《數(shù)據(jù)泄漏防護(hù)產(chǎn)品安全評價規(guī)范》（2017rb012）-編制說明

1、《數(shù)據(jù)泄漏防護(hù)產(chǎn)品安全評價規(guī)范》《數(shù)據(jù)泄漏防護(hù)產(chǎn)品安全評價規(guī)范》(征求意見稿征求意見稿)編制說明編制說明一、工作簡況（一）括任務(wù)來源和協(xié)作單位《數(shù)據(jù)泄漏防護(hù)產(chǎn)品安全評價規(guī)范》是國家認(rèn)證認(rèn)可監(jiān)督管理委員會下達(dá)的認(rèn)證認(rèn)可行業(yè)規(guī)范制定項目，行標(biāo)計劃號為2017RB012。本規(guī)范為自主制定標(biāo)準(zhǔn)，牽頭單位為中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心，參與規(guī)范申請單位有信息產(chǎn)業(yè)信息安全測評中心、北京億賽通科技發(fā)展有限責(zé)任公司、北京北信源軟件股份有限公司、北京天

2、融信網(wǎng)絡(luò)安全技術(shù)有限公司等5家單位，歸口單位為國家認(rèn)證認(rèn)可監(jiān)督管理委員會（簡稱國家認(rèn)監(jiān)委）。（二）主要工作過程1、2017年5月，成立規(guī)范編制組；2、2017年6月，通過分析國內(nèi)外數(shù)據(jù)泄露防護(hù)產(chǎn)品涉及的關(guān)鍵技術(shù)及工作原理，確定安全邊界并分析其“安全環(huán)境”；3、2017年7月，結(jié)合產(chǎn)品功能和實際需求，識別數(shù)據(jù)泄露防護(hù)產(chǎn)品應(yīng)用可能存在的威脅及安全假設(shè)；4、2017年8月，基于安全環(huán)境、安全威脅和應(yīng)用假設(shè)的分析結(jié)果，提煉、標(biāo)識數(shù)據(jù)泄露防護(hù)產(chǎn)品

3、應(yīng)達(dá)到的技術(shù)和管理“安全目標(biāo)”；5、2017年9月，根據(jù)確定的安全目標(biāo)，結(jié)合現(xiàn)有技術(shù)和法律法規(guī)要求提出對數(shù)據(jù)泄露防護(hù)產(chǎn)品的技術(shù)要求；6、2017年10月至2007年11月，根據(jù)當(dāng)前管理和應(yīng)用需求，確定數(shù)據(jù)泄露防護(hù)產(chǎn)品應(yīng)達(dá)到的信息安全功能要求和信息安全保障能力級別；7、2017年12月至2018年3月，初步形成規(guī)范草案；8、2018年4月至2018年5月，規(guī)范編制組對草案進(jìn)行內(nèi)部研討；9、2018年6月，并對草案進(jìn)行修改完善，形成了《數(shù)據(jù)

4、泄漏防護(hù)產(chǎn)品安全評價規(guī)范》的征求意見稿。二、標(biāo)準(zhǔn)編制原則和主要內(nèi)容數(shù)據(jù)泄露防護(hù)產(chǎn)品是一種以統(tǒng)一策略為基礎(chǔ)，采用深層內(nèi)容分析技術(shù)對數(shù)據(jù)的傳輸、存儲進(jìn)行即時的識別、監(jiān)控和防護(hù)的安全產(chǎn)品。7在國外，自2007年以來，賽門鐵克、麥咖啡、趨勢科技等跨國信息安全巨頭，紛紛收購數(shù)據(jù)泄露防護(hù)（DLP）公司、技術(shù)和產(chǎn)品，涉足推動數(shù)據(jù)泄露防護(hù)（DLP）領(lǐng)域，在全球推出以內(nèi)容檢測為核心技術(shù)、輔以身份認(rèn)證和訪問控制、日志審計等技術(shù)的DLP產(chǎn)品。《數(shù)據(jù)泄露防護(hù)產(chǎn)

5、品安全評價規(guī)范》制定項目將以《GBT183362015信息技術(shù)安全技術(shù)信息技術(shù)安全評估準(zhǔn)則》標(biāo)準(zhǔn)框架為基礎(chǔ)，以提高和規(guī)范數(shù)據(jù)泄露防護(hù)產(chǎn)品安全技術(shù)為目標(biāo)，充分考慮國內(nèi)外主要數(shù)據(jù)泄露防護(hù)產(chǎn)品的特點和安全機(jī)制，提出安全技術(shù)的評價規(guī)范，為國內(nèi)相關(guān)產(chǎn)品的研制、生產(chǎn)、測試和評估提供指導(dǎo)作用?！禛BT18336信息技術(shù)安全技術(shù)信息技術(shù)安全評估準(zhǔn)則》等同采用ISOIEC15408國際標(biāo)準(zhǔn)，對應(yīng)CC標(biāo)準(zhǔn)（CommonCriteriafInfmationT

6、echnologySecurityEvaluation：信息技術(shù)安全性通用評估準(zhǔn)則)。1、國外CC標(biāo)準(zhǔn)發(fā)展情況國外，CC（CommonCriteria）組織一直致力于信息安全通用評估準(zhǔn)則（CommonCriteriafInfmationTechnologySecurityEvaluation，簡稱“CC”)的研究和發(fā)布。在1996年發(fā)布了信息技術(shù)安全評價通用準(zhǔn)則V1.0版，1998年發(fā)布CCV2.0版，1999年升級為CCV2.1版，同

7、年被國際標(biāo)準(zhǔn)組織ISO吸納為國際標(biāo)準(zhǔn)，編號ISOIEC15408:1999。隨著各國在使用該標(biāo)準(zhǔn)過程中經(jīng)驗的積累和反饋，CC組織不斷對該標(biāo)準(zhǔn)進(jìn)行相關(guān)修訂工作，2005年發(fā)布了CCV2.3版，該版本被ISO組織吸納升級為國際標(biāo)準(zhǔn)ISOIEC15408:2005版。2006年CC組織發(fā)布了CCV3.1版，這次修訂對上一版本進(jìn)行了較大調(diào)整，經(jīng)過多次反復(fù)的意見征集和討論，最終在2009年7月發(fā)布最終修訂版（V3.1Revision3Final）

8、。2009年12月，國際標(biāo)準(zhǔn)組織ISO通過吸收CCV3.1的內(nèi)容，陸續(xù)將該標(biāo)準(zhǔn)的3部分完成發(fā)布（ISOIEC154081:2009、ISOIEC154082:2008、ISOIEC154083:2008），作廢了ISOIEC15408:2005標(biāo)準(zhǔn)。2、國內(nèi)GBT18336標(biāo)準(zhǔn)情況國內(nèi)，2001年3月我國發(fā)布了信息安全技術(shù)評價的基礎(chǔ)標(biāo)準(zhǔn)《GBT183362001信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則》（等同采用國際標(biāo)準(zhǔn)ISOIEC154