GA/T 912-2018 信息安全技术 数据泄露防护产品安全技术要求

ICS35240

A90.

中华人民共和国公共安全行业标准

GA/T912—2018

代替

GA/T912—2010

信息安全技术数据泄露防护产品

安全技术要求

Informationsecuritytechnology—Securitytechnicalrequirementsfordata

leakagepreventionproducts

2018-01-26发布2018-01-26实施

中华人民共和国公安部发布

GA/T912—2018

前言

本标准按照给出的规则起草

GB/T1.1—2009。

本标准代替信息安全技术主机数据泄露防护产品安全技术要求与

GA/T912—2010《》,

相比主要技术变化如下

GA/T912—2010:

修改了等级划分要求将等级划分为基本级和增强级两级见第章年版的第章

———,(9,20107);

将针对主机的主机型数据泄露防护产品和针对网络的网络型数据泄露防护产品统一整合为数

———

据泄露防护产品见第章

(5);

采用通过识别数据内容的方式进行泄露防护删除了端口协议禁用等防泄漏方式见第章

———,、(7,

年版第章

20104);

增加了对数据的语言支持见第章

———(7);

增加了策略调整功能应根据被防护的数据内容进行识别方法和规则的调整见第章

———,(7);

增加了安全策略不可旁路功能数据不应旁路产品的功能见第章

———,(7);

增加了防止数据二次泄露的技术要求见第章

———(7)。

本标准由公安部网络安全保卫局提出

。

本标准由公安部信息安全标准化技术委员会归口

。

本标准起草单位公安部计算机信息系统安全产品质量监督检验中心公安部第三研究所杭州世

:、、

平信息科技有限公司思睿嘉得北京信息技术有限公司合肥赛猊腾龙信息技术有限公司北京天融

、()、、

信网络安全技术有限公司

。

本标准主要起草人李旋吴其聪沈亮李毅赵婷顾玮徐建忠董靖张晶刘斯宇

:、、、、、、、、、。

本标准所代替标准的历次版本发布情况为

:

———GA/T912—2010。

Ⅰ

GA/T912—2018

信息安全技术数据泄露防护产品

安全技术要求

1范围

本标准规定了数据泄露防护产品的安全功能要求安全保障要求及等级划分要求

、。

本标准适用于数据泄露防护产品的设计开发与测试

、。

2规范性引用文件

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

。,()。

信息技术安全技术信息技术安全性评估准则

GB/T18336.3—2015

信息安全技术术语

GB/T25069—2010

3术语和定义

和界定的以及下列术语和定义适用于本文件

GB/T18336.3—2015GB/T25069—2010。

31

.

数据泄露防护dataleakageprevention

防止数据以未授权的方式流出安全域的行为

。

32

.

数据泄露防护产品dataleakagepreventionproduct

防止数据以非授权的形式流出安全域的产品

。

4缩略语

下列缩略语适用于本文件

。

超文本传输协议

HTTP:(HyperTextTransferProtocol)

简单邮件传输协议

SMTP:(SimpleMailTransferProtocol)

文件传输协议

FTP:(FileTransferProtocol)

即时通讯

IM:(InstantMessaging)

短消息业务

SMS:(ShortMessagingService)

超文本传输协议

HTTPS:(HyperTextTransferProtocoloverSecureSocketLayer)

5数据泄露防护产品描述

数据泄露防护产品通过对运行存储于主机内或者网络中传输的文件数据进行内容识别对数据

、、,

的操作和传输过程进行监视和控制实现对数据以非授权的形式流出安全域进行防护的功能同时该类

,;

产品还应具有基本的身份鉴别安全管理审计和报警功能该类产品的部署和实现方式可分为主机

、、。

1

GA/T912—2018

型网络型或综合型包含主机客户端和网络设备主机型数据泄露防护产品的拓扑图如图所示网

、(),1,

络型数据泄露防护产品的拓扑图如图所示

2。

图1主机型数据泄露防护产品拓扑图

图2网络型数据泄露防护产品拓扑图

6数据泄露防护产品总体说明

61安全技术要求分类

.

本标准将数据泄露防护产品安全技术要求分为安全功能和安全保障要求两类其中安全功能要

。,

求是对数据泄露防护产品应具备的安全功能提出具体要求包括数据输出方式监测数据内容识别数

,、、

据泄露防护响应动作策略调整安全策略不可旁路安全管理审计功能和报警安全保障要求针对数

、、、、;

据泄露防护产品的开发和使用文档的内容提出具体的要求例如配置管理交付和运行开发和指南文

,、、

件等

。

2

GA/T912—2018

62安全等级划分

.

本标准按照数据泄露防护安全功能的强度划分安全功能要求的级别按照

,GB/T18336.3—2015

划分安全保障要求的级别安全等级突出安全特性分为基本级和增强级安全功能强弱和安全保障要

。,,

求高低是等级划分的具体依据

。

7安全功能要求

71数据输出方式监测

.

产品应能够对用户使用如下途径进行数据传输或操作的行为进行监测包括

,:

存储介质包括光盘闪存盘硬盘存储卡等

a)(:、、、);

接口方式包括蓝牙等

b)(:);

基于网络的数据泄露防护包括网页提交工具文件共享邮件等

c)(:、IM、、);

打印输出方式的数据泄露防护包括网络打印本地打印

d)(:、);

剪切板拷贝方式

e)、;

自定义的应用程序包括云应用

f)(:)。

针对不含有主机客户端的网络型数据泄露防护产品要求满足功能中的网络打印和

c)、d)f)。

72数据内容识别

.

721文件数据内容识别

..

产品应对文件中的数据内容进行识别能够被识别的文件包括

,:

文档类文件文本文档文档文档文档等

a)(、office、wps、pdf);

压缩类文件等

b)(rar、zip);

图像类文件等

c)(jpg、bmp);

其他自定义格式的文件

d)。

其中项嵌套压缩层数不小于层

b)3。

722网络协议数据内容识别

..

产品应对网络协议中的数据内容进行识别能够被识别的网络协议包括

,:

协议

a)HTTP;

协议

b)FTP;

协议

c)SMTP;

文件共享类协议

d);

类协议

e)IM;

协议

f)HTTPS。

723支持的语言格式

..

产品应支持识别不同语言类型的数据内容能够支持的语言包含

,:

简体中文和英文

a);

繁体中文日文德文和其他小语种包括蒙文藏文维吾尔文等

b)、、(、、)。

73数据泄