《信息安全技術(shù) 數(shù)據(jù)安全交換產(chǎn)品安全技術(shù)要求》（征求意見(jiàn)稿）編制說(shuō)明

1《信息安全技術(shù)數(shù)據(jù)安全交換產(chǎn)品安全技術(shù)要求》一、工作簡(jiǎn)況（一）任務(wù)來(lái)源本標(biāo)準(zhǔn)2023年由公安部第一研究所向中國(guó)基本建設(shè)優(yōu)化研究會(huì)（簡(jiǎn)稱：中基會(huì)）提出立項(xiàng)，中基會(huì)于2023年5月31日正式下達(dá)立項(xiàng)計(jì)劃，計(jì)劃編號(hào)為：P2023-03。本標(biāo)準(zhǔn)由中國(guó)基本建設(shè)優(yōu)化研究會(huì)提出并歸口。本標(biāo)準(zhǔn)由公安部第一研究所為牽頭單位的起草小組組織起草。（二）標(biāo)準(zhǔn)制訂的背景隨著信息技術(shù)和人類生產(chǎn)生活交匯融合，各類數(shù)據(jù)迅猛增長(zhǎng)、海量聚集，對(duì)經(jīng)濟(jì)發(fā)展、社會(huì)治理、人民生活都產(chǎn)生了重大而深刻的影響。數(shù)據(jù)安全已成為事關(guān)國(guó)家安全與經(jīng)濟(jì)社會(huì)發(fā)展的重大問(wèn)題。黨中央對(duì)此高度重視，習(xí)近平總書記多次作出重要指示批示，提出加快法規(guī)制度建設(shè)、切實(shí)保障國(guó)家數(shù)據(jù)安全等明確要求。2021年9月1日《中華人民共和國(guó)數(shù)據(jù)安全法》正式施行，數(shù)據(jù)安全法第七條明確規(guī)定“國(guó)家保護(hù)個(gè)人、組織與數(shù)據(jù)有關(guān)的權(quán)益，鼓勵(lì)數(shù)據(jù)依法合理有效利用，保障數(shù)據(jù)依法有序自由流動(dòng)，促進(jìn)以數(shù)據(jù)為關(guān)鍵要素的數(shù)字經(jīng)濟(jì)發(fā)展。”第十一條明確規(guī)定“國(guó)家積極開(kāi)展數(shù)據(jù)安全治理、數(shù)據(jù)開(kāi)發(fā)利用等領(lǐng)域的國(guó)際交流與合作，參與數(shù)據(jù)安全相關(guān)國(guó)際規(guī)則和標(biāo)準(zhǔn)的制定，促進(jìn)數(shù)據(jù)跨境安全、自由流動(dòng)”。目前，國(guó)內(nèi)公安行業(yè)已研發(fā)公安信息網(wǎng)邊界接入平臺(tái)，公安信息網(wǎng)與相關(guān)專有網(wǎng)絡(luò)間的數(shù)據(jù)交換、授權(quán)訪問(wèn)等。但是目前國(guó)內(nèi)外尚無(wú)相關(guān)標(biāo)準(zhǔn)對(duì)數(shù)據(jù)安全交換產(chǎn)品的功能、安全等方面提出要求和規(guī)范，對(duì)數(shù)據(jù)安全交換產(chǎn)品使用方在選擇相關(guān)產(chǎn)品造成了困惑，對(duì)數(shù)據(jù)安全交換產(chǎn)品生產(chǎn)和研發(fā)單位在產(chǎn)品設(shè)計(jì)、開(kāi)發(fā)以及測(cè)試等方面造成了困難，相關(guān)檢測(cè)和監(jiān)管部門在政策制定和監(jiān)管方面缺乏技術(shù)支撐。因此，亟需制定相關(guān)標(biāo)準(zhǔn)對(duì)數(shù)據(jù)安全交換產(chǎn)品進(jìn)行規(guī)范。（三）主要工作過(guò)程（1）項(xiàng)目預(yù)研項(xiàng)目前期，主編單位、中國(guó)基本建設(shè)優(yōu)化研究會(huì)、北京藍(lán)象標(biāo)準(zhǔn)咨詢服務(wù)有限公司對(duì)信息安全技術(shù)進(jìn)行了系統(tǒng)的研究，針對(duì)數(shù)據(jù)安全交換產(chǎn)品的市場(chǎng)情況、需求情況等進(jìn)行了資料查證和企業(yè)走訪調(diào)研，并結(jié)合專家意見(jiàn)形成了立項(xiàng)建議書和標(biāo)準(zhǔn)草案框架。2023年5月29日召開(kāi)了立項(xiàng)評(píng)估會(huì)，經(jīng)專家論證，同意該標(biāo)準(zhǔn)立項(xiàng)。中國(guó)基本建設(shè)優(yōu)化研究會(huì)于2023年5月31日下達(dá)了標(biāo)準(zhǔn)制定計(jì)劃。（2）項(xiàng)目立項(xiàng)2023年5月31日上午，中國(guó)基本建設(shè)優(yōu)化研究會(huì)下達(dá)了《信息安全技術(shù)數(shù)據(jù)安全交換產(chǎn)品技術(shù)規(guī)范》等7項(xiàng)“信息安全技術(shù)”系列團(tuán)體標(biāo)準(zhǔn)立項(xiàng)通知，要求標(biāo)準(zhǔn)主要起草單位抓緊落實(shí)和實(shí)施計(jì)劃，在標(biāo)準(zhǔn)起草過(guò)程中加強(qiáng)與有關(guān)方面的協(xié)調(diào)，廣泛聽(tīng)取意見(jiàn)，保證標(biāo)準(zhǔn)質(zhì)量和水平，按時(shí)完成團(tuán)體標(biāo)準(zhǔn)制訂任務(wù)。（3）項(xiàng)目啟動(dòng)及首次研討會(huì)22023年6月27日，由中國(guó)基本建設(shè)優(yōu)化研究會(huì)主辦、北京藍(lán)象標(biāo)準(zhǔn)咨詢服務(wù)有限公司承辦的《信息安全技術(shù)數(shù)據(jù)安全交換產(chǎn)品技術(shù)規(guī)范》等7項(xiàng)“信息安全技術(shù)”系列團(tuán)體標(biāo)準(zhǔn)啟動(dòng)會(huì)在北京召開(kāi)。中國(guó)基本建設(shè)優(yōu)化研究會(huì)黨委書記（會(huì)長(zhǎng)）孫曉洲、中國(guó)標(biāo)準(zhǔn)化委員會(huì)委員（博士生導(dǎo)師）強(qiáng)毅出席會(huì)議并致辭，中國(guó)基本建設(shè)優(yōu)化研究會(huì)秘書長(zhǎng)宮然、中國(guó)基本建設(shè)優(yōu)化研究會(huì)標(biāo)準(zhǔn)化技術(shù)委員會(huì)主任委員段小莉出席會(huì)議并總結(jié)發(fā)言，公安部科技信息化局原局長(zhǎng)厲劍、中國(guó)科學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)信息中心大數(shù)據(jù)部副主任（國(guó)家基礎(chǔ)學(xué)科公共科學(xué)數(shù)據(jù)中心主任）胡良霖、中國(guó)標(biāo)準(zhǔn)化研究院高新技術(shù)與信息標(biāo)準(zhǔn)化研究所副所長(zhǎng)王志強(qiáng)、國(guó)家信息技術(shù)安全研究中心原副總工程師宮亞峰等領(lǐng)導(dǎo)和專家出席會(huì)議。會(huì)議由中國(guó)基本建設(shè)優(yōu)化研究會(huì)標(biāo)準(zhǔn)化技術(shù)委員會(huì)副主任委員（北京藍(lán)象標(biāo)準(zhǔn)咨詢服務(wù)有限公司首席技術(shù)官）張德保主持。《信息安全技術(shù)數(shù)據(jù)安全交換產(chǎn)品技術(shù)規(guī)范》等7項(xiàng)“信息安全技術(shù)”系列團(tuán)體標(biāo)準(zhǔn)首次研討會(huì)由中國(guó)基本建設(shè)優(yōu)化研究會(huì)標(biāo)準(zhǔn)化技術(shù)委員會(huì)副主任委員（中國(guó)科學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)信息中心大數(shù)據(jù)部副主任、國(guó)家基礎(chǔ)學(xué)科公共科學(xué)數(shù)據(jù)中心主任）胡良霖主持，公安部第一研究所代表標(biāo)準(zhǔn)起草組，對(duì)《信息安全技術(shù)數(shù)數(shù)據(jù)安全交換產(chǎn)品技術(shù)規(guī)范》標(biāo)準(zhǔn)的主筆單位、研制背景、標(biāo)準(zhǔn)主要內(nèi)容和標(biāo)準(zhǔn)編制情況進(jìn)行了介紹，并匯報(bào)了會(huì)議前收到的修改意見(jiàn)預(yù)處理情況。隨后，參會(huì)代表結(jié)合意見(jiàn)預(yù)處理情況，圍繞標(biāo)準(zhǔn)的名稱、技術(shù)框架、條款的陳述方式等方面展開(kāi)了熱烈的討論，主編單位代表對(duì)各參會(huì)代表所提建議和意見(jiàn)進(jìn)行了詳細(xì)的記錄和解答。會(huì)后，標(biāo)準(zhǔn)起草組針對(duì)啟動(dòng)會(huì)會(huì)前和會(huì)上，和專家提出的59條建議和意見(jiàn)進(jìn)行分析和研究，對(duì)標(biāo)準(zhǔn)草案進(jìn)行相應(yīng)修改與完善，形成新一版的標(biāo)準(zhǔn)文本。綜合專家意見(jiàn)，經(jīng)編制組討論修改標(biāo)準(zhǔn)名稱為《信息安全技術(shù)數(shù)據(jù)安全交換產(chǎn)品安全技術(shù)要求》（4）第二次研討會(huì)2023年10月20日，由中國(guó)基本建設(shè)優(yōu)化研究會(huì)主辦，北京藍(lán)象標(biāo)準(zhǔn)咨詢服務(wù)有限公司、中國(guó)工業(yè)互聯(lián)網(wǎng)研究院聯(lián)合承辦的《信息安全技術(shù)數(shù)據(jù)安全交換產(chǎn)品安全技術(shù)要求》等7項(xiàng)信息安全技術(shù)系列團(tuán)體標(biāo)準(zhǔn)第二次研討會(huì)在京成功召開(kāi)。中國(guó)基本建設(shè)優(yōu)化研究會(huì)標(biāo)準(zhǔn)化技術(shù)委員會(huì)主任委員、北京藍(lán)象標(biāo)準(zhǔn)咨詢服務(wù)有限公司總經(jīng)理段小莉，中國(guó)工業(yè)互聯(lián)網(wǎng)研究院主任薛強(qiáng)出席會(huì)議并致辭，公安部科技信息化局原黨委書記、局長(zhǎng)（研究員）厲劍作為特邀專家出席會(huì)議并做點(diǎn)評(píng)。自59家企事業(yè)單位60余名代表參加了會(huì)議，會(huì)議由中國(guó)基本建設(shè)優(yōu)化研究會(huì)標(biāo)準(zhǔn)化技術(shù)委員會(huì)標(biāo)準(zhǔn)化工程師吳建全主持。主編單位公安部第一研究所代表標(biāo)準(zhǔn)起草組介紹標(biāo)準(zhǔn)討論稿和意見(jiàn)處理情況，參會(huì)領(lǐng)導(dǎo)、專家和企業(yè)代表重點(diǎn)圍繞標(biāo)準(zhǔn)的范圍和定位、技術(shù)框架、性能指標(biāo)、條款內(nèi)容等方面展開(kāi)了熱烈的討論，并對(duì)標(biāo)準(zhǔn)文本的修改和完善提出了很多寶貴的建議和意見(jiàn)。同時(shí)，特邀專家公安部科技信息化局原黨委書記、局長(zhǎng)（研究員）厲劍從專業(yè)技術(shù)角度對(duì)標(biāo)準(zhǔn)進(jìn)行了專業(yè)點(diǎn)評(píng)。主編單位代表對(duì)各參編單位代表所提建議和意見(jiàn)進(jìn)行了詳細(xì)的記錄和解答，會(huì)后，標(biāo)準(zhǔn)起草組針對(duì)各單位和專家提出的58條修改建議進(jìn)行了處理，并對(duì)相應(yīng)的標(biāo)準(zhǔn)文本進(jìn)行修改。（四）主要參加起草單位和工作組成員所做的工作本標(biāo)準(zhǔn)起草工作組由公安部第一研究所為牽頭單位組成。起草組承擔(dān)了標(biāo)準(zhǔn)起草的組織、標(biāo)準(zhǔn)文本的編制、重點(diǎn)企業(yè)意見(jiàn)征求、標(biāo)準(zhǔn)編制說(shuō)明的撰寫和內(nèi)審等工作。3二、標(biāo)準(zhǔn)編制原則和確定標(biāo)準(zhǔn)主要內(nèi)容的依據(jù)（一）標(biāo)準(zhǔn)編寫原則本標(biāo)準(zhǔn)按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。起草過(guò)程，充分考慮現(xiàn)有相關(guān)標(biāo)準(zhǔn)的統(tǒng)一和協(xié)調(diào)；標(biāo)準(zhǔn)的要求充分考慮了國(guó)內(nèi)當(dāng)前的行業(yè)技術(shù)水平，對(duì)草案內(nèi)容進(jìn)行多次征求意見(jiàn)和充分討論。（二）確定標(biāo)準(zhǔn)主要技術(shù)指標(biāo)的基本原則（1）適用性：既不要讓標(biāo)準(zhǔn)所涵蓋的領(lǐng)域過(guò)寬，使編制的標(biāo)準(zhǔn)沒(méi)有實(shí)際技術(shù)內(nèi)容；也不要讓標(biāo)準(zhǔn)所涵蓋的領(lǐng)域過(guò)窄，造成對(duì)標(biāo)準(zhǔn)的肢解，無(wú)謂地增加標(biāo)準(zhǔn)項(xiàng)目。（2）先進(jìn)性：編寫標(biāo)準(zhǔn)草案時(shí)在充分調(diào)查研究的基礎(chǔ)上，認(rèn)真分析國(guó)內(nèi)外同類技術(shù)標(biāo)準(zhǔn)的技術(shù)水平，在預(yù)期可達(dá)到的條件下，積極把先進(jìn)技術(shù)納入標(biāo)準(zhǔn)，提高產(chǎn)品技術(shù)水平。（3）協(xié)調(diào)性；編制過(guò)程中注意符合法律法規(guī)的規(guī)定以及與相關(guān)標(biāo)準(zhǔn)協(xié)調(diào)，避免與法律法規(guī)、相關(guān)標(biāo)準(zhǔn)之間出現(xiàn)矛盾，給標(biāo)準(zhǔn)的實(shí)施造成困難。（三）主要內(nèi)容本標(biāo)準(zhǔn)規(guī)定了數(shù)據(jù)安全交換產(chǎn)品的總體架構(gòu)、功能要求、系統(tǒng)配置要求及安全要求。1）總體架構(gòu)：定義和描述數(shù)據(jù)安全交換產(chǎn)品的總體架構(gòu)2）功能要求：規(guī)定了數(shù)據(jù)安全交換產(chǎn)品主要功能包括請(qǐng)求匯聚服務(wù)、單向?qū)胂到y(tǒng)、響應(yīng)匯聚服務(wù)和單向?qū)С鱿到y(tǒng)。核心功能：數(shù)據(jù)安全交換產(chǎn)品由請(qǐng)求匯聚服務(wù)、單向?qū)肽K和單向?qū)С瞿K、響應(yīng)匯聚服務(wù)模塊組成，單向?qū)肽K和單向?qū)С瞿K內(nèi)部由主機(jī)加專用單向傳輸部件構(gòu)成，用于實(shí)現(xiàn)請(qǐng)求端（安全域A）和響應(yīng)端（安全域B）的請(qǐng)求數(shù)據(jù)安全交換。3）系統(tǒng)配置要求：規(guī)定了數(shù)據(jù)安全交換產(chǎn)品需要滿足國(guó)產(chǎn)化、最低配置、支持協(xié)議和最低性能要求。1標(biāo)準(zhǔn)中要求請(qǐng)求匯聚服務(wù)利用APIkey、可信認(rèn)證、數(shù)字證書等技術(shù)手段驗(yàn)證請(qǐng)求端用戶和應(yīng)用的真實(shí)性和合法性，縮小數(shù)據(jù)跨網(wǎng)、跨域請(qǐng)求交換的請(qǐng)求端暴露面；2標(biāo)準(zhǔn)中要求產(chǎn)品必須實(shí)現(xiàn)數(shù)據(jù)的單向?qū)牒蛦蜗驅(qū)С觯綦x交換核心部件必須使用單向傳輸部件，無(wú)任何信號(hào)反饋，在物理上始終保持網(wǎng)絡(luò)物理斷開(kāi)狀態(tài)；43標(biāo)準(zhǔn)中要求產(chǎn)品內(nèi)部必須使用私有協(xié)議加密傳輸、數(shù)據(jù)安全檢查和安全完整性保證能力，以保證數(shù)據(jù)傳輸過(guò)程的保密性、完整性和可靠性。4標(biāo)準(zhǔn)中要求產(chǎn)品必須具有敏感數(shù)據(jù)識(shí)別能力，支持對(duì)接單位或者部門數(shù)據(jù)分類分級(jí)接口。5標(biāo)準(zhǔn)中要求產(chǎn)品必須具有可視化能力和審計(jì)畫像能力，可以形成數(shù)據(jù)交換合規(guī)基線，形成數(shù)據(jù)交換業(yè)務(wù)畫像和數(shù)據(jù)畫像，發(fā)現(xiàn)違規(guī)行為，對(duì)違規(guī)行為進(jìn)行阻斷。4）安全要求：規(guī)定了數(shù)據(jù)安全交換產(chǎn)品在身份驗(yàn)證、傳輸安全、安全策略管理等維度相應(yīng)安全要求。三、數(shù)據(jù)驗(yàn)證本標(biāo)準(zhǔn)通過(guò)收集、整理當(dāng)前信息安全技術(shù)數(shù)據(jù)安全交換產(chǎn)品安全技術(shù)相關(guān)國(guó)內(nèi)外文獻(xiàn)5篇，查閱信息安全技術(shù)數(shù)據(jù)安全交換產(chǎn)品安全技術(shù)相關(guān)現(xiàn)行國(guó)家、行業(yè)標(biāo)準(zhǔn)10項(xiàng)，并調(diào)研涉及信息安全技術(shù)數(shù)據(jù)安全交換產(chǎn)品安全技術(shù)要求應(yīng)用的企業(yè)7家，包括北京國(guó)御網(wǎng)絡(luò)安全技術(shù)有限公司、北京卓訊科信技術(shù)有限公司、國(guó)網(wǎng)思極網(wǎng)安科技（北京）有限公司、杭州領(lǐng)信數(shù)科信息技術(shù)有限公司、視聯(lián)動(dòng)力技術(shù)股份有限公司、拓爾思天行網(wǎng)安信息技術(shù)有限責(zé)任公司、北京安盟信息技術(shù)股份有限公司等。四、預(yù)期的社會(huì)經(jīng)濟(jì)效果本標(biāo)準(zhǔn)的制定和應(yīng)用主要有以下幾個(gè)方面的作用：（1）保障數(shù)據(jù)依法有序自由流動(dòng)、促進(jìn)數(shù)據(jù)跨境安全、自由流動(dòng)等，從而保障行業(yè)健康發(fā)展。（2）為數(shù)據(jù)安全交換產(chǎn)品開(kāi)發(fā)方在產(chǎn)品的設(shè)計(jì)、開(kāi)發(fā)及測(cè)試等方面提供技術(shù)指導(dǎo)，從而引導(dǎo)技術(shù)和產(chǎn)品的快速發(fā)展。（3）為數(shù)據(jù)安全交換產(chǎn)品使用者在相關(guān)產(chǎn)品選擇、評(píng)價(jià)等方面提供參考，從而避免社會(huì)資源浪費(fèi)。（4）為相關(guān)政府部門和檢測(cè)認(rèn)證機(jī)構(gòu)在政策制定、市場(chǎng)監(jiān)管等方面提供技術(shù)支撐。五、與有關(guān)法律、行政法規(guī)及相關(guān)標(biāo)準(zhǔn)關(guān)系的說(shuō)明（一）國(guó)際有關(guān)法律、法規(guī)和相關(guān)標(biāo)準(zhǔn)的說(shuō)明目前國(guó)際上沒(méi)有明確的關(guān)于網(wǎng)絡(luò)隔離產(chǎn)品和數(shù)據(jù)安全交換產(chǎn)品的標(biāo)準(zhǔn)規(guī)范（二）與我國(guó)有關(guān)現(xiàn)行法律、法規(guī)和相關(guān)標(biāo)準(zhǔn)的關(guān)系1、國(guó)內(nèi)關(guān)于終端和網(wǎng)絡(luò)隔離產(chǎn)品現(xiàn)行的主要標(biāo)準(zhǔn)如下：①.《GB/T20279-2015信息安全技術(shù)網(wǎng)絡(luò)和終端隔離產(chǎn)品安全技術(shù)要求》②.《GB/T20277-2015信息安全技術(shù)網(wǎng)絡(luò)和終端隔離產(chǎn)品測(cè)試評(píng)價(jià)方法》2、本標(biāo)準(zhǔn)在起草過(guò)程中重點(diǎn)參考的標(biāo)準(zhǔn)如下：①.《GB/T20279-2015②.《GB/T22239-2019③.《GB/T37988-2019④.《GB/T39204-2019信息安全技術(shù)信息安全技術(shù)信息安全技術(shù)信息安全技術(shù)網(wǎng)絡(luò)和終端隔離產(chǎn)品安全技術(shù)要求》網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》數(shù)據(jù)安全能力成熟度模型》關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》5⑤.《GB/T42250-2022⑥.《GB/T25069-2022⑦.《GB/T35295-2017信息安全技術(shù)網(wǎng)絡(luò)安全專用產(chǎn)品安全技術(shù)