2024信息安全技术数据泄漏防护产品技术要求

信息安全技术数据泄漏防护产品技术要求目 次前言 II112范引文件 13语定义 14体求 15能求 1数输监测 1数内识别 2数监防策理 26全3标与别 3区安管角色 4安管理 4远管理 4数保密 4审计 4审批 5报警 57级分求 5等划分 5等要求 6参考献 7I信息安全技术数据泄漏防护产品技术要求范围本文件规定了数据泄漏防护产品的总体要求、功能要求、安全要求和等级划分要求。本文件适用于数据泄漏防护产品的设计、开发与测试等活动。（GB/T18336.3网络安全技术信息技术安全评估准则第3部分：安全保障组件GB/T18336.3界定的以及下列术语和定义适用于本文件。数据泄漏防护dataleakageprevention防止数据以未授权的方式流出安全域的行为。数据泄漏防护产品dataleakagepreventionproduct防止数据以非授权的形式流出安全域的产品。数据接口datainterface应对产品数据传输对象和用户操作行为的以下内容进行监测：1产品应能对数据库访问流量内容进行识别，包括但不限于以下数据库：5OracleACCESS（SQL）库、DB2SybaseMySQLPostgreSQL、MongoDB、AS/4002KingbaseDMGBaseGBase产品应能对以下至少1种动态数据流内容进行识别，能被识别的动态数据流，包括但不限于下列内容：（API）产品应对文件中的数据内容进行识别，包括以下内容：officewpspdfrarzipjpgbmpmp3、mkv产品应对网络协议中的数据内容进行识别，并应符合下列要求：/（TCP/IP）；（HTTP）；（FTP）；支持（SMTP）；（IM）（HTTPS）。产品应支持敏感数据定义，并应符合下列要求：产品应能发现数据输出过程中对数据接口的基础信息字段，包括以下内容：2（IP）IP产品应能按预定义的策略对需要被识别的数据转移或操作行为进行控制，并应符合下列要求：产品应具有数据识别方法的策略调整功能，并应符合下列要求：产品应在执行任何与安全功能相关的操作之前鉴别任何声称要履行授权管理员职责的管理员身份。产品应保证鉴别数据不被未授权查阅和修改。当对管理员鉴别失败的次数达到指定次数后，产品应按以下方式处理：3产品应能对用户角色进行区分，并符合下列要求：产品应授权管理员进行安全管理，并应符合下列要求：增强级产品（增强级，见表1）可根据市场需求提供远程管理功能，保证远程管理安全，并满足下列要求：IP产品应能对终端上的代理程序提供保护措施，并应符合下列要求：产品应采取措施保证终端只接受授权管理控制台的监控。支持组件间通过网络通信，产品应对各组件之间传输的所有信息采取保密措施。产品应能对终端进行集中分组管理，并应符合下列要求：当终端跟管理控制台连接意外断开时，产品应确保终端在该时段内所产生的审计数据和报警信息不能丢失，连接恢复后，再传输到控制台。审计产品应至少能对相应事件进行审计，包括但不限于下列内容：4a）～e）产品应提供防止审计日志丢失的措施，并应符合下列要求：产品应提供审计日志管理功能，并应符合下列要求：审批数据泄漏审批员应具备以下访问控制权限：在设置数据泄漏防护安全策略前，应提供审批流程管理，通过审批才能设置数据泄漏防护策略。报警产品报警事件类型包括但不限于下列内容：产品的报警消息内容应至少包括事件发生的日期、时间、事件主体、事件描述。产品的报警方式应符合下列要求：（SMS）等级划分5T/COSOCC018—2024等级要求数据泄漏防护产品技术能力等级划分要求如表1所示。表1 数泄防产技力要等划分技术能力基本级增强级技术要求数据输出监测5.1a)～c)5.1数据内容识别数据库流量内容识别5.2.1a)5.2.1其他数据流内容识别——5.2.2文件内容识别5.2.35.2.3网络协议识别5.2.4a)～e)5.2.4策略管理敏感数据定义5.3.15.3.1数据接口监控信息字段5.3.2a)、e）～j)5.3.2数据防泄漏控制措施5.3.35.3.3数据泄漏防护策略5.3.4a)～b)5.3.4数据识别策略调整5.3.5a)或b)5.3.5安全策略不可旁路5.45.4安全功能要求标识与鉴别唯一性标识6.1.16.1.1身份鉴别6.1.26.1.2鉴别数据保护6.1.36.1.3鉴别失败处理——6.1.4区分安全管理角色6.2a)～c)6.2安全管理功能——6.3远程管理——6.4数据保密自身保护功能6.5.16.5.1防止非授权监控——6.5.2远程保密传输——6.5.3集中分组管理6.5.46.5.4审计数据续传6.5.56.5.5审计功能审计日志生成主机型6.6.1a)～e)6.6.1网络型6.6.1a）～d）移动终端型6.6.1a)～e)审计日志存储6.6.2a)6.6.2审计日志管理6.6.3a)6.6.3审批功