TCOSOCC 018-2024 信息安全技术 数据泄漏防护产品技术要求

Informationsecuritytechnology-Technicalrequirementsofdataleakagepreventionproducts 2 2 3 3 4 4 4 4 4 5 5 5 5 6 7本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定本文件起草单位：广电计量检测集团股份有限公司、北京京航计算通讯研安全技术股份有限公司、中移（杭州）信息技术有限公司、嵩1信息安全技术数据泄漏防护产品技术要求本文件规定了数据泄漏防护产品的总体要求、功能要求、安全要求和等级划分要求。本文件适用于数据泄漏防护产品的设计、开发与测试等活动。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。GB/T18336.3网络安全技术信息技术安全评估准则第3部分：安全保障组件3术语和定义GB/T18336.3界定的以及下列术语和定义适用于本文件。数据泄漏防护dataleakageprevention防止数据以未授权的方式流出安全域的行为。数据泄漏防护产品dataleakagepre防止数据以非授权的形式流出安全域的产品。系统之间进行数据传输和交流的通道或协议，通常会定义数据的格式、传输方式、通信协议和连接规则。4总体要求数据泄漏防护产品通过对运行、存储于主机内或者网络中传输的文件、数据进行内容识别，对数据的操作和传输过程进行监视和控制，实现对数据以非授权的形式流出安全域进行防护；同时该类产品应具有身份鉴别、安全管理、审计和报警功能等安全功能。该类产品的部署和实现方式可分为主机型、网络型、移动终端型和综合型。a)主机型部署指终端服务器与管理控制台结合部署的方式。b)网络型部署指部署在网络的端口、数据库端口等位置。c)移动终端型部署指部署在移动终端数据防泄漏的部署方式。d)综合型部署指部署方式包括了终端服务器部署、网络端口部署、数据端口部署、移动终端部署等多种部署统一管理的组合型部署方式。5功能要求5.1数据输出监测应对产品数据传输对象和用户操作行为的以下内容进行监测：a)存储介质，包括光盘、闪存盘、硬盘、存储卡等；b)数据接口，包括应用程序接口、数据库接口、网络接口、蓝牙通信接口等；2c)打印输出方式的数据泄漏防护，包括网络打印、本地打印；d)剪切板、拷贝方式；e)对数据进行截图；f)对数据进行加密；g)自定义的应用程序，包括云应用；5.2数据内容识别5.2.1数据库流量内容识别产品应能对数据库访问流量内容进行识别，包括但不限于以下数据库：a)不少于5类国外数据库，包括0racle数据库、ACCESS数据库、结构化查询语言(SQL)数据b)不少于2类国产数据库，包括人大金仓Kingbase数据库、达梦DM数据库、华为GBase数据库、南大通用GBase数据库等。5.2.2其他数据流内容识别产品应能对以下至少1种动态数据流内容进行识别，能被识别的动态数据流，包括但不限于下列内a)网络流量；b)应用程序编程接口(API)数据；c)消息队列。5.2.3文件内容识别产品应对文件中的数据内容进行识别，包括以下内容：a)文档类文件，包括文本文档、office文档、wps文档、pdf文档等；b)压缩类文件，包括rar、zip等；c)图像类文件，包括jpg、bmp等；d)音视频类文件内容，包括mp3、mkv等；e)图像类文件文字内容；f)其他自定义格式的文件。5.2.4网络协议数据内容识别产品应对网络协议中的数据内容进行识别，并应符合下列要求：a)支持传输控制协议/网际协议(TCP/IP);b)支持超文本传输协议(HTTP);c)支持文本传输协议(FTP);d)支持简单邮件传输协议(SMTP);e)支持文件共享类协议；f)支持即时通信(IM)类协议；g)支持超文本传输安全协议(HTTPS)。5.3数据监测防护策略管理5.3.1敏感数据定义产品应支持敏感数据定义，并应符合下列要求：a)支持敏感数据预定义，包括个人信息、企业信息、政府部门信息等至少一类信息；b)支持用户自定义敏感信息，能根据用户需求对一类敏感信息进行定义，定义方法应具备一定的可操作性。5.3.2数据接口监控信息字段产品应能发现数据输出过程中对数据接口的基础信息字段，包括以下内容：3产品应能按预定义的策略对需要被识别的数据转移或操作行为进行控制，并应符合下列要求：a)具备自动报警功能，能对检测到的数据泄露行为自动报警；b)支持对数据操作行为阻断；c)支持对阻断的数据操作行为进行记a)包括不同数据内容识别策略的集合，包括但不限于敏感数据定义、数据接口监控信息字段；b)包括不同防泄漏措施的集合，并能应用于数据泄漏防护保护过程；d)支持根据数据传输目的地址或操作用户设置数据泄漏防护策略。产品应具有数据识别方法的策略调整功能，并应符合下列b)支持根据预制规则自动调整识别方法和规则，如时间、操作用户、数据传输目的地址等。产品应在执行任何与安全功能相关的操作之前鉴别任何声称要履b)锁定该管理员账号或远程登录终端的地址。46.4远程管理6.6审计5网络型数据泄漏防护产品应至少能对a)～d)的事件进行审计，主机型与移动终端型数据产品应至少能对a)～e)的事件进行审计。b)支持按日期、时间、事件主体等条件对c)仅允许审计员或授权管理员对审计日志进行存档、删除和清空。6.7审批6.7.1审批角色a)支持对数据泄漏防护策略的设置申请行为进行审批；6.7.2审批流程在设置数据泄漏防护安全策略前，应提供审批流程管理，通过审批才能设置数据泄6.7.3审批日志策略生效时间等。6.8报警b)对管理员鉴别失败的次数达到设定值；产品的报警消息内容应至少包括事件发生的日期、时间、事件主体、事件描述。6.8.3报警方式b)支持发送报警邮件；c)支持发送短消息业务(SMS)