信息安全技术网络安全等级保护安全设计技术要求

信息安全技术网络安全等级保护安全设计技术要求

1. 出台背景及目的

《信息安全技术 网络安全等级保护安全设计技术要求》（GB/T 25070-2019）（以下简称“《设计技术要求》”和/或“GB/T 25070-2019”）对网络安全等级保护级到第四级等级保护对象的安全设计技术要求进行了规定，特别针对云计算、移动互联、物联网、工业控制和大数据等新的应用场景提出了特殊的安全设计技术要求，适用于指导运营使用单位、网络安全企业、网络安全服务机构开展网络安全等级保护安全技术方案的设计和实施，也可作为网络安全职能部门进行监督、检查和指导的依据。

《设计技术要求》作为《信息安全技术 信息系统等级保护安全设计技术要求》的替代，对应用领域进行了扩展，并对云计算、移动互联、物联网、工业控制和大数据进行了专门性的规定，使不同种类、不同级别的网络安全等级保护的安全设计技术要求更加具体和规范，从而促使推荐性***更好地适应日新月异的互联网应用场景。

2. 不同等级的系统安全保护环境设计目标

《设计技术要求》针对不同等级的系统安全保护环境规定了不同程度的设计目标，具体如下：

一级：

按照GB 17859-1999对一级系统的安全保护要求，实现定级系统的自主访问控制，使系统用户对其所属客体具有自我保护的能力。

第二级：

按照GB 17859-1999对第二级系统的安全保护要求，在一级系统安全保护环境的基础上，增加系统安全审计、客体重用等安全功能，并实施以用户为基本粒度的自主访问控制，使系统具有更强的自主安全保护能力，并保障基础计算资源和应用程序可信。

第三级：

按照GB 17859-1999对第三级系统的安全保护要求，在第二级系统安全保护环境的基础上，通过实现基于安全策略模型和标记的强制访问控制以及增强系统的审计机制，使系统具有在统一安全策略管控下，保护敏感资源的能力，并保障基础计算资源和应用程序可信，确保关键执行环节可信。

第四级：

按照GB 17859-1999对第四级系统的安全保护要求，建立一个明确定义的形式化安全策略模型，将自主和强制访问控制扩展到所有主体与客体，相应增强其他安全功能强度；将系统安全保护环境结构化为关键保护元素和非关键保护元素，以使系统具有抗渗透的能力；保障基础计算资源和应用程序可信，确保所有关键执行环节可信，对所有可信验证结果进行动态关联感知。

3. 网络安全等级保护安全技术设计框架

网络安全等级保护安全技术设计包括：1）各级系统安全保护环境的设计；2）及其安全互联的设计。所谓安全保护环境，指的是“一个中心”管理下的“三重防护”系统，针对安全管理中心建立以计算环境安全为基础，以区域边界安全、通信网络安全为保障的系统安全整体体系。所谓安全互联，指的是定级系统互联，其由安全互联部件和跨定级系统安全管理中心组成。

网络安全等级保护安全技术设计框架

其中，“一个中心”、“三重防护”以及定级系统互联的定义如下：

安全管理中心

对定级系统的安全策略及安全计算环境、安全区域边界和安全通信网络上的安全机制实施统一管理的平台或区域。

安全计算环境

对定级系统的信息进行存储、处理及实施安全策略的部件。

安全区域边界

对定级系统的安全计算环境边界，以及安全计算环境与安全通信网络之间实现连接并实施安全策略的部件。

安全通信网络

对定级系统安全计算环境之间进行信息传输及实施安全策略的部件。

定级系统互联

通过安全互联部件[1]和跨定级系统安全管理中心[2]实现的相同或不同等级的定级系统安全保护环境之间的安全链接。

4. 第三级系统安全保护环境设计

本文以第三级系统为例（具体事例可参见《设计技术要求》附录B），向大家简要说明系统安全保护环境设计的要点。

首先，根据“一个中心”管理下的“三重防护”系统要求，第三级系统安全保护环境应分为四个部分，分别为：安全管理中心、安全计算环境、安全区域边界以及安全通信网络。其次，每个部分下又由一个或若干个子系统[3]组成。《设计技术要求》从安全管理流程与访问控制流程角度对子系统策略初始化流程、计算节点启动流程、计算节点访问控制流程、跨计算节点访问控制流程以及跨边界访问控制流程等主要流程做出了要求