TCOSOCC 008-2024 信息安全技術(shù) 數(shù)據(jù)安全交換產(chǎn)品安全技術(shù)要求_第1頁(yè)
TCOSOCC 008-2024 信息安全技術(shù) 數(shù)據(jù)安全交換產(chǎn)品安全技術(shù)要求_第2頁(yè)
TCOSOCC 008-2024 信息安全技術(shù) 數(shù)據(jù)安全交換產(chǎn)品安全技術(shù)要求_第3頁(yè)
TCOSOCC 008-2024 信息安全技術(shù) 數(shù)據(jù)安全交換產(chǎn)品安全技術(shù)要求_第4頁(yè)
TCOSOCC 008-2024 信息安全技術(shù) 數(shù)據(jù)安全交換產(chǎn)品安全技術(shù)要求_第5頁(yè)
已閱讀5頁(yè),還剩11頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

2 2 2 3 3 4 4 4 5 5 5 5 5 5 5 6 6 6 6 7 7 9 本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分:標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定高強(qiáng)、羅遠(yuǎn)哲、李艷斐、馬文彥、喬華陽(yáng)、熊凡凡、姜冰、張紅艷、邱天、段小莉。全保護(hù)條例》以及關(guān)于保護(hù)數(shù)據(jù)在網(wǎng)絡(luò)邊界交換共享時(shí)始終處于有效保護(hù)和合法利用的狀態(tài)等安全要絡(luò)隔離類產(chǎn)品的研發(fā)、使用經(jīng)驗(yàn),借鑒GB/T20279—2015《信息安全技術(shù)網(wǎng)絡(luò)和終端隔離產(chǎn)品技安全1T/COSOCC008—2024信息安全技術(shù)數(shù)據(jù)安全交換產(chǎn)品安全技術(shù)要求本文件規(guī)定了數(shù)據(jù)安全交換產(chǎn)品的總體架構(gòu)、功能要求、系統(tǒng)要求及安全要求。本文件適用于數(shù)據(jù)安全交換產(chǎn)品的設(shè)計(jì)、開(kāi)發(fā)等環(huán)節(jié)。2規(guī)范性引用文件下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中,注日期的引用文件,僅該日期對(duì)應(yīng)的版本適用于本文件;不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。GB/T25069—2022信息安全技術(shù)術(shù)語(yǔ)3術(shù)語(yǔ)和定義GB/T25069—2022界定的以及下列術(shù)語(yǔ)和定義適用于本文件。信息對(duì)未授權(quán)的個(gè)人、實(shí)體或過(guò)程不可用或不泄露的性質(zhì)。遵從共同安全策略的資產(chǎn)和資源的集合??捎山?jīng)授權(quán)實(shí)體按需訪問(wèn)和使用的性質(zhì)。動(dòng)態(tài)數(shù)據(jù)dynamicdata處于活動(dòng)狀態(tài),其典型特征表現(xiàn)為大數(shù)據(jù)的速度和多變性特征的數(shù)據(jù)。處于靜止?fàn)顟B(tài),其典型特征表現(xiàn)為大數(shù)據(jù)的體量和多樣性特征的數(shù)據(jù)。結(jié)構(gòu)化數(shù)據(jù)structureddata一種數(shù)據(jù)表示形式,按此種形式,由數(shù)據(jù)元素匯集而成的每個(gè)記錄的結(jié)構(gòu)都是一致的并且可以使用關(guān)系模型予以有效描述。非結(jié)構(gòu)化數(shù)據(jù)unstructureddata不具有預(yù)定義模型或未以預(yù)定義方式組織的數(shù)據(jù)。24縮略語(yǔ)3T/COSOCC5.2數(shù)據(jù)安全交換產(chǎn)品運(yùn)行環(huán)境數(shù)據(jù)安全交換產(chǎn)品包含請(qǐng)求匯聚服務(wù)模塊、單向?qū)肽K和單向?qū)С瞿K、響應(yīng)匯聚服務(wù)模塊,數(shù)據(jù)安全交換產(chǎn)品開(kāi)發(fā)實(shí)踐可參考附錄A,單向?qū)肽K和單向?qū)С瞿K內(nèi)部由主機(jī)和專用單向傳輸部件構(gòu)成,用于實(shí)現(xiàn)請(qǐng)求端(安全域A)和響應(yīng)端(安全域B)的請(qǐng)求數(shù)據(jù)安全交換,數(shù)據(jù)安全交換產(chǎn)品的典型運(yùn)行環(huán)境見(jiàn)圖1。安全域A請(qǐng)求匯聚請(qǐng)求匯聚響應(yīng)匯聚響應(yīng)匯聚安全域B請(qǐng)求端響應(yīng)端圖1數(shù)據(jù)安全交換產(chǎn)品典型運(yùn)行環(huán)境5.3數(shù)據(jù)安全交換產(chǎn)品數(shù)據(jù)傳輸流程數(shù)據(jù)安全交換產(chǎn)品的數(shù)據(jù)傳輸流程見(jiàn)圖2:請(qǐng)求匯聚服務(wù)接入請(qǐng)求端請(qǐng)求數(shù)據(jù)、接收響應(yīng)數(shù)據(jù)并返回至請(qǐng)求端;單向?qū)肽K將請(qǐng)求匯聚服務(wù)的請(qǐng)求數(shù)據(jù)單向傳輸至響應(yīng)匯聚服務(wù);響應(yīng)匯聚服務(wù)接入請(qǐng)求數(shù)據(jù),接收服務(wù)端返回的響應(yīng)數(shù)據(jù);單向?qū)С瞿K將響應(yīng)匯聚服務(wù)的響應(yīng)數(shù)據(jù)單向傳輸至請(qǐng)求匯聚服務(wù);請(qǐng)求匯聚服務(wù)接收響應(yīng)數(shù)據(jù),定位原始會(huì)話,將響應(yīng)返回至請(qǐng)求端。經(jīng)過(guò)以上傳輸過(guò)程,完成數(shù)據(jù)從安全域A到安全域B的數(shù)據(jù)安全交換流程。3、單向?qū)?、單向?qū)雲(yún)f(xié)議轉(zhuǎn)換數(shù)據(jù)落地?cái)?shù)據(jù)安全檢查數(shù)據(jù)加解密單向?qū)雴蜗驅(qū)С?、單向?qū)С鰠f(xié)議轉(zhuǎn)換數(shù)據(jù)落地?cái)?shù)據(jù)安全檢查數(shù)據(jù)加解密4、發(fā)送請(qǐng)求數(shù)據(jù)響應(yīng)匯聚服務(wù)7、接收響應(yīng)2、身份認(rèn)證訪問(wèn)控制請(qǐng)求匯聚9、轉(zhuǎn)發(fā)響應(yīng)1、發(fā)起請(qǐng)求請(qǐng)求端10、接收響應(yīng)5、接收請(qǐng)求響應(yīng)端6、反饋?lái)憫?yīng)圖2數(shù)據(jù)安全交換產(chǎn)品的數(shù)據(jù)傳輸流程單向?qū)肽K和單向?qū)С瞿K采用的單向傳輸部件主要利用單向傳輸?shù)奈锢硖匦越蓚€(gè)處理單元之間唯一的單向傳輸通道,無(wú)任何反饋信號(hào)。單向傳輸部件由一對(duì)單向發(fā)送部件和單向接收部件構(gòu)成,單向發(fā)送部件安裝在數(shù)據(jù)發(fā)送處理單元,單向接收部件安裝在數(shù)據(jù)接收單元中。單向傳輸部件的單向物理傳輸特性固化不可修改,任何軟件配置、物理跳線等方式都不能更改其部件的單向傳輸特性以及傳輸方向。數(shù)據(jù)安全交換產(chǎn)品中內(nèi)部信道裁剪了TCP/IP等公共網(wǎng)絡(luò)協(xié)議棧,采用私有協(xié)議實(shí)現(xiàn)協(xié)議隔離。4T/COSOCC008—20246功能要求6.1一般要求a)請(qǐng)求匯聚服務(wù)完成接入請(qǐng)求數(shù)據(jù)、身份認(rèn)證、接收響應(yīng)數(shù)據(jù);接收請(qǐng)求數(shù)據(jù)加解密接收請(qǐng)求數(shù)據(jù)加解密數(shù)據(jù)安全檢查數(shù)據(jù)落地協(xié)議轉(zhuǎn)換發(fā)送請(qǐng)求身份認(rèn)證響應(yīng)匯聚服務(wù)請(qǐng)求匯聚服務(wù)響應(yīng)匯聚服務(wù)請(qǐng)求匯聚服務(wù)發(fā)送響應(yīng)協(xié)議轉(zhuǎn)換數(shù)據(jù)落地發(fā)送響應(yīng)協(xié)議轉(zhuǎn)換數(shù)據(jù)落地?cái)?shù)據(jù)安全檢查數(shù)據(jù)加解密接收響應(yīng)圖3數(shù)據(jù)安全交換產(chǎn)品的功能示意圖6.2請(qǐng)求匯聚服務(wù)a)請(qǐng)求接口對(duì)接:支持以API接口的形式提供服務(wù),實(shí)現(xiàn)與前置服務(wù)和安全域A(見(jiàn)圖1)請(qǐng)求端之間的通信,支持包括簡(jiǎn)單對(duì)象訪問(wèn)協(xié)議(SOAP)、RESTful(一種網(wǎng)絡(luò)應(yīng)用程序的設(shè)計(jì)風(fēng)格和開(kāi)發(fā)方式)的接口訪問(wèn);c)響應(yīng)數(shù)據(jù)接收:支持接收單向?qū)С瞿?6.3單向?qū)肽K6.3.1請(qǐng)求接入a)協(xié)議轉(zhuǎn)換:請(qǐng)求數(shù)據(jù)在內(nèi)部信道傳輸時(shí)應(yīng)裁剪或添加TCP/IP等公共網(wǎng)絡(luò)協(xié)議棧,支持單向?qū))數(shù)據(jù)落地:支持請(qǐng)求數(shù)據(jù)報(bào)文由動(dòng)態(tài)數(shù)據(jù)轉(zhuǎn)變?yōu)殪o態(tài)數(shù)據(jù)文件存儲(chǔ)到系統(tǒng)內(nèi)存或硬盤中;1)內(nèi)容過(guò)濾:對(duì)文件內(nèi)容進(jìn)行檢查,支持黑白名單設(shè)置,對(duì)不符合要求的內(nèi)容進(jìn)行阻斷;2)格式檢查:對(duì)文件格式進(jìn)行檢查,文件類型和文件內(nèi)容格式不符合要求的應(yīng)進(jìn)行阻斷;3)請(qǐng)求改寫(xiě):支持對(duì)請(qǐng)求數(shù)據(jù)(包括請(qǐng)求頭部或請(qǐng)求體)進(jìn)行改寫(xiě),防止非法人員對(duì)請(qǐng)求頭4)敏感信息識(shí)別:支持識(shí)別數(shù)據(jù)傳輸?shù)拿舾袛?shù)據(jù)和重要數(shù)據(jù)并進(jìn)行標(biāo)識(shí);5)圖文轉(zhuǎn)換(可選):支持將固定格式的圖片或文本經(jīng)像素化轉(zhuǎn)換為圖片,經(jīng)過(guò)傳輸處理后,再將轉(zhuǎn)化的圖片還原成原有固定格式圖片或文本的過(guò)程。通過(guò)圖文轉(zhuǎn)換應(yīng)實(shí)現(xiàn)原固定格d)數(shù)據(jù)加解密:支持采用私有協(xié)議完成數(shù)據(jù)的加密和解密,確保數(shù)據(jù)傳輸保密性。6.3.3發(fā)送請(qǐng)求a)請(qǐng)求數(shù)據(jù)接收:支持接收單向?qū)肽K傳輸?shù)恼?qǐng)求數(shù)據(jù),傳c)響應(yīng)數(shù)據(jù)發(fā)送:支持響應(yīng)數(shù)據(jù)發(fā)送至單向?qū)С瞿?shù)據(jù)安全交換產(chǎn)品在單向?qū)С瞿K中應(yīng)支持對(duì)響應(yīng)數(shù)據(jù)進(jìn)行協(xié)議轉(zhuǎn)換、數(shù)據(jù)落地、數(shù)據(jù)安全檢查、6.5.3發(fā)送響應(yīng)7系統(tǒng)要求7.1國(guó)產(chǎn)化7.3性能要求6T/COSOCC008—20247生的日期、時(shí)間、事件的類型、主體、客體、成功或失敗的事件等信息,生成日志a)具有識(shí)別數(shù)據(jù)敏感信息的能力,支持對(duì)接單位或部門數(shù)據(jù)分類分級(jí)接口;聯(lián)分析,利用AI、數(shù)據(jù)分析等技術(shù)形成數(shù)據(jù)交換業(yè)務(wù)畫(huà)像和數(shù)據(jù)畫(huà)a)支持對(duì)用戶身份進(jìn)行標(biāo)識(shí)和鑒別,身份標(biāo)識(shí)應(yīng)具有唯一性;c)具有登錄失敗處理功能,包括限制連續(xù)的非法登錄嘗試次數(shù)等措施;f)應(yīng)對(duì)授權(quán)管理員選擇兩種或兩種以上組合的鑒別技術(shù)進(jìn)行身份鑒別。產(chǎn)品的自身訪問(wèn)控制能力安全要求應(yīng)符合下b)支持由安全管理員配置訪問(wèn)控制策略,訪問(wèn)控制策略應(yīng)規(guī)定管理員對(duì)客體8a)具有向授權(quán)管理員提供設(shè)置和修改安全管理相關(guān)的數(shù)據(jù)參數(shù)的功能;b)具有向授權(quán)管理員提供設(shè)置、查詢和修改各種安全策略的功能;f)具有安全策略有效性檢查功能,包括安全策略匹配情況檢測(cè)等;g)安全漏洞響應(yīng)計(jì)劃:應(yīng)有明確的安全漏洞響應(yīng)計(jì)劃,包括漏洞報(bào)告接收、評(píng)估、a)支持對(duì)用戶賬號(hào)的登錄、注銷、系統(tǒng)啟動(dòng)、重要配置變更、增加/刪除/修改管理員、保b)支持檢測(cè)、記錄產(chǎn)品自身運(yùn)行狀態(tài)和重要操作;a)支持通過(guò)設(shè)備本身端口進(jìn)行管理;b)重啟過(guò)程中,安全策略和日志信息不丟失;c)不包含已公開(kāi)的中、高風(fēng)險(xiǎn)安全漏員及其他用戶不能復(fù)制使用上一次通過(guò)的鑒別信息再次鑒別成功。在默認(rèn)不配置任何數(shù)據(jù)交換策略情為保護(hù)數(shù)據(jù)安全交換產(chǎn)品安全功能免遭不可信主體的干擾和篡改,數(shù)據(jù)安全交換產(chǎn)品安全功能應(yīng)為其自身的執(zhí)行環(huán)境設(shè)定安全區(qū)域,并把數(shù)據(jù)安全交換產(chǎn)品各個(gè)處理單元所在的安全區(qū)域9數(shù)據(jù)安全交換產(chǎn)品應(yīng)保證其所提供的與密碼算法相關(guān)功能符合國(guó)家密碼主管部門的有關(guān)b)具有建立供應(yīng)鏈各環(huán)節(jié)核心要素的追溯能力,保障核b)支持制定產(chǎn)品安全功能和自身安全功能的設(shè)計(jì)文檔,文檔描述與安全功能和自身安全功能應(yīng)c)為產(chǎn)品確定唯一的版本號(hào),為配置項(xiàng)確定唯一標(biāo)識(shí),建立并維護(hù)配置項(xiàng)列表;e)第三方組件和庫(kù)的安全性審查:應(yīng)確保在產(chǎn)品開(kāi)發(fā)中使用的第三方組件和庫(kù)都經(jīng)過(guò)了安全審b)建立內(nèi)部交付和外部交付的控制程序,確(資料性)數(shù)據(jù)安全產(chǎn)品開(kāi)發(fā)實(shí)踐A.1數(shù)據(jù)安全產(chǎn)品功能原理數(shù)據(jù)安全交換產(chǎn)品通常由請(qǐng)求匯聚服務(wù)模塊、單向?qū)肽K、響應(yīng)匯聚服務(wù)模塊、單向?qū)С瞿K組成,如圖A.1為數(shù)據(jù)安全產(chǎn)品功能原理圖,數(shù)據(jù)安全交換產(chǎn)品由4主機(jī)節(jié)點(diǎn)構(gòu)成,各組件之間采用單向光纖進(jìn)行連接,其中:——A節(jié)點(diǎn)包括請(qǐng)求匯聚服務(wù)模塊、單向?qū)肭爸脵C(jī)模塊和單向?qū)С龊笾脵C(jī)模塊;——B節(jié)點(diǎn)包括響應(yīng)匯聚服務(wù)模塊、單向?qū)牒笾脵C(jī)模塊和單向?qū)С銮爸脵C(jī)模塊;——C節(jié)點(diǎn)包括安全策略管理和數(shù)據(jù)轉(zhuǎn)發(fā)模塊;——D節(jié)點(diǎn)包括日志存儲(chǔ)和數(shù)據(jù)轉(zhuǎn)發(fā)模塊;——數(shù)據(jù)從A節(jié)點(diǎn)單向傳輸?shù)紹節(jié)點(diǎn)單向?qū)牒笾脵C(jī),請(qǐng)求數(shù)據(jù)單向傳輸?shù)巾憫?yīng)匯聚服務(wù),同時(shí)A節(jié)點(diǎn)請(qǐng)求匯聚服務(wù)對(duì)請(qǐng)求進(jìn)行接入身份認(rèn)證和限制;——數(shù)據(jù)從B節(jié)點(diǎn)單向?qū)С銮爸脵C(jī)單向傳輸?shù)紺節(jié)點(diǎn)、C節(jié)點(diǎn)將數(shù)據(jù)單向傳輸?shù)紻節(jié)點(diǎn)、D節(jié)點(diǎn)單向傳輸?shù)紸節(jié)點(diǎn)單向?qū)С龊笾脵C(jī)和請(qǐng)求匯聚服務(wù),完成從B節(jié)點(diǎn)到A節(jié)點(diǎn)的單向?qū)С隽鲉螁蜗驅(qū)С稣?qǐng)求端單單向?qū)С鯠節(jié)點(diǎn)D節(jié)點(diǎn)響應(yīng)端圖A.1數(shù)據(jù)安全產(chǎn)品功能原理

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論