标准解读
《GB/T 25070-2010 信息安全技术 信息系统等级保护安全设计技术要求》是中国国家标准化管理委员会发布的一项国家标准,主要针对信息系统的安全保护级别划分及相应级别的安全设计提出了具体的技术要求。该标准适用于指导信息系统建设过程中的安全规划与设计工作,确保信息系统能够按照其重要性和面临的安全威胁程度得到适当的安全防护。
根据该标准,信息系统的安全保护被分为五个等级,从第一级到第五级,每个等级对应不同的安全需求和防护措施。其中,第一级为最低保护级别,适用于一般的信息系统;而第五级则为最高保护级别,适用于涉及国家安全、社会稳定等极为重要的信息系统。
对于不同级别的信息系统,标准详细规定了物理安全、网络安全、主机安全、应用安全以及数据安全等多个方面的具体技术要求。例如,在物理安全方面,包括但不限于对机房环境(如温湿度控制)、访问控制机制(如门禁系统)的要求;在网络安全部分,则涉及到防火墙配置、入侵检测/防御系统部署等内容;至于数据安全,则强调了加密存储、备份策略的重要性等方面。
此外,《GB/T 25070-2010》还特别指出了安全管理机构设置、人员安全管理、系统建设管理和系统运维管理等方面的指导原则,以确保组织能够在日常运营中有效落实各项安全措施,并能及时应对可能出现的安全事件或事故。
如需获取更多详尽信息,请直接参考下方经官方授权发布的权威标准文档。
....
查看全部
文档简介
ICS3524040
L80..
中华人民共和国国家标准
GB/T25070—2010
信息安全技术
信息系统等级保护安全设计
技术要求
Informationsecuritytechnology—
Technicalrequirementsofsecuritydesignfor
informationsystemclassifiedprotection
2010-09-02发布2011-02-01实施
中华人民共和国国家质量监督检验检疫总局发布
中国国家标准化管理委员会
GB/T25070—2010
目次
前言…………………………
Ⅲ
引言…………………………
Ⅳ
范围………………………
11
规范性引用文件…………………………
21
术语和定义………………
31
信息系统等级保护安全技术设计概述…………………
42
第一级系统安全保护环境设计…………
53
设计目标………………
5.13
设计策略………………
5.23
设计技术要求…………………………
5.33
第二级系统安全保护环境设计…………
63
设计目标………………
6.13
设计策略………………
6.24
设计技术要求…………………………
6.34
第三级系统安全保护环境设计…………
75
设计目标………………
7.15
设计策略………………
7.25
设计技术要求…………………………
7.35
第四级系统安全保护环境设计…………
87
设计目标………………
8.17
设计策略………………
8.27
设计技术要求…………………………
8.37
第五级系统安全保护环境设计…………
99
设计目标………………
9.19
设计策略………………
9.210
设计技术要求…………………………
9.310
定级系统互联设计……………………
1010
设计目标……………
10.110
设计策略……………
10.210
设计技术要求………………………
10.310
附录资料性附录访问控制机制设计………………
A()11
自主访问控制机制设计……………
A.111
强制访问控制机制设计……………
A.211
附录资料性附录第三级系统安全保护环境设计示例……………
B()13
功能与流程…………………………
B.113
子系统间接口………………………
B.215
重要数据结构………………………
B.318
参考文献……………………
24
Ⅰ
GB/T25070—2010
前言
本标准的附录附录是资料性附录
A、B。
本标准由全国信息安全标准化技术委员会提出并归口
(SAC/TC260)。
本标准主要起草单位公安部第一研究所
:。
本标准主要起草人厉剑范红胡志昂吉增瑞张洪斌赵勇金丽娜韩煜赵会敏张红旗
:、、、、、、、、、、
杜学绘宫敏马永清韩勇桥王超连一峰张海霞黄涛徐国爱金舒原田志宏姜伟刘鑫苏智睿
、、、、、、、、、、、、、、
李理刘卫国李娜
、、。
Ⅲ
GB/T25070—2010
引言
中华人民共和国计算机信息系统安全保护条例国务院令第号明确规定我国计算机信息
《》(147)“
系统实行安全等级保护依据国务院号令要求制定发布的强制性国家标准计
”。147GB17859—1999《
算机信息系统安全保护等级划分准则为计算机信息系统安全保护等级的划分奠定了技术基础国
》。《
家信息化领导小组关于加强信息安全保障工作的意见中办发号明确指出实行信息安全等
》([2003]27)
级保护要重点保护基础信息网络和关系国家安全经济命脉社会稳定等方面的重要信息系统抓紧建
“、、,
立信息安全等级保护制度关于信息安全等级保护工作的实施意见公通字号和信息
”。《》([2004]66)《
安全等级保护管理办法公通字号确定了实施信息安全等级保护制度的原则工作职责划
》([2007]43)、
分实施要求和实施计划明确了开展信息安全等级保护工作的基本内容工作流程工作方法等
、,、、。
上述信息安全等级保护相关法规政策文件国家标准和公共安全行业标准的出台为信息安全等
、、,
级保护工作的开展提供了法律政策标准依据
、、。
年月全国开展重要信息系统等级保护定级工作标志着信息安全等级保护工作在我国全面
20077,
展开在开展信息安全等级保护定级和备案工作基础上各单位各部门正在按照信息安全等级保护有
。,、
关政策规定和技术标准规范开展信息系统安全建设和加固工作建立健全信息安全管理制度落实安
,,、,
全保护技术措施全面贯彻落实信息安全等级保护制度为了配合信息系统安全建设和加固工作特制
,。,
定本标准
。
本标准规范了信息系统等级保护安全设计技术要求包括第一级至第五级系统安全保护环境的安
,
全计算环境安全区域边界安全通信网络和安全管理中心等方面的设计技术要求以及定级系统互联
、、,
的设计技术要求涉及物理安全安全管理安全运维等方面的要求分别参见参考文献
。、、[9]、[2]、[7]、
等进行安全技术设计时要根据信息系统定级情况确定相应安全策略采取相应级别的安全保
[10]。,,,
护措施
。
在第章至第章中每一级系统安全保护环境设计比较低一级系统安全保护环境设计所增加和
59,
增强的部分用黑体表示
,“”。
Ⅳ
GB/T25070—2010
信息安全技术
信息系统等级保护安全设计
技术要求
1范围
本标准依据国家信息安全等级保护的要求规定了信息系统等级保护安全设计技术要求
,。
本标准适用于指导信息系统运营使用单位信息安全企业信息安全服务机构开展信息系统等级保
、、
护安全技术方案的设计和实施也可作为信息安全职能部门进行监督检查和指导的依据
,、。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款凡是注日期的引用文件其随后所有
。,
的修改单不包括勘误的内容或修订版均不适用于本标准然而鼓励根据本标准达成协议的各方研究
(),,
是否可使用这些文件的最新版本凡是不注日期的引用文件其最新版本适用于本标准
。,。
计算机信息系统安全保护等级划分准则
GB17859—1999
3术语和定义
确立的以及下列术语和定义适用于本标准
GB17859—1999。
31
.
定级系统classifiedsystem
按照参考文献已确定安全保护等级的信息系统定级系统分为第一级第二级第三级第四
[11]。、、、
级和第五级信息系统
。
32
.
定级系统安全保护环境securityenvironmentofclassifiedsystem
由安全
温馨提示
- 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
- 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
- 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。
最新文档
- 职业核心素养心得体会
- 2024年电控多瓶采水器项目资金申请报告代可行性研究报告
- 四肢动脉手术护理制动
- 卧床病人的家庭护理
- 外科预检分诊课件
- 市场营销培训课件
- 《QC知识培训》课件
- 2022年内蒙古省公务员录用考试《行测》真题及答案解析
- 2022年公务员多省联考《申论》真题(重庆二卷)及答案解析
- 2024届河南平顶山舞钢一高高三下学期期中考试数学试题(理解析)试题
- 2023年中国人民银行直属事业单位招聘考试真题
- 2024年湖南土建中级职称-建筑工程《法律法规及技术标准》考试题库(含答案)
- 国开(浙江)2024年《个人理财》形考作业1-4答案
- 个人简历模板(5套完整版)
- 拒绝校园欺凌教育主题课件
- 文艺复兴经典名著选读智慧树知到期末考试答案章节答案2024年北京大学
- 《风电场项目经济评价规范》(NB-T 31085-2016)
- 《中医药健康知识讲座》课件
- 劳务派遣劳务外包服务方案(技术方案)
- 煤气发生炉拆除方案
- 《扣件式钢管脚手架安全技术规范》JGJ130-2023
评论
0/150
提交评论