《数据泄漏防护产品安全评价规范》（2017RB012）-编制说明

数据泄漏防护产品安全评价规范(征求意见稿)编制说明一、 工作简况（一）括任务来源和协作单位数据泄漏防护产品安全评价规范是国家认证认可监督管理委员会下达的认证认可行业规范制定项目，行标计划号为2017RB012。本规范为自主制定标准，牵头单位为中国网络安全审查技术与认证中心，参与规范申请单位有信息产业信息安全测评中心、北京亿赛通科技发展有限责任公司、北京北信源软件股份有限公司、北京天融信网络安全技术有限公司等5家单位，归口单位为国家认证认可监督管理委员会（简称国家认监委）。（二）主要工作过程1、2017年5月，成立规范编制组；2、2017年6月，通过分析国内外数据泄露防护产品涉及的关键技术及工作原理，确定安全边界并分析其“安全环境”；3、2017年7月，结合产品功能和实际需求，识别数据泄露防护产品应用可能存在的威胁及安全假设；4、2017年8月，基于安全环境、安全威胁和应用假设的分析结果，提炼、标识数据泄露防护产品应达到的技术和管理“安全目标”；5、2017年9月，根据确定的安全目标，结合现有技术和法律法规要求提出对数据泄露防护产品的技术要求；6、2017年10月至2007年11月，根据当前管理和应用需求，确定数据泄露防护产品应达到的信息安全功能要求和信息安全保障能力级别；7、2017年12月至2018年3月，初步形成规范草案；8、2018年4月至2018年5月，规范编制组对草案进行内部研讨；9、2018年6月，并对草案进行修改完善，形成了数据泄漏防护产品安全评价规范的征求意见稿。二、 标准编制原则和主要内容数据泄露防护产品是一种以统一策略为基础，采用深层内容分析技术对数据的传输、存储进行即时的识别、监控和防护的安全产品。随着信息化建设的加速发展，数据泄露防护产品已经被广泛应用于大型企业和政府部门，这些企业和政府部门保存有大量需要保密的数据。近些年频频发生的数据泄露事件，给相关企业信誉、政府部门形象和经济等方面带来了巨大的损失；而棱镜门事件的发生，则威胁到了国家的安全。这使得国家在政策层面、企业在意识层面，对敏感数据泄露的防护提出了前所未有的严格要求。本项目研究内容包括：1） 通过分析国内外数据泄露防护产品涉及的关键技术及工作原理，确定安全边界并分析其“安全环境”；2） 结合产品功能和实际需求，识别数据泄露防护产品应用可能存在的威胁及安全假设；3） 基于安全环境、安全威胁和应用假设的分析结果，提炼、标识数据泄露防护产品应达到的技术和管理“安全目标”；4） 根据确定的安全目标，结合现有技术和法律法规要求提出对数据泄露防护产品的技术要求；5） 基于产品功能和安全功能技术要求，研究制定相应的检测方法，并建立相关评价准则；6） 根据我国产业发展现状，及用户应用和国家信息安全管理需要，确定有效实现数据泄露防护产品安全目标导出的安全要求，产品研发生产者信息安全保障能力应达到的级别，明确相关要求及方法；7） 综合产品功能、安全功能、安全保障能力要求，及相应测试评价方法的研究结果，形成标准草案；8） 根据标准验证应用结果、专家评审意见，修订标准草案，包括：在检测认证活动中验证应用标准，组织专家对标准草案及验证应用情况进行评审，遵循保证标准科学性、可操作性、一定前瞻性等原则，对标准草案进行修订。三、 预期目标为适应数据泄露防护产品技术的发展，本项目旨在集成认证、检测机构和相关产业的最佳实践，通过研究数据泄露防护产品的工作原理、功能特点、安全机制，确定数据泄露防护产品安全边界和应用环境，结合相关法律法规及实际应用有关要求，参考相关技术要求和规范，提出数据泄露防护产品的技术要求和测试评价方法，形成数据泄露防护产品安全评价规范标准。四、 采用国际标准和国外先进标准情况目前国内尚无数据泄露防护产品安全技术相关标准，国内数据泄露防护行业的发展处于深度困扰和迷茫状态中。出台数据安全和数据防泄露产品的标准，对于DLP行业的发展具备至关重要的作用。在国外，自2007年以来，赛门铁克、麦咖啡、趋势科技等跨国信息安全巨头，纷纷收购数据泄露防护（DLP）公司、技术和产品，涉足推动数据泄露防护（DLP）领域，在全球推出以内容检测为核心技术、辅以身份认证和访问控制、日志审计等技术的DLP产品。数据泄露防护产品安全评价规范制定项目将以GB/T 18336-2015信息技术 安全技术 信息技术安全评估准则标准框架为基础，以提高和规范数据泄露防护产品安全技术为目标，充分考虑国内外主要数据泄露防护产品的特点和安全机制，提出安全技术的评价规范，为国内相关产品的研制、生产、测试和评估提供指导作用。GB/T 18336信息技术 安全技术 信息技术安全评估准则等同采用ISO/IEC 15408国际标准，对应CC标准（Common Criteria for Information Technology Security Evaluation：信息技术安全性通用评估准则)。1、国外CC标准发展情况国外，CC（Common Criteria）组织一直致力于信息安全通用评估准则（Common Criteria for Information Technology Security Evaluation，简称“CC”)的研究和发布。在1996年发布了信息技术安全评价通用准则V1.0版，1998年发布CC V2.0版，1999年升级为CC V2.1版，同年被国际标准组织ISO吸纳为国际标准，编号ISO/IEC 15408:1999。随着各国在使用该标准过程中经验的积累和反馈，CC组织不断对该标准进行相关修订工作，2005年发布了CC V2.3版，该版本被ISO组织吸纳升级为国际标准ISO/IEC 15408:2005版。2006年CC组织发布了CC V3.1版，这次修订对上一版本进行了较大调整，经过多次反复的意见征集和讨论，最终在2009年7月发布最终修订版（V3.1 Revision 3 Final）。2009年12月，国际标准组织ISO通过吸收CC V3.1的内容，陆续将该标准的3部分完成发布（ISO/IEC 15408-1:2009、ISO/IEC 15408-2:2008、ISO/IEC 15408-3:2008），作废了ISO/IEC 15408:2005标准。2、国内GB/T 18336标准情况国内，2001年3月我国发布了信息安全技术评价的基础标准GB/T 18336-2001信息技术 安全技术 信息技术安全性评估准则（等同采用国际标准ISO/IEC 15408:1999）。在GB/T 18336中定义了评估信息技术产品和系统安全性所需的基础准则，是度量信息技术安全性的基准。该标准针对在安全性评估过程中，信息技术产品和系统的安全功能及相应的保证措施提出一组通用要求，使各种相对独立的安全性评估结果具有可比性。2008年6月根据相应国际标准的修订和更新情况，发布了该标准的新版本，编号为GB/T 18336-2008（等同采用国际标准ISO/IEC 15408:2005）。2015年根据相应国际标准的修订和更新情况，发布了该标准的最新版本，编号为GB/T 18336-2015（等同采用国际标准ISO/IEC 15408:2009），目前该标准已经发布生效。五、 与相关法律法规及国家有关规定、国内相关标准的关系本规范与现行法律、法规以及国家标准没有冲突与矛盾的地方。六、 有关问题的说明项目组在标准编制过程中，经历了内部讨论与论证、技术研讨会等过程，项目组在工作过程中遵循GB/T1.12009编制原则，对国内外现状做了大量调研，完成了规范草案的编写工作。在整个过程中未遇到重大意见分歧，但对专家提出的意见和建议，我们做了应答和处理，更好地完善了我们的规范编制工作。七、 有关专利的说明本标准不涉及专利。 规范编制组 2018年6月7