GB/T 25068.4-2022
基本信息
标准号: GB/T 25068.4-2022
中文名称:信息技术 安全技术 网络安全 第4部分:使用安全网关的网间通信安全保护
标准类别:国家标准(GB)
英文名称:Information technology—Security techniques—Network security—Part 4:Securing communications between networks using security gateways
标准状态:现行
发布日期:2022-10-12
实施日期:2023-05-01
出版语种:简体中文
下载格式:.pdf .zip
下载大小:5955604
相关标签: 信息技术 安全 技术 网络安全 使用 网关 通信安全 保护
标准分类号
标准ICS号:35.030
中标分类号:电子元器件与信息技术>>信息处理技术>>L80数据加密
出版信息
出版社:中国标准出版社
页数:24页
标准价格:43.0
相关单位信息
起草人:方舟、曲家兴、谷俊涛、于海宁、肖鸿江、李琳琳、李锐、宋雪、杨霄璇、白瑞、王大萌、上官晓丽、甘俊杰、杜宇芳、呼大永、马遥、黄海、树彬、张国华、燕思嘉、许言、吴琼、姜天一、周莹、曹威、方伟、童松华、赵超、祝宇琳、石冬青、单建中、孟庆川、倪华
起草单位:黑龙江省网络空间研究中心、中国电子技术标准化研究院、安天科技集团股份有限公司、黑龙江安信与诚科技开发有限公司、上海工业控制安全创新科技有限公司、哈尔滨理工大学、哈尔滨工业大学
归口单位:全国信息安全标准化技术委员会(SAC/TC 260)
提出单位:全国信息安全标准化技术委员会(SAC/TC 260)
发布部门:国家市场监督管理总局 国家标准化管理委员会
标准简介
本文件提供了使用安全网关(防火墙、应用防火墙、入侵防护系统等)的网络间通信安全保护指南,这些安全网关按照文档化的信息安全策略进行通信,指南包括:?
a) 识别和分析与安全网关相关的网络安全威胁;
b) 基于威胁分析来定义安全网关的网络安全需求;
c) 使用设计和实现的技术来解决与典型的网络场景相关的威胁和控制方面的问题;
d) 指出实施、操作、监视和评审网络安全网关控制措施相关的问题。
标准图片预览
标准内容
ICS35.030
CCS L 80
中华人民共和国国家标准
GB/T25068.4—2022/ISO/IEC27033-4:2014代替GB/T25068.3—2010
信息技术
安全技术
网络安全
第4部分:使用安全网关的网间
通信安全保护
Information technology—Security techniques—Network security-Part 4 : Securing communications between networks using security gateways(ISO/IEC27033-4:2014.IDT)
2022-10-12发布
国家市场监督管理总局
国家标准化管理委员会
2023-05-01实施
GB/T25068.4—2022/ISO/IEC27033-4:2014目
规范性引用文件
术语和定义
缩略语
文档结构
安全威胁
安全需求
安全控制
无状态包过滤
状态包检测
应用防火墙
内容过滤
人侵防御系统和人侵检测系统
安全管理API
10设计技术
安全网关组件
部署安全网关控件
产品选择指南
选择安全网关结构和适当组件bzxz.net
硬件和软件平台
安全功能设置
管理能力
日志记录功能
审计功能
培训和教育
实现类型,
高可用性和运行模式
其他注意事项
参考文献
GB/T25068.4—2022/IS0/IEC27033-4:2014前言
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草。
本文件是GB/T25068《信息技术安全技术网络安全》的第4部分。GB/T25068已发布了以下部分:
第1部分:综述和概念;
—第2部分:网络安全设计和实现指南;一第3部分:面向网络接人场景的威胁、设计技术和控制;一第4部分:使用安全网关的网间通信安全保护;一第5部分:使用虚拟专用网的跨网通信安全保护。本文件代替GB/T25068.3一2010《信息技术安全技术IT网络安全第3部分:使用安全网关的网间通信安全保护》。与GB/T25068.3一2010相比,除结构调整和编辑性改动外,主要技术变化如下:
更改了陈述“范围”时所使用的推荐条款和表述方式(见第1章,2010年版的第1章);更改了“术语和定义”的内容(见第3章,2010年版的第3章);b)
删除了“IT\\IDP”“V.35”等缩略语,增加了“ACL”“ASIC”“CPU”“DDoS”“URL”等缩略语(见第4章,2010年版的第4章);d)增加了“文档结构”“概述”“安全威胁”三章(见第5章~第7章);将“安全要求”更改为“安全需求”,增加了“表1”,并将2010年版的有关内容更改后纳入(见第e)
8章,2010年版的第5章);
将“安全网关技术”更改为“安全控制”(见第9章,2010年版的第6章),增加了要素“通则”(见f)
9.1)、“人侵防御系统和入侵检测系统\(见9.6)、“安全管理API\(见9.7),删除了要素“网络地址转换(NAT)”(见2010年版的6.4);g)
删除了“状态包检测防火墙”与“应用代理防火墙”的优缺点比较,并将2010年版的有关内容更改后纳人(见9.3,2010年版的6.2);h)将“应用代理”更改为“应用防火墙”,并将2010年版的有关内容更改后纳入(见9.4,2010年版的6.3);
将“内容分析和过滤”更改为“内容过滤”,增加了“内容分析”列项“协议分析”,并将2010年版i)
的有关内容更改后纳(见9.5,2010年版的6.5);将“安全网关组件”与“安全网关体系结构”两章合并为“设计技术”一章,删除了悬空段引导j)
词,重新绘制了示意图(见图3~图6,2010年版的图1~图4),并将2010年版的有关内容更改后纳入(见第10章,2010年版的第7章、第8章);k)增加了“可能存在负载均衡交换机”的使用规则(见10.1.1,2010年版的7.1);将“应用级网关”更改为“应用层网关”,增加了“SIP网关”的使用规则,并将2010年版的有关1)
内容更改后纳人(见10.1.3,2010年版的7.3);m)增加了“监控功能”的使用规则(见10.1.5);将“安全网关体系结构”更改为“部署安全网关控件”,删除了悬置段(见10.2,2010年版的n)
0)删除了要素“层次化方法”(见2010年版的8.2);I
GB/T25068.4—2022/ISO/IEC27033-4:2014删除了关于“屏蔽主机体系结构”优缺点的表述段落(见2010年版的8.1.3);p)
增加了“包过滤防火墙”的使用规则(见10.2.1);q
增加了要素“通则”(见11.1);r)
将“安全特点和设置”更改为“安全功能设置”,增加了“支持对打包的企业或其他业务应用程序的代理服务”和“支持识别协议流中运行的应用(如办公效率应用、嵌入式视频、即时消息等)”的推荐条款,并将2010年版的有关内容更改后纳入(见11.5,2010年版的9.4);增加规定了“细粒度的访问权限”(见11.6,2010年版的9.6);t)
u)删除了要素“文档化”(见2010年版的9.7);v)
增加了要素“实现类型”和要素“高可用性和运行模式”(见11.10、11.11)。本文件等同采用ISO/IEC27033-4:2014《信息技术安全技术网络安全第4部分:使用安全网关的网间通信安全保护》。
本文件做了下列最小限度的编辑性改动:用资料性引用的GB/T20985.2—2020替换了ISO/IEC27035(见9.1);用资料性引用的GB/T28454—2020替换了ISO/IEC27039(见9.5);请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任本文件由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本文件起草单位:黑龙江省网络空间研究中心、中国电子技术标准化研究院、安天科技集团股份有限公司、黑龙江安信与诚科技开发有限公司、上海工业控制安全创新科技有限公司、哈尔滨理工大学、哈尔滨工业大学。
本文件主要起草人:方舟、曲家兴、谷俊涛、于海宁、肖鸿江、李琳琳、李锐、宋雪、杨霄璇、白瑞、王大萌、上官晓丽、甘俊杰、杜宇芳、呼大永、马遥、黄海、树彬、张国华、燕思嘉、许言、吴琼、姜天一、周莹、曹威、方伟、童松华、赵超、祝宇琳、石冬青、单建中、孟庆川、倪华本文件及其所代替文件的历次版本发布情况为:—2010年首次发布为GB/T25068.3—2010;本次为第一次修订,编号调整为GB/T25068.4一2022。I
GB/T25068.4—2022/ISO/IEC27033-4:2014引言
GB/T25068的目的是为信息系统网络的管理、运行、使用及互联互通提供安全方面的详细指导。方便组织内负责信息安全特别是网络安全的人员能够采纳本文件以满足其特定需求。拟由六个部分构成。
第1部分:综述和概念。目的是定义和描述与网络安全相关的概念并提供管理指导第2部分:网络安全设计和实现指南。目的是为组织如何规划、设计、实现高质量的网络安全体系,以确保网络安全适合相应的业务环境提供指导。第3部分:面向网络接人场景的威胁、设计技术和控制。目的是列举与典型的网络接人场景相关的具体风险、设计技术和控制,适用于所有参与网络安全架构方面规划、设计和实施的人员。一第4部分:使用安全网关的网间通信安全保护。目的是确保使用安全网关的网间通信安全。它提供了如何识别和分析与安全网关相关的网络安全威胁、基于威胁分析定义安全网关的网络安全需求、介绍了以解决典型网络场景相关的威胁和控制方面的网络技术安全结构设计技术实现,并解决与使用安全网关实施、操作、监视和审查网络安全控制相关问题的指南。本文件适用于所有参与安全网关详细规划、设计和实施的人员(例如网络架构师和设计人员、网络管理员和网络安全主管)。
第5部分:使用虚拟专用网的跨网通信安全保护。目的是定义使用虚拟专用网络建立安全连接的具体风险、设计技术和控制要素。一第6部分:无线网络访问安全。目的是为选择、实施和监测使用无线网络提供安全通信所必需的技术控制提供指南,并用于第2部分中涉及使用无线网络的技术安全架构或设计选项的审查与选择。
GB/T25068是在GB/T22081《信息技术安全技术信息安全控制实践指南》的基础上,进一步对网络安全控制提供了详细的实施指导。GB/T25068仅强调业务类型等因素影响网络安全的重要性而不做具体说明。
本文件凡涉及采用密码技术解决保密性、完整性、真实性、抗抵赖性需求的,遵循密码相关国家标准和行业标准。
1范围
GB/T25068.4—2022/ISO/IEC27033-4:2014信息技术安全技术网络安全
第4部分:使用安全网关的网间
通信安全保护
本文件提供了使用安全网关(防火墙、应用防火墙、入侵防护系统等)的网络间通信安全保护指南,这些安全网关按照文档化的信息安全策略进行通信,指南包括识别和分析与安全网关相关的网络安全威胁;a
b)基于威胁分析来定义安全网关的网络安全需求;使用设计和实现的技术来解决与典型的网络场景相关的威胁和控制方面的问题;c)
d)指出实施、操作、监视和评审网络安全网关控制措施相关的问题。2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
ISO/IEC27033-1信息技术安全技术网络安全第1部分:综述和概念(Informationtech-nologySecuritytechniquesNetworksecurityPartl:Overviewandconcepts)注:GB/T25068.1一2020信息技术安全技术网络安全第1部分:综述和概念(ISO/IEC27033-1:2015,IDT)
3术语和定义
ISO/IEC27033-1界定的以及下列术语和定义适用于本文件。3.1
堡垒主机bastionhost
用于拦截进出网络的数据包、经加固操作系统的特定主机,任何外部人员访问组织防火墙内的服务和系统时,应连接该主机系统。3.2
终端软件防火墙
end-point software-based firewall根据终端用户自定义的安全策略允许或拒绝通信,保护进出单机的网络流量的软件应用程序。3.3
加固操作系统hardenedoperatingsystem专门配置或设计的操作系统,以最大限度地减少潜在的不良内容或攻击的可能性。注:可能是通用操作系统,例如为适应环境专门配置的Linux系统,或具有更高自定义程度的解决方案3.4
互联网网关
Internetgateway
接人互联网的端口设备
GB/T25068.4—2022/ISO/IEC27033-4:20143.5
packet
数据包
可通过网络或电话线传输的,由严格定义的“头部”“数据”和可选择的“尾部”字节块组成的实体。注:数据包的格式取决于创建它的协议。各种通信标准和协议都使用专用数据包来监视和控制通信会话。例如,网络传输数据包或数据单元完毕时,X.25协议使用诊断、会话清除和重置包(等)确认。3.6
边界网络
perimeternetwork
包含组织的外部服务并将其开放至公共网络的物理或逻辑子网。3.7
远程办公室
分办公室
remoteoffice
branchoffice
通过远程网络与组织的主办公室实行外部连接的办公室。注:为用户提供维护其日常业务程序所需的服务(如文件、打印和其他服务)。3.8
单点故障
single point of failure
某一部分发生故障导致整个系统不起作用的故障类型。3.9
SIP网关
SIPgateway
位于内部VoIP网络和外部网络(如公共电话网)之间的边界设备。注:通常使用路由器作为SIP网关。当外部IP网络使用VoIP时,重点确保网关包含足够的安全措施,特别对所有调用设置更改动态规则库以确保安全。4缩略语
下列缩略语适用于本文件。
访问控制列表(AccessControlList)应用程序接口(ApplicationProgrammingInterface)专用集成电路(ApplicationSpecificIntegratedCircuit)边界网关协议(BorderGatewayProtocol)中央处理器(Central Processing Unit)分布式拒绝服务(DistributedDenial-of-Service)动态链接库(DynamicLinkLibrary)非军事区(DemilitarizedZone)域名服务器(DomainNameServer)拒绝服务(Denial-of-Service)文件传输协议(FileTransferProtocol)超文本传输协议(HypertextTransferProtocol)HTTPS超文本传输安全协议(HypertextTransferProtocol overSecureSocketLayer)ICMP
互联网控制报文协议(InternetControlMessageProtocol)人侵检测系统(IntrusionDetectionSystem)互联网协议(InternetProtocol)人侵防护系统(IntrusionPreventionSystem)MIME
GB/T25068.4—2022/ISO/IEC27033-4:2014多用途互联网邮件扩展类型(MultipurposeInternetMailExtensions)网络地址转换(NetworkAddressTranslation)网络文件系统(NetworkFileSystem)网络信息系统(NetworkInformationSystem)网络新闻传输协议(NetworkNewsTransportProtocol)网络时间协议(NetworkTimeProtocol)开放式系统互连(OpenSystemInterconnection)开放式最短路径优先协议(OpenShortestPathFirst)路由信息协议(Routing InformationProtocol)远程过程调用(RemoteProcedureCall)会话发起协议(SessionInitiationProtocol)S/MIME安全多用途互联网邮件扩展类型(Secure/MultipurposeInternetMailExtensions)SMTP
5文档结构
简单邮件传送协议(SimpleMailTransferProtocol))简单对象访问协议(SimpleObjectAccessProtocol)交换端口分析仪(SwitchedPortAnalyzer)单点故障(SinglePointOfFailure)结构化查询语言(StructuredQueryLanguage)安全套接层(SecureSocketsLayer)同步(Synchronous)
传输控制协议(TransmissionControlProtocol)传输层安全(TransportLayerSecurity)用户数据报协议(UserDatagramProtocol)统一资源定位器(UniformResourceLocator)虚拟局域网(Virtual LocalAreaNetwork)IP电话(Voice overInternetProtocol)虚拟专用网(VirtualPrivateNetwork)广域信息服务器或服务(Wide-areaInformation ServersorService)无线局域网(WirelessLocalAreaNetwork)可扩展标记语言(ExtensibleMarkupLanguage)本文件的结构包括:
安全网关的概述(见第6章):
与安全网关相关的安全威胁(见第7章);基于对安全网关分析后的安全需求(见第8章);与使用安全网关的典型网络场景和网络技术领域相关的安全控制措施(见第9章);一安全网关的各种设计技术(见第10章);一产品选择指南(见第11章)。6概述
安全网关位于两个或多个网段边界处,例如,在组织的内网和公共网络之间,安全网关根据服务访3
GB/T25068.4—2022/IS0/IEC27033-4:2014问策略过滤跨边界的流量。安全网关的另一个用途是将多租户服务进行网络分段,例如在使用云服务时,安全网关将根据组织的安全策略来保护组织的信息。图1展示了一个网络环境示例,该示例仅适用于本章。DMZ,也叫边界网络,是一个包含有组织开放给公共网络(互联网)的外部服务的物理或逻辑子网。DMZ的目的是为组织内网额外增加一个安全层,使得外部攻击者只能访问DMZ中的服务,而不能访问内网的任何其他部分。所有访问服务的外部连接都宜控制在DMZ内,DMZ系统访问内部系统的权限宜最小化或禁用。以这种方式设计的网络并不能根除内部网络泄露的风险,但会增加泄露的难度。能够破坏边界网络内服务的人侵者,就可能寻机找出另一个能访问内网的漏洞。因此,宜尽可能保证内网的安全。无线局域网
内网网关
内联网
外联网
外联网网关
SIP网关
IP电话网络
互联网网关
图1网络环境示例
互联网
大多数组织的网络会有多个“区域”或DMZ,为网络、应用和数据库层所用,或用于满足一些合规性和法规要求。
目前存在包含多个功能领域的“混合”解决方案。很多包过滤防火墙现在代理某些服务,并且包含了更多的控制粒度,如角色、时间等。组织拥有的内联网由组织授权的人员管理和维护。任何规模的组织都宜划分独立网段,由内部安全网关控制网段之间的流量。内联网中可为特殊用途设置隔离的基础设施。例如,如果将一个WLAN作为内联网的一部分,可能会带来额外的风险,宜将WLAN分网段隔离并需设立进一步的鉴别,就可利用内部安全网关来保护组织资产免受来自此网段的攻击。组织利用外联网将内联网扩展到合作伙伴网络,实现了与受信任的第三方进行通信和交换数据外联网的安全网关可用于处理此扩展引发的威胁。当使用云计算等服务时,安全网关被用于限制访问并根据组织的安全策略管理逻辑网络。组织通过公共网络与业务伙伴、客户和普通公众进行必要的通信和数据交换,最常用的公共网络就是互联网。由于公共网络的信任级别相对较低,因此需要使用安全网关,即互联网网关来应对公共网络带来的风险。4
7安全威胁
GB/T25068.4—2022/ISO/IEC27033-4:2014未经授权的访问尝试可能是恶意访问,例如导致DoS攻击、资源滥用或未经授权访问有价值信息。组织宜保护其内网和资产免受诸如蓄意滥用资产、系统配置错误、来自组织内部其他可信区域的未授权流量进人,或其他来自互联网应用服务的各种威胁安全网关需要保护组织免受来自内网、互联网或第三方网络的未授权用户访问入侵。从组织外流的不受监控的内容,可能会引发法律问题和知识产权损失。此外,当越来越多的组织连接到互联网,组织就面临对不恰当的、令人反感的网站或网络应用程序及服务进行访问控制的需要。如果不加控制,组织将面临生产力流失、责任风险和与工作无关的上网占用带宽等威胁。需要应对的主要安全威胁包括:对授权用户的DoS;
未经授权修改数据;
未经授权泄露数据;
未经授权的系统重置;
未经授权使用组织的资源和资产;未经授权的内容横向传播,如病毒和恶意软件:虚拟化违规;
对安全网关的DoS和DDoS攻击
8安全需求
安全网关控制对网络(OSI模型的第2层、第3层、第4层)或应用程序(OSI模型第5层第7层)的访问,见图2。
各层数据单位
第7层:数据
第6层:数据
第5层:数据
第4层:数据
第3层:数据
第2层:数据
第1层:数据
OST模型
应用层
表示层
会话层
传输层
网络层
数据链路层
物理层
图2开放系统互连基本参考模型OSI七层模型安全网关用于满足以下安全需求:5
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
CCS L 80
中华人民共和国国家标准
GB/T25068.4—2022/ISO/IEC27033-4:2014代替GB/T25068.3—2010
信息技术
安全技术
网络安全
第4部分:使用安全网关的网间
通信安全保护
Information technology—Security techniques—Network security-Part 4 : Securing communications between networks using security gateways(ISO/IEC27033-4:2014.IDT)
2022-10-12发布
国家市场监督管理总局
国家标准化管理委员会
2023-05-01实施
GB/T25068.4—2022/ISO/IEC27033-4:2014目
规范性引用文件
术语和定义
缩略语
文档结构
安全威胁
安全需求
安全控制
无状态包过滤
状态包检测
应用防火墙
内容过滤
人侵防御系统和人侵检测系统
安全管理API
10设计技术
安全网关组件
部署安全网关控件
产品选择指南
选择安全网关结构和适当组件bzxz.net
硬件和软件平台
安全功能设置
管理能力
日志记录功能
审计功能
培训和教育
实现类型,
高可用性和运行模式
其他注意事项
参考文献
GB/T25068.4—2022/IS0/IEC27033-4:2014前言
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草。
本文件是GB/T25068《信息技术安全技术网络安全》的第4部分。GB/T25068已发布了以下部分:
第1部分:综述和概念;
—第2部分:网络安全设计和实现指南;一第3部分:面向网络接人场景的威胁、设计技术和控制;一第4部分:使用安全网关的网间通信安全保护;一第5部分:使用虚拟专用网的跨网通信安全保护。本文件代替GB/T25068.3一2010《信息技术安全技术IT网络安全第3部分:使用安全网关的网间通信安全保护》。与GB/T25068.3一2010相比,除结构调整和编辑性改动外,主要技术变化如下:
更改了陈述“范围”时所使用的推荐条款和表述方式(见第1章,2010年版的第1章);更改了“术语和定义”的内容(见第3章,2010年版的第3章);b)
删除了“IT\\IDP”“V.35”等缩略语,增加了“ACL”“ASIC”“CPU”“DDoS”“URL”等缩略语(见第4章,2010年版的第4章);d)增加了“文档结构”“概述”“安全威胁”三章(见第5章~第7章);将“安全要求”更改为“安全需求”,增加了“表1”,并将2010年版的有关内容更改后纳入(见第e)
8章,2010年版的第5章);
将“安全网关技术”更改为“安全控制”(见第9章,2010年版的第6章),增加了要素“通则”(见f)
9.1)、“人侵防御系统和入侵检测系统\(见9.6)、“安全管理API\(见9.7),删除了要素“网络地址转换(NAT)”(见2010年版的6.4);g)
删除了“状态包检测防火墙”与“应用代理防火墙”的优缺点比较,并将2010年版的有关内容更改后纳人(见9.3,2010年版的6.2);h)将“应用代理”更改为“应用防火墙”,并将2010年版的有关内容更改后纳入(见9.4,2010年版的6.3);
将“内容分析和过滤”更改为“内容过滤”,增加了“内容分析”列项“协议分析”,并将2010年版i)
的有关内容更改后纳(见9.5,2010年版的6.5);将“安全网关组件”与“安全网关体系结构”两章合并为“设计技术”一章,删除了悬空段引导j)
词,重新绘制了示意图(见图3~图6,2010年版的图1~图4),并将2010年版的有关内容更改后纳入(见第10章,2010年版的第7章、第8章);k)增加了“可能存在负载均衡交换机”的使用规则(见10.1.1,2010年版的7.1);将“应用级网关”更改为“应用层网关”,增加了“SIP网关”的使用规则,并将2010年版的有关1)
内容更改后纳人(见10.1.3,2010年版的7.3);m)增加了“监控功能”的使用规则(见10.1.5);将“安全网关体系结构”更改为“部署安全网关控件”,删除了悬置段(见10.2,2010年版的n)
0)删除了要素“层次化方法”(见2010年版的8.2);I
GB/T25068.4—2022/ISO/IEC27033-4:2014删除了关于“屏蔽主机体系结构”优缺点的表述段落(见2010年版的8.1.3);p)
增加了“包过滤防火墙”的使用规则(见10.2.1);q
增加了要素“通则”(见11.1);r)
将“安全特点和设置”更改为“安全功能设置”,增加了“支持对打包的企业或其他业务应用程序的代理服务”和“支持识别协议流中运行的应用(如办公效率应用、嵌入式视频、即时消息等)”的推荐条款,并将2010年版的有关内容更改后纳入(见11.5,2010年版的9.4);增加规定了“细粒度的访问权限”(见11.6,2010年版的9.6);t)
u)删除了要素“文档化”(见2010年版的9.7);v)
增加了要素“实现类型”和要素“高可用性和运行模式”(见11.10、11.11)。本文件等同采用ISO/IEC27033-4:2014《信息技术安全技术网络安全第4部分:使用安全网关的网间通信安全保护》。
本文件做了下列最小限度的编辑性改动:用资料性引用的GB/T20985.2—2020替换了ISO/IEC27035(见9.1);用资料性引用的GB/T28454—2020替换了ISO/IEC27039(见9.5);请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任本文件由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本文件起草单位:黑龙江省网络空间研究中心、中国电子技术标准化研究院、安天科技集团股份有限公司、黑龙江安信与诚科技开发有限公司、上海工业控制安全创新科技有限公司、哈尔滨理工大学、哈尔滨工业大学。
本文件主要起草人:方舟、曲家兴、谷俊涛、于海宁、肖鸿江、李琳琳、李锐、宋雪、杨霄璇、白瑞、王大萌、上官晓丽、甘俊杰、杜宇芳、呼大永、马遥、黄海、树彬、张国华、燕思嘉、许言、吴琼、姜天一、周莹、曹威、方伟、童松华、赵超、祝宇琳、石冬青、单建中、孟庆川、倪华本文件及其所代替文件的历次版本发布情况为:—2010年首次发布为GB/T25068.3—2010;本次为第一次修订,编号调整为GB/T25068.4一2022。I
GB/T25068.4—2022/ISO/IEC27033-4:2014引言
GB/T25068的目的是为信息系统网络的管理、运行、使用及互联互通提供安全方面的详细指导。方便组织内负责信息安全特别是网络安全的人员能够采纳本文件以满足其特定需求。拟由六个部分构成。
第1部分:综述和概念。目的是定义和描述与网络安全相关的概念并提供管理指导第2部分:网络安全设计和实现指南。目的是为组织如何规划、设计、实现高质量的网络安全体系,以确保网络安全适合相应的业务环境提供指导。第3部分:面向网络接人场景的威胁、设计技术和控制。目的是列举与典型的网络接人场景相关的具体风险、设计技术和控制,适用于所有参与网络安全架构方面规划、设计和实施的人员。一第4部分:使用安全网关的网间通信安全保护。目的是确保使用安全网关的网间通信安全。它提供了如何识别和分析与安全网关相关的网络安全威胁、基于威胁分析定义安全网关的网络安全需求、介绍了以解决典型网络场景相关的威胁和控制方面的网络技术安全结构设计技术实现,并解决与使用安全网关实施、操作、监视和审查网络安全控制相关问题的指南。本文件适用于所有参与安全网关详细规划、设计和实施的人员(例如网络架构师和设计人员、网络管理员和网络安全主管)。
第5部分:使用虚拟专用网的跨网通信安全保护。目的是定义使用虚拟专用网络建立安全连接的具体风险、设计技术和控制要素。一第6部分:无线网络访问安全。目的是为选择、实施和监测使用无线网络提供安全通信所必需的技术控制提供指南,并用于第2部分中涉及使用无线网络的技术安全架构或设计选项的审查与选择。
GB/T25068是在GB/T22081《信息技术安全技术信息安全控制实践指南》的基础上,进一步对网络安全控制提供了详细的实施指导。GB/T25068仅强调业务类型等因素影响网络安全的重要性而不做具体说明。
本文件凡涉及采用密码技术解决保密性、完整性、真实性、抗抵赖性需求的,遵循密码相关国家标准和行业标准。
1范围
GB/T25068.4—2022/ISO/IEC27033-4:2014信息技术安全技术网络安全
第4部分:使用安全网关的网间
通信安全保护
本文件提供了使用安全网关(防火墙、应用防火墙、入侵防护系统等)的网络间通信安全保护指南,这些安全网关按照文档化的信息安全策略进行通信,指南包括识别和分析与安全网关相关的网络安全威胁;a
b)基于威胁分析来定义安全网关的网络安全需求;使用设计和实现的技术来解决与典型的网络场景相关的威胁和控制方面的问题;c)
d)指出实施、操作、监视和评审网络安全网关控制措施相关的问题。2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
ISO/IEC27033-1信息技术安全技术网络安全第1部分:综述和概念(Informationtech-nologySecuritytechniquesNetworksecurityPartl:Overviewandconcepts)注:GB/T25068.1一2020信息技术安全技术网络安全第1部分:综述和概念(ISO/IEC27033-1:2015,IDT)
3术语和定义
ISO/IEC27033-1界定的以及下列术语和定义适用于本文件。3.1
堡垒主机bastionhost
用于拦截进出网络的数据包、经加固操作系统的特定主机,任何外部人员访问组织防火墙内的服务和系统时,应连接该主机系统。3.2
终端软件防火墙
end-point software-based firewall根据终端用户自定义的安全策略允许或拒绝通信,保护进出单机的网络流量的软件应用程序。3.3
加固操作系统hardenedoperatingsystem专门配置或设计的操作系统,以最大限度地减少潜在的不良内容或攻击的可能性。注:可能是通用操作系统,例如为适应环境专门配置的Linux系统,或具有更高自定义程度的解决方案3.4
互联网网关
Internetgateway
接人互联网的端口设备
GB/T25068.4—2022/ISO/IEC27033-4:20143.5
packet
数据包
可通过网络或电话线传输的,由严格定义的“头部”“数据”和可选择的“尾部”字节块组成的实体。注:数据包的格式取决于创建它的协议。各种通信标准和协议都使用专用数据包来监视和控制通信会话。例如,网络传输数据包或数据单元完毕时,X.25协议使用诊断、会话清除和重置包(等)确认。3.6
边界网络
perimeternetwork
包含组织的外部服务并将其开放至公共网络的物理或逻辑子网。3.7
远程办公室
分办公室
remoteoffice
branchoffice
通过远程网络与组织的主办公室实行外部连接的办公室。注:为用户提供维护其日常业务程序所需的服务(如文件、打印和其他服务)。3.8
单点故障
single point of failure
某一部分发生故障导致整个系统不起作用的故障类型。3.9
SIP网关
SIPgateway
位于内部VoIP网络和外部网络(如公共电话网)之间的边界设备。注:通常使用路由器作为SIP网关。当外部IP网络使用VoIP时,重点确保网关包含足够的安全措施,特别对所有调用设置更改动态规则库以确保安全。4缩略语
下列缩略语适用于本文件。
访问控制列表(AccessControlList)应用程序接口(ApplicationProgrammingInterface)专用集成电路(ApplicationSpecificIntegratedCircuit)边界网关协议(BorderGatewayProtocol)中央处理器(Central Processing Unit)分布式拒绝服务(DistributedDenial-of-Service)动态链接库(DynamicLinkLibrary)非军事区(DemilitarizedZone)域名服务器(DomainNameServer)拒绝服务(Denial-of-Service)文件传输协议(FileTransferProtocol)超文本传输协议(HypertextTransferProtocol)HTTPS超文本传输安全协议(HypertextTransferProtocol overSecureSocketLayer)ICMP
互联网控制报文协议(InternetControlMessageProtocol)人侵检测系统(IntrusionDetectionSystem)互联网协议(InternetProtocol)人侵防护系统(IntrusionPreventionSystem)MIME
GB/T25068.4—2022/ISO/IEC27033-4:2014多用途互联网邮件扩展类型(MultipurposeInternetMailExtensions)网络地址转换(NetworkAddressTranslation)网络文件系统(NetworkFileSystem)网络信息系统(NetworkInformationSystem)网络新闻传输协议(NetworkNewsTransportProtocol)网络时间协议(NetworkTimeProtocol)开放式系统互连(OpenSystemInterconnection)开放式最短路径优先协议(OpenShortestPathFirst)路由信息协议(Routing InformationProtocol)远程过程调用(RemoteProcedureCall)会话发起协议(SessionInitiationProtocol)S/MIME安全多用途互联网邮件扩展类型(Secure/MultipurposeInternetMailExtensions)SMTP
5文档结构
简单邮件传送协议(SimpleMailTransferProtocol))简单对象访问协议(SimpleObjectAccessProtocol)交换端口分析仪(SwitchedPortAnalyzer)单点故障(SinglePointOfFailure)结构化查询语言(StructuredQueryLanguage)安全套接层(SecureSocketsLayer)同步(Synchronous)
传输控制协议(TransmissionControlProtocol)传输层安全(TransportLayerSecurity)用户数据报协议(UserDatagramProtocol)统一资源定位器(UniformResourceLocator)虚拟局域网(Virtual LocalAreaNetwork)IP电话(Voice overInternetProtocol)虚拟专用网(VirtualPrivateNetwork)广域信息服务器或服务(Wide-areaInformation ServersorService)无线局域网(WirelessLocalAreaNetwork)可扩展标记语言(ExtensibleMarkupLanguage)本文件的结构包括:
安全网关的概述(见第6章):
与安全网关相关的安全威胁(见第7章);基于对安全网关分析后的安全需求(见第8章);与使用安全网关的典型网络场景和网络技术领域相关的安全控制措施(见第9章);一安全网关的各种设计技术(见第10章);一产品选择指南(见第11章)。6概述
安全网关位于两个或多个网段边界处,例如,在组织的内网和公共网络之间,安全网关根据服务访3
GB/T25068.4—2022/IS0/IEC27033-4:2014问策略过滤跨边界的流量。安全网关的另一个用途是将多租户服务进行网络分段,例如在使用云服务时,安全网关将根据组织的安全策略来保护组织的信息。图1展示了一个网络环境示例,该示例仅适用于本章。DMZ,也叫边界网络,是一个包含有组织开放给公共网络(互联网)的外部服务的物理或逻辑子网。DMZ的目的是为组织内网额外增加一个安全层,使得外部攻击者只能访问DMZ中的服务,而不能访问内网的任何其他部分。所有访问服务的外部连接都宜控制在DMZ内,DMZ系统访问内部系统的权限宜最小化或禁用。以这种方式设计的网络并不能根除内部网络泄露的风险,但会增加泄露的难度。能够破坏边界网络内服务的人侵者,就可能寻机找出另一个能访问内网的漏洞。因此,宜尽可能保证内网的安全。无线局域网
内网网关
内联网
外联网
外联网网关
SIP网关
IP电话网络
互联网网关
图1网络环境示例
互联网
大多数组织的网络会有多个“区域”或DMZ,为网络、应用和数据库层所用,或用于满足一些合规性和法规要求。
目前存在包含多个功能领域的“混合”解决方案。很多包过滤防火墙现在代理某些服务,并且包含了更多的控制粒度,如角色、时间等。组织拥有的内联网由组织授权的人员管理和维护。任何规模的组织都宜划分独立网段,由内部安全网关控制网段之间的流量。内联网中可为特殊用途设置隔离的基础设施。例如,如果将一个WLAN作为内联网的一部分,可能会带来额外的风险,宜将WLAN分网段隔离并需设立进一步的鉴别,就可利用内部安全网关来保护组织资产免受来自此网段的攻击。组织利用外联网将内联网扩展到合作伙伴网络,实现了与受信任的第三方进行通信和交换数据外联网的安全网关可用于处理此扩展引发的威胁。当使用云计算等服务时,安全网关被用于限制访问并根据组织的安全策略管理逻辑网络。组织通过公共网络与业务伙伴、客户和普通公众进行必要的通信和数据交换,最常用的公共网络就是互联网。由于公共网络的信任级别相对较低,因此需要使用安全网关,即互联网网关来应对公共网络带来的风险。4
7安全威胁
GB/T25068.4—2022/ISO/IEC27033-4:2014未经授权的访问尝试可能是恶意访问,例如导致DoS攻击、资源滥用或未经授权访问有价值信息。组织宜保护其内网和资产免受诸如蓄意滥用资产、系统配置错误、来自组织内部其他可信区域的未授权流量进人,或其他来自互联网应用服务的各种威胁安全网关需要保护组织免受来自内网、互联网或第三方网络的未授权用户访问入侵。从组织外流的不受监控的内容,可能会引发法律问题和知识产权损失。此外,当越来越多的组织连接到互联网,组织就面临对不恰当的、令人反感的网站或网络应用程序及服务进行访问控制的需要。如果不加控制,组织将面临生产力流失、责任风险和与工作无关的上网占用带宽等威胁。需要应对的主要安全威胁包括:对授权用户的DoS;
未经授权修改数据;
未经授权泄露数据;
未经授权的系统重置;
未经授权使用组织的资源和资产;未经授权的内容横向传播,如病毒和恶意软件:虚拟化违规;
对安全网关的DoS和DDoS攻击
8安全需求
安全网关控制对网络(OSI模型的第2层、第3层、第4层)或应用程序(OSI模型第5层第7层)的访问,见图2。
各层数据单位
第7层:数据
第6层:数据
第5层:数据
第4层:数据
第3层:数据
第2层:数据
第1层:数据
OST模型
应用层
表示层
会话层
传输层
网络层
数据链路层
物理层
图2开放系统互连基本参考模型OSI七层模型安全网关用于满足以下安全需求:5
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。