信息安全技術 網絡安全等級保護安全設計技術要求-編制說明_第1頁
信息安全技術 網絡安全等級保護安全設計技術要求-編制說明_第2頁
信息安全技術 網絡安全等級保護安全設計技術要求-編制說明_第3頁
信息安全技術 網絡安全等級保護安全設計技術要求-編制說明_第4頁
信息安全技術 網絡安全等級保護安全設計技術要求-編制說明_第5頁
已閱讀5頁,還剩3頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

工作簡況任務來源《信息安全技術信息系統(tǒng)等級保護安全設計技術要求第1部分:通用設計要求》是國家標準化管理委員會2014年下達的信息安全國家標準制定項目,國標計劃號為:GB/T25070.1-2010,由公安部第一研究所承擔,參與單位包括北京工業(yè)大學、北京中軟華泰信息技術有限責任公司、中國電子信息產業(yè)集團有限公司第六研究所、工業(yè)和信息化部電信研究院、阿里云計算技術有限公司、公安部第三研究所、中國信息安全測評中心、國家信息技術安全研究中心、浙江中煙工業(yè)有限責任公司、中央電視臺、北京江南天安科技有限公司、華為技術有限公司、浪潮電子信息產業(yè)股份有限公司、浪潮集團、北京啟明星辰信息安全技術有限公司。主要工作過程1)準備階段2014年3月,在公安部11局的統(tǒng)一領導下,公安部第一研究所同協(xié)作單位共同成立標準編寫項目組。2)調研階段標準起草組成立以后,項目組收集了大量國內外相關標準,進行了研討,對信息安全的模型、威脅和脆弱性進行了充分討論。同時項目組參考了國內等級保護相關標準,為了真實了解行業(yè)內的安全要求,項目組也對行業(yè)內的企事業(yè)單位進行了調研。3)編寫階段2014年4月,標準起草組組織了多次內部研討會議,邀請了來自國內相關領域著名的專家、學者開展交流與研討,確定了標準的總體技術框架、核心內容。標準起草組按照分工,對標準各部分進行了編寫,形成了《信息安全技術信息系統(tǒng)等級保護安全設計技術要求第1部分:通用設計要求》(草案)。4)首次征求專家意見2014年4月,公安部11局組織業(yè)內專家對標準初稿進行了研討,專家對標準范圍、內容、格式等進行了詳細討論,提出了很多寶貴意見。項目組根據(jù)專家意見,對標準進行了修改。5)第二次征求專家意見2014年9、10月,公安部11局組織業(yè)內專家對標準初稿再次進行了研討,專家再次對標準范圍、內容、格式等進行了詳細討論,提出了寶貴意見。同時專家認為標準達到了項目申報要求。項目組根據(jù)專家意見修改后,提交安標委。6)系列標準統(tǒng)一修訂階段2015年4月,公安部一所組織等級保護設計要求系列標準起草組進行統(tǒng)一研討,會上針對系列標準,制訂了統(tǒng)一模板,對標準進行了修訂。7)2016年10月,由全國信息安全標準化技術委員會組織的標準周上,成員單位對系類標準進行了評審,按照會議意見標準更名為《信息安全技術網絡安全等級保護安全設計技術要求第1部分:通用設計要求》。編制原則和主要內容2.1編制原則本標準的研究與編制工作遵循以下原則:1)科學性與實用性相結合的原則科學性是標準化的最基本原則,規(guī)范的科學性直接關系到該體系能否對信息系統(tǒng)安全起到積極、穩(wěn)定和長久的正面作用。實用性表明標準體系是否與實際情況相符合,是標準化研究中最重要的基本原則??茖W性與實用性相結合就是理論與實踐相結合在標準體系研究中的具體體現(xiàn)。2)先進性與開放性相結合的原則在執(zhí)行本標準研制項目時,要積極引入先進的管理理念和前沿技術,充分考慮到信息系統(tǒng)未來發(fā)展的方向和特點。但同時也要考慮到目前的需求和技術水平,使規(guī)范能夠根據(jù)科學技術以及需求的變化而不斷進行擴充和完善。3)安全性和可用性相結合的原則本規(guī)范用來指導和規(guī)范信息系統(tǒng)等級保護安全設計,是安全范疇的規(guī)范。但是規(guī)范在起草過程中不能一味地追求絕對安全,而應根據(jù)當信息系統(tǒng)的實際情況,構建保證信息系統(tǒng)可用性和實用性基礎上的適度安全體系。2.2主要內容本項目主要包括以下內容:1、等級保護設計概述(1)等級保護安全技術設計框架要求信息系統(tǒng)等級保護安全技術設計包括各級系統(tǒng)安全保護環(huán)境的設計及其安全互聯(lián)的設計,如圖1所示。各級系統(tǒng)安全保護環(huán)境由相應級別的安全計算環(huán)境、安全區(qū)域邊界、安全通信網絡和(或)安全管理中心組成。定級系統(tǒng)互聯(lián)由安全互聯(lián)部件和跨定級系統(tǒng)安全管理中心組成。圖1信息系統(tǒng)等級保護安全技術設計框架在對定級系統(tǒng)進行等級保護安全保護環(huán)境設計時,可以結合系統(tǒng)自身業(yè)務需求,將定級系統(tǒng)進一步細化成不同的子系統(tǒng),然后在風險評估的基礎上,確定每個子系統(tǒng)的等級,進而依據(jù)下面章節(jié)內容,對子系統(tǒng)進行安全保護環(huán)境的設計。(2)等級保護安全技術設計過程要求信息系統(tǒng)等級保護安全技術設計應遵循如下過程:圖2等級保護安全設計過程要求1)梳理業(yè)務流程:通過業(yè)務流程的梳理,了解系統(tǒng)的現(xiàn)狀、特點及特殊安全需求,為后續(xù)量身定制安全設計方案奠定基礎;2)風險評估:基于業(yè)務流程對定級系統(tǒng)進行風險評估,識別資產、威脅和脆弱性,對風險進行評價,結合等級保護相應標準,提出定級系統(tǒng)的安全防護需求;3)梳理主、客體及其權限:梳理定級系統(tǒng)涉及到的主體、客體,以及明確主體對客體的最小訪問權限;4)分層分域設計:依據(jù)本標準提出的等級保護安全技術設計框架,進行區(qū)域劃分,明確計算環(huán)境、區(qū)域邊界、通信網絡以及安全管理中心的位置;5)分析關鍵保護點:從操作系統(tǒng)、數(shù)據(jù)庫、應用系統(tǒng)、網絡等層面分析定級系統(tǒng)安全保護環(huán)境的關鍵保護點,為安全機制及策略的設計奠定基礎;6)安全機制及策略設計:依據(jù)本標準提出的安全保護環(huán)境設計要求,在關鍵保護點上進行安全機制及策略的設計。2、信息系統(tǒng)等級保護設計體系1)計算環(huán)境安全設計主要包括信息系統(tǒng)計算環(huán)境的安全。本項目從以下方面進行安全設計:a)用戶身份鑒別b)自主訪問控制c)標記和強制訪問控制d)安全審計e)數(shù)據(jù)完整性和完整性保護f)程序可信執(zhí)行g)客體重用安全h)程序可信執(zhí)行保護i)網絡可信連接保護j)配置可信檢查2)區(qū)域邊界安全設計主要包括應用區(qū)域邊界安全、內網移動終端接入?yún)^(qū)區(qū)域邊界安全。本項目從以下方面進行安全設計:a)區(qū)域邊界訪問控制b)區(qū)域邊界入侵防范c)區(qū)域邊界安全設計d)區(qū)域邊界完整性保護3)通信網絡安全設計本項目從以下方面進行安全設計:a)通信網絡數(shù)據(jù)傳輸保密性保護b)通信網絡數(shù)據(jù)傳輸完整性保護針對每一項要求,分別提出了總體要求、實現(xiàn)方法、技術要求。總體要求對每一項要求的總體要求;實現(xiàn)方法提供了實現(xiàn)功能模塊總體要求的一種方法;技術要求是在實現(xiàn)每一項要求基礎上的細化技術要求。此外,安全管理中心通過統(tǒng)一的安全策略,負責對計算環(huán)境、區(qū)域邊界、通信網絡進行統(tǒng)一的安全管控。3、分等級的安全設計技術要求根據(jù)不同移動應用的重要程度,本項目將按照以下等級,分等級給出移動互聯(lián)系統(tǒng)的安全設計技術要求。第一級系統(tǒng)安全保護環(huán)境設計第二級系統(tǒng)安全保護環(huán)境設計第三級系統(tǒng)安全保護環(huán)境設計第四級系統(tǒng)安全保護環(huán)境設計主要試驗(或驗證)的分析、綜述報告,技術經濟論證,預期的經濟效果本標準是在深入研究國外相關標準的基礎上,充分調研國內系統(tǒng)應用,廣泛聽取了專家意見和建議的基礎上形成的。本標準編制期間調研和分析了國內系統(tǒng)應用和安全現(xiàn)狀,研究和分析了國外系統(tǒng)安全體系相關文件和標準,吸收國外先進的體系建設思路,針對國內系統(tǒng)應用和安全現(xiàn)狀編制形成的。本標準的編制具有極高的社會效益:(1)規(guī)范和指導安全廠商,提升針對系統(tǒng)安全保障方案的安全性通過本標準,能夠對安全廠商在進行方案設計時起到有效的指導作用,規(guī)范其方案設計的合理性及合規(guī)性,從而提升整個方案的安全保障能力。(2)提升信息安全產品提供商對自身系統(tǒng)安全性的認知及評價能力本標準作為系統(tǒng)安全設計的藍本,能夠幫助信息安全產品提供商了解系統(tǒng)安全方面的不足,加深對系統(tǒng)安全的理解,提升信息安全產品提供商對自身系統(tǒng)安全性的評價能力。(3)指導安全集成商對安全產品的選型通過本標準中的設計示例及產品示例,能夠指導安全集成商對安全產品的選型,規(guī)范選型標準,保證產品功能、性能等的合規(guī)性,從而提升整個信息系統(tǒng)的安全防護能力。(4)是國家信息安全的重要保障制定統(tǒng)一的信息系統(tǒng)下的等級保護標準,建立整體安全防護體系及框架,能夠有效應對針對信息系統(tǒng)環(huán)境的信息安全威脅,保護國家信息系統(tǒng)不被非法攻擊,保障重要信息系統(tǒng)的正常運行,從而確保國家關鍵基礎設施免遭破壞。采用國際標準和國外先進標準的程度,以及與國際、國外同類標準水平的對比情況,或與測試的國外樣品、樣機的有關數(shù)據(jù)對比情況本標準為自主制定,沒有采用國際標準和國外先進標準。與有關的現(xiàn)行法律、法規(guī)和強制性國家標準的關系沒有與有關的現(xiàn)行法律、法規(guī)和強制性標準發(fā)生相互聯(lián)系,與有關的現(xiàn)行法律、法規(guī)和強制性標準是協(xié)調一致的。重大分歧意見的處理經過和依據(jù)詳見標準專家意見匯總表。國家標準作為強制性國家標準或推薦性國家標準的建議建議本標準作為推薦性國家標準發(fā)布實施。貫徹國家標準的要求和措施建議(包括組織措施、技術措施、過渡辦法等內容)本標準作為等級保護相關標準體系的一部分,配合實施。其他事項說明本標準不涉及專利。國家標準《信息安全技術網絡安全等級保護安全設計技術要求第1部分:通用設計要求》(征求意見稿)編制說明國家標準《信息安全技術網絡安全等級

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網僅提供信息存儲空間,僅對用戶上傳內容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論