能力、頻率和可能性等。脆弱性的識別內(nèi)容應包含業(yè)務和資產(chǎn)弱點的嚴重程度。風險分析的主要內(nèi)容要求數(shù)據(jù)風險分析的主要內(nèi)容要求如下：應對數(shù)據(jù)資產(chǎn)進行識別，并對數(shù)據(jù)資產(chǎn)的重要程度進行分析與賦值。應對數(shù)據(jù)資產(chǎn)涉及的數(shù)據(jù)應用場景進行識別及描述。威脅能力對威脅頻率進行修正。用性和嚴重程度進行賦值。應根據(jù)威脅及威脅利用脆弱性的難易程度判斷安全事件發(fā)生的可能性。事件的損失。件一旦發(fā)生對組織的影響，即風險值。風險評估流程要求風險評估準備要求數(shù)據(jù)風險評估準備的相關安全要求如下：擇、評估內(nèi)容的實施奠定基礎。調(diào)研內(nèi)容至少應包括：數(shù)據(jù)安全管理組織架構(gòu)、職責和人員配備情況；數(shù)據(jù)安全管理相關制度、流程；待評估業(yè)務及相關流程，具體管理和支撐部門及其相關人員；待評估業(yè)務相關信息系統(tǒng)的網(wǎng)絡拓撲結(jié)構(gòu)和安全域劃分；待評估IT系統(tǒng)的安全控制訪問策略；其他。前期的系統(tǒng)調(diào)研可采取問卷調(diào)查、現(xiàn)場面談相結(jié)合的方式進行。應根據(jù)評估的工作形式（自評估或檢查評估）確定評估依據(jù)（范、要求），使之能夠與組織環(huán)境和安全要求相適應。數(shù)據(jù)資產(chǎn)識別要求數(shù)據(jù)資產(chǎn)識別的相關安全要求如下：數(shù)據(jù)資產(chǎn)。應輸出數(shù)據(jù)資產(chǎn)清單，包括數(shù)據(jù)類型、數(shù)據(jù)所在位置等內(nèi)容。若已有數(shù)據(jù)資產(chǎn)清單，應判斷清單是否真實、完整。數(shù)據(jù)類型、數(shù)據(jù)所在位置、數(shù)據(jù)量、保存方式（服務器）等內(nèi)容。表A.1。否評估重要程度較低的數(shù)據(jù)資產(chǎn)。數(shù)據(jù)應用場景識別要求數(shù)據(jù)應用場景識別的相關安全要求如下：涉及的數(shù)據(jù)處理行為、數(shù)據(jù)處理環(huán)境、參與主體。數(shù)據(jù)處理行為宜從數(shù)據(jù)處理活動的各個階段進行識別。數(shù)據(jù)處理環(huán)境可包括內(nèi)外部系統(tǒng)、接口等IT支撐措施，如業(yè)務系統(tǒng)、移動APP部的公開場所等。威脅識別要求數(shù)據(jù)威脅識別的相關安全要求如下：威脅來源的識別應以組織職能和發(fā)展戰(zhàn)略為核心。威脅來源可分為人為因素和環(huán)境因素。的或蓄意的事件。行判斷，評估環(huán)境中不同威脅出現(xiàn)的頻率：以往安全事件報告中出現(xiàn)過的威脅及其頻率統(tǒng)計；實際環(huán)境中通過檢測工具以及各種日志發(fā)現(xiàn)的威脅及其頻率統(tǒng)計；實際環(huán)境中的監(jiān)測數(shù)據(jù)發(fā)現(xiàn)的威脅及其頻率統(tǒng)計；近一兩年來國際組織發(fā)布的對于整個社會或特定行業(yè)的威脅及其頻率統(tǒng)計以及發(fā)布的威脅預警；修正，從而得出最終的威脅值。針對威脅識別與賦值可參考表A.2和表A.3。脆弱性識別要求數(shù)據(jù)脆弱性識別的相關安全要求如下：查閱、滲透性測試等。脆弱性可從技術和管理兩個方面進行審視，可參考表A.4。用等級方式對已識別的脆弱性的嚴重程度進行賦值。數(shù)據(jù)資產(chǎn)的脆弱性賦值應參考技術管理和組織管理脆弱性的嚴重程度。脆弱性可利用性和嚴重程度賦值可參考表A.5。已有安全措施識別要求數(shù)據(jù)已有安全措施識別的相關安全要求如下：應對己采取的安全措施的有效性進行確認。御了威脅。施的重復實施。更合適的安全措施替代。風險分析要求數(shù)據(jù)風險分析的相關安全要求如下：判斷安全事件造成的損失對組織的影響。事件發(fā)生的可能性。（、（數(shù)據(jù)資產(chǎn)吸引力等因素來判斷數(shù)據(jù)安全事件發(fā)生的可能性。可能性極小的安全事件可以不計算其損失。重程度。風險等級劃分方法可參考表A.6。風險評估文檔記錄要求數(shù)據(jù)風險評估文檔記錄的相關安全要求如下：應確保文檔發(fā)布前是得到批準的。應確保文檔的更改和現(xiàn)行修訂狀態(tài)是可識別的（有版本控制措施）。應確保文檔的分發(fā)得到適當?shù)目刂?，并確保在使用時可獲得有關版本的適用文檔。檔進行適當標識。索、保存期限以及處置所需的控制。數(shù)據(jù)安全審計要求自評估數(shù)據(jù)自評估相關安全要求如下：自評估應在本文件的指導下，結(jié)合數(shù)據(jù)特定的安全要求進行實施。評估結(jié)果進行對比。系統(tǒng)發(fā)生重大變更時，應依據(jù)本文件進行完整的評估。自評估可由發(fā)起方實施或委托風險評估服務技術支持方實施。帶來困難或引入新的風險。檢查評估數(shù)據(jù)檢查評估相關安全要求如下：檢查評估宜依據(jù)本文件的要求，實施完整的風險評估過程。估，包括但不限于以下內(nèi)容：自評估隊伍及技術人員審計；自評估方法的檢查；自評估過程控制與文檔記錄檢查；自評估數(shù)據(jù)資產(chǎn)列表審計；自評估數(shù)據(jù)應用場景列表審計；自評估威脅列表審計；自評估脆弱性列表審計；現(xiàn)有安全措施有效性檢查；自評估結(jié)果審計與采取相應措施的跟蹤檢查；自評估技術技能限制未完成項目的檢查評估；上級關注或要求的關鍵環(huán)節(jié)和重點內(nèi)容的檢查評估；數(shù)據(jù)安全事件應對措施的檢查。對檢查評估的發(fā)起單位負責。數(shù)據(jù)安全管理要求管理制度與流程要求數(shù)據(jù)管理制度與流程的具體安全要求如下：宜制定數(shù)據(jù)安全工作流程以及各類數(shù)據(jù)安全審批流程。享安全管理制度。安全制度及規(guī)程的評審、發(fā)布流程、數(shù)據(jù)安全戰(zhàn)略規(guī)劃。環(huán)節(jié)。組織人員管理要求應明確數(shù)據(jù)安全責任部門與責任人并進行權責角色劃分，具體安全要求如下：開發(fā)人員、信息安全員、合規(guī)員、系統(tǒng)運維人員、測試人員等。角色對應數(shù)據(jù)安全工作的相應職責。數(shù)據(jù)采集階段：數(shù)據(jù)所有者、合規(guī)員同步審查數(shù)據(jù)采集規(guī)范要求；開發(fā)與測試人員負責數(shù)據(jù)采集接口及系統(tǒng)的研發(fā)與測試；礦山業(yè)務系統(tǒng)負責人負責數(shù)據(jù)合理分級、數(shù)據(jù)采集安全管理、數(shù)據(jù)源鑒別及記錄、數(shù)據(jù)質(zhì)量管理。傳輸信道的可用性維護，確保數(shù)據(jù)加密傳輸、網(wǎng)絡可用性安全管理。全、數(shù)據(jù)備份和恢復。安全、數(shù)據(jù)正當使用、數(shù)據(jù)處理環(huán)境安全。據(jù)共享安全、數(shù)據(jù)發(fā)布安全、數(shù)據(jù)接口安全。毀安全、介質(zhì)銷毀處理安全。數(shù)據(jù)供應鏈管理要求應針對供應鏈上下游供應商及客戶提出數(shù)據(jù)安全相關要求，具體如下：主要工作內(nèi)容包括建設崗位職責、數(shù)據(jù)供應鏈多方協(xié)調(diào)、推動供應鏈管理規(guī)范的落地執(zhí)行與完善等。制度流程建設方面相關要求：（中數(shù)據(jù)的使用目的、供應方式等內(nèi)容）；和義務以及組織內(nèi)部的審核原則；評估結(jié)果應用于供應商選擇、供應商審核等供應商管理過程中。技術建設方面相關要求：宜建設數(shù)據(jù)供應鏈資源庫，用于管理數(shù)據(jù)供應鏈目錄和相關數(shù)據(jù)源用于事后追蹤分析數(shù)據(jù)供應鏈上下游合規(guī)情況；宜通過技術工具量化組織整體的數(shù)據(jù)供應鏈情況，對組織上下游的供應鏈管理過程中的潛在風險，對數(shù)據(jù)供應鏈上下游的數(shù)據(jù)服務提供者和數(shù)據(jù)使用者的行為進行合規(guī)性審核和分析。熟悉供應鏈安全方面的法規(guī)和標準，并具備推進供應鏈管理方案執(zhí)行的能力。合規(guī)性管理要求應建立數(shù)據(jù)安全的合規(guī)性管理要求，具體安全要求如下：投入使用。門的審計評價。納入到整個流程中，使得合規(guī)管理工作順利開展。有序進行，特別在選擇承擔合規(guī)管理工作的人員方面需更加慎重。宜進行規(guī)制和支持的合規(guī)管理。應受到國家法律、法規(guī)和政策規(guī)制，或不被國家法律、法規(guī)和政策否定的。數(shù)據(jù)安全技術要求數(shù)據(jù)安全監(jiān)測數(shù)據(jù)監(jiān)測要求數(shù)據(jù)監(jiān)測具體安全要求如下：為等進行監(jiān)測和報警，形成記錄并妥善保存。信息進行記錄，形成監(jiān)測日志，重大問題應及時上報有關部門。部門。告并采取必要的應對措施。一管理。應對系統(tǒng)數(shù)據(jù)的使用進行預測，以確保充足的處理速度和存儲容量。留存。應對用戶進行審計，全程記錄使用行為。應定期對運行日志和審計數(shù)據(jù)進行分析，以便及時發(fā)現(xiàn)異常行為。應具備對分布式拒絕服務攻擊的監(jiān)測與過濾能力。安全審計要求數(shù)據(jù)安全審計具體要求如下：程、審計頻度、審計內(nèi)容、審計結(jié)果規(guī)范等。授予規(guī)程。流動跟蹤情況、數(shù)據(jù)安全事件、數(shù)據(jù)安全防護措施有效性等。人、操作方式、操作數(shù)據(jù)內(nèi)容等信息，以及審計發(fā)現(xiàn)的相關安全事件。應記錄并形成數(shù)據(jù)安全審計報告，并及時整改審計發(fā)現(xiàn)的問題。應實時檢測用戶對數(shù)據(jù)庫進行的SQL注入和緩沖區(qū)溢出攻擊，并報警或阻止攻擊行為，同時詳細審計攻擊操作發(fā)生的時間、來源IP、登錄數(shù)據(jù)庫的用戶名、攻擊代碼等詳細信息。應對以下事件生成審計日志：管理員和用戶鑒別；管理員和用戶的操作行為；程數(shù)據(jù)傳輸。IP件成功/失敗、事件詳細信息等字段。從而保證安全審計記錄中事件時間的準確性。型、事件時間、觸發(fā)事件用戶、事件主體等。應保護審計日志不被未授權訪問、修改和破壞。審計日志存儲設備應采取相應措施，保證審計日志不丟失。能。定位溯源要求數(shù)據(jù)定位溯源具體安全要求如下：應具備數(shù)據(jù)定位溯源技術能力，準確定位存在信息安全問題的應用或服務的源頭，并保存相關記錄及時上報有關部門。應啟用數(shù)據(jù)溯源機制，對非溯源數(shù)據(jù)進行警示。應具備出現(xiàn)問題后可以立即啟用溯源的技術手段，確保溯源及時有效。日志留存要求日志留存的具體安全要求如下：留存管理。測日志和過濾日志。信息等，并確保日志記錄完整、準確。/目的IP/口、不良信息、采集時間以及觸發(fā)監(jiān)測動作的監(jiān)測指令標識等。月，對超過六個月的日志通過存儲介質(zhì)進行備份。宜提供日志查詢功能，可依據(jù)時間、IP地址、URL等進行獨立查詢或條件組合查詢。日志留存的信息存儲應與其他業(yè)務系統(tǒng)有效隔離。的管理。操作用戶IP地址、操作用戶物理地址、操作內(nèi)容等，并定期對操作日志進行審計。偽造、刪除、泄露或違法使用用戶信息及日志信息。數(shù)據(jù)分析要求數(shù)據(jù)分析過程具體安全要求如下：期、Email等多種敏感信息自動識別。SQL宜將解析和風險計算整合到同一個過程中，避免多遍處理導致的性能損失。宜使用緩存技術、緩存解釋結(jié)果、授權檢驗和風險計算結(jié)果。利用礦山數(shù)據(jù)資源?？赏ㄟ^圖形化界面、流暢交互操作等形式提高數(shù)據(jù)分析的工作效率，減少遺漏線索，提升風險分析質(zhì)量。數(shù)據(jù)風險智能化宜針對流量日志、原始告警、安全事件、資產(chǎn)脆弱性、資產(chǎn)與風險、異常用戶與實體進行全面查詢、統(tǒng)計、分析與展示，可動態(tài)拖拽統(tǒng)計分析與聚合字段，可通過不同圖標范例（直方圖、折線圖、流量弦圖可視化分析、事件河流可視化分析、行為熱度可視化分析、攻擊鏈可視化分析等多種可視化分析方法。數(shù)據(jù)安全防護數(shù)據(jù)防護強度要求數(shù)據(jù)防護強度具體安全要求如下：認證方式應采用密碼+密碼應包含數(shù)字、大小寫字母、特殊符號，密碼長度應不低于12位，密碼應定期修改。數(shù)據(jù)訪問應采用授權及身份認證的方式，其中第三方證書應由權威可信機構(gòu)頒發(fā)，提供數(shù)據(jù)訪問者鑒別。應采用安全的訪問通道，保障對數(shù)據(jù)的安全訪問，如通過web訪問數(shù)據(jù)時，應提供VPN安全隧道。建、管理、權限分配，保障主體訪問數(shù)據(jù)的權限邊界。同訪問操作權限。錯誤進行檢測和恢復。據(jù)或設備棄置、轉(zhuǎn)售前將其所有數(shù)據(jù)徹底刪除并無法復原。史訪問活動等。數(shù)據(jù)的追蹤溯源。數(shù)據(jù)庫安全防護要求數(shù)據(jù)庫安全防護具體要求如下：利用不同類型數(shù)據(jù)庫的私有通信協(xié)議特征，實現(xiàn)對不同類型數(shù)據(jù)庫的自動識別，同時可從協(xié)議內(nèi)容獲取更加精確的數(shù)據(jù)庫參數(shù)，如數(shù)據(jù)庫版本號、協(xié)議版本號、通信端口等信息。和“攔截語句”兩種方式。應提供SQLSQLSQL白名單和SQLSQLSQL黑名單的特征語句阻斷。有訪問行為均應禁止。應提供“禁止模型”實現(xiàn)黑名單訪問控制。“禁止模型”中定義禁止規(guī)則，在禁止規(guī)則中定義的訪問行為均應禁止；不在禁止規(guī)則中定義的所有訪問行為均應放行。的映射規(guī)則，審計引擎根據(jù)制定的審計規(guī)則對捕獲的SQL語句進行專業(yè)的SQL語法分析,并根據(jù)SQL分析。宜提供數(shù)據(jù)庫SQL注入判斷規(guī)則，可啟用、停用和調(diào)整優(yōu)先級。宜提供基于CVE停用和調(diào)整風險優(yōu)先級。訪問的數(shù)據(jù)及請求信息，實現(xiàn)精確關聯(lián)匹配。敏感數(shù)據(jù)分類分級掃描要求/數(shù)據(jù)內(nèi)容、上下文等進行數(shù)據(jù)識別，具體安全要求如下：分級標識，打標率可達到80%以上。規(guī)則和模板。結(jié)構(gòu)化數(shù)據(jù)、非結(jié)構(gòu)化數(shù)據(jù)進行主動掃描?？蓪呙璩龅臄?shù)據(jù)資產(chǎn)進行識別、分類、分級、存儲位置記錄，以數(shù)據(jù)/數(shù)據(jù)資產(chǎn)分布全景圖。可具備對流量實時監(jiān)控、異常告警和敏感數(shù)據(jù)分類分級的審計能力，審計分類分級數(shù)據(jù)訪問者、訪問接口、訪問時間、訪問內(nèi)容、訪問大小、數(shù)據(jù)分類分級等信息。對發(fā)現(xiàn)異常請求數(shù)據(jù)的行為進行告警，審計敏感數(shù)據(jù)的交換、共享、操作情況，為溯源和行為分析提供數(shù)據(jù)及數(shù)據(jù)流轉(zhuǎn)地圖。數(shù)據(jù)脫敏要求脫敏功能要求力如下：敏感數(shù)據(jù)的自動發(fā)現(xiàn)；多種類型的數(shù)據(jù)脫敏方式；敏感數(shù)據(jù)訪問權限控制；子集脫敏；增量脫敏；脫敏水?。幻撁魧徟?；脫敏風險評估；敏感信息的維護。脫敏方式與要求數(shù)據(jù)脫敏方式與相應安全要求如下：息的脫敏，防止信息泄漏，滿足數(shù)據(jù)防護策略的規(guī)定。敏后的數(shù)據(jù)通過任何方式均不能恢復成原來的敏感數(shù)據(jù)，如掩蓋、等?？梢愿鶕?jù)實際場景進行選擇。脫敏方式應支持掩蓋、哈希、替換等方法，并針對不同的識別規(guī)則內(nèi)置推薦脫敏方式，通過多種內(nèi)置或自定義脫敏算法實現(xiàn)敏感信息的脫敏，并且對通過表關聯(lián)、撞庫等方式進行敏感數(shù)據(jù)獲取的行為進行預防，最大程度保障數(shù)據(jù)安全，防止信息泄漏。應提供數(shù)據(jù)不落地動態(tài)脫敏，通過對外暴露API接口的方式提供敏感數(shù)據(jù)的查詢服務。通過準確的解析SQL語句匹配脫敏條件，對數(shù)據(jù)進行攔截脫敏。可對用戶、schema可基于時間和主鍵兩種方式的增量脫敏。溯數(shù)據(jù)泄露源頭。產(chǎn)品本地硬盤中泄密的風險。進行靜態(tài)脫敏時應發(fā)起審批申請，審批通過后方可執(zhí)行脫敏。需要再脫敏的字段。訪問權限控制數(shù)據(jù)訪問權限控制具體安全要求如下：不同用戶訪問不同級別的敏感數(shù)據(jù)。應對數(shù)據(jù)源授權和系統(tǒng)用戶授權兩種模式進行脫敏授權匹配?？煞奖阌脩粲嗅槍π缘倪M行靈活配置使用。的目的。敏感數(shù)據(jù)展示展示通過數(shù)據(jù)識別規(guī)則識別到的敏感字段信息，包括敏感字段所屬的表、數(shù)據(jù)源信息、敏感字段對應的識別規(guī)則等，具體安全要求如下：可對識別不準確的數(shù)據(jù)進行手動修正?？蓪Σ恍枰撁舻淖侄芜M行剔除。計等，方便對系統(tǒng)中的數(shù)據(jù)進行多維度分析。數(shù)據(jù)泄露防護要求網(wǎng)絡數(shù)據(jù)泄露防護網(wǎng)絡數(shù)據(jù)泄露防護具體安全要求如下：是否含有敏感信息。宜根據(jù)配置策略進行審計或阻止其發(fā)送。的風險。終端數(shù)據(jù)泄露防護終端數(shù)據(jù)泄露防護具體安全要求如下：應基于前期數(shù)據(jù)梳理結(jié)果制定數(shù)據(jù)安全防護策略。完全由后臺加解密驅(qū)動內(nèi)核自動完成，對用戶而言完全透明、無感知。行查閱。合法用戶打開加密文件時，應對合法程序的剪切板行為進行監(jiān)控，受控程序之間可以進行內(nèi)容的復制、粘貼、剪切等操作，但受控程序的內(nèi)容不允許粘貼至非受控程序中。合法用戶打開加密文件后，應根據(jù)副本及格式另存為的操作目的，完全合法用戶打開加密文件后，應實時監(jiān)控用戶的截屏及錄屏行為，用戶發(fā)起截屏請求時（如鍵盤PrintScreen、截屏以及其他截屏工具等），統(tǒng)會自動攔截截屏請求，實現(xiàn)屏幕黑屏保護；用戶未打開任意加密文件時，系統(tǒng)不對用戶截屏行為進行任何控制。級及以上的文檔，打開時不允許用戶截取文檔內(nèi)容。/用戶允許或禁止打印加密文件。通過打印水印的控制手段保障核心數(shù)據(jù)的打印安全及可追溯。工作?？刂?、文件內(nèi)容安全控制。數(shù)據(jù)泄露防護能力，實現(xiàn)對磁盤數(shù)據(jù)的實時加密和解密操作。控和阻止組織核心機密數(shù)據(jù)傳輸?shù)浇M織外部USB設備或云盤等。郵件數(shù)據(jù)泄露防護容敏感信息脫敏/數(shù)據(jù)保密強度數(shù)據(jù)保密強度具體安全要求如下：平臺數(shù)據(jù)存儲應符合國家密碼算法相關規(guī)定，密鑰長度應不低于128256位。敏感數(shù)據(jù)的泄露。實現(xiàn)敏感隱私數(shù)據(jù)的可靠保護。應明確數(shù)據(jù)隱私保護的范圍和要求。的惡意用戶無法讀取設備內(nèi)容。數(shù)據(jù)備份強度數(shù)據(jù)備份強度具體安全要求如下：應提供本地數(shù)據(jù)備份與恢復功能，保障數(shù)據(jù)被破壞時可實時恢復。數(shù)據(jù)安全距離，同時應明確雙中心系統(tǒng)的切換時間，以便快速恢復。數(shù)據(jù)處理系統(tǒng)的硬件冗余，保證系統(tǒng)高可用性。若信用信息平臺部署在虛擬機上，承載數(shù)據(jù)的虛擬機系統(tǒng)應具備高可用應定期檢查和測試備份介質(zhì)的有效性，確保可用性。系統(tǒng)與設備安全管理系統(tǒng)與設備安全管理相關要求如下：系統(tǒng)設備（服務器、交換機等）接入前，宜由安全管理機構(gòu)對設備的涉密情況、基本配置情況、用途、安裝軟件、使用端口和服務、MAC地址等登記備案并進行安全審核，合格后方可入網(wǎng)與處理信息。應執(zhí)行分類分級、權限最小化、權限執(zhí)行一致性等原則。系統(tǒng)設備的用戶口令應按照安全管理規(guī)定進行設置，并定期修改。應定期進行漏洞掃描，及時修補發(fā)現(xiàn)的系統(tǒng)安全漏洞。運維管理。數(shù)據(jù)安全運營要求預警處置應建立數(shù)據(jù)安全監(jiān)測預警機制，發(fā)現(xiàn)數(shù)據(jù)安全缺陷、漏洞等風險時，宜立即采取補救措施。加強數(shù)據(jù)安全風險、威脅監(jiān)測預警、數(shù)據(jù)安全事件應急處置工作，結(jié)合礦山業(yè)務屬性確定數(shù)據(jù)安全事件發(fā)生后的影響程度。根據(jù)不同類別數(shù)據(jù)遭篡改、破壞、泄露或非法利用后，可能對生產(chǎn)、經(jīng)濟效益等帶來的潛在影響，將安全事件級別分為一級、二級、三級3個級別。潛在影響符合下列條件之一的事件為三級事件：易引發(fā)特別重大生產(chǎn)安全事故或突發(fā)環(huán)境事件，或造成直接經(jīng)濟損失特別巨大；影響。潛在影響符合下列條件之一的事件為二級事件：易引發(fā)較大或重大生產(chǎn)安全事故或突發(fā)環(huán)境事件，給企業(yè)造成較大負面影響，或直接經(jīng)濟損失較大；取或大量個人信息泄露；恢復正常生產(chǎn)運行或消除負面影響所需付出的代價較大。潛在影響符合下列條件之一的事件為一級事件：對生產(chǎn)控制系統(tǒng)及設備、互聯(lián)網(wǎng)平臺等的正常生產(chǎn)運行影響較??；給企業(yè)造成負面影響較小，或直接經(jīng)濟損失較?。欢?；恢復正常生產(chǎn)運行或消除負面影響所需付出的代價較小。應急演練中有針對性的開展數(shù)據(jù)安全應急演練。措施。應在發(fā)生重大數(shù)據(jù)安全事件時，立即啟動應急響應機制并進行處置。數(shù)據(jù)安全事件應急處置方法：安全事件影響范圍擴大；抑制處理：由應急響應日常運行部門組織協(xié)調(diào)人員排查系統(tǒng)及數(shù)據(jù)保留證據(jù)，必要時由公安機關介入。統(tǒng)和相關日志進行檢查，分析事件原因并進行總結(jié)。急處理方案，以便及時處理存在信息安全問題的數(shù)據(jù)、應用或服務。有關部門。問題通報問題通報具體安全要求如下：數(shù)據(jù)服務。門、上級領導報告。工作，對突發(fā)的信息網(wǎng)絡安全事件應做到以下內(nèi)容：及時發(fā)現(xiàn)、及時報告，發(fā)現(xiàn)后及時向應急小組及上一級領導報告；保護現(xiàn)場，立即進行網(wǎng)絡隔離，防止影響擴大；及時取證，分析、查找原因；消除有害信息，防止進一步傳播，將事件的影響降到最低；傳播所發(fā)現(xiàn)的有害信息。策略優(yōu)化策略優(yōu)化具體安全要求如下：策略的要求。略的要求。息系統(tǒng)安全策略。應定期對信息系統(tǒng)進行技術符合性檢查，檢查內(nèi)容包括：檢查各信息系統(tǒng)是否完全執(zhí)行了所要求的安全策略標準。任何安全策略符合性檢查都必須由具有專業(yè)資格的人員在有效的監(jiān)督下完成；滲透性測試等。結(jié)果進行跟蹤。保證病毒庫的及時更新。人員培訓人員培訓具體安全要求如下：培訓計劃并對培訓計劃定期審核和更新。人員。培訓結(jié)束后，宜對培訓效果進行評定、記錄和歸檔。練和相關知識技能等。附錄A（規(guī)范性附錄）表A.1 數(shù)據(jù)重要程度賦值表賦值標識定義5很高數(shù)據(jù)安全性遭到破壞后，對國家安全造成影響，或?qū)姍嘁嬖斐蓢乐赜绊憽?高數(shù)據(jù)安全性遭到破壞后，對公眾權益造成一般影響，或?qū)€人隱私或企業(yè)合法權益造成嚴重影響，但不影響國家安全。3中等數(shù)據(jù)的安全性遭到破