ICS35040

L80.

中華人民共和國國家標準

GB/T25070—2019

代替

GB/T25070—2010

信息安全技術

網絡安全等級保護安全設計技術要求

Informationsecuritytechnology—

Technicalrequirementsofsecuritydesignforclassifiedprotectionofcybersecurity

2019-05-10發布2019-12-01實施

國家市場監督管理總局發布

中國國家標準化管理委員會

GB/T25070—2019

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規范性引用文件

2…………………………1

術語和定義

3………………1

縮略語

4……………………3

網絡安全等級保護安全技術設計概述

5…………………4

通用等級保護安全技術設計框架

5.1…………………4

云計算等級保護安全技術設計框架

5.2………………4

移動互聯等級保護安全技術設計框架

5.3……………5

物聯網等級保護安全技術設計框架

5.4………………6

工業控制等級保護安全技術設計框架

5.5……………7

第一級系統安全保護環境設計

6…………8

設計目標

6.1……………8

設計策略

6.2……………8

設計技術要求

6.3………………………9

第二級系統安全保護環境設計

7…………11

設計目標

7.1……………11

設計策略

7.2……………11

設計技術要求

7.3………………………12

第三級系統安全保護環境設計

8…………16

設計目標

8.1……………16

設計策略

8.2……………17

設計技術要求

8.3………………………17

第四級系統安全保護環境設計

9…………25

設計目標

9.1……………25

設計策略

9.2……………25

設計技術要求

9.3………………………25

第五級系統安全保護環境設計

10………………………34

定級系統互聯設計

11……………………34

設計目標

11.1…………………………34

設計策略

11.2…………………………34

設計技術要求

11.3……………………35

附錄資料性附錄訪問控制機制設計

A()………………36

Ⅰ

GB/T25070—2019

附錄資料性附錄第三級系統安全保護環境設計示例

B()……………38

附錄資料性附錄大數據設計技術要求

C()……………42

參考文獻

……………………45

Ⅱ

GB/T25070—2019

前言

本標準按照給出的規則起草

GB/T1.1—2009。

本標準代替信息安全技術信息系統等級保護安全設計技術要求與

GB/T25070—2010《》,

相比主要變化如下

GB/T25070—2010,:

將標準名稱變更為信息安全技術網絡安全等級保護安全設計技術要求

———《》;

各個級別的安全計算環境設計技術要求調整為通用安全計算環境設計技術要求云安全計算

———、

環境設計技術要求移動互聯安全計算環境設計技術要求物聯網系統安全計算環境設計技術

、、

要求和工業控制系統安全計算環境設計技術要求

;

各個級別的安全區域邊界設計技術要求調整為通用安全區域邊界設計技術要求云安全區域

———、

邊界設計技術要求移動互聯安全區域邊界設計技術要求物聯網系統安全區域邊界設計技術

、、

要求和工業控制系統安全區域邊界設計技術要求

;

各個級別的安全通信網絡設計技術要求調整為通用安全通信網絡設計技術要求云安全通信

———、

網絡設計技術要求移動互聯安全通信網絡設計技術要求物聯網系統安全通信網絡設計技術

、、

要求和工業控制系統安全通信網絡設計技術要求

;

刪除了附錄中的子系統間接口和重要數據結構增加了第三級系統可信驗

———BB.2“”B.3“”,B.4“

證實現機制

”。

請注意本文件的某些內容可能涉及專利本文件的發布機構不承擔識別這些專利的責任

。。

本標準由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本標準起草單位公安部第一研究所北京工業大學北京中軟華泰信息技術有限責任公司中國電

:、、、

子信息產業集團有限公司第六研究所中國信息通信研究院阿里云計算技術有限公司中國銀行股份

、、、

有限公司軟件中心公安部第三研究所國家能源局信息中心中國電力科學研究院有限公司中國科學

、、、、

院軟件研究所工業和信息化部計算機與微電子發展研究中心中國軟件評測中心中國科學院信息工

、()、

程研究所啟明星辰信息技術集團股份有限公司浙江中煙工業有限責任公司中央電視臺北京江南天

、、、、

安科技有限公司華為技術有限公司北京航空航天大學北京理工大學北京天融信網絡安全技術有限

、、、、

公司北京和利時系統工程有限公司青島海天煒業過程控制技術股份有限公司北京力控華康科技有

、、、

限公司石化盈科信息技術有限責任公司北京華大智寶電子系統有限公司山東微分電子科技有限公

、、、

司北京中電瑞鎧科技有限公司北京廣利核系統工程有限公司北京神州綠盟科技有限公司

、、、。

本標準主要起草人蔣勇李超李秋香趙勇袁靜徐曉軍宮月吳薇黃學臻陳翠云劉志宇

:、、、、、、、、、、、

陳彥如王昱鑌張森盧浩呂由林莉徐進傅一帆豐大軍龔炳錚貢春燕霍玉鮮范文斌魏亮

、、、、、、、、、、、、、、

田慧蓉李強李藝沈錫鏞陳雪秀任衛紅孫利民朱紅松閻兆騰段偉恒孟雅輝章志華李健俊

、、、、、、、、、、、、、

李威顧軍陳衛平琚宏偉陳冠直胡紅升陳雪鴻高昆侖張钅朋張敏李昊王寶會湯世平雷曉鋒

、、、、、、、、、、、、、、

王弢王曉鵬劉美麗陳聰劉安正劉利民龔亮華方亮石寶臣孫郁熙鞏金亮周峰郝鑫梁猛

、、、、、、、、、、、、、、

姜紅勇馮堅黃敏張旭武石秦孫洪濤

、、、、、。

本標準所代替標準的歷次版本發布情況為

:

———GB/T25070—2010。

Ⅲ

GB/T25070—2019

引言

信息安全技術信息系統等級保護安全設計技術要求在開展網絡安全等級

GB/T25070—2010《》

保護工作的過程中起到了非常重要的作用被廣泛應用于指導各個行業和領域開展網絡安全等級保護

,

建設整改等工作但是隨著信息技術的發展在適用性時效性易用性可操作性

,,GB/T25070—2010、、、

上需要進一步完善

。

為了配合中華人民共和國網絡安全法的實施同時適應云計算移動互聯物聯網工業控制和大

《》,、、、

數據等新技術新應用情況下網絡安全等級保護工作的開展需對進行修訂修訂

、,GB/T25070—2010,

的思路和方法是調整原國家標準的內容針對共性安全保護目標提出通用的安全

GB/T25070—2010,

設計技術要求針對云計算移動互聯物聯網工業控制和大數據等新技術新應用領域的特殊安全保

,、、、、

護目標提出特殊的安全設計技術要求

。

本標準是網絡安全等級保護相關系列標準之一

。

與本標準相關的標準包括

:

信息安全技術信息系統安全等級保護實施指南

———GB/T25058;

信息安全技術信息系統安全等級保護定級指南

———GB/T22240;

信息安全技術網絡安全等級保護基本要求

———GB/T22239;

信息安全技術網絡安全等級保護測評要求

———GB/T28448。

在本標準中黑體字部分表示較低等級中沒有出現或增強的要求

,。

Ⅳ

GB/T25070—2019

信息安全技術

網絡安全等級保護安全設計技術要求

1范圍

本標準規定了網絡安全等級保護第一級到第四級等級保護對象的安全設計技術要求

。

本標準適用于指導運營使用單位網絡安全企業網絡安全服務機構開展網絡安全等級保護安全技

、、

術方案的設計和實施也可作為網絡安全職能部門進行監督檢查和指導的依據

,、。

注第五級等級保護對象是非常重要的監督管理對象對其有特殊的管理模式和安全設計技術要求所以不在本標

:,,

準中進行描述

。

2規范性引用文件

下列文件對于本文件的應用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

計算機信息系統安全保護等級劃分準則

GB17859—1999

信息安全技術信息系統安全等級保護定級指南

GB/T22240—2008

信息安全技術術語

GB/T25069—2010

信息安全技術云計算服務安全指南

GB/T31167—2014