GB/T 25070-2010信息安全技术信息系统等级保护安全设计技术要求

ICS3524040

L80..

中华人民共和国国家标准

GB/T25070—2010

信息安全技术

信息系统等级保护安全设计

技术要求

Informationsecuritytechnology—

Technicalrequirementsofsecuritydesignfor

informationsystemclassifiedprotection

2010-09-02发布2011-02-01实施

中华人民共和国国家质量监督检验检疫总局发布

中国国家标准化管理委员会

GB/T25070—2010

目次

前言…………………………

Ⅲ

引言…………………………

Ⅳ

范围………………………

11

规范性引用文件…………………………

21

术语和定义………………

31

信息系统等级保护安全技术设计概述…………………

42

第一级系统安全保护环境设计…………

53

设计目标………………

5.13

设计策略………………

5.23

设计技术要求…………………………

5.33

第二级系统安全保护环境设计…………

63

设计目标………………

6.13

设计策略………………

6.24

设计技术要求…………………………

6.34

第三级系统安全保护环境设计…………

75

设计目标………………

7.15

设计策略………………

7.25

设计技术要求…………………………

7.35

第四级系统安全保护环境设计…………

87

设计目标………………

8.17

设计策略………………

8.27

设计技术要求…………………………

8.37

第五级系统安全保护环境设计…………

99

设计目标………………

9.19

设计策略………………

9.210

设计技术要求…………………………

9.310

定级系统互联设计……………………

1010

设计目标……………

10.110

设计策略……………

10.210

设计技术要求………………………

10.310

附录资料性附录访问控制机制设计………………

A()11

自主访问控制机制设计……………

A.111

强制访问控制机制设计……………

A.211

附录资料性附录第三级系统安全保护环境设计示例……………

B()13

功能与流程…………………………

B.113

子系统间接口………………………

B.215

重要数据结构………………………

B.318

参考文献……………………

24

Ⅰ

GB/T25070—2010

前言

本标准的附录附录是资料性附录

A、B。

本标准由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本标准主要起草单位公安部第一研究所

:。

本标准主要起草人厉剑范红胡志昂吉增瑞张洪斌赵勇金丽娜韩煜赵会敏张红旗

:、、、、、、、、、、

杜学绘宫敏马永清韩勇桥王超连一峰张海霞黄涛徐国爱金舒原田志宏姜伟刘鑫苏智睿

、、、、、、、、、、、、、、

李理刘卫国李娜

、、。

Ⅲ

GB/T25070—2010

引言

中华人民共和国计算机信息系统安全保护条例国务院令第号明确规定我国计算机信息

《》(147)“

系统实行安全等级保护依据国务院号令要求制定发布的强制性国家标准计

”。147GB17859—1999《

算机信息系统安全保护等级划分准则为计算机信息系统安全保护等级的划分奠定了技术基础国

》。《

家信息化领导小组关于加强信息安全保障工作的意见中办发号明确指出实行信息安全等

》([2003]27)

级保护要重点保护基础信息网络和关系国家安全经济命脉社会稳定等方面的重要信息系统抓紧建

“、、,

立信息安全等级保护制度关于信息安全等级保护工作的实施意见公通字号和信息

”。《》([2004]66)《

安全等级保护管理办法公通字号确定了实施信息安全等级保护制度的原则工作职责划

》([2007]43)、

分实施要求和实施计划明确了开展信息安全等级保护工作的基本内容工作流程工作方法等

、,、、。

上述信息安全等级保护相关法规政策文件国家标准和公共安全行业标准的出台为信息安全等

、、,

级保护工作的开展提供了法律政策标准依据

、、。

年月全国开展重要信息系统等级保护定级工作标志着信息安全等级保护工作在我国全面

20077,

展开在开展信息安全等级保护定级和备案工作基础上各单位各部门正在按照信息安全等级保护有

。,、

关政策规定和技术标准规范开展信息系统安全建设和加固工作建立健全信息安全管理制度落实安

,,、,

全保护技术措施全面贯彻落实信息安全等级保护制度为了配合信息系统安全建设和加固工作特制

,。,

定本标准

。

本标准规范了信息系统等级保护安全设计技术要求包括第一级至第五级系统安全保护环境的安

,

全计算环境安全区域边界安全通信网络和安全管理中心等方面的设计技术要求以及定级系统互联

、、,

的设计技术要求涉及物理安全安全管理安全运维等方面的要求分别参见参考文献

。、、[9]、[2]、[7]、

等进行安全技术设计时要根据信息系统定级情况确定相应安全策略采取相应级别的安全保

[10]。,,,

护措施

。

在第章至第章中每一级系统安全保护环境设计比较低一级系统安全保护环境设计所增加和

59,

增强的部分用黑体表示

,“”。

Ⅳ

GB/T25070—2010

信息安全技术

信息系统等级保护安全设计

技术要求

1范围

本标准依据国家信息安全等级保护的要求规定了信息系统等级保护安全设计技术要求

,。

本标准适用于指导信息系统运营使用单位信息安全企业信息安全服务机构开展信息系统等级保

、、

护安全技术方案的设计和实施也可作为信息安全职能部门进行监督检查和指导的依据

,、。

2规范性引用文件

下列文件中的条款通过本标准的引用而成为本标准的条款凡是注日期的引用文件其随后所有

。,

的修改单不包括勘误的内容或修订版均不适用于本标准然而鼓励根据本标准达成协议的各方研究

(),,

是否可使用这些文件的最新版本凡是不注日期的引用文件其最新版本适用于本标准

。,。

计算机信息系统安全保护等级划分准则

GB17859—1999

3术语和定义

确立的以及下列术语和定义适用于本标准

GB17859—1999。

31

.

定级系统classifiedsystem

按照参考文献已确定安全保护等级的信息系统定级系统分为第一级第二级第三级第四

[11]。、、、

级和第五级信息系统

。

32

.

定级系统安全保护环境securityenvironmentofclassifiedsystem

由安全