中国网络安全审查技术与认证中心产品认证技术规范 CCRC-TR-122-2022 数据安全评估系统技术要求和测试评价方法 Technicalrequirementsandtestingandevaluationapproachesfordatasecurityassessmentsystem 2022-09-02发布2022-09-02实施 中国网络安全审查技术与认证中心 目次 前言II 1范围1 2规范性引用文件1 3术语和定义1 4产品概述1 5安全技术要求2 5.1安全功能要求2 5.2自身安全要求3 5.3安全保障要求4 6测试评价方法6 6.1安全功能测试6 6.2自身安全测试9 6.3安全保障评价12 参考文献16 前言 本文件按照GB/T1.1-2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草。本文件由中国网络安全审查技术与认证中心归口。 本文件主要起草单位:中国网络安全审查技术与认证中心、中邦网络安全技术(深圳)有限公司、北京天融信网络安全技术有限公司、上海市信息安全测评认证中心、信息产业信息安全测评中心、奇安信网神信息技术(北京)股份有限公司、杭州安恒信息技术股份有限公司、杭州世平信息科技有限公司。 数据安全评估系统技术要求和测试评价方法 1范围 本文件规定了数据安全评估系统的安全功能要求、自身安全要求、安全保障要求和测试评价方法。本文件适用于数据安全评估系统的设计、测试和评价。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T5271.8信息技术词汇第8部分:安全 GB/T18336.1-2015信息技术安全技术信息技术安全评估准则第1部分:简介和一般模型 GB/T25069-2022信息安全技术术语 GB/T41479-2022信息安全技术网络数据处理安全要求 3术语和定义 GB/T5271.8、GB/T18336.1-2015、GB/T25069-2022和GB/T41479-2022界定的术语和定义适用于本 文件。 4产品概述 数据安全评估系统是能够实现对数据检测及数据安全符合性评估的产品。数据检测功能基于内容提取及内容识别检测技术,实现包括操作系统、应用系统、数据库管理系统、中间件、大数据组件等存储的数据以及网络传输数据中的数据的检测。根据不同的检测类型和场景,数据安全评估系统可通过主动登录检测目标对象、导入镜像流量、部署终端代理等方式对检测对象进行检测。 该类产品的部署方式如下图1: 图1数据安全评估系统网络部署拓扑图 数据安全评估系统的技术要求分为安全功能要求、自身安全要求、安全保障要求。其中,安全功能要求对数据安全评估系统应具备的安全功能提出具体要求,包括数据安全符合性评估、数据提取要求、数据内容检测、检测结果展示;自身安全要求对数据安全评估系统的自身安全提出具体要求,包括标识与鉴别、安全管理、远程管理、安全审计、安全告警、运行安全、数据安全;安全保障要求对数据安全评估系统的生命周期过程提出具体要求,包括开发、指导性文档、生命周期支持、测试和脆弱性评定。 5安全技术要求 5.1安全功能要求 5.1.1数据安全符合性评估 5.1.1.1基本信息录入 本项要求如下: a)应支持检测任务基本信息录入,包括不限于检测主体名称、检测区域、采用的检测依据(法规、标准等)、检测时间、检测联系人、检测背景等; b)应支持被检测单位基本信息录入,包括单位名称、组织结构代码、区域、地址、联系人信息等; c)应支持检测单位基本信息录入,包括检测单位名称、检测时间、地址、检测人等。 5.1.1.2检测对象选择 本项要求如下: a)应支持检测对象信息系统选择,包括基础网络、共享文件等,并根据检测需要输入登录信息; b)应支持检测对象数据库系统选择,并至少支持一种国产数据库系统,应根据检测需要输入数据库登录信息。 5.1.1.3问询评估要求 本项要求如下: a)应支持问询访谈,支持对所选检测依据条款进行逐项问询,应提供预置选项; b)应能根据检测对象、检测依据等选项引导用户快速生成和执行检测任务; c)应支持检测结果展现和复核,检测结果以定性定量方式进行展现,可复核未通过项并对检测结果进行修正。 5.1.2数据提取要求 5.1.2.1存储数据提取 本项要求如下: a)应支持从关系型数据库(如MySQL、Oracle等典型关系型数据库)中提取数据,应至少支持一种国产关系型数据库系统; b)应支持从非关系型数据库(如:Redis、MongoDB等)中提取数据; c)应支持从云组件(如:Hive、Abase、ES、OSS等)中提取数据; d)应支持从应用服务(如FTP服务器、Windows文件共享等)中进行数据提取。 5.1.2.2终端数据提取 应支持从Windows操作系统存储的文件中进行数据提取。 5.1.2.3网络数据提取 应支持从HTTP、FTP、SMB等协议传输的网络数据中提取数据。 5.1.3数据内容检测 5.1.3.1数据规则管理 应能够根据数据检测要求设定不同的数据检测规则,例如个人信息检测规则、数据检测规则等。 5.1.3.2结构化、非结构化数据内容解析 应能够对不同数据格式中的数据内容进行识别,并支持多种语言格式(至少包括中文和英文),具体如下: a)文档类格式(txt、docx、pdf等); b)压缩文件(rar、zip等),支持识别出已加密压缩包,未加密支持逐层解压识别; c)多媒体类文件(图片、音视频文件等); d)数据库记录(Oracle、MySQL等)及数据库元数据(如:列名、列备注等)。 5.1.3.3数据内容识别技术 应支持基于不同方法对数据内容进行识别,具体要求如下: a)通过关键字(词)识别; b)通过正则表达式识别; c)通过文档特征(格式、作者等)识别; d)通过结构化数据特征值计算和比对识别; e)通过非结构化数据深度内容识别(如:HASH值比对、指纹识别、机器学习等技术)。 5.1.4检测结果展示 本项要求如下: a)应能够分别展示存储、网络、终端等各类内容识别事件; b)应详细记录检测结果,支持人工修改检测结果; c)应支持生成、预览、导出检测报告。 5.2自身安全要求 5.2.1标识与鉴别 本项要求如下: a)产品应为授权管理员提供唯一的身份标识,同时将授权管理员的身份标识与该授权管理员的所有可审计事件相关联; b)产品应支持对自身和检测对象口令(包括:账户登录口令,检测对象登录口令等)数据的加密存储; c)在登录界面(包括:账户登录口令,检测对象登录口令等)上,鉴别口令反馈信息仅限于数量和标记(星号、圆点等),不应明文显示; d)应提供登录失败处理功能,包括但不限于终止会话、锁定账户或限制远程登录终端的地址等。 e)应提供对用户设置的口令进行复杂度及有效期检测功能。 5.2.2安全管理 产品应允许授权管理员进行以下管理: a)应支持用户管理、配置管理、策略管理、审计管理等安全管理功能; b)应支持对安全属性(如:用户属性、安全策略属性、审计策略属性等)进行查询、修改、删除等操作。 c)应区分管理员角色,能够划分不同权限的管理员角色(例如:安全管理员、审计管理员、系统管理员等),并且不同角色管理员的管理功能不应有交叉。 5.2.3远程管理 如果产品提供远程管理功能,则需要保证远程管理安全: a)应能对远程管理信息采用加密传输; b)应能对远程管理的地址进行限制。 5.2.4安全审计 本项要求如下: a)产品应至少能对以下事件进行审计: 1)管理员鉴别成功和失败; 2)鉴别尝试不成功的次数超出了设定的限制导致会话连接终止; 3)管理员的重要操作,如增删改管理员、安全策略,导出、清空日志等; 4)检测任务的日志,包括检测人员、检测对象、检测时间、检测结果等; b)每一条审计日志至少应包括事件发生的日期、时间、事件主体、事件描述和结果; c)产品应提供防止审计日志丢失的措施: 1)审计日志应存储在掉电非易失性存储介质中; 2)支持日志保留时间设置。 d)产品应提供以下审计日志管理功能: 1)只允许授权管理员访问审计日志; 2)应提供对审计日志的授权导出和清空功能,避免未授权地修改和删除。 5.2.5安全告警 本项要求如下: a)产品应能对以下事件进行告警,包括但不限于管理员鉴别失败的次数达到设定值、审计记录存储空间达到阈值等; a)告警信息内容至少包括事件发生的日期、时间、事件主体、事件描述; b)应提供适当的告警方式。如邮件、弹窗等方式。 5.2.6运行安全 应确保产品在使用运行过程中,不影响被检测对象的正常运行; 5.2.7数据安全 本项要求如下: a)应支持对存储的检测数据进行清理; b)应支持对重要操作(如启动扫描任务、删除数据规则等)的二次确认提示; c)应支持系统升级包合法性验证。 5.3安全保障要求 5.3.1开发 5.3.1.1安全架构 开发者应提供数据安全评估系统安全功能的安全架构描述,安全架构描述应满足以下要求: a)与产品设计文档中对安全功能实施抽象描述的级别一致; b)描述与安全功能要求一致的数据安全评估系统安全功能的安全域; c)描述数据安全评估系统安全功能初始化过程为何是安全的; d)证实数据安全评估系统安全功能能够防止被破坏; e)证实数据安全评估系统安全功能能够防止安全特性被旁路。 5.3.1.2功能规范 开发者应提供完备的功能规范说明,功能规范说明应满足以下要求: a)完全描述数据安全评估系统的安全功能; b)描述所有安全功能接口的目的与使用方法; c)标识和描述每个安全功能接口相关的所有参数; d)描述安全功能接口相关的安全功能实施行为; e)描述由安全功能实施行为处理而引起的直接错误消息; f)证实安全功能要求到安全功能接口的追溯。 5.3.1.3产品设计 开发者应提供产品设计文档,产品设计文档应满足以下要求: a)根据子系统描述数据安全评估系统结构; b)标识和描述数据安全评估系统安全功能的所有子系统; c)描述安全功能所有子系统间的相互作用; d)提供的映射关系能够证实设计中描述的所有行为能够映射到调用它的安全功能接口。 5.3.2指导性文档 5.3.2.1操作用户指南 开发者应提供明确和合理的操作用户指南,操作用户指南与为评估而提供的其他所有文档保持一致,对每一种用户角色的描述应满足以下要求: a)描述在安全处理环境中被控制的用户可访问的功能和特权,包含适当的警示信息; b)描述如何以安全的方式使用数据安全评估系统提供的可用接口; c)描述可用功能和接口,尤其是受用户控制的所有安全参数,适当时指明安全值; d)明确说明与需要执行的用户可访问功能有关的每一种安全相关事件,包括改变安全功能所控制实体的安全特性; e)标识数据安全评估系统运行的所有可能状态(包括操作导致的失败或者操作性错误),以及它们与维持安全运行之间的因果关系和联系; f)充分实现安全目的所必须执行的安全策略。 5.3.2..2准备程序 开发者应提供数据安全评估系统及其准备程序,准备程序描述应满足以下要求: a)描述与开发者交付程序相一致的安全接收所交付数据安全评估系统必需的所有步骤; b)描述安全安装数据安全评估系统及其运行环境必需的所有步骤。 5.3.3生命周期支持 5.3.3.1配置管理能力 开发者的配置管理能力应满足以下要求: a)为数据安全评估系统的不同版本提供唯一的标识; b)使用配置管理系统对组成数据安全评估系统的所有配置项进行维护,并唯一标识配置项; c)提供配置管理文档,配置管理文档描述用于唯一标识配置项的方法。 5.3.3.2配置管理范围 开发者应提供数据安全评估系统配置项列表,并说明配置项的开发者。配置项列表至少包含数据安全评