《信息安全技術 數(shù)據(jù)泄漏防護產(chǎn)品技術要求》（征求意見稿）編制說明

1一、工作簡況（一）任務來源本標準2023年由廣電計量檢測集團股份有限公司向中國基本建設優(yōu)化研究會（簡稱：中基會）提出立項，中基會于2023年5月31日正式下達立項計劃，計劃編號為：P2023-07。本標準由中國基本建設優(yōu)化研究會提出并歸口。本標準由廣電計量檢測集團股份有限公司為牽頭單位的起草小組組織起草。（二）標準制訂的目的和意義隨著信息化建設的加速發(fā)展，數(shù)據(jù)泄露防護產(chǎn)品已經(jīng)被廣泛應用于大型企業(yè)和政府部門，這些企業(yè)和政府部門保存有大量需要保密的數(shù)據(jù)。近些年頻頻發(fā)生的數(shù)據(jù)泄露事件，給相關企業(yè)信譽、政府部門形象和經(jīng)濟等方面帶來了巨大的損失；而棱鏡門事件的發(fā)生，則威脅到了國家的安全。這使得國家在政策層面、企業(yè)在意識層面，對敏感數(shù)據(jù)泄露的防護提出了前所未有的嚴格要求。國外，自2011年以來，賽門鐵克、麥咖啡、趨勢科技等跨國信息安全巨頭，紛紛收購數(shù)據(jù)泄露防護（DLP）公司、技術和產(chǎn)品，涉足推動數(shù)據(jù)泄露防護（DLP）領域，在全球推出以內容檢測為核心技術、輔以身份認證和訪問控制、日志審計等技術的DLP產(chǎn)品。目前國外沒有數(shù)據(jù)泄露防護產(chǎn)品的國際標準，僅有一些與其相關的其他產(chǎn)品的PP（ProtectionProfile）可供參考。近年來，數(shù)據(jù)泄露造成的損失與日俱增，數(shù)據(jù)泄露防護產(chǎn)品備受關注，國內數(shù)據(jù)泄露防護行業(yè)的發(fā)展處于深度困擾和迷茫狀態(tài)中。因此，開展數(shù)據(jù)泄露防護產(chǎn)品安全評價研究就顯得尤為迫切，制定《數(shù)據(jù)泄露防護產(chǎn)品安全技術要求和測試評價方法》能夠填補相關標準空白，健全國家網(wǎng)絡安全產(chǎn)品標準體系，對于數(shù)據(jù)泄露防護行業(yè)的發(fā)展具備至關重要的作用。目前國內數(shù)據(jù)泄露防護產(chǎn)品的實現(xiàn)水平不一，安全性參差不齊，與國外水平也存在一定的差距，在未來的應用中必將存在很大的安全隱患。因此，建立一套數(shù)據(jù)泄露防護產(chǎn)品的安全技術評價標準，規(guī)范數(shù)據(jù)泄露防護產(chǎn)品功能及安全性,本標準的制定和實施主要有以下幾個方面的作用：（1）可為數(shù)據(jù)泄露防護產(chǎn)品用戶選擇數(shù)據(jù)泄露防護產(chǎn)品提供合理依據(jù)，避免社會資源浪費；（2）可為數(shù)據(jù)泄露防護產(chǎn)品的研制、生產(chǎn)、測試、評估和認證提供指導，為數(shù)據(jù)泄露防護產(chǎn)品在未來的應用中能夠提供更安全的服務奠定更堅實的基礎，對于保障信息系統(tǒng)安全運行和數(shù)據(jù)安全具有重要的意義；（3）為相關政府部門和檢測認證機構在政策制定、市場監(jiān)管等方面提供技術支撐。（三）主要工作過程（1）項目預研項目前期，主編單位、中國基本建設優(yōu)化研究會、北京藍象標準咨詢服務有限公司對信息安全技術進2行了系統(tǒng)的研究，針對數(shù)據(jù)泄漏防護產(chǎn)品的市場情況、需求情況等進行了資料查證和企業(yè)走訪調研，并結合專家意見形成了立項建議書和標準草案框架。2023年5月29日召開了立項評估會，經(jīng)專家論證，同意該標準立項。中國基本建設優(yōu)化研究會于2023年5月31日下達了標準制定計劃。（2）項目預研2023年5月31日上午，中國基本建設優(yōu)化研究會下達了《信息安全技術數(shù)據(jù)防泄漏產(chǎn)品技術規(guī)范》等7項“信息安全技術”系列團體標準立項通知，要求標準主要起草單位抓緊落實和實施計劃，在標準起草過程中加強與有關方面的協(xié)調，廣泛聽取意見，保證標準質量和水平，按時完成團體標準制訂任務。（3）項目啟動及首次研討會2023年6月27日，由中國基本建設優(yōu)化研究會主辦、北京藍象標準咨詢服務有限公司承辦的《信息安全技術數(shù)據(jù)防泄漏產(chǎn)品技術規(guī)范》等7項“信息安全技術”系列團體標準啟動會在北京召開。中國基本建設優(yōu)化研究會黨委書記（會長）孫曉洲、中國標準化委員會委員（博士生導師）強毅出席會議并致辭，中國基本建設優(yōu)化研究會秘書長宮然、中國基本建設優(yōu)化研究會標準化技術委員會主任委員段小莉出席會議并總結發(fā)言，公安部科技信息化局原局長厲劍、中國科學院計算機網(wǎng)絡信息中心大數(shù)據(jù)部副主任（國家基礎學科公共科學數(shù)據(jù)中心主任）胡良霖、中國標準化研究院高新技術與信息標準化研究所副所長王志強、國家信息技術安全研究中心原副總工程師宮亞峰等領導和專家出席會議。會議由中國基本建設優(yōu)化研究會標準化技術委員會副主任委員（北京藍象標準咨詢服務有限公司首席技術官）張德保主持。《信息安全技術數(shù)據(jù)防泄漏產(chǎn)品技術規(guī)范》等7項“信息安全技術”系列團體標準首次研討會由中國基本建設優(yōu)化研究會標準化技術委員會副主任委員（中國科學院計算機網(wǎng)絡信息中心大數(shù)據(jù)部副主任、國家基礎學科公共科學數(shù)據(jù)中心主任）胡良霖主持，廣電計量檢測集團股份有限公司代表標準起草組，對《信息安全技術數(shù)據(jù)泄露防護產(chǎn)品技術要求》標準的主筆單位、研制背景、標準主要內容和標準編制情況進行了介紹，并匯報了會議前收到的修改意見預處理情況。隨后，參會代表結合意見預處理情況，圍繞標準的名稱、技術框架、條款的陳述方式等方面展開了熱烈的討論，主編單位代表對各參會代表所提建議和意見進行了詳細的記錄和解答。會后，標準起草組針對啟動會會前和會上，和專家提出的36條建議和意見進行分析和研究，對標準草案進行相應修改與完善，形成新一版的標準文本。并根據(jù)會議意見研究更改標準名稱為《信息安全技術數(shù)據(jù)泄漏防護產(chǎn)品技術要求》。（4）第二次研討會2023年10月20日，由中國基本建設優(yōu)化研究會主辦，北京藍象標準咨詢服務有限公司、中國工業(yè)互聯(lián)網(wǎng)研究院聯(lián)合承辦的《信息安全技術數(shù)據(jù)泄露防護產(chǎn)品技術要求》等7項信息安全技術系列團體標準第二次研討會在京成功召開。中國基本建設優(yōu)化研究會標準化技術委員會主任委員、北京藍象標準咨詢服務有限公司總經(jīng)理段小莉，中國工業(yè)互聯(lián)網(wǎng)研究院主任薛強出席會議并致辭，公安部科技信息化局原黨委書記、局長（研究員）厲劍作為特邀專家出席會議并做點評。自59家企事業(yè)單位60余名代表參加了會議，會議由中國基本建設優(yōu)化研究會標準化技術委員會標準化工程師吳建全主持。主編單位廣電計量檢測集團股份有限公司代表標準起草組介紹標準討論稿和意見處理情況，參會領導、專家和企業(yè)代表重點圍繞標準3的范圍和定位、技術框架、性能指標、條款內容等方面展開了熱烈的討論，并對標準文本的修改和完善提出了很多寶貴的建議和意見。同時，特邀專家公安部科技信息化局原黨委書記、局長（研究員）厲劍從專業(yè)技術角度對標準進行了專業(yè)點評。主編單位代表對各參編單位代表所提建議和意見進行了詳細的記錄和解答，會后，標準起草組針對各單位和專家提出的26條修改建議進行了處理，并對相應的標準文本進行修改。（四）主要參加起草單位和工作組成員所做的工作本標準起草工作組由廣電計量檢測集團股份有限公司為牽頭單位組成。起草組承擔了標準起草的組織、標準文本的編制、重點企業(yè)意見征求、標準編制說明的撰寫和內審等工作。二、標準編制原則和確定標準主要內容的依據(jù)（一）標準編寫原則本標準按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規(guī)則》的規(guī)定起草。起草過程，充分考慮現(xiàn)有相關標準的統(tǒng)一和協(xié)調；標準的要求充分考慮了國內當前的行業(yè)技術水平，對草案內容進行多次征求意見和充分討論。（二）確定標準主要技術指標的基本原則數(shù)據(jù)泄露防護產(chǎn)品通過對運行、存儲于主機內或者網(wǎng)絡中傳輸?shù)奈募?shù)據(jù)進行內容識別，對數(shù)據(jù)的操作和傳輸過程進行監(jiān)視和控制，實現(xiàn)對數(shù)據(jù)以非授權的形式流出安全域進行防護的功能；同時該類產(chǎn)品還應具有基本的身份鑒別、安全管理、審計和報警功能。該類產(chǎn)品的部署和實現(xiàn)方式可分為主機型（移動終端）、網(wǎng)絡型或綜合型（包含主機客戶端、移動終端及網(wǎng)絡設備）。編制過程遵循下列原則：以技術為核心：關注技術發(fā)展方向及法律法規(guī)要求；以市場為基礎：關注產(chǎn)品市場占比與用戶需求；以應用為目標：關注應用需求。（三）主要內容本標準規(guī)定了數(shù)據(jù)泄露防護產(chǎn)品的概況、技術要求、安全技術要求和等級劃分要求。（1）編制思路——覆蓋主要的數(shù)據(jù)訪問的應用場景；——覆蓋產(chǎn)品的主要功能；——覆蓋產(chǎn)品的安全功能；——基于產(chǎn)品的水平，劃分等級；——參考新的數(shù)據(jù)識別技術。（2）總體概況數(shù)據(jù)泄露防護產(chǎn)品通過對運行、存儲于主機內或者網(wǎng)絡中傳輸?shù)奈募?、?shù)據(jù)進行內容識別，對數(shù)據(jù)的操作和傳輸過程進行監(jiān)視和控制，實現(xiàn)對數(shù)據(jù)以非授權的形式流出安全域進行防護的功能；同時該類產(chǎn)品還應具有基本的身份鑒別、安全管理、審計和報警功能。該類產(chǎn)品的部署和實現(xiàn)方式可分為主機型移4動終端）、網(wǎng)絡型或綜合型（包含主機客戶端、移動終端及網(wǎng)絡設備）。（3）技術要求數(shù)據(jù)輸出方式監(jiān)測、數(shù)據(jù)內容識別、策略管理等數(shù)據(jù)防泄露產(chǎn)品的功能。（4）安全功能要求——標識與鑒別：機密性；唯一性標識、身份鑒別；鑒別數(shù)據(jù)保護、鑒別失敗處理。——安全管理功能：賦予安全管理員的功能?！獏^(qū)分安全管理角色：責權分立，操作、審批、審計、管理?！h程管理——數(shù)據(jù)保密：審計日志數(shù)據(jù)機密性、完整性；強制性：保護程序不被用戶惡意終止；防止非授權監(jiān)控、遠程保密傳輸、集中分組管理、審計數(shù)據(jù)續(xù)傳?！獙徲嫻δ堋獙徟δ堋獔缶δ埽?）等級劃分要求按照數(shù)據(jù)防泄露的技術能力要求強度，將數(shù)據(jù)防泄露安全功能要求劃分成基本級和增強級。5（四）主要依據(jù)本標準在貫徹落實我國網(wǎng)絡安全、信息安全相關國家政策基礎上，通過研究分析相關國家標準、行業(yè)標準提出本項目的研制思路，主要參考以下標準：GB/T18336.3—2015信息技術安全技術信息技術安全評估準則第3部分：安全保障組件GB/T25069—2010信息安全技術術語三、與國際、國外同類標準技術內容的對比情況目前，國外在數(shù)據(jù)防泄露領域已涌現(xiàn)出一批優(yōu)秀企業(yè)，從不同的角度提出了各自的數(shù)據(jù)泄露防護解決方案。由于數(shù)據(jù)防泄露是個比較新的領域，國外在這方面雖然起步較早，很多公司宣稱自己是該領域領先者。實際上就目前來看，尚沒有任何一家公司具有顯而易見的優(yōu)勢。一方面是因為該領域仍存在大量需要解決的技術問題，另一方面則是由于敏感數(shù)據(jù)防泄露涉及政策和管理等方方面面的問題，且各行各業(yè)情況不盡相同，這也增加了數(shù)據(jù)防泄露的難度。目前國外沒有數(shù)據(jù)泄露防護產(chǎn)品的國際標準，僅有一些與其相關的其他產(chǎn)品的PP可供參考。四、與有關法律、行政法規(guī)及相關標準關系的說明自2013年以來，國內大力推動國產(chǎn)DLP產(chǎn)品的生產(chǎn)和應用，在金融行業(yè)和運營商行業(yè)更是掀起了一個潮流。但國內產(chǎn)品還處于萌芽階段，產(chǎn)品的不成熟和不穩(wěn)定為DLP國產(chǎn)化的道路帶來了阻力，很多終端、加密和審計廠商開始轉型。國內相關產(chǎn)品雖然具備了一些數(shù)據(jù)泄露防護功能，但其主要采用單一加密方式對數(shù)據(jù)進行保護，不能對傳輸中的數(shù)據(jù)進行保護，且加密文件的外發(fā)需要經(jīng)過文件審批流程，增加人工管理工作量，缺乏對數(shù)據(jù)全生命周期的管控。因此，為適應數(shù)據(jù)泄露防護產(chǎn)品發(fā)展的需求，相關企業(yè)已對當前實施的DLP行業(yè)標準進行修改，但數(shù)據(jù)泄露防護產(chǎn)品安全技術規(guī)范相關標準尚屬空白，亟待出臺相關標準。五、重大分歧意見的處理經(jīng)過和依據(jù)本文件在起草過程中，對標準中的技術內容沒有發(fā)生重大分歧。六、涉及專利的有關說明本文件不涉及專利。七、數(shù)據(jù)驗證本標準研制過程中參考了《GA/T912-2018信息安全技術數(shù)據(jù)泄露防護產(chǎn)品安全技術要求》、《YD/T3735-2020電信網(wǎng)數(shù)據(jù)泄露防護系統(tǒng)（DLP）技術要求》、《數(shù)據(jù)大泄露-隱私保護危機與數(shù)據(jù)安全》、《隱私數(shù)據(jù)泄露行為分析》等書籍。本標準對天空衛(wèi)士、美創(chuàng)、北信源、天融信等產(chǎn)品做了調研。核心內容和技術要求基于當前市場主流產(chǎn)品的技術能力與安全功能，同時依據(jù)GB/T618336分析了產(chǎn)品的安全威脅，完善了安全功能要求的內容。標準內容能夠覆蓋市場主流產(chǎn)品的能力，符合市場和行業(yè)的需求。八、預期社會經(jīng)濟效益目前國內數(shù)據(jù)泄露防護產(chǎn)品的實現(xiàn)水平不一，安全性參差不齊，與國外水平也存在一定的差距，在未來的應用中必將存在很大的安全隱患。因此，建立一套數(shù)據(jù)泄露防護產(chǎn)品的安全技術評價標準，規(guī)范數(shù)據(jù)泄露防護產(chǎn)品功能及安全性,本標準的制定和實施主要有以下幾個方面的作用：（1）可為數(shù)據(jù)泄露防護產(chǎn)品用戶選擇數(shù)據(jù)泄露防護產(chǎn)品提供合理依據(jù)，避免社會資源浪費；（2）可為數(shù)據(jù)泄露防