数字经济下电子信息数据安全防护技术规范

数字经济下电子信息数据安全防护技术规范范围本文件规定了数字经济环境下电子信息行业数据安全防护的总体要求、数据分类分级与控制基线、数据全生命周期防护、数据访问控制与身份鉴别、加密与密钥管理、脱敏与隐私保护、数据防泄漏与水印溯源、云原生与多域协同安全、算法模型与训练数据安全、监测预警与取证要求、供应链与第三方协同安全、应急响应与恢复以及评价与持续改进等要求。本文件适用于电子信息行业组织（包括电子制造、集成电路、通信与网络设备、软件与信息服务、工业互联网平台、智能终端与物联网等）在本地部署、云部署或混合部署场景下开展数据安全防护体系建设、改造、运维与评估工作。规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T1.1—2020标准化工作导则第1部分：标准化文件的结构和起草规则GB/T20984—2022信息安全技术信息安全风险评估方法GB/T22239—2019信息安全技术网络安全等级保护基本要求GB/T35273—2020信息安全技术个人信息安全规范GB/T39786—2021信息安全技术信息系统密码应用基本要求术语和定义下列术语和定义适用于本文件。

数据资产dataasset在组织业务活动中形成或获取，具有明确业务用途与可复用价值，纳入治理、质量控制与安全控制的数据集合及其相关元数据。

重要数据importantdata一旦遭到泄露、篡改、破坏或非法获取、非法使用，可能对国家安全、公共利益、经济运行、行业秩序或组织关键经营造成较大影响的数据。

核心数据coredata与国家安全、国民经济命脉、重要民生、重大公共利益等高度相关，一旦遭到破坏或非法使用可能造成特别严重影响的数据。

数据分类分级classificationandgrading基于数据内容属性、业务价值、影响范围与合规义务等维度对数据进行类别划分与安全等级判定的过程。

数据全生命周期datalifecycle数据从产生/采集、传输、存储、使用/处理、共享/交换、归档/备份、销毁/退出的完整链条。

数据最小权限leastprivilegefordata在满足业务必要性前提下，将用户、账号、服务与应用对数据的访问权限限定在完成任务所需最小范围与最短时间的原则。

数据脱敏datamasking对敏感字段进行遮蔽、替换、泛化或扰动处理，使数据在特定用途下可用但难以识别敏感信息主体或关键秘密的技术与管理措施。

数据防泄漏datalossprevention对数据在终端、网络与存储等环节的外发、拷贝、上传、打印、截屏等行为进行识别、阻断、审计与处置的一组技术与策略。

数字水印digitalwatermark以可见或不可见方式嵌入数据或内容的标识信息，用于溯源、版权证明、泄露追踪与责任认定。

数据流dataflow数据在系统、应用、服务、接口、人员与外部组织之间流转的路径、方式与边界集合。

零信任zerotrust默认不信任任何主体或网络位置，基于持续身份验证、设备态势与上下文风险进行动态授权与访问控制的安全理念与架构。

训练数据trainingdata用于构建或优化算法模型的样本数据及其标签、特征、预处理规则与数据生成过程记录。总体要求总体原则电子信息行业数据安全防护应遵循分类分级驱动、全生命周期覆盖、纵深防御、最小权限、默认拒绝、可审计可追溯与持续改进原则。数据安全控制应与业务架构、系统架构、网络边界、终端管理、供应链管理与应急体系协同设计，避免“单点加固”导致控制断点。管理与技术协同要求组织应建立数据安全职责体系，明确数据安全负责人、数据资产责任部门、系统责任部门、安全运维与审计责任。数据安全技术控制应有配套制度与流程支撑，至少包括：数据分类分级制度、访问授权与审批制度、共享交换管理制度、日志审计与取证制度、第三方合作与外包管理制度、事件响应与通报制度、变更与版本管理制度。数据资产与数据流基线组织应建立数据资产清单与数据流图谱，明确数据的来源、去向、处理目的、存储位置、接口边界与责任主体。数据资产清单与数据流图谱应与分类分级结果联动，作为差异化控制部署、监测预警与风险评估的基础输入，并应在系统上线、接口变更、业务扩展、云迁移、模型上线等关键变更后更新。数据分类分级与控制基线分类分级对象与粒度分类分级对象应覆盖结构化数据表、非结构化文件、日志与审计数据、配置与密钥材料、训练数据集、模型参数与特征库、数据产品与共享数据集。分类分级粒度应满足可落地控制要求：对高风险数据宜细化到字段/列级或文件级；对一般数据可按库/主题域或数据集级管理，但应避免将敏感字段混入低等级对象导致保护不足。分级判定与复核分级判定应综合考虑数据内容敏感性、业务价值、合规义务、影响范围、可替代性与可恢复性，并形成判定依据与审批记录。对重要数据、核心数据及涉及个人信息、商业秘密、关键工艺与设计数据的对象，应提高复核强度与复核频次，必要时开展专项风险评估。控制基线映射为便于工程实施，应将分级结果映射到访问控制、加密、脱敏、审计、共享限制、备份与灾备等控制基线。实施时应先以控制基线为底线，再结合系统能力进行增强控制。下表给出分级与控制基线的推荐对应关系，组织可提高要求但不应降低。在实施控制基线前，应先明确分级模型（例如L1—L4）及其判定口径，再据此配置控制策略与验证项，数据分级与控制基线对应见表1。数据分级与控制基线对应表分级（示例）典型数据范围（示例）访问控制要求加密要求脱敏/最小化要求审计与留存要求共享与出域要求L1一般公开或内部一般业务数据基于角色授权传输宜加密可选关键操作留痕可内部共享L2受限内部敏感运营数据、一般研发数据最小权限+审批传输应加密，存储宜加密按用途脱敏访问与导出审计受控共享，需协议L3重要重要研发设计、工艺参数、客户敏感、关键日志零信任策略+强认证传输/存储应加密，密钥集中管理强制脱敏/匿名化或隔离使用全量审计+防篡改出域需评估审批与监测L4核心核心设计/版图、核心算法与模型参数、核心数据强隔离+多方审批传输/存储强制加密，HSM/等效默认不共享，最小化处理强审计+取证级留存原则上不出域，例外严格控制分级名称、级数可由组织根据监管要求与业务特征调整，但应保持“分级可解释、控制可落地、证据可审计”。数据全生命周期防护采集与生成环节数据采集应遵循目的明确、最小必要与分级先行原则。对涉及个人信息、敏感身份标识、关键工艺与设计数据的采集，应配置字段级控制：采集端强制校验、默认脱敏/加密、采集日志留存与采集授权证明。对设备与产线数据采集，应保证采集链路完整性，防止伪造数据注入影响质量判定与生产决策。传输环节跨网络、跨域、跨组织与跨云环境传输应采用加密通道与强认证机制，关键接口应具备双向认证与防重放能力。对批量传输与离线介质传输，应实施文件级加密、签名校验、传输审批与介质管理，确保传输过程可追溯、可审计、可追责。存储与备份环节数据存储应依据分级实施分区隔离与分域存储。对重要及以上数据，应实施存储加密、密钥集中管理、访问审计与完整性校验；对核心数据，应强化隔离（逻辑或物理）、多副本备份与不可变存储（或等效防篡改机制）。备份策略应与业务连续性目标匹配，明确备份频率、保留周期、恢复演练频次与恢复验证证据。使用与处理环节数据使用应以“身份可信—设备可信—环境可信—策略可信”为前提，实施动态授权与持续评估。处理过程应对数据集、作业、脚本、容器镜像与运行环境进行版本受控，确保处理可复现与可审计。对重要及以上数据的批处理、导出、训练与共享作业应设置审批与二次确认，必要时实施双人复核与水印溯源。共享交换与对外提供数据共享交换应执行“先评估、后共享、强约束、可撤回”的原则。共享前应完成：数据分级确认、共享目的与最小字段集确认、脱敏策略确认、接收方安全能力评估、协议与责任边界明确、接口安全测试与上线审计。共享后应持续监测访问行为、异常调用与外发风险，具备暂停、撤销与追溯能力。归档与销毁归档应保证数据与元数据、血缘与审计证据同步归档，支持追溯与复核。销毁应执行审批、清单核对、销毁执行、结果验证与留证流程；对云存储与分布式备份场景，应明确逻辑删除与物理擦除策略，避免“主库删除、备份残留”造成长期隐患。数据访问控制与身份鉴别身份与账号治理组织应建立统一身份体系，确保人员账号、服务账号、设备身份与API调用身份均可识别、可审计、可生命周期管理。应禁止共享账号，限制长期有效的高权限账号；对服务账号与密钥应实施定期轮换、最小权限与用途绑定。授权模型与最小权限访问授权应采用RBAC、ABAC或其组合，并支持按数据分级实施差异化控制。对重要及以上数据，应实现“按数据集/表/字段/行”的细粒度授权能力；对核心数据，应采用强隔离与多方审批授权，避免单点授权导致不可控扩散。会话控制与持续验证应对会话实施超时、重认证与风险自适应控制；对导出、下载、批量查询、授权变更、密钥访问等高风险操作应实施二次验证与行为确认。对异常登录、异常地理位置、异常设备指纹与异常访问模式应触发风控策略。加密与密钥管理加密策略应依据数据分级制定加密策略，至少覆盖传输加密、存储加密、备份加密与文件级加密。加密策略应明确算法套件、密钥长度、协议版本、证书生命周期与兼容要求，并对弱算法与过期协议设置禁用策略。密钥管理密钥应集中管理并实施分权分域控制，明确密钥生成、分发、存储、轮换、吊销与销毁流程。对重要及以上数据的密钥应实施严格的访问控制与审计；对核心数据应优先采用硬件安全模块或等效机制保护主密钥，并建立密钥应急更换与泄露处置流程。签名与完整性保护对关键数据交换、配置下发、模型发布与软件包分发，应采用签名校验与完整性验证，防止篡改与投毒。对日志与关键审计证据，应采用防篡改存储或链式校验机制，确保取证有效性。脱敏与隐私保护脱敏策略脱敏应基于用途与风险分级，明确脱敏类型、字段清单、规则版本与验证方法。脱敏规则应受控发布并可追溯；对脱敏数据用于训练或对外共享时，应评估重识别风险并采取增强措施。隐私保护与合规处理涉及个人信息的处理应遵循合法、正当、必要原则，明确授权与告知、最小化字段集、用途限制与保存期限。对跨境或跨主体共享的个人信息相关数据，应进行更严格的评估、审批与审计控制，并确保责任边界可落实。数据防泄漏与水印溯源数据防泄漏应在终端、网络、应用与数据库层面实施数据防泄漏控制，至少包括：敏感内容识别、导出控制、外发管控、网盘与邮件管控、USB与打印管控、截图与录屏管控、异常行为告警与阻断。对高风险岗位与外包人员，应提高策略强度并实施更高频审计。水印与溯源对对外共享数据、敏感报表、设计文件、模型参数包等，应采用数字水印或指纹标识实现溯源；水印策略应与访问主体、时间戳、授权范围绑定，并确保证据链可用于责任认定。水印应兼顾不可见性与鲁棒性，避免轻易被去除导致溯源失效。接口与API安全对数据接口与API，应实施身份认证、鉴权、限流、签名校验、输入校验、输出最小化与错误信息控制。对高等级数据接口，应增加双向认证、策略引擎与实时审计能力，并定期开展接口安全测试与对账校验，防止越权查询与批量爬取。云原生与多域协同安全云环境数据安全在公有云、私有云与混合云场景，应明确共享责任边界，落实云侧与租户侧的数据加密、密钥控制、访问审计与配置基线。应建立云资源与数据资产的关联台账，确保跨账号、跨项目、跨地域的存储桶、对象存储、数据仓库与托管数据库具备一致的分级控制与审计策略。容器与编排安全容器镜像、运行时与编排平台应实施镜像签名、漏洞扫描、最小权限运行、网络策略隔离与密钥安全注入。对承载重要数据处理的容器工作负载，应强化运行时检测与策略约束，防止逃逸与横向移动造成数据外泄。边缘与物联网数据安全边缘节点采集、缓存与上送的数据应实施端到端加密、设备身份认证与固件完整性校验。对边缘缓存的重要数据应设置本地加密与到期清除策略，避免设备丢失或被拆解导致数据泄露。算法模型与训练数据安全训练数据合规与安全训练数据应纳入数据资产管理与分类分级，明确来源合法性、用途边界、字段最小化与脱敏策略。训练数据应保留数据卡信息，确保可追溯与可复现。模型资产保护模型结构、参数、特征工程与推理接口应按数字资产进行分级保护。模型发布应签名校验与版本受控；推理接口应具备鉴权、限流、输出控制与异常检测，防止模型窃取与成员推断等风险。对核心模型应实施更强的隔离、访问审计与水印/指纹策略。对抗与安全评测对用于缺陷检测、风控、内容审核、生产控制等关键场景的模型，应开展安全评测，至少包括对抗样本鲁棒性、输入异常检测能力、输出稳定性与误用风险评估，并将评测结论纳入上线准入与持续复测计划。监测预警与取证要求安全监测与预警应建立覆盖数据访问、导出、共享、接口调用、权限变更、密钥使用、异常登录、异常数据流量等事件的监测预警体系。监测策略应与数据分级联动，对重要及以上数据对象设置更低阈值、更高灵敏度与更严格的告警处置时限。日志审计日志应覆盖身份认证、授权决策、数据访问、管理操作、数据导出与共享、接口调用、密钥访问与配置变更等关键事件。日志应具备统一时间源、完整字段、可检索性与防篡改能力；对关键证据日志应按取证要求留存并明确保存期限。取证与证据链应建立证据保全与取证流程，确保在事件发生后能够快速冻结关键日志、快照关键存储与保全关键配置，并形成可用于内部问责与外部合规证明的证据链。证据链应包含：事件时间线、主体身份、访问对象、操作细节、网络路径、系统版本与处置动作。供应链与第三方协同安全组织应对第三方组件、开源依赖、外包开发、数据标注、联合建模、托管运维与数据交换合作实施安全控制。应在合同与协议中明确数据范围、用途限制、保密义务、安全措施、审计权、事件通报时限与违约责任。对高风险第三方应开展安全评估与准入审查，并在合作期间实施持续监测与定期复核；合作终止时应验证数据归还/销毁与权限回收闭环。应急响应与恢复事件分级与响应流程应建立数据安全事件分级标准与响应流程，至少覆盖：事件发现与上报、初步研判与止损、隔离与封堵、取证保全、根因分析、恢复与验证、通报与复盘、纠正预防措施。对重要及以上数据相关事件应设置更短的处置时限与更高层级的升级机制。恢复与连续性应制定数据恢复与业务连续性方案，明确RTO、RPO目标以及在勒索加密、误删、篡改、云资源误配置等场景下的恢复策略。应定期开展恢复演练并形成验证记录，确保备份可用、恢复可行、流程可执行。评价与持续改进评价体系组织应建立数据安全防护评价机制，评价应至少覆盖：分类分级准确性、控制基线落地情况、访问与权限治理有效性、加密与密钥管理有效性、脱敏与最小化有效性、DLP与水印溯源有效性、接口安全与审计完整性、云原生与边缘安全控制有效性、模型与训练数据安全、第三方协同安全、事件响应与恢复能力。为便于形成可操作的检查与