TCOSOCC 018-2024 信息安全技術(shù) 數(shù)據(jù)泄漏防護(hù)產(chǎn)品技術(shù)要求

Informationsecuritytechnology-Technicalrequirementsofdataleakagepreventionproducts 2 2 3 3 4 4 4 4 4 5 5 5 5 6 7本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定本文件起草單位：廣電計(jì)量檢測(cè)集團(tuán)股份有限公司、北京京航計(jì)算通訊研安全技術(shù)股份有限公司、中移（杭州）信息技術(shù)有限公司、嵩1信息安全技術(shù)數(shù)據(jù)泄漏防護(hù)產(chǎn)品技術(shù)要求本文件規(guī)定了數(shù)據(jù)泄漏防護(hù)產(chǎn)品的總體要求、功能要求、安全要求和等級(jí)劃分要求。本文件適用于數(shù)據(jù)泄漏防護(hù)產(chǎn)品的設(shè)計(jì)、開發(fā)與測(cè)試等活動(dòng)。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T18336.3網(wǎng)絡(luò)安全技術(shù)信息技術(shù)安全評(píng)估準(zhǔn)則第3部分：安全保障組件3術(shù)語和定義GB/T18336.3界定的以及下列術(shù)語和定義適用于本文件。數(shù)據(jù)泄漏防護(hù)dataleakageprevention防止數(shù)據(jù)以未授權(quán)的方式流出安全域的行為。數(shù)據(jù)泄漏防護(hù)產(chǎn)品dataleakagepre防止數(shù)據(jù)以非授權(quán)的形式流出安全域的產(chǎn)品。系統(tǒng)之間進(jìn)行數(shù)據(jù)傳輸和交流的通道或協(xié)議，通常會(huì)定義數(shù)據(jù)的格式、傳輸方式、通信協(xié)議和連接規(guī)則。4總體要求數(shù)據(jù)泄漏防護(hù)產(chǎn)品通過對(duì)運(yùn)行、存儲(chǔ)于主機(jī)內(nèi)或者網(wǎng)絡(luò)中傳輸?shù)奈募?shù)據(jù)進(jìn)行內(nèi)容識(shí)別，對(duì)數(shù)據(jù)的操作和傳輸過程進(jìn)行監(jiān)視和控制，實(shí)現(xiàn)對(duì)數(shù)據(jù)以非授權(quán)的形式流出安全域進(jìn)行防護(hù)；同時(shí)該類產(chǎn)品應(yīng)具有身份鑒別、安全管理、審計(jì)和報(bào)警功能等安全功能。該類產(chǎn)品的部署和實(shí)現(xiàn)方式可分為主機(jī)型、網(wǎng)絡(luò)型、移動(dòng)終端型和綜合型。a)主機(jī)型部署指終端服務(wù)器與管理控制臺(tái)結(jié)合部署的方式。b)網(wǎng)絡(luò)型部署指部署在網(wǎng)絡(luò)的端口、數(shù)據(jù)庫端口等位置。c)移動(dòng)終端型部署指部署在移動(dòng)終端數(shù)據(jù)防泄漏的部署方式。d)綜合型部署指部署方式包括了終端服務(wù)器部署、網(wǎng)絡(luò)端口部署、數(shù)據(jù)端口部署、移動(dòng)終端部署等多種部署統(tǒng)一管理的組合型部署方式。5功能要求5.1數(shù)據(jù)輸出監(jiān)測(cè)應(yīng)對(duì)產(chǎn)品數(shù)據(jù)傳輸對(duì)象和用戶操作行為的以下內(nèi)容進(jìn)行監(jiān)測(cè)：a)存儲(chǔ)介質(zhì)，包括光盤、閃存盤、硬盤、存儲(chǔ)卡等；b)數(shù)據(jù)接口，包括應(yīng)用程序接口、數(shù)據(jù)庫接口、網(wǎng)絡(luò)接口、藍(lán)牙通信接口等；2c)打印輸出方式的數(shù)據(jù)泄漏防護(hù)，包括網(wǎng)絡(luò)打印、本地打??；d)剪切板、拷貝方式；e)對(duì)數(shù)據(jù)進(jìn)行截圖；f)對(duì)數(shù)據(jù)進(jìn)行加密；g)自定義的應(yīng)用程序，包括云應(yīng)用；5.2數(shù)據(jù)內(nèi)容識(shí)別5.2.1數(shù)據(jù)庫流量?jī)?nèi)容識(shí)別產(chǎn)品應(yīng)能對(duì)數(shù)據(jù)庫訪問流量?jī)?nèi)容進(jìn)行識(shí)別，包括但不限于以下數(shù)據(jù)庫：a)不少于5類國(guó)外數(shù)據(jù)庫，包括0racle數(shù)據(jù)庫、ACCESS數(shù)據(jù)庫、結(jié)構(gòu)化查詢語言(SQL)數(shù)據(jù)b)不少于2類國(guó)產(chǎn)數(shù)據(jù)庫，包括人大金倉Kingbase數(shù)據(jù)庫、達(dá)夢(mèng)DM數(shù)據(jù)庫、華為GBase數(shù)據(jù)庫、南大通用GBase數(shù)據(jù)庫等。5.2.2其他數(shù)據(jù)流內(nèi)容識(shí)別產(chǎn)品應(yīng)能對(duì)以下至少1種動(dòng)態(tài)數(shù)據(jù)流內(nèi)容進(jìn)行識(shí)別，能被識(shí)別的動(dòng)態(tài)數(shù)據(jù)流，包括但不限于下列內(nèi)a)網(wǎng)絡(luò)流量；b)應(yīng)用程序編程接口(API)數(shù)據(jù)；c)消息隊(duì)列。5.2.3文件內(nèi)容識(shí)別產(chǎn)品應(yīng)對(duì)文件中的數(shù)據(jù)內(nèi)容進(jìn)行識(shí)別，包括以下內(nèi)容：a)文檔類文件，包括文本文檔、office文檔、wps文檔、pdf文檔等；b)壓縮類文件，包括rar、zip等；c)圖像類文件，包括jpg、bmp等；d)音視頻類文件內(nèi)容，包括mp3、mkv等；e)圖像類文件文字內(nèi)容；f)其他自定義格式的文件。5.2.4網(wǎng)絡(luò)協(xié)議數(shù)據(jù)內(nèi)容識(shí)別產(chǎn)品應(yīng)對(duì)網(wǎng)絡(luò)協(xié)議中的數(shù)據(jù)內(nèi)容進(jìn)行識(shí)別，并應(yīng)符合下列要求：a)支持傳輸控制協(xié)議/網(wǎng)際協(xié)議(TCP/IP);b)支持超文本傳輸協(xié)議(HTTP);c)支持文本傳輸協(xié)議(FTP);d)支持簡(jiǎn)單郵件傳輸協(xié)議(SMTP);e)支持文件共享類協(xié)議；f)支持即時(shí)通信(IM)類協(xié)議；g)支持超文本傳輸安全協(xié)議(HTTPS)。5.3數(shù)據(jù)監(jiān)測(cè)防護(hù)策略管理5.3.1敏感數(shù)據(jù)定義產(chǎn)品應(yīng)支持敏感數(shù)據(jù)定義，并應(yīng)符合下列要求：a)支持敏感數(shù)據(jù)預(yù)定義，包括個(gè)人信息、企業(yè)信息、政府部門信息等至少一類信息；b)支持用戶自定義敏感信息，能根據(jù)用戶需求對(duì)一類敏感信息進(jìn)行定義，定義方法應(yīng)具備一定的可操作性。5.3.2數(shù)據(jù)接口監(jiān)控信息字段產(chǎn)品應(yīng)能發(fā)現(xiàn)數(shù)據(jù)輸出過程中對(duì)數(shù)據(jù)接口的基礎(chǔ)信息字段，包括以下內(nèi)容：3產(chǎn)品應(yīng)能按預(yù)定義的策略對(duì)需要被識(shí)別的數(shù)據(jù)轉(zhuǎn)移或操作行為進(jìn)行控制，并應(yīng)符合下列要求：a)具備自動(dòng)報(bào)警功能，能對(duì)檢測(cè)到的數(shù)據(jù)泄露行為自動(dòng)報(bào)警；b)支持對(duì)數(shù)據(jù)操作行為阻斷；c)支持對(duì)阻斷的數(shù)據(jù)操作行為進(jìn)行記a)包括不同數(shù)據(jù)內(nèi)容識(shí)別策略的集合，包括但不限于敏感數(shù)據(jù)定義、數(shù)據(jù)接口監(jiān)控信息字段；b)包括不同防泄漏措施的集合，并能應(yīng)用于數(shù)據(jù)泄漏防護(hù)保護(hù)過程；d)支持根據(jù)數(shù)據(jù)傳輸目的地址或操作用戶設(shè)置數(shù)據(jù)泄漏防護(hù)策略。產(chǎn)品應(yīng)具有數(shù)據(jù)識(shí)別方法的策略調(diào)整功能，并應(yīng)符合下列b)支持根據(jù)預(yù)制規(guī)則自動(dòng)調(diào)整識(shí)別方法和規(guī)則，如時(shí)間、操作用戶、數(shù)據(jù)傳輸目的地址等。產(chǎn)品應(yīng)在執(zhí)行任何與安全功能相關(guān)的操作之前鑒別任何聲稱要履b)鎖定該管理員賬號(hào)或遠(yuǎn)程登錄終端的地址。46.4遠(yuǎn)程管理6.6審計(jì)5網(wǎng)絡(luò)型數(shù)據(jù)泄漏防護(hù)產(chǎn)品應(yīng)至少能對(duì)a)～d)的事件進(jìn)行審計(jì)，主機(jī)型與移動(dòng)終端型數(shù)據(jù)產(chǎn)品應(yīng)至少能對(duì)a)～e)的事件進(jìn)行審計(jì)。b)支持按日期、時(shí)間、事件主體等條件對(duì)c)僅允許審計(jì)員或授權(quán)管理員對(duì)審計(jì)日志進(jìn)行存檔、刪除和清空。6.7審批6.7.1審批角色a)支持對(duì)數(shù)據(jù)泄漏防護(hù)策略的設(shè)置申請(qǐng)行為進(jìn)行審批；6.7.2審批流程在設(shè)置數(shù)據(jù)泄漏防護(hù)安全策略前，應(yīng)提供審批流程管理，通過審批才能設(shè)置數(shù)據(jù)泄6.7.3審批日志策略生效時(shí)間等。6.8報(bào)警b)對(duì)管理員鑒別失敗的次數(shù)達(dá)到設(shè)定值；產(chǎn)品的報(bào)警消息內(nèi)容應(yīng)至少包括事件發(fā)生的日期、時(shí)間、事件主體、事件描述。6.8.3報(bào)警方式b)支持發(fā)送報(bào)警郵件；c)支持發(fā)送短消息業(yè)務(wù)(SMS)