信息安全技术
网络安全等级保护安全设计技术要求
GB/T 25070—2019代替 GB/T 25070—2010
Information security technology—
Technical requirements of security design for classified protection of cybersecurity
2019-05-10 发布
2019-12-01 实施
目 次
前言................................................................................. i
引言.................................................................................. iv
1范围................................................................................. 1
2规范性引用文件........................................................................ 1
3术语和定义 .......................................................................... 1
4 缩略语............................................................................... 3
5网络安全等级保护安全技术设计概述 ...................................................... 4
5.1通用等级保护安全技术设计框架....................................................... 4
5.2云计算等级保护安全技术设计框架..................................................... 4
5.3移动互联等级保护安全技术设计框架................................................... 5
5.4 物联网等级保护安全技术十十框架 ....................... , ....................... 6
5.5工业控制等级保护安全技术设计框架................................................. 7
6第一级系统安全保护环境设计 .......................................................... 8
6.1设计目标........................................................................ 8
设计策略...................................................................... 8
6.3设计技术要求.................................................................... 9
7第二级系统安全保护环境设计............................................................ 11
7.1设计目标........................................................................ 11
7.2设计策略........................................................................ 11
设计技术要求................................................................... 12
8第三级系统安全保护环境设计........................................................... 16
设计目标...................................................................... 16
8.2设计策略........................................................................ 17
8.3设计技术要求.................................................................... 17
9第四级系统安全保护环境设计........................................................... 25
设计目标...................................................................... 25
设计策略...................................................................... 25
9.3设计技术要求.................................................................... 25
10第五级系统安全保护环境设计 ......................................................... 34
11定级系统互联设计 .................................................................. 34
设计目标...................................................................... 34
设计策略...................................................................... 34
11.3设计技术要求................................................................... 35
附录A (资料性附录)访问控制机制设计................................................... 36
附录B (资料性附录)第三级系统安全保护环境设计示例 ...................................... 38
附录C (资料性附录)大数据设计技术要求 ................................................ 42
参考文献.............................................................................. 45
GB/T 25070—2010《信息安全技术信息系统等级保护安全设计技术要求》在开展网络安全等级保护工作的过程中起到了非常重要的作用,被广泛应用于指导各个行业和领域开展网络安全等级保护 建设整改等工作,但是随着信息技术的发展-GB/T 25070—2010在适用性、时效性、易用性、可操作性 上需要进一步完善。
为了配合《中华人民共和国网络安全法》的实施,同时适应云计算、移动互联、物联网、工业控制和大 数据等新技术、新应用情况下网络安全等级保护工作的开展,需对GB/T 25070—2010进行修订,修订 的思路和方法是调整原国家标准GB/T 25070-2010的内容,针对共性安全保护目标提出通用的安全设计技术要求,针对云计算、移动互联、物联网、工业控制和大数据等新技术、新应用领域的特殊安全保护目标提出特殊的安全设计技术要求。
本标准是网络安全等级保护相关系列标准之一。
与本标准相关的标准包括:
——GB/T 25058 信息安全技术 信息系统安全等级保护实施指南;
——GB/T 22240 信息安全技术 信息系统安全等级保护定级指南;
——GB/T 22239 信息安全技术 网络安全等级保护基本要求;
——GB/T 28448 信息安全技术 网络安全等级保护测评要求。
在本标准中,黑体字部分表示较低等级中没有出现或增强的要求。
更多内容可下载pdf版本