国家标准计划《网络安全技术 移动存储介质管理系统技术规范》由 TC260(全国网络安全标准化技术委员会)归口 ,主管部门为国家标准委。
主要起草单位 北京锐安科技有限公司 、公安部第三研究所 、中国网络安全审查技术与认证中心 、奇安信网神信息技术(北京)股份有限公司 、北京天融信网络安全技术有限公司 、北京北信源软件有限公司 、西安交大捷普网络科技有限公司 、长扬科技(北京)股份有限公司 、杭州盈高科技有限公司 、蓝盾信息安全技术股份有限公司 、启明星辰信息技术集团股份有限公司 、北京万里红科技有限公司 、中国科学院软件研究所 、浙江远望信息股份有限公司 、深圳市联软科技股份有限公司 。
35 信息技术、办公机械 |
本次国标制定工作的目的是编制USB移动存储介质管理系统的国家标准,可以为国家重要信息系统和关键信息基础设施中针对移动存储介质管理的授权使用提供技术支持,有效应用于产品的研发、生产和测评,规范产品的功能形态,为国家信息安全主管部门与第三方测评机构对移动存储介质管理系统的管理与测评提供重要依据。
信息化的发展过程中,U盘、移动硬盘等移动存储设备,由于使用灵活、携带方便,且储存容量也越来越大,使它在各级应用中迅速得到普及,几乎每个单位都拥有大量的移动存储设备,但是在使用便利的同时,也有可能使单位的机密资料外泄从而带来严重的损失,对重要信息系统和关键信息基础设施的数据安全带来安全风险,有的甚至可能直接威胁到国家安全,造成不可预测的后果。
有效解决当前移动存储介质自身安全性低、容易丢失、分散且难于统一管理的问题,减少潜在的安全隐患,有必要制定移动存储介质管理系统的国家标准。
强制性国家标准GB 42250-2022《信息安全技术 网络安全专用产品安全技术要求》已于2023年7月1日正式开始实施,但GB 42250必须配合相应的产品标准一起使用,而作为网络安全专用产品目录中重要一类的USB移动存储介质管理系统却并没有相应的国标。
这严重的影响了网络安全法的实施以及网络安全专用产品的安全管理,同时也影响了该类产品的设计、开发及测试工作。
因此需要制定国标《信息安全技术USB移动存储介质管理系统技术规范》。
本标准规定了USB移动存储介质管理系统的技术要求和测评方法,并进行了等级划分,适用于USB移动存储介质管理系统的设计、开发、测试和评价。 技术要求分为安全功能要求、自身安全要求和安全保障要求三个部分。其中,安全功能要求包括:内部介质管理、内部主机管理、介质认证、安全标记以及访问控制;自身安全要求包括:组件安全标识与鉴别、管理权限安全、传输安全、存储安全、支撑系统安全。安全保障要求包括开发、指导性文档、生命周期支持、测试和脆弱性评定要求。测评方法对测试环境以及技术要求的测试方法、预期结果和判定方法进行了说明。