《信息安全技術(shù) 數(shù)據(jù)泄漏防護(hù)產(chǎn)品技術(shù)要求》（征求意見稿）編制說明

1一、工作簡況（一）任務(wù)來源本標(biāo)準(zhǔn)2023年由廣電計量檢測集團(tuán)股份有限公司向中國基本建設(shè)優(yōu)化研究會（簡稱：中基會）提出立項，中基會于2023年5月31日正式下達(dá)立項計劃，計劃編號為：P2023-07。本標(biāo)準(zhǔn)由中國基本建設(shè)優(yōu)化研究會提出并歸口。本標(biāo)準(zhǔn)由廣電計量檢測集團(tuán)股份有限公司為牽頭單位的起草小組組織起草。（二）標(biāo)準(zhǔn)制訂的目的和意義隨著信息化建設(shè)的加速發(fā)展，數(shù)據(jù)泄露防護(hù)產(chǎn)品已經(jīng)被廣泛應(yīng)用于大型企業(yè)和政府部門，這些企業(yè)和政府部門保存有大量需要保密的數(shù)據(jù)。近些年頻頻發(fā)生的數(shù)據(jù)泄露事件，給相關(guān)企業(yè)信譽(yù)、政府部門形象和經(jīng)濟(jì)等方面帶來了巨大的損失；而棱鏡門事件的發(fā)生，則威脅到了國家的安全。這使得國家在政策層面、企業(yè)在意識層面，對敏感數(shù)據(jù)泄露的防護(hù)提出了前所未有的嚴(yán)格要求。國外，自2011年以來，賽門鐵克、麥咖啡、趨勢科技等跨國信息安全巨頭，紛紛收購數(shù)據(jù)泄露防護(hù)（DLP）公司、技術(shù)和產(chǎn)品，涉足推動數(shù)據(jù)泄露防護(hù)（DLP）領(lǐng)域，在全球推出以內(nèi)容檢測為核心技術(shù)、輔以身份認(rèn)證和訪問控制、日志審計等技術(shù)的DLP產(chǎn)品。目前國外沒有數(shù)據(jù)泄露防護(hù)產(chǎn)品的國際標(biāo)準(zhǔn)，僅有一些與其相關(guān)的其他產(chǎn)品的PP（ProtectionProfile）可供參考。近年來，數(shù)據(jù)泄露造成的損失與日俱增，數(shù)據(jù)泄露防護(hù)產(chǎn)品備受關(guān)注，國內(nèi)數(shù)據(jù)泄露防護(hù)行業(yè)的發(fā)展處于深度困擾和迷茫狀態(tài)中。因此，開展數(shù)據(jù)泄露防護(hù)產(chǎn)品安全評價研究就顯得尤為迫切，制定《數(shù)據(jù)泄露防護(hù)產(chǎn)品安全技術(shù)要求和測試評價方法》能夠填補(bǔ)相關(guān)標(biāo)準(zhǔn)空白，健全國家網(wǎng)絡(luò)安全產(chǎn)品標(biāo)準(zhǔn)體系，對于數(shù)據(jù)泄露防護(hù)行業(yè)的發(fā)展具備至關(guān)重要的作用。目前國內(nèi)數(shù)據(jù)泄露防護(hù)產(chǎn)品的實(shí)現(xiàn)水平不一，安全性參差不齊，與國外水平也存在一定的差距，在未來的應(yīng)用中必將存在很大的安全隱患。因此，建立一套數(shù)據(jù)泄露防護(hù)產(chǎn)品的安全技術(shù)評價標(biāo)準(zhǔn)，規(guī)范數(shù)據(jù)泄露防護(hù)產(chǎn)品功能及安全性,本標(biāo)準(zhǔn)的制定和實(shí)施主要有以下幾個方面的作用：（1）可為數(shù)據(jù)泄露防護(hù)產(chǎn)品用戶選擇數(shù)據(jù)泄露防護(hù)產(chǎn)品提供合理依據(jù)，避免社會資源浪費(fèi)；（2）可為數(shù)據(jù)泄露防護(hù)產(chǎn)品的研制、生產(chǎn)、測試、評估和認(rèn)證提供指導(dǎo)，為數(shù)據(jù)泄露防護(hù)產(chǎn)品在未來的應(yīng)用中能夠提供更安全的服務(wù)奠定更堅實(shí)的基礎(chǔ)，對于保障信息系統(tǒng)安全運(yùn)行和數(shù)據(jù)安全具有重要的意義；（3）為相關(guān)政府部門和檢測認(rèn)證機(jī)構(gòu)在政策制定、市場監(jiān)管等方面提供技術(shù)支撐。（三）主要工作過程（1）項目預(yù)研項目前期，主編單位、中國基本建設(shè)優(yōu)化研究會、北京藍(lán)象標(biāo)準(zhǔn)咨詢服務(wù)有限公司對信息安全技術(shù)進(jìn)2行了系統(tǒng)的研究，針對數(shù)據(jù)泄漏防護(hù)產(chǎn)品的市場情況、需求情況等進(jìn)行了資料查證和企業(yè)走訪調(diào)研，并結(jié)合專家意見形成了立項建議書和標(biāo)準(zhǔn)草案框架。2023年5月29日召開了立項評估會，經(jīng)專家論證，同意該標(biāo)準(zhǔn)立項。中國基本建設(shè)優(yōu)化研究會于2023年5月31日下達(dá)了標(biāo)準(zhǔn)制定計劃。（2）項目預(yù)研2023年5月31日上午，中國基本建設(shè)優(yōu)化研究會下達(dá)了《信息安全技術(shù)數(shù)據(jù)防泄漏產(chǎn)品技術(shù)規(guī)范》等7項“信息安全技術(shù)”系列團(tuán)體標(biāo)準(zhǔn)立項通知，要求標(biāo)準(zhǔn)主要起草單位抓緊落實(shí)和實(shí)施計劃，在標(biāo)準(zhǔn)起草過程中加強(qiáng)與有關(guān)方面的協(xié)調(diào)，廣泛聽取意見，保證標(biāo)準(zhǔn)質(zhì)量和水平，按時完成團(tuán)體標(biāo)準(zhǔn)制訂任務(wù)。（3）項目啟動及首次研討會2023年6月27日，由中國基本建設(shè)優(yōu)化研究會主辦、北京藍(lán)象標(biāo)準(zhǔn)咨詢服務(wù)有限公司承辦的《信息安全技術(shù)數(shù)據(jù)防泄漏產(chǎn)品技術(shù)規(guī)范》等7項“信息安全技術(shù)”系列團(tuán)體標(biāo)準(zhǔn)啟動會在北京召開。中國基本建設(shè)優(yōu)化研究會黨委書記（會長）孫曉洲、中國標(biāo)準(zhǔn)化委員會委員（博士生導(dǎo)師）強(qiáng)毅出席會議并致辭，中國基本建設(shè)優(yōu)化研究會秘書長宮然、中國基本建設(shè)優(yōu)化研究會標(biāo)準(zhǔn)化技術(shù)委員會主任委員段小莉出席會議并總結(jié)發(fā)言，公安部科技信息化局原局長厲劍、中國科學(xué)院計算機(jī)網(wǎng)絡(luò)信息中心大數(shù)據(jù)部副主任（國家基礎(chǔ)學(xué)科公共科學(xué)數(shù)據(jù)中心主任）胡良霖、中國標(biāo)準(zhǔn)化研究院高新技術(shù)與信息標(biāo)準(zhǔn)化研究所副所長王志強(qiáng)、國家信息技術(shù)安全研究中心原副總工程師宮亞峰等領(lǐng)導(dǎo)和專家出席會議。會議由中國基本建設(shè)優(yōu)化研究會標(biāo)準(zhǔn)化技術(shù)委員會副主任委員（北京藍(lán)象標(biāo)準(zhǔn)咨詢服務(wù)有限公司首席技術(shù)官）張德保主持?！缎畔踩夹g(shù)數(shù)據(jù)防泄漏產(chǎn)品技術(shù)規(guī)范》等7項“信息安全技術(shù)”系列團(tuán)體標(biāo)準(zhǔn)首次研討會由中國基本建設(shè)優(yōu)化研究會標(biāo)準(zhǔn)化技術(shù)委員會副主任委員（中國科學(xué)院計算機(jī)網(wǎng)絡(luò)信息中心大數(shù)據(jù)部副主任、國家基礎(chǔ)學(xué)科公共科學(xué)數(shù)據(jù)中心主任）胡良霖主持，廣電計量檢測集團(tuán)股份有限公司代表標(biāo)準(zhǔn)起草組，對《信息安全技術(shù)數(shù)據(jù)泄露防護(hù)產(chǎn)品技術(shù)要求》標(biāo)準(zhǔn)的主筆單位、研制背景、標(biāo)準(zhǔn)主要內(nèi)容和標(biāo)準(zhǔn)編制情況進(jìn)行了介紹，并匯報了會議前收到的修改意見預(yù)處理情況。隨后，參會代表結(jié)合意見預(yù)處理情況，圍繞標(biāo)準(zhǔn)的名稱、技術(shù)框架、條款的陳述方式等方面展開了熱烈的討論，主編單位代表對各參會代表所提建議和意見進(jìn)行了詳細(xì)的記錄和解答。會后，標(biāo)準(zhǔn)起草組針對啟動會會前和會上，和專家提出的36條建議和意見進(jìn)行分析和研究，對標(biāo)準(zhǔn)草案進(jìn)行相應(yīng)修改與完善，形成新一版的標(biāo)準(zhǔn)文本。并根據(jù)會議意見研究更改標(biāo)準(zhǔn)名稱為《信息安全技術(shù)數(shù)據(jù)泄漏防護(hù)產(chǎn)品技術(shù)要求》。（4）第二次研討會2023年10月20日，由中國基本建設(shè)優(yōu)化研究會主辦，北京藍(lán)象標(biāo)準(zhǔn)咨詢服務(wù)有限公司、中國工業(yè)互聯(lián)網(wǎng)研究院聯(lián)合承辦的《信息安全技術(shù)數(shù)據(jù)泄露防護(hù)產(chǎn)品技術(shù)要求》等7項信息安全技術(shù)系列團(tuán)體標(biāo)準(zhǔn)第二次研討會在京成功召開。中國基本建設(shè)優(yōu)化研究會標(biāo)準(zhǔn)化技術(shù)委員會主任委員、北京藍(lán)象標(biāo)準(zhǔn)咨詢服務(wù)有限公司總經(jīng)理段小莉，中國工業(yè)互聯(lián)網(wǎng)研究院主任薛強(qiáng)出席會議并致辭，公安部科技信息化局原黨委書記、局長（研究員）厲劍作為特邀專家出席會議并做點(diǎn)評。自59家企事業(yè)單位60余名代表參加了會議，會議由中國基本建設(shè)優(yōu)化研究會標(biāo)準(zhǔn)化技術(shù)委員會標(biāo)準(zhǔn)化工程師吳建全主持。主編單位廣電計量檢測集團(tuán)股份有限公司代表標(biāo)準(zhǔn)起草組介紹標(biāo)準(zhǔn)討論稿和意見處理情況，參會領(lǐng)導(dǎo)、專家和企業(yè)代表重點(diǎn)圍繞標(biāo)準(zhǔn)3的范圍和定位、技術(shù)框架、性能指標(biāo)、條款內(nèi)容等方面展開了熱烈的討論，并對標(biāo)準(zhǔn)文本的修改和完善提出了很多寶貴的建議和意見。同時，特邀專家公安部科技信息化局原黨委書記、局長（研究員）厲劍從專業(yè)技術(shù)角度對標(biāo)準(zhǔn)進(jìn)行了專業(yè)點(diǎn)評。主編單位代表對各參編單位代表所提建議和意見進(jìn)行了詳細(xì)的記錄和解答，會后，標(biāo)準(zhǔn)起草組針對各單位和專家提出的26條修改建議進(jìn)行了處理，并對相應(yīng)的標(biāo)準(zhǔn)文本進(jìn)行修改。（四）主要參加起草單位和工作組成員所做的工作本標(biāo)準(zhǔn)起草工作組由廣電計量檢測集團(tuán)股份有限公司為牽頭單位組成。起草組承擔(dān)了標(biāo)準(zhǔn)起草的組織、標(biāo)準(zhǔn)文本的編制、重點(diǎn)企業(yè)意見征求、標(biāo)準(zhǔn)編制說明的撰寫和內(nèi)審等工作。二、標(biāo)準(zhǔn)編制原則和確定標(biāo)準(zhǔn)主要內(nèi)容的依據(jù)（一）標(biāo)準(zhǔn)編寫原則本標(biāo)準(zhǔn)按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。起草過程，充分考慮現(xiàn)有相關(guān)標(biāo)準(zhǔn)的統(tǒng)一和協(xié)調(diào)；標(biāo)準(zhǔn)的要求充分考慮了國內(nèi)當(dāng)前的行業(yè)技術(shù)水平，對草案內(nèi)容進(jìn)行多次征求意見和充分討論。（二）確定標(biāo)準(zhǔn)主要技術(shù)指標(biāo)的基本原則數(shù)據(jù)泄露防護(hù)產(chǎn)品通過對運(yùn)行、存儲于主機(jī)內(nèi)或者網(wǎng)絡(luò)中傳輸?shù)奈募?、?shù)據(jù)進(jìn)行內(nèi)容識別，對數(shù)據(jù)的操作和傳輸過程進(jìn)行監(jiān)視和控制，實(shí)現(xiàn)對數(shù)據(jù)以非授權(quán)的形式流出安全域進(jìn)行防護(hù)的功能；同時該類產(chǎn)品還應(yīng)具有基本的身份鑒別、安全管理、審計和報警功能。該類產(chǎn)品的部署和實(shí)現(xiàn)方式可分為主機(jī)型（移動終端）、網(wǎng)絡(luò)型或綜合型（包含主機(jī)客戶端、移動終端及網(wǎng)絡(luò)設(shè)備）。編制過程遵循下列原則：以技術(shù)為核心：關(guān)注技術(shù)發(fā)展方向及法律法規(guī)要求；以市場為基礎(chǔ)：關(guān)注產(chǎn)品市場占比與用戶需求；以應(yīng)用為目標(biāo)：關(guān)注應(yīng)用需求。（三）主要內(nèi)容本標(biāo)準(zhǔn)規(guī)定了數(shù)據(jù)泄露防護(hù)產(chǎn)品的概況、技術(shù)要求、安全技術(shù)要求和等級劃分要求。（1）編制思路——覆蓋主要的數(shù)據(jù)訪問的應(yīng)用場景；——覆蓋產(chǎn)品的主要功能；——覆蓋產(chǎn)品的安全功能；——基于產(chǎn)品的水平，劃分等級；——參考新的數(shù)據(jù)識別技術(shù)。（2）總體概況數(shù)據(jù)泄露防護(hù)產(chǎn)品通過對運(yùn)行、存儲于主機(jī)內(nèi)或者網(wǎng)絡(luò)中傳輸?shù)奈募?、?shù)據(jù)進(jìn)行內(nèi)容識別，對數(shù)據(jù)的操作和傳輸過程進(jìn)行監(jiān)視和控制，實(shí)現(xiàn)對數(shù)據(jù)以非授權(quán)的形式流出安全域進(jìn)行防護(hù)的功能；同時該類產(chǎn)品還應(yīng)具有基本的身份鑒別、安全管理、審計和報警功能。該類產(chǎn)品的部署和實(shí)現(xiàn)方式可分為主機(jī)型移4動終端）、網(wǎng)絡(luò)型或綜合型（包含主機(jī)客戶端、移動終端及網(wǎng)絡(luò)設(shè)備）。（3）技術(shù)要求數(shù)據(jù)輸出方式監(jiān)測、數(shù)據(jù)內(nèi)容識別、策略管理等數(shù)據(jù)防泄露產(chǎn)品的功能。（4）安全功能要求——標(biāo)識與鑒別：機(jī)密性；唯一性標(biāo)識、身份鑒別；鑒別數(shù)據(jù)保護(hù)、鑒別失敗處理?！踩芾砉δ埽嘿x予安全管理員的功能?！獏^(qū)分安全管理角色：責(zé)權(quán)分立，操作、審批、審計、管理?！h(yuǎn)程管理——數(shù)據(jù)保密：審計日志數(shù)據(jù)機(jī)密性、完整性；強(qiáng)制性：保護(hù)程序不被用戶惡意終止；防止非授權(quán)監(jiān)控、遠(yuǎn)程保密傳輸、集中分組管理、審計數(shù)據(jù)續(xù)傳?！獙徲嫻δ堋獙徟δ堋獔缶δ埽?）等級劃分要求按照數(shù)據(jù)防泄露的技術(shù)能力要求強(qiáng)度，將數(shù)據(jù)防泄露安全功能要求劃分成基本級和增強(qiáng)級。5（四）主要依據(jù)本標(biāo)準(zhǔn)在貫徹落實(shí)我國網(wǎng)絡(luò)安全、信息安全相關(guān)國家政策基礎(chǔ)上，通過研究分析相關(guān)國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)提出本項目的研制思路，主要參考以下標(biāo)準(zhǔn)：GB/T18336.3—2015信息技術(shù)安全技術(shù)信息技術(shù)安全評估準(zhǔn)則第3部分：安全保障組件GB/T25069—2010信息安全技術(shù)術(shù)語三、與國際、國外同類標(biāo)準(zhǔn)技術(shù)內(nèi)容的對比情況目前，國外在數(shù)據(jù)防泄露領(lǐng)域已涌現(xiàn)出一批優(yōu)秀企業(yè)，從不同的角度提出了各自的數(shù)據(jù)泄露防護(hù)解決方案。由于數(shù)據(jù)防泄露是個比較新的領(lǐng)域，國外在這方面雖然起步較早，很多公司宣稱自己是該領(lǐng)域領(lǐng)先者。實(shí)際上就目前來看，尚沒有任何一家公司具有顯而易見的優(yōu)勢。一方面是因為該領(lǐng)域仍存在大量需要解決的技術(shù)問題，另一方面則是由于敏感數(shù)據(jù)防泄露涉及政策和管理等方方面面的問題，且各行各業(yè)情況不盡相同，這也增加了數(shù)據(jù)防泄露的難度。目前國外沒有數(shù)據(jù)泄露防護(hù)產(chǎn)品的國際標(biāo)準(zhǔn)，僅有一些與其相關(guān)的其他產(chǎn)品的PP可供參考。四、與有關(guān)法律、行政法規(guī)及相關(guān)標(biāo)準(zhǔn)關(guān)系的說明自2013年以來，國內(nèi)大力推動國產(chǎn)DLP產(chǎn)品的生產(chǎn)和應(yīng)用，在金融行業(yè)和運(yùn)營商行業(yè)更是掀起了一個潮流。但國內(nèi)產(chǎn)品還處于萌芽階段，產(chǎn)品的不成熟和不穩(wěn)定為DLP國產(chǎn)化的道路帶來了阻力，很多終端、加密和審計廠商開始轉(zhuǎn)型。國內(nèi)相關(guān)產(chǎn)品雖然具備了一些數(shù)據(jù)泄露防護(hù)功能，但其主要采用單一加密方式對數(shù)據(jù)進(jìn)行保護(hù)，不能對傳輸中的數(shù)據(jù)進(jìn)行保護(hù)，且加密文件的外發(fā)需要經(jīng)過文件審批流程，增加人工管理工作量，缺乏對數(shù)據(jù)全生命周期的管控。因此，為適應(yīng)數(shù)據(jù)泄露防護(hù)產(chǎn)品發(fā)展的需求，相關(guān)企業(yè)已對當(dāng)前實(shí)施的DLP行業(yè)標(biāo)準(zhǔn)進(jìn)行修改，但數(shù)據(jù)泄露防護(hù)產(chǎn)品安全技術(shù)規(guī)范相關(guān)標(biāo)準(zhǔn)尚屬空白，亟待出臺相關(guān)標(biāo)準(zhǔn)。五、重大分歧意見的處理經(jīng)過和依據(jù)本文件在起草過程中，對標(biāo)準(zhǔn)中的技術(shù)內(nèi)容沒有發(fā)生重大分歧。六、涉及專利的有關(guān)說明本文件不涉及專利。七、數(shù)據(jù)驗證本標(biāo)準(zhǔn)研制過程中參考了《GA/T912-2018信息安全技術(shù)數(shù)據(jù)泄露防護(hù)產(chǎn)品安全技術(shù)要求》、《YD/T3735-2020電信網(wǎng)數(shù)據(jù)泄露防護(hù)系統(tǒng)（DLP）技術(shù)要求》、《數(shù)據(jù)大泄露-隱私保護(hù)危機(jī)與數(shù)據(jù)安全》、《隱私數(shù)據(jù)泄露行為分析》等書籍。本標(biāo)準(zhǔn)對天空衛(wèi)士、美創(chuàng)、北信源、天融信等產(chǎn)品做了調(diào)研。核心內(nèi)容和技術(shù)要求基于當(dāng)前市場主流產(chǎn)品的技術(shù)能力與安全功能，同時依據(jù)GB/T618336分析了產(chǎn)品的安全威脅，完善了安全功能要求的內(nèi)容。標(biāo)準(zhǔn)內(nèi)容能夠覆蓋市場主流產(chǎn)品的能力，符合市場和行業(yè)的需求。八、預(yù)期社會經(jīng)濟(jì)效益目前國內(nèi)數(shù)據(jù)泄露防護(hù)產(chǎn)品的實(shí)現(xiàn)水平不一，安全性參差不齊，與國外水平也存在一定的差距，在未來的應(yīng)用中必將存在很大的安全隱患。因此，建立一套數(shù)據(jù)泄露防護(hù)產(chǎn)品的安全技術(shù)評價標(biāo)準(zhǔn)，規(guī)范數(shù)據(jù)泄露防護(hù)產(chǎn)品功能及安全性,本標(biāo)準(zhǔn)的制定和實(shí)施主要有以下幾個方面的作用：（1）可為數(shù)據(jù)泄露防護(hù)產(chǎn)品用戶選擇數(shù)據(jù)泄露防護(hù)產(chǎn)品提供合理依據(jù)，避免社會資源浪費(fèi)；（2）可為數(shù)據(jù)泄露防