GB/T 25070-2010信息安全技術(shù)信息系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求

ICS3524040

L80..

中華人民共和國國家標(biāo)準(zhǔn)

GB/T25070—2010

信息安全技術(shù)

信息系統(tǒng)等級保護(hù)安全設(shè)計

技術(shù)要求

Informationsecuritytechnology—

Technicalrequirementsofsecuritydesignfor

informationsystemclassifiedprotection

2010-09-02發(fā)布2011-02-01實(shí)施

中華人民共和國國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布

中國國家標(biāo)準(zhǔn)化管理委員會

GB/T25070—2010

目次

前言…………………………

Ⅲ

引言…………………………

Ⅳ

范圍………………………

11

規(guī)范性引用文件…………………………

21

術(shù)語和定義………………

31

信息系統(tǒng)等級保護(hù)安全技術(shù)設(shè)計概述…………………

42

第一級系統(tǒng)安全保護(hù)環(huán)境設(shè)計…………

53

設(shè)計目標(biāo)………………

5.13

設(shè)計策略………………

5.23

設(shè)計技術(shù)要求…………………………

5.33

第二級系統(tǒng)安全保護(hù)環(huán)境設(shè)計…………

63

設(shè)計目標(biāo)………………

6.13

設(shè)計策略………………

6.24

設(shè)計技術(shù)要求…………………………

6.34

第三級系統(tǒng)安全保護(hù)環(huán)境設(shè)計…………

75

設(shè)計目標(biāo)………………

7.15

設(shè)計策略………………

7.25

設(shè)計技術(shù)要求…………………………

7.35

第四級系統(tǒng)安全保護(hù)環(huán)境設(shè)計…………

87

設(shè)計目標(biāo)………………

8.17

設(shè)計策略………………

8.27

設(shè)計技術(shù)要求…………………………

8.37

第五級系統(tǒng)安全保護(hù)環(huán)境設(shè)計…………

99

設(shè)計目標(biāo)………………

9.19

設(shè)計策略………………

9.210

設(shè)計技術(shù)要求…………………………

9.310

定級系統(tǒng)互聯(lián)設(shè)計……………………

1010

設(shè)計目標(biāo)……………

10.110

設(shè)計策略……………

10.210

設(shè)計技術(shù)要求………………………

10.310

附錄資料性附錄訪問控制機(jī)制設(shè)計………………

A()11

自主訪問控制機(jī)制設(shè)計……………

A.111

強(qiáng)制訪問控制機(jī)制設(shè)計……………

A.211

附錄資料性附錄第三級系統(tǒng)安全保護(hù)環(huán)境設(shè)計示例……………

B()13

功能與流程…………………………

B.113

子系統(tǒng)間接口………………………

B.215

重要數(shù)據(jù)結(jié)構(gòu)………………………

B.318

參考文獻(xiàn)……………………

24

Ⅰ

GB/T25070—2010

前言

本標(biāo)準(zhǔn)的附錄附錄是資料性附錄

A、B。

本標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)主要起草單位公安部第一研究所

:。

本標(biāo)準(zhǔn)主要起草人厲劍范紅胡志昂吉增瑞張洪斌趙勇金麗娜韓煜趙會敏張紅旗

:、、、、、、、、、、

杜學(xué)繪宮敏馬永清韓勇橋王超連一峰張海霞黃濤徐國愛金舒原田志宏姜偉劉鑫蘇智睿

、、、、、、、、、、、、、、

李理劉衛(wèi)國李娜

、、。

Ⅲ

GB/T25070—2010

引言

中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例國務(wù)院令第號明確規(guī)定我國計算機(jī)信息

《》(147)“

系統(tǒng)實(shí)行安全等級保護(hù)依據(jù)國務(wù)院號令要求制定發(fā)布的強(qiáng)制性國家標(biāo)準(zhǔn)計

”。147GB17859—1999《

算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則為計算機(jī)信息系統(tǒng)安全保護(hù)等級的劃分奠定了技術(shù)基礎(chǔ)國

》。《

家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見中辦發(fā)號明確指出實(shí)行信息安全等

》([2003]27)

級保護(hù)要重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全經(jīng)濟(jì)命脈社會穩(wěn)定等方面的重要信息系統(tǒng)抓緊建

“、、,

立信息安全等級保護(hù)制度關(guān)于信息安全等級保護(hù)工作的實(shí)施意見公通字號和信息

”?！丁?[2004]66)《

安全等級保護(hù)管理辦法公通字號確定了實(shí)施信息安全等級保護(hù)制度的原則工作職責(zé)劃

》([2007]43)、

分實(shí)施要求和實(shí)施計劃明確了開展信息安全等級保護(hù)工作的基本內(nèi)容工作流程工作方法等

、,、、。

上述信息安全等級保護(hù)相關(guān)法規(guī)政策文件國家標(biāo)準(zhǔn)和公共安全行業(yè)標(biāo)準(zhǔn)的出臺為信息安全等

、、,

級保護(hù)工作的開展提供了法律政策標(biāo)準(zhǔn)依據(jù)

、、。

年月全國開展重要信息系統(tǒng)等級保護(hù)定級工作標(biāo)志著信息安全等級保護(hù)工作在我國全面

20077,

展開在開展信息安全等級保護(hù)定級和備案工作基礎(chǔ)上各單位各部門正在按照信息安全等級保護(hù)有

。,、

關(guān)政策規(guī)定和技術(shù)標(biāo)準(zhǔn)規(guī)范開展信息系統(tǒng)安全建設(shè)和加固工作建立健全信息安全管理制度落實(shí)安

,,、,

全保護(hù)技術(shù)措施全面貫徹落實(shí)信息安全等級保護(hù)制度為了配合信息系統(tǒng)安全建設(shè)和加固工作特制

,。,

定本標(biāo)準(zhǔn)

。

本標(biāo)準(zhǔn)規(guī)范了信息系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求包括第一級至第五級系統(tǒng)安全保護(hù)環(huán)境的安

,

全計算環(huán)境安全區(qū)域邊界安全通信網(wǎng)絡(luò)和安全管理中心等方面的設(shè)計技術(shù)要求以及定級系統(tǒng)互聯(lián)

、、,

的設(shè)計技術(shù)要求涉及物理安全安全管理安全運(yùn)維等方面的要求分別參見參考文獻(xiàn)

。、、[9]、[2]、[7]、

等進(jìn)行安全技術(shù)設(shè)計時要根據(jù)信息系統(tǒng)定級情況確定相應(yīng)安全策略采取相應(yīng)級別的安全保

[10]。,,,

護(hù)措施

。

在第章至第章中每一級系統(tǒng)安全保護(hù)環(huán)境設(shè)計比較低一級系統(tǒng)安全保護(hù)環(huán)境設(shè)計所增加和

59,

增強(qiáng)的部分用黑體表示

,“”。

Ⅳ

GB/T25070—2010

信息安全技術(shù)

信息系統(tǒng)等級保護(hù)安全設(shè)計

技術(shù)要求

1范圍

本標(biāo)準(zhǔn)依據(jù)國家信息安全等級保護(hù)的要求規(guī)定了信息系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求

,。

本標(biāo)準(zhǔn)適用于指導(dǎo)信息系統(tǒng)運(yùn)營使用單位信息安全企業(yè)信息安全服務(wù)機(jī)構(gòu)開展信息系統(tǒng)等級保

、、

護(hù)安全技術(shù)方案的設(shè)計和實(shí)施也可作為信息安全職能部門進(jìn)行監(jiān)督檢查和指導(dǎo)的依據(jù)

,、。

2規(guī)范性引用文件

下列文件中的條款通過本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款凡是注日期的引用文件其隨后所有

。,

的修改單不包括勘誤的內(nèi)容或修訂版均不適用于本標(biāo)準(zhǔn)然而鼓勵根據(jù)本標(biāo)準(zhǔn)達(dá)成協(xié)議的各方研究

(),,

是否可使用這些文件的最新版本凡是不注日期的引用文件其最新版本適用于本標(biāo)準(zhǔn)

。,。

計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則

GB17859—1999

3術(shù)語和定義

確立的以及下列術(shù)語和定義適用于本標(biāo)準(zhǔn)

GB17859—1999。

31

.

定級系統(tǒng)classifiedsystem

按照參考文獻(xiàn)已確定安全保護(hù)等級的信息系統(tǒng)定級系統(tǒng)分為第一級第二級第三級第四

[11]。、、、

級和第五級信息系統(tǒng)

。

32

.

定級系統(tǒng)安全保護(hù)環(huán)境securityenvironmentofclassifiedsystem

由安全