《數(shù)據(jù)泄漏防護產(chǎn)品安全評價規(guī)范》（2017RB012）-編制說明

數(shù)據(jù)泄漏防護產(chǎn)品安全評價規(guī)范(征求意見稿)編制說明一、 工作簡況（一）括任務來源和協(xié)作單位數(shù)據(jù)泄漏防護產(chǎn)品安全評價規(guī)范是國家認證認可監(jiān)督管理委員會下達的認證認可行業(yè)規(guī)范制定項目，行標計劃號為2017RB012。本規(guī)范為自主制定標準，牽頭單位為中國網(wǎng)絡安全審查技術與認證中心，參與規(guī)范申請單位有信息產(chǎn)業(yè)信息安全測評中心、北京億賽通科技發(fā)展有限責任公司、北京北信源軟件股份有限公司、北京天融信網(wǎng)絡安全技術有限公司等5家單位，歸口單位為國家認證認可監(jiān)督管理委員會（簡稱國家認監(jiān)委）。（二）主要工作過程1、2017年5月，成立規(guī)范編制組；2、2017年6月，通過分析國內(nèi)外數(shù)據(jù)泄露防護產(chǎn)品涉及的關鍵技術及工作原理，確定安全邊界并分析其“安全環(huán)境”；3、2017年7月，結(jié)合產(chǎn)品功能和實際需求，識別數(shù)據(jù)泄露防護產(chǎn)品應用可能存在的威脅及安全假設；4、2017年8月，基于安全環(huán)境、安全威脅和應用假設的分析結(jié)果，提煉、標識數(shù)據(jù)泄露防護產(chǎn)品應達到的技術和管理“安全目標”；5、2017年9月，根據(jù)確定的安全目標，結(jié)合現(xiàn)有技術和法律法規(guī)要求提出對數(shù)據(jù)泄露防護產(chǎn)品的技術要求；6、2017年10月至2007年11月，根據(jù)當前管理和應用需求，確定數(shù)據(jù)泄露防護產(chǎn)品應達到的信息安全功能要求和信息安全保障能力級別；7、2017年12月至2018年3月，初步形成規(guī)范草案；8、2018年4月至2018年5月，規(guī)范編制組對草案進行內(nèi)部研討；9、2018年6月，并對草案進行修改完善，形成了數(shù)據(jù)泄漏防護產(chǎn)品安全評價規(guī)范的征求意見稿。二、 標準編制原則和主要內(nèi)容數(shù)據(jù)泄露防護產(chǎn)品是一種以統(tǒng)一策略為基礎，采用深層內(nèi)容分析技術對數(shù)據(jù)的傳輸、存儲進行即時的識別、監(jiān)控和防護的安全產(chǎn)品。隨著信息化建設的加速發(fā)展，數(shù)據(jù)泄露防護產(chǎn)品已經(jīng)被廣泛應用于大型企業(yè)和政府部門，這些企業(yè)和政府部門保存有大量需要保密的數(shù)據(jù)。近些年頻頻發(fā)生的數(shù)據(jù)泄露事件，給相關企業(yè)信譽、政府部門形象和經(jīng)濟等方面帶來了巨大的損失；而棱鏡門事件的發(fā)生，則威脅到了國家的安全。這使得國家在政策層面、企業(yè)在意識層面，對敏感數(shù)據(jù)泄露的防護提出了前所未有的嚴格要求。本項目研究內(nèi)容包括：1） 通過分析國內(nèi)外數(shù)據(jù)泄露防護產(chǎn)品涉及的關鍵技術及工作原理，確定安全邊界并分析其“安全環(huán)境”；2） 結(jié)合產(chǎn)品功能和實際需求，識別數(shù)據(jù)泄露防護產(chǎn)品應用可能存在的威脅及安全假設；3） 基于安全環(huán)境、安全威脅和應用假設的分析結(jié)果，提煉、標識數(shù)據(jù)泄露防護產(chǎn)品應達到的技術和管理“安全目標”；4） 根據(jù)確定的安全目標，結(jié)合現(xiàn)有技術和法律法規(guī)要求提出對數(shù)據(jù)泄露防護產(chǎn)品的技術要求；5） 基于產(chǎn)品功能和安全功能技術要求，研究制定相應的檢測方法，并建立相關評價準則；6） 根據(jù)我國產(chǎn)業(yè)發(fā)展現(xiàn)狀，及用戶應用和國家信息安全管理需要，確定有效實現(xiàn)數(shù)據(jù)泄露防護產(chǎn)品安全目標導出的安全要求，產(chǎn)品研發(fā)生產(chǎn)者信息安全保障能力應達到的級別，明確相關要求及方法；7） 綜合產(chǎn)品功能、安全功能、安全保障能力要求，及相應測試評價方法的研究結(jié)果，形成標準草案；8） 根據(jù)標準驗證應用結(jié)果、專家評審意見，修訂標準草案，包括：在檢測認證活動中驗證應用標準，組織專家對標準草案及驗證應用情況進行評審，遵循保證標準科學性、可操作性、一定前瞻性等原則，對標準草案進行修訂。三、 預期目標為適應數(shù)據(jù)泄露防護產(chǎn)品技術的發(fā)展，本項目旨在集成認證、檢測機構(gòu)和相關產(chǎn)業(yè)的最佳實踐，通過研究數(shù)據(jù)泄露防護產(chǎn)品的工作原理、功能特點、安全機制，確定數(shù)據(jù)泄露防護產(chǎn)品安全邊界和應用環(huán)境，結(jié)合相關法律法規(guī)及實際應用有關要求，參考相關技術要求和規(guī)范，提出數(shù)據(jù)泄露防護產(chǎn)品的技術要求和測試評價方法，形成數(shù)據(jù)泄露防護產(chǎn)品安全評價規(guī)范標準。四、 采用國際標準和國外先進標準情況目前國內(nèi)尚無數(shù)據(jù)泄露防護產(chǎn)品安全技術相關標準，國內(nèi)數(shù)據(jù)泄露防護行業(yè)的發(fā)展處于深度困擾和迷茫狀態(tài)中。出臺數(shù)據(jù)安全和數(shù)據(jù)防泄露產(chǎn)品的標準，對于DLP行業(yè)的發(fā)展具備至關重要的作用。在國外，自2007年以來，賽門鐵克、麥咖啡、趨勢科技等跨國信息安全巨頭，紛紛收購數(shù)據(jù)泄露防護（DLP）公司、技術和產(chǎn)品，涉足推動數(shù)據(jù)泄露防護（DLP）領域，在全球推出以內(nèi)容檢測為核心技術、輔以身份認證和訪問控制、日志審計等技術的DLP產(chǎn)品。數(shù)據(jù)泄露防護產(chǎn)品安全評價規(guī)范制定項目將以GB/T 18336-2015信息技術 安全技術 信息技術安全評估準則標準框架為基礎，以提高和規(guī)范數(shù)據(jù)泄露防護產(chǎn)品安全技術為目標，充分考慮國內(nèi)外主要數(shù)據(jù)泄露防護產(chǎn)品的特點和安全機制，提出安全技術的評價規(guī)范，為國內(nèi)相關產(chǎn)品的研制、生產(chǎn)、測試和評估提供指導作用。GB/T 18336信息技術 安全技術 信息技術安全評估準則等同采用ISO/IEC 15408國際標準，對應CC標準（Common Criteria for Information Technology Security Evaluation：信息技術安全性通用評估準則)。1、國外CC標準發(fā)展情況國外，CC（Common Criteria）組織一直致力于信息安全通用評估準則（Common Criteria for Information Technology Security Evaluation，簡稱“CC”)的研究和發(fā)布。在1996年發(fā)布了信息技術安全評價通用準則V1.0版，1998年發(fā)布CC V2.0版，1999年升級為CC V2.1版，同年被國際標準組織ISO吸納為國際標準，編號ISO/IEC 15408:1999。隨著各國在使用該標準過程中經(jīng)驗的積累和反饋，CC組織不斷對該標準進行相關修訂工作，2005年發(fā)布了CC V2.3版，該版本被ISO組織吸納升級為國際標準ISO/IEC 15408:2005版。2006年CC組織發(fā)布了CC V3.1版，這次修訂對上一版本進行了較大調(diào)整，經(jīng)過多次反復的意見征集和討論，最終在2009年7月發(fā)布最終修訂版（V3.1 Revision 3 Final）。2009年12月，國際標準組織ISO通過吸收CC V3.1的內(nèi)容，陸續(xù)將該標準的3部分完成發(fā)布（ISO/IEC 15408-1:2009、ISO/IEC 15408-2:2008、ISO/IEC 15408-3:2008），作廢了ISO/IEC 15408:2005標準。2、國內(nèi)GB/T 18336標準情況國內(nèi)，2001年3月我國發(fā)布了信息安全技術評價的基礎標準GB/T 18336-2001信息技術 安全技術 信息技術安全性評估準則（等同采用國際標準ISO/IEC 15408:1999）。在GB/T 18336中定義了評估信息技術產(chǎn)品和系統(tǒng)安全性所需的基礎準則，是度量信息技術安全性的基準。該標準針對在安全性評估過程中，信息技術產(chǎn)品和系統(tǒng)的安全功能及相應的保證措施提出一組通用要求，使各種相對獨立的安全性評估結(jié)果具有可比性。2008年6月根據(jù)相應國際標準的修訂和更新情況，發(fā)布了該標準的新版本，編號為GB/T 18336-2008（等同采用國際標準ISO/IEC 15408:2005）。2015年根據(jù)相應國際標準的修訂和更新情況，發(fā)布了該標準的最新版本，編號為GB/T 18336-2015（等同采用國際標準ISO/IEC 15408:2009），目前該標準已經(jīng)發(fā)布生效。五、 與相關法律法規(guī)及國家有關規(guī)定、國內(nèi)相關標準的關系本規(guī)范與現(xiàn)行法律、法規(guī)以及國家標準沒有沖突與矛盾的地方。六、 有關問題的說明項目組在標準編制過程中，經(jīng)歷了內(nèi)部討論與論證、技術研討會等過程，項目組在工作過程中遵循GB/T1.12009編制原則，對國內(nèi)外現(xiàn)狀做了大量調(diào)研，完成了規(guī)范草案的編寫工作。在整個過程中未遇到重大意見分歧，但對專家提出的意見和建議，我們做了應答和處理，更好地完善了我們的規(guī)范編制工作。七、 有關專利的說明本標準不涉及專利。 規(guī)范編制組 2018年6月7