《信息安全技術—網路安全等級保護安全設計技術要求》(GB/T 25070-2019)是2019年12月1日實施的一項中國國家標準,歸口於全國信息安全標準化技術委員會。
《信息安全技術—網路安全等級保護安全設計技術要求》(GB/T 25070-2019)規定了網路安全等級保護第一級到第四級等級保護對象的安全設計技術要求。該標準適應於指導運營使用單位、網路安全企業、網路安全服務機構開展網路安全等級保護安全技方案的設計和實施,也可作為網路安全職能部門進行監督、檢查和指導的依據。
基本介紹
- 中文名:信息安全技術—網路安全等級保護安全設計技術要求
- 外文名:Information security technology — Technical requirements of security design for classified protection of cybersecurity
- 標準號:GB/T 25070-2019
- 中國標準分類號:L80
- 標準類別:安全
- 國際標準分類號:35.040
- 發布日期:2019-05-10
- 實施日期:2019-12-01
- 全部代替標準:GB/T 25070-2010
- 歸口單位:全國信息安全標準化技術委員會
- 執行單位:全國信息安全標準化技術委員會
- 主管部門:國家標準化管理委員會
- 性質:推薦性國家標準
- 狀態:現行
制定過程,修訂背景,編制進程,修訂依據,修訂情況,起草工作,標準目次,內容範圍,引用檔案,意義價值,
制定過程
修訂背景
《信息安全技術—信息系統等級保護安全設計技術要求》(GB/T 25070-2010)在中國推行信息安全等級保護凶束促凳制度的過程中起到了非常重要的作用,被廣她坑酷泛套用於各個行業或領域指導用戶開展信息系統安全等級保護的建設整改、等級測評等工作。但是隨著信息技術的發展,採用新技術、新套用構建的雲計算平台、移動互聯接入、物聯網、工業控制系統和大數據套用等系統的大量出現,已有10年歷史的這三項標準在時效性、易用性、可操作性上需要進一步修訂完善。同時,2017年6月1日,《網路安全法》正式實施,進一步明確了網路安全等級保護制度的法律地位,網路安全等級保護對象、保護措施要求、範圍等都發生了很大的變化,需要修訂原來的標準,以適應網路安全等級保護制度要求。
編制進程
2016年6月14日,國家標準計畫《信息安全技術—網路安全等級保護安全設計技術要求》(20160652-T-469)下達,項目周期24個月,由 TC260(全國信息安全標準化技術委員會)歸口上報及執行,主管部門為國家標準化管理委員會。全國標準信息公共服務平台顯示,該計畫已完成網上公示、起草、徵求意見、審查、批准、發布工作。
2019年5月10日,國家標準《信息安全技術—網路安全等級保護安全設計技術要求》(GB/T 25070-2019)由中華人民共和國國家市場監督管理總局、中國國家標準化管理委員會發布。
2019年12月1日,國家標準《信息安全技術—網路安全等級保護安全設計技術要求》(GB/T 25070-2019)實施,全部代替國家標準《信息安全技術—信息系統等級保護安全設計技術要求》(GB/T 25070-2010)。
修訂依據
國家標準《信息安全技術—網路安全等級保護安全設計技術要求》(GB/T 25070-2019)依據中國國家標準《標準化工作導則 第1部分:標準的結構和編寫規則》(GB/T 1.1-2009)規則起草。
修訂情況
《信息安全技術—網路安全等級保護安全設計技術要求》(GB/T 25070-2019)與《信息安全技術—信息系統等級保護安全設計技術要求》(GB/T 25070-2010)相比較,主要變化如下:
- 將標準名稱變更為《信息安全符紙樂技術—網路安全等級保護安全設計技術要求》;
- 各個級別的安全計算環境設計技術要求調整為通用安全計算環境設計技術要求、雲安全計算環境設計技術要求、移動互聯安全計算環境設計技術要求、物聯網系統安全計算環境設計技術要求和工業控制系統安全計算環境設計技術要求;
- 各個級別的安全區域邊界設計技術要求調整為通用安全區域邊界設計技術要求、雲安全區域邊界設計技術要求、移動互聯安全區域邊界設計技術要求、物聯網系統安全區域邊界設計技術要求和工業控制系統安全區域邊界設計技術要求;
- 各個級別的安全通信網路設計技術要求調整為通用安全通信網路設計技術要求、雲安全通信網路設計技術要求、移動互聯安全通信網路設計技術要求、物聯網系統安全通信網路設計技術要求和工業控制系統安全通信網路設計技術要求;
- 刪除了附錄B中的B.2“子系統間接口”雅船采殼和B.3“重要數據結構”,增加了B.4“第三級系統可信驗證實現旋翻旬機制。
起草工作
主要起草單位:公安部第一研究所、北京中軟華泰信息技術有限責任公司、中國信息通信研究院、中國銀行股份有限公司軟體中心、國家能源局信息中心、中國科學院軟體研究所、中國科學院信息工程研究所、浙江中煙工業有限責任公司、北京江南天安科技有限公司、北京航空航天大學、北京天融信網路安全技術有限公司、青島海天煒業過程控制技術股份有限公司、石化盈科信息技術有限責任公司、山東微分電子科技有線公司、北京廣利核系統工程有限公司、北京工業大學、中國電子信息產業集團有限公司第六研究所、阿里雲計算技術有限公司、公安部第三研究所、中國電力科學研究院有限公司、工業和信息化部計算機與微電子發展研究中心(中國軟體評測中心)、啟明星辰信息技術集團股份有限公司、中央電視台、華為技術有限公司、北京理工大學、北京和利時系統工程有限公司、北京力控華康科技有限公司、全享北京華大智寶電子系統有限公司、北京中電瑞鎧科技有限公司、北京神州綠盟科技有限公司。
主要起草人:蔣勇、李超、袁靜、徐曉軍、黃學臻、陳翠雲、王昱鑌、張森、林莉、徐進、龔炳錚、貢春燕、魏亮、田慧蓉、沈錫鏞、陳雪秀、朱紅松、閆兆騰、章志華、李健俊、陳衛平、琚宏偉、陳雪鴻、高崑崙、李昊、王寶會、王弢、王曉鵬、劉安正、劉利民、石寶臣、孫郁熙、郝鑫、梁猛、黃敏、張旭武、李秋香、趙勇、宮月、吳薇、劉志宇、陳彥如、盧浩、呂由、傅一帆、豐大軍、霍玉鮮、範文斌、李強、李藝、任衛紅、孫利民、段偉恆、孟雅輝、李威、顧軍、陳冠直、胡紅升、張錋、張敏、湯世平戒店燥、雷曉鋒、劉美麗、陳聰、龔亮華、方亮、鞏金亮、周峰、姜紅勇、馮堅、石秦、孫洪濤。
標準目次
| 前言 | Ⅲ |
|---|---|
| 引言 | Ⅳ |
| 1範圍 | 1 |
| 2規範性引用檔案 | 1 |
| 3術語和定義 | 1 |
| 4縮略語 | 3 |
| 5網路安全等級保護安全設計概述 | 4 |
| 6第一級系統安全保護環境設計 | 8 |
| 7第二級系統安全保護環境設計 | 11 |
| 8第三級系統安全保護環境設計 | 16 |
| 9第四級系統安全保護環境設計 | 25 |
| 10第五級系統安全保護環境設計 | 34 |
| 11定級系統互聯設計 | 34 |
| 附錄A(資料性附錄)訪問控制機制設計 | 36 |
| 附錄B(資料性附錄)第三級系統安全保護環境設計示例 | 38 |
| 附錄C(資料性附錄)大數據設計技術要 | 42 |
| 參考文獻 | 45 |
參考資料:
內容範圍
《信息安全技術—網路安全等級保護安全設計技術要求》(GB/T 25070-2019)規定了第一級到第四級等級保護對象的安全設計技術要求,每個級別的安全設計技術要求均由安全通用設計技術要求和安全擴展設計技術要求構成,安全擴展設計技術要求包括了雲計算、移動互聯、物聯網、工業控制系統等方面。第一級到第三級的安全設計技術要求均包含安全計算環境、安全區域邊界、安全通信網路、安全管理中心等四個方面。在第四級的安全設計技術要求增加了系統安全保護環境結構化設計技術要求方面。
安全計算環境設計技術要求針對等級保護對象的信息進行存儲、處理及實施安全策略的相關部件提出;安全區域邊界設計技術要求針對安全計算環境邊界及在安全計算環境與安全通信網路之間實現連線並實施安全策略的相關部件提出;安全通信網路設計技術要求針對安全計算環境之間進行信息傳輸及實施安全策略的相關部件提出;安全管理中心設計技術要求是針對等級保護對象的安全策略及安全計算環境、安全區域邊界和安全通信網路上的安全機制實施同一管理的平台提出。安全設計技術要求主要從用戶身份鑑別、訪問控制、安全審計、用戶數據完整性和保密性保護、客體安全重用、可信驗證、配置可信性檢查、入侵檢測和惡意代碼防範等方面提出要求。在附錄C中對大數據設計技術要求進行了規定。
《信息安全技術—網路安全等級保護安全設計技術要求》(GB/T 25070-2019)適應於指導運營使用單位、網路安全企業、網路安全服務機構開展網路安全等級保護安全技方案的設計和實施,也可作為網路安全職能部門進行監督、檢查和指導的依據。
註:第五級等級保護對象是督象,對其有特殊的管理模式設計技術要求,所以不在該標準描述。
引用檔案
GB 17859-1999 計算機信息系統安全保護等級劃分準則 | GB/T 22240-2008 信息安全技術信息系統安全等級保護定級指南 |
GB/T 25069-2010 信息安全技術術語 | GB/T 31167-2014 信息安全技術雲計算服務安全指南 |
GB/T 31168-2014 信息安全技術雲計算服務安全能力要求 | GB/T 32919-2016 信息安全技術工業控制系統安全控制套用指南 |
參考資料:
意義價值
《網路安全法》明確了“國家實行網路安全等級保護制度”、“關鍵信息基礎設施,在網路安全等級保護制度的基礎上,實行重點保護”等內容,為網路安全等級保護工作賦予了新的內涵。為配合《網路安全法》的實施和落地,指導網路運營者按照網路安全等級保護制度的要求,履行網路安全保護義務,重新調整和修訂等級保護系列標準意義重大。尤其是等級保護對象已經從狹義的信息系統,擴展到網路基礎設施、雲計算平台、大數據平台、物聯網、工業控制系統、採用移動互聯技術的系統等,重新調整和修訂等級保護系列標準,基於新技術和新要求提出新的技術防護體系和管理措施、安全建設設計實現方式以及等級測評方法等非常必要,可有效指導網路運營者、網路安全企業、網路安全服務機構開展網路安全等級保護安全技術方案的設計和實施,指導測評機構更加規範化和標準化的開展等級測評工作,進而全面提升網路運營者的網路安全防護能力。
起草工作
主要起草單位:公安部第一研究所、北京中軟華泰信息技術有限責任公司、中國信息通信研究院、中國銀行股份有限公司軟體中心、國家能源局信息中心、中國科學院軟體研究所、中國科學院信息工程研究所、浙江中煙工業有限責任公司、北京江南天安科技有限公司、北京航空航天大學、北京天融信網路安全技術有限公司、青島海天煒業過程控制技術股份有限公司、石化盈科信息技術有限責任公司、山東微分電子科技有線公司、北京廣利核系統工程有限公司、北京工業大學、中國電子信息產業集團有限公司第六研究所、阿里雲計算技術有限公司、公安部第三研究所、中國電力科學研究院有限公司、工業和信息化部計算機與微電子發展研究中心(中國軟體評測中心)、啟明星辰信息技術集團股份有限公司、中央電視台、華為技術有限公司、北京理工大學、北京和利時系統工程有限公司、北京力控華康科技有限公司、北京華大智寶電子系統有限公司、北京中電瑞鎧科技有限公司、北京神州綠盟科技有限公司。
主要起草人:蔣勇、李超、袁靜、徐曉軍、黃學臻、陳翠雲、王昱鑌、張森、林莉、徐進、龔炳錚、貢春燕、魏亮、田慧蓉、沈錫鏞、陳雪秀、朱紅松、閆兆騰、章志華、李健俊、陳衛平、琚宏偉、陳雪鴻、高崑崙、李昊、王寶會、王弢、王曉鵬、劉安正、劉利民、石寶臣、孫郁熙、郝鑫、梁猛、黃敏、張旭武、李秋香、趙勇、宮月、吳薇、劉志宇、陳彥如、盧浩、呂由、傅一帆、豐大軍、霍玉鮮、範文斌、李強、李藝、任衛紅、孫利民、段偉恆、孟雅輝、李威、顧軍、陳冠直、胡紅升、張錋、張敏、湯世平、雷曉鋒、劉美麗、陳聰、龔亮華、方亮、鞏金亮、周峰、姜紅勇、馮堅、石秦、孫洪濤。
標準目次
| 前言 | Ⅲ |
|---|---|
| 引言 | Ⅳ |
| 1範圍 | 1 |
| 2規範性引用檔案 | 1 |
| 3術語和定義 | 1 |
| 4縮略語 | 3 |
| 5網路安全等級保護安全設計概述 | 4 |
| 6第一級系統安全保護環境設計 | 8 |
| 7第二級系統安全保護環境設計 | 11 |
| 8第三級系統安全保護環境設計 | 16 |
| 9第四級系統安全保護環境設計 | 25 |
| 10第五級系統安全保護環境設計 | 34 |
| 11定級系統互聯設計 | 34 |
| 附錄A(資料性附錄)訪問控制機制設計 | 36 |
| 附錄B(資料性附錄)第三級系統安全保護環境設計示例 | 38 |
| 附錄C(資料性附錄)大數據設計技術要 | 42 |
| 參考文獻 | 45 |
參考資料:
內容範圍
《信息安全技術—網路安全等級保護安全設計技術要求》(GB/T 25070-2019)規定了第一級到第四級等級保護對象的安全設計技術要求,每個級別的安全設計技術要求均由安全通用設計技術要求和安全擴展設計技術要求構成,安全擴展設計技術要求包括了雲計算、移動互聯、物聯網、工業控制系統等方面。第一級到第三級的安全設計技術要求均包含安全計算環境、安全區域邊界、安全通信網路、安全管理中心等四個方面。在第四級的安全設計技術要求增加了系統安全保護環境結構化設計技術要求方面。
安全計算環境設計技術要求針對等級保護對象的信息進行存儲、處理及實施安全策略的相關部件提出;安全區域邊界設計技術要求針對安全計算環境邊界及在安全計算環境與安全通信網路之間實現連線並實施安全策略的相關部件提出;安全通信網路設計技術要求針對安全計算環境之間進行信息傳輸及實施安全策略的相關部件提出;安全管理中心設計技術要求是針對等級保護對象的安全策略及安全計算環境、安全區域邊界和安全通信網路上的安全機制實施同一管理的平台提出。安全設計技術要求主要從用戶身份鑑別、訪問控制、安全審計、用戶數據完整性和保密性保護、客體安全重用、可信驗證、配置可信性檢查、入侵檢測和惡意代碼防範等方面提出要求。在附錄C中對大數據設計技術要求進行了規定。
《信息安全技術—網路安全等級保護安全設計技術要求》(GB/T 25070-2019)適應於指導運營使用單位、網路安全企業、網路安全服務機構開展網路安全等級保護安全技方案的設計和實施,也可作為網路安全職能部門進行監督、檢查和指導的依據。
註:第五級等級保護對象是督象,對其有特殊的管理模式設計技術要求,所以不在該標準描述。
引用檔案
GB 17859-1999 計算機信息系統安全保護等級劃分準則 | GB/T 22240-2008 信息安全技術信息系統安全等級保護定級指南 |
GB/T 25069-2010 信息安全技術術語 | GB/T 31167-2014 信息安全技術雲計算服務安全指南 |
GB/T 31168-2014 信息安全技術雲計算服務安全能力要求 | GB/T 32919-2016 信息安全技術工業控制系統安全控制套用指南 |
參考資料:
意義價值
《網路安全法》明確了“國家實行網路安全等級保護制度”、“關鍵信息基礎設施,在網路安全等級保護制度的基礎上,實行重點保護”等內容,為網路安全等級保護工作賦予了新的內涵。為配合《網路安全法》的實施和落地,指導網路運營者按照網路安全等級保護制度的要求,履行網路安全保護義務,重新調整和修訂等級保護系列標準意義重大。尤其是等級保護對象已經從狹義的信息系統,擴展到網路基礎設施、雲計算平台、大數據平台、物聯網、工業控制系統、採用移動互聯技術的系統等,重新調整和修訂等級保護系列標準,基於新技術和新要求提出新的技術防護體系和管理措施、安全建設設計實現方式以及等級測評方法等非常必要,可有效指導網路運營者、網路安全企業、網路安全服務機構開展網路安全等級保護安全技術方案的設計和實施,指導測評機構更加規範化和標準化的開展等級測評工作,進而全面提升網路運營者的網路安全防護能力。
