T/CAGX 003-2026 电力行业数据权限管控技术和数据访问异常监控指南.pdf

CCSI6440 T/CAGX 体 标 准

T/CAGX003-2026

电力行业数据权限管控技术和数据访问 异常监控指南

Guide for data permission control technology and abnormal data accessmonitoring in the electric power industry

广西计算机学会 发布

目次

1范围. 前言 III2规范性引用文件，3术语和定义， 3.1权限模型AccessControlModel3.2基于角色的访间控制 RBAC（RoleBasedAccessControl)3.3基于属性的访间控制 ABAC（AttributeBasedAccessControl）3.4访问审计AccessAudit.3.5数据访问异常监控DataAccessAnomalyMonitoring. 3.6 强制访问控制 MAC（MandatoryAccessControl)3.7 自主访问控制 DAC（DiscretionaryAccessControl）3.8访间日志AccessLogs.3.9 数据访问行为 DataAccessBehavior.3.11 访间模式 AccessPattern.. 3.10数据敏感性DataSensitivity..3.12单点登录SS0（SingleSign0n）3.13数据访问异常AnomalousDataAccess.3.14最小权限原则 LeastPrivilegePrinciple. 3.15行为基线BehavioralBaseline）3.16用户与实体行为分析 UEBA（UserandEntityBehaviorAnalytics）3.17 多因素认证MFA（MultiFactorAuthentication）3.18动态权限调整DynamicPrivilegeAdjustment.4基本原则..4.1合法合规原则 4.2最小权限原则.4.3动态调整原则4.4多层防护原则，4.5以人为核心、以数据为边界4.6智能化分析原则， 4.7持续优化原则，5数据权限管控5.1总体指引，5.2权限管控模型，5.3权限设计要求，5.4用户身份验证. 5.5权限管控生命周期管理5.6权限管控安全要求

T/CAGX 003-2026 5.7权限管控方法.6数据访问异常监控.6.1一般规则.6.2监控对象与范围..6.3异常行为定义与分类6.4异常识别指标与方法，6.5异常监控技术体系， 6.6日志采集与分析， 66.7告警与响应机制..6.8数据访问异常规则配置方法和流程6.9异常响应方法和流程. 6.10数据访问异常监控系统的安全与可靠性7权限管控和异常监控管理...7.1建立权限管控和异常监控组织保障.7.2建立权限管控和异常监控制度保障， 10参考文献.

前言

本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草.

本文件由广西计算机学会提出并归口.

林电子科技大学、广西壮族自治区信息中心、深圳昂楷科技有限公司、广西海轮科技有限公司、广西友 本文件起草单位：广西电网有限责任公司、广西产研院人工智能与大数据应用研究限公司、桂邦永信网络技术有限公司.

本文件主要起草人：艾徐华、张希翔、董、李文战、申超胜、董资、韦杰、黄依婷、王子民、徐华福、银源、李俊、谭期文、甘凯今、梁奔香、韦宗慧、包乙春、吴鹏、甘东觉、周子煦、秦绍海、蒙颗文、林金智、兰杰、蒙剑强、黄鑫、梁全栋、黄燕燕、陈佳、万义飞、舒杰.

本文件为首次制定.

电力行业数据权限管控技术和数据访问异常监控指南

1范围

本文件界定了电力行业数据权限管控技术和数据访问异常监控的术语和定义，对权限管理原则、权限管控规则、数据访间异常监控、权限管控和异常监控管理的指导内容.

本文件适用于电力行业开展电力数据权限配置和数据访问异常规则的设定和异常监控的响应.

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款.其中，注日期的引用文件，仅该日期对应的版本适用于本文件：不注日期的引用文件，其最新版本（包括的修改单）适用于本文件.

GB/T35273信息安全技术个人信息安全规范 GB/T25069信息安全技术术语GB/T35295信息技术大数据术语

3术语和定义

GB/T35295和GB/T25069界定的以及下列术语和定义适用于本文件.

3.1 权限模型Access Control Model

用于实现访间控制的模型，包括基于角色的访间控制（RBAC）、基于属性的访间控制（ABAC）、混合模型等.

3.2基于角色的访问控制RBAC(Role Based Access Control)

一种访问控制策略，用户被授予权限基于他们在组织中的角色，而非他们个人的身份.例如针对调控人员、运行人员、营销人员、设备运维、信息技术、安全监督等分配权限.

3.3基于属性的访问控制ABAC（Attribute Based Access Control)

一种动态访问控制模型，通过对用户、资源、环境等实体的属性进行组合判断，实现细粒度、上下文敏感的访间决策.

3.4访问审计Access Audit

监控和记录系统访问事件的过程，用于安全分析和合规性检查.

3.5数据访问异常监控Data Access Anomaly Monitoring

对数据访问行为进行持续监控和分析的过程，以便及时发现和响应非正常或可疑的数据访问模式.