GB-T 25070-2019 信息安全技术 网络安全等级保护安全设计技术要求.pdf

《GB-T 25070-2019 信息安全技术 网络安全等级保护安全设计技术要求.pdf》由会员分享，可在线阅读，更多相关《GB-T 25070-2019 信息安全技术 网络安全等级保护安全设计技术要求.pdf（52页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、I C S3 5.0 4 0L8 0中 华 人 民 共 和 国 国 家 标 准G B/T2 5 0 7 02 0 1 9代替G B/T2 5 0 7 02 0 1 0信息安全技术网络安全等级保护安全设计技术要求I n f o r m a t i o ns e c u r i t y t e c h n o l o g yT e c h n i c a lr e q u i r e m e n t s o f s e c u r i t yd e s i g nf o r c l a s s i f i e dp r o t e c t i o no f c y b e r s e c u r

2、i t y2 0 1 9-0 5-1 0发布2 0 1 9-1 2-0 1实施国 家 市 场 监 督 管 理 总 局中国国家标准化管理委员会发 布目 次前言引言1 范围12 规范性引用文件13 术语和定义14 缩略语35 网络安全等级保护安全技术设计概述4 5.1 通用等级保护安全技术设计框架4 5.2 云计算等级保护安全技术设计框架4 5.3 移动互联等级保护安全技术设计框架5 5.4 物联网等级保护安全技术设计框架6 5.5 工业控制等级保护安全技术设计框架76 第一级系统安全保护环境设计8 6.1 设计目标8 6.2 设计策略8 6.3 设计技术要求97 第二级系统安全保护环境设计1 1

3、 7.1 设计目标1 1 7.2 设计策略1 1 7.3 设计技术要求1 28 第三级系统安全保护环境设计1 6 8.1 设计目标1 6 8.2 设计策略1 7 8.3 设计技术要求1 79 第四级系统安全保护环境设计2 5 9.1 设计目标2 5 9.2 设计策略2 5 9.3 设计技术要求2 51 0 第五级系统安全保护环境设计3 41 1 定级系统互联设计3 4 1 1.1 设计目标3 4 1 1.2 设计策略3 4 1 1.3 设计技术要求3 5附录A(资料性附录)访问控制机制设计3 6G B/T2 5 0 7 02 0 1 9附录B(资料性附录)第三级系统安全保护环境设计示例3 8附

4、录C(资料性附录)大数据设计技术要求4 2参考文献4 5G B/T2 5 0 7 02 0 1 9前 言 本标准按照G B/T1.12 0 0 9给出的规则起草。本标准代替G B/T2 5 0 7 02 0 1 0 信息安全技术 信息系统等级保护安全设计技术要求,与G B/T2 5 0 7 02 0 1 0相比,主要变化如下:将标准名称变更为 信息安全技术 网络安全等级保护安全设计技术要求;各个级别的安全计算环境设计技术要求调整为通用安全计算环境设计技术要求、云安全计算环境设计技术要求、移动互联安全计算环境设计技术要求、物联网系统安全计算环境设计技术要求和工业控制系统安全计算环境设计技术要求;

5、各个级别的安全区域边界设计技术要求调整为通用安全区域边界设计技术要求、云安全区域边界设计技术要求、移动互联安全区域边界设计技术要求、物联网系统安全区域边界设计技术要求和工业控制系统安全区域边界设计技术要求;各个级别的安全通信网络设计技术要求调整为通用安全通信网络设计技术要求、云安全通信网络设计技术要求、移动互联安全通信网络设计技术要求、物联网系统安全通信网络设计技术要求和工业控制系统安全通信网络设计技术要求;删除了附录B中的B.2“子系统间接口”和B.3“重要数据结构”,增加了B.4“第三级系统可信验证实现机制”。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本

6、标准由全国信息安全标准化技术委员会(S A C/T C2 6 0)提出并归口。本标准起草单位:公安部第一研究所、北京工业大学、北京中软华泰信息技术有限责任公司、中国电子信息产业集团有限公司第六研究所、中国信息通信研究院、阿里云计算技术有限公司、中国银行股份有限公司软件中心、公安部第三研究所、国家能源局信息中心、中国电力科学研究院有限公司、中国科学院软件研究所、工业和信息化部计算机与微电子发展研究中心(中国软件评测中心)、中国科学院信息工程研究所、启明星辰信息技术集团股份有限公司、浙江中烟工业有限责任公司、中央电视台、北京江南天安科技有限公司、华为技术有限公司、北京航空航天大学、北京理工大学、北

7、京天融信网络安全技术有限公司、北京和利时系统工程有限公司、青岛海天炜业过程控制技术股份有限公司、北京力控华康科技有限公司、石化盈科信息技术有限责任公司、北京华大智宝电子系统有限公司、山东微分电子科技有限公司、北京中电瑞铠科技有限公司、北京广利核系统工程有限公司、北京神州绿盟科技有限公司。本标准主要起草人:蒋勇、李超、李秋香、赵勇、袁静、徐晓军、宫月、吴薇、黄学臻、陈翠云、刘志宇、陈彦如、王昱镔、张森、卢浩、吕由、林莉、徐进、傅一帆、丰大军、龚炳铮、贡春燕、霍玉鲜、范文斌、魏亮、田慧蓉、李强、李艺、沈锡镛、陈雪秀、任卫红、孙利民、朱红松、阎兆腾、段伟恒、孟雅辉、章志华、李健俊、李威、顾军、陈卫平

8、、琚宏伟、陈冠直、胡红升、陈雪鸿、高昆仑、张钅 朋、张敏、李昊、王宝会、汤世平、雷晓锋、王弢、王晓鹏、刘美丽、陈聪、刘安正、刘利民、龚亮华、方亮、石宝臣、孙郁熙、巩金亮、周峰、郝鑫、梁猛、姜红勇、冯坚、黄敏、张旭武、石秦、孙洪涛。本标准所代替标准的历次版本发布情况为:G B/T2 5 0 7 02 0 1 0。G B/T2 5 0 7 02 0 1 9引 言 G B/T2 5 0 7 02 0 1 0 信息安全技术 信息系统等级保护安全设计技术要求 在开展网络安全等级保护工作的过程中起到了非常重要的作用,被广泛应用于指导各个行业和领域开展网络安全等级保护建设整改等工作,但是随着信息技术的发展,

9、G B/T2 5 0 7 02 0 1 0在适用性、时效性、易用性、可操作性上需要进一步完善。为了配合 中华人民共和国网络安全法 的实施,同时适应云计算、移动互联、物联网、工业控制和大数据等新技术、新应用情况下网络安全等级保护工作的开展,需对G B/T2 5 0 7 02 0 1 0进行修订,修订的思路和方法是调整原国家标准G B/T2 5 0 7 02 0 1 0的内容,针对共性安全保护目标提出通用的安全设计技术要求,针对云计算、移动互联、物联网、工业控制和大数据等新技术、新应用领域的特殊安全保护目标提出特殊的安全设计技术要求。本标准是网络安全等级保护相关系列标准之一。与本标准相关的标准包括

10、:G B/T2 5 0 5 8 信息安全技术 信息系统安全等级保护实施指南;G B/T2 2 2 4 0 信息安全技术 信息系统安全等级保护定级指南;G B/T2 2 2 3 9 信息安全技术 网络安全等级保护基本要求;G B/T2 8 4 4 8 信息安全技术 网络安全等级保护测评要求。在本标准中,黑体字部分表示较低等级中没有出现或增强的要求。G B/T2 5 0 7 02 0 1 9信息安全技术网络安全等级保护安全设计技术要求1 范围本标准规定了网络安全等级保护第一级到第四级等级保护对象的安全设计技术要求。本标准适用于指导运营使用单位、网络安全企业、网络安全服务机构开展网络安全等级保护安全

11、技术方案的设计和实施,也可作为网络安全职能部门进行监督、检查和指导的依据。注:第五级等级保护对象是非常重要的监督管理对象,对其有特殊的管理模式和安全设计技术要求,所以不在本标准中进行描述。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。G B1 7 8 5 91 9 9 9 计算机信息系统 安全保护等级划分准则G B/T2 2 2 4 02 0 0 8 信息安全技术 信息系统安全等级保护定级指南G B/T2 5 0 6 92 0 1 0 信息安全技术 术语G B/T3

12、1 1 6 72 0 1 4 信息安全技术 云计算服务安全指南G B/T3 1 1 6 82 0 1 4 信息安全技术 云计算服务安全能力要求G B/T3 2 9 1 92 0 1 6 信息安全技术 工业控制系统安全控制应用指南3 术语和定义G B1 7 8 5 91 9 9 9、G B/T2 2 2 4 02 0 0 8、G B/T2 5 0 6 92 0 1 0、G B/T3 1 1 6 72 0 1 4、G B/T3 1 1 6 82 0 1 4和G B/T3 2 9 1 92 0 1 6界定的以及下列术语和定义适用于本文件。为了便于使用,以下重复列出了G B/T3 1 1 6 72 0

13、 1 4中的一些术语和定义。3.1网络安全 c y b e r s e c u r i t y通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。G B/T2 2 2 3 92 0 1 9,定义3.13.2定级系统 c l a s s i f i e ds y s t e m已确定安全保护等级的系统。定级系统分为第一级、第二级、第三级、第四级和第五级系统。3.3定级系统安全保护环境 s e c u r i t ye n v i r o n m e n t o f c l a s s i f i

14、 e ds y s t e m由安全计算环境、安全区域边界、安全通信网络和(或)安全管理中心构成的对定级系统进行安全保护的环境。1G B/T2 5 0 7 02 0 1 93.4安全计算环境 s e c u r i t yc o m p u t i n ge n v i r o n m e n t对定级系统的信息进行存储、处理及实施安全策略的相关部件。3.5安全区域边界 s e c u r i t ya r e ab o u n d a r y对定级系统的安全计算环境边界,以及安全计算环境与安全通信网络之间实现连接并实施安全策略的相关部件。3.6安全通信网络 s e c u r i t yc

15、o mm u n i c a t i o nn e t w o r k对定级系统安全计算环境之间进行信息传输及实施安全策略的相关部件。3.7安全管理中心 s e c u r i t ym a n a g e m e n t c e n t e r对定级系统的安全策略及安全计算环境、安全区域边界和安全通信网络上的安全机制实施统一管理的平台或区域。3.8跨定级系统安全管理中心 s e c u r i t ym a n a g e m e n t c e n t e r f o r c r o s s c l a s s i f i e ds y s t e m对相同或不同等级的定级系统之间互联的安

16、全策略及安全互联部件上的安全机制实施统一管理的平台或区域。3.9定级系统互联 c l a s s i f i e ds y s t e mi n t e r c o n n e c t i o n通过安全互联部件和跨定级系统安全管理中心实现的相同或不同等级的定级系统安全保护环境之间的安全连接。3.1 0云计算 c l o u dc o m p u t i n g一种通过网络将可伸缩、弹性的共享物理和虚拟资源池以按需自服务的方式供应和管理的模式。注:资源包括服务器、操作系统、网络、软件、应用和存储设备等。G B/T3 2 4 0 02 0 1 5,定义3.2.53.1 1云计算平台 c l o

17、u dc o m p u t i n gp l a t f o r m云服务商提供的云计算基础设施及其上的服务层软件的集合。G B/T3 1 1 6 72 0 1 4,定义3.73.1 2云计算环境 c l o u dc o m p u t i n ge n v i r o n m e n t云服务商提供的云计算平台及客户在云计算平台之上部署的软件及相关组件的集合。G B/T3 1 1 6 72 0 1 4,定义3.83.1 3移动互联系统 m o b i l e i n t e r c o n n e c t i o ns y s t e m采用了移动互联技术,以移动应用为主要发布形式,用户

18、通过m o b i l e i n t e r n e ts y s t e m移动终端获取业务和服务的信息系统。3.1 4物联网 i n t e r n e t o f t h i n g s将感知节点设备通过互联网等网络连接起来构成的系统。G B/T2 2 2 3 92 0 1 9,定义3.1 52G B/T2 5 0 7 02 0 1 93.1 5感知层网关 s e n s o r l a y e rg a t e w a y将感知节点所采集的数据进行汇总、适当处理或数据融合,并进行转发的装置。3.1 6感知节点设备 s e n s o rn o d e对物或环境进行信息采集和/或执行操

19、作,并能联网进行通信的装置。3.1 7数据新鲜性 d a t af r e s h n e s s对所接收的历史数据或超出时限的数据进行识别的特性。3.1 8现场设备 f i e l dd e v i c e连接到I C S现场的设备,现场设备的类型包括R TU、P L C、传感器、执行器、人机界面以及相关的通讯设备等。3.1 9现场总线 f i e l d b u s一种处于工业现场底层设备(如传感器、执行器、控制器和控制室设备等)之间的数字串行多点双向数据总线或通信链路。利用现场总线技术不需要在控制器和每个现场设备之间点对点布线。总线协议是用来定义现场总线网络上的消息,每个消息标识了网络上

20、特定的传感器。4 缩略语下列缩略语适用于本文件。3 G:第三代移动通信技术(3 r dG e n e r a t i o nM o b i l eC o mm u n i c a t i o nT e c h n o l o g y)4 G:第四代移动通信技术(4 t hG e n e r a t i o nM o b i l eC o mm u n i c a t i o nT e c h n o l o g y)A P I:应用程序编程接口(A p p l i c a t i o nP r o g r a mm i n gI n t e r f a c e)B I O S:基本输入输出系统

21、(B a s i c I n p u tO u t p u tS y s t e m)C P U:中央处理器(C e n t r a lP r o c e s s i n gU n i t)DMZ:隔离区(D e m i l i t a r i z e dZ o n e)G P S:全球定位系统(G l o b a lP o s i t i o n i n gS y s t e m)I C S:工业控制系统(I n d u s t r i a lC o n t r o lS y s t e m)I o T:物联网(I n t e r n e to fT h i n g s)N F C:近场通信

22、/近距离无线通信技术(N e a rF i e l dC o mm u n i c a t i o n)O L E:对象连接与嵌入(O b j e c tL i n k i n ga n dEm b e d d i n g)O P C:用于过程控制的O L E(O L Ef o rP r o c e s sC o n t r o l)P L C:可编程逻辑控制器(P r o g r a mm a b l eL o g i cC o n t r o l l e r)R TU:远程终端单元(R e m o t eT e r m i n a lU n i t s)V P D N:虚拟专用拨号网(V

23、i r t u a lP r i v a t eD i a l-u pN e t w o r k s)S I M:用户身份识别模块(S u b s c r i b e r I d e n t i f i c a t i o nM o d u l e)W i F i:无线保真(W i r e l e s sF i d e l i t y)3G B/T2 5 0 7 02 0 1 95 网络安全等级保护安全技术设计概述5.1 通用等级保护安全技术设计框架网络安全等级保护安全技术设计包括各级系统安全保护环境的设计及其安全互联的设计,如图1所示。各级系统安全保护环境由相应级别的安全计算环境、安全区域边

24、界、安全通信网络和(或)安全管理中心组成。定级系统互联由安全互联部件和跨定级系统安全管理中心组成。图1 网络安全等级保护安全技术设计框架本标准第6章第1 1章,对图1各个部分提出了相应的设计技术要求(第五级网络安全保护环境的设计要求除外)。附录A给出了访问控制机制设计,附录B给出了第三级系统安全保护环境设计示例。此外,附录C给出大数据设计技术要求。在对定级系统进行等级保护安全保护环境设计时,可以结合系统自身业务需求,将定级系统进一步细化成不同的子系统,确定每个子系统的等级,对子系统进行安全保护环境的设计。5.2 云计算等级保护安全技术设计框架结合云计算功能分层框架和云计算安全特点,构建云计算安

25、全设计防护技术框架,包括云用户层、访问层、服务层、资源层、硬件设施层和管理层(跨层功能)。其中一个中心指安全管理中心,三重防护包括安全计算环境、安全区域边界和安全通信网络,具体如图2所示。4G B/T2 5 0 7 02 0 1 9图2 云计算等级保护安全技术设计框架用户通过安全的通信网络以网络直接访问、A P I接口访问和WE B服务访问等方式安全地访问云服务商提供的安全计算环境,其中用户终端自身的安全保障不在本部分范畴内。安全计算环境包括资源层安全和服务层安全。其中,资源层分为物理资源和虚拟资源,需要明确物理资源安全设计技术要求和虚拟资源安全设计要求,其中物理与环境安全不在本部分范畴内。服

26、务层是对云服务商所提供服务的实现,包含实现服务所需的软件组件,根据服务模式不同,云服务商和云租户承担的安全责任不同。服务层安全设计需要明确云服务商控制的资源范围内的安全设计技术要求,并且云服务商可以通过提供安全接口和安全服务为云租户提供安全技术和安全防护能力。云计算环境的系统管理、安全管理和安全审计由安全管理中心统一管控。结合本框架对不同等级的云计算环境进行安全技术设计,同时通过服务层安全支持对不同等级云租户端(业务系统)的安全设计。5.3 移动互联等级保护安全技术设计框架移动互联系统安全防护参考架构如图3,其中安全计算环境由核心业务域、DMZ域和远程接入域三个安全域组成,安全区域边界由移动互

27、联系统区域边界、移动终端区域边界、传统计算终端区域边界、核心服务器区域边界、DMZ区域边界组成,安全通信网络由移动运营商或用户自己搭建的无线网络组成。a)核心业务域核心业务域是移动互联系统的核心区域,该区域由移动终端、传统计算终端和服务器构成,完成对移动互联业务的处理、维护等。核心业务域应重点保障该域内服务器、计算终端和移动终端的操作系统安全、应用安全、网络通信安全、设备接入安全。b)DMZ域DMZ域是移动互联系统的对外服务区域,部署对外服务的服务器及应用,如W e b服务器、数据库服务器等,该区域和互联网相联,来自互联网的访问请求应经过该区域中转才能访问核心业务域。DMZ域应重点保障服务器操

28、作系统及应用安全。5G B/T2 5 0 7 02 0 1 9图3 移动互联等级保护安全技术设计框架c)远程接入域远程接入域由移动互联系统运营使用单位可控的,通过V P N等技术手段远程接入移动互联系统运营使用单位网络的移动终端组成,完成远程办公、应用系统管控等业务。远程接入域应重点保障远程移动终端自身运行安全、接入移动互联应用系统安全和通信网络安全。本标准将移动互联系统中的计算节点分为两类:移动计算节点和传统计算节点。移动计算节点主要包括远程接入域和核心业务域中的移动终端,传统计算节点主要包括核心业务域中的传统计算终端和服务器等。传统计算节点及其边界安全设计可参考通用安全设计要求,下文提到的

29、移动互联计算环境、区域边界、通信网络的安全设计都是特指移动计算节点而言的。5.4 物联网等级保护安全技术设计框架结合物联网系统的特点,构建在安全管理中心支持下的安全计算环境、安全区域边界、安全通信网络三重防御体系。安全管理中心支持下的物联网系统安全保护设计框架如图4所示,物联网感知层和应用层都由完成计算任务的计算环境和连接网络通信域的区域边界组成。图4 物联网系统等级保护安全技术设计框架6G B/T2 5 0 7 02 0 1 9 a)安全计算环境包括物联网系统感知层和应用层中对定级系统的信息进行存储、处理及实施安全策略的相关部件,如感知层中的物体对象、计算节点、传感控制设备,以及应用层中的计

30、算资源及应用服务等。b)安全区域边界包括物联网系统安全计算环境边界,以及安全计算环境与安全通信网络之间实现连接并实施安全策略的相关部件,如感知层和网络层之间的边界、网络层和应用层之间的边界等。c)安全通信网络包括物联网系统安全计算环境和安全区域之间进行信息传输及实施安全策略的相关部件,如网络层的通信网络以及感知层和应用层内部安全计算环境之间的通信网络等。d)安全管理中心包括对物联网系统的安全策略及安全计算环境、安全区域边界和安全通信网络上的安全机制实施统一管理的平台,包括系统管理、安全管理和审计管理三部分,只有第二级及第二级以上的安全保护环境设计有安全管理中心。5.5 工业控制等级保护安全技术

31、设计框架对于工业控制系统根据被保护对象业务性质分区,针对功能层次技术特点实施的网络安全等级保护设计,工业控制系统等级保护安全技术设计框架如图5所示。工业控制系统等级保护安全技术设计构建在安全管理中心支持下的计算环境、区域边界、通信网络三重防御体系,采用分层、分区的架构,结合工业控制系统总线协议复杂多样、实时性要求强、节点计算资源有限、设备可靠性要求高、故障恢复时间短、安全机制不能影响实时性等特点进行设计,以实现可信、可控、可管的系统安全互联、区域边界安全防护和计算环境安全。工业控制系统分为4层,即第03层为工业控制系统等级保护的范畴,为设计框架覆盖的区域;横向上对工业控制系统进行安全区域的划分

32、,根据工业控制系统中业务的重要性、实时性、业务的关联性、对现场受控设备的影响程度以及功能范围、资产属性等,形成不同的安全防护区域,系统都应置于相应的安全区域内,具体分区以工业现场实际情况为准(分区方式包括但不限于:第02层组成一个安全区域、第01层组成一个安全区域、同层中有不同的安全区域等)。分区原则根据业务系统或其功能模块的实时性、使用者、主要功能、设备使用场所、各业务系统间的相互关系、广域网通信方式以及对工业控制系统的影响程度等。对于额外的安全性和可靠性要求,在主要的安全区还可以根据操作功能进一步划分成子区,将设备划分成不同的区域可以有效地建立“纵深防御”策略。将具备相同功能和安全要求的各

33、系统的控制功能划分成不同的安全区域,并按照方便管理和控制为原则为各安全功能区域分配网段地址。设计框架逐级增强,但防护类别相同,只是安全保护设计的强度不同。防护类别包括:安全计算环境,包括工业控制系统03层中的信息进行存储、处理及实施安全策略的相关部件;安全区域边界,包括安全计算环境边界,以及安全计算环境与安全通信网络之间实现连接并实施安全策略的相关部件;安全通信网络,包括安全计算环境和网络安全区域之间进行信息传输及实施安全策略的相关部件;安全管理中心,包括对定级系统的安全策略及安全计算环境、安全区域边界和安全通信网络上的安全机制实施统一管理的平台,包括系统管理、安全管理和审计管理三部分。7G

34、B/T2 5 0 7 02 0 1 9 注1:参照I E C/T S6 2 4 4 3-1-1工业控制系统按照功能层次划分为第0层:现场设备层,第1层:现场控制层,第2层:过程监控层,第3层:生产管理层,第4层:企业资源层。注2:一个信息安全区域可以包括多个不同等级的子区域。注3:纵向上分区以工业现场实际情况为准(图中分区为示例性分区),分区方式包括但不限于:第02层组成一个安全区域、第01层组成一个安全区域等。图5 工业控制系统等级保护安全技术设计框架6 第一级系统安全保护环境设计6.1 设计目标第一级系统安全保护环境的设计目标是:按照G B1 7 8 5 91 9 9 9对第一级系统的安全

35、保护要求,实现定级系统的自主访问控制,使系统用户对其所属客体具有自我保护的能力。6.2 设计策略第一级系统安全保护环境的设计策略是:遵循G B1 7 8 5 91 9 9 9的4.1中相关要求,以身份鉴别为基础,提供用户和(或)用户组对文件及数据库表的自主访问控制,以实现用户与数据的隔离,使用户具备自主安全保护的能力;以包过滤手段提供区域边界保护;以数据校验和恶意代码防范等手段提供数据和系统的完整性保护。第一级系统安全保护环境的设计通过第一级的安全计算环境、安全区域边界以及安全通信网络的设计加以实现。计算节点都应基于可信根实现开机到操作系统启动的可信验证。8G B/T2 5 0 7 02 0

36、1 96.3 设计技术要求6.3.1 安全计算环境设计技术要求6.3.1.1 通用安全计算环境设计技术要求本项要求包括:a)用户身份鉴别应支持用户标识和用户鉴别。在每一个用户注册到系统时,采用用户名和用户标识符标识用户身份;在每次用户登录系统时,采用口令鉴别机制进行用户身份鉴别,并对口令数据进行保护。b)自主访问控制应在安全策略控制范围内,使用户/用户组对其创建的客体具有相应的访问操作权限,并能将这些权限的部分或全部授予其他用户/用户组。访问控制主体的粒度为用户/用户组级,客体的粒度为文件或数据库表级。访问操作包括对客体的创建、读、写、修改和删除等。c)用户数据完整性保护可采用常规校验机制,检

37、验存储的用户数据的完整性,以发现其完整性是否被破坏。d)恶意代码防范应安装防恶意代码软件或配置具有相应安全功能的操作系统,并定期进行升级和更新,以防范和清除恶意代码。e)可信验证可基于可信根对计算节点的B I O S、引导程序、操作系统内核等进行可信验证,并在检测到其可信性受到破坏后进行报警。6.3.1.2 云安全计算环境设计技术要求本项要求包括:a)用户账号保护应支持建立云租户账号体系,实现主体对虚拟机、云数据库、云网络、云存储等客体的访问授权。b)虚拟化安全应禁止虚拟机对宿主机物理资源的直接访问;应支持不同云租户虚拟化网络之间安全隔离。c)恶意代码防范物理机和宿主机应安装经过安全加固的操作

38、系统或进行主机恶意代码防范。6.3.1.3 移动互联安全计算环境设计技术要求本项要求包括:a)用户身份鉴别应采用口令、解锁图案以及其他具有相应安全强度的机制进行用户身份鉴别。b)应用管控应提供应用程序签名认证机制,拒绝未经过认证签名的应用软件安装和执行。6.3.1.4 物联网系统安全计算环境设计技术要求本项要求包括:a)感知层设备身份鉴别9G B/T2 5 0 7 02 0 1 9应采用常规鉴别机制对感知设备身份进行鉴别,确保数据来源于正确的感知设备。b)感知层设备访问控制应通过制定安全策略如访问控制列表,实现对感知设备的访问控制。6.3.1.5 工业控制系统安全计算环境设计技术要求本项要求包

39、括:a)工业控制身份鉴别现场控制层设备及过程监控层设备应实施唯一性的标志、鉴别与认证,保证鉴别认证与功能完整性状态随时能得到实时验证与确认。在控制设备及监控设备上运行的程序、相应的数据集合应有唯一性标识管理。b)现场设备访问控制应对通过身份鉴别的用户实施基于角色的访问控制策略,现场设备收到操作命令后,应检验该用户绑定的角色是否拥有执行该操作的权限,拥有权限的该用户获得授权,用户未获授权应向上层发出报警信息。c)控制过程完整性保护应在规定的时间内完成规定的任务,数据应以授权方式进行处理,确保数据不被非法篡改、不丢失、不延误,确保及时响应和处理事件。6.3.2 安全区域边界设计技术要求6.3.2.

40、1 通用安全区域边界设计技术要求本项要求包括:a)区域边界包过滤可根据区域边界安全控制策略,通过检查数据包的源地址、目的地址、传输层协议和请求的服务等,确定是否允许该数据包通过该区域边界。b)区域边界恶意代码防范可在安全区域边界设置防恶意代码软件,并定期进行升级和更新,以防止恶意代码入侵。c)可信验证可基于可信根对区域边界计算节点的B I O S、引导程序、操作系统内核等进行可信验证,并在检测到其可信性受到破坏后进行报警。6.3.2.2 云安全区域边界设计技术要求本项要求包括:a)区域边界结构安全应保证虚拟机只能接收到目的地址包括自己地址的报文或业务需求的广播报文,同时限制广播攻击。b)区域边

41、界访问控制应保证当虚拟机迁移时,访问控制策略随其迁移。6.3.2.3 移动互联安全区域边界设计技术要求应遵守6.3.2.1。6.3.2.4 物联网系统安全区域边界设计技术要求应遵守6.3.2.1。01G B/T2 5 0 7 02 0 1 96.3.2.5 工业控制系统区域边界设计技术要求应遵守6.3.2.1。6.3.3 安全通信网络设计技术要求6.3.3.1 通用安全通信网络设计技术要求本项要求包括:a)通信网络数据传输完整性保护可采用由密码等技术支持的完整性校验机制,以实现通信网络数据传输完整性保护。b)可信连接验证通信节点应采用具有网络可信连接保护功能的系统软件或可信根支撑的信息技术产品

42、,在设备连接网络时,对源和目标平台身份进行可信验证。6.3.3.2 云安全通信网络设计技术要求应遵守6.3.3.1。6.3.3.3 移动互联安全通信网络设计技术要求应遵守6.3.3.1。6.3.3.4 物联网系统安全通信网络设计技术要求应遵守6.3.3.1。6.3.3.5 工业控制系统安全通信网络设计技术要求应遵守6.3.3.1。7 第二级系统安全保护环境设计7.1 设计目标第二级系统安全保护环境的设计目标是:按照G B1 7 8 5 91 9 9 9对第二级系统的安全保护要求,在第一级系统安全保护环境的基础上,增加系统安全审计、客体重用等安全功能,并实施以用户为基本粒度的自主访问控制,使系统

43、具有更强的自主安全保护能力,并保障基础计算资源和应用程序可信。7.2 设计策略第二级系统安全保护环境的设计策略是:遵循G B1 7 8 5 91 9 9 9的4.2中相关要求,以身份鉴别为基础,提供单个用户和(或)用户组对共享文件、数据库表等的自主访问控制;以包过滤手段提供区域边界保护;以数据校验和恶意代码防范等手段,同时通过增加系统安全审计、客体安全重用等功能,使用户对自己的行为负责,提供用户数据保密性和完整性保护,以增强系统的安全保护能力。第二级系统安全保护环境在使用密码技术设计时,应支持国家密码管理主管部门批准使用的密码算法,使用国家密码管理主管部门认证核准的密码产品,遵循相关密码国家标

44、准和行业标准。第二级系统安全保护环境的设计通过第二级的安全计算环境、安全区域边界、安全通信网络以及安全管理中心的设计加以实现。计算节点都应基于可信根实现开机到操作系统启动,再到应用程序启动的可信验证,并将验证结果形成审计记录。11G B/T2 5 0 7 02 0 1 97.3 设计技术要求7.3.1 安全计算环境设计技术要求7.3.1.1 通用安全计算环境设计技术要求本项要求包括:a)用户身份鉴别应支持用户标识和用户鉴别。在每一个用户注册到系统时,采用用户名和用户标识符标识用户身份,并确保在系统整个生存周期用户标识的唯一性;在每次用户登录系统时,采用受控的口令或具有相应安全强度的其他机制进行

45、用户身份鉴别,并使用密码技术对鉴别数据进行保密性和完整性保护。b)自主访问控制应在安全策略控制范围内,使用户对其创建的客体具有相应的访问操作权限,并能将这些权限的部分或全部授予其他用户。访问控制主体的粒度为用户级,客体的粒度为文件或数据库表级。访问操作包括对客体的创建、读、写、修改和删除等。c)系统安全审计应提供安全审计机制,记录系统的相关安全事件。审计记录包括安全事件的主体、客体、时间、类型和结果等内容。该机制应提供审计记录查询、分类和存储保护,并可由安全管理中心管理。d)用户数据完整性保护可采用常规校验机制,检验存储的用户数据的完整性,以发现其完整性是否被破坏。e)用户数据保密性保护可采用

46、密码等技术支持的保密性保护机制,对在安全计算环境中存储和处理的用户数据进行保密性保护。f)客体安全重用应采用具有安全客体复用功能的系统软件或具有相应功能的信息技术产品,对用户使用的客体资源,在这些客体资源重新分配前,对其原使用者的信息进行清除,以确保信息不被泄露。g)恶意代码防范应安装防恶意代码软件或配置具有相应安全功能的操作系统,并定期进行升级和更新,以防范和清除恶意代码。h)可信验证可基于可信根对计算节点的B I O S、引导程序、操作系统内核、应用程序等进行可信验证,并在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录。7.3.1.2 云安全计算环境设计技术要求本项要求包括:a

47、)用户身份鉴别应支持注册到云计算服务的云租户建立主子账号,并采用用户名和用户标识符标识主子账号用户身份。b)用户账号保护应支持建立云租户账号体系,实现主体对虚拟机、云数据库、云网络、云存储等客体的访问授权。c)安全审计21G B/T2 5 0 7 02 0 1 9应支持云服务商和云租户远程管理时执行特权命令进行审计。应支持租户收集和查看与本租户资源相关的审计信息,保证云服务商对云租户系统和数据的访问操作可被租户审计。d)入侵防范应能检测到虚拟机对宿主机物理资源的异常访问。e)数据备份与恢复应采取冗余架构或分布式架构设计;应支持数据多副本存储方式;应支持通用接口确保云租户可以将业务系统及数据迁移

48、到其他云计算平台和本地系统,保证可移植性。f)虚拟化安全应实现虚拟机之间的C P U、内存和存储空间安全隔离;应禁止虚拟机对宿主机物理资源的直接访问;应支持不同云租户虚拟化网络之间安全隔离。g)恶意代码防范物理机和宿主机应安装经过安全加固的操作系统或进行主机恶意代码防范;虚拟机应安装经过安全加固的操作系统或进行主机恶意代码防范;应支持对W e b应用恶意代码检测和防护的能力。h)镜像和快照安全应支持镜像和快照提供对虚拟机镜像和快照文件的完整性保护;防止虚拟机镜像、快照中可能存在的敏感资源被非授权访问;针对重要业务系统提供安全加固的操作系统镜像或支持对操作系统镜像进行自加固。7.3.1.3 移动

49、互联安全计算环境设计技术要求本项要求包括:a)用户身份鉴别应采用口令、解锁图案以及其他具有相应安全强度的机制进行用户身份鉴别。b)应用管控应提供应用程序签名认证机制,拒绝未经过认证签名的应用软件安装和执行。c)安全域隔离应能够为重要应用提供应用级隔离的运行环境,保证应用的输入、输出、存储信息不被非法获取。d)数据保密性保护应采取加密、混淆等措施,对移动应用程序进行保密性保护,防止被反编译。e)可信验证应能对移动终端的操作系统、应用等程序的可信性进行验证,阻止非可信程序的执行。7.3.1.4 物联网系统安全计算环境设计技术要求本项要求包括:a)感知层设备身份鉴别应采用常规鉴别机制对感知设备身份进

50、行鉴别,确保数据来源于正确的感知设备;应对感知设备和感知层网关进行统一入网标识管理和维护,并确保在整个生存周期设备标识的唯一性。b)感知层设备访问控制应通过制定安全策略如访问控制列表,实现对感知设备的访问控制;感知设备和其他设备(感知层网关、其他感知设备)通信时,应根据安全策略对其他设备进行权限检查。31G B/T2 5 0 7 02 0 1 97.3.1.5 工业控制系统安全计算环境设计技术要求本项要求包括:a)工业控制身份鉴别现场控制层设备及过程监控层设备应实施唯一性的标志、鉴别与认证,保证鉴别认证与功能完整性状态随时能得到实时验证与确认。在控制设备及监控设备上运行的程序、相应的数据集合应