GB/T 25068.1-2020
基本信息
标准号: GB/T 25068.1-2020
中文名称:信息技术 安全技术 网络安全第1部分:综述和概念
标准类别:国家标准(GB)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
标准分类号
关联标准
出版信息
相关单位信息
标准简介
GB/T 25068.1-2020.Information technology-Security techniques-Network security-Part 1 :Overview and concepts.
GB/T 25068.1规定了网络安全概述和相关定义、定义和描述了与网络安全相关的概念并提供了有关网络安全的管理指导(本部分的网络安全适用于通过通信链路传送的信息安全、设备安全以及与设备、应用/服务和最终用户相关的管理活动的安全)。
GB/T 25068.1的使用者包括拥有、运行或使用网络的任何人,包括高级管理人员和其他非技术管理人员或用户,以及对信息安全和/或网络安全、网络操作负有特定责任的或对组织的整体安全计划和安全策略制定负责的经理和管理员。此外,还包括参与网络安全架构方面的规划.设计和实施的所有人。
本部分还包括以下内容:
提供了识别和分析网络安全风险的指南,并基于上述分析定义网络安全需求;
提供了支持网络技术安全架构和相关技术控制的综述,以及不仅适用于网络的技术和非技术控制;
介绍了如何实现高质量的网络技术安全架构,以及与典型网络场景和网络“技术”领域相关的风险、设计和控制要素(在GB/T 25068的其他部分中详细论述),简述了与实施和运行网络安全控制有关的问题,以及对其实施进行持续监督和评审的相关问题。
GB/T 25068.1提供了GB/T25068系列标准的概述和对其他部分的指引。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
ISO/IEC 7498(所有部分)信息技术开放系统互连 基本参考 模型:命名与编址(Information technology-Open systems interconnection-Basic reference model: Naming and addressing)
GB/T 25068.1规定了网络安全概述和相关定义、定义和描述了与网络安全相关的概念并提供了有关网络安全的管理指导(本部分的网络安全适用于通过通信链路传送的信息安全、设备安全以及与设备、应用/服务和最终用户相关的管理活动的安全)。
GB/T 25068.1的使用者包括拥有、运行或使用网络的任何人,包括高级管理人员和其他非技术管理人员或用户,以及对信息安全和/或网络安全、网络操作负有特定责任的或对组织的整体安全计划和安全策略制定负责的经理和管理员。此外,还包括参与网络安全架构方面的规划.设计和实施的所有人。
本部分还包括以下内容:
提供了识别和分析网络安全风险的指南,并基于上述分析定义网络安全需求;
提供了支持网络技术安全架构和相关技术控制的综述,以及不仅适用于网络的技术和非技术控制;
介绍了如何实现高质量的网络技术安全架构,以及与典型网络场景和网络“技术”领域相关的风险、设计和控制要素(在GB/T 25068的其他部分中详细论述),简述了与实施和运行网络安全控制有关的问题,以及对其实施进行持续监督和评审的相关问题。
GB/T 25068.1提供了GB/T25068系列标准的概述和对其他部分的指引。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
ISO/IEC 7498(所有部分)信息技术开放系统互连 基本参考 模型:命名与编址(Information technology-Open systems interconnection-Basic reference model: Naming and addressing)
标准图片预览
标准内容
ICS35.040
中华人民共和国国家标准
GB/T25068.1—2020/IS0/IEC27033-1:2015代替(13/T25068.1—2012
信息技术
安全技术
网络安全
第1部分:综述和概念
Information technologySecurity techniques-Network security-Part1:Overviewand concepts
(IS0/IEC27033-12015.1D)
2020-11-19发布
国家市场监督管理总局
国家标准化管理委员会
2021-06-01实施
-riKacerKAca-
规范性引用文件
术语和定义
缩略谱
文档结构
6.2网络安全规划和管理
?识别安全风险和准备确定安全控制…….7.1
7.2有关当前和/或规划网络的信息目
7.2.1组织信息安全策略巾的安全需求7.2.2有关当前和/或规划网络的信息7.3信息安全风险和潜在的控制区域8支持控制
8.2网络安全管理
网络安全管理活动
网络安全角色与职责
网络监视
网络安全评估
技术脆弱性管理·
鉴别和身份认证
网络中计日志和监视
人侵检测和防御
恶意代码防御
基于密码的服务·
业务连续性管理
9网络安全设计和实现指南
网络技术安全体系架构及设计
10参考网络场景一风险、设计技术和控制要素GB/T 25068.1—2020/IS0/IEC 27033-1:2015次
-rrKaeerKAca-
GB/T25068.1—2020/1S0/IEC:27033-1:201510.1
员工五联网访问服务
增强性协作服务
企业对企业的服务
企业对客户的服务
外包服务
网络划分
移动通信
旅行用户的网络支持
家庭和小型企业的网络支持
“技术”主题风险、设计技术和控制要素.11
开发和测试安全解决方案
13操作安全解决方案
14监视和评审解决方案的实施
附录A(资料性附录)本部分中安全控制部分同IS0/IEC27001、IS()/IEC27002相关章条号的交叉引用
附录B(资料性附录)SccOPs文档示例模板参考文献
典型的网络类型及连接方式
ISO/IEC27033\路线图\
网络环境示例
网络安全规划和管理过程
网络安全风险区域的概念模型
网络安全风险评估和管现过程
根据ISO/IEC27001、IS0/IEC27002章条号根据本部分章条号
-rKaeerKa-
GB/T 25068.1—2020/IS0/IEC 27033-1:2015前言
GB/T25068%信息技术安全技术网络安全》月前分为以下5部分:第1部分:综述和概念;
第2部分:网络安全设计和实现指南:第3部分:参考网络场景风险、设计技术和控制要素:第4部分:使用安全网关的网问通信安全保护:第5部分:使用虚拟专用网的跨网通信安全保护,本部分为GB/T25068的第1部分。本部分按照GB/T1.1—2009给出的规则起草。本部分代替(13/T25068.1—2012≤信息技术安全技术1T网络安全第1部分:网络安全管现》。与GB/T25068.12012相比:要技术变化如下:增加了“支持控制”“参考网络场景一风险、设计技术和控制要素”“开发和测试安全解决方案”等内容.删除了“月标\“公共基础设施中基于密码的服务\等内容(见第8章、第10章、第12章,2012年版的第2章、第13章);
删除「对GB/T22081—2008.GB/T25068.2—2012.GB/T25068.3—2010的注日期可引用,增加了对IS0/IEC27000、IS0/IEC27001、ISO/IEC27002、IS0/IEC27005的不注I期引用(见第2章,2012年版的第2章);
-删除\安全维”\滥发\等术讲和定义,增川了\架构”信息安全策略”等术请和定义(见第3章,2012年版的第3章);
删除了\Telnel\“TETRA\等缩略语,增加了“BPL\“CA\\DPNSS\等缩略语(见第4章,2012年版的第4章):
删除了网络连接类型、信任关系的识别、信任关系参考、潜在脆弱性类型,增加了网络安全风险区域的概念模型、网络安全风险评估和管理过程(见第5章~第8章,2012年版第7章、第10章~第12章):
增加了本部分中安全控制部分同1S0/1EC27001、IS0/IEC27002中相关条款交义引用及SecOPs文档示例模板(见附录A、附录B)本部分使用翻译法等同采用1S0/1E(27033-1:2015《信息安全安全技术网络安全第【部分:综述和概念》。
与本部分中规范性引用的国际文件有一致性对应关系的我国文件如下:G13/T9387(所有部分)信息技术开放系统互连:基本参考模型「1S0/IEC7498(所有部分):
-GB/T22080—2016
2013.1DT):
GB/T 22081 2016
G3/T 29246—2017
27000:2016.IDT);
GB/T31722—2015
信息技术
信息安全管理体系要求(ISO/IEC27001:安全技术
安全技术信息安全控制实践指南(ISO/IEC27002:2013,信息技术
信息技术
信息技术
安全技术
信息安全管埋体系概述和词汇(ISO/IEC信息安全风险管理(ISO/IEC27005:2008,安全技术
-riKacerKAca-
GB/T25068.1—2020/1S0/1EC:27033-1:2015本部分做广下列编辑性修改:
在第2章增加了正文中规范引用的国际文件IS0/IFC27000本部分由全国信息安全标准化技术委员会(SA(/T260)提出并归口。本部分起草单位:黑龙江省网络空问研究中心、中国电子技术标滩化研究院、北京安大网络安全技术有限公司、杭州安恒信息技术有限公司、哈尔滨理工大学、四安西电捷通无线网络通信股份有限公司。本部分主要起草人:方舟、西家兴、马超、谷俊涛、树彬、刘任、季锐、朱背、马遥、士大萌、吴琼、姜国谷、冯亚娜、张弘、司丹、张驰、于海宁,本部分所代替标准的历次版本发布情况为:GB/T25068.12012.
rrKaeerkAca-
GB/T25068.1—2020/1S0/IEC27033-1:2015引言
当前,商业和政府组织大多数都通过网络连接他们的信息系统(如图1所示),其中,网络连接类型可能包括如下个或多个:
组织内部的网络:
不同组织间的网络;
组织和公众之问的网络。
组织C
网络C1
公共网络
组织A
网络A1
网络A2
网络A3
网络B1
专有网络
图1典型的网络类型及连接方式
细织B
网络B2
此外,快速发展的网络技术(特别是通过亏联网发展起来网络技术)提供了重要商业机会,越来越多的红织机构开展全球性的出了商务以提供在线公共服务,这些商业机会不仅实现了将五联网作为简单的连接媒介以提供低成本的数据通信,也实现由互联网服务提供商(ISP)提供史复杂的服务。这也就意味差:通过在出路的每一端使用相对低成本的本地连接,可完整实现在线出了交易和服务交付系统,例如采用基于Web的应用及服务技术:此外,新的技术(包括数据、证音和视频的集成)为远程工作提供了可能(也称为“远程工作”或“远程办公”),使员工能够在一段时间内离开他们的工作地点,还能通过远程设备访问组织网络、社区网络,以及相关业务支持信息和服务。这种环境有利于获得重人商业利益,们!义存在新的安全风险,随差红织越米越依赖于信和相关网络·那么信点保密性完整性及可用性的缺火将会对开展业务造成极人负面影响,因此:有必要适当保护网络、信息系统和信息的安全。换句话说,实施和维扩充分的网络安全对任何组织业务稳定运行来说都是至关重要的。
KaeerkAca-
GB/T25068.12020/IS0/1EC27033-1:2015在这种情况下,电信和信息技术产业止在宁求成本效益均衡的安全解决方案,在保护网络免受恶意攻击和无意的不正当行为,满足信息和服务保密性、完整性和可用性的业务要求。适当的网络安全对于确保服务计费和使用信息的准确性是必不可少的。产品的安全能力对整休网络安全(包括应用和服务)至关重要,然而,随者史多解决方案将产品组合起来形成的一个整体,产品间是否具备互操作性将决定解决方案成功与否:安全性是每个产品或服务的关注点,它是依靠提高整体安全解决方案的安全能力进行开发。
ISO/IEC27033的月的是为信息系统网络的管理、运行、使用及五联互通提供安全方面的详细指导。组织内负责信息安全,特别是网络安全的人员方能够采纳本标准以满足其特定需求。其主要几标如下:
ISO/IEC270331,定义和描述与网络安全相关的概念并提供管理指导。包括网络安全概述及租关定义·指导网络安全风险识别和分析,进而定义网络安全需求,它还介绍广如何达成优质的技术安全架构,以及与典型网络场景和网络“技术”领相关的风险、设计和控制等方面(ISO/IEC27033其余部分将详细介绍):IS0/IEC-27033-2,定义了组织宜如何规划、设计、实现高质量的网络安全体系,以确保网络安全适合相应的业务环境:可借助模型框架(不部分标雅利用模型框架来描述一类技术要全架构、设计的结构和内部运行机制),使用致的方法,进行网络安全规划、设计与实现,同时,本部分标准也适用于参与到网络安全规划、设计和实施网络安全架构的人员参考(例如,网络架构师、设计人员、网络管理员和网络安全主管);IS(/IEC27033-3,定义与典型的网络场景相关的具体风险、设计技术和控制要素,与所有参与网络安全渠构方面规划、设计和实施的人员(例如.网络渠构师、设计人员、网络管理员和网络安全主管有关);
一1S0/1EC27033-1,定义使用安全网关保护的网络之间信息总流的具体风险、设计技术和控制要素。与所有参与安伞网关的详细舰划、设计和实施的人员(例如,网络架构师、设计人员、网络管理员和网络安全主管)有关:ISO/IEC270335.定义使用虚拟专用网络建立安全连接的具体风险、设计技术和控制要素这与所有参与VPV安全性详细规划设计和实施的人员(例如,网络架构师、设计人员,网络管理员和网络安全主管)有关:
IS0/IEC27033-6,定义保护IP无线网络的具体风险,设计技术和控制要素。与参与详细规划、设计和实施无线网络安全的人员(例如,网络渠构师、设计人员、网络管理员和网络安全主管)有关。
宜强调的是,IS(O/IEC27033是在ISO/IEC27002的基础上·进步对网络安全控制提供厂详细的实施指导,
宜注意的是,IS0/IEC27033不是法规和立法要求的参考或规范性文件。因为网络安全决于业务类型等因素,所以仅强调这些影响的重要性而不做具体说明。ISO/IEC27033凡涉及采用密码技术解决保密性,完整性、直实性、抗抵赖性需求的宜遵循密码相美国家标准和行业标准。
除非刃做说明.IS0/IFC27033的本部分所参考的指南仅适用于当前和/或舰划的~网络\或“此网络”。1)月前1S0/1FC27033的第1部分第5部分已转化为G13/T25068.1G13/T25068.5。KaeerkAca-
1范围
GB/T 25068.1—2020/IS0/IEC 27033-1:2015信息技术安全技术网络安全
第1部分:综述和概念
B/T25068的本部分规定广网络安全概述和相美定义、定义和描述了与网络安全相美的概念提供了有关网络安全的管理指导(本部分的网络安全适用于过信链路传送的信息安全、设备安全以及与设备、应用/服务和最终用户相关的管理活动的安全),本部分的使用者包括拥有、运行或使用网络的任何人,包括高级管理人员和其他非技术管理人员或用.以及对信息安全和/或网络安全,网络操作负有特定责任的或对组织的整体安全计划和安全策略制定负责的经理和管理员,此外,还包括参与网络安全架构方面的规划、设计和实施的所有人。本部分还包括以下内容:
提供了识别和分析网络安全风险的指南,并基丁上述分析定义网络安全需求;提供广支持网络技术安全架构和朴关技术控制的综述,以及不仪适用于网络的技术和非技术控制;
介绍了如何实现高质量的网络技术安全架构,以及与典型网络场景和网络“技术”领域相关的风险、设计和控制要素(在GB/T25068的H他部分中详细论述)简述了与实施和运行网络安全控制有关的问题,以及对其实施迹行持续监督和评审的相关问题。本部分提供厂GB/T25068系列标准的概述和对其他部分的指引,2规范性引用文件
下列文件对丁本文件的应用是必不可少的。凡是注日期的引用文件.仅注日期的版本适用丁本文件。凡是不注日期的引用文件.其最新版本(包括所有的修改单)适用于本文件ISO/IEC7498(所有部分)信息技术开放系统五连基本参考模型:命名与编址(Informationtechnology Open systems interconnection Basic relerence modelNaning and addressingISO/IEC27o00信息技术安全技术信息安全管理体系概述和词汇(Information1echnology-Security techniquesInformation security management systems-Overview and vocabulary)ISO/IEC2700)信息技术安全技术信总安全管理休系要求(Informationtcchnology一Sccurity lechniques Inlormation security management systems Requirements)ISO/IEC27002信息技术安全技术信息安全管理实用规则(Inlormation(echnology—Security techniquesCode of practice for information security controls)ISO/1Ec27005信息技术安全技术信息安全风险管理(Informationtechnology一Sccuritytcchniquca-Information sccurity risk managcmcnt3术语和定义
ISO/IEC7498(所有部分)、IS0/1EC27000、ISO/1EC27001、IS0/IEC27002、ISO/IEC27005界定的以及下列术语和定义适用于本义件。注:以下术语及定义同样适用于GB/T25068的其他部分1
-riKacerKAca-
GB/T25068.1—2020/ISO/1EC27033-1:20153.1
警报alert
信息系统和网络可能受到攻击或者因意外事件、故障或人为错误而处于危险之中的即时”指示。3.2
架构archilecturt
构成系统的各组成部分及其相五关系,以及该系统与环境的关系,还包括指导其设计和演进的基本原则,
[IS0/IEC15288:2008.定义4.5]
攻击者altacker
故意利用技术和非技术安全控制的脆弱性,以窃取或损害信息系统和网络,或者损害合法用户对信息系统和网络资源可用性为目的的任何人。3.4
审计日志audit logging
以评审、分析和持续监视为目的的相关信息安全态的数据记录3.5
审计工具
audit tools
一种辅助分析审计日志内容的白动化工具。3.6
认证机构
gcertification authority;CA
被·个或多个用广信任的机构·该机构创建和分配公切证书:注1:宜注意的是.认证机构可创建用户密钙。注2:在此过程中认证机构的作川是保证被段了唯一证书人的身份真实性。通常,这衣示身份核查机关已与提供被核查人身份确认资料的机构达成协议,认证机构是信息安全和电子商务的·个重要组成部分,因为它们保证了交换信息双方的身份真实性。3.7下载标准就来标准下载网
信息安全策略corporateinformation securitypolicy根据业务要求和相关法律法规描述管理方向和支持信息安全的义件。注:文件描述了整个组织宜遵循的高级信息安全需求。3.8
非军事区demilitarized zone;DMZ介于网络之间作为\中区”的边界网络(也称为屏蔽了网)。3.9
拒绝服务denial of service;Das阻止对系统资源的授权访问或延迟系统的运行和功能,并导致授权用户可用性受损。3.10
外联网extranet
是对组织内联网的扩展,特别是通过公共网络提供对其内联网的有限访问,以支持组织与组织之问、组织与个人之问共享资源。注:例如,可允许组织的客户对组织内部网络的某些部分逆行访间.从而创建外联网,供是从安全的角度来寿,不能认为这些客户是“可信的”。
过滤filtering
根据指定的准则,接受或拒绝数据流通过网络的过程。rKaeerkca-
防火墙firewall
GB/T25068.12020/IS0/IEC27033-1:2015设置在网络环境之问的一种安全屏障:它山一台专用设备或若十组件和技术的组合组成,网络环境之间两个方向的所有通信流均通过此屏障.并且只有按照本地安全策略定义的、已授权的通信流才允许通过。
集线器hub
一种工作在开放系统五联(OSI)参考模型第1层的网络设备:注:网络集线器不走智能设备,它只为联网系统或设备提供物理连接点。3.14
互联网theInternet
在公共领域中由朴互连接的网络组成的全球系统3.15
互联网络
internet
相互连接的网络集合,
内联网
iniranet
支持组织成员利用五联网络协议和网络连接·安全地分亨组织的部分信息和操作的私有计算机网络。
注:简称内网。
入侵intrusion
对网络或联网系统的未授权访问,即对信息系统还行有意或无意的未授权访问,包括饣对信息系统的恶意活动或对信息系统内资源的未授权使用3.18
Jintrusion detection
入侵检测
检测入侵的正式流程。通过分析异常特征以及已被利用的脆弱性类型和利用方式,发现人侵的时间和方式
[ISO/IEC27039.定义2.15]
入侵检测系统intrusiondetection system;IDS用丁识别尝试、正在迟行或已经发生的入侵,并川能对信息系统和网络中的人侵做出响应的技术系统,
LISO/IEC27039,定义2.15
intrusion prevention
入侵防御
积被应对以防止人侵的正规过程。3.21
入侵防御系统(IPS)intrusionpreventionsystem入侵检测系统基础上的一种扩展,专门设计用来提供入侵主动响应能力的技术系统。[1S0/IEC27039,定义2.15]
malware
恶意软件
被专门设计用丁损坏或中断系统、破坏保密性、完整性和/或川用性的软件:3
-rKaeerkca-
GB/T25068.1—2020/IS0O/IEC27033-1:2015注:纳毒和特洛衔未马都是悲意软件。3.23
多协议标签交换(MPLS)multiprotocollabelswitching种为网间路由而开发的技术。:该技术通对为每个数抛路径或数流分配标签来实现连接交换通常用作一般路由协议的底层或补充。注:标等切换可作为建立隧道的种方法,3.24
网络日常管理networkadministration对网络业务流程、资产的日常运行和管埋.3.25
nelworkanalyzer
网络分析器
用于观察和分析网络中信总流的软件或设备,注:在进行信息流分析之前,官以特定的方式收集信息,例如使用网络喂探器。3.26
network element
与网络连接的信息系统,
网络管理
nelwork management
对网络逊行规划、设计、实施、运行、监视和维扩的过程。3.28
网络监视
network monitoring
连续规察和评审作网络活动和运行中所记录数据(包括日志审计、警报和分析)的过程。3.29
network security policy
网络安全策略
组织为使用网络资源所制定的一红声明、规则和措施以保护网络基础设施和服务。3.30
neiwork sniffer
网络嘎探器
用于捕获网络中信息流的软件或设备。3.31
端口port
连接的端点
注:在万联网协议的语境下.端I是TCP(传输控制协议)连接或LDP(川广数据报协议)消息的逻危道端点。基于TCP或UJIDP的应川协议,通常已分配默认端口号.如为HTTP(超文本传输协议)的端口号是8C。3.32
remoteaccess
远程访问
从刃一网络或从一个终端设各访问网络资源的过程,这种访问通过物现的或逻辑的方式儿不会水久连接所访问的资源:
远程用户
remote user
不在网络资源所在地并使用该网络资源的用广3.34
路由器
router
基于路由协议机制和算法.通过选择路径或路由.米建立和控制不同网络之间数据流的网络设备,-rKaeerkAca-
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国国家标准
GB/T25068.1—2020/IS0/IEC27033-1:2015代替(13/T25068.1—2012
信息技术
安全技术
网络安全
第1部分:综述和概念
Information technologySecurity techniques-Network security-Part1:Overviewand concepts
(IS0/IEC27033-12015.1D)
2020-11-19发布
国家市场监督管理总局
国家标准化管理委员会
2021-06-01实施
-riKacerKAca-
规范性引用文件
术语和定义
缩略谱
文档结构
6.2网络安全规划和管理
?识别安全风险和准备确定安全控制…….7.1
7.2有关当前和/或规划网络的信息目
7.2.1组织信息安全策略巾的安全需求7.2.2有关当前和/或规划网络的信息7.3信息安全风险和潜在的控制区域8支持控制
8.2网络安全管理
网络安全管理活动
网络安全角色与职责
网络监视
网络安全评估
技术脆弱性管理·
鉴别和身份认证
网络中计日志和监视
人侵检测和防御
恶意代码防御
基于密码的服务·
业务连续性管理
9网络安全设计和实现指南
网络技术安全体系架构及设计
10参考网络场景一风险、设计技术和控制要素GB/T 25068.1—2020/IS0/IEC 27033-1:2015次
-rrKaeerKAca-
GB/T25068.1—2020/1S0/IEC:27033-1:201510.1
员工五联网访问服务
增强性协作服务
企业对企业的服务
企业对客户的服务
外包服务
网络划分
移动通信
旅行用户的网络支持
家庭和小型企业的网络支持
“技术”主题风险、设计技术和控制要素.11
开发和测试安全解决方案
13操作安全解决方案
14监视和评审解决方案的实施
附录A(资料性附录)本部分中安全控制部分同IS0/IEC27001、IS()/IEC27002相关章条号的交叉引用
附录B(资料性附录)SccOPs文档示例模板参考文献
典型的网络类型及连接方式
ISO/IEC27033\路线图\
网络环境示例
网络安全规划和管理过程
网络安全风险区域的概念模型
网络安全风险评估和管现过程
根据ISO/IEC27001、IS0/IEC27002章条号根据本部分章条号
-rKaeerKa-
GB/T 25068.1—2020/IS0/IEC 27033-1:2015前言
GB/T25068%信息技术安全技术网络安全》月前分为以下5部分:第1部分:综述和概念;
第2部分:网络安全设计和实现指南:第3部分:参考网络场景风险、设计技术和控制要素:第4部分:使用安全网关的网问通信安全保护:第5部分:使用虚拟专用网的跨网通信安全保护,本部分为GB/T25068的第1部分。本部分按照GB/T1.1—2009给出的规则起草。本部分代替(13/T25068.1—2012≤信息技术安全技术1T网络安全第1部分:网络安全管现》。与GB/T25068.12012相比:要技术变化如下:增加了“支持控制”“参考网络场景一风险、设计技术和控制要素”“开发和测试安全解决方案”等内容.删除了“月标\“公共基础设施中基于密码的服务\等内容(见第8章、第10章、第12章,2012年版的第2章、第13章);
删除「对GB/T22081—2008.GB/T25068.2—2012.GB/T25068.3—2010的注日期可引用,增加了对IS0/IEC27000、IS0/IEC27001、ISO/IEC27002、IS0/IEC27005的不注I期引用(见第2章,2012年版的第2章);
-删除\安全维”\滥发\等术讲和定义,增川了\架构”信息安全策略”等术请和定义(见第3章,2012年版的第3章);
删除了\Telnel\“TETRA\等缩略语,增加了“BPL\“CA\\DPNSS\等缩略语(见第4章,2012年版的第4章):
删除了网络连接类型、信任关系的识别、信任关系参考、潜在脆弱性类型,增加了网络安全风险区域的概念模型、网络安全风险评估和管理过程(见第5章~第8章,2012年版第7章、第10章~第12章):
增加了本部分中安全控制部分同1S0/1EC27001、IS0/IEC27002中相关条款交义引用及SecOPs文档示例模板(见附录A、附录B)本部分使用翻译法等同采用1S0/1E(27033-1:2015《信息安全安全技术网络安全第【部分:综述和概念》。
与本部分中规范性引用的国际文件有一致性对应关系的我国文件如下:G13/T9387(所有部分)信息技术开放系统互连:基本参考模型「1S0/IEC7498(所有部分):
-GB/T22080—2016
2013.1DT):
GB/T 22081 2016
G3/T 29246—2017
27000:2016.IDT);
GB/T31722—2015
信息技术
信息安全管理体系要求(ISO/IEC27001:安全技术
安全技术信息安全控制实践指南(ISO/IEC27002:2013,信息技术
信息技术
信息技术
安全技术
信息安全管埋体系概述和词汇(ISO/IEC信息安全风险管理(ISO/IEC27005:2008,安全技术
-riKacerKAca-
GB/T25068.1—2020/1S0/1EC:27033-1:2015本部分做广下列编辑性修改:
在第2章增加了正文中规范引用的国际文件IS0/IFC27000本部分由全国信息安全标准化技术委员会(SA(/T260)提出并归口。本部分起草单位:黑龙江省网络空问研究中心、中国电子技术标滩化研究院、北京安大网络安全技术有限公司、杭州安恒信息技术有限公司、哈尔滨理工大学、四安西电捷通无线网络通信股份有限公司。本部分主要起草人:方舟、西家兴、马超、谷俊涛、树彬、刘任、季锐、朱背、马遥、士大萌、吴琼、姜国谷、冯亚娜、张弘、司丹、张驰、于海宁,本部分所代替标准的历次版本发布情况为:GB/T25068.12012.
rrKaeerkAca-
GB/T25068.1—2020/1S0/IEC27033-1:2015引言
当前,商业和政府组织大多数都通过网络连接他们的信息系统(如图1所示),其中,网络连接类型可能包括如下个或多个:
组织内部的网络:
不同组织间的网络;
组织和公众之问的网络。
组织C
网络C1
公共网络
组织A
网络A1
网络A2
网络A3
网络B1
专有网络
图1典型的网络类型及连接方式
细织B
网络B2
此外,快速发展的网络技术(特别是通过亏联网发展起来网络技术)提供了重要商业机会,越来越多的红织机构开展全球性的出了商务以提供在线公共服务,这些商业机会不仅实现了将五联网作为简单的连接媒介以提供低成本的数据通信,也实现由互联网服务提供商(ISP)提供史复杂的服务。这也就意味差:通过在出路的每一端使用相对低成本的本地连接,可完整实现在线出了交易和服务交付系统,例如采用基于Web的应用及服务技术:此外,新的技术(包括数据、证音和视频的集成)为远程工作提供了可能(也称为“远程工作”或“远程办公”),使员工能够在一段时间内离开他们的工作地点,还能通过远程设备访问组织网络、社区网络,以及相关业务支持信息和服务。这种环境有利于获得重人商业利益,们!义存在新的安全风险,随差红织越米越依赖于信和相关网络·那么信点保密性完整性及可用性的缺火将会对开展业务造成极人负面影响,因此:有必要适当保护网络、信息系统和信息的安全。换句话说,实施和维扩充分的网络安全对任何组织业务稳定运行来说都是至关重要的。
KaeerkAca-
GB/T25068.12020/IS0/1EC27033-1:2015在这种情况下,电信和信息技术产业止在宁求成本效益均衡的安全解决方案,在保护网络免受恶意攻击和无意的不正当行为,满足信息和服务保密性、完整性和可用性的业务要求。适当的网络安全对于确保服务计费和使用信息的准确性是必不可少的。产品的安全能力对整休网络安全(包括应用和服务)至关重要,然而,随者史多解决方案将产品组合起来形成的一个整体,产品间是否具备互操作性将决定解决方案成功与否:安全性是每个产品或服务的关注点,它是依靠提高整体安全解决方案的安全能力进行开发。
ISO/IEC27033的月的是为信息系统网络的管理、运行、使用及五联互通提供安全方面的详细指导。组织内负责信息安全,特别是网络安全的人员方能够采纳本标准以满足其特定需求。其主要几标如下:
ISO/IEC270331,定义和描述与网络安全相关的概念并提供管理指导。包括网络安全概述及租关定义·指导网络安全风险识别和分析,进而定义网络安全需求,它还介绍广如何达成优质的技术安全架构,以及与典型网络场景和网络“技术”领相关的风险、设计和控制等方面(ISO/IEC27033其余部分将详细介绍):IS0/IEC-27033-2,定义了组织宜如何规划、设计、实现高质量的网络安全体系,以确保网络安全适合相应的业务环境:可借助模型框架(不部分标雅利用模型框架来描述一类技术要全架构、设计的结构和内部运行机制),使用致的方法,进行网络安全规划、设计与实现,同时,本部分标准也适用于参与到网络安全规划、设计和实施网络安全架构的人员参考(例如,网络架构师、设计人员、网络管理员和网络安全主管);IS(/IEC27033-3,定义与典型的网络场景相关的具体风险、设计技术和控制要素,与所有参与网络安全渠构方面规划、设计和实施的人员(例如.网络渠构师、设计人员、网络管理员和网络安全主管有关);
一1S0/1EC27033-1,定义使用安全网关保护的网络之间信息总流的具体风险、设计技术和控制要素。与所有参与安伞网关的详细舰划、设计和实施的人员(例如,网络架构师、设计人员、网络管理员和网络安全主管)有关:ISO/IEC270335.定义使用虚拟专用网络建立安全连接的具体风险、设计技术和控制要素这与所有参与VPV安全性详细规划设计和实施的人员(例如,网络架构师、设计人员,网络管理员和网络安全主管)有关:
IS0/IEC27033-6,定义保护IP无线网络的具体风险,设计技术和控制要素。与参与详细规划、设计和实施无线网络安全的人员(例如,网络渠构师、设计人员、网络管理员和网络安全主管)有关。
宜强调的是,IS(O/IEC27033是在ISO/IEC27002的基础上·进步对网络安全控制提供厂详细的实施指导,
宜注意的是,IS0/IEC27033不是法规和立法要求的参考或规范性文件。因为网络安全决于业务类型等因素,所以仅强调这些影响的重要性而不做具体说明。ISO/IEC27033凡涉及采用密码技术解决保密性,完整性、直实性、抗抵赖性需求的宜遵循密码相美国家标准和行业标准。
除非刃做说明.IS0/IFC27033的本部分所参考的指南仅适用于当前和/或舰划的~网络\或“此网络”。1)月前1S0/1FC27033的第1部分第5部分已转化为G13/T25068.1G13/T25068.5。KaeerkAca-
1范围
GB/T 25068.1—2020/IS0/IEC 27033-1:2015信息技术安全技术网络安全
第1部分:综述和概念
B/T25068的本部分规定广网络安全概述和相美定义、定义和描述了与网络安全相美的概念提供了有关网络安全的管理指导(本部分的网络安全适用于过信链路传送的信息安全、设备安全以及与设备、应用/服务和最终用户相关的管理活动的安全),本部分的使用者包括拥有、运行或使用网络的任何人,包括高级管理人员和其他非技术管理人员或用.以及对信息安全和/或网络安全,网络操作负有特定责任的或对组织的整体安全计划和安全策略制定负责的经理和管理员,此外,还包括参与网络安全架构方面的规划、设计和实施的所有人。本部分还包括以下内容:
提供了识别和分析网络安全风险的指南,并基丁上述分析定义网络安全需求;提供广支持网络技术安全架构和朴关技术控制的综述,以及不仪适用于网络的技术和非技术控制;
介绍了如何实现高质量的网络技术安全架构,以及与典型网络场景和网络“技术”领域相关的风险、设计和控制要素(在GB/T25068的H他部分中详细论述)简述了与实施和运行网络安全控制有关的问题,以及对其实施迹行持续监督和评审的相关问题。本部分提供厂GB/T25068系列标准的概述和对其他部分的指引,2规范性引用文件
下列文件对丁本文件的应用是必不可少的。凡是注日期的引用文件.仅注日期的版本适用丁本文件。凡是不注日期的引用文件.其最新版本(包括所有的修改单)适用于本文件ISO/IEC7498(所有部分)信息技术开放系统五连基本参考模型:命名与编址(Informationtechnology Open systems interconnection Basic relerence modelNaning and addressingISO/IEC27o00信息技术安全技术信息安全管理体系概述和词汇(Information1echnology-Security techniquesInformation security management systems-Overview and vocabulary)ISO/IEC2700)信息技术安全技术信总安全管理休系要求(Informationtcchnology一Sccurity lechniques Inlormation security management systems Requirements)ISO/IEC27002信息技术安全技术信息安全管理实用规则(Inlormation(echnology—Security techniquesCode of practice for information security controls)ISO/1Ec27005信息技术安全技术信息安全风险管理(Informationtechnology一Sccuritytcchniquca-Information sccurity risk managcmcnt3术语和定义
ISO/IEC7498(所有部分)、IS0/1EC27000、ISO/1EC27001、IS0/IEC27002、ISO/IEC27005界定的以及下列术语和定义适用于本义件。注:以下术语及定义同样适用于GB/T25068的其他部分1
-riKacerKAca-
GB/T25068.1—2020/ISO/1EC27033-1:20153.1
警报alert
信息系统和网络可能受到攻击或者因意外事件、故障或人为错误而处于危险之中的即时”指示。3.2
架构archilecturt
构成系统的各组成部分及其相五关系,以及该系统与环境的关系,还包括指导其设计和演进的基本原则,
[IS0/IEC15288:2008.定义4.5]
攻击者altacker
故意利用技术和非技术安全控制的脆弱性,以窃取或损害信息系统和网络,或者损害合法用户对信息系统和网络资源可用性为目的的任何人。3.4
审计日志audit logging
以评审、分析和持续监视为目的的相关信息安全态的数据记录3.5
审计工具
audit tools
一种辅助分析审计日志内容的白动化工具。3.6
认证机构
gcertification authority;CA
被·个或多个用广信任的机构·该机构创建和分配公切证书:注1:宜注意的是.认证机构可创建用户密钙。注2:在此过程中认证机构的作川是保证被段了唯一证书人的身份真实性。通常,这衣示身份核查机关已与提供被核查人身份确认资料的机构达成协议,认证机构是信息安全和电子商务的·个重要组成部分,因为它们保证了交换信息双方的身份真实性。3.7下载标准就来标准下载网
信息安全策略corporateinformation securitypolicy根据业务要求和相关法律法规描述管理方向和支持信息安全的义件。注:文件描述了整个组织宜遵循的高级信息安全需求。3.8
非军事区demilitarized zone;DMZ介于网络之间作为\中区”的边界网络(也称为屏蔽了网)。3.9
拒绝服务denial of service;Das阻止对系统资源的授权访问或延迟系统的运行和功能,并导致授权用户可用性受损。3.10
外联网extranet
是对组织内联网的扩展,特别是通过公共网络提供对其内联网的有限访问,以支持组织与组织之问、组织与个人之问共享资源。注:例如,可允许组织的客户对组织内部网络的某些部分逆行访间.从而创建外联网,供是从安全的角度来寿,不能认为这些客户是“可信的”。
过滤filtering
根据指定的准则,接受或拒绝数据流通过网络的过程。rKaeerkca-
防火墙firewall
GB/T25068.12020/IS0/IEC27033-1:2015设置在网络环境之问的一种安全屏障:它山一台专用设备或若十组件和技术的组合组成,网络环境之间两个方向的所有通信流均通过此屏障.并且只有按照本地安全策略定义的、已授权的通信流才允许通过。
集线器hub
一种工作在开放系统五联(OSI)参考模型第1层的网络设备:注:网络集线器不走智能设备,它只为联网系统或设备提供物理连接点。3.14
互联网theInternet
在公共领域中由朴互连接的网络组成的全球系统3.15
互联网络
internet
相互连接的网络集合,
内联网
iniranet
支持组织成员利用五联网络协议和网络连接·安全地分亨组织的部分信息和操作的私有计算机网络。
注:简称内网。
入侵intrusion
对网络或联网系统的未授权访问,即对信息系统还行有意或无意的未授权访问,包括饣对信息系统的恶意活动或对信息系统内资源的未授权使用3.18
Jintrusion detection
入侵检测
检测入侵的正式流程。通过分析异常特征以及已被利用的脆弱性类型和利用方式,发现人侵的时间和方式
[ISO/IEC27039.定义2.15]
入侵检测系统intrusiondetection system;IDS用丁识别尝试、正在迟行或已经发生的入侵,并川能对信息系统和网络中的人侵做出响应的技术系统,
LISO/IEC27039,定义2.15
intrusion prevention
入侵防御
积被应对以防止人侵的正规过程。3.21
入侵防御系统(IPS)intrusionpreventionsystem入侵检测系统基础上的一种扩展,专门设计用来提供入侵主动响应能力的技术系统。[1S0/IEC27039,定义2.15]
malware
恶意软件
被专门设计用丁损坏或中断系统、破坏保密性、完整性和/或川用性的软件:3
-rKaeerkca-
GB/T25068.1—2020/IS0O/IEC27033-1:2015注:纳毒和特洛衔未马都是悲意软件。3.23
多协议标签交换(MPLS)multiprotocollabelswitching种为网间路由而开发的技术。:该技术通对为每个数抛路径或数流分配标签来实现连接交换通常用作一般路由协议的底层或补充。注:标等切换可作为建立隧道的种方法,3.24
网络日常管理networkadministration对网络业务流程、资产的日常运行和管埋.3.25
nelworkanalyzer
网络分析器
用于观察和分析网络中信总流的软件或设备,注:在进行信息流分析之前,官以特定的方式收集信息,例如使用网络喂探器。3.26
network element
与网络连接的信息系统,
网络管理
nelwork management
对网络逊行规划、设计、实施、运行、监视和维扩的过程。3.28
网络监视
network monitoring
连续规察和评审作网络活动和运行中所记录数据(包括日志审计、警报和分析)的过程。3.29
network security policy
网络安全策略
组织为使用网络资源所制定的一红声明、规则和措施以保护网络基础设施和服务。3.30
neiwork sniffer
网络嘎探器
用于捕获网络中信息流的软件或设备。3.31
端口port
连接的端点
注:在万联网协议的语境下.端I是TCP(传输控制协议)连接或LDP(川广数据报协议)消息的逻危道端点。基于TCP或UJIDP的应川协议,通常已分配默认端口号.如为HTTP(超文本传输协议)的端口号是8C。3.32
remoteaccess
远程访问
从刃一网络或从一个终端设各访问网络资源的过程,这种访问通过物现的或逻辑的方式儿不会水久连接所访问的资源:
远程用户
remote user
不在网络资源所在地并使用该网络资源的用广3.34
路由器
router
基于路由协议机制和算法.通过选择路径或路由.米建立和控制不同网络之间数据流的网络设备,-rKaeerkAca-
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。