1 范围

      本标准规定了网络安全等级保护第一级到第四级等级保护对象的安全设计技术要求。

      本标准适用于指导运营使用单位、网络安全企业、网络安全服务机构开展网络安全等级保护安全技术方案的设计和实施，也可作为网络安全职能部门进行监督、检查和指导的依据。

      注：第五级等级保护对象是非常重要的监督管理对象，对其有特殊的管理模式和安全设计技术要求，所以不在本标准中进行描述。

2 规范性引用文件

      下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

      GB 17859-1999 计算机信息系统 安全保护等级划分准则

      GB/T 22240-2008 信息安全技术 信息系统安全等级保护定级指南

      GB/T 25069-2010 信息安全技术 术语

      GB/T 31167-2014 信息安全技术 云计算服务安全指南

      GB/T 31168-2014 信息安全技术 云计算服务安全能力要求

      GB/T 32919-2016 信息安全技术 工业控制系统安全控制应用指南

3 术语和定义

      GB 17859-1999、GB/T 22240-2008、GB/T 25069-2010、GB/T 31167-2014、GB/T 31168-2014和GB/T 32919-2016界定的以及下列术语和定义适用于本文件。为了便于使用，以下重复列出了GB/T 31167-2014中的一些术语和定义。

3.1

      网络安全 cybersecurity

      通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。

      ［GB/T 22239-2019，定义3.1］

3.2

      定级系统 classified system

      已确定安全保护等级的系统。定级系统分为第一级、第二级、第三级、第四级和第五级系统。

3.3

      定级系统安全保护环境 security environment of classified system

      由安全计算环境、安全区域边界、安全通信网络和（或）安全管理中心构成的对定级系统进行安全保护的环境。

3.4

      安全计算环境 security computing environment

      对定级系统的信息进行存储、处理及实施安全策略的相关部件。

3.5

      安全区域边界 security area boundary

      对定级系统的安全计算环境边界，以及安全计算环境与安全通信网络之间实现连接并实施安全策略的相关部件。

3.6

      安全通信网络 security communication network

      对定级系统安全计算环境之间进行信息传输及实施安全策略的相关部件。

3.7

      安全管理中心 security management center

      对定级系统的安全策略及安全计算环境、安全区域边界和安全通信网络上的安全机制实施统一管理的平台或区域。

3.8

      跨定级系统安全管理中心 security management center for cross classified system

      对相同或不同等级的定级系统之间互联的安全策略及安全互联部件上的安全机制实施统一管理的平台或区域。

3.9

      定级系统互联 classified system interconnection

      通过安全互联部件和跨定级系统安全管理中心实现的相同或不同等级的定级系统安全保护环境之间的安全连接。

3.10

      云计算 cloud computing

      一种通过网络将可伸缩、弹性的共享物理和虚拟资源池以按需自服务的方式供应和管理的模式。注：资源包括服务器、操作系统、网络、软件、应用和存储设备等。

      ［GB/T 32400-2015，定义3.2.5］

3.11

      云计算平台 cloud computing platform

      云服务商提供的云计算基础设施及其上的服务层软件的集合。

      ［GB/T 31167-2014，定义3.7］

3.12

      云计算环境 cloud computing environment

      云服务商提供的云计算平台及客户在云计算平台之上部署的软件及相关组件的集合。

      ［GB/T 31167-2014，定义3.8］

3.13

      移动互联系统 mobile interconnection system

      采用了移动互联技术，以移动应用为主要发布形式，用户通过mobile internet system 移动终端获取业务和服务的信息系统。

3.14

      物联网 internet of things

      将感知节点设备通过互联网等网络连接起来构成的系统。

      ［GB/T 22239-2019，定义3.15］

3.15

      感知层网关 sensor layer gateway

      将感知节点所采集的数据进行汇总、适当处理或数据融合，并进行转发的装置。

3.16

      感知节点设备 sensor node

      对物或环境进行信息采集和/或执行操作，并能联网进行通信的装置。

3.17

      数据新鲜性 data freshness

      对所接收的历史数据或超出时限的数据进行识别的特性。

3.18

      现场设备 field device

      连接到ICS现场的设备，现场设备的类型包括RTU、PLC、传感器、执行器、人机界面以及相关的通讯设备等。

3.19

      现场总线 fieldbus

      一种处于工业现场底层设备（如传感器、执行器、控制器和控制室设备等）之间的数字串行多点双向数据总线或通信链路。利用现场总线技术不需要在控制器和每个现场设备之间点对点布线。总线协议是用来定义现场总线网络上的消息，每个消息标识了网络上特定的传感器。

4 缩略语

      下列缩略语适用于本文件。

      3G：第三代移动通信技术（3rd Generation Mobile Communication Technology）

      4G：第四代移动通信技术（4th Generation Mobile Communication Technology）

      API：应用程序编程接口（Application Programming Interface）

      BIOS：基本输入输出系统（Basic Input Output System）

      CPU：中央处理器（Central Processing Unit）

      DMZ：隔离区（Demilitarized Zone）

      GPS：全球定位系统（Global Positioning System）

      ICS：工业控制系统（Industrial Control System）

      IoT：物联网（Internet of Things）

      NFC：近场通信/近距离无线通信技术（Near Field Communication）

      OLE：对象连接与嵌入（Object Linking and Embedding）

      OPC：用于过程控制的OLE（OLE for Process Control）

      PLC：可编程逻辑控制器（Programmable Logic Controller）

      RTU：远程终端单元（Remote Terminal Units）

      VPDN：虚拟专用拨号网（Virtual Private Dial-up Networks）

      SIM：用户身份识别模块（Subscriber Identification Module）

      WiFi：无线保真（Wireless Fidelity）

以上为标准部分内容，也可点击下方链接下载标准原文：

下载地址：《GB/T 25070-2019 信息安全技术 网络安全等级保护安全设计技术要求》