YD_T 3735-2020 电信网数据泄露防护系统（DLP）技术要求.docx

ICS 33.040 M10 中 华 人 民 共 和 国 通 信 行 业 标 准 YD/T 3735—2020 电信网数据泄露防护系统 (DLP) 技术要求 Te chnical requirements for data leakage protection system in telecommunication network 2020-08-31 发布 2020-10-01 实施 中华人民共和国工业和信息化部 发布 I YD/T 3735—2020 目 次 前言 Ⅱ 1 范围 1 2 术语、定义和缩略语 1 3 部署要求 2 3.1 终端部署模式 2 3.2 网络部署模式 2 4 网络数据泄露防护系统技术要求 2 4.1 功能要求 2 4.2 性能要求 6 4.3 安全要求 7 5 终端数据泄露防护系统技术要求 7 5.1 功能要求 7 5.2 性能要求 8 5.3 安全要求 9 Ⅱ YD/T 3735—2020 前 言 本标准按照GB/T1.1—2009 给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由中国通信标准化协会提出并归口。 本标准起草单位：中国信息通信研究院、中国移动通信集团有限公司、北京天融信网络安全技术 有限公司、北京神州绿盟科技有限公司、北京神州泰岳信息安全技术有限公司。 本标准主要起草人： 卜哲、廖璇、崔涛、刘凯、许子先、赵相楠、石悦、周智超、朱瑞龙、许洪 魁、蒋锦、杜海涛、曹晖、王龔。 YD/T 3735—2020 电信网数据泄露防护系统 (DLP) 技术要求 1 范围 本标准规定了电信网数据泄露防护系统 (DLP) 的技术要求，具体包括功能要求、性能要求、安全 要求。 本标准适用于电信网数据泄露防护产品。 2 术语、定义和缩略语 2.1 术语和定义 下列术语和定义适用于本文件。 2.1.1 数据泄露防护系统 data leakage protection system 通过一定的技术手段，及配置安全策略、对数据进行分类分级、数据标识等方式，防止企业的指定 数据或信息资产以违反安全策略规定的形式流出企业的一种安全防护系统。 2.1.2 误报率 false positives 出现误报情况的概率，即非敏感数据被数据泄露防护系统判断为敏感数据的概率。 2.1.3 漏报率 false negatives 出现漏报情况的概率，即敏感数据确实存在，但数据泄露防护系统未能识别的概率。 2.2 缩略语 下列缩略语适用于本文件。 CNVD 国家信息安全漏洞共享平台 China National Vulnerability Database CPU 中央处理器 Central Processing Unit CVE 公共漏洞和暴露 Common Vulnerabilities Exposures DNS 域名系统 Domain Name System DLP 数据泄露(泄密)防护 Data Leakage Prevention FTP 文件传输协议 File Transfer Protocol HTTP 超文本传输协议 Hyper Text Transfer Protocol POP3 邮局协议版本3 Post Office Protocol - Version 3 SMTP 简单邮件传输协议 Simple Mail Transfer Protocol 2 YD/T 3735—2020 Telnet TCP UDP 远程登录 传 输 控 制 协 议 用户数据报协议 Telecommunication Network Transmission Control Protocol User Datagram Protocol 3 部署要求 3.1 终端部署模式 系统应支持部署在终端侧。 3.2 网络部署模式 系统应支持部署在网络侧，通过流量检测的方式检测敏感数据。 3.2.1 网络串联模式 系统应支持串联在网络中间，通过流量检测的方式检测敏感数据。 3.2.2 网络旁路模式 系统应支持旁挂在网络侧，通过流量镜像检测的方式检测敏感数据。 4 网络数据泄露防护系统技术要求 4.1 功能要求 4.1.1 识别能力 识别文件类型 本项要求包括以下内容： a) 应识别常见的文件类型，如 DOC、DOCX、XLS、TXT 等； b) 应识别常见文档、压缩包等； c) 应识别常见的编码格式； d) 建议支持识别图片、影音等多种文件格式；