GA DSJ 231-2019 公安大數(shù)據(jù)處理 數(shù)據(jù)治理 數(shù)據(jù)分級(jí)分類技術(shù)要求

FORMTEXTGA/DSJ231—2019FORMTEXT公安大數(shù)據(jù)處理數(shù)據(jù)治理數(shù)據(jù)分級(jí)分類技術(shù)要求BigdataprocessingofthepublicsecurityDatagovernanceTechnicalrequirementforcategorizationandclassificationofdataFORMTEXT2019-FORMTEXT03-FORMTEXTXX發(fā)布FORMTEXT2019-FORMTEXT03-FORMTEXTXX實(shí)施FORMTEXT中華人民共和國(guó)公安部發(fā)布GA/DSJ231—2019目次TOC\o"1-4"\h\z\u引言 II1范圍 12規(guī)范性引用文件 13術(shù)語(yǔ) 14總述 15數(shù)據(jù)分級(jí) 15.1數(shù)據(jù)分級(jí)的條件和規(guī)則 25.1.1概述 25.1.2敏感內(nèi)容字段 25.1.3敏感規(guī)則 25.1.4說(shuō)明 25.2數(shù)據(jù)分級(jí)標(biāo)識(shí) 26數(shù)據(jù)分類 26.1概述 26.2數(shù)據(jù)獲取方式 36.3數(shù)據(jù)資源種類 36.4字段分類 36.5字段關(guān)系分類 37數(shù)據(jù)分類分級(jí)使用原則 37.1基本原則 37.2數(shù)據(jù)分級(jí)使用原則 47.3數(shù)據(jù)獲取方式使用原則 57.4數(shù)據(jù)資源種類使用原則 57.5字段分類使用原則 57.6字段敏感度分類使用原則 5附錄A 6A.1字段分類代碼表 6A.2字段關(guān)系分類代碼表 7A.3字段敏感度分類代碼表 8引言本規(guī)范性技術(shù)文件用于指導(dǎo)各級(jí)公安機(jī)關(guān)按照數(shù)據(jù)安全要求對(duì)數(shù)據(jù)進(jìn)行分級(jí)和分類，以實(shí)現(xiàn)各級(jí)公安機(jī)關(guān)對(duì)數(shù)據(jù)資源最大程度上的安全共享和綜合利用。公安大數(shù)據(jù)處理數(shù)據(jù)治理數(shù)據(jù)分級(jí)分類技術(shù)要求范圍本規(guī)范性技術(shù)文件規(guī)定了公安數(shù)據(jù)資源的分級(jí)分類方法和使用原則。本規(guī)范性技術(shù)文件適用于各級(jí)公安機(jī)關(guān)描述、管理和安全使用數(shù)據(jù)資源。規(guī)范性引用文件下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T25069－2010信息安全技術(shù)術(shù)語(yǔ)GA/DSJ230-2019公安大數(shù)據(jù)處理數(shù)據(jù)治理數(shù)據(jù)資源目錄技術(shù)要求術(shù)語(yǔ)GB/T25069－2010界定的以及下列術(shù)語(yǔ)和定義適用于本文件。公安數(shù)據(jù)資源publicsecuritydataresource公安數(shù)據(jù)資源指各級(jí)公安部門(mén)在工作過(guò)程中搜集、獲取、加工、存儲(chǔ)、使用、共享的以數(shù)字化形式留存的信息資源。數(shù)據(jù)分級(jí)分類categorizationandclassificationofdata數(shù)據(jù)分級(jí)分類是指按數(shù)據(jù)內(nèi)容敏感度分級(jí)、按字段敏感度分類?？偸鰯?shù)據(jù)分級(jí)分類是通過(guò)描述數(shù)據(jù)的多維度特征和內(nèi)容敏感程度，為制定數(shù)據(jù)資源的開(kāi)放和共享策略提供支撐。數(shù)據(jù)分級(jí)是根據(jù)數(shù)據(jù)內(nèi)容的敏感程度對(duì)數(shù)據(jù)資源進(jìn)行定級(jí)，按照數(shù)據(jù)級(jí)別控制數(shù)據(jù)資源的使用范圍。數(shù)據(jù)分類是從數(shù)據(jù)獲取方式、數(shù)據(jù)資源種類、字段等多個(gè)維度對(duì)數(shù)據(jù)資源進(jìn)行分類，按照數(shù)據(jù)類別控制數(shù)據(jù)資源的使用范圍。數(shù)據(jù)分級(jí)數(shù)據(jù)分級(jí)的條件和規(guī)則概述數(shù)據(jù)分級(jí)是對(duì)可能含有敏感內(nèi)容的字段設(shè)置敏感規(guī)則，按照敏感規(guī)則設(shè)置數(shù)據(jù)記錄內(nèi)容的敏感級(jí)別。敏感內(nèi)容字段敏感內(nèi)容字段包括證件號(hào)碼、車牌號(hào)、銀行卡號(hào)、槍支編號(hào)、人像特征、聲紋特征、手機(jī)號(hào)碼、網(wǎng)絡(luò)賬號(hào)、寬帶賬號(hào)、IP地址、域名、終端標(biāo)識(shí)、全文內(nèi)容、圖片、音視頻等。敏感規(guī)則敏感規(guī)則可包括敏感身份、敏感關(guān)鍵詞、敏感圖片、敏感語(yǔ)音、敏感值域、其它敏感信息等。示例見(jiàn)表1。表1敏感規(guī)則敏感規(guī)則類別規(guī)則內(nèi)容示例敏感級(jí)別說(shuō)明敏感身份敏感的身份證號(hào)碼、手機(jī)號(hào)碼、網(wǎng)絡(luò)賬號(hào)等針對(duì)不同級(jí)別的特定對(duì)象設(shè)置不同的敏感級(jí)別敏感關(guān)鍵詞涉及關(guān)鍵部門(mén)或單位的郵箱及網(wǎng)站URL的相關(guān)內(nèi)容針對(duì)關(guān)鍵詞內(nèi)容敏感程度的不同設(shè)置不同的敏感級(jí)別敏感圖片敏感圖片、軍事基地圖片樣本等針對(duì)圖片內(nèi)容敏感程度的不同設(shè)置不同的敏感級(jí)別敏感值域按照數(shù)據(jù)的值域?qū)?shù)據(jù)內(nèi)容進(jìn)行分級(jí)，比如可以設(shè)置按照關(guān)系類型（包括同住、同戶、同行、同事等）進(jìn)行分級(jí)使用針對(duì)數(shù)據(jù)所涉及值域內(nèi)容敏感程度的不同設(shè)置不同的敏感級(jí)別其它敏感信息通過(guò)模型監(jiān)測(cè)發(fā)現(xiàn)，如涉政內(nèi)容敏感模型針對(duì)內(nèi)容的敏感程度不同設(shè)置不同級(jí)別的敏感規(guī)則說(shuō)明敏感規(guī)則需要結(jié)合不同的數(shù)據(jù)獲取方式做出不同的敏感級(jí)別判定，比如通過(guò)偵控手段獲取的特定圖片需要進(jìn)行敏感級(jí)別標(biāo)識(shí)，而通過(guò)公開(kāi)獲取方式（比如互聯(lián)網(wǎng)爬蟲(chóng)）獲取的特定對(duì)象圖片不需要進(jìn)行敏感級(jí)別標(biāo)識(shí)。數(shù)據(jù)分級(jí)標(biāo)識(shí)當(dāng)各種不同來(lái)源的數(shù)據(jù)進(jìn)行匯聚融合時(shí)，通過(guò)比對(duì)規(guī)則表將敏感級(jí)別標(biāo)識(shí)在該條記錄的相應(yīng)字段中，當(dāng)一條記錄與不同級(jí)別的規(guī)則匹配時(shí)，該記錄按較高的級(jí)別進(jìn)行標(biāo)記。當(dāng)規(guī)則表動(dòng)態(tài)變更時(shí)，記錄中的敏感級(jí)別標(biāo)識(shí)也要能夠進(jìn)行相應(yīng)的調(diào)整。注：可通過(guò)在記錄中增加敏感級(jí)別字段作為數(shù)據(jù)分級(jí)標(biāo)記數(shù)據(jù)分類概述數(shù)據(jù)分類是按照多維度多層級(jí)進(jìn)行分類。多維度：本規(guī)范性技術(shù)文件描述了數(shù)據(jù)獲取方式、數(shù)據(jù)資源種類、字段分類和字段關(guān)系分類的分類要求，也可根據(jù)需要進(jìn)行擴(kuò)展。多層級(jí)：同一種分類維度也可按多層級(jí)進(jìn)行分類。本規(guī)范描述了上述多個(gè)維度的分類方法，可根據(jù)需要進(jìn)行層級(jí)擴(kuò)展。例如，數(shù)據(jù)獲取方式作為一個(gè)維度，第一層規(guī)范為偵控、管控、管理、公開(kāi)，可進(jìn)一步擴(kuò)展管理類別下的二級(jí)分類為賓旅館酒店管理系統(tǒng)、網(wǎng)吧管理系統(tǒng)等。數(shù)據(jù)獲取方式數(shù)據(jù)獲取方式描述數(shù)據(jù)來(lái)源的種類，按照偵控、管控、管理、公開(kāi)進(jìn)行分類，詳見(jiàn)GA/DSJ230-2019中。此外，可按照數(shù)據(jù)來(lái)源應(yīng)用系統(tǒng)類別進(jìn)行二級(jí)分類。表2數(shù)據(jù)獲取方式一級(jí)類別代碼說(shuō)明偵控01通過(guò)偵控技術(shù)手段獲取到的數(shù)據(jù)管控02通過(guò)管控技術(shù)手段獲取到的數(shù)據(jù)管理03通過(guò)管理工作獲取到的數(shù)據(jù)公開(kāi)04通過(guò)公開(kāi)途徑獲取到的數(shù)據(jù)數(shù)據(jù)資源種類數(shù)據(jù)資源種類是按照數(shù)據(jù)項(xiàng)集的屬性對(duì)數(shù)據(jù)資源進(jìn)行分類，屬性包括數(shù)據(jù)組織一級(jí)分類，數(shù)據(jù)組織二級(jí)分類以及數(shù)據(jù)資源標(biāo)簽分類。數(shù)據(jù)組織一級(jí)分類，數(shù)據(jù)組織二級(jí)分類以及數(shù)據(jù)資源標(biāo)簽分類參見(jiàn)GA/DSJ230-2019。字段分類字段分類主要從安全使用的角度對(duì)數(shù)據(jù)資源字段進(jìn)行分類。字段分類是按照附錄A.1《字段分類代碼表》進(jìn)行分類。字段關(guān)系分類字段關(guān)系分類是在字段與字段之間建立需要進(jìn)行安全控制的訪問(wèn)推導(dǎo)關(guān)系，可對(duì)字段關(guān)系進(jìn)行授權(quán)應(yīng)用，以此解決單一字段分類無(wú)法控制多字段組合出現(xiàn)可能帶來(lái)的安全風(fēng)險(xiǎn)問(wèn)題。字段關(guān)系分類詳見(jiàn)附表A.2《字段關(guān)系分類代碼表》。數(shù)據(jù)分類分級(jí)使用原則基本原則根據(jù)數(shù)據(jù)字段敏感度，按照數(shù)據(jù)分級(jí)、數(shù)據(jù)獲取方式、數(shù)據(jù)資源種類、字段分類以及字段關(guān)系分類等，對(duì)數(shù)據(jù)的訪問(wèn)權(quán)限進(jìn)行控制：數(shù)據(jù)分級(jí)是記錄級(jí)權(quán)限控制，當(dāng)有一個(gè)條件不滿足權(quán)限要求時(shí)，整條記錄均不得作為返回結(jié)果；數(shù)據(jù)獲取方式是按照數(shù)據(jù)資源來(lái)源進(jìn)行控制，當(dāng)不滿足權(quán)限要求時(shí)，所有屬于該獲取方式的數(shù)據(jù)資源均不得作為返回結(jié)果；數(shù)據(jù)資源種類是屬于表級(jí)別權(quán)限控制，當(dāng)不滿足權(quán)限要求時(shí)，所有和該種類相關(guān)的數(shù)據(jù)項(xiàng)集均不得作為返回結(jié)果；字段分類和字段關(guān)系分類是字段級(jí)權(quán)限控制，當(dāng)某字段、字段關(guān)系不滿足權(quán)限要求時(shí)，相關(guān)字段和字段關(guān)系不能作為返回結(jié)果。所有字段都應(yīng)該支持授權(quán)，本規(guī)范性技術(shù)文件中已做分類的字段或自行分類的字段必須做權(quán)限控制，不授權(quán)則沒(méi)有權(quán)限；未進(jìn)行分類的字段，默認(rèn)已授權(quán)。標(biāo)注為其他描述類的字段，默認(rèn)未授權(quán)。每個(gè)字段都支持單獨(dú)權(quán)限控制，字段關(guān)系默認(rèn)已授權(quán)；字段敏感度分類是根據(jù)字段內(nèi)容的敏感度進(jìn)行數(shù)據(jù)項(xiàng)級(jí)別的權(quán)限控制，可以按照字段敏感度類別進(jìn)行授權(quán)使用，當(dāng)不滿足權(quán)限要求時(shí)，所有和這個(gè)類別相關(guān)的數(shù)據(jù)資源以及數(shù)據(jù)項(xiàng)均不得作為返回結(jié)果。數(shù)據(jù)分級(jí)使用原則不同的敏感規(guī)則可以按照涉及的敏感程度設(shè)置敏感級(jí)別。敏感級(jí)別按照0X～9X進(jìn)行設(shè)置，另外也可以根據(jù)需要對(duì)每一個(gè)級(jí)別進(jìn)一步細(xì)化，最多可細(xì)化成01～99級(jí)，數(shù)值越小，敏感級(jí)別越高。擁有某一級(jí)別數(shù)據(jù)訪問(wèn)權(quán)限的用戶，可訪問(wèn)數(shù)據(jù)級(jí)別低于該級(jí)別（含）的數(shù)據(jù)記錄，包含相應(yīng)的附件信息。例如，用戶的數(shù)據(jù)訪問(wèn)級(jí)別是50級(jí)，該用戶能訪問(wèn)敏感度為5X級(jí)～9X級(jí)的數(shù)據(jù)，用戶在使用查詢服務(wù)時(shí)，所有敏感度為0X～4X級(jí)的記錄都不能返回，其他敏感度的記錄可以返回給用戶。詳見(jiàn)表3。表3敏感級(jí)別表數(shù)據(jù)分級(jí)敏感規(guī)則備注0X最高級(jí)別敏感身份每一類分級(jí)，可以包含多個(gè)規(guī)則，不同的規(guī)則條件可以進(jìn)行組合使用，條件與條件間是與的關(guān)系。當(dāng)匹配上規(guī)則條件時(shí)，整條記錄及相應(yīng)的附件數(shù)據(jù)均受級(jí)別的控制。默認(rèn)最高級(jí)按照01級(jí)進(jìn)行標(biāo)識(shí)，也可以按照需要進(jìn)一步擴(kuò)展成01～09級(jí)最高級(jí)敏感關(guān)鍵詞最高級(jí)敏感圖片最高級(jí)敏感語(yǔ)音1X組合規(guī)則2X組合規(guī)則3X組合規(guī)則4X組合規(guī)則5X組合規(guī)則6X組合規(guī)則6X(61)組合規(guī)則細(xì)化6X(62)6X(63)6X(64)6X(65)6X(66)6X(67)6X(68)6X(69)7X組合規(guī)則8X組合規(guī)則9X組合規(guī)則不同的規(guī)則條件能夠進(jìn)行組合使用。敏感內(nèi)容字段和敏感級(jí)別規(guī)則均可以自行擴(kuò)展。通過(guò)對(duì)不同的內(nèi)容字段設(shè)置不同的規(guī)則，不同的規(guī)則使用不同的敏感級(jí)別完成對(duì)數(shù)據(jù)的分級(jí)。數(shù)據(jù)獲取方式使用原則授權(quán)時(shí)可以按照數(shù)據(jù)獲取方式類別進(jìn)行訪問(wèn)權(quán)限的控制。按照數(shù)據(jù)獲取方式的不同對(duì)用戶進(jìn)行權(quán)限控制，用戶只能訪問(wèn)擁有權(quán)限的數(shù)據(jù)獲取方式得到的數(shù)據(jù)。例如，某用戶只能訪問(wèn)通過(guò)公開(kāi)手段獲取到的數(shù)據(jù)，用戶在使用查詢服務(wù)時(shí)，在返回的結(jié)果除了公開(kāi)手段獲取的數(shù)據(jù)都不能夠返回。數(shù)據(jù)資源種類使用原則數(shù)據(jù)資源種類是數(shù)據(jù)項(xiàng)集級(jí)別的權(quán)限控制。授權(quán)時(shí)可以按照數(shù)據(jù)資源種類的不同對(duì)指定的數(shù)據(jù)項(xiàng)集進(jìn)行訪問(wèn)權(quán)限的控制。例如，對(duì)某用戶設(shè)置不能訪問(wèn)“旅館住宿信息”的數(shù)據(jù)項(xiàng)集，則所有與該數(shù)據(jù)項(xiàng)集相關(guān)的數(shù)據(jù)資源，包括通過(guò)不同數(shù)據(jù)獲取方式獲取的“旅館住宿信息”的數(shù)據(jù)資源以及對(duì)應(yīng)的數(shù)據(jù)項(xiàng)都不能夠被訪問(wèn)。另外也可以按照數(shù)據(jù)項(xiàng)集的數(shù)據(jù)組織分類進(jìn)行權(quán)限控制。例如，設(shè)置某用戶不能訪問(wèn)某業(yè)務(wù)庫(kù)的數(shù)據(jù)，則該業(yè)務(wù)庫(kù)對(duì)應(yīng)的所有數(shù)據(jù)資源都不能夠被訪問(wèn)，在返回的結(jié)果中不應(yīng)當(dāng)包含相關(guān)的記錄。字段分類使用原則用戶只能獲取擁有權(quán)限字段類型和字段關(guān)系類型的數(shù)據(jù)記錄。字段和字段關(guān)系分類的使用基本原則如下：原則一：以已授權(quán)字段為查詢條件，查詢結(jié)果中不返回未授權(quán)的字段；原則二：以已授權(quán)字段為查詢條件，如果查詢結(jié)果中包含構(gòu)成未授權(quán)關(guān)系的字段（即使該字段已授權(quán)），則查詢結(jié)果中也不返回構(gòu)成關(guān)系的字段；原則三：以已授權(quán)字段為查詢條件，查詢結(jié)果中包含構(gòu)成已授權(quán)關(guān)系的字段（且該字段已授權(quán)），構(gòu)成關(guān)系的字段可返回；字段敏感度分類使用原則字段敏感度分類是結(jié)合數(shù)據(jù)獲取方式、數(shù)據(jù)資源種類、字段分類、字段關(guān)系分類等不同的分類維度對(duì)字段進(jìn)行敏感度分類。基于字段敏感度類別實(shí)現(xiàn)數(shù)據(jù)資源的快速授權(quán)使用。字段敏感度分為八大類，包括非敏感數(shù)據(jù)、身份數(shù)據(jù)、地址數(shù)據(jù)、群組內(nèi)容數(shù)據(jù)、行為數(shù)據(jù)、軌跡數(shù)據(jù)、識(shí)別數(shù)據(jù)、高敏感隱私數(shù)據(jù)。詳見(jiàn)附錄A.3《字段敏感度分類代碼表》。對(duì)數(shù)據(jù)資源進(jìn)行分類時(shí)需要細(xì)化到字段層面。一個(gè)數(shù)據(jù)資源結(jié)合不同的字段分類有可能被劃分為不同的敏感度類別。比如一個(gè)數(shù)據(jù)資源結(jié)合不同的字段分類，既有可能包含身份數(shù)據(jù)，也有可能包含軌跡數(shù)據(jù)。字段敏感度分類是對(duì)數(shù)據(jù)分類的更高級(jí)別抽象，可以分別按照不同的敏感度分類對(duì)用戶進(jìn)行權(quán)限控制，比如一名用戶被授予了“非敏感數(shù)據(jù)”、“身份數(shù)據(jù)”、“地址數(shù)據(jù)”的訪問(wèn)權(quán)限，該用戶在使用查詢服務(wù)時(shí)，返回的結(jié)果中不應(yīng)當(dāng)包含“群組內(nèi)容數(shù)據(jù)”、“行為數(shù)據(jù)”、“軌跡數(shù)據(jù)”、“識(shí)別數(shù)據(jù)”、“高敏感隱私數(shù)據(jù)”的數(shù)據(jù)。

附錄A（資料性附錄）相關(guān)代碼表A.1字段分類代碼表表A.1字段分類代碼表字段分類說(shuō)明代碼個(gè)人證件信息類主要包括人員身份證、駕駛證、軍官證等各類證件號(hào)碼信息01個(gè)人高敏感隱私信息類主要包括和個(gè)人隱私相關(guān)的信息，如：門(mén)診、病史、工資等02生物特征信息類包括但不限于人像、指紋、聲紋、虹膜、足跡、步態(tài)等03社會(huì)特征信息類主要包括人員姓名、民族、身高、年齡、職業(yè)、綽號(hào)、政治面貌、宗教信仰等信息04密碼信息類主要包括各類明文密碼、密碼串、口令等密碼信息05內(nèi)容信息類主要包括全文內(nèi)容標(biāo)題、實(shí)體文件以及各類點(diǎn)對(duì)點(diǎn)通訊和群體通訊的內(nèi)容以及多媒體信息等06財(cái)產(chǎn)信息類包括但不限于銀行卡號(hào)、網(wǎng)銀、互聯(lián)網(wǎng)金融賬號(hào)地址等金融信息07通訊信息類包括但不限于MSISDN、電話號(hào)碼、聯(lián)系電話、傳真、各類上網(wǎng)認(rèn)證賬號(hào)、MAC地址、硬件特征碼、IMIS、IMEI等信息08行為信息類標(biāo)識(shí)網(wǎng)上網(wǎng)下行為的字段信息，包括瀏覽、關(guān)注、購(gòu)買、上下線等信息09地址信息類包括但不限于各類IP地址信息、戶口所在地、小區(qū)名稱、上網(wǎng)服務(wù)場(chǎng)所編碼、經(jīng)度、維度等地址信息10網(wǎng)絡(luò)身份信息類主要包括各類網(wǎng)絡(luò)應(yīng)用賬號(hào)信息11時(shí)間信息類主要包括日期、時(shí)間、期限、時(shí)長(zhǎng)等時(shí)間字段12物品要素信息類包括但不限于車牌號(hào)、車架號(hào)、槍支、化學(xué)品等物品信息13組織機(jī)構(gòu)要素信息類包括但不限于單位組織名稱、戶號(hào)、社會(huì)信用代碼、組織機(jī)構(gòu)代碼等14案件警情類主要包括案件編號(hào)、簡(jiǎn)要案情、立案單位、采取措施（扣押、拘留、監(jiān)禁）等15警務(wù)活動(dòng)信息類各類警務(wù)活動(dòng)辦理時(shí)采集的信息，包括入所原因、戶口遷移原因等16其他描述類待分類內(nèi)容，對(duì)于無(wú)法按照上述類別進(jìn)行歸類且又可能存在安全訪問(wèn)問(wèn)題的字段可以暫時(shí)歸到其他描述類中，其他描述類的字段默認(rèn)不能被授權(quán)使用99A.2字段關(guān)系分類代碼表表A.2字段關(guān)系分類代碼表字段關(guān)系代碼個(gè)人證件信息類->個(gè)人高敏感隱私信息類01個(gè)人證件信息類->生物特征信息類02個(gè)人證件信息類->財(cái)產(chǎn)信息類03個(gè)人證件信息類->通訊信息類04個(gè)人證件信息類->地址信息類05個(gè)人證件信息類->網(wǎng)絡(luò)身份信息類06網(wǎng)絡(luò)身份信息類->個(gè)人證件信息類07網(wǎng)絡(luò)身份信息類