国家标准《网络安全技术 数据泄露防护产品技术规范》（征求意见稿）编制说明

国家标准编制说明

一、工作简况

1.1任务来源

根据全国网络安全标准化技术委员会下发的《关于17项网络安全国标标准

项目立项通知》（网安字[2024]2号），《网络安全技术数据泄露防护产品技术规

范》由中国电子科技集团公司第十五研究所（以下简称十五所）负责承办，计划

号：XXXXX-T-XXX。本文件由全国网络安全标准化技术委员会（SAC/TC260）提

出并归口管理。

1.2制定背景

随着数字化的快速推进和互联网的广泛应用，大量个人和企业的敏感信息被

存储和传输，数据泄露、网络攻击和恶意软件等安全事件也呈上升趋势。我国政

府加大了对网络数据安全监管的力度，先后推出《网络安全法》《数据安全法》

《个人信息保护法》等法律法规，2023年4月12日，由国家互联网信息办公室

等五部委联合发布的《关于调整网络安全专用产品安全管理有关事项的公告》

（2023年第1号）中指出“自2023年7月1日起，列入《网络关键设备和网络

安全专用产品目录》的网络安全专用产品应当按照《信息安全技术网络安全专

用产品安全技术要求》等相关国家标准的强制性要求，由具备资格的机构安全认

证合格或者安全检测符合要求后，方可销售或者提供。”2023年7月3日，国家

互联网信息办公室等四部委联合发布“关于调整《网络关键设备和网络安全专用

产品目录》的公告（2023年第2号）”，将数据泄露防护产品纳入网络安全专用

产品目录。本标准的制定将作为GB42250的配套产品标准，为落实法律法规的

要求提供重要支撑。

1.3起草过程

1)2023年7月-8月，在网安标委发布《关于发布2023年度第二批网络安

全国家标准需求的通知》后，十五所联合其他相关机构，组成申报小组，编制申

请材料和完善标准草案V1.0。

2)2023年8月底，TC260-WG5在北京召开2023年度第二次工作组全体会

议，对2023年第二批拟立项标准进行研讨并推进在研标准。会上，编制组对标

准草案进行汇报。

3)2023年9月，编制组对第二次工作组会议上专家意见进行分析和讨论，

1

国家标准编制说明

继续完善草案V2.0。

4)2023年9月16日，TC260秘书处组织专家在福建对第二批立项标准进

行专家评审，会上，编制组对标准内容进行汇报，专家对标准框架、结构以及与

GB42250强标的关系等内容进行充分的讨论。

5)2023年10月-12月，编制组根据福建专家评审会的意见，结合WG5组

专家组的意见对标准草案进行调整，形成最新草案V3.0。

6)2024年2月19日，网安标委发布《关于17项网络安全国家标准项目立

项的通知》（网安字【2023】2号），标志着标准研制项目正式立项。

7)2024年2月28日，全国网络安全标准化技术委员会（以下简称网安标

委）秘书处在北京召开17项网络安全国家标准立项项目研制工作部署会。会议

要求标准项目承担单位要进一步提高网络安全国家标准研制工作的重视程度，准

确把握时间进度安排，统筹推进项目各阶段研制工作。

8)2024年2月29日，该标准在网安标委官网上公开征求参编单位，共有

北京数安行科技有限公司、西安交大捷普网络科技有限公司、江苏大道云隐科技

有限公司等30余家单位积极提交参编申请。

9)2024年2月-3月，编制组将最新的草案在组内再次征求意见，根据收集

意见，编制组于4月3日召开讨论会，讨论研究组内意见，形成最新草案V4.0。

10)2024年3月29日，编制组向国家标准评审中心进行立项汇报。会上专

家主要提出了关于这批立项标准与原来行标的关系的疑问。

11)2024年4月16日-17日，WG5工作组在北京召开14项网络安全产品标

准专家评审会，与会专家提出了很多好的修改建议。

12)2024年5月-6月，标准编制组针对专家提出的修改意见，进行了仔细讨

论和研究，同时在编制组内再次征求意见，对标准文本进行修订，形成本次上会

的标准文本V5.0。

13)2024年6月12日-15日，安标委在江西南昌市召开2024年第一次会议

周，编制组在WG5工作组会上进行了标准汇报，与会专家代表对标准进行了研

讨，收集到了部分意见建议，编制组会后进行了仔细研究，并对意见进行了处理。

14)2024年7月-9月，编制组根据试点验证方案开展标准符合性验证，一方

面牵头单位联合5个厂商，针对7款产品进行了实际测试验证，另外一方面有十

2

国家标准编制说明

余家厂商自己进行符合性验证并提交验证结果给牵头单位，目前汇总了所有的验

证结果，完成了验证结果的初步分析，修改了标准文本。

15)2024年9月14日，TC260秘书处组织专家评审，对标准互联互通等内

容提出修改意见，会后编制组认真研究讨论，并完善方案，形成征求意见稿。

二、标准编制原则、主要内容及其确定依据

2.1标准编制原则

本标准编制原则是：

1)规范性

严格按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构

和起草规则》的要求起草。

2)符合性

标准的相关内容应符合国家有关法律法规、强制性标准及相关产业政策要求。

3)科学性

广泛调研国内数据泄露防护产品现状，向专家和相关人员征求意见，标准中

规定的技术指标基于数据泄露防护技术的综合成果和先进经验，标准内容适合我

国数据泄露防护产品发展要求。

4)简明性

标准内容简洁、明了、通俗易懂，避免使用生僻词句或地方俗语，以保证广

泛的理解和应用。

2.2主要内容及其确定依据

本文件规定了数据泄露防护产品的技术要求与测试评价方法。

本文件适用于数据泄露防护产品的设计、开发、测试和认证。

数据泄露防护产品的技术要求分为安全功能要求、自身安全要求、环境适应

性要求、性能要求和安全保障要求，针对不同类型DLP产品提出了具体的评价内

容和要求。安全功能要求包括敏感数据识别、数据分类分级、网络监测与防护、

终端监测与防护、策略管理、事件管理、告警功能、统计报表；自身安全要求包

括通用要求、标识与鉴别、访问控制、安全审计、支撑系统安全、安全管理、安

全功能保护、产品灵活性、互联互通；环境适应性要求包括IPv6支持和虚拟化

支持；性能要求包括漏报率和误报率；安全保障要求包括供应链安全、设计与开

3

国家标准编制说明

发、生产和交付、运维服务保障、用户信息保护。第7章提出具体的评价方法来

验证DLP产品是否满足评价内容和要求，包括了安全功能测评、自身安全测评、

环境适应性测评、性能测评和安全保障评估。

本标准的标准框架参照GB42250-2022，标准格式按照GB/T1.1—2020标

准要求编写，标准内容引用参考了以下国家、行业标准：

GB/T18336-2015（所有部分）信息技术安全技术信息技术安全评估准则

GB/T25069信息安全技术术语

GB42250-2022信息安全技术网络安全专用产品安全技术要求

GA/T912-2018信息安全技术数据泄露防护产品安全技术要求

编制工作组成员涵盖了相关认证机构、检测机构、产品研发企业、产品使用

方等相关方，编制过程中注重标准落地实施的可行性、科学性，确保标准内容准

确、可落地、可实施。

2.3修订前后技术内容的对比[仅适用于国家标准修订项目]

本文件不涉及。

三、试验验证的分析、综述报告，技术经济论证，预期的经济效益、社会效

益和生态效益

3.1试验验证的分析、综述报告

目前正在开展标准试验验证，暂未完成。

3.2技术经济论证

本文件的起草能够统一和规范第三方机构在开展安全检测和安全认证工作，

减少产品厂商的重复开发和安全检测、安全认证环节，降低厂商的产品安全评价

成本。

3.3预期的经济效益、社会效益和生态效益

本标准适用于产品生产厂商、检测机构以及用户单位，为产品的研制、生产、

测试、评估及评价提供指导。生产厂商既可参考技术要求开展产品的研制，也可

参考测试方法对产品进行质检；产品检测机构可参考测试方法对产品开展测试和

评价；用户单位可参考技术要求、测试方法对产品进行选型及验收辅助。

随着《网络安全法》进一步落地，四部委联合发布《网络关键设备和网络安

全专用产品目录》，其中将数据泄露防护产品列为了网络安全专用产品，因此开

4

国家标准编制说明

展标准研制可以为网络安全专用产品检测认证制度提供技术支撑。

四、与国际、国外同类标准技术内容的对比情况，或者与测试的国外样品、

样机的有关数据对比情况

本文件不涉及。

五、以国际标准为基础的起草情况，以及是否合规引用或者采用国际国外标

准，并说明未采用国际标准的原因

本文件不涉及。

六、与有关法律、行政法规及相关标准的关系

本文件的制定是落实《网络安全法》第23条以及四部委发布的《关于调整<

网络关键设备和网络安全专用产品目录>的公告》(2023年第2号)的具体举措，

本文件制定可以为网络安全专用产品安全检测或认证制度的提供基础技术支撑。

本文件与现行法律、法规以及国家标准没有冲突与矛盾的地方。

本文件在编制过程中明确了与上位标准GB42250-2022的关系，与该标准不

冲突。

七、重大分歧意见的处理经过和依据

本文件不涉及。

八、涉及专利的有关说明

本文件不涉及。

九、实施国家标准的要求，以及组织措施、技术措施、过渡期和实施日期的建

议等措施建议

本文件可作为列入网络安全专用产品目录的数据泄露防护产品安全检测和

认证依据，建议国内产品安全检测机构、安全认证机构等相关单位采用。

十、其他应当说明的事项

无。