国家标准 GB/T25070一2019 代替GB/T250702010 信息安全技术网络安全等级保护安全设计技术要求 Informationseeuritytechnology一 TIechnicalreguirementsofsecuritdesignforelassifiedprotectionofcybersecurity 2019-05-10发布 2019-12-01实施国家市场监督管理总局发布币国国家标准化管理委员会国家标准
GB/T25070一2019 目次前言引言范围 2 规范性引用文件 3 术语和定义缩略语网络安全等级保护安全技术设计概述 5.1通用等级保护安全技术设计框架 5.2云计算等级保护安全技术设计框架 5.3移动互联等级保护安全技术设计框架 5.4物联网等级保护安全技术设计框架 5.5工业控制等级保护安全技术设计框架 -级系统安全保护环境设计第 6.1设计目标 6.2设计策略 6.3设计技术要求第二级系统安全保护环境设计 7.1设计目标 7.2设计策略 7.3设计技术要求 12 8 第三级系统安全保护环境设计 16 设计目标 8,l ** 16 17 8.2设计策略 8.3设计技术要求 17 第四级系统安全保护环境设计 25 9.1设计目标 25 9.2设计策略 25 9.3设计技术要求 25 10第五级系统安全保护环境设计 34 定级系统互联设计 1 34 34 1.l设计目标 34 11.2设计策略 35 11.3设计技术要求 36 附录A资料性附录访问控制机制设计
GB/T25070一2019 38 附录B(资料性附录)第三级系统安全保护环境设计示例 42 附录c资料性附录大数据设计技术要求 45 参考文献
GB/T25070一2019 前言本标准按照GB/T1.1一2009给出的规则起草本标准代替GB/T25070一2010《信息安全技术信息系统等级保护安全设计技术要求》,与 GB/T250702010相比,主要变化如下 -将标准名称变更为《信息安全技术网络安全等级保护安全设计技术要求》; 各个级别的安全计算环境设计技术要求调整为通用安全计算环境设计技术要求、云安全计算环境设计技术要求、移动互联安全计算环境设计技术要求、物联网系统安全计算环境设计技术要求和工业控制系统安全计算环境设计技术要求; 各个级别的安全区域边界设计技术要求调整为通用安全区域边界设计技术要求、云安全区城边界设计技术要求、移动互联安全区域边界设计技术要求、物联网系统安全区域边界设计技术要求和工业控制系统安全区域边界设计技术要求; 各个级别的安全通信网络设计技术要求调整为通用安全通信网络设计技术要求,云安全通信网络设计技术要求,移动互联安全通信网络设计技术要求、,物联网系统安全通信网络设计技术要求和工业控制系统安全通信网络设计技术要求; 删除了附录B中的B.2“子系统间接口”和B.3“重要数据结构”,增加了B.4“第三级系统可信验证实现机制” 请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任本标准由全国信息安全标准化技术委员会(sAc/Tc260)提出并归口本标准起草单位;公安部第一研究所、北京工业大学、北京中软华泰信息技术有限责任公司、电子信息产业集团有限公司第六研究所、信息通信研究院、,阿里云计算技术有限公司、银行股份有限公司软件中心公安部第三研究所、国家能源局信息中心、电力科学研究院有限公司、科学院软件研究所、工业和信息化部计算机与微电子发展研究中心(软件评测中心),科学院信息工程研究所、启明星辰信息技术集团股份有限公司、浙江中烟工业有限责任公司、中央电视台、北京江南天安科技有限公司、华为技术有限公司、北京航空航天大学、北京理工大学,北京天融信网络安全技术有限公司、北京和利时系统工程有限公司、青岛海天炜业过程控制技术股份有限公司北京力控华康科技有限公司、石化盈科信息技术有限责任公司、北京华大智宝电子系统有限公司、山东微分电子科技有限公司北京中电瑞铠科技有限公司、北京广利核系统工程有限公司、北京神州绿盟科技有限公司本标准主要起草人:蒋勇、李超、李秋香、赵勇、袁静、徐晓军、宫月、吴薇、黄学臻、陈翠云、刘志宇、陈彦如、王昱亡、张森、卢浩、吕由、林莉、徐进、傅一帆,丰大军,龚炳争、贡春燕、霍玉鲜、范文斌、魏亮田慧蓉、李强,李艺、沈锡铺、陈雪秀、任卫红、孙利民、朱红松、阎兆腾、段伟恒、孟雅辉,章志华、李健俊李威、顾军、陈卫平、据宏伟、陈冠直、胡红升、陈雪鸿、高昆仑、张绷、张敏,李昊,王宝会、汤世平、雷晓锋王嗖、王晓鹏、刘美丽、陈聪、刘安正,刘利民,龚亮华,方亮、石宝臣、孙郁熙,巩金亮、周峰、郝鑫、梁猛姜红勇、冯坚、黄敏、张旭武、石秦、孙洪涛本标准所代替标准的历次版本发布情况为 GB/T25070一2010.
GB/T25070一2019 引言 GB/T25070-2010(信息安全技术信息系统等级保护安全设计技术要求》在开展网络安全等级保护工作的过程中起到了非常重要的作用,被广泛应用于指导各个行业和领域开展网络安全等级保护建设整改等工作,但是随着信息技术的发展,GB/T250702010在适用性、时效性,易用性、可操作性上需要进一步完善为了配合《网络安全法》的实施,同时适应云计算,移动互联、物联网、工业控制和大数据等新技术、新应用情况下网络安全等级保护工作的开展,需对GB/T250702010进行修订,修订的思路和方法是调整原国家标准GB/T250702010的内容,针对共性安全保护目标提出通用的安全设计技术要求,针对云计算、移动互联、物联网、工业控制和大数据等新技术、,新应用领域的特殊安全保护目标提出特殊的安全设计技术要求本标准是网络安全等级保护相关系列标准之与本标准相关的标准包括 GBT25058信息安全技术信息系统安全等缓保护实施指南" GBT22240信息安全技术信息系统安全等级保护定级指南 GB/T22239信息安全技术网络安全等级保护基本要求信息安全技术网络安全等级保护测评要求 GB/T28448 在本标准中,黑体字部分表示较低等级中没有出现或增强的要求 IN
GB/T25070一2019 信息安全技术网络安全等级保护安全设计技术要求范围本标准规定了网络安全等级保护第一级到第四级等级保护对象的安全设计技术要求本标准适用于指导运营使用单位、网络安全企业、网络安全服务机构开展网络安全等级保护安全技术方案的设计和实施,也可作为网络安全职能部门进行监督、检查和指导的依据注:第五级等级保护对象是非常重要的监督管理对象,对其有特殊的管理模式和安全设计技术要求,所以不在本标准中进行描述规范性引用文件下列文件对于本文件的应用是必不可少的凡是注日期的引用文件,仅注日期的版本适用于本文件凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件 GB17859一1999计算机信息系统安全保护等级划分准则 GB/T222402008信息安全技术信息系统安全等级保护定级指南 GB/T250692010信息安全技术术语 GB/T31167一2014信息安全技术云计算服务安全指南信息安全技术云计算服务安全能力要求 GB/T311682014 GB/T329192016信息安全技术工业控制系统安全控制应用指南术语和定义 GB178591999.GB/T222402008、GB/T250692010.GB/T311672014、GB/T31168- 2014和GB/T32919g2016界定的以及下列术语和定义适用于本文件为了便于使用,以下重复列出了GB/T311672014中的一些术语和定义 3. 网络安全eyberseeurity 通过采取必要措施,防范对网络的攻击、侵人、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力 [[GB/T222392019,定义3.1] 3.2 定级系统ehasifiedsstm 已确定安全保护等级的系统定级系统分为第一级,第二级、第三级、第四级和第五级系统 3.3 定级系统安全保护环境seeurityenviromentofelasifiedsystemm 由安全计算环境、安全区域边界、安全通信网络和(或)安全管理中心构成的对定级系统进行安全保护的环境
GB/T25070一2019 3.4 安全计算环境seeuritycomputingenvironment 对定级系统的信息进行存储、处理及实施安全策略的相关部件 3.5 安全区域边界seeurityareaboundary 对定级系统的安全计算环境边界,以及安全计算环境与安全通信网络之间实现连接并实施安全策略的相关部件 3.6 安全通信网络surty communicationnetwork 对定级系统安全计算环境之间进行信息传输及实施安全策略的相关部件 3. 安全管理中心securitymanagementcenter 对定级系统的安全策略及安全计算环境、安全区域边界和安全通信网络上的安全机制实脆统一一管理的平台或区域 3.8 跨定级系统安全管理中心seeuritmanagementeenterforcrossclassifiedsystem 对相同或不同等级的定级系统之间互联的安全策略及安全互联部件上的安全机制实施统一管理的平台或区域 3.9 定级系统互联elassifiedlsstemintereonneetionm 通过安全互联部件和跨定级系统安全管理中心实现的相同或不同等级的定级系统安全保护环境之间的安全连接 3.10 云计算eoudcomputing -种通过网络将可伸缩、弹性的共享物理和虚拟资源池以按需自服务的方式供应和管理的模式注:资源包括服务器、操作系统、网络、软件、应用和存储设备等 [[GB/T324002015,定义3.2.5 3.11 云计算平台eoudcomputimngplatfor 云服务商提供的云计算基础设施及其上的服务层软件的集合 [GB/T31167一2014,定义3.7] 3.12 云计算环境eoudcomputingenvironment 云服务商提供的云计算平台及客户在云计算平台之上部署的软件及相关组件的集合 [GB/T31167一2014,定义3.8] 3.13 移动互联系统mobileinteromneetionsystem 采用了移动互联技术,以移动应用为主要发布形式,用户通过mobile internetsystem移动终端获取业务和服务的信息系统 3.14 物联网internetofthings 将感知节点设备通过互联网等网络连接起来构成的系统 [GB/T22239-2019,定义3.15]
GB/T25070一2019 3.15 感知层网关sensorlayergateway 将感知节点所采集的数据进行汇总、适当处理或数据融合,并进行转发的装置 3.16 感知节点设备sensornode 对物或环境进行信息采集和/或执行操作,并能联网进行通信的装置 3.17 数据新鲜性datafreshness 对所接收的历史数据或超出时限的数据进行识别的特性 3.18 现场设备frieddeviee 连接到ICS现场的设备,现场设备的类型包括RTU、PLC、传感器、执行器、人机界面以及相关的通讯设备等 3.19 现场总线fieldbus -种处于工业现场底层设备(如传感器、执行器、控制器和控制室设备等)之间的数字串行多点双向数据总线或通信链路利用现场总线技术不需要在控制器和每个现场设备之间点对点布线总线协议是用来定义现场总线网络上的消息,每个消息标识了网络上特定的传感器缩略语下列缩略语适用于本文件 3G;第三代移动通信技术(3rdGenerationMobileCommunicationTechnolo ogy 4G;第四代移动通信技术(4thGenerationMobileCommunicationTechnology APl;应用程序编程接口(ApplicationProgramminglnterfacey Out System BIOS;基本输人输出系统(Basielnput utput CPU;中央处理器(CentralProcessingUnit) DMZ:隔离区(DemilitarizedZone System GPS:全球定位系统(GlobalPositioning CSs;工业控制系统(IndustrialControlSystenm) loT:物联网(InternetofThings NFC;近场通信/近距离无线通信技术(NearFieldCommunieation) OLE:对象连接与嵌人(ObjectLinkingandEmbedding OPC;用于过程控制的OLE(OLEforProcessControl Controller PLC;可编程逻辑控制器(ProgrammableLd Iogic RTU;远程终端单元(RemoteTerminalUnits) VPDN;虚拟专用拨号网(VirtualPrivateDialupNetworks) sIM:用户身份识别模块(SubseriberIdentificeationModule) wiFi;无线保真(wirelessFidelity
GB/T25070一2019 5 网络安全等级保护安全技术设计概述 5.1通用等级保护安全技术设计框架网络安全等级保护安全技术设计包插各级系统安全保护环境的设计及其安全互联的设计,如图！所示各级系统安全保护环境由相应级别的安全计算环境、安全区域边界,安全通信网络和(或)安全管理中心组成定级系统互联由安全互联部件和跨定级系统安全管理中心组成第一级系统第五缓系线第二级系统第三级系统第四级系统安全保护环境安全保护环境安全保护环境安全保护环境安全保护环境第策第第安安安 k 件全 e 微件件 s e 件件菜边络城绵埃界第二级安全管理中心第三级安全管理中心第四级安全管理中心第五级安全管理中心定级系统互联安全互联部件跨定级系统安全管理中心图1网络安全等级保护安全技术设计框架本标准第6章第1l章,对图1各个部分提出了相应的设计技术要求(第五级网络安全保护环境的设计要求除外) 附录A给出了访问控制机制设计,附录B给出了第三级系统安全保护环境设计示例此外,附录C给出大数据设计技术要求在对定级系统进行等级保护安全保护环境设计时,可以结合系统自身业务需求,将定级系统进一步细化成不同的子系统,确定每个子系统的等级,对子系统进行安全保护环境的设计 5.2云计算等级保护安全技术设计框架结合云计算功能分层框架和云计算安全特点,构建云计算安全设计防护技术框架,包括云用户层、访问层,服务层,资源层,硬件设施层和管理层(跨层功能) 其中一个中心指安全管理中心,三重防护包括安全计算环境、安全区域边界和安全通信网络,具体如图2所示
GB/T25070一2019 计算环境安全用户层区域边界安全安全管理中心安全访问层安个 laaS PaaS SaaS 安全管理中心租户1 租户n 租户1 租户m" 租户1 租户n 数数安全数霜安全数据安全数据安全数据安全数据安全应用安全应用安全应用安全应用安全应用安全网络访问系统管理软件平台 "安软件平台安全软件平台安全通信网络和网络和安全管理 API接口网络和主机安全网络和主机安全主机安全主机安全网络安全 WEB 资瀑抽象控制层安全安全审计服务虚都计算资源网络资源存储资源资派安全分布式操作系统/虚拟机监视器基础硬件与网络安全物理与环境安全图2云计算等级保护安全技术设计框架用户通过安全的通信网络以网络直接访问、AP接口访问和wEB服务访问等方式安全地访问云服务商提供的安全计算环境,其中用户终端自身的安全保障不在本部分范胯内安全计算环境包括资源层安全和服务层安全其中,资源层分为物理资源和虚拟资源,需要明确物理资源安全设计技术要求和虚拟资源安全设计要求,其中物理与环境安全不在本部分范畸内服务层是对云服务商所提供服务的实现,包含实现服务所需的软件组件,根据服务模式不同,云服务商和云租户承担的安全责任不同服务层安全设计需要明确云服务商控制的资源范围内的安全设计技术要求,并且云服务商可以通过提供安全接口和安全服务为云租户提供安全技术和安全防护能力云计算环境的系统管理,安全管理和安全审计由安全管理中心统一管控结合本框架对不同等级的云计算环境进行安全技术设计,同时通过服务层安全支持对不同等级云租户端(业务系统)的安全设计 5.3移动互联等级保护安全技术设计框架移动互联系统安全防护参考架构如图3,其中安全计算环境由核心业务域、DMZ域和远程接人域三个安全域组成,安全区域边界由移动互联系统区域边界、移动终端区域边界、传统计算终端区域边界、核心服务器区域边界、,DMZ区域边界组成,安全通信网络由移动运营商或用户自己搭建的无线网络组成核心业务域 a 核心业务域是移动互联系统的核心区域,该区域由移动终端、传统计算终端和服务器构成,完成对移动互联业务的处理、维护等核心业务域应重点保障该域内服务器,计算终端和移动终端的操作系统安全,应用安全,网络通信安全、设备接人安全 b DMZ域 DMZ域是移动互联系统的对外服务区域,部署对外服务的服务器及应用,如web服务器、数据库服务器等,该区域和互联网相联,来自互联网的访问请求应经过该区域中转才能访问核心业务域 DMZ域应重点保障服务器操作系统及应用安全
GB/T25070一2019 移动互联系统安全计算环境移动终端夜区域边界传统开算传统计终端区域算终端边界核心服务器区域边雾锻 DMZ域边 DMZ域安全管理中心图3移动互联等级保护安全技术设计框架远程接人域远程接人域由移动互联系统运营使用单位可控的,通过VPN等技术手段远程接人移动互联系统运营使用单位网络的移动终端组成,完成远程办公,应用系统管控等业务远程接人域应重点保障远程移动终端自身运行安全、接人移动互联应用系统安全和通信网络安全本标准将移动互联系统中的计算节点分为两类,移动计算节点和传统计算节点移动计算节点主要包括远程接人域和核心业务域中的移动终端,传统计算节点主要包括核心业务域中的传统计算终端和服务器等传统计算节点及其边界安全设计可参考通用安全设计要求,下文提到的移动互联计算环境、区域边界,通信网络的安全设计都是特指移动计算节点而言的 5.4物联网等级保护安全技术设计框架结合物联网系统的特点,构建在安全管理中心支持下的安全计算环境、安全区域边界,安全通信刚络三重防御体系安全管理中心支持下的物联网系统安全保护设计框架如图4所示,物联网感知层和应用层都由完成计算任务的计算环境和连接网络通信域的区域边界组成安全计算环境安全计算环境应用层感知层应用物体对象服务安全通信网络网计算节点计算节点计算传感控制资源基础设庖系统管理安全管理审计管理安全管理中心图4物联网系统等级保护安全技术设计框架
GB/T25070一2019 安全计算环境 a 包括物联网系统感知层和应用层中对定级系统的信息进行存储处理及实施安全策略的相关部件,如感知层中的物体对象、计算节点、传感控制设备,以及应用层中的计算资源及应用服务等安全区域边界 b 包括物联网系统安全计算环境边界,以及安全计算环境与安全通信网络之间实现连接并实施安全策略的相关部件,如感知层和网络层之间的边界、网络层和应用层之间的边界等安全通信网络包括物联网系统安全计算环境和安全区域之间进行信息传输及实施安全策略的相关部件,如网络层的通信网络以及感知层和应用层内部安全计算环境之间的通信网络等安全管理中心包括对物联网系统的安全策略及安全计算环境、安全区域边界和安全通信网络上的安全机制实施统一管理的平台,包括系统管理、安全管理和审计管理三部分,只有第二级及第二级以上的安全保护环境设计有安全管理中心 5.5工业控制等级保护安全技术设计框架对于工业控制系统根据被保护对象业务性质分区,针对功能层次技术特点实施的网络安全等级保护设计,工业控制系统等级保护安全技术设计框架如图5所示工业控制系统等级保护安全技术设计构建在安全管理中心支持下的计算环境、区域边界、通信网络三重防御体系,采用分层、分区的架构,结合工业控制系统总线协议复杂多样,实时性要求强、节点计算资源有限,设备可靠性要求高、故障恢复时间短、安全机制不能影响实时性等特点进行设计,以实现可信、可控,可管的系统安全互联、区域边界安全防护和计算环境安全工业控制系统分为4层,即第0~3层为工业控制系统等级保护的范,为设计框架覆盖的区域;横向上对工业控制系统进行安全区域的划分,根据工业控制系统中业务的重要性、实时性、业务的关联性对现场受控设备的影响程度以及功能范围资产属性等,形成不同的安全防护区域,系统都应置于相应的安全区域内,具体分区以工业现场实际情况为准(分区方式包括但不限于;第02层组成一个安全区域、第0一1层组成一个安全区域、同层中有不同的安全区域等分区原则根据业务系统或其功能模块的实时性、使用者,主要功能、设备使用场所、各业务系统间的相互关系、广域网通信方式以及对工业控制系统的影响程度等对于额外的安全性和可靠性要求,在主要的安全区还可以根据操作功能进一步划分成子区,将设备划分成不同的区域可以有效地建立“纵深防御”策略将具备相同功能和安全要求的各系统的控制功能划分成不同的安全区域,并按照方便管理和控制为原则为各安全功能区域分配网段地址设计框架逐级增强,但防护类别相同,只是安全保护设计的强度不同防护类别包括安全计算环境,包括工业控制系统03层中的信息进行存储、处理及实施安全策略的相关部件;安全区域边界,包括安全计算环境边界,以及安全计算环境与安全通信网络之间实现连接并实施安全策略的相关部件;安全通信网络,包括安全计算环境和网络安全区域之间进行信息传输及实施安全策略的相关部件;安全管理中心,包括对定级系统的安全策略及安全计算环境、安全区域边界和安全通信网络上的安全机制实施统一管理的平台,包括系统管理,安全管理和审计管理三部分
GB/T25070一2019 参见通用等级保护安全设计第4层企业资源层技术要求第3层和第层之间通信网络安第3层计算环境第3层边界防护第2层和第3层之间通信网络中心信息安全区域简尬精网区域边界防护区域边界防护系统信息安全区域A 管理信息安全区域B 复杂工业控制系统等级保护第2层计算环境第2层边界防护第2层计算环境第2层边界防护安全第1层和第2 管理第1层和第2层芝简通惜网露信息安全区域简网路区域边界防护区域边界防护审计第1层计算环境第1层边界防护管理信息安全区域B2 信息安全区域B1 第o层和第1层芝向道宿网络道过边算护安全第O层和第1层 O喝个管理之间道第0层计算环境第0层边界防护中心 0房宝份边界防护注1:参照IEC/Ts62443-1-1工业控制系统按照功能层次划分为第0层;现场设备层,第1层;现场控制层,第2层: 过程监控层,第3层:生产管理层,第4层:企业资源层注2;一个信息安全区域可以包括多个不同等级的子区域注3，纵向上分区以工业现场实际情况为准(图中分区为示例性分区),分区方式包括但不限于,第0~2层组成一个安全区域、第0~1层组成一个安全区域等图5工业控制系统等级保护安全技术设计框架第一级系统安全保护环境设计 6 6.1设计目标第一级系统安全保护环境的设计目标是;按照GB17859一1999对第一级系统的安全保护要求,实现定级系统的自主访问控制使系统用户对其所属客体具有自我保护的能力 6.2设计策略第一级系统安全保护环境的设计策略是;遵循GB17859-1999的4.1中相关要求,以身份鉴别为基础,提供用户和(或)用户组对文件及数据库表的自主访问控制,以实现用户与数据的隔离,使用户具备自主安全保护的能力;以包过滤手段提供区域边界保护;以数据校验和恶意代码防范等手段提供数据和系统的完整性保护第一级系统安全保护环境的设计通过第一级的安全计算环境、安全区域边界以及安全通信网络的设计加以实现计算节点都应基于可信根实现开机到操作系统启动的可信验证
GB/T25070一2019 6.3设计技术要求 6.3.1安全计算环境设计技术要求 6.3.1.1 通用安全计算环境设计技术要求本项要求包括: 用户身份鉴别应支持用户标识和用户鉴别在每一个用户注册到系统时,采用用户名和用户标识符标识用户身份;在每次用户登录系统时,采用口令鉴别机制进行用户身份鉴别,并对口令数据进行保护 b 自主访问控制应在安全策略控制范围内,使用户/用户组对其创建的客体具有相应的访问操作权限,并能将这些权限的部分或全部授予其他用户/用户组访问控制主体的粒度为用户/用户组级,客体的粒度为文件或数据库表级访问操作包括对客体的创建、读、写、修改和删除等用户数据完整性保护可采用常规校验机制,检验存储的用户数据的完整性,以发现其完整性是否被破坏 d 恶意代码防范应安装防恶意代码软件或配置具有相应安全功能的操作系统,并定期进行升级和更新,以防范和清除恶意代码可信验证可基于可信根对计算节点的BIOs,引导程序、操作系统内核等进行可信验证,并在检测到其可信性受到破坏后进行报警 6.3.1.2云安全计算环境设计技术要求本项要求包括用户账号保护 aa 应支持建立云租户账号体系,实现主体对虚拟机、云数据库、云网络、云存储等客体的访问授权虚拟化安全 b 应禁止虚拟机对宿主机物理资源的直接访问;应支持不同云租户虚拟化网络之间安全隔离恶意代码防范物理机和宿主机应安装经过安全加固的操作系统或进行主机恶意代码防范 6.3.1.3移动互联安全计算环境设计技术要求本项要求包括用户身份鉴别 a 应采用口令、解锁图案以及其他具有相应安全强度的机制进行用户身份鉴别 b 应用管控应提供应用程序签名认证机制,拒绝未经过认证签名的应用软件安装和执行 6.3.1.4物联网系统安全计算环境设计技术要求本项要求包括: 感知层设备身份鉴别 a
GB/T25070一2019 应采用常规鉴别机制对感知设备身份进行鉴别,确保数据来源于正确的感知设备 b 感知层设备访问控制应通过制定安全策略如访问控制列表,实现对感知设备的访问控制 6.3.1.5工业控制系统安全计算环境设计技术要求本项要求包括工业控制身份鉴别 a 现场控制层设备及过程监控层设备应实施唯一性的标志、鉴别与认证,保证鉴别认证与功能完整性状态随时能得到实时验证与确认在控制设备及监控设备上运行的程序、相应的数据集合应有唯一性标识管理 b 现场设备访问控制应对通过身份鉴别的用户实施基于角色的访问控制策略,现场设备收到操作命令后,应检验该用户绑定的角色是否拥有执行该操作的权限,拥有权限的该用户获得授权,用户未获授权应向上层发出报警信息控制过程完整性保护应在规定的时间内完成规定的任务,数据应以授权方式进行处理,确保数据不被非法篡改、不丢失、不延误,确保及时响应和处理事件 6.3.2安全区域边界设计技术要求 6.3.2.1通用安全区域边界设计技术要求本项要求包括: 区域边界包过滤 a 可根据区域边界安全控制策略,通过检查数据包的源地址、目的地址、传输层协议和请求的服务等,确定是否允许该数据包通过该区域边界 b 区域边界恶意代码防范可在安全区域边界设置防恶意代码软件,并定期进行升级和更新,以防止恶意代码人侵可信验证可基于可信根对区域边界计算节点的Bos,引导程序、操作系统内核等进行可信验证.并在检测到其可信性受到破坏后进行报警 6.3.2.2云安全区域边界设计技术要求本项要求包括: a 区域边界结构安全应保证虚拟机只能接收到目的地址包括自己地址的报文或业务需求的广播报文,同时限制广播攻击 b)区域边界访问控制应保证当虚拟机迁移时,访问控制策略随其迁移 6.3.2.3移动互联安全区域边界设计技术要求应遵守6.3.2.1 6.3.2.4物联网系统安全区域边界设计技术要求应遵守6.3.2.1 10
GB/T25070一2019 6.3.2.5工业控制系统区域边界设计技术要求应遵守6.3.2.1 6.3.3安全通信网络设计技术要求 6.3.3.1通用安全通信网络设计技术要求本项要求包括: 通信网络数据传输完整性保护 a 可采用由密码等技术支持的完整性校验机制,以实现通信网络数据传输完整性保护 b 可信连接验证通信节点应采用具有网络可信连接保护功能的系统软件或可信根支撑的信息技术产品,在设备连接网络时,对源和目标平台身份进行可信验证 6.3.3.2云安全通信网络设计技术要求应遵守6.3.3.1 6.3.3.3移动互联安全通信网络设计技术要求应遵守6.3.3.1 6.3.3.4物联网系统安全通信网络设计技术要求应遵守6.3.3.1 6.3.3.5工业控制系统安全通信网络设计技术要求应遵守6.3.3.1. 第二级系统安全保护环境设计 7.1设计目标第二级系统安全保护环境的设计目标是;按照GB178591999对第二级系统的安全保护要求,在第一级系统安全保护环境的基础上,增加系统安全审计、客体重用等安全功能,并实施以用户为基本粒度的自主访问控制,使系统具有更强的自主安全保护能力,并保障基础计算资源和应用程序可信 7.2设计策略第二级系统安全保护环境的设计策略是:遵循GB178591999的4.2中相关要求,以身份鉴别为基础,提供单个用户和(或)用户组对共享文件、数据库表等的自主访问控制;以包过滤手段提供区域边界保护;以数据校验和恶意代码防范等手段，同时通过增加系统安全审计、客体安全重用等功能,使用户对自己的行为负责,提供用户数据保密性和完整性保护,以增强系统的安全保护能力第二级系统安全保护环境在使用密码技术设计时,应支持国家密码管理主管部门批准使用的密码算法,使用国家密码管理主管部门认证核准的密码产品,遵循相关密码国家标准和行业标准第二级系统安全保护环境的设计通过第二级的安全计算环境、安全区域边界、安全通信网络以及安全管理中心的设计加以实现计算节点都应基于可信根实现开机到操作系统启动,再到应用程序启动的可信验证,并将验证结果形成审计记录 1
GB/T25070一2019 7.3设计技术要求 7.3.1安全计算环境设计技术要求 7.3.1.1通用安全计算环境设计技术要求本项要求包括用户身份鉴别 a 应支持用户标识和用户鉴别在每一个用户注册到系统时,采用用户名和用户标识符标识用户身份,并确保在系统整个生存周期用户标识的唯一性;在每次用户登录系统时,采用受控的口令或具有相应安全强度的其他机制进行用户身份鉴别,并使用密码技术对鉴别数据进行保密性和完整性保护自主访问控制 b 应在安全策略控制范围内,使用户对其创建的客体具有相应的访问操作权限,并能将这些权限的部分或全部授予其他用户访问控制主体的粒度为用户级,客体的粒度为文件或数据库表级访问操作包括对客体的创建、读、写、修改和删除等系统安全审计应提供安全审计机制,记录系统的相关安全事件审计记录包括安全事件的主体、客体、时间、类型和结果等内容该机制应提供审计记录查询分类和存储保护,并可由安全管理中心管理用户数据完整性保护 d 可采用常规校验机制,检验存储的用户数据的完整性,以发现其完整性是否被破坏用户数据保密性保护可采用密码等技术支持的保密性保护机制,对在安全计算环境中存储和处理的用户数据进行保密性保护客体安全重用应采用具有安全客体复用功能的系统软件或具有相应功能的信息技术产品,对用户使用的客体资源,在这些客体资源重新分配前,对其原使用者的信息进行清除,以确保信息不被泄露恶意代码防范应安装防恶意代码软件或配置具有相应安全功能的操作系统,并定期进行升级和更新,以防范和清除恶意代码可信验证 h 可基于可信根对计算节点的BOS,引导程序,操作系统内核,应用程序等进行可信验证,并在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录 7.3.1.2云安全计算环境设计技术要求本项要求包括: 用户身份鉴别 a 应支持注册到云计算服务的云租户建立主子账号,并采用用户名和用户标识符标识主子账号用户身份 b用户账号保护应支持建立云租户账号体系,实现主体对虚拟机、云数据库、云网络、云存储等客体的访问授权安全审计 12
GB/T25070一2019 应支持云服务商和云租户远程管理时执行特权命令进行审计应支持租户收集和查看与本租户资源相关的审计信息,保证云服务商对云租户系统和数据的访问操作可被租户审计入侵防范应能检测到虚拟机对宿主机物理资源的异常访问数据备份与恢复应采取冗余架构或分布式架构设计;应支持数据多副本存储方式;应支持通用接口确保云租户可以将业务系统及数据迁移到其他云计算平台和本地系统,保证可移植性虚拟化安全应实现虚拟机之间的CPU,内存和存储空间安全隔离;应禁止虚拟机对宿主机物理资源的直接访问;应支持不同云租户虚拟化网络之间安全隔离恶意代码防范物理机和宿主机应安装经过安全加固的操作系统或进行主机恶意代码防范;虚拟机应安装经过安全加固的操作系统或进行主机恶意代码防范;应支持对web应用恶意代码检测和防护的能力 h 镜像和快照安全应支持镜像和快照提供对虚拟机镜像和快照文件的完整性保护;防止虚拟机镜像,快照中可能存在的敏感资源被非授权访问;针对重要业务系统提供安全加固的操作系统镜像或支持对操作系统镜像进行自加固 7.3.1.3移动互联安全计算环境设计技术要求本项要求包括用户身份整别 a 应采用口令,解锁图案以及其他具有相应安全强度的机制进行用户身份鉴别 b 应用管控应提供应用程序签名认证机制,拒绝未经过认证签名的应用软件安装和执行安全域隔离应能够为重要应用提供应用级隔离的运行环境,保证应用的输入、输出、存储信息不被非法获取数据保密性保护应采取加密混淆等措施，对移动应用程序进行保密性保护,防止被反编译可信验证应能对移动终端的操作系统应用等程序的可信性进行验证,阻止非可信程序的执行 7.3.1.4物联网系统安全计算环境设计技术要求本项要求包括: 感知层设备身份鉴别 a 应采用常规鉴别机制对感知设备身份进行鉴别,确保数据来源于正确的感知设备;应对感知设备和感知层网关进行缓一入网标识管理和维护,并确保在整个生存周期设备标识的唯一性感知层设备访间控制应通过制定安全策略如访间控制列表,实现对感知设备的访问控制;感知设备和其他设备感知层网关其他感知设备)通信时,应根据安全策略对其他设备进行权限检查 13
GB/T25070一2019 7.3.1.5工业控制系统安全计算环境设计技术要求本项要求包括工业控制身份鉴别 a 现场控制层设备及过程监控层设备应实施唯一性的标志、鉴别与认证,保证鉴别认证与功能完整性状态随时能得到实时验证与确认在控制设备及监控设备上运行的程序、相应的数据集合应有唯一性标识管理现场设备访问控制应对通过身份鉴别的用户实施基于角色的访问控制策略,现场设备收到操作命令后,应检验该用户绑定的角色是否拥有执行该操作的权限,拥有权限的该用户获得授权,用户未获授权应向上层发出报警信息现场设备数据保密性保护可采用密码技术支持的保密性保护机制或可采用物理保护机制,对现场设备层设备及连接到现场控制层的现场总线设备内存储的有保密需要的数据、程序、配置信息等进行保密性保护控制过程完整性保护应在规定的时间内完成规定的任务,数据应以授权方式进行处理,确保数据不被非法篡改、不丢失、不延误,确保及时响应和处理事件,保护系统的同步机制、校时机制,保持控制周期稳定、现场总线轮询周期稳定 7.3.2安全区域边界设计技术要求 7.3.2.1通用安全区域边界设计技术要求本项要求包括区域边界包过滤 a 应根据区域边界安全控制策略,通过检查数据包的源地址、目的地址、传输层协议和请求的服务等,确定是否允许该数据包通过该区域边界 b 区域边界安全审计应在安全区域边界设置审计机制,并由安全管理中心统一管理区域边界恶意代码防范丁在安全区域边界设置防恶意代码网关,由安全管理中心管理可区域边界完整性保护应在区域边界设置探测器,探测非法外联等行为,并及时报告安全管理中心可信验证可基于可信根对区域边界计算节点的BOs、引导程序、操作系统内核、区域边界安全管控程序等进行可信验证并在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录 7.3.2.2云安全区域边界设计技术要求本项要求包括 a 区域边界结构安全应保证虚拟机只能接收到目的地址包括自己地址的报文或业务需求的广播报文,同时限制广播攻击 b 区域边界访问控制应保证当虚拟机迁移时,访问控制策略随其迁移;应允许云租户设置不同虚拟机之间的访问控 14
GB/T25070一2019 制策略;应建立租户私有网络实现不同租户之间的安全隔离 7.3.2.3移动互联安全区域边界设计技术要求本项要求包括: 区域边界访问控制 aa 应能限制移动设备在不同工作场景下对wiFi,3G4G等网络的访问能力区域边界完整性保护 b 应具备无线接入设备检测功能,对于非法无线接入设备进行报警 7.3.2.4物联网系统安全区域边界设计技术要求本项要求包括区域边界准入控制 a 应在安全区域边界设置准入控制机制,能够对设备进行认证区域边界协议过滤与控制 b 应在安全区域边界设置协议检查,对通信报文进行合规检查 7.3.2.5工业控制系统安全区域边界设计技术要求应遵守7.3.2.1 7.3.3安全通信网络设计技术要求 7.3.3.1通用安全通信网络设计技术要求本项要求包括: 通信网络安全审计 a 应在安全通信网络设置审计机制,由安全管理中心管理通信网络数据传输完整性保护 b 可采用由密码等技术支持的完整性校验机制,以实现通信网络数据传输完整性保护通信网络数据传输保密性保护可采用由密码等技术支持的保密性保护机制,以实现通信网络数据传输保密性保护可信连接验证通信节点应采用具有网络可信连接保护功能的系统软件或可信根支撑的信息技术产品,在设备连接网络时,对源和目标平台身份、执行程序进行可信验证,并将验证结果形成审计记录 7.3.3.2云安全通信网络设计技术要求本项要求包括通信网络数据传输保密性可支持云租户远程通信数据保密性保护通信网络安全审计应支持租户收集和查看与本租户资源相关的审计信息;应保证云服务商对云租户通信网络的访问操作可被租户审计 7.3.3.3移动互联安全通信网络设计技术要求应遵守7.3.3.1 15
GB/T25070一2019 7.3.3.4物联网系统安全通信网络设计技术要求本项要求包括: 异构网安全接入保护 a 应采用接入认证等技术建立异构网络的接入认证系统,保障控制信息的安全传输 7.3.3.5工业控制系统安全通信网络设计技术要求本项要求包括: a 现场总线网络数据传输完整性保护可采用适应现场总线特点的报文短、时延小的密码技术支持的完整性校验机制或可采用物理保护机制,实现现场总线网络数据传输完整性保护 b 无线网络数据传输完整性保护可采用密码技术支持的完整性校验机制,以实现无线网络数据传输完整性保护 7.3.4安全管理中心设计技术要求 7.3.4.1 系统管理可通过系统管理员对系统的资源和运行进行配置、控制和可信管理,包括用户身份、可信证书、可信基准库、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复以及恶意代码防范等应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计在进行云计算平台安全设计时,安全管理应提供查询云租户数据及备份存储位置的方式在进行物联网系统安全设计时,应通过系统管理员对感知设备、感知层网关等进行统一身份标识管理 7.3.4.2审计管理可通过安全审计员对分布在系统各个组成部分的安全审计机制进行集中管理,包括根据安全审计策略对审计记录进行分类;提供按时间段开启和关闭相应类型的安全审计机制;对各类审计记录进行存储、管理和查询等应对安全审计员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全审计操作在进行云计算平台安全设计时,云计算平台应对云服务器、云数据库、云存储等云服务的创建、删除等操作行为进行审计在进行工业控制系统安全设计时,应通过安全管理员对工业控制现场控制设备、网络安全设备、网络设备,服务器,操作站等设备中主体和客体进行登记,并对各设备的网络安全监控和报警,网络安全日志信息进行集中管理根据安全审计策略对各类网络安全信息进行分类管理与查询,并生成统一的审计报告 8 第三级系统安全保护环境设计 8.1设计目标第三级系统安全保护环境的设计目标是;按照GB178591999对第三级系统的安全保护要求,在第二级系统安全保护环境的基础上,通过实现基于安全策略模型和标记的强制访问控制以及增强系统 16
GB/T25070一2019 的审计机制,使系统具有在统一安全策略管控下,保护敏感资源的能力,并保障基础计算资源和应用程序可信,确保关键执行环节可信 8.2设计策胳第三级系统安全保护环境的设计策略是:在第二级系统安全保护环境的基础上,遵循GB17859 1999的4.3中相关要求,构造非形式化的安全策略模型,对主、客体进行安全标记,表明主、客体的级别分类和非级别分类的组合,以此为基础,按照强制访问控制规则实现对主体及其客体的访问控制第三级系统安全保护环境在使用密码技术设计时,应支持国家密码管理主管部门批准使用的密码算法,使用国家密码管理主管部门认证核准的密码产品,遵循相关密码国家标准和行业标准第三级系统安全保护环境的设计通过第三级的安全计算环境、安全区域边界、安全通信网络以及安全管理中心的设计加以实现计算节点都应基于可信根实现开机到操作系统启动再到应用程序启动的可信验证,并在应用程序的关键执行环节对其执行环境进行可信验证，主动抵御病毒人侵行为,并将验证结果形成审计记录,送至管理中心 8.3设计技术要求 8.3.1安全计算环境设计技术要求 8.3.1.1通用安全计算环境设计技术要求本项要求包括用户身份鉴别应支持用户标识和用户鉴别在对每一个用户注册到系统时,采用用户名和用户标识符标识用户身份,并确保在系统整个生存周期用户标识的唯一性;在每次用户登录系统时,采用受安全管理中心控制的口令、令牌、基于生物特征、数字证书以及其他具有相应安全强度的两种或两种以上的组合机制进行用户身份鉴别,并对鉴别数据进行保密性和完整性保护自主访问控制 b 应在安全策略控制范围内,使用户对其创建的客体具有相应的访问操作权限,并能将这些权限的部分或全部授予其他用户自主访问控制主体的粒度为用户级,客体的粒度为文件或数据库表级和(或)记录或字段级自主访问操作包括对客体的创建、读、写、修改和删除等标记和强制访问控制在对安全管理员进行身份鉴别和权限控制的基础上,应由安全管理员通过特定操作界面对主、客体进行安全标记;应按安全标记和强制访间控制规则,对确定主体访问客体的操作进行控制强制访问控制主体的粒度为用户级,客体的粒度为文件或数据库表级应确保安全计算环境内的所有主、客体具有一致的标记信息,并实施相同的强制访问控制规则系统安全审计应记录系统的相关安全事件审计记录包括安全事件的主体、客体,时间、类型和结果等内容应提供审计记录查询,分类,分析和存储保护;确保对特定安全事件进行报警;确保审计记录不被破坏或非授权访问应为安全管理中心提供接口;对不能由系统独立处理的安全事件,提供由授权主体调用的接口用户数据完整性保护应采用密码等技术支持的完整性校验机制,检验存储和处理的用户数据的完整性,以发现其完整性是否被破坏,且在其受到破坏时能对重要数据进行恢复用户数据保密性保护应采用密码等技术支持的保密性保护机制,对在安全计算环境中存储和处理的用户数据进行 17
GB/T25070一2019 保密性保护客体安全重用 8 应采用具有安全客体复用功能的系统软件或具有相应功能的信息技术产品,对用户使用的客体资源,在这些客体资源重新分配前,对其原使用者的信息进行清除,以确保信息不被泄露 h 可信验证可基于可信根对计算节点的BIOS、引导程序,操作系统内核、应用程序等进行可信验证,并在应用程序的关键执行环节对系统调用的主体、客体,操作可信验证,并对中断、关键内存区域等执行资源进行可信验证,并在检测到其可信性受到破坏时采取措施恢复,并将验证结果形成审计记录,送至管理中心配置可信检查应将系统的安全配置信息形成基准库,实时监控或定期检查配置信息的修改行为,及时修复和基准库中内容不符的配置信息 i 入侵检测和恶意代码防范应通过主动免疫可信计算检验机制及时识别入侵和病毒行为,并将其有效阻断 8.3.1.2云安全计算环境设计技术要求本项要求包括用户身份鉴别 a) 应支持注册到云计算服务的云租户建立主子账号,并采用用户名和用户标识符标识主子账号用户身份 b)用户账号保护应支持建立云租户账号体系,实现主体对虚拟机、云数据库、云网络、云存储等客体的访问授权安全审计应支持对云服务商和云租户远程管理时执行的特权命令进行审计应支持租户收集和查看与本租户资源相关的审计信息,保证云服务商对云租户系统和数据的访问操作可被租户审计人侵防范应能检测到虚拟机对宿主机物理资源的异常访问应支持对云租户进行行为监控,对云租户发起的恶意攻击或恶意对外连接进行检测和告警数据保密性保护应提供重要业务数据加密服务,加密密钥由租户自行管理;应提供加密服务,保证虚拟机在迁移过程中重要数据的保密性数据备份与恢复应采取冗余架构或分布式架构设计;应支持数据多副本存储方式;应支持通用接口确保云租户可以将业务系统及数据迁移到其他云计算平台和本地系统,保证可移植性虚拟化安全应实现虚拟机之间的CPU、内存和存储空间安全隔离,能检测到非授权管理虚拟机等情况,并进行告警;应禁止虚拟机对宿主机物理资源的直接访问,应能对异常访问进行告警;应支持不同云租户虚拟化网络之间安全隔离;应监控物理机、宿主机、虚拟机的运行状态 h 恶意代码防范物理机和宿主机应安装经过安全加固的操作系统或进行主机恶意代码防范;虚拟机应安装经过安全加固的操作系统或进行主机恶意代码防范;应支持对web应用恶意代码检测和防护的 18
GB/T25070一2019 能力镜像和快照安全应支持镜像和快照提供对虚拟机镜像和快照文件的完整性保护;防止虚拟机镜像、快照中可能存在的敏感资源被非授权访问;针对重要业务系统提供安全加固的操作系统镜像或支持对操作系统镜像进行自加固 8.3.1.3移动互联安全计算环境设计技术要求本项要求包括: 用户身份鉴别 a 应对移动终端用户实现基于口令或解锁图案、数字证书或动态口令,生物特征等方式的两种或两种以上的组合机制进行用户身份鉴别标记和强制访问控制 b 应确保用户或进程对移动终端系统资源的最小使用权限;应根据安全策略,控制移动终端接入访问外设,外设类型至少应包括扩展存储卡.Gs等定位设备、蓝牙、Nc等通信外设,并记录日志应用管控应具有软件白名单功能,能根据白名单控制应用软件安装、运行;应提供应用程序签名认证机制,拒绝未经过认证签名的应用软件安装和执行安全域隔离应能够为重要应用提供基于容器、虚拟化等系统级隔离的运行环境,保证应用的输人、输出、存储信息不被非法获取移动设备管控应基于移动设备管理软件,实行对移动设备全生命周期管控,保证移动设备丢失或被盗后,画过网络定位搜寻设备的位置、远程锁定设备、远程擦除设备上的数据、使设备发出警报音,确保在能够定位和检索的同时最大程度地保护数据数据保密性保护应采取加密,混淆等措施,对移动应用程序进行保密性保护,防止被反编译;应实现对扩展存储设备的加密功能,确保数据存储的安全可信验证应能对移动终端的引导程序、,操作系统内核、应用程序等进行可信验证,确保每个部件在加载前的真实性和完整性 8.3.1.4物联网系统安全计算环境设计技术要求本项要求包括: a 感知层设备身份鉴别应采用密码技术支持的鉴别机制实现感知层网关与感知设备之间的双向身份鉴别,确保数据来源于正确的设备;应对感知设备和感知层网关进行统一人网标识管理和维护,并确保在整个生存周期设备标识的唯一性;应采取措施对感知设备组成的组进行组认证以减少网络拥塞感知层设备访问控制应通过制定安全策略如访问控制列表,实现对感知设备的访间控制;感知设备和其他设备(感知层网关、其他感知设备)通信时,根据安全策略对其他设备进行权限检查;感知设备进行更新配置时,根据安全策略对用户进行权限检查 19
GB/T25070一2019 8.3.1.5工业控制系统安全计算环境设计技术要求本项要求包括工业控制身份鉴别 a 现场控制层设备及过程监控层设备应实施唯一性的标志、鉴别与认证,保证鉴别认证与功能完整性状态随时能得到实时验证与确认在控制设备及监控设备上运行的程序、相应的数据集合应有唯一性标识管理,防止未经授权的修改现场设备访问控制应对通过身份鉴别的用户实施基于角色的访问控制策略,现场设备收到操作命令后,应检验该用户绑定的角色是否拥有执行该操作的权限,拥有权限的该用户获得授权,用户未获授权应向上层发出报警信息只有获得授权的用户才能对现场设备进行组态下装、软件更新、数据更新、参数设定等操作现场设备安全审计在有冗余的重要应用环境,双重或多重控制器可采用实时审计跟踪技术,确保及时捕获网络安全事件信息并报警现场设备数据完整性保护应采用密码技术或应采用物理保护机制保证现场控制层设备和现场设备层设备之间通信会话完整性现场设备数据保密性保护应采用密码技术支持的保密性保护机制或应采用物理保护机制,对现场设备层设备及连接到现场控制层的现场总线设备内存储的有保密需要的数据、程序、配置信息等进行保密性保护控制过程完整性保护应在规定的时间内完成规定的任务,数据应以授权方式进行处理,确保数据不被非法篡改、不丢失、不延误,确保及时响应和处理事件,保护系统的同步机制、校时机制,保持控制周期稳定、现场总线轮询周期稳定;现场设备应能识别和防范破坏控制过程完整性的攻击行为,应能识别和防止以合法身份、合法路径干扰控制器等设备正常工作节奏的攻击行为;在控制系统遭到攻击无法保持正常运行时,应有故障隔离措施,应使系统导向预先定义好的安全的状态,将危害控制到最小范围 8.3.2安全区域边界设计技术要求 8.3.2.1通用安全区域边界设计技术要求本项要求包括区域边界访问控制 a 应在安全区域边界设置自主和强制访问控制机制,应对源及目标计算节点的身份、地址、端口和应用协议等进行可信验证,对进出安全区域边界的数据信息进行控制,阻止非授权访问区城边界包过说 b 应根据区域边界安全控制策略,通过检查数据包的源地址、目的地址、传输层协议、请求的服务等,确定是否允许该数据包进出该区域边界区域边界安全审计应在安全区域边界设置审计机制,由安全管理中心集中管理,并对确认的违规行为及时报警 d 区域边界完整性保护应在区域边界设置探测器,例如外接探测软件,探测非法外联和入侵行为,并及时报告安全管 20
GB/T25070一2019 理中心可信验证可基于可信根对计算节点的BIos、引导程序、操作系统内核、区域边界安全管控程序等进行可信验证,并在区域边界设备运行过程中定期对程序内存空间、操作系统内核关键内存区域等执行资源进行可信验证,并在检测到其可信性受到破坏时采取措施恢复,并将验证结果形成审计记录,送至管理中心 8.3.2.2云安全区域边界设计技术要求本项要求包括: 区域边界结构安全 a 应保证虚拟机只能接收到目的地址包括自己地址的报文或业务需求的广播报文,同时限制广播攻击;应实现不同租户间虚拟网络资源之间的隔离,并避免网络资源过量占用;应保证云计算平台管理流量与云租户业务流量分离应能够识别监控虚拟机之间、虚拟机与物理机之间的网络流量;提供开放接口或开放性安全服务允许云租户接入第三方安全产品或在云平台选择第三方安全服务区域边界访问控制应保证当虚拟机迁移时,访问控制策略随其迁移;应允许云租户设置不同虚拟机之间的访问控制策略;应建立租户私有网络实现不同租户之间的安全隔离;应在网络边界处部署监控机制，对进出网络的流量实施有效监控区域边界入侵防范当虚拟机迁移时,入侵防范机制可应用于新的边界处;应将区域边界入侵防范机制纳入安全管理中心统一管理应向云租户提供互联网内容安全监测功能,对有害信息进行实时检测和告警区域边界审计要求根据云服务商和云租户的职责划分,收集各自控制部分的审计数据;根据云服务商和云租户的职责划分,实现各自控制部分的集中审计;当发生虚拟机迁移或虚拟资源变更时,安全审计机制可应用于新的边界处;为安全审计数据的汇集提供接口,并可供第三方审计 8.3.2.3移动互联安全区域边界设计技术要求 8.3.2.3.1区域边界访问控制应对接入系统的移动终端,采取基于sIM卡,证书等信息的强认证措施;应能限制移动设备在不同工作场景下对wiFi,3G,4G等网络的访问能力 8.3.2.3.2区域边界完整性保护移动终端区域边界检测设备监控范围应完整覆盖移动终端办公区,并具备无线路由器设备位置检渊功能.对于非法无线路由器设备接人进行报警和阻断 8.3.2.4物联网系统安全区域边界设计技术要求本项要求包括: 区域边界访问控制 a 应能根据数据的时间戳为数据流提供明确的允许/拒绝访问的能力;应提供网络最大流量及网络连接数限制机制;应能够根据通信协议特性,控制不规范数据包的出入 21
GB/T25070一2019 b 区域边界准人控制应在安全区域边界设置准人控制机制,能够对设备进行认证,保证合法设备接入,拒绝恶意设备接入;应根据感知设备特点收集感知设备的健康性相关信息如固件版本、标识、配置信息校验值等,并能够对接入的感知设备进行健康性检查区域边界协议过滤与控制应在安全区域边界设置协议过滤,能够对物联网通信内容进行过滤,对通信报文进行合规检查,根据协议特性,设置相对应控制机制 8.3.2.5工业控制系统安全区域边界设计技术要求本项要求包括工控通信协议数据过滤 a 对通过安全区域边界的工控通信协议,应能识别其所承载的数据是否会对工控系统造成攻击或破坏,应控制通信流量、帧数量频度、变量的读取频度稳定且在正常范围内,保护控制器的工作节奏,识别和过滤写变量参数超出正常范围的数据,该控制过滤处理组件可配置在区域边界的网络设备上,也可配置在本安全区域内的工控通信协议的端点设备上或唯一的通信链路设备上工控通信协议信息泄露防护应防止暴露本区域工控通信协议端点设备的用户名和登录密码,采用过滤变换技术隐藏用户名和登录密码等关键信息,将该端点设备单独分区过滤及其他具有相应防护功能的一种或一种以上组合机制进行防护工控区域边界安全审计应在安全区域边界设置实时监测告警机制,通过安全管理中心集中管理,对确认的违规行为及时向安全管理中心和工控值守人员报警并做出相应处置 8.3.3安全通信网络设计技术要求 8.3.3.1通用安全通信网络设计技术要求本项要求包括: 通信网络安全审计 a 应在安全通信网络设置审计机制,由安全管理中心集中管理.并对确认的违规行为进行报警通信网络数据传输完整性保护 b 应采用由密码技术支持的完整性校验机制,以实现通信网络数据传输完整性保护,并在发现完整性被破坏时进行恢复通信网络数据传输保密性保护应采用由密码技术支持的保密性保护机制,以实现通信网络数据传输保密性保护可信连接验证通信节点应采用具有网络可信连接保护功能的系统软件或可信根支撑的信息技术产品,在设备连接网络时,对源和目标平台身份、执行程序及其关键执行环节的执行资源进行可信验证，并将验证结果形成审计记录,送至管理中心 8.3.3.2云安全通信网络设计技术要求本项要求包括. 通信网络数据传输保密性 a 22
GB/T25070一2019 应支持云租户远程通信数据保密性保护应对网络策略控制器和网络设备(或设备代理)之间网络通信进行加密 b 通信网络可信接入保护应禁止通过互联网直接访问云计算平台物理网络;应提供开放接口,允许接入可信的第三方安全产品通信网络安全审计应支持租户收集和查看与本租户资源相关的审计信息;应保证云服务商对云租户通信网络的访问操作可被租户审计 8.3.3.3移动互联安全通信网络设计技术要求本项要求包括: a 通信网络可信保护应通过VPDN等技术实现基于密码算法的可信网络连接机制,通过对连接到通信网络的设备进行可信检验,确保接入通信网络的设备真实可信,防止设备的非法接入 8.3.3.4物联网系统安全通信网络设计技术要求本项要求包括感知层网络数据新鲜性保护 a 应在感知层网络传输的数据中加入数据发布的序列信息如时间戳、计数器等,以实现感知层网络数据传输新鲜性保护异构网安全接人保护 b 应采用接人认证等技术建立异构网络的接人认证系统,保障控制信息的安全传输;应根据各接入网的工作职能、,重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并采取相应的防护措施 8.3.3.5工业控制系统安全通信网络设计技术要求本项要求包括: 现场总线网络数据传输完整性保护 a 应采用适应现场总线特点的报文短,时延小的密码技术支持的完整性校验机制或应采用物理保护机制,实现现场总线网络数据传输完整性保护无线网络数据传输完整性保护应采用密码技术支持的完整性校验机制,以实现无线网络数据传输完整性保护现场总线网络数据传输保密性保护应采用适应现场总线特点的报文短、时延小的密码技术支持的保密性保护机制或应采用物理保护机制,实现现场总线网络数据传输保密性保护无线网络数据传输保密性保护应采用由密码技术支持的保密性保护机制,以实现无线网络数据传输保密性保护工业控制网络实时响应要求对实时响应和操作要求高的场合,应把工业控制通信会话过程设计为三个阶段;开始阶段,应完成对主客体身份鉴别和授权;运行阶段,应保证对工业控制系统的实时响应和操作,此阶段应对主客体的安全状态实时监测;结束阶段,应以显式的方式结束在需要连续运行的场合人员交接应不影响实时性,应保证访问控制机制的持续性通信网络异常监测 23
GB/T25070一2019 应对工业控制系统的通讯数据,访问异常,业务操作异常、网络和设备流量,工作周期、抖动值、运行模式,各站点状态、冗余机制等进行监测,发现异常进行报警;在有冗余现场总线和表决器的应用场合,可充分监测各冗余链路在同时刻的状态,捕获可能的恶意或入侵行为;应在相应的网关设备上进行流量监测与管控,对超出最大Ss闻值的通信进行控制并报警无线网络攻击的防护应对通过无线网络攻击的潜在威胁和可能产生的后果进行风险分析,应对可能遭受无线攻击的设备的信息发出(信息外泄)和进入(非法操控)进行屏蔽,可综合采用检测和干扰、电磁屏蔽、微波暗室吸收、物理保护等方法,在可能传播的频谱范围将无线信号衰减到不能有效接收的程度 8.3.4安全管理中心设计技术要求 8.3.4.1系统管理可通过系统管理员对系统的资源和运行进行配置、控制和可信及密码管理,包括用户身份、,可信证书及密钥可信基准库、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计在进行云计算平台安全设计时,安全管理应提供查询云租户数据及备份存储位置的方式;云计算平台的运维应在境内,境外对境内云计算平台实施运维操作应遵循国家相关规定在进行物联网系统安全设计时,应通过系统管理员对感知设备、感知网关等进行统一身份标识管理;应通过系统管理员对感知设备状态(电力供应情况、是否在线、位置等)进行统一监测和处理 8.3.4.2安全管理应通过安全管理员对系统中的主体、客体进行统一标记,对主体进行授权,配置可信验证策略,维护策略库和度量值库应对安全管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全管理操作,并进行审计在进行云计算平台安全设计时,云计算安全管理应具有对攻击行为回溯分析以及对网络安全事件进行预测和预警的能力;应具有对网络安全态势进行感知、预测和预判的能力在进行物联网系统安全设计时,应通过安全管理员对系统中所使用的密钥进行统一管理,包括密钥的生成、分发、更新、存储、备份、销毁等在进行工业控制系统安全设计时,应通过安全管理员对工业控制系统设备的可用性和安全性进行实时监控,可以对监控指标设置告警阔值,触发告警并记录;应通过安全管理员在安全管理中心呈现设备间的访问关系,及时发现未定义的信息通讯行为以及识别重要业务操作指令级的异常 8.3.4.3审计管理应通过安全审计员对分布在系统各个组成部分的安全审计机制进行集中管理,包括根据安全审计策略对审计记录进行分类;提供按时间段开启和关闭相应类型的安全审计机制;对各类审计记录进行存储、管理和查询等对审计记录应进行分析,并根据分析结果进行处理应对安全审计员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全审计操作在进行云计算平台安全设计时,云计算平台应对云服务器、云数据库、云存储等云服务的创建、删除等操作行为进行审计;应通过运维审计系统对管理员的运维行为进行安全审计;应通过租户隔离机制， 24
GB/T25070一2019 确保审计数据隔离的有效性在进行工业控制系统安全设计时,应通过安全管理员对工业控制现场控制设备、网络安全设备、网络设备、服务器、操作站等设备中主体和客体进行登记,并对各设备的网络安全监控和报警、网络安全日志信息进行集中管理根据安全审计策略对各类安全信息进行分类管理与查询,并生成统一的审计报告系统对各类网络安全报警和日志信息进行关联分析第四级系统安全保护环境设计 9.1设计目标第四级系统安全保护环境的设计目标是;按照GB17859一1999对第四级系统的安全保护要求,建立一个明确定义的形式化安全策略模型,将自主和强制访问控制扩展到所有主体与客体,相应增强其他安全功能强度;将系统安全保护环境结构化为关键保护元素和非关键保护元素,以使系统具有抗渗透的能力;保障基础计算资源和应用程序可信,确保所有关键执行环节可信,对所有可信验证结果进行动态关联感知 g.2设计策略第四级系统安全保护环境的设计策略是:在第三级系统安全保护环境设计的基础上,遵循 GB17859一1999的4.4中相关要求,通过安全管理中心明确定义和维护形式化的安全策略模型依据该模型,采用对系统内的所有主、客体进行标记的手段,实现所有主体与客体的强制访问控制同时,相应增强身份鉴别、审计、安全管理等功能,定义安全部件之间接口的途径,实现系统安全保护环境关键保护部件和非关键保护部件的区分,并进行测试和审核,保障安全功能的有效性第四级系统安全保护环境在使用密码技术设计时,应支持国家密码管理主管部门批准使用的密码算法,使用国家密码管理主管部门认证核准的密码产品,遵循相关密码国家标准和行业标准第四级系统安全保护环境的设计通过第四级的安全计算环境、安全区域边界、安全通信网络以及安全管理中心的设计加以实现所有计算节点都应基于可信计算技术实现开机到操作系统启动,再到应用程序启动的可信验证,并在应用程序的所有执行环节对其执行环境进行可信验证,主动抵御病毒人侵行为,同时验证结果,进行动态关联感知,形成实时的态势 g.3设计技术要求 g.3.1安全计算环境设计技术要求 9.3.1.1通用安全计算环境设计技术要求本项要求包括: 用户身份鉴别 a 应支持用户标识和用户鉴别在每一个用户注册到系统时,采用用户名和用户标识符标识用户身份,并确保在系统整个生存周期用户标识的唯一性;在每次用户登录和重新连接系统时，采用受安全管理中心控制的口令、基于生物特征的数据、数字证书以及其他具有相应安全强度的两种或两种以上的组合机制进行用户身份鉴别,且其中一种鉴别技术产生的鉴别数据是不可替代的,并对鉴别数据进行保密性和完整性保护自主访问控制应在安全策略控制范围内,使用户对其创建的客体具有相应的访问操作权限,并能将这些权限部分或全部授予其他用户自主访问控制主体的粒度为用户级,客体的粒度为文件或数据库表级和(或)记录或字段级自主访问操作包括对客体的创建、读、写、修改和删除等 25
GB/T25070一2019 标记和强制访问控制在对安全管理员进行身份鉴别和权限控制的基础上,应由安全管理员通过特定操作界面对主、客体进行安全标记,将强制访问控制扩展到所有主体与客体;应按安全标记和强制访问控制规则,对确定主体访问客体的操作进行控制强制访问控制主体的粒度为用户级,客体的粒度为文件或数据库表级应确保安全计算环境内的所有主、客体具有一致的标记信息,并实施相同的强制访间控制规则 d 系统安全审计应记录系统相关安全事件审计记录包括安全事件的主体、客体,时间,类型和结果等内容应提供审计记录查询、分类、分析和存储保护;能对特定安全事件进行报警,终止违例进程等; 确保审计记录不被破坏或非授权访问以及防止审计记录丢失等应为安全管理中心提供接口;对不能由系统独立处理的安全事件,提供由授权主体调用的接口用户数据完整性保护应采用密码等技术支持的完整性校验机制,检验存储和处理的用户数据的完整性,以发现其完整性是否被破坏,且在其受到破坏时能对重要数据进行恢复用户数据保密性保护采用密码等技术支持的保密性保护机制,对在安全计算环境中的用户数据进行保密性保护客体安全重用 g 应采用具有安全客体复用功能的系统软件或具有相应功能的信息技术产品,对用户使用的客体资源,在这些客体资源重新分配前,对其原使用者的信息进行清除,以确保信息不被泄露可信验证 h 可基于可信根对计算节点的BIOs,引导程序、操作系统内核、应用程序等进行可信验证,并在应用程序的所有执行环节对系统调用的主体、客体、操作可信验证,并对中断、关键内存区域等执行资源进行可信验证,并在检测到其可信性受到破坏时采取措施恢复,并将验证结果形成审计记录,送至管理中心,进行动态关联感知配置可信检查应将系统的安全配置信息形成基准库,实时监控或定期检查配置信息的修改行为,及时修复和基准库中内容不符的配置信息,可将感知结果形成基准值人侵检测和恶意代码防范应通过主动免疫可信计算检验机制及时识别人侵和病毒行为,并将其有效阻断 9.3.1.2云安全计算环境设计技术要求本项要求包括: 用户身份鉴别 a 应支持注册到云计算服务的云租户建立主子账号,并采用用户名和用户标识符标识主子账号用户身份当进行远程管理时,管理终端和云计算平台边界设备之间应建立双向身份验证机制 b 用户账号保护应支持建立云租户账号体系,实现主体对虚拟机、云数据库、云网络、云存储等客体的访问授权. 安全审计应支持对云服务商和云租户远程管理时执行的特权命令进行审计应支持租户收集和查看与本租户资源相关的审计信息,保证云服务商对云租户系统和数据的访问操作可被租户审计 26
GB/T25070一2019 d)人侵防范应支持对云租户进行行为监控,对云租户发起的恶意攻击或恶意对外连接进行检测和告警数据保密性保护应提供重要业务数据加密服务,加密密钥由租户自行管理;应提供加密服务,保证虚拟机在迁移过程中重要数据的保密性数据备份与恢复应采取冗余架构或分布式架构设计;应支持数据多副本存储方式;应支持通用接口确保云租户可以将业务系统及数据迁移到其他云计算平台和本地系统,保证可移植性;应建立异地灾难备份中心,提供业务应用的实时切换虚拟化安全 g 应实现虚拟机之间的CPU内存和存储空间安全隔离,能检测到非授权管理虚拟机等情况,并进行告警;应禁止虚拟机对宿主机物理资源的直接访问,应能对异常访问进行告警;应支持不同云租户虚拟化阿络之间安全隔离;应监控物理机、宿主机.虚拟机的运行状态,并提供接口供安全管理中心集中监控 h)恶意代码防范物理机和宿主机应安装经过安全加固的操作系统或进行主机恶意代码防范;虚拟机应安装经过安全加固的操作系统或进行主机恶意代码防范;应支持对web应用恶意代码检测和防护的能力镜像和快照安全应支持镜像和快照提供对虚拟机镜像和快照文件的完整性保护;防止虚拟机镜像、快照中可能存在的敏感资源被非授权访问;针对重要业务系统提供安全加固的操作系统镜像或支持对操作系统镜像进行自加固 9.3.1.3移动互联安全计算环境设计技术要求本项要求包括用户身份鉴别 aa 应对移动终端用户实现基于口令或解锁图案、数字证书或动态口令、生物特征等方式的两种或两种以上的组合身份鉴别;应基于硬件为身份鉴别机制构建隔离的运行环境标记和强制访问控制应确保用户或进程对移动终端系统资源的最小使用权限;应根据安全策略,控制移劝终端接人访问外设,外设类型至少应包括扩展存储卡,GPs等定位设备、蓝牙、NFC等通信外设,并记录日志应用管控应具有软件白名单功能,能根据白名单控制应用软件安装、运行;应提供应用程序签名认证机制,拒绝未经过认证签名的应用软件安装和执行应确保移动终端为专用终端,不得处理与系统无关的业务安全域隔离应能够为重要应用提供基于容器,虚拟化等系统级隔离的运行环境,保证应用的输人、输出、存储信息不被非法获取移动设备管控应基于移动设备管理软件,实行对移动设备全生命周期管控,保证移动设备丢失或被盗后,通过网络定位搜寻设备的位置、远程锁定设备、远程擦除设备上的数据,使设备发出警报音,确保在能够定位和检索的同时最大程度地保护数据 27
GB/T25070一2019 数据保密性保护 f 应采取加密、混淆等措施,对移动应用程序进行保密性保护,防止被反编译;应实现对扩展存储设备的加密功能,确保数据存储的安全可信验证 g 应能对移动终端的引导程序操作系统内核、应用程序等进行可信验证,确保每个部件在加载前的真实性和完整性 9.3.1.4物联网系统安全计算环境设计技术要求本项要求包括: 感知层设备身份鉴别 a 应采用密码技术支持的鉴别机制实现感知层网关与感知设备之间的双向身份鉴别,确保数据来源于正确的设备;应对感知设备和感知层网关进行统一人网标识管理和维护,并确保在整个生存周期设备标识的唯一性;应采取措施对感知设备组成的组进行组认证以减少网络拥塞 b 感知层设备访问控制应通过制定安全策略如访问控制列表,实现对感知设备的访问控制;感知设备和其他设备(感知层网关、其他感知设备)通信时,根据安全策略对其他设备进行权限检查;感知设备进行更新配置时,根据安全策略对用户进行权限检查 9.3.1.5工业控制系统安全计算环境设计技术要求本项要求包括工业控制身份鉴别 a 现场控制层设备、现场设备层设备以及过程监控层设备应实施唯一性的标识、鉴别与认证,保证鉴别认证与功能完整性状态随时能得到实时验证与确认在控制设备及监控设备上运行的程序、相应的数据集合应有唯一性标识管理,防止未经授权的修改现场设备访问控制 b 应对通过身份鉴别的用户实施基于角色的访问控制策略,现场设备收到操作命令后,应检验该用户绑定的角色是否拥有执行该操作的权限,拥有权限的该用户获得授权,用户未获授权应向上层发出报警信息只有获得授权的用户才能对现场设备进行组态下装、软件更新、数据更新参数设定等操作,才能对控制器的操作界面进行操作 oPC服务器和客户机可分别单独放置在各自的安全区内,以访问控制设备进行隔离保护,应对进出安全区的信息实行访问控制等安全策略现场设备安全审计在有冗余的重要应用环境,双重或多重控制器应采用实时审计跟踪技术,确保及时捕获网络安全事件信息并报警现场设备数据完整性保护应采用密码技术或应采用物理保护机制保证现场控制层设备和现场设备层设备之间通信会话完整性现场设备数据保密性保护应采用密码技术支持的保密性保护机制或应采用物理保护机制,对现场设备层设备及连接到现场控制层的现场总线设备内存储的有保密需要的数据、程序、配置信息等进行保密性保护程序安全执行保护应构建从工程师站组态逻辑通过通讯链路下装到现场控制层的控制设备进行接收、存储的信任链或安全可控链,构建控制回路中从控制设备启动程序到操作系统(如果有的)直至到调用 28
GB/T25070一2019 控制应用程序、现场总线的接收-发送模块、现场设备层设备接收-发送模块的程序的信任链或安全可控链,以实现系统运行过程中可执行程序的完整性检验,防范恶意代码等攻击,并在检测到其完整性受到破坏时采取措施恢复;应构建基于系统的整个完整链路的可信的或安全可控的时钟源可信的或安全可控的同步和校时机制,防范恶意干扰和破坏控制过程完整性保护应在规定的时间内完成规定的任务,数据应以授权方式进行处理,确保数据不被非法篡改、不丢失,不延误,确保及时响应和处理事件,保护系统的同步机制、校时机制,保持控制周期稳定现场总线轮询周期稳定;现场设备应能识别和防范破坏控制过程完整性的攻击行为,应能识别和防止以合法身份合法路径干扰控制器等设备正常工作节奏的攻击行为;在控制系统遭到攻击无法保持正常运行时,应有故障隔离措施,应使系统导向预先定义好的安全的状态,将危害控制到最小范围安全区域边界设计技术要求 9.3.2 9.3.2.1通用安全区域边界设计技术要求本项要求包括区域边界访问拉制 a 应在安全区域边界设置自主和强制访问控制机制,应对源及目标计算节点的身份,地址、端口和应用协议等进行可信验证,对进出安全区域边界的数据信息进行控制,阻止非授权访问 b 区域边界包过滤应根据区域边界安全控制策略,通过检查数据包的源地址、目的地址、传输层协议、请求的服务等,确定是否允许该数据包进出受保护的区域边界区域边界安全审计应在安全区域边界设置审计机制,通过安全管理中心集中管理,对确认的违规行为及时报警并做出相应处置区域边界完整性保护 d 应在区域边界设置探测器,例如外接探测软件,探测非法外联和人侵行为,并及时报告安全管理中心可信验证可基于可信根对计算节点的BOs、引导程序、操作系统内核、安全管控程序等进行可信验证并在区域边界设备运行过程中实时的对程序内存空间、操作系统关键内存区域等执行资源进行可信验证,并在检测到其可信性受到破坏时采取措施恢复,并将验证结果形成审计记录,送至管理中心,进行动态关联感知 9.3.2.2云安全区域边界设计技术要求本项要求包括区域边界结构安全 a 应保证虚拟机只能接收到目的地址包括自己地址的报文或业务需求的广播报文,同时限制广播攻击;应实现不同租户间虚拟网络资源之间的隔离,并避免网络资源过量占用;应保证云计算平台管理流量与云租户业务流量分离;保证信息系统的外部通信接口经授权后方可传输数据;应确保云计算平台具有独立的资源池应能够识别、监控虚拟机之间,虚拟机;物理机之间的网络流量;提供开放接口或开放性安全服务,允许云租户接人第三方安全产品或在云平台选择第三方安全服务;应确保云租户的四级业 29
GB/T25070一2019 务应用系统具有独立的资源池 b 区域边界访问控制应保证当虚拟机迁移时,访问控制策略随其迁移;应允许云租户设置不同虚拟机之间的访问控制策略;应建立租户私有网络实现不同租户之间的安全隔离;应在网络边界处部署监控机制，对进出网络的流量实施有效监控区域边界人侵防范当虚拟机迁移时,人侵防范机制可应用于新的边界处;应将区域边界人侵防范机制纳人安全管理中心统一管理应向云租户提供互联网内容安全监测功能,对有害信息进行实时检测和告警应在关键区域边界处部署相应形态的文件级代码检测或文件运行行为检测的安全系统,对恶意代码进行检测和清除区域边界审计要求根据云服务商和云租户的职责划分,收集各自控制部分的审计数据;根据云服务商和云租户的职责划分,实现各自控制部分的集中市计当发生虚拟机迁移或虚拟资鄙变更时,安全审计机制可应用于新的边界处;为安全审计数据的汇集提供接口,并可供第三方审计;对确认的违规行为及时报警并做出相应处置 9.3.2.3移动互联安全区域边界设计技术要求 9.3.2.3.1区域边界访问控制应对接人系统的移动终端,采取基于SIM卡、证书等信息的强认证措施;应能限制移动设备在不同工作场景下对wiFi、3G4G等网络的访问能力 g.3.2.3.2区域边界完整性保护移动终端区域边界检测设备监控范围应完整覆盖移动终端办公区,并具备无线路由器设备位置检测功能,对于非法无线路由器设备接人进行报警和阻断 g.3.2.4物联网系统安全区域边界设计技术要求本项要求包括: 物联网系统区域边界访问控制 a 应能根据数据的时间戳为数据流提供明确的允许/拒绝访问的能力,控制粒度为节点级;应提供网络最大流量及网络连接数限制机制;应能够根据通信协议特性,控制不规范数据包的出人;应对进出网络的信息内容进行过滤,实现对通信协议的命令级的控制 b 物联网系统区域边界准人控制应在安全区域边界设置准人控制机制,能够对设备进行认证;应根据感知设备特点收集感知设备的健康性相关信息如固件版本、标识、配置信息校验值等,并能够对接人的感知设备进行健康性检查物联网系统区域边界协议过滤与控制应在安全区域边界设置协议过滤,能够对物联网通信内容进行深度检测和过滤,对通信报文进行合规检查;根据协议特性,设置相对应基于白名单控制机制 9.3.2.5工业控制系统安全区域边界设计技术要求本项要求包括 30
GB/T25070一2019 工控通信协议数据过滤 a 对通过安全区域边界的工控通信协议,应能识别其所承载的数据是否会对工控系统造成攻击或破坏,应控制通信流量、帧数量频度、变量的读取频度稳定且在正常范围内,保护控制器的工作节奏,识别和过滤写变量参数超出正常范围的数据,该控制过滤处理组件可配置在区域边界的网络设备上,也可配置在本安全区城内的工控通信协议的端点设备上或唯一的通信链路设备上 b 工控通信协议信息泄露防护应防止暴露本区域工控通信协议端点设备的用户名和登录密码,采用过滤变换技术隐藏用户名和登录密码等关键信息,将该端点设备单独分区过滤及其他具有相应防护功能的一种或一种以上组合机制进行防护工控区域边界安全审计应在安全区域边界设置实时监测告警机制,通过安全管理中心集中管理,对确认的违规行为及时向安全管理中心和工控值守人员报警并做出相应处置 g.3.3安全通信网络设计技术要求 9.3.3.1通用安全通信网络设计技术要求本项要求包括通信网络安全审计应在安全通信网络设置审计机制,由安全管理中心集中管理,并对确认的违规行为进行报警，且做出相应处置 b 通信网络数据传输完整性保护应采用由密码等技术支持的完整性校验机制,以实现通信网络数据传输完整性保护,并在发现完整性被破坏时进行恢复通信网络数据传输保密性保护采用由密码等技术支持的保密性保护机制,以实现通信网络数据传输保密性保护可信连接验证应采用具有网络可信连接保护功能的系统软件或具有相应功能的信息技术产品,在设备连接网络时,对源和目标平台身份、执行程序及其所有执行环节的执行资源进行可信验证,并将验证结果形成审计记录,送至管理中心,进行动态关联感知 9.3.3.2云安全通信网络设计技术要求本项要求包括通信网络数据传输保密性 a 应支持云租户远程通信数据保密性保护;应支持使用硬件加密设备对重要通信过程进行密码运算和密钥管理应对网络策略控制器和网络设备(或设备代理)之间网络通信进行加密通信网络可信接人保护应禁止通过互联网直接访问云计算平台物理网络;应提供开放接口,允许接人可信的第三方安全产品;应确保外部通信接口经授权后方可传输数据通信网络安全审计应支持租户收集和查看与本租户资源相关的审计信息;应保证云服务商对云租户通信网络的访问操作可被租户审计 31
GB/T25070一2019 应通过安全管理中心集中管理,并对确认的违规行为进行报警,且做出相应处置 9.3.3.3移动互联安全通信网络设计技术要求本项要求包括通信网络可信保护应通过VPDN等技术实现基于密码算法的可信网络连接机制,通过对连接到通信网络的设备进行可信检验,确保接入通信网络的设备真实可信,防止设备的非法接入 9.3.3.4物联网系统安全通信网络设计技术要求本项要求包括. 感知层网络数据新鲜性保护 a 应在感知层网络传输的数据中加人数据发布的序列信息如时间戳、计数器等,以实现感知层网络数据传输新鲜性保护 b 异构网安全接人保护应采用接人认证等技术建立异构网络的接人认证系统,保障控制信息的安全传输;应根据各按人网的工作职能,重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并采取相应的防护措施应对重要通信提供专用通信协议或安全通信协议服务,避免来自基于通用通信协议的攻击破坏数据完整性 9.3.3.5工业控制系统安全通信网络设计技术要求本项要求包括总线网络安全审计 a 应支持工控总线网络审计,可通过总线审计的接口对访问控制,请求错误、系统事件、备份和存储事件、配置变更,潜在的侦查行为等事件进行审计现场总线网络数据传输完整性保护 b 应采用适应现场总线特点的报文短、,时延小的密码技术支持的完整性校验机制或应采用物理保护机制,实现现场总线网络数据传输完整性保护无线网络数据传输完整性保护应采用密码技术支持的完整性校验机制,以实现无线网络数据传输完整性保护现场总线网络数据传输保密性保护应采用适应现场总线特点的报文短,时延小的密码技术支持的保密性保护机制或应采用物理保护机制,实现现场总线网络数据传输保密性保护无线网络数据传输保密性保护应采用由密码技术支持的保密性保护机制,以实现无线网络数据传输保密性保护工业控制网络实时响应要求对实时响应和操作要求高的场合,应把工业控制通信会话过程设计为三个阶段;开始阶段,应完成对主客体身份鉴别和授权;运行阶段,应保证对工业控制系统的实时响应和操作,此阶段应对主客体的安全状态实时监测;结束阶段,应以显式的方式结束在需要连续运行的场合，人员交接应不影响实时性,应保证访问控制机制的持续性通信网络异常监测应对工业控制系统的通讯数据、访问异常、业务操作异常、网络和设备流量、工作周期、抖动值运行模式、各站点状态,冗余机制等进行监测,发现异常进行报警;在有冗余现场总线和表决器的应用场合,可充分监测各冗余链路在同时刻的状态,捕获可能的恶意或人侵行为;应在相应 32
GB/T25070一2019 的网关设备上进行流量监测与管控,对超出最大PPS值的通信进行控制并报警 h 无线网络攻击的防护应对通过无线网络攻击的潜在威胁和可能产生的后果进行风险分析,应对可能遭受无线攻击的设备的信息发出信息外泄)和进人非法操控)进行屏蔽,可综合采用检测和干扰、电磁屏蔽、微波暗室吸收、物理保护等方法,在可能传播的频谐范围将无线信号衰减到不能有效接收的程度 9.3.4安全管理中心设计技术要求 9.3.4.1系统管理可通过系统管理员对系统的资源和运行进行配置、控制和可信管理,包括用户身份、可信证书、可信基准库、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计在进行云计算平台安全设计时,安全管理应提供查询云租户数据及备份存储位置的方式;云计算平台的运维应在境内,境外对境内云计算平台实施运维操作应遵循国家相关规定在进行物联网系统安全设计时,应通过系统管理员对感知设备、感知网关等进行统一身份标识管理;应通过系统管理员对感知设备状态(电力供应情况、是否在线、位置等)进行统一监测和处理应通过系统管理员对下载到感知设备上的应用软件进行授权在进行工业控制系统安全设计时,安全管理中心系统应具有自身运行监控与告警、系统日志记录等功能 9.3.4.2安全管理应通过安全管理员对系统中的主体、客体进行统一标记,对主体进行授权,配置可信验证策略,并确保标记、授权和安全策略的数据完整性应对安全管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全管理操作,并进行审计在进行云计算平台安全设计时,安全管理应具有对攻击行为回溯分析以及对网络安全事件进行预测和预警的能力;应具有对网络安全态势进行感知预测和预判的能力在进行物联网系统安全设计时,应通过安全管理员对系统中所使用的密钥进行统一管理,包括密钥的生成.分发,更新、存航.备份、销毁等,并采取必要措施保证密钥安全在进行工业控制系统安全设计时,应通过安全管理员对工业控制系统设备的可用性和安全性进行实时监控,可以对监控指标设置告警值,触发告警并记录;应通过安全管理员在安全管理中心呈现设备间的访问关系,及时发现未定义的信息通讯行为以及识别重要业务操作指令级的异常;应通过安全管理员分析系统面临的安全风险和安全态势 9.3.4.3审计管理应通过安全审计员对分布在系统各个组成部分的安全审计机制进行集中管理,包括根据安全审计策略对审计记录进行分类;提供按时间段开启和关闭相应类型的安全审计机制;对各类审计记录进行存储、管理和查询等,对审计记录应进行分析,并根据分析结果进行及时处理应对安全审计员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全审计操作在进行云计算平台安全设计时,云计算平台应对云服务器、云数据库、云存储等云服务的创建、删除 33
GB/T25070一2019 等操作行为进行审计;应通过运维审计系统对管理员的运维行为进行安全审计;应通过租户隔离机制，确保审计数据隔离的有效性在进行工业控制系统安全设计时,应通过安全管理员对工业控制现场控制设备、网络安全设备、网络设备、服务器,操作站等设备中主体和客体进行登记,并对各设备的网络安全监控和报警,网络安全日志信息进行集中管理根据安全审计策略对各类网络安全信息进行分类管理与查询,并生成统一的审计报告系统对各类安全报警和日志信息进行关联分析系统通过各设备安全日志信息的关联分析提取出少量的、或者是概括性的重要安全事件或发掘隐藏的攻击规律,进行重点报警和分析,并对全局存在类似风险的系统进行安全预警 9.3.5系统安全保护环境结构化设计技术要求 9.3.5.1安全保护部件结构化设计技术要求第四级系统安全保护环境各安全保护部件的设计应基于形式化的安全策略模型安全保护部件应划分为关键安全保护部件和非关键安全保护部件,防止违背安全策略致使敏感信息从关键安全保护部件流向非关键安全保护部件关键安全保护部件应划分功能层次,明确定义功能层次间的调用接口,确保接口之间的安全交换 9.3.5.2安全保护部件互联结构化设计技术要求第四级系统各安全保护部件之间互联的接口功能及其调用关系应明确定义;各安全保护部件之间互联时,需要通过可信验证机制相互验证对方的可信性,确保安全保护部件间的可信连接 9.3.5.3重要参数结构化设计技术要求应对第四级系统安全保护环境设计实现的与安全策略相关的重要参数的数据结构给出明确定义包括参数的类型、使用描述以及功能说明等,并用可信验证机制确保数据不被篡改第五级系统安全保护环境设计 10 略定级系统互联设计 11.1设计目标定级系统互联的设计目标是:对相同或不同等级的定级系统之间的互联、互通、互操作进行安全保护,确保用户身份的真实性、操作的安全性以及抗抵赖性,并按安全策略对信息流向进行严格控制,确保进出安全计算环境、安全区域边界以及安全通信网络的数据安全 11.2设计策略定级系统互联的设计策略是;遵循GB17859-1999对各级系统的安全保护要求,在各定级系统的计算环境安全、区域边界安全和通信网络安全的基础上,通过安全管理中心增加相应的安全互联策略，保持用户身份、主/客体标记、访问控制策略等安全要素的一致性,对互联系统之间的互操作和数据交换进行安全保护 34
GB/T25070一2019 113设计技术要求 1.3.1安全互联部件设计技术要求应通过通信网络交换网关与各定级系统安全保护环境的安全通信网络部件相连接,并按互联互通的安全策略进行信息交换,实现安全互联部件安全策略由跨定级系统安全管理中心实施 113.2跨定级系统安全管理中心设计技术要求 11.3.2.1系统管理应通过安全通信网络部件与各定级系统安全保护环境中的安全管理中心相连,主要实施跨定级系统的系统管理应通过系统管理员对安全互联部件与相同和不同等级的定级系统中与安全互联相关的系统资源和运行进行配置和管理,包括用户身份管理、安全互联部件资源配置和管理等 11.3.2.2安全管理应通过安全通信网络部什与各定级系统安全保护环境中的安全管理中心相连,主要实施跨定级系统的安全管理应通过安全管理员对相同和不同等级的定级系统中与安全互联相关的主/客体进行标记管理,使其标记能准确反映主/客体在定级系统中的安全属性;对主体进行授权,配置统一的安全策略,并确保授权在相同和不同等级的定级系统中的合理性 11.3.2.3审计管理应通过安全通信网络部件与各定级系统安全保护环境中的安全管理中心相连,主要实施跨定级系统的审计管理应通过安全审计员对安全互联部件的安全审计机制各定级系统的安全审计机制以及与跨定级系统互联有关的安全审计机制进行集中管理包括根据安全审计策略对审计记录进行分类; 提供按时间段开启和关闭相应类型的安全审计机制;对各类审计记录进行存储、管理和查询等对审计记录应进行分析,并根据分析结果进行及时处理 35
GB/T25070一2019 附录 A 资料性附录) 访问控制机制设计自主访问控制机制设计 A.1 系统在初始配置过程中,安全管理中心首先需要对系统中的主体及客体进行登记命名,然后根据自主访问控制安全策略,按照主体对其创建客体的授权命令,为相关主体授权,规定主体允许访问的客体和操作,并形成访问控制列表自主访问控制机制结构如图A.1所示用户登录系统时,首先进行身份鉴别,经确认为合法的注册用户可登录系统,并执行相应的程序当执行程序(主体)发出访问系统中资源(客体)的请求后,自主访问控制安全机制将截获该请求,然后查询对应的访问控制列表如果该请求符合自主访问控制列表规定的权限,则允许其执行;否则将拒绝执行,并将此行为记录在审计记录中执行程序主体请求访同客体执行请求主体返回用户用户组主体访问权限获取审计符合性检查符合访问操作读取客体内容自主访问控制策略用户请求定制策略设置审计管理用户身份和授权管理" 安全管理中心图A.1自主访问控制机制结构 A.2强制访问控制机制设计系统在初始配置过程中,安全管理中心需要对系统中的确定主体及其所控制的客体实施身份管理、标记管理、授权管理和策略管理身份管理确定系统中所有合法用户的身份、工作密钥、证书等与安全相关的内容标记管理根据业务系统的需要,结合客体资源的重要程度,确定系统中所有客体资源的安全级别及范瞎,生成全局客体安全标记列表;同时根据用户在业务系统中的权限和角色确定主体的安全级别及范睦,生成全局主体安全标记列表授权管理根据业务系统需求和安全状况,授予用户(主体)访 36
GB/T25070一2019 问资源(客体)的权限,生成强制访问控制策略和级别调整策略列表策略管理则根据业务系统的需求生成与执行主体相关的策略,包括强制访问控制策略和级别调整策略除此之外,安全审计员需要通过安全管理中心制定系统审计策略,实施系统的审计管理强制访问控制机制结构如图A.2所示系统在初始执行时,首先要求用户标识自己的身份,经过系统身份认证确认为授权主体后,系统将下载全局主/客体安全标记列表及与该主体对应的访问控制列表,并对其进行初始化当执行程序(主体)发出访问系统中资源客体)的请求后,系统安全机制将截获该请求,并从中取出访问控制相关的主体、客体、操作三要素信息,然后查询全局主/客体安全标记列表,得到主/客体的安全标记信息,并依据强制访问控制策略对该请求实施策略符合性检查如果该请求符合系统强制访问控制策略,则系统将允许该主体执行资源访问否则,系统将进行级别调整审核,即依据级别调整策略,判断发出该请求的主体是否有权访问该客体如果上述检查通过,系统同样允许该主体执行资源访问,否则,该请求将被系统拒绝执行系统强制访间控制机制在执行安全策略过程中,需要根据安全审计员制定的审计策略,对用户的请求及安全决策结果进行审计,并且将生成的审计记录发送到审计服务器存储,供安全审计员管理执行程序主体请求访问客体执行拒绝请求返回返回主体身价标记不符合按级别判符合级别调整定策略符审计允许训整检查合性访强制访问控制执行间操作客休强制访问控制级别调整策略策略客体名标记内容用户身份管理标记管理、授权管理、策略管理审计管理安全管理中心图A.2强制访问控制机制结构 37
GB/T25070一2019 附录 B 资料性附录) 第三级系统安全保护环境设计示例 B.1概述根据“一个中心"管理下的“三重防护”体系框架,构建安全机制和策略,形成定级系统的安全保护环境该环境分为如下四部分;安全计算环境,安全区域边界、安全通信网络和安全管理中心每个部分由 1个或若干个子系统(安全保护部件)组成,子系统具有安全保护功能独立完整、调用接口简洁、与安全产品相对应和易于管理等特征安全计算环境可细分为节点子系统和典型应用支撑子系统;安全管理中心可细分为系统管理子系统、安全管理子系统和审计子系统以上各子系统之间的逻辑关系如图B.1所示安全计算环境安全区域边界安全通信网络计算节点n 算节点2LIN 计算节点WI 应应用系统应用平台数据传拉探用户登录请求访间系执行返回本地网络下较策略资源层可信验证器内外赞性保护策略符合上桃全局客体性检查心 T饭通访问控制信必级别调整检查级别调整检查策略表统可信计算设备可信计算设备可信计算设备策略服务系统管理服务审计服务用户身份标记管理授权管理策略管理资源管理应急处理管理理审计管理安全管理中系统管安全管理子系统审计子系统系统管理系级跨定级系统安全管理中心图B.1第三级系统安全保护环境结构与流程 38
GB/T25070一2019 B.2各子系统主要功能第三级系统安全保护环境各子系统的主要功能如下节点子系统节点子系统通过在操作系统核心层,系统层设置以强制访问控制为主体的系统安全机制,形成防护层,通过对用户行为的控制,可以有效防止非授权用户访问和授权用户越权访问,确保信息和信息系统的保密性和完整性,为典型应用支撑子系统的正常运行和免遭恶意破坏提供支撑和保障 b 典型应用支撑子系统典型应用支撑子系统是系统安全保护环境中为应用系统提供安全支撑服务的接口通过接口平台使应用系统的主客体与保护环境的主客体相对应,达到访问控制策略实现的一致性区域边界子系统区域边界子系统通过对进人和流出安全保护环境的信息流进行安全检查,确保不会有违反系纷安全策略的信息流经过边界通信网络子系统 d 通信网络子系统通过对通信数据包的保密性和完整性的保护,确保其在传输过程中不会被非授权窃听和篡改,以保障数据在传输过程中的安全系统管理子系统系统管理子系统负责对安全保护环境中的计算节点、安全区域边界、安全通信网络实施集中管理和维护,包括用户身份管理、资源配置和可信库管理、异常情况处理等安全管理子系统安全管理子系统是系统的安全控制中枢主要实施标记管理、授权管理及可信管理等安全管理子系统通过制定相应的系统安全策略,并要求节点子系统,区域边界子系统和通信网络子系统强制执行,从而实现对整个信息系统的集中管理审计子系统审计子系统是系统的监督中枢安全审计员通过制定审计策略,并要求节点子系统,区域边界子系统、通信网络子系统、安全管理子系统、系统管理子系统强制执行,实现对整个信息系统的行为审计,确保用户无法抵赖违反系统安全策略的行为,同时为应急处理提供依据 B.3各子系统主要流程第三级系统安全保护环境的结构与流程可以分为安全管理流程与访问控制流程安全管理流程主要由安全管理员、系统管理员和安全审计员通过安全管理中心执行,分别实施系统维护,安全策略制定和部署、审计记录分析和结果响应等访问控制流程则在系统运行时执行,实施自主访问控制、强制访问控制等策略初始化流程节点子系统在运行之前,首先由安全管理员、系统管理员和安全审计员通过安全管理中心为其部署相应的安全策略其中,系统管理员首先需要为定级系统中的所有用户实施身份管理,即确定所有用户的身份、工作密钥、证书等同时需要为定级系统实施资源管理,以确定业务系统正常运行需要使用的执行程序等安全管理员需要通过安全管理中心为定级系统中所有主、客体实施标记管理,即根据业务系统的需要,结合客体资源的重要程度,确定其安全级,生成全局客体安全标记列表同时根据用户在业务系统中的权限和角色确定其安全标记,生成全局主体安全标 39
GB/T25070一2019 记列表在此基础上,安全管理员需要根据系统需求和安全状况,为主体实施授权管理,即授予用户访问客体资源的权限,生成强制访问控制列表和级别调整策略列表除此之外,安全审计员需要通过安全管理中心中的审计子系统制定系统审计策略,实施系统的审核管理如果定级系统需要和其他系统进行互联,则上述初始化流程需要结合跨定级系统安全管理中心制定的策略执行 b 计算节点启动流程策略初始化完成后,授权用户才可以启动并使用计算节点访问定级系统中的客体资源为了确保计算节点的系统完整性,节点子系统在启动时需要对所装载的可执行代码进行可信验证,确保其在可执行代码预期值列表中,并且程序完整性没有遭到破坏计算节点启动后,用户便可以安全地登录系统在此过程中,系统首先装载代表用户身份唯一标识的硬件令牌,然后获取其中的用户信息,进而验证登录用户是否是该节点上的授权用户如果检查通过,系统将请求策略服务器下载与该用户相关的系统安全策略下载成功后,系统可信计算基将确定执行主体的数据结构,并初始化用户工作空间此后,该用户便可以通过启动应用访问定级系统中的客体资源计算节点访问控制流程用户启动应用形成执行主体后执行主体将代表用户发出访问本地或网络资源的请求,该请求将被操作系统访问控制模块截获访问控制模块首先依据自主访问控制策略对其执行策略符合性检查如果自主访问控制策略符合性检查通过,则该请求允许被执行;否则,访问控制模块依据强制访问控制策略对该请求执行策略符合性检查如果强制访问策略符合性检查通过,那么该请求允许被执行;否则,系统对其进行级别调整检查即依照级别调整检查策略,判断发出该请求的主体是否有权访问该客体如果通过,该请求同样允许被执行;否则,该请求被拒绝执行系统访问控制机制在安全决策过程中,需要根据安全审计员制定的审计策略,对用户的请求及决策结果进行审计,并且将生成的审计记录发送到审计服务器存储,供安全审计员检查和处理跨计算节点访问控制流程 d 如果主体和其所请求访问的客体资源不在同一个计算节点,则该请求会被可信接人模块截获,用来判断该请求是否会破坏系统安全在进行接人检查前,模块首先通知系统安全代理获取对方计算节点的身份,并检验其安全性如果检验结果是不安全的,则系统拒绝该请求;否则,系统将依据强制访问控制策略,判断该主体是否允许访问相应端口如果检查通过,该请求被放行;否则该请求被拒绝跨边界访问控制流程如果主体和其所请求访问的客体资源不在同一个安全保护环境内,那么该请求将会被区域边界控制设备截获并且进行安全性检查,检查过程类似于跨计算节点访问控制流程 B.4第三级系统可信验证实现机制可信验证是基于可信根,构建信任链，一级度量一级,一级信任一级,把信任关系扩大到整个计算节点,从而确保计算节点可信的过程,可信验证实现框架如图B2所示可信根内部有密码算法引擎,可信裁决逻辑、可信存储寄存器等部件,可以向节点提供可信度量,可信存储、可信报告等可信功能,是节点信任链的起点可信固件内嵌在BIOS之中,用来验证操作系统引导程序的可信性可信基础软件由店不信任可信支撑机制,可信基准库和主动监控机制组成其中基本信任基内嵌在引导程序之中,在节点启动时从HOS中接过控制权,验证操作系统内核的可信性可信支撑机制向应用程序传递可信硬件和可信基础软件的可信支撑功能,并将可信管理信息传送给可信基础软件可信基准库存放节点各对象的可信基准值和预定控制策略主动监控机制实现对应用程序的行为监测，判断应用程序的可信状态,根据可信状态确定并调度安全应对措施主动监控机制根据其功能可以分成 40
GB/T25070一2019 控制机制,度量机制和决策机制控制机制主动截获应用程序发出的系统调用,既可以在截获点提取监测信息提交可信度量机制,也可以依据判定机制的决策,在截获点实施控制措施度量机制依据可信基础库度量可信基础软件、安全机制和监测行为,确定其可信状态可信判定机制依据度量结果和预设策略确定当前的安全应对措施,并调用不同的安全机制实施这些措施安全管理中心应用应用应用系统管理安全管理审计管理应用进程主体审略计下控制机制协作机制访问访问访间判定机制控制控制控拦机制机制机制刺机可信集基难库度量机制合支撑机制主动监控机制访问控制机制基本信任基数据1 数据2 可信极可信圆什验证数据资源(客体可信硬件平台图B.2可信验证实现框架图 41
GB/T25070一2019 附录 C 资料性附录) 大数据设计技术要求 C.1大数据等级保护安全技术设计框架大数据等级保护安全技术体系设计,从大数据应用安全,大数据支撑环境安全、访问安全、数据传输安全及管理安全等角度出发,围绕“一个中心,三重防护”的原则构建大数据安全防护技术设计框架,其中个中心指安全管理中心,三重防护包括安全计算环境,安全区域边界和安全通信网络,具体如图C.1所示区域边界通信网络计算环境安全安全安全数据传输安全访问层采集安全存储安全预处理安全处理安全应用安全安全分析挖掘终端采集聚合大数据数据存储可视化数据导入切分业务处理备份恢复交易用户输入交换共享清洗数据保密性网络访问安全计算与分析安全批处理流处理数据完整性接口安全数据组织与分布安全大数据资狐管内存分布文档数据库图数据库理安全文件系统分布 NsQL数据库分布计算基础设施安全云计算 Dcker 服务器网络安全管理中心系统管理安全管理审计管理安全管理中心图c.1大数据系统等级保护安全技术设计框架大数据业务安全;对采集、预处理、存储、处理及应用等大数据业务采用适合的安全防护技术,保障大数据应用的安全大数据应用支撑环境安全;对大数据应用的计算基础设施、数据组织与分布应用软件,计算与分析应用软件等各层面,采用适合的安全防护技术及监管措施,保障大数据应用支撑环境的安全区域边界安全;采用适合的网络安全防护技术,保障网络访问安全、接口安全等通信网络安全:对采集数据和用户数据的网络传输进行安全保护,保障数据传输过程的完整性和保密 42
GB/T25070一2019 性不受破坏安全管理中心;对系统管理、安全管理和审计管理实行统一管理 C.2第一级系统安全保护环境设计 C.2.1大数据系统安全计算环境设计技术要求可信访问控制应提供大数据访问可信验证机制,并对大数据的访问、处理及使用行为进行控制 C.2.2大数据系统安全区域边界设计技术要求应遵守6.3.2.1 C.2.3大数据系统安全通信网络设计技术要求应遵守6.3.3.1 c.3第二级系统安全保护环境设计 C3.1大数据系统安全计算环境设计技术要求可信访问控制 a 应提供大数据访问可信验证机制,并对大数据的访问、处理及使用行为进行细粒度控制,对主体客体进行可信验证数据保密性保护应提供数据脱敏和去标识化等机制,确保敏感数据的安全性;应采用技术手段防止进行未授权的数据分析剩余信息保护应为大数据应用提供数据销毁机制,并明确销毁方式和销毁要求 C3.2大数据系统安全区域边界设计技术要求应遵守7.3.2.1 C3.3大数据系统安全通信网络设计技术要求应遵守7.3.3.1 C.4第三级系统安全保护环境设计 C.4.1大数据系统安全计算环境设计技术要求可信访问控制应对大数据进行分级分类,并确保在数据采集、存储、处理及使用的整个生命周期内分级分类策略的一致性;应提供大数据访问可信验证机制,并对大数据的访问、处理及使用行为进行细粒度控制,对主体客体进行可信验证 b 数据保密性保护应提供数据脱敏和去标识化等机制,确保敏感数据的安全性;应采用技术手段防止进行未授权的 43
GB/T25070一2019 数据分析 c 剩余信息保护应为大数据应用提供基于数据分类分级的数据销毁机制,并明确销毁方式和销毁要求 d 数据溯源应采用技术手段实现敏感信息、个人信息等重要数据的数据溯源个人信息保护应仅采集和保护业务必须的个人信息 C.4.2大数据系统安全区域边界设计技术要求区域边界访问控制 a 应仅允许符合安全策略的设备通过受控接口接人大数据信息系统网络 C.43大数据系统安全通信网络设计技术要求应遵守8.3.3.l C.5第四级系统安全保护环境设计 C.5.1大数据系统安全计算环境设计技术要求可信访问控制 a 应对大数据进行分级分类,并确保在数据采集、存储、处理及使用的整个生命周期内分级分类策略的一致性;应提供大数据访问可信验证机制,并对大数据的访问、处理及使用行为进行细粒度控制,对主体客体进行可信验证数据保密性保护 b 应提供数据脱敏和去标识化等机制,确保敏感数据的安全性;应提供数据加密保护机制,确保数据存储安全;应采用技术手段防止进行未授权的数据分析剩余信息保护应为大数据应用提供基于数据分类分级的数据销毁机制,并明确销毁方式和销毁要求数据溯源 d 应采用技术手段实现敏感信息、个人信息等重要数据的数据溯源个人信息保护应仅采集和保护业务必须的个人信息 c.5.2大数据系统安全区域边界设计技术要求区域边界访问控制 a 应仅允许符合安全策略的设备通过受控接口接人大数据信息系统网络 C.5.3大数据系统安全通信网络设计技术要求应遵守9.3.3.1 44
GB/T25070一2019 考文参献 ] GB/T20269-2006信息安全技术信息系统安全管理要求 GB/T202702006 [21 信息安全技术网络基础安全技术要求 [B1 GB/T20271一2006信息安全技术信息系统通用安全技术要求 [4 GB/T202722006 信息安全技术操作系统安全技术要求 [ GB/T202732006 信息安全技术数据库管理系统安全技术要求 [G7 GB/T202822006 信息安全技术信息系统安全工程管理要求 [7 GB/T210282007 信息安全技术服务器安全技术要求 GB/T21052一2007 [8 信息安全技术信息系统物理安全技术要求 [9 GB/T222392019 信息安全技术网络安全等级保护基本要求 [10 GB/T32400一2015信息技术云计算概览与词汇 [ GA/T7092007信息安全技术信息系统安全等级保护基本模型 [口2信息安全等级保护管理办法(公通字2718号 13 IEC/TS62443-1-1lndustrialcommunicationnetworksNetworkandsystemsecurityPart1-1: Terminology conceptsandmodels

信息安全技术网络安全等级保护安全设计技术要求GB/T25070-2019

随着互联网的普及和信息化水平的不断提高，网络安全已经成为一个重要的社会问题。为了保障信息系统的安全性，国家制定了一系列的技术标准和规范。其中，《信息安全技术网络安全等级保护安全设计技术要求GB/T25070-2019》（以下简称《标准》）是当前最为重要的标准之一。一、标准主要内容《标准》主要包含以下内容： 1.等级保护的基本概念和原则：包括等级保护的定义、等级保护的目的和原则等方面的内容。 2.等级保护的组织和管理：包括等级保护的组织架构、责任分工、管理流程等方面的要求。 3.等级保护的安全技术措施：包括安全防护措施、安全监测措施、安全应急措施等方面的要求。 4.等级保护的安全设计：包括安全需求分析、安全功能设计、安全技术方案设计等方面的要求。二、标准实施建议在实际应用中，为了更好地落实《标准》的要求，可以采取以下实施建议： 1.建立健全的安全管理体系，制定相关的安全管理制度和流程，确保等级保护工作的科学化和规范化。 2.对信息系统进行全面评估，识别安全风险，并根据等级保护的原则和要求，制定相应的安全措施和方案。 3.加强安全技术培训和教育，提高员工的安全意识和技能水平，培养安全人才队伍。 4.与安全厂商合作，使用先进的安全防护设备和技术，提升信息系统的安全性。三、总结《信息安全技术网络安全等级保护安全设计技术要求GB/T25070-2019》是当前网络安全领域最重要的标准之一。遵循该标准的要求，可以有效提升信息系统的安全性，保障信息系统的正常运行。因此，企业在进行信息系统建设和维护时，应该注重遵循该标准的要求，加强信息安全管理，提高信息系统的安全性。

信息安全技术网络安全等级保护安全设计技术要求的相关资料

和信息安全技术网络安全等级保护安全设计技术要求类似的标准

声明： 本站所有资源均来源于互联网，本站仅作为观摩学习的环境，将不对任何资源负法律责任。如果无意侵犯了您的权利，请及时发送邮件到“abc@gbbz.net”，本站会第一时间进行改正或删除处理，保证您的权利！本站资源仅供学习和参考，请勿用于商业用途，并请于下载后24小时内删除，否则产生的一切后果将由您承担！

GB/T25070-2019

信息安全技术网络安全等级保护安全设计技术要求

Informationsecuritytechnology—Technicalrequirementsofsecuritydesignforclassifiedprotectionofcybersecurity

以图片形式预览信息安全技术网络安全等级保护安全设计技术要求