GB/T 25070-2010信息安全技術信息系統(tǒng)等級保護安全設計技術要求

ICS3524040

L80..

中華人民共和國國家標準

GB/T25070—2010

信息安全技術

信息系統(tǒng)等級保護安全設計

技術要求

Informationsecuritytechnology—

Technicalrequirementsofsecuritydesignfor

informationsystemclassifiedprotection

2010-09-02發(fā)布2011-02-01實施

中華人民共和國國家質量監(jiān)督檢驗檢疫總局發(fā)布

中國國家標準化管理委員會

GB/T25070—2010

目次

前言…………………………

Ⅲ

引言…………………………

Ⅳ

范圍………………………

11

規(guī)范性引用文件…………………………

21

術語和定義………………

31

信息系統(tǒng)等級保護安全技術設計概述…………………

42

第一級系統(tǒng)安全保護環(huán)境設計…………

53

設計目標………………

5.13

設計策略………………

5.23

設計技術要求…………………………

5.33

第二級系統(tǒng)安全保護環(huán)境設計…………

63

設計目標………………

6.13

設計策略………………

6.24

設計技術要求…………………………

6.34

第三級系統(tǒng)安全保護環(huán)境設計…………

75

設計目標………………

7.15

設計策略………………

7.25

設計技術要求…………………………

7.35

第四級系統(tǒng)安全保護環(huán)境設計…………

87

設計目標………………

8.17

設計策略………………

8.27

設計技術要求…………………………

8.37

第五級系統(tǒng)安全保護環(huán)境設計…………

99

設計目標………………

9.19

設計策略………………

9.210

設計技術要求…………………………

9.310

定級系統(tǒng)互聯(lián)設計……………………

1010

設計目標……………

10.110

設計策略……………

10.210

設計技術要求………………………

10.310

附錄資料性附錄訪問控制機制設計………………

A()11

自主訪問控制機制設計……………

A.111

強制訪問控制機制設計……………

A.211

附錄資料性附錄第三級系統(tǒng)安全保護環(huán)境設計示例……………

B()13

功能與流程…………………………

B.113

子系統(tǒng)間接口………………………

B.215

重要數(shù)據(jù)結構………………………

B.318

參考文獻……………………

24

Ⅰ

GB/T25070—2010

前言

本標準的附錄附錄是資料性附錄

A、B。

本標準由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本標準主要起草單位公安部第一研究所

:。

本標準主要起草人厲劍范紅胡志昂吉增瑞張洪斌趙勇金麗娜韓煜趙會敏張紅旗

:、、、、、、、、、、

杜學繪宮敏馬永清韓勇橋王超連一峰張海霞黃濤徐國愛金舒原田志宏姜偉劉鑫蘇智睿

、、、、、、、、、、、、、、

李理劉衛(wèi)國李娜

、、。

Ⅲ

GB/T25070—2010

引言

中華人民共和國計算機信息系統(tǒng)安全保護條例國務院令第號明確規(guī)定我國計算機信息

《》(147)“

系統(tǒng)實行安全等級保護依據(jù)國務院號令要求制定發(fā)布的強制性國家標準計

”。147GB17859—1999《

算機信息系統(tǒng)安全保護等級劃分準則為計算機信息系統(tǒng)安全保護等級的劃分奠定了技術基礎國

》。《

家信息化領導小組關于加強信息安全保障工作的意見中辦發(fā)號明確指出實行信息安全等

》([2003]27)

級保護要重點保護基礎信息網絡和關系國家安全經濟命脈社會穩(wěn)定等方面的重要信息系統(tǒng)抓緊建

“、、,

立信息安全等級保護制度關于信息安全等級保護工作的實施意見公通字號和信息

”?！丁?[2004]66)《

安全等級保護管理辦法公通字號確定了實施信息安全等級保護制度的原則工作職責劃

》([2007]43)、

分實施要求和實施計劃明確了開展信息安全等級保護工作的基本內容工作流程工作方法等

、,、、。

上述信息安全等級保護相關法規(guī)政策文件國家標準和公共安全行業(yè)標準的出臺為信息安全等

、、,

級保護工作的開展提供了法律政策標準依據(jù)

、、。

年月全國開展重要信息系統(tǒng)等級保護定級工作標志著信息安全等級保護工作在我國全面

20077,

展開在開展信息安全等級保護定級和備案工作基礎上各單位各部門正在按照信息安全等級保護有

。,、

關政策規(guī)定和技術標準規(guī)范開展信息系統(tǒng)安全建設和加固工作建立健全信息安全管理制度落實安

,,、,

全保護技術措施全面貫徹落實信息安全等級保護制度為了配合信息系統(tǒng)安全建設和加固工作特制

,。,

定本標準

。

本標準規(guī)范了信息系統(tǒng)等級保護安全設計技術要求包括第一級至第五級系統(tǒng)安全保護環(huán)境的安

,

全計算環(huán)境安全區(qū)域邊界安全通信網絡和安全管理中心等方面的設計技術要求以及定級系統(tǒng)互聯(lián)

、、,

的設計技術要求涉及物理安全安全管理安全運維等方面的要求分別參見參考文獻

。、、[9]、[2]、[7]、

等進行安全技術設計時要根據(jù)信息系統(tǒng)定級情況確定相應安全策略采取相應級別的安全保

[10]。,,,

護措施

。

在第章至第章中每一級系統(tǒng)安全保護環(huán)境設計比較低一級系統(tǒng)安全保護環(huán)境設計所增加和

59,

增強的部分用黑體表示

,“”。

Ⅳ

GB/T25070—2010

信息安全技術

信息系統(tǒng)等級保護安全設計

技術要求

1范圍

本標準依據(jù)國家信息安全等級保護的要求規(guī)定了信息系統(tǒng)等級保護安全設計技術要求

,。

本標準適用于指導信息系統(tǒng)運營使用單位信息安全企業(yè)信息安全服務機構開展信息系統(tǒng)等級保

、、

護安全技術方案的設計和實施也可作為信息安全職能部門進行監(jiān)督檢查和指導的依據(jù)

,、。

2規(guī)范性引用文件

下列文件中的條款通過本標準的引用而成為本標準的條款凡是注日期的引用文件其隨后所有

。,

的修改單不包括勘誤的內容或修訂版均不適用于本標準然而鼓勵根據(jù)本標準達成協(xié)議的各方研究

(),,

是否可使用這些文件的最新版本凡是不注日期的引用文件其最新版本適用于本標準

。,。

計算機信息系統(tǒng)安全保護等級劃分準則

GB17859—1999

3術語和定義

確立的以及下列術語和定義適用于本標準

GB17859—1999。

31

.

定級系統(tǒng)classifiedsystem

按照參考文獻已確定安全保護等級的信息系統(tǒng)定級系統(tǒng)分為第一級第二級第三級第四

[11]。、、、

級和第五級信息系統(tǒng)

。

32

.

定級系統(tǒng)安全保護環(huán)境securityenvironmentofclassifiedsystem

由安全