ICS35.020 CCS L70 YD 中华人民共和国通信行业标准 YD/TXXXX—XXXX 基于大数据的存证取证系统技术要求 Technical requirements for evidence storage and collection system based on big data （报批稿） XXXX-XX-XX发布 XXXX-XX-XX实施 中华人民共和国工业和信息化部 发布 YD/T XXXX—XXXX 前言 本文件按照GB/T1.1一2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中国通信标准化协会提出并归口。 本文件起草单位：中国信息通信研究院、交通银行股份有限公司、中国移动紫金（江苏）创新研究 院有限公司、中移系统集成有限公司、上海零数众合信息科技有限公司、马上消费金融股份有限公司。 本文件主要起草人：李文宇、闫坤、聂鹏、卢方周、李丹妮、彭涛、兰春嘉、杨珍、李永刚、谢玉 凤、 周晓阳、张辰曦、陈柳、钱晟扬。 II YD/TXXXX—XXXX 基于大数据的存证取证系统技术要求 1范围 本文件规定了基于大数据的存取证系统技术要求，包括存取证功能要求、数据采集要求、数据存储 要求、数据分析要求、安全性要求和兼容性等要求。 本文件适用于指导基于大数据的存证取证系统的研制、生产、认证，并为基于大数据的存证取证系 统进行测评提供技术依据。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T22239一2019信息安全技术网络安全等级保护基本要求 GB/T35295信息技术大数据术语 SF/T0076一2020电子数据存证技术规范 3术语和定义 GB/T35295界定的以及下列术语和定义适用于本文件。 3. 1 大数据bigdata 具有体量巨大、来源多样、生成极快、且多变等特征并且难以用传统数据体系结构有效处理的包含 大量数据集的数据。 [来源：GB/T35295—2017,2.1.1] 3. 2 存证 evidence storage 通过技术手段对电子数据进行保存的行为，保证电子数据的完整性和真实性。 3. 3 取证 evidence collection 通过技术手段对指定数据源中的电子数据进行采集、保全和记录的过程。 3. 4 基于大数据的存证取证系统evidencestorageandcollectionsystembaseonbigdata 由基于大数据的存证取证服务提供者向使用者以网站、应用程序和编程接口等形式提供电子数据 存证取证服务的系统。 3. 5 可信时间标识trustedtimestamp 标识某一刻时间的可信字符序列，该标识不仅能标识出行为的发生时间，还能通过时间的先后顺序 构建带时序的证据链条。 YD/T XXXX—XXXX [来源：SF/T0076一2020，3.5，有修改 3. 6 电子数据摘要electronicdatasummary 对文件内容数据通过逻辑运算得到不可逆的数据散列值 4缩略语 下列缩略语适用于本文件。 API：应用程序开发接口（ApplicationProgrammingInterface） RAID：磁盘阵列（RedundantArraysofIndependentDisks） 5概述 基于大数据的存证取证系统，包括存证、取证、数据存储、数据分析和用户界面/API接口等功能。 用户通过用户界面或者API接口接收处理存证、取证、分析请求，并执行存证功能、取证功能或数据分 析功能，存证功能将用户提交的存证数据存储在系统中，取证功能从用户指定的存证目标处获取取证数 据并存储于系统中。 62 存证取证功能要求 6.1存证功能要求 系统应支持存证功能，并满足以下要求： a）应支持通过多种方式提交存证请求，如通过系统提供的界面进行点击操作、使用API等提交存 证请求； b) 应支持上传多种类型的存证数据，支持原文件存证、文件电子数据摘要存证等多种存证数据： 应支持对已接收的存证文件和/或文件电子数据摘要等进行存储，并提供查看功能； c）/ (p 存证数据的记录应包括数据来源、数据唯一标识、可信时间标识等关键信息； e）/ 应对存证数据进行完整性校验，确保数据在传输、存储过程中数据未丢失、未被篡改； f） 应记录存证过程，并对存证中的关键操作节点进行记录并保存记录结果，记录结果中应带有可 信时间标识。 6.2取证功能要求 系统应支持用户设置取证自标并提交取证请求，并满足以下要求： a）应支持通过多种方式提交取证目标以及取证请求，如通过系统提供的界面进行点击操作、使用 API等进行取证目标以及取证请求的提交： b）应支持多种取证目标种类，如网页、数据库等； c）应支持从用户设置的取证目标处获取用户指定的需要取证的数据，如指定网页中的部分进行截 图取证； (P 应支持对已接收的取证文件和/或文件电子数据摘要等进行存储，并提供查看功能； 取证数据的记录应包括数据来源、数据唯一标识、可信时间标识等关键信息； g）J h）/ 应对取证数据进行完整性校验，确保数据在传输、存储过程中数据未丢失、未被篡改； e) 应记录取证过程，并对取证过程中的关键操作节点进行记录并保存记录结果，记录结果中应带 有可信的时间标识。 7存证取证数据采集要求 7.1数据采集要求 2 YD/T XXXX—XXXX 系统应支持对存证数据和取证数据进行采集，并满足以下要求： a）应支持多种数据接入方式，如离线数据接入、API接口接入等： b）应支持添加、编辑、删除数据源的功能； c）对于存证及取证数据的文件类型，宜支持图片、视频、音频、网页数据、网络日志、数据库文 件等常见文件类型； d）数据采集宜支持系统自动化调度，能实时或定时等多种形式触发数据采集， 7.2数据采集过程监控要求 为了记录存证和取证过程中的信息并及时对存证和取证过程中的异常进行告警，系统应支持数据采 集过程监控功能，过程监控功能满足以下要求： a）应覆盖所采集的数据的信息、采集过程中的网络状态、采集任务的进度； b）应支持数据采集过程异常情况告警功能，对采集的数据、采集过程中的网络状态、采集任务等 出现异常进行实时告警。 8 存证取证数据存储要求 8.1高可靠性 系统应采用高可靠性的数据存储解决方案，满足以下要求： a）应具备穴余存储机制，确保数据的完整性和可用性，如采用RAID技术实现； b）应定期对数据进行备份，同时应建立数据恢复机制； c）应具备实时监控功能，对存储设备的运行状态、数据访问等情况进行实时监测，并对异常情况 发出实时告警。 8.2分布式存储 系统宜采用分布式存储技术，例如分布式数据库等，以支持大规模数据存储和高并发访问。 8.3多数据类型存储 系统应支持多种数据类型的存储，满足以下要求 a）应支持多种数据类型的存储，包括结构化数据、半结构化数据、非结构化数据等： b）宜支持格式转换工具，支持用户将存储格式转换为系统支持的格式进行存储。 9.存证取证数据分析要求 9.1存证取证数据分析中的数据处理 存证取证数据分析中的数据处理能力满足以下要求： a) 应支持实时数据分析处理功能，并生成实时分析结果； b）宜支持对数据处理的监测与告警能力，如当出现异常或关键指标超过阈值时及时发出告警； c）宜支持容错和恢复能力，如当出现节点故障、网络中断时，能正常处理数据。 9.2数据挖掘功能 根据业务方的需求，系统宜支持机器学习算法进行数据挖掘、分析等功能。 10存证取证安全性要求 10.1总体要求 基于大数据的存证取证系统应符合GB/T22239一2019的第二级要求。 10.2数据隐私保护 系统应支持通过数据隐私保护技术措施保护用户数据的隐私，包括数据加密、数据脱敏等。 3 YD/T XXXX—XXXX 10.3防篡改保护 系统应具备防篡改机制，能够检测和防止数据被篡改。 11.兼容性要求 11.1平台兼容性 系统应满足平台的兼容性要求，包括： a) 操作系统兼容性：支持兼容至少两种主流操作系统，如Windows、Linux等； b） 浏览器兼容性：支持至少三种浏览器的访问； c） 硬件平台兼容性：支持主流硬件平台兼容性。 11.2接口集成兼容性 系统应提供丰富的接口和集成能力，支持与外部系统和服务的集成，以实现对各种业务数据的对接 保证对被采集系统的兼容性。 4 YD/T XXXX—XXXX 目 次 前 1范围 2规范性引用文件 3术语和定义 4缩略语， 5概述 6存证取证功能要求 6.1存证功能要求 6.2取证功能要求 7存证取证数据采集要求 7.1数据采集要求. 7.2数据采集过程监控要求 8存证取证数据存储要求 8.1高可靠性 8.2分布式存储.. 8.3多数据类型存储 9存证取证数据分析要求 9.1存证取证数据分析中的数据处理 9.2数据挖掘功能， 10存证取证安全性要求， 10.1总体要求. 10.2数据隐私保护 10.3防篡改保护， 11兼容性要求， 11.1平台兼容性. 11.2接口集成兼容性