信息安全技术 网络安全等级保护安全设计技术要求-编制说明.pdfVIP

一、工作简况

1.1任务来源

《信息安全技术信息系统等级保护安全设计技术要求第1部分：通设

计要求》是国家标准化管理委员会2014年下达的信息安全国家标准制定项目，

国标计划号为：GB/T25070.1-2010,由公安部第一研究所承担，参与单位包括

北京工业大学、北京中软华泰信息技术有限责任公司、中国电子信息产业集团有

限公司第六研究所、工业和信息化部电信研究院、阿里云计算技术有限公司、公

安部第三研究所、中国信息安全测评中心、国家信息技术安全研究中心、浙江中

烟工业有限责任公司、中央电视台、北京江南天安科技有限公司、华为技术有限

公司、浪潮电子信息产业股份有限公司、浪潮集团、北京启明星辰信息安全技术

有限公司。

1.2主要工作过程

1）准备阶段

2014年3，在公安部11局的统一领导下，公安部第一研究所同协作单位

共同成立标准编写项目组。

2）调研阶段

标准起草组成立以后，项目组收集了大量国内外相关标准，进行了研讨，

对信息安仝的模型、威胁和脆弱性进行了充分讨论。同时项目组参考了国内等级

保护相关标准，为了真实了解行业内的安全要求，项目组也对行业内的企事业单

位进行了调研。

3）编写阶段

2014年4，标准起草组组织了多次内部研讨会议，邀请了来自国内相关

领域著名的专家、学者开展交流与研讨，确定了标准的总体技术框架、核心内容。

标准起草组按照分工，对标准各部分进行了编写，形成了《信息安全技术信息

系统等级保护安全设计技术要求第1部分：通用设计要求》（草案）。

4）首次征求专家意见

2014年4，公安部11局组织业内专家对标准初稿进行了研讨，专家对标

准范围、内容、格式等进行了详细讨论，提出了很多宝贵意见。项目组根据专家

意见，对标准进行了修改。

5）第二次征求专家意见

2014年9、10，公安部11局组织业内专家对标准初稿再次进行了研讨，

专家再次对标准范围、内容、格式等进行了详细讨论，提出了宝贵意见。同时专

家认为标准达到了项目申报要求。项目组根据专家意见修改后，提交安标委。

6）系列标准统一修订阶段

2015年4，公安部一所组织等级保护设计要求系列标准起草组进行统一

研讨，会上针对系列标准，制订了统一模板，对标准进行了修订。

7）2016年10，由全国信息安全标准化技术委员会组织的标准周上，成

员单位对系类标准进行了评审，按照会议意见标准更名为《信息安全技术网络

安全等级保护安全设计技术要求第1部分：通用设计要求》。

二、编制原则和主要内容

2.1编制原则

本标准的研究与编制工作遵循以下原则：

1）科学性与实用性相结合的原则

科学性是标准化的最基本原则，规范的科学性直接关系到该体系能否对信

息系统安全起到积极、稳定和长久的正面作用。实用性表明标准体系是否与实际

情况相符合，是标准化研中最重要的基本原则。科学性与实用性相结合就是理

论与熨践相结合在标准体系研中的具体体现。

2）先进性与开放性相结合的原则

在执行本标准研制项目时，要积极引入先进的管理理念和前沿技术，充分

考虑到信息系统未来发展的方向和特点。但同时也要考虑到目前的需求和技术水

平，使规范能够根据科学技术以及需求的变化而不断进行扩充和完善。

3）安全性和可用性相结合的原则

本规范用来指导和规范信息系统等级保护安全设计，是安全范畴的规范。

但是规范在起草过程中不能一味地追求绝对安全，而应根据当信息系统的实际情

况，构建保证信息系统可用性和实用性基础上的适度安全体系。

2.2主要内容

本项目主要包括以下内容:

1、等级保护设计概述

（1）等级保护安全技术设计框架要求

信息系统等级保护安全技术设计包括各级系统安全保护环境的设计及其安

全互联的设计，如图1所示。各级系统安全保护环境由相应级别的安全计算环境、

安全区域边界、安全通信网络和（或）安全管理中心组成。定级系统互联由安全

互联部件和跨定级系统安全管理中心