《电力行业数据权限管控技术和数据访问异常监控指南》征求意见稿.pdf

T/CAGXXXXX—XXXX

电力行业数据权限管控技术和数据访问异常监控指南

1范围

本文件给出了电力行业数据权限管控技术和数据访问异常监控的的基本原则、数据角色权限配置流

程规范、异常监控规则配置流程规范、数据访问异常的响应规范。

本文件适用于电力行业开展电力数据权限配置和数据访问异常规则的设定和异常监控的响应。规范

性引用文件

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其必威体育精装版版本（包括所有的修改单）适用于本

文件。

《中华人民共和国数据安全法》

GB/T35273—2020信息安全技术个人信息安全规范

GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》

GB/T25069-2010《信息安全技术术语》

GB/T35273—2020《信息安全技术个人信息安全规范》

GB/T37988-2019《信息安全技术数据出境安全评估指南》

GB/T35294-2017《信息安全技术大数据服务安全能力要求》

3术语和定义

下列术语和定义适用于本文件。下列提供了在基于RBAC（基于角色的访问控制）和ABAC（基于属性

的访问控制）的权限系统中使用的关键术语和定义，以确保文档的一致性和理解。

3.1访问控制AccessControl

数据分级是指按照一定的分级原则对分类后的数据进行定级，为数据安全保护策略的制定提供支撑。

3.2基于角色的访问控制RBAC(Role-BasedAccessControl)

一种访问控制策略，用户被授予权限基于他们在组织中的角色，而非他们个人的身份。

3.3敏感数据

敏感数据是指一旦泄露可能会对客户或公司造成损失的数据。

3.4角色Role

在RBAC中，角色是一组权限的集合，这些权限定义了角色持有者可以执行的操作。

3.5用户User

指系统中的一个实体，可以是人或自动化进程，需要访问系统资源以完成特定任务。

3.6权限Permission

2

T/CAGXXXXX—XXXX

指授予用户或角色的特定操作能力，如读、写、执行等。

3.7策略Policy

定义谁可以访问什么资源以及在什么条件下可以访问的规则集。

3.8资源Resource

可以被访问或操作的对象，如文件、数据库记录、设备等。

3.9访问审计AccessAudit

监控和记录系统访问事件的过程，用于安全分析和合规性检查。

3.10数据访问异常监控(DataAccessAnomalyMonitoring)

指对数据访问行为进行持续监控和分析的过程，以便及时发现和响应非正常或可疑的数据访问模式。

3.11访问日志(AccessLogs)

记录系统、网络或数据库中所有访问和操作的日志文件，用于审计和异常检测。

3.12数据访问行为(DataAccessBehavior)

用户或系统与数据交互的行为，包括数据的查询、修改、删除和传输等。

3.13数据敏感性(DataSensitivity)

数据的必威体育官网网址性、重要性和价值，决定了数据需要的保护级别。

3.14访问模式(AccessPattern)

用户或系统访问数据的常规模式，包括访问时间、频率和数据类型等。

3.15异常(Anomaly)

与正常行为显著不同的数据访问行为，可能表明安全威胁、错误或系统异常。

4权限管控原则

以下是数据访问权限配置的原则：

(1)科学实用原则：数据访问权限配置应基于科学的方法，选择常见、稳定的属性或特征作为权限

配置的依据，并结合实际需要对权限进行细化配置。

(2)边界清晰原则：数据访问权限的配置应确保各个权限级别边界清晰，对不同级别的数据采取相

应的保护措施，确保权限的明确性和可执行性。

(3)就高从严原则：在配置数据访问权限时，应采用就高不就低的原则确定权限级别。当多个因素

可能影响权限级别时，按照可能造成的最高影响对象和影响程度确定权限级别。

(4)点面结合原则：数据访问权限配置既要考虑单项数据权限，也要充分考虑多个领域、