YDT 4561-20235G移動(dòng)通信網(wǎng) 數(shù)據(jù)安全監(jiān)測(cè)預(yù)警技術(shù)要求

ICS35.030

CCSL70

YD

中華人民共和國(guó)通信行業(yè)標(biāo)準(zhǔn)

YD/TXXXX—XXXX

5G移動(dòng)通信網(wǎng)數(shù)據(jù)安全監(jiān)測(cè)預(yù)警技術(shù)要

求

5Gmobilenetworktechnicalrequirementsfordatasecuritymonitoringandearly

warning

（報(bào)批稿）

××××-××-××發(fā)布××××-××-××實(shí)施

中華人民共和國(guó)工業(yè)和信息化部發(fā)布

1

YD/TXXXX—XXXX

前言

本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)

則》的規(guī)定起草。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專(zhuān)利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專(zhuān)利的責(zé)任。

本文件由中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)提出并歸口。

本文件起草單位：中國(guó)移動(dòng)通信集團(tuán)有限公司、中國(guó)信息通信研究院、華為技術(shù)有限公

司、中興通訊股份有限公司、上海諾基亞貝爾股份有限公司、北京東方通網(wǎng)信科技有限公司、

中國(guó)聯(lián)合網(wǎng)絡(luò)通信集團(tuán)有限公司、博鼎實(shí)華(北京)技術(shù)有限公司。

本文件主要起草人：楊亭亭、陸黎、呂臨穎、粟栗、耿慧拯、齊旻鵬、袁琦、胡力、林

兆驥、游世林、吳榮、崔婷婷、高楓、葛詩(shī)新、靳濤、顧希。

II

YD/TXXXX—XXXX

5G移動(dòng)通信網(wǎng)數(shù)據(jù)安全監(jiān)測(cè)預(yù)警技術(shù)要求

1范圍

本文件規(guī)定了5G移動(dòng)通信網(wǎng)中數(shù)據(jù)安全監(jiān)測(cè)預(yù)警技術(shù)要求，包括監(jiān)測(cè)信息采集、處理，

預(yù)警事件、預(yù)警方式，監(jiān)測(cè)預(yù)警信息展示與安全保護(hù)。

本文件適用于指導(dǎo)安全管理、安全運(yùn)營(yíng)人員對(duì)5G移動(dòng)通信網(wǎng)中的數(shù)據(jù)安全事件進(jìn)行發(fā)

現(xiàn)和處理。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期

的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括

所有的修改單）適用于本文件。

GB/T36635-2018信息安全技術(shù)網(wǎng)絡(luò)安全監(jiān)測(cè)基本要求與實(shí)施指南

GB/T41479-2022信息安全技術(shù)網(wǎng)絡(luò)數(shù)據(jù)處理安全要求

3術(shù)語(yǔ)和定義

下列術(shù)語(yǔ)和定義適用于本文件。

3.1

數(shù)據(jù)安全事件datasecurityevents

由單個(gè)或一系列意外或有害的數(shù)據(jù)安全事態(tài)所組成，極有可能造成數(shù)據(jù)泄露、數(shù)據(jù)丟失、

數(shù)據(jù)損壞等嚴(yán)重后果的事件。

4縮略語(yǔ)

下列縮略語(yǔ)適用于本文件。

AMF接入和移動(dòng)性管理功能（AccessandMobilityManagementFunction）

gNB下一代基站（generationnodeB）

IP網(wǎng)際互連協(xié)議（InternetProtocol）

MANO管理和編排（ManagementandOrchestration）

MEC移動(dòng)邊緣計(jì)算（MobileEdgeComputing）

SMSF短信服務(wù)功能(ShortMessageServiceFunction)

5數(shù)據(jù)安全監(jiān)測(cè)預(yù)警概述

5.1概述

數(shù)據(jù)安全典型事件包括數(shù)據(jù)泄露、數(shù)據(jù)丟失、數(shù)據(jù)篡改、數(shù)據(jù)損壞等。造成這些安全事

件的原因通常包括數(shù)據(jù)非法導(dǎo)出、非法刪除，傳輸過(guò)程中被截獲，共享數(shù)據(jù)遭到非法轉(zhuǎn)售等。

為了防止或及時(shí)發(fā)現(xiàn)數(shù)據(jù)安全事件的發(fā)生，應(yīng)對(duì)用戶(hù)的數(shù)據(jù)訪問(wèn)、數(shù)據(jù)導(dǎo)出、數(shù)據(jù)傳輸?shù)戎?/p>

要操作進(jìn)行監(jiān)測(cè)，對(duì)其中的風(fēng)險(xiǎn)操作進(jìn)行預(yù)警。

1

YD/TXXXX—XXXX

數(shù)據(jù)安全監(jiān)測(cè)對(duì)象為5G網(wǎng)絡(luò)中收集、存儲(chǔ)、處理數(shù)據(jù)的網(wǎng)元以及相關(guān)存儲(chǔ)、處理平臺(tái)，

包括5G網(wǎng)元、網(wǎng)管系統(tǒng)、網(wǎng)絡(luò)云等。對(duì)上述系統(tǒng)間的數(shù)據(jù)流轉(zhuǎn)過(guò)程進(jìn)行監(jiān)測(cè)，對(duì)監(jiān)測(cè)過(guò)程

中發(fā)現(xiàn)的可能引起數(shù)據(jù)安全事件的異常行為，以及已經(jīng)發(fā)生的數(shù)據(jù)安全事件預(yù)警。

5.2數(shù)據(jù)安全監(jiān)測(cè)預(yù)警框架

監(jiān)測(cè)與預(yù)警展示

預(yù)監(jiān)

數(shù)數(shù)據(jù)據(jù)安安全全預(yù)預(yù)警警事事件件預(yù)預(yù)警警方方式式

警測(cè)

預(yù)

警

信

監(jiān)

息

測(cè)監(jiān)測(cè)信息處理

安

全

數(shù)據(jù)全生命周期監(jiān)測(cè)信息采集防

護(hù)

圖1數(shù)據(jù)安全監(jiān)測(cè)預(yù)警框架

數(shù)據(jù)安全預(yù)警框架如圖1所示，包括監(jiān)測(cè)、預(yù)警、監(jiān)測(cè)與預(yù)警展示和監(jiān)測(cè)預(yù)警信息安全

防護(hù)。其中監(jiān)測(cè)和預(yù)警為核心，指導(dǎo)監(jiān)測(cè)信息采集、數(shù)據(jù)處理以及預(yù)警活動(dòng)的開(kāi)展。監(jiān)測(cè)與

預(yù)警展示主要將監(jiān)測(cè)與預(yù)警內(nèi)容以可視化形式進(jìn)行展示，便于運(yùn)維人員查看與處理。監(jiān)測(cè)預(yù)

警信息安全防護(hù)為監(jiān)測(cè)預(yù)警信息的存儲(chǔ)、處理提供安全保護(hù)，通?？赏ㄟ^(guò)監(jiān)測(cè)預(yù)警系統(tǒng)實(shí)現(xiàn)。

6數(shù)據(jù)安全監(jiān)測(cè)

6.1監(jiān)測(cè)信息采集

6.1.1數(shù)據(jù)全生命周期監(jiān)測(cè)信息采集

針對(duì)5G網(wǎng)絡(luò)中數(shù)據(jù)流轉(zhuǎn)的各個(gè)環(huán)節(jié)，展開(kāi)監(jiān)測(cè)信息采集：

a)數(shù)據(jù)采集環(huán)節(jié)：

1)數(shù)據(jù)采集指5G網(wǎng)絡(luò)自身創(chuàng)建數(shù)據(jù)或從外部獲取數(shù)據(jù)的行為，其中數(shù)據(jù)創(chuàng)建主

要指數(shù)據(jù)配置以及系統(tǒng)運(yùn)行過(guò)程中產(chǎn)生數(shù)據(jù)?？刂泼鏀?shù)據(jù)采集主要包括網(wǎng)元?jiǎng)?chuàng)

建數(shù)據(jù)，以及在4/5G互操作等場(chǎng)景，5G網(wǎng)絡(luò)從他網(wǎng)獲取數(shù)據(jù)；管理面數(shù)據(jù)采

集主要包括網(wǎng)元、MANO、切片管理系統(tǒng)等創(chuàng)建數(shù)據(jù)以及獲取外部導(dǎo)入數(shù)據(jù)的

行為；用戶(hù)面數(shù)據(jù)采集指5G網(wǎng)絡(luò)從其他網(wǎng)絡(luò)、終端設(shè)備采集數(shù)據(jù)，以及通過(guò)

分析產(chǎn)生新的用戶(hù)數(shù)據(jù)的行為；

2)數(shù)據(jù)采集環(huán)節(jié)應(yīng)對(duì)網(wǎng)元、MANO、切片管理系統(tǒng)的數(shù)據(jù)創(chuàng)建操作、數(shù)據(jù)導(dǎo)入行

為等進(jìn)行監(jiān)測(cè)。監(jiān)測(cè)方式主要依靠系統(tǒng)的操作日志、安全日志分析；

3)應(yīng)采集網(wǎng)元、MANO、切片管理系統(tǒng)等對(duì)象的操作日志，針對(duì)數(shù)據(jù)導(dǎo)入導(dǎo)出、

數(shù)據(jù)寫(xiě)入等重點(diǎn)操作，分析操作賬號(hào)、操作時(shí)間、操作行為量等。

b)數(shù)據(jù)傳輸環(huán)節(jié)：

1)此環(huán)節(jié)的數(shù)據(jù)安全監(jiān)測(cè)主要針對(duì)5G網(wǎng)絡(luò)內(nèi)部的數(shù)據(jù)傳輸，主要包括MANO

內(nèi)部組件之間數(shù)據(jù)傳輸、MANO與網(wǎng)元基礎(chǔ)設(shè)施層間數(shù)據(jù)傳輸、切片管理系

2

YD/TXXXX—XXXX

統(tǒng)內(nèi)部數(shù)據(jù)傳輸，以及切片管理系統(tǒng)與MANO、第三方平臺(tái)及運(yùn)營(yíng)商業(yè)務(wù)支

撐系統(tǒng)間數(shù)據(jù)傳輸?shù)龋?/p>

注：MANO各組件封裝后整體提供時(shí)，可不對(duì)各組件之間的傳輸進(jìn)行監(jiān)測(cè)。

2)數(shù)據(jù)傳輸環(huán)節(jié)對(duì)MANO、網(wǎng)元、切片管理系統(tǒng)、第三方平臺(tái)及運(yùn)營(yíng)商業(yè)務(wù)支

撐系統(tǒng)等系統(tǒng)之間的傳輸進(jìn)行監(jiān)測(cè)，應(yīng)包括傳輸?shù)臅r(shí)間、IP等，可通過(guò)接口

日志獲得。

c)數(shù)據(jù)存儲(chǔ)環(huán)節(jié)：

1)數(shù)據(jù)存儲(chǔ)指5G網(wǎng)絡(luò)中數(shù)據(jù)存儲(chǔ)過(guò)程。主要涉及具有存儲(chǔ)能力的網(wǎng)元、切片管

理系統(tǒng)、網(wǎng)管系統(tǒng)和MEC平臺(tái)等；

2)數(shù)據(jù)存儲(chǔ)環(huán)節(jié)主要保障數(shù)據(jù)存儲(chǔ)安全，需要監(jiān)測(cè)數(shù)據(jù)的訪問(wèn)情況，涉及的操作

主要包括基礎(chǔ)的查詢(xún)、新增、更新、刪除等，監(jiān)測(cè)信息主要通過(guò)操作日志獲得，

包括操作賬號(hào)、登錄時(shí)間、操作行為、訪問(wèn)的數(shù)據(jù)對(duì)象等。

d)數(shù)據(jù)使用環(huán)節(jié)：

1)數(shù)據(jù)使用指網(wǎng)元、切片管理系統(tǒng)、網(wǎng)管系統(tǒng)和MEC平臺(tái)等系統(tǒng)的計(jì)算、分析

等操作；

2)數(shù)據(jù)使用環(huán)節(jié)的監(jiān)測(cè)信息，主要從上述系統(tǒng)的用戶(hù)操作日志中獲得，應(yīng)包括操

作賬號(hào)、操作時(shí)間、操作行為等。

e)數(shù)據(jù)共享環(huán)節(jié)：根據(jù)GB/T41479-2022中5.7等相關(guān)要求，數(shù)據(jù)共享前需進(jìn)行安全

影響分析、風(fēng)險(xiǎn)評(píng)估和脫敏處理等，一般由組織機(jī)構(gòu)的信息技術(shù)網(wǎng)絡(luò)經(jīng)處理后提供，

不從5G移動(dòng)通信網(wǎng)絡(luò)直接共享，因此暫不考慮對(duì)數(shù)據(jù)共享環(huán)節(jié)的監(jiān)測(cè)和安全預(yù)警。

f)數(shù)據(jù)刪除環(huán)節(jié)：

1)5G數(shù)據(jù)刪除通常發(fā)生在虛擬機(jī)遷移、虛擬網(wǎng)元下線，物理設(shè)備退服等場(chǎng)景；

2)5G網(wǎng)絡(luò)中需監(jiān)測(cè)虛擬機(jī)遷移、虛擬網(wǎng)元下線后的磁盤(pán)邏輯刪除操作，通過(guò)平

臺(tái)操作日志進(jìn)行分析，包括操作賬號(hào)、時(shí)間、刪除方式等。針對(duì)物理設(shè)備（涉

及磁帶、硬盤(pán)、光盤(pán)等）刪除場(chǎng)景，其監(jiān)測(cè)主要通過(guò)人員監(jiān)督方式進(jìn)行。

6.1.2采集方式

應(yīng)支持對(duì)流量和日志的實(shí)時(shí)、非實(shí)時(shí)采集，數(shù)據(jù)生命周期各個(gè)環(huán)節(jié)采集方式如下：

a）數(shù)據(jù)采集階段：主要獲取采集接口的操作日志和安全日志進(jìn)行分析，主要涉及網(wǎng)元

與網(wǎng)元之間的接口、MANO組件之間接口等，日志信息不全時(shí)通過(guò)接口的流量分

析進(jìn)行補(bǔ)充；

b）數(shù)據(jù)傳輸：傳輸階段主要獲取傳輸接口和設(shè)備日志分析數(shù)據(jù)傳輸活動(dòng)，日志信息不

全時(shí)通過(guò)傳輸?shù)牧髁糠治鲞M(jìn)行補(bǔ)充。主要涉及網(wǎng)元之間數(shù)據(jù)傳輸，終端與gNB之

間數(shù)據(jù)傳輸?shù)?，其中涉及終端與接入網(wǎng)進(jìn)行數(shù)據(jù)傳輸時(shí)，日志信息通過(guò)接入網(wǎng)側(cè)獲

?。?/p>

c）數(shù)據(jù)存儲(chǔ)：存儲(chǔ)階段主要獲取存儲(chǔ)平臺(tái)的操作日志，對(duì)存儲(chǔ)行為進(jìn)行分析監(jiān)測(cè)，包

括網(wǎng)元、切片管理系統(tǒng)、MEC平臺(tái)等；

d）數(shù)據(jù)使用：使用階段主要獲取應(yīng)用平臺(tái)的操作日志，以及外部接入應(yīng)用的接口日志，

對(duì)數(shù)據(jù)使用行為進(jìn)行分析監(jiān)測(cè)。主要包括網(wǎng)元、切片管理系統(tǒng)、網(wǎng)管系統(tǒng)和MEC

平臺(tái)等；

e）數(shù)據(jù)刪除：刪除階段主要獲取存儲(chǔ)平臺(tái)的操作日志，對(duì)刪除操作進(jìn)行分析。主要包

括網(wǎng)元、切片管理系統(tǒng)、MEC平臺(tái)等具有數(shù)據(jù)存儲(chǔ)功能的平臺(tái)。

3

YD/TXXXX—XXXX

6.2監(jiān)測(cè)信息處理

6.2.1數(shù)據(jù)清洗

通過(guò)數(shù)據(jù)清洗解決收集的日志數(shù)據(jù)存在的空值、缺失值以及數(shù)據(jù)大量冗余、錯(cuò)誤數(shù)據(jù)、

無(wú)效數(shù)據(jù)等問(wèn)題，以便開(kāi)展日志分析。數(shù)據(jù)清洗應(yīng)滿(mǎn)足以下功能：

a）空值、缺失值清洗：大多數(shù)情況下，缺失的值必須手工填入，某些缺失值可以從本

數(shù)據(jù)源進(jìn)行推導(dǎo)或使用其他數(shù)據(jù)源平均值、最大值、最小值或更為復(fù)雜的概率估計(jì)

代替；

b）消除冗余數(shù)據(jù)：利用唯一性的字段對(duì)冗余數(shù)據(jù)進(jìn)行過(guò)濾。也可按主鍵去重，或按規(guī)

則去重，編寫(xiě)一系列的規(guī)則，對(duì)重復(fù)情況復(fù)雜的數(shù)據(jù)進(jìn)行去重；

c）錯(cuò)誤值檢測(cè)處理：使用統(tǒng)計(jì)分析的方法識(shí)別可能的錯(cuò)誤值或異常值，如偏差分析、

識(shí)別不遵守分布或回歸方程的值；使用簡(jiǎn)單規(guī)則庫(kù)（常識(shí)性規(guī)則、業(yè)務(wù)特定規(guī)則等）

檢查數(shù)據(jù)值；使用不同屬性間的約束，檢查字段間的相關(guān)關(guān)系。

6.2.2數(shù)據(jù)轉(zhuǎn)換

數(shù)據(jù)轉(zhuǎn)換應(yīng)支持在不同日志中字段名相同含義不同、相同字段數(shù)據(jù)類(lèi)型不同、相同信息

字段名不同等情況下，對(duì)日志數(shù)據(jù)進(jìn)行轉(zhuǎn)換，實(shí)現(xiàn)數(shù)據(jù)規(guī)范化。數(shù)據(jù)轉(zhuǎn)換可支持以下技術(shù)：

a）數(shù)據(jù)類(lèi)型轉(zhuǎn)換：將一種類(lèi)型的數(shù)據(jù)轉(zhuǎn)換成另一種類(lèi)型的數(shù)據(jù)，類(lèi)型轉(zhuǎn)換的前提是類(lèi)

型相容；

b）日期/時(shí)間格式的轉(zhuǎn)換：對(duì)于采用不同日期和時(shí)間格式的情況，通過(guò)手工程序編碼

等方式轉(zhuǎn)換成統(tǒng)一格式；

c）重新格式化：將許多以不同方式存儲(chǔ)在不同數(shù)據(jù)源中的信息轉(zhuǎn)換成統(tǒng)一的表達(dá)方

式。一般有字段值的拆分和合并，可利用基于正則表達(dá)式匹配、鍵值或符號(hào)分割方

式將字段值拆分；也可將多個(gè)字段值按照標(biāo)準(zhǔn)合并成所需字段值。

6.2.3數(shù)據(jù)解析

對(duì)監(jiān)測(cè)信息的處理主要集中在對(duì)日志和流量信息的解析，應(yīng)滿(mǎn)足以下要求：

a）從實(shí)時(shí)性上，應(yīng)支持對(duì)日志、流量的實(shí)時(shí)和非實(shí)時(shí)解析；

b）從內(nèi)容和格式角度開(kāi)展對(duì)日志的解析：

1)內(nèi)容：支持對(duì)日志中的監(jiān)測(cè)數(shù)據(jù)對(duì)象、操作、時(shí)間等字段內(nèi)容進(jìn)行識(shí)別；

2)格式：支持對(duì)基于空格、制表符、逗號(hào)、分號(hào)等分隔符的日志進(jìn)行分析處理，

同時(shí)應(yīng)支持對(duì)無(wú)分隔符的日志進(jìn)行結(jié)構(gòu)化處理。

c）從內(nèi)容和格式角度開(kāi)展對(duì)流量的解析：

1)內(nèi)容：支持對(duì)流量數(shù)據(jù)中的監(jiān)測(cè)數(shù)據(jù)進(jìn)行識(shí)別，對(duì)操作命令、時(shí)間等屬性進(jìn)行

提??；

2)格式：支持將流量數(shù)據(jù)根據(jù)統(tǒng)一日志格式進(jìn)行結(jié)構(gòu)化處理。

7數(shù)據(jù)安全預(yù)警

7.1預(yù)警事件

對(duì)發(fā)現(xiàn)的數(shù)據(jù)安全事件以及可能造成數(shù)據(jù)安全事件的異常行為進(jìn)行預(yù)警：

a）數(shù)據(jù)采集：

1)對(duì)系統(tǒng)采集賬號(hào)進(jìn)行異常行為分析，包括操作時(shí)間、采集設(shè)備接入行為等，當(dāng)

發(fā)生異常時(shí)間采集、超量采集、惡意設(shè)備接入采集、違規(guī)數(shù)據(jù)源接入等行為，

4

YD/TXXXX—XXXX

以及已經(jīng)確認(rèn)的數(shù)據(jù)采集過(guò)程中的數(shù)據(jù)竊取等事件進(jìn)行預(yù)警；

2)異常時(shí)間采集、超量采集可能由賬號(hào)盜用或采集需求臨時(shí)改變引起，可能會(huì)造

成數(shù)據(jù)泄露，需告警后對(duì)賬號(hào)行為進(jìn)行進(jìn)一步判斷；

3)惡意設(shè)備接入采集屬于非法接入采集數(shù)據(jù)，按照已經(jīng)引起數(shù)據(jù)泄露進(jìn)行預(yù)警；

4)違規(guī)數(shù)據(jù)源接入屬于非法采集數(shù)據(jù)，可能使得系統(tǒng)采集到非法數(shù)據(jù)信息影響正

常業(yè)務(wù)數(shù)據(jù)，按照數(shù)據(jù)損壞或數(shù)據(jù)違規(guī)導(dǎo)入進(jìn)行預(yù)警。

b）數(shù)據(jù)傳輸：

1)在數(shù)據(jù)傳輸環(huán)節(jié)，主要對(duì)傳輸時(shí)間、接口調(diào)用頻次等進(jìn)行分析，當(dāng)發(fā)生異常時(shí)

間傳輸，數(shù)據(jù)流量異常，接口超頻次調(diào)用等行為時(shí)進(jìn)行預(yù)警，并對(duì)傳輸過(guò)程中

發(fā)現(xiàn)的數(shù)據(jù)竊取等行為進(jìn)行預(yù)警；

2)異常時(shí)間傳輸，數(shù)據(jù)流量異常，接口超頻次調(diào)用等可能由賬號(hào)被盜用、操作人

員非法操作或傳輸需求改變導(dǎo)致，若賬號(hào)被盜用或操作人員非法操作，上述異

常行為可能導(dǎo)致數(shù)據(jù)泄露，需告警后對(duì)異常行為進(jìn)行進(jìn)一步判斷；

3)傳輸過(guò)程中發(fā)生中間人攻擊等行為屬于已經(jīng)造成數(shù)據(jù)泄露，應(yīng)進(jìn)行預(yù)警。

c）數(shù)據(jù)存儲(chǔ)：

1)在數(shù)據(jù)存儲(chǔ)環(huán)節(jié)，主要對(duì)數(shù)據(jù)的導(dǎo)入、查詢(xún)、修改、刪除，以及備份數(shù)據(jù)的存

儲(chǔ)等行為進(jìn)行分析，對(duì)數(shù)據(jù)導(dǎo)入量異常、數(shù)據(jù)修改時(shí)間異常、數(shù)據(jù)批量刪除、

數(shù)據(jù)庫(kù)刪除等操作進(jìn)行預(yù)警；

2)數(shù)據(jù)導(dǎo)入異?？赡茉斐上到y(tǒng)存儲(chǔ)非法數(shù)據(jù)，需預(yù)警后對(duì)存儲(chǔ)的內(nèi)容進(jìn)行進(jìn)一步

分析；

3)數(shù)據(jù)修改時(shí)間、修改量異?？赡軐儆跀?shù)據(jù)非法訪問(wèn)或修改需求改變，可能會(huì)造

成數(shù)據(jù)泄露需預(yù)警后對(duì)存儲(chǔ)的內(nèi)容進(jìn)一步分析判斷；

4)核心數(shù)據(jù)、重要數(shù)據(jù)及用戶(hù)隱私信息等批量刪除屬于敏感度較高的操作，極有

可能造成數(shù)據(jù)丟失，需預(yù)警后進(jìn)一步分析判斷；

5)運(yùn)行中的業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫(kù)刪除操作屬于高危險(xiǎn)性操作，按照數(shù)據(jù)破壞進(jìn)行預(yù)

警。

d）數(shù)據(jù)使用：

1)對(duì)訪問(wèn)賬號(hào)的訪問(wèn)時(shí)間、操作權(quán)限、登陸IP、針對(duì)監(jiān)測(cè)數(shù)據(jù)的批量導(dǎo)出等行

為進(jìn)行分析，對(duì)異常IP地址登陸、訪問(wèn)時(shí)間異常、數(shù)據(jù)操作異常等進(jìn)行預(yù)警，

同時(shí)對(duì)數(shù)據(jù)使用過(guò)程中發(fā)現(xiàn)的數(shù)據(jù)丟失、數(shù)據(jù)損壞等情況進(jìn)行預(yù)警；

2)異常IP地址登陸、訪問(wèn)時(shí)間異常、數(shù)據(jù)操作異?？赡芤饠?shù)據(jù)泄露，需預(yù)警

后進(jìn)一步判斷。其中，通過(guò)日志及流量分析可對(duì)數(shù)據(jù)的流轉(zhuǎn)及使用情況進(jìn)行針

對(duì)性監(jiān)測(cè)，對(duì)數(shù)據(jù)的監(jiān)測(cè)預(yù)警實(shí)施流程見(jiàn)附錄1；

3)數(shù)據(jù)使用分析過(guò)程中可能發(fā)現(xiàn)讀取的數(shù)據(jù)不存在、數(shù)據(jù)被損壞或混有虛假數(shù)據(jù)

等情況，對(duì)此類(lèi)事件進(jìn)行預(yù)警。

e）數(shù)據(jù)刪除：在數(shù)據(jù)刪除環(huán)節(jié)，主要對(duì)于刪除對(duì)象錯(cuò)誤、異常時(shí)間操作、邏輯清除不

徹底等進(jìn)行預(yù)警。針對(duì)物理刪除操作，通過(guò)審計(jì)刪除記錄發(fā)現(xiàn)其中的不合規(guī)行為。

7.2預(yù)警信息推送及管理

應(yīng)支持采用不同方式、不同時(shí)間進(jìn)行預(yù)警信息推送，對(duì)預(yù)警策略和預(yù)警信息進(jìn)行管理，

具體包括：

a)支持對(duì)告警信息進(jìn)行實(shí)時(shí)和非實(shí)時(shí)推送，推送的告警信息包括告警事件、級(jí)別、發(fā)

生時(shí)間、處置建議等；；

b)告警信息支持界面展示并通過(guò)郵件、短信、即時(shí)通信等方式發(fā)送給相關(guān)負(fù)責(zé)人；

5

YD/TXXXX—XXXX

c)支持管理員對(duì)告警策略進(jìn)行管理，調(diào)整告警事件及方式；

d)告警信息存儲(chǔ)時(shí)間遵循日志信息保存要求，至少存儲(chǔ)6個(gè)月；

e)支持預(yù)警信息與處理手段的聯(lián)動(dòng)，如對(duì)超頻次調(diào)用接口提供阻斷處理。

8監(jiān)測(cè)與預(yù)警展示

8.1監(jiān)測(cè)信息展示

監(jiān)測(cè)信息展示應(yīng)包括對(duì)原始日志信息展示、對(duì)監(jiān)測(cè)信息的多維度統(tǒng)計(jì)展示和預(yù)警策略的

展示。其中對(duì)原始日志信息的展示應(yīng)包括收集時(shí)間、數(shù)據(jù)來(lái)源、采集方式、存儲(chǔ)位置等，監(jiān)

測(cè)信息統(tǒng)計(jì)應(yīng)支持基于時(shí)間維度、數(shù)據(jù)源維度、格式維度的統(tǒng)計(jì)，以及多維度組合統(tǒng)計(jì)

8.2預(yù)警展示

應(yīng)支持：

a)對(duì)預(yù)警信息的實(shí)時(shí)界面展示；

b)對(duì)預(yù)警信息進(jìn)行不同維度的統(tǒng)計(jì)展示，包括時(shí)間維度、用戶(hù)維度、級(jí)別維度等。

9監(jiān)測(cè)預(yù)警信息安全防護(hù)

監(jiān)測(cè)預(yù)警信息的安全保護(hù)應(yīng)支持：

a)國(guó)家、行業(yè)規(guī)定的重要數(shù)據(jù)、核心數(shù)據(jù)加密存儲(chǔ)；

b)對(duì)監(jiān)測(cè)過(guò)程中收集的原始數(shù)據(jù)、預(yù)警信息等進(jìn)行安全存儲(chǔ)，為保證時(shí)效性，至少保

存6個(gè)月；

c)對(duì)存儲(chǔ)的數(shù)據(jù)制定細(xì)粒度的訪問(wèn)控制策略；

d)具備口令強(qiáng)度策略、口令強(qiáng)度自動(dòng)核查及用戶(hù)超時(shí)退出機(jī)制；

e)監(jiān)測(cè)自身運(yùn)行狀態(tài)，并對(duì)異常狀態(tài)進(jìn)行告警；

f)對(duì)系統(tǒng)配置等重要信息進(jìn)行備份，以便系統(tǒng)發(fā)生故障時(shí)能夠快速恢復(fù)；

g)支持標(biāo)準(zhǔn)時(shí)間自動(dòng)同步，每天至少同步一次；

h)其他自身防護(hù)要求按照GB/T36635-2018的要求執(zhí)行。

6

YD/TXXXX—XXXX

附錄A

（資料性）

數(shù)據(jù)流轉(zhuǎn)監(jiān)測(cè)預(yù)警實(shí)施

A.1用戶(hù)通信業(yè)務(wù)流程中的數(shù)據(jù)監(jiān)測(cè)預(yù)警

在開(kāi)展日常數(shù)據(jù)安全監(jiān)測(cè)預(yù)警的基礎(chǔ)上，可結(jié)合數(shù)據(jù)自動(dòng)識(shí)別技術(shù)，對(duì)監(jiān)測(cè)數(shù)據(jù)的流轉(zhuǎn)

和訪問(wèn)情況開(kāi)展專(zhuān)門(mén)的監(jiān)測(cè)和展示：

a)業(yè)務(wù)情況描述：用戶(hù)使用手機(jī)終端編輯并發(fā)送短信，短信內(nèi)容具有個(gè)人身份證號(hào)碼

等敏感信息；

b)數(shù)據(jù)流轉(zhuǎn)情況：數(shù)據(jù)經(jīng)空口和gNB傳輸至AMF，然后由AMF轉(zhuǎn)發(fā)到SMSF，通

過(guò)SMSF傳輸?shù)蕉滔⒅行?，再由短消息中心?jīng)相反流程轉(zhuǎn)發(fā)到目標(biāo)用戶(hù)；

c)數(shù)據(jù)監(jiān)測(cè)根據(jù)數(shù)據(jù)流轉(zhuǎn)情況可分為以下步驟：

1)監(jiān)測(cè)預(yù)警系統(tǒng)采集gNB等接口日志，對(duì)日志進(jìn)行結(jié)構(gòu)化處理后，開(kāi)展日常監(jiān)

測(cè)，分析是否有接口流量異常等行為、非法訪問(wèn)等行為；

2)數(shù)據(jù)到達(dá)AMF進(jìn)行存儲(chǔ)使用。監(jiān)測(cè)預(yù)警系統(tǒng)采集AMF操作日志，得到這條

短信的內(nèi)容、網(wǎng)元操作行為、操作時(shí)間等信息。通過(guò)數(shù)據(jù)自動(dòng)識(shí)別，發(fā)現(xiàn)此條

短信內(nèi)容含有敏感信息，可對(duì)此條短信進(jìn)行重點(diǎn)監(jiān)測(cè)（（若數(shù)據(jù)傳輸時(shí)未進(jìn)行

加密，可在步驟1）通過(guò)流量分析識(shí)別其中的敏感信息）。分析網(wǎng)元對(duì)此內(nèi)容

的操作頻率、操作時(shí)間等是否符合操作基線，系統(tǒng)對(duì)此數(shù)據(jù)是否有越權(quán)訪問(wèn)等

行為，對(duì)異常行為進(jìn)行告警；

3)數(shù)據(jù)由AMF轉(zhuǎn)發(fā)到SMSF進(jìn)行存儲(chǔ)使用。監(jiān)測(cè)預(yù)警系統(tǒng)通過(guò)分析AMF的數(shù)

據(jù)使用命令發(fā)現(xiàn)此條含有此敏感信息的短信轉(zhuǎn)發(fā)到SMSF，對(duì)SMSF的日志進(jìn)

行采集并分析數(shù)據(jù)存儲(chǔ)、訪問(wèn)情況，對(duì)異常行為進(jìn)行告警；

4)數(shù)據(jù)由SMSF傳輸?shù)蕉滔⒅行牡谋O(jiān)測(cè)過(guò)程與步驟c)相同。

d)數(shù)據(jù)安全監(jiān)測(cè)展示：針對(duì)指定數(shù)據(jù)的定向監(jiān)測(cè)，可將多個(gè)網(wǎng)元或存儲(chǔ)系統(tǒng)的日志及

監(jiān)測(cè)情況進(jìn)行關(guān)聯(lián)，展示數(shù)據(jù)的流向和存儲(chǔ)訪問(wèn)情況。

A.2網(wǎng)元存儲(chǔ)敏感數(shù)據(jù)的監(jiān)測(cè)預(yù)警

用戶(hù)身份標(biāo)識(shí)、鑒權(quán)信息等數(shù)據(jù)在AMF等網(wǎng)元進(jìn)行存儲(chǔ)及分析，網(wǎng)元中所存儲(chǔ)數(shù)據(jù)使

用監(jiān)測(cè)也是監(jiān)測(cè)預(yù)警的重要環(huán)節(jié)，包括以下功能：

a)網(wǎng)元存儲(chǔ)數(shù)據(jù)掃描及展示：結(jié)合數(shù)據(jù)自動(dòng)識(shí)別技術(shù)，對(duì)網(wǎng)元存儲(chǔ)的數(shù)據(jù)進(jìn)行掃描，

發(fā)現(xiàn)其中的敏感信息，如用戶(hù)身份信息、基站信息等，建立清單并進(jìn)行不同維度的

展示；

b)數(shù)據(jù)使用情況監(jiān)測(cè)：對(duì)網(wǎng)元的訪問(wèn)命令及操作日志進(jìn)行分析，發(fā)現(xiàn)其中對(duì)指定數(shù)據(jù)

的訪問(wèn)，審計(jì)訪問(wèn)操作是否符合權(quán)限、訪問(wèn)時(shí)間等要求，對(duì)異常行為進(jìn)行告警；

c)數(shù)據(jù)使用情況展示：通過(guò)對(duì)數(shù)據(jù)訪問(wèn)行為的監(jiān)測(cè)，可針對(duì)指定的數(shù)據(jù)展示其訪問(wèn)量、

常用訪問(wèn)時(shí)間、常用操作行為等信息。

7

YD/TXXXX—XXXX

參考文獻(xiàn)

[1]GB/T25069—2022信息安全技術(shù)術(shù)語(yǔ)

[2]GB/T37973—2019信息安全技術(shù)大數(shù)據(jù)安全管理指南

[3]GB/T37988—2019信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型

[4]YD/T3801—2020電信網(wǎng)和互聯(lián)網(wǎng)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估實(shí)施方法

[5]YD/T3813—2020基礎(chǔ)電信企業(yè)數(shù)據(jù)分類(lèi)分級(jí)方法

[6]國(guó)家互聯(lián)網(wǎng)信息辦公室，數(shù)據(jù)出境安全評(píng)估辦法，2022年7月7日

8

YD/TXXXX—XXXX

目次

前言...............................................................................II

1范圍..............................................................................1

2規(guī)范性引用文件....................................................................1

3術(shù)語(yǔ)和定義........................................................................1

4縮略語(yǔ)............................................................................1

5數(shù)據(jù)安全監(jiān)測(cè)預(yù)警概述..............................................................1

5.1概述.........................................................................1

5.2數(shù)據(jù)安全監(jiān)測(cè)預(yù)警框架.........................................................2

6數(shù)據(jù)安全監(jiān)測(cè)......................................................................2

6.1監(jiān)測(cè)信息采集.................................................................2

6.2監(jiān)測(cè)信息處理.................................................................4

7數(shù)據(jù)安全預(yù)警......................................................................4

7.1預(yù)警事件.....................................................................4

7.2預(yù)警信息推送及管理...........................................................5

8監(jiān)測(cè)與預(yù)警展示....................................................................6

8.1監(jiān)測(cè)信息展示.................................................................6

8.2預(yù)警展示.....................................................................6

9監(jiān)測(cè)預(yù)警信息安全防護(hù)..............................................................6

附錄A（資料性）數(shù)據(jù)流轉(zhuǎn)監(jiān)測(cè)預(yù)警實(shí)施.............................................7

A.1用戶(hù)通信業(yè)務(wù)流程中的數(shù)據(jù)監(jiān)測(cè)預(yù)警..............................................7

A.2網(wǎng)元存儲(chǔ)敏感數(shù)據(jù)的監(jiān)測(cè)預(yù)警....................................................7

參考文獻(xiàn)...........................................................................8

I

YD/TXXXX—XXXX

5G移動(dòng)通信網(wǎng)數(shù)據(jù)安全監(jiān)測(cè)預(yù)警技術(shù)要求

1范圍

本文件規(guī)定了5G移動(dòng)通信網(wǎng)中數(shù)據(jù)安全監(jiān)測(cè)預(yù)警技術(shù)要求，包括監(jiān)測(cè)信息采集、處理，

預(yù)警事件、預(yù)警方式，監(jiān)測(cè)預(yù)警信息展示與安全保護(hù)。

本文件適用于指導(dǎo)安全管理、安全運(yùn)營(yíng)人員對(duì)5G移動(dòng)通信網(wǎng)中的數(shù)據(jù)安全事件進(jìn)行發(fā)

現(xiàn)和處理。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期

的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括

所有的修改單）適用于本文件。

GB/T36635-2018信息安全技術(shù)網(wǎng)絡(luò)安全監(jiān)測(cè)基本要求與實(shí)施指南

GB/T41479-2022信息安全技術(shù)網(wǎng)絡(luò)數(shù)據(jù)處理安全要求

3術(shù)語(yǔ)和定義

下列術(shù)語(yǔ)和定義適用于本文件。

3.1

數(shù)據(jù)安全事件datasecurityevents

由單個(gè)或一系列意外或有害的數(shù)據(jù)安全事態(tài)所組成，極有可能造成數(shù)據(jù)泄露、數(shù)據(jù)丟失、

數(shù)據(jù)損壞等嚴(yán)重后果的事件。

4縮略語(yǔ)

下列縮略語(yǔ)適用于本文件。

AMF接入和移動(dòng)性管理功能（AccessandMobilityManagementFunction）

gNB下一代基站（generationnodeB）

IP網(wǎng)際互連協(xié)議（InternetProtocol）

MANO管理和編排（ManagementandOrchestration）

MEC移動(dòng)邊緣計(jì)算（MobileEdgeComputing）

SMSF短信服務(wù)功能(ShortMessageServiceFunction)

5數(shù)據(jù)安全監(jiān)測(cè)預(yù)警概述

5.1概述

數(shù)據(jù)安全典型事件包括數(shù)據(jù)泄露、數(shù)據(jù)丟失、數(shù)據(jù)篡改、數(shù)據(jù)損壞等。造成這些安全事

件的原因通常包括數(shù)據(jù)非法導(dǎo)出、非法刪除，傳輸過(guò)程中被截獲，共享數(shù)據(jù)遭到非法轉(zhuǎn)售等。

為了防止或及時(shí)發(fā)現(xiàn)數(shù)據(jù)安全事件的發(fā)生，應(yīng)對(duì)用戶(hù)的數(shù)據(jù)訪問(wèn)、數(shù)據(jù)導(dǎo)出、數(shù)據(jù)傳輸?shù)戎?/p>

要操作進(jìn)行監(jiān)測(cè)，對(duì)其中的風(fēng)險(xiǎn)操作進(jìn)行預(yù)警。

1

YD/TXXXX—XXXX

數(shù)據(jù)安全監(jiān)測(cè)對(duì)象為5G網(wǎng)絡(luò)中收集、存儲(chǔ)、處理數(shù)據(jù)的網(wǎng)元以及相關(guān)存儲(chǔ)、處理平臺(tái)，

包括5G網(wǎng)元、網(wǎng)管系統(tǒng)、網(wǎng)絡(luò)云等。對(duì)上述系統(tǒng)間的數(shù)據(jù)流轉(zhuǎn)過(guò)程進(jìn)行監(jiān)測(cè)，對(duì)監(jiān)測(cè)過(guò)程

中發(fā)現(xiàn)的可能引起數(shù)據(jù)安全事件的異常行為，以及已經(jīng)發(fā)生的數(shù)據(jù)安全事件預(yù)警。

5.2數(shù)據(jù)安全監(jiān)測(cè)預(yù)警框架

監(jiān)測(cè)與預(yù)警展示

預(yù)監(jiān)

數(shù)數(shù)據(jù)據(jù)安安全全預(yù)預(yù)警警事事件件預(yù)預(yù)警警方方式式

警測(cè)

預(yù)

警

信

監(jiān)

息

測(cè)監(jiān)測(cè)信息處理

安

全

數(shù)據(jù)全生命周期監(jiān)測(cè)信息采集防

護(hù)

圖1數(shù)據(jù)安全監(jiān)測(cè)預(yù)警框架

數(shù)據(jù)安全預(yù)警框架如圖1所示，包括監(jiān)測(cè)、預(yù)警、監(jiān)測(cè)與預(yù)警展示和監(jiān)測(cè)預(yù)警信息安全

防護(hù)。其中監(jiān)測(cè)和預(yù)警為核心，指導(dǎo)監(jiān)測(cè)信息采集、數(shù)據(jù)處理以及預(yù)警活動(dòng)的開(kāi)展。監(jiān)測(cè)與

預(yù)警展示主要將監(jiān)測(cè)與預(yù)警內(nèi)容以可視化形式進(jìn)行展示，便于運(yùn)維人員查看與處理。監(jiān)測(cè)預(yù)

警信息安全防護(hù)為監(jiān)測(cè)預(yù)警信息的存儲(chǔ)、處理提供安全保護(hù)，通常可通過(guò)監(jiān)測(cè)預(yù)警系統(tǒng)實(shí)現(xiàn)。

6數(shù)據(jù)安全監(jiān)測(cè)

6.1監(jiān)測(cè)信息采集

6.1.1數(shù)據(jù)全生命周期監(jiān)測(cè)信息采集

針對(duì)5G網(wǎng)絡(luò)中數(shù)據(jù)流轉(zhuǎn)的各個(gè)環(huán)節(jié)，展開(kāi)監(jiān)測(cè)信息采集：

a)數(shù)據(jù)采集環(huán)節(jié)：

1)數(shù)據(jù)采集指5G網(wǎng)絡(luò)自身創(chuàng)建數(shù)據(jù)或從外部獲取數(shù)據(jù)的行為，其中數(shù)據(jù)創(chuàng)建主

要指數(shù)據(jù)配置以及系統(tǒng)運(yùn)行過(guò)程中產(chǎn)生數(shù)據(jù)?？刂泼鏀?shù)據(jù)采集主要包括網(wǎng)元?jiǎng)?chuàng)

建數(shù)據(jù)，以及在4/5G互操作等場(chǎng)景，5G網(wǎng)絡(luò)從他網(wǎng)獲取數(shù)據(jù)；管理面數(shù)據(jù)采

集主要包括網(wǎng)元、MANO、切片管理系統(tǒng)等創(chuàng)建數(shù)據(jù)以及獲取外部導(dǎo)入數(shù)據(jù)的

行為；用戶(hù)面數(shù)據(jù)采集指5G網(wǎng)絡(luò)從其他網(wǎng)絡(luò)、終端設(shè)備采集數(shù)據(jù)，以及通過(guò)

分析產(chǎn)生新的用戶(hù)數(shù)據(jù)的行為；

2)數(shù)據(jù)采集環(huán)節(jié)應(yīng)對(duì)網(wǎng)元、MANO、切片管理系統(tǒng)的數(shù)據(jù)創(chuàng)建操作、數(shù)據(jù)導(dǎo)入行

為等進(jìn)行監(jiān)測(cè)。監(jiān)測(cè)方式主要依靠系統(tǒng)的操作日志、安全日志分析；

3)應(yīng)采集網(wǎng)元、MANO、切片管理系統(tǒng)等對(duì)象的操作日志，針對(duì)數(shù)據(jù)導(dǎo)入導(dǎo)出、

數(shù)據(jù)寫(xiě)入等重點(diǎn)操作，分析操作賬號(hào)、操作時(shí)間、操作行為量等。

b)數(shù)據(jù)傳輸環(huán)節(jié)：

1)此環(huán)節(jié)的數(shù)據(jù)安全監(jiān)測(cè)主要針對(duì)5G網(wǎng)絡(luò)內(nèi)部的數(shù)據(jù)傳輸，主要包括MANO

內(nèi)部組件之間數(shù)據(jù)傳輸、MANO與網(wǎng)元基礎(chǔ)設(shè)施層間數(shù)據(jù)傳輸、切片管理系

2

YD/TXXXX—XXXX

統(tǒng)內(nèi)部數(shù)據(jù)傳輸，以及切片管理系統(tǒng)與MANO、第三方平臺(tái)及運(yùn)營(yíng)商業(yè)務(wù)支

撐系統(tǒng)間數(shù)據(jù)傳輸?shù)龋?/p>

注：MANO各組件封裝后整體提供時(shí)，可不對(duì)各組件之間的傳輸進(jìn)行監(jiān)測(cè)。

2)數(shù)據(jù)傳輸環(huán)節(jié)對(duì)MANO、網(wǎng)元、切片管理系統(tǒng)、第三方平臺(tái)及運(yùn)營(yíng)商業(yè)務(wù)支

撐系統(tǒng)等系統(tǒng)之間的傳輸進(jìn)行監(jiān)測(cè)，應(yīng)包括傳輸?shù)臅r(shí)間、IP等，可通過(guò)接口

日志獲得。

c)數(shù)據(jù)存儲(chǔ)環(huán)節(jié)：

1)數(shù)據(jù)存儲(chǔ)指5G網(wǎng)絡(luò)中數(shù)據(jù)存儲(chǔ)過(guò)程。主要涉及具有存儲(chǔ)能力的網(wǎng)元、切片管

理系統(tǒng)、網(wǎng)管系統(tǒng)和MEC平臺(tái)等；

2)數(shù)據(jù)存儲(chǔ)環(huán)節(jié)主要保障數(shù)據(jù)存儲(chǔ)安全，需要監(jiān)測(cè)數(shù)據(jù)的訪問(wèn)情況，涉及的操作

主要包括基礎(chǔ)的查詢(xún)、新增、更新、刪除等，監(jiān)測(cè)信息主要通過(guò)操作日志獲得，

包括操作賬號(hào)、登錄時(shí)間、操作行為、訪問(wèn)的數(shù)據(jù)對(duì)象等。

d)數(shù)據(jù)使用環(huán)節(jié)：

1)數(shù)據(jù)使用指網(wǎng)元、切片管理系統(tǒng)、網(wǎng)管系統(tǒng)和MEC平臺(tái)等系統(tǒng)的計(jì)算、分析

等操作；

2)數(shù)據(jù)使用環(huán)節(jié)的監(jiān)測(cè)信息，主要從上述系統(tǒng)的用戶(hù)操作日志中獲得，應(yīng)包括操

作賬號(hào)、操作時(shí)間、操作行為等。

e)數(shù)據(jù)共享環(huán)節(jié)：根據(jù)GB/T41479-2022中5.7等相關(guān)要求，數(shù)據(jù)共享前需進(jìn)行安全

影響分析、風(fēng)險(xiǎn)評(píng)估和脫敏處理等，一般由組織機(jī)構(gòu)的信息技術(shù)網(wǎng)絡(luò)經(jīng)處理后提供，

不從5G移動(dòng)通信網(wǎng)絡(luò)直接共享，因此暫不考慮對(duì)數(shù)據(jù)共享環(huán)節(jié)的監(jiān)測(cè)和安全預(yù)警。

f)數(shù)據(jù)刪除環(huán)節(jié)：

1)5G數(shù)據(jù)刪除通常發(fā)生在虛擬機(jī)遷移、虛擬網(wǎng)元下線，物理設(shè)備退服等場(chǎng)景；

2)5G網(wǎng)絡(luò)中需監(jiān)測(cè)虛擬機(jī)遷移、虛擬網(wǎng)元下線后的磁盤(pán)邏輯刪除操作，通過(guò)平

臺(tái)操作日志進(jìn)行分析，包括操作賬號(hào)、時(shí)間、刪除方式等。針對(duì)物理設(shè)備（涉

及磁帶、硬盤(pán)、光盤(pán)等）刪除場(chǎng)景，其監(jiān)測(cè)主要通過(guò)人員監(jiān)督方式進(jìn)行。

6.1.2采集方式

應(yīng)