國家標準《網(wǎng)絡(luò)安全技術(shù)USB移動存儲介質(zhì)管理系統(tǒng)技術(shù)規(guī)范》（征求意見稿）編制說明一、工作簡況1.1任務(wù)來源根據(jù)《全國網(wǎng)絡(luò)安全標準化技術(shù)委員會關(guān)于17項網(wǎng)絡(luò)安全國家標準項目立項的通知》（網(wǎng)安字〔2024〕2號），推薦性國家標準《網(wǎng)絡(luò)安全技術(shù)USB移動存儲介質(zhì)管理系統(tǒng)技術(shù)規(guī)范》立項，由上海國際技貿(mào)聯(lián)合有限公司牽頭制定。國家標準化管理委員會標準計劃號：2024XXXX-T-XXX。該標準由全國網(wǎng)絡(luò)安全標準化技術(shù)委員會歸口管理。1.2主要起草單位和工作組成員北京銳安科技有限公司牽頭，公安部第三研究所、中國網(wǎng)絡(luò)安全審查技術(shù)與認證中心、北京珞安科技有限責(zé)任公司、北京北信源軟件股份有限公司、北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司等近30家單位共同參與該標準的起草工作。主要起草人：吳其聰、賈徽徽、李旋、胡念妍等。1.3主要工作過程1）草稿（第一稿）2023年7月，全國網(wǎng)絡(luò)安全標準化技術(shù)委員會發(fā)布了《關(guān)于發(fā)布2023年度第二批網(wǎng)絡(luò)安全國家標準需求的通知》，USB移動存儲介質(zhì)管理系統(tǒng)技術(shù)規(guī)范是其中一項。根據(jù)項目工作要求，我單位立即成立了標準工作小組，并邀請該類產(chǎn)品生產(chǎn)廠商、產(chǎn)品檢測認證機構(gòu)、科研院所等單位組建了標準編制組，聯(lián)合申報該標準，并組織編寫了申報材料。在充分調(diào)研的基礎(chǔ)上，完成了標準草案第一稿。2）草稿（第二稿）2023年8月，全國網(wǎng)絡(luò)安全標準化技術(shù)委員會WG5工作組在北京召開2023年工作組第二次全體會議，組織研討2023年第二批立項標準。標準編制組根據(jù)現(xiàn)場專家和WG5組成員單位的意見對標準草案進行了完善。2023年9月，2023年國家網(wǎng)絡(luò)安全宣傳周期間，全國網(wǎng)絡(luò)安全標準化技術(shù)委員會在福州組織召開2023年第二批網(wǎng)絡(luò)安全國家標準立項專家評審會。編制組根據(jù)專家意見，結(jié)合GB42250，統(tǒng)一了標準的模板。2024年2月，全國網(wǎng)絡(luò)安全標準化技術(shù)委員會發(fā)布了立項通知（網(wǎng)安字〔2024〕2號）確定標準名稱為《網(wǎng)絡(luò)安全技術(shù)USB移動存儲介質(zhì)管理系統(tǒng)技術(shù)規(guī)范》。隨后，標準編制組在全國網(wǎng)絡(luò)安全標準化技術(shù)委員會網(wǎng)站公開征集參編單位，目前編制組成員共25家。2024年3月，國家市場監(jiān)督管理總局國家標準技術(shù)審評中心組織召開2024年信息技術(shù)領(lǐng)域推薦性國家標準立項評估會。標準編制組匯報了該標準立項的必要性和可行性、適用范圍、擬解決的主要問題、技術(shù)先進性和創(chuàng)新性、與現(xiàn)有法律法規(guī)及相關(guān)標準的協(xié)調(diào)配套、實施主體及建議等內(nèi)容。2024年3月到4月，標準編制組內(nèi)部針對標準草稿開展了多輪線上征求意見和討論工作，對標準草案進行了完善，形成了標準草案（第二稿）。3）草稿（第三稿）2024年4月16日，WG5工作組在北京召開14項網(wǎng)絡(luò)安全產(chǎn)品標準研討會議，與會專家對USB移動存儲介質(zhì)管理系統(tǒng)的使用場景、防護模式等技術(shù)要求進行了質(zhì)詢，并建議全文需要統(tǒng)一產(chǎn)品組件名稱，對產(chǎn)品的技術(shù)實現(xiàn)方式以及部署方式進行說明。根據(jù)專家意見，標準編制組針對標準草稿文本進行了修改：增加附錄B，在附錄B中對產(chǎn)品的組件，技術(shù)實現(xiàn)方式以及部署方式進行了說明；增加了介質(zhì)識別要求，介質(zhì)唯一標識要求，對于介質(zhì)識別信息（生產(chǎn)廠商、硬件序列號以及容量等硬件信息）通過產(chǎn)品采用一定的運算后生成介質(zhì)唯一性標識；進一步明確了“用戶鑒別”的要求等。最終形成了標準草稿（第三稿）。4）征求意見稿（第一稿）2024年6月12日，全國網(wǎng)絡(luò)安全標準化技術(shù)委員會2024年第一次會議周WG5組全體會議上，標準編制組就標準擬解決問題、標準編制組及編制工作進展、標準編制思路和主要內(nèi)容、意見處理情況、試點應(yīng)用方案進行了匯報。與會專家針對互聯(lián)互通要求和強制訪問控制等方面提出了修改意見。根據(jù)專家意見，標準編制組針對標準草稿文本進行了修改：對互聯(lián)互通說明了適用條件，細化了強制訪問控制功能，增加了安全標記和強制訪問控制的要求。形成了征求意見稿（第一稿）。5）征求意見稿（第二稿）WG5工作組組織責(zé)任專家（鎖延峰）和責(zé)任編輯（王秉政）對標準征求意見稿（第一稿）的內(nèi)容進行了審查，并于2024年7月22日，通過騰訊會議召開14項網(wǎng)絡(luò)安全產(chǎn)品標準研討會議。與會專家對互聯(lián)互通內(nèi)容提出了修改意見，建議按照互聯(lián)互通功能接口及信息格式，歸類標準中互聯(lián)互通相關(guān)條款。會后編制組根據(jù)會上專家及責(zé)任專家和責(zé)任編輯的意見，對標準文本進行了修改，形成了征求意見稿（第二稿）。6）征求意見稿（第三稿）標準編制組內(nèi)部以文件形式征求意見，根據(jù)收集的反饋意見和部分廠商的標準驗證結(jié)果對標準文本進行了修改，修改內(nèi)容主要包括：明確了文件授權(quán)的對象為用戶，并按GB/T18336—2024修改了安全保障要求部分，形成了征求意見稿（第三稿）。7）征求意見稿（第四稿）2024年9月，全國網(wǎng)絡(luò)安全標準化技術(shù)委員會秘書處在北京組織召開網(wǎng)絡(luò)安全國家標準征求意見稿審查會。參會專家一致同意標準通過審查，建議編制組根據(jù)會議意見修改后，發(fā)起公開征求意見。編制組根據(jù)專家意見，對標準進一步修改完善。此次修改包括：對引言進一步完善，對部分安全功能要求和測評方法進行細化，統(tǒng)一互聯(lián)互通條款的格式并對互聯(lián)互通功能、信息和接口要求進行細化等，形成了征求意見稿（第四稿）。二、標準編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問題2.1標準編制原則USB移動存儲介質(zhì)管理系統(tǒng)是關(guān)于調(diào)整《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄》的公告（2023年第2號），指定的《\o"網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄.pdf"網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄》內(nèi)的網(wǎng)絡(luò)安全專用產(chǎn)品?！毒W(wǎng)絡(luò)安全技術(shù)USB移動存儲介質(zhì)管理系統(tǒng)技術(shù)規(guī)范》的編制，遵循以下原則：1、依法合規(guī)符合《中華人民共和國網(wǎng)絡(luò)安全法》第二十三條，支撐網(wǎng)信部門、公安部門的網(wǎng)絡(luò)安全專用產(chǎn)品的檢測和認證工作；符合GB42250-2022信息安全技術(shù)網(wǎng)絡(luò)安全專用產(chǎn)品安全技術(shù)要求、GB/T25066-2020信息安全技術(shù)信息安全產(chǎn)品類別與代碼2、實用性原則本標準用于網(wǎng)絡(luò)安全專用產(chǎn)品的檢測認證，考慮該類產(chǎn)品的現(xiàn)狀和發(fā)展趨勢，規(guī)范、引領(lǐng)產(chǎn)品的研發(fā)和檢測工作。2）標準編制組中包含該類產(chǎn)品的主要廠商，能夠保證標準的技術(shù)要求條款可在產(chǎn)品上落地實現(xiàn)。3）標準編制組包含網(wǎng)絡(luò)安全產(chǎn)品測評和認證機構(gòu)，能夠保證標準中的測試評價方法具有可操作性。4）參考USB移動存儲介質(zhì)管理系統(tǒng)的銷售許可和網(wǎng)專檢測出具的近百份報告，使標準能夠指導(dǎo)產(chǎn)品廠商按照標準要求研發(fā)、生產(chǎn)產(chǎn)品，保護重要信息系統(tǒng)和關(guān)鍵信息基礎(chǔ)設(shè)施安全。3、先進性原則充分研究該類產(chǎn)品的安全需求、實現(xiàn)技術(shù)，以及發(fā)展趨勢，并參考國際標準ISO/IEC154082023，保證標準文本的先進性。4、兼容性原則與現(xiàn)有的網(wǎng)絡(luò)安全專用產(chǎn)品國家標準銜接、兼容。2.2編制背景2023年7月3日，國家互聯(lián)網(wǎng)信息辦公室會同工業(yè)和信息化部、公安部、國家認證認可監(jiān)督管理委員會等部門更新了《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄》，將USB移動存儲介質(zhì)管理系統(tǒng)列入網(wǎng)絡(luò)安全專用產(chǎn)品。USB移動存儲介質(zhì)管理系統(tǒng)是對USB移動存儲介質(zhì)的訪問采取身份認證、訪問控制、審計機制等管理手段，實現(xiàn)信息系統(tǒng)中對USB移動存儲介質(zhì)的授權(quán)訪問。信息化的發(fā)展過程中，U盤、移動硬盤等USB移動存儲設(shè)備，由于使用靈活、攜帶方便，且儲存容量也越來越大，使它在各級應(yīng)用中迅速得到普及，幾乎每個單位都擁有大量的移動存儲設(shè)備，但是在使用便利的同時，也有可能使單位的機密資料外泄從而帶來嚴重的損失，對重要信息系統(tǒng)和關(guān)鍵信息基礎(chǔ)設(shè)施的數(shù)據(jù)安全帶來安全風(fēng)險，有的甚至可能直接威脅到國家安全，造成不可預(yù)測的后果。2023年7月1日，強制性國家標準GB42250正式實施，但GB42250是一個適用于所有網(wǎng)絡(luò)安全專用產(chǎn)品的基線標準，僅對產(chǎn)品的安全功能要求、自身安全要求等提出了基本要求，其安全功能要求無法體現(xiàn)各類網(wǎng)絡(luò)安全專用產(chǎn)品的特性。因此，其必須配合相應(yīng)類別的產(chǎn)品國標一起使用。而USB移動存儲介質(zhì)管理系統(tǒng)作為一類網(wǎng)絡(luò)安全專用產(chǎn)品，缺少與GB42250配套的國家標準，這嚴重的影響了網(wǎng)絡(luò)安全法的實施以及網(wǎng)絡(luò)安全專用產(chǎn)品的安全管理。2023年7月20日，全國網(wǎng)絡(luò)安全標準化技術(shù)委員會發(fā)布了《關(guān)于發(fā)布2023年度第二批網(wǎng)絡(luò)安全國家標準需求的通知》，USB移動存儲介質(zhì)管理系統(tǒng)的技術(shù)規(guī)范是其中一項。2.3編制目的USB移動存儲介質(zhì)管理系統(tǒng)是網(wǎng)絡(luò)安全專用系列產(chǎn)品中重要的一類，該國標適用于USB移動存儲介質(zhì)管理系統(tǒng)的設(shè)計、開發(fā)、測試與評價，其制定能夠解決：1、作為強制性國家標準GB42250的配套標準，推動網(wǎng)絡(luò)安全法的實施，支撐網(wǎng)絡(luò)安全專用產(chǎn)品的安全管理工作。2、指導(dǎo)產(chǎn)品的設(shè)計、研發(fā)、生產(chǎn)，使其能夠有效的應(yīng)用于USB移動存儲介質(zhì)的安全訪問。3、統(tǒng)一產(chǎn)品的測試評價方法，使其能夠有效應(yīng)用于產(chǎn)品的測試評價，篩選合格產(chǎn)品，也能推動測試結(jié)果的互認。2.4標準主要編制依據(jù)1、GB42250GB42250-2022《信息安全技術(shù)網(wǎng)絡(luò)安全專用產(chǎn)品安全技術(shù)要求》是網(wǎng)絡(luò)安全專用產(chǎn)品的強制性國家標準，所有網(wǎng)絡(luò)安全專用產(chǎn)品都必須符合其要求。本標準的自身安全要求和安全保障要求引用GB42250中的條款作為通用要求。2、GB/T18336GB/T18336《信息技術(shù)安全技術(shù)信息技術(shù)安全評估準則》是評估信息技術(shù)產(chǎn)品和系統(tǒng)安全性的基礎(chǔ)準則。本標準的安全保障要求主要參考GB/T18336中的相關(guān)條款。3、GA/T987-2012GA/T987-2012《信息安全技術(shù)USB移動存儲介質(zhì)管理系統(tǒng)安全技術(shù)要求》是USB移動存儲介質(zhì)管理系統(tǒng)的公安行業(yè)標準。本標準的安全功能要求參考GA/T987-2012中的相關(guān)條款。2.5編制思路1、安全功能要求一方面參考GA/T987-2012，一方面廣泛征集USB移動存儲介質(zhì)管理系統(tǒng)廠商和用戶單位意見，對新的USB移動存儲介質(zhì)管理系統(tǒng)技術(shù)實現(xiàn)、技術(shù)發(fā)展方向、用戶新需求等進行充分的調(diào)研，保證安全功能可落地實現(xiàn)，且體現(xiàn)產(chǎn)品的發(fā)展方向。2、自身安全要求以GB42250為通用基礎(chǔ)要求，在GB42250基礎(chǔ)上，結(jié)合產(chǎn)品自身特點增加其他的自身安全要求條款。3、環(huán)境適應(yīng)性要求，結(jié)合產(chǎn)品特點增加了IPv6網(wǎng)絡(luò)環(huán)境要求。4、安全保障要求主要參考GB/T18336.3—2024，主要內(nèi)容包括通用要求、設(shè)計與開發(fā)，其中通用要求應(yīng)滿足GB42250—2022中第6章規(guī)定的供應(yīng)鏈安全、設(shè)計與開發(fā)、生產(chǎn)和交付、運維服務(wù)保障、用戶信息保護等方面的要求；當(dāng)前安全保障要求的章節(jié)框架參考GB42250—2022。。5、測試評價方法廣泛征集產(chǎn)品檢測、認證機構(gòu)意見，并在征求意見過程中，對標準的進行測試驗證，保障測試方法就有可操作性。2.6標準主要內(nèi)容本文件將USB移動存儲介質(zhì)管理系統(tǒng)的安全技術(shù)要求分為安全功能要求、自身安全要求、環(huán)境適應(yīng)性要求和安全保障要求四類。其中，安全功能要求是對產(chǎn)品應(yīng)具備的安全功能提出具體要求，包括：介質(zhì)管理、終端管理、用戶管理、訪問控制、文件管理、安全審計和安全告警以及互聯(lián)互通；自身安全要求是對產(chǎn)品的自身安全保護提出具體要求，包括：通用要求、組件安全、身份標識與鑒別、管理能力、管理審計、管理方式、支撐系統(tǒng)安全；環(huán)境適應(yīng)性要求是對產(chǎn)品的應(yīng)用和管理環(huán)境提出具體要求，主要包括IPv6網(wǎng)絡(luò)環(huán)境；安全保障要求針對產(chǎn)品的研發(fā)、生產(chǎn)、交付等環(huán)節(jié)的安全保障提出具體要求，包括通用要求、設(shè)計與開發(fā)。本文件針對產(chǎn)品的安全技術(shù)要求提出對應(yīng)的測試評價方法，為使用本文件的人員提供測試評價產(chǎn)品的技術(shù)準則。USB移動存儲介質(zhì)管理系統(tǒng)是一類針對USB移動存儲介質(zhì)的訪問控制產(chǎn)品，在互聯(lián)互通功能方面，不涉及互聯(lián)互通的識別、防護、監(jiān)測、處置等任意一種功能類型；在互聯(lián)互通信息方面，USB移動存儲介質(zhì)管理系統(tǒng)僅產(chǎn)生針對USB移動存儲介質(zhì)的訪問日志和告警信息，這些信息在互聯(lián)互通中無廣泛應(yīng)用場景。因此，本標準不包含互聯(lián)互通要求。主要條款介紹1）終端管理、用戶管理是對訪問USB移動存儲介質(zhì)的用戶、終端提出限制主體訪問要求。2）介質(zhì)管理是對訪問USB移動存儲介質(zhì)的動作進行要求。3）訪問控制是用戶/終端對USB移動存儲介質(zhì)的訪問進行授權(quán)控制。同時，提出了自主訪問控制和強制訪問控制的要求。4）文件管理是對受控USB移動存儲介質(zhì)內(nèi)的文件進行惡意代碼防范，文件訪問動作的授權(quán)控制。5）安全審計是能夠?qū)SB移動存儲介質(zhì)的訪問行為、用戶鑒別事件生成審計記錄。6）組件安全是針對包含客戶單組的訪問件的產(chǎn)品提出安全要求，保證客戶端與服務(wù)端的策略要保持同步一致，防止客戶端代理被非授權(quán)卸載。7）IPv6網(wǎng)絡(luò)環(huán)境是要求產(chǎn)品能在IPv6環(huán)境中使用和管理。2.7新舊標準內(nèi)容對比制定標準，不涉及。三、主要試驗[或驗證]情況分析1、應(yīng)用實施的總體目標為：將本標準作為GB42250-2022《信息安全技術(shù)網(wǎng)絡(luò)安全專用產(chǎn)品安全技術(shù)要求》的配套標準，應(yīng)用于網(wǎng)絡(luò)安全專用產(chǎn)品的安全管理，指導(dǎo)USB移動存儲介質(zhì)管理系統(tǒng)的設(shè)計、研發(fā)、生產(chǎn)、使用及測評。2、應(yīng)用實施牽頭單位為公安部第三研究所，本標準將依托其下屬的公安部計算機信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗中心開展針對USB移動存儲介質(zhì)管理系統(tǒng)的標準驗證、宣貫培訓(xùn)、安全檢測等，最終有效推進標準應(yīng)用到該類產(chǎn)品的檢測認證、監(jiān)管等工作中。3、應(yīng)用實施方案1）、廠商試用：在標準內(nèi)容基本確定后，征求意見過程中實施，目的為保證標準條款在廠商側(cè)能夠落地，切合產(chǎn)品的應(yīng)用場景和技術(shù)發(fā)展方向，能夠指導(dǎo)其設(shè)計、研發(fā)生產(chǎn)。2）、檢測認證機構(gòu)試用：與廠商適用同步進行，保證標準的測試和評價方法在檢測認證機構(gòu)側(cè)可行，能夠應(yīng)用于產(chǎn)品測評。3）、標準宣貫：在標準發(fā)布后（一個月內(nèi)），由檢測認證機構(gòu)進行解讀標準，指導(dǎo)設(shè)計和開發(fā)，分享廠商和應(yīng)用的成功案例。4）、網(wǎng)專檢測：在標準實施后，由網(wǎng)專產(chǎn)品監(jiān)管部門推動，將標準應(yīng)用于網(wǎng)專產(chǎn)品檢測中，并定期進行監(jiān)督抽查，落實網(wǎng)專產(chǎn)品管理。5）、用戶推廣：在標準實施后六個月內(nèi)，由用戶單位安裝部署產(chǎn)品進行試用和評估，主要用于用戶側(cè)的應(yīng)用推廣。4、應(yīng)用實施情況分析目前未開展。四、知識產(chǎn)權(quán)情況說明本標準不涉及專利及知識產(chǎn)權(quán)問題。五、產(chǎn)業(yè)化情況、推廣應(yīng)用論證和預(yù)期達到的經(jīng)濟效果網(wǎng)絡(luò)安全在我國處于快速發(fā)展階段，根據(jù)統(tǒng)計，近10年通過銷售許可和網(wǎng)專檢測的USB移動存儲介質(zhì)管理系統(tǒng)達到百余款，可見產(chǎn)品的市場巨大。制定的USB移動存儲介質(zhì)管理