1、ICS35.240.40L80B中华人民共和国国家标准GB/T25070一2010信息安全技术信息系统等级保护安全设计技术要求Information security technology-Technical requirements of security design forinformation system classified protection2010-09-02发布2011-02-01实施中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会发布GB/T25070-2010引言中华人民共和国计算机信息系统安全保护条例(国务院令第147号)明确规定我国“计算机信息系统实行
2、安全等级保护”。依据国务院147号令要求制定发布的强制性国家标准GB17859一1999计算机信息系统安全保护等级划分准则为计算机信息系统安全保护等级的划分奠定了技术基础。国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号)明确指出实行信息安全等级保护“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度”。关于信息安全等级保护工作的实施意见(公通字200466号)和信息安全等级保护管理办法(公通字200743号)确定了实施信息安全等级保护制度的原则、工作职责划分、实施要求和实施计划,明确了开展信息安全等级保护工作的基本
3、内容、工作流程、工作方法等。上述信息安全等级保护相关法规、政策文件、国家标准和公共安全行业标准的出台,为信息安全等级保护工作的开展提供了法律、政策、标准依据。2007年7月全国开展重要信息系统等级保护定级工作,标志着信息安全等级保护工作在我国全面展开。在开展信息安全等级保护定级和备案工作基础上,各单位、各部门正在按照信息安全等级保护有关政策规定和技术标准规范,开展信息系统安全建设和加固工作,建立、健全信息安全管理制度,落实安全保护技术措施,全面贯彻落实信息安全等级保护制度。为了配合信息系统安全建设和加固工作,特制定本标准。本标准规范了信息系统等级保护安全设计技术要求,包括第一级至第五级系统安全保护环境的安全计算环境、安全区域边界、安全通信网络和安全管理中心等方面的设计技术要求,以及定级系统互联的设计技术要求。涉及物理安全、安全管理、安全运维等方面的要求分别参见参考文献9、2、7、10们等。进行安全技术设计时,要根据信息系统定级情况,确定相应安全策路,采取相应级别的安全保护措施。在第5章至第9章中,每一级系统安全保护环境设计比较低一级系统安全保护环境设计所增加和增强的部分,用“黑体”表示。
