ICS3524040

L80..

中華人民共和國國家標準

GB/T25070—2010

信息安全技術(shù)

信息系統(tǒng)等級保護安全設(shè)計

技術(shù)要求

Informationsecuritytechnology—

Technicalrequirementsofsecuritydesignfor

informationsystemclassifiedprotection

2010-09-02發(fā)布2011-02-01實施

中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局發(fā)布

中國國家標準化管理委員會

GB/T25070—2010

目次

前言…………………………

Ⅲ

引言…………………………

Ⅳ

范圍………………………

11

規(guī)范性引用文件…………………………

21

術(shù)語和定義………………

31

信息系統(tǒng)等級保護安全技術(shù)設(shè)計概述…………………

42

第一級系統(tǒng)安全保護環(huán)境設(shè)計…………

53

設(shè)計目標………………

5.13

設(shè)計策略………………

5.23

設(shè)計技術(shù)要求…………………………

5.33

第二級系統(tǒng)安全保護環(huán)境設(shè)計…………

63

設(shè)計目標………………

6.13

設(shè)計策略………………

6.24

設(shè)計技術(shù)要求…………………………

6.34

第三級系統(tǒng)安全保護環(huán)境設(shè)計…………

75

設(shè)計目標………………

7.15

設(shè)計策略………………

7.25

設(shè)計技術(shù)要求…………………………

7.35

第四級系統(tǒng)安全保護環(huán)境設(shè)計…………

87

設(shè)計目標………………

8.17

設(shè)計策略………………

8.27

設(shè)計技術(shù)要求…………………………

8.37

第五級系統(tǒng)安全保護環(huán)境設(shè)計…………

99

設(shè)計目標………………

9.19

設(shè)計策略………………

9.210

設(shè)計技術(shù)要求…………………………

9.310

定級系統(tǒng)互聯(lián)設(shè)計……………………

1010

設(shè)計目標……………

10.110

設(shè)計策略……………

10.210

設(shè)計技術(shù)要求………………………

10.310

附錄資料性附錄訪問控制機制設(shè)計………………

A()11

自主訪問控制機制設(shè)計……………

A.111

強制訪問控制機制設(shè)計……………

A.211

附錄資料性附錄第三級系統(tǒng)安全保護環(huán)境設(shè)計示例……………

B()13

功能與流程…………………………

B.113

子系統(tǒng)間接口………………………

B.215

重要數(shù)據(jù)結(jié)構(gòu)………………………

B.318

參考文獻……………………

24

Ⅰ

GB/T25070—2010

前言

本標準的附錄附錄是資料性附錄

A、B。

本標準由全國信息安全標準化技術(shù)委員會提出并歸口

(SAC/TC260)。

本標準主要起草單位公安部第一研究所

:。

本標準主要起草人厲劍范紅胡志昂吉增瑞張洪斌趙勇金麗娜韓煜趙會敏張紅旗

:、、、、、、、、、、

杜學繪宮敏馬永清韓勇橋王超連一峰張海霞黃濤徐國愛金舒原田志宏姜偉劉鑫蘇智睿

、、、、、、、、、、、、、、

李理劉衛(wèi)國李娜

、、。

Ⅲ

GB/T25070—2010

引言

中華人民共和國計算機信息系統(tǒng)安全保護條例國務(wù)院令第號明確規(guī)定我國計算機信息

《》(147)“

系統(tǒng)實行安全等級保護依據(jù)國務(wù)院號令要求制定發(fā)布的強制性國家標準計

”。147GB17859—1999《

算機信息系統(tǒng)安全保護等級劃分準則為計算機信息系統(tǒng)安全保護等級的劃分奠定了技術(shù)基礎(chǔ)國

》?！?/p>

家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見中辦發(fā)號明確指出實行信息安全等

》([2003]27)

級保護要重點保護基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全經(jīng)濟命脈社會穩(wěn)定等方面的重要信息系統(tǒng)抓緊建

“、、,

立信息安全等級保護制度關(guān)于信息安全等級保護工作的實施意見公通字號和信息

”?！丁?[2004]66)《

安全等級保護管理辦法公通字號確定了實施信息安全等級保護制度的原則工作職責劃

》([2007]43)、

分實施要求和實施計劃明確了開展信息安全等級保護工作的基本內(nèi)容工作流程工作方法等

、,、、。

上述信息安全等級保護相關(guān)法規(guī)政策文件國家標準和公共安全行業(yè)標準的出臺為信息安全等

、、,

級保護工作的開展提供了法律政策標準依據(jù)

、、。

年月全國開展重要信息系統(tǒng)等級保護定級工作標志著信息安全等級保護工作在我國全面

20077,

展開在開展信息安全等級保護定級和備案工作基礎(chǔ)上各單位各部門正在按照信息安全等級保護有

。,、

關(guān)政策規(guī)定和技術(shù)標準規(guī)范開展信息系統(tǒng)安全建設(shè)和加固工作建立健全信息安全管理制度落實安

,,、,

全保護技術(shù)措施全面貫徹落實信息安全等級保護制度為了配合信息系統(tǒng)安全建設(shè)和加固工作特制

,。,

定本標準

。

本標準規(guī)范了信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求包括第一級至第五級系統(tǒng)安全保護環(huán)境的安

,

全計算環(huán)境安全區(qū)域邊界安全通信網(wǎng)絡(luò)和安全管理中心等方面的設(shè)計技術(shù)要求以及定級系統(tǒng)互聯(lián)

、、,

的設(shè)計技術(shù)要求涉及物理安全安全管理安全運維等方面的要求分別參見參考文獻

。、、[9]、[2]、[7]、

等進行安全技術(shù)設(shè)計時要根據(jù)信息系統(tǒng)定級情況確定相應(yīng)安全策略采取相應(yīng)級別的安全保

[10]。,,,

護措施

。

在第章至第章中每一級系統(tǒng)安全保護環(huán)境設(shè)計比較低一級系統(tǒng)安全保護環(huán)境設(shè)計所增加和

59,

增強的部分用黑體表示

,“”。

Ⅳ

GB/T25070—2010

信息安全技術(shù)

信息系統(tǒng)等級保護安全設(shè)計

技術(shù)要求

1范圍

本標準依據(jù)國家信息安全等級保護的要求規(guī)定了信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求

,。

本標準適用于指導(dǎo)信息系統(tǒng)運營使用單位信息安全企業(yè)信息安全服務(wù)機構(gòu)開展信息系統(tǒng)等級保

、、

護安全技術(shù)方案的設(shè)計和實施也可作為信息安全職能部門進行監(jiān)督檢查和指導(dǎo)的依據(jù)

,、。

2規(guī)范性引用文件

下列文件中的條款通過本標準的引用而成為本標準的條款凡是注日期的引用文件其隨后所有

。,

的修改單不包括勘誤的內(nèi)容或修訂版均不適用于本標準然而鼓勵根據(jù)本標準達成協(xié)議的各方研究

(),,

是否可使用這些文件的最新版本凡是不注日期的引用文件其最新版本適用于本標準

。,。

計算機信息系統(tǒng)安全保護等級劃分準則

GB17859—1999

3術(shù)語和定義

確立的以及下列術(shù)語和定義適用于本標準

GB17859—1999。

31

.

定級系統(tǒng)classifiedsystem

按照參考文獻已確定安全保護等級的信息系統(tǒng)定級系統(tǒng)分為第一級第二級第三級第四

[11]。、、、

級和第五級信息系統(tǒng)

。

32

.

定級系統(tǒng)安全保護環(huán)境securityenvironmentofclassifiedsystem

由安全