代替GB/T25068.1—2012信息技術安全技術網絡安全國家市場監督管理總局國家標準化管理委員會IGB/T25068.1—2020/ISO/IEC27033-1:2015 V 1 1 1 5 7 8 86.2網絡安全規劃和管理 7識別安全風險和準備確定安全控制 7.2有關當前和/或規劃網絡的信息 7.2.1組織信息安全策略中的安全需求 7.2.2有關當前和/或規劃網絡的信息 7.3信息安全風險和潛在的控制區域 8支持控制 8.2網絡安全管理 8.2.2網絡安全管理活動 8.2.3網絡安全角色與職責 8.2.4網絡監視 8.2.5網絡安全評估 8.3技術脆弱性管理 8.4鑒別和身份認證 8.5網絡審計日志和監視 8.6入侵檢測和防御 8.7惡意代碼防御 8.8基于密碼的服務 8.9業務連續性管理 9網絡安全設計和實現指南 249.1背景 9.2網絡技術安全體系架構及設計 26Ⅱ 2610.2員工互聯網訪問服務 10.3增強性協作服務 27 27 27 27 27 2810.10家庭和小型企業的網絡支持 28 28 29 的交叉引用 附錄B(資料性附錄)SecOPs文檔示例模板 V 8圖3網絡環境示例 9 圖5網絡安全風險區域的概念模型 Ⅲ本部分為GB/T25068的第1部分。本部分代替GB/T25068.1—2012《信息技術安全技術IT網絡安全第1部分：網絡安全管2012年版的第2章、第13章); 第2章，2012年版的第2章);2012年版的第3章);的第4章);第12章);——增加了本部分中安全控制部分同ISO/IEC27001、ISO/IEC27002中相關條款交叉引用及本部分使用翻譯法等同采用ISO/IEC27033-1:2015《信息安全安全技術網絡安全第1部分：——GB/T9387(所有部分)信息技術開放系統互連基本參考模型[ISO/IEC7498(所有部——GB/T22080—2016信息技術安全技術信息安全管理體系要求(ISO/IEC27001:——GB/T22081—2016信息技術安全技術信息安全控制實踐指南(ISO/IEC27002:2013, -GB/T29246—2017信息技術安全技術信息安全管理體系概述和詞匯(ISO/IEC——GB/T31722—2015信息技術安全技術信息安全風險管理(ISO/IEC27005:2008,GB/T25068.1—2020/ISO/IEC27033-1:2015——在第2章增加了正文中規范引用的國際文件ISO/IEC27000。VGB/T25068.1—2020/當前，商業和政府組織大多數都通過網絡連接他們的連接媒介以提供低成本的數據通信，也實現了由互聯網服務提供商(ISP)提供更復雜的服務。這也VGB/T25068.1—2020/ISO/IEC27033-1:2015于確保服務計費和使用信息的準確性是必不可少的。產品的安全能力對整體網絡安全(包括應用和服定解決方案成功與否。安全性是每個產品或服務的關注點，它是依 全適合相應的業務環境?？山柚Ｐ涂蚣?本部分標準利用模型框架來描述一類技術安全架——ISO/IEC27033-4,定義使用安全網關保護的—ISO/IEC27033-5,定義使用虛擬專用網絡建立安全連接的具體風險、設計技術和控制要素。ISO/IEC27033-6,定義保護IP無線網絡的具體風險、設計技術和控制要素。與參與詳細規1ISO/IEC7498(所有部分)信息技術開放系統互連基本參考模型：命名與編址(Informationtechnology—OpensystemsinterconneISO/IEC27000信息技術安全技術信息安全管理體系概述和詞匯(Informationtechnolo-gy—Securitytechniques—InformatioISO/IEC27001信息技術安全技術信息安全管理體系要求(Informationtechnology—Se-curitytechniques—InformatioISO/IEC27002信息技術安全技術信息安全管理實用Securitytechniques—CoISO/IEC27005信息技術安全技術信息安全風險管理(Informationtechnology—Securitytechniques—Informationsec2GB/T25068.1—2020/ISO/IEC27033-1:2015[ISO/IEC15288:2008,定義43GB/T25068.1—2020/一種工作在開放系統互聯(OSI)參考模型第1層的網絡設備。支持組織成員利用互聯網絡協議和網絡連接，安全地分享組織的部分信息和操作的私有計算機[ISO/IEC27039,定義2.15][ISO/IEC27039,定義2.15][ISO/IEC27039,定義2.15]4GB/T25068.1—2020/ISO/IEC27033-1:2015一種為網間路由而開發的技術。該技術通過為每個數據路徑或數據流分配標簽來實現連接交換，從另一網絡或從一個終端設備訪問網絡資源的過程，這種訪問通過物5GB/T25068.1—2020/利用內部交換機制來提供聯網設備之間連通性的設備，其中的交換技術通常在OSI參考模型的第2層或第3層實現。在現有網絡基礎設施上建立的聯網設備之間的數據路徑。下列縮略語適用于本文件及ISO/IEC27033的其他部分。ACL:訪問控制列表(AccessControlList)AES:高級加密標準(AdvancedEncryptATM:異步傳輸模式(AsynchronoBPL:寬帶電力線路(BroadbandPowerLine)CA:認證機構(CertificatiCDPD:蜂窩數字分組數據(CellularDigitalPacketData)CDMA:碼分多址(CodeDivisioCLNP:無連接網絡協議(ConnectionLessNetworkProtocol)CoS:服務類別(ClassofService)CRM:客戶關系管理(CustomerRelationshipManagement)6IPS:入侵防御系統(IntrusionPreventLAN:局域網(LocalAreaNetw7VPN:虛擬專用網(VirtualPrivateNetwora)第1部分與第3部分、第4部分、第5部分8第8章),相關內容請參考ISO/IEC27001,ISO/IEC27002和ISO/IEC27005;(見第10章);9GB/T25068.1—2020/ISO/IEC27033-1:2015公鑰基礎設施公鑰基礎設施無線局域網外部網關內部網關遠程站點虛擬專用網互聯網關三遠程用戶遠程用戶多數組織的業務需求都宜與外部合作伙伴和其他組當一個組織決定使用IP電話(VoIP)技術來實現內部電話網絡時，通常還宜在電話網絡之間合理GB/T25068.1—2020/ISO/IEC27033-1:20151)有關監管機構或立法機構(包括政府機構)規定的與網絡連接相關的監管和立法安全2)在網絡上存儲或傳輸的敏感信息。信息來定義安全需求(見第10章和第11章)[包括：1)評估潛在違反相關監管或立法機構(包括政府機構)規定的，與網絡連接有關的監管全架構、設計和相關的安全控制(見第9章～第11章)(這將包括相關監管機構或立法機構(包d)開發和測試安全解決方案(見第12章)。e)實施和操作安全控制(見第13章)。f)監控和評審實施情況(見第14章)[包括監控和評審為遵守相關監管或立法機構(包括國家政網絡安全規劃和管理過程的概述如圖4所示。GB/T25068.1—2020/ISO/IEC27033-1:2015風險信息(見第10章、第11章);題，并選擇和記錄首選技術安全架構及設計相關控制(見第9章～第11章)開發、實施和測試安全解決方案(第12章)操作安全解決方案(第13章)監控和審查實施情況(第14章)測試、操作化(業務需求、決方案等)劃的網絡環境的信息，7.2提供了指導。第二階段是確定和評估網絡安全風險以及適當的潛在控制區GB/T25068.1—2020/ISO/IEC27033-1:2015關于信息安全策略的指導在ISO/IEC27002和ISO/IEC27005中給出。個人局域網(PAN)將歸類為局域網。當今使用的另一個術語是全球區域網(GAN),即全球WAN。注意，有些用于存儲相關網絡的術語，例如存儲區域網絡(SAN)和網絡連接存儲(NAS),但這些不在—許多運營商網絡均基于多協議標簽交換(MPLS)協議，該協議允許一個核心承載網絡被多個專用網絡共享，而互相不產生干擾。MPLS的主要應用場景是VPN,用不同的分隔屬于不同VPN的通信流(基于VPN的MPLS不依賴于數據加密機制),這使得企業用戶GB/T25068.1—2020/GB/T25068.1—2020/ISO/IEC27033-1:2015——IP環境與公共電話網的連接，即IP網絡發起的向PSTN的電話連接。這種連接是不受控制——-MPLS網絡是否支持QoS(QoS能夠提供穩定的性能，具有可靠性和可用性。其提供的網絡無論采用哪種評審方法，某些組合可能意味著具有比其他組合更低的風GB/T25068.1—2020/ISO/IEC27033-1:2015保密性等終端系統網元網元終端系統鑒別使用授權控制合公認的良好安全實踐。這主要涉及以下5個方面：網絡安全風險評估和管理的主要進程如圖6所示(這實際上是圖4中的“判定范圍及情境并評估風GB/T25068.1—2020/ISO/IEC27033-1:2015風險評估有關網絡安全風險評估及管理評審的詳細資料，宜參閱ISO/IEC息(見第10章和第11章，以及ISO/IEC27033的第3部分～第6部分)。制(技術和非技術方面)。ISO/IEC27001、ISO/IEC27002和ISO/IEC27制信息。這些對網絡使用來說至關重要的控制將在8.2～8.9中進行闡述，分別是網絡安全管理(網絡考ISO/IEC27001、ISO/IEC27002和ISO/IEC27005中的相關內容。GB/T25068.1—2020/ISO/IEC27033-1:2015宜查閱ISO/IEC27002、ISO/IEC27005和ISO/IEC27035以獲取詳細的專題信息。上述對于網管理者有責任明確地接受和支持組織的網絡安全策略(如ISO/IEC27002所述)。網絡安全策略 網絡安全策略的內容通常宜包括對網絡安全風險評估和管理評審結果的概述(對控制的花費予以為支持網絡安全策略，宜開發和維護SecOP文件。它們宜包含與安全相關的日常操作規程的細GB/T25068.1—2020/網絡安全合規性檢查宜在任何網絡連接的實際操作和重要版本更新之前(與重要業務或網絡變更合。在任何此類測試開始之前，宜檢查測試計劃以確保測試將以完全符合相關法律法規的方式進行。例如，組織A可要求組織B在能夠經由網絡連接而與其系統相連接之前，B宜為其連接由組織簽署綁定聲明以確保安全性。A將保留對B進行委托或合規性檢查的使用網絡時信息安全事件發生的可能性更大(與不使用網絡的情況相比),對業務產生的不利影響或一系列有害的或未預料的信息安全事態)。更詳細的信息安全事件管理見ISO/IEC27035。 制定詳細的網絡安全策略；GB/T25068.1—2020/ISO/IEC27033-1:2015——管理與外部利益相關者、外部服務提供商的接口，以確保其符合內部和外部網絡安全——維護網絡安全工具和組件以密切關注風險的演變(例如，更新惡意代碼(包括病毒)標簽文件);f)審計員(內部和/或外部):——檢查和測試操作安全規則中當前業務要求和法律限制的兼容性(例如網絡訪問的許可GB/T25068.1—2020/授權人員訪問特定的網絡服務和相關的信息進行嚴格限定。對這些連接的要求并不僅限于網絡連接，可能與網絡的使用和相關的信息系統有關的3個安全控制域如下：加強鑒別。使用用戶ID或口令匹配是認證用戶的簡不在組織的直接控制之下(例如，通過筆記本電腦)。最簡單的方法是使用用戶呼叫識別器(CLID)(但由于其易被冒用，因此CLID在無法進一步-—遠程登錄失敗的日期和次數；GB/T25068.1—2020/ISO/IEC27033-1:2015攻擊的最初跡象可能是在防火墻日志中出現大量的流量，這表明是針對潛在目標進行的探測活動。宜在UDP中進一步保護審計日志(包括鑒別和身份認證以及訪問控制)。持續監視涵蓋的范圍宜關于網絡使用的大多數評審記錄和監視控制以及相關的信息系統可根據ISO/IEC27GB/T25068.1—2020/入侵防御系統(IPS)會對進入內部網絡的所有流量進行檢查并自動攔截所有可識別的攻擊。換言成計算機執行未授權的功能(例如在特定日期和時間用消息轟炸特定的目標),或者一旦復制就試圖找全依賴掃描設備檢測所有的惡意代碼(甚至特定類型的所有惡意代碼),因為新形式的惡意代碼不斷出程接入的情況下，防御病毒的軟件宜在遠程系統上運行，也宜在中心系統的服務器上，特別是在Windows系統和電子郵件服務器上運行。更詳細的惡意代碼防御參見ISO/IEC27002和ISO/IEC27005。慮數字簽名和/或信息完整性控制以保護網絡連接上的信息。數字簽名控件能夠為消息鑒別控制提供 -—要求提供發件人地址或標識符并檢查此信息存在與否的應用協議；ISO/IEC18033(所有部分)對加密機制進行了標準化。ISO/IGB/T25068.1—2020/ISO/IEC27033-1:2015部分)中對被稱為消息認證碼(或MACs)的消息完整性控制進行了標準化。ISO/IEC9796(所有部分)和ISO/IEC14888對數字簽名技術進行了標準化。更多與抗抵賴性有關的信息參見ISO/IEC14516——ISO/IEC11770(所有部分)信息技術安全技術密鑰管理；——ISO/IEC9597-8目錄公鑰與屬性證書框架；-——ISO11166-2銀行業務借助非對稱算法的密鑰管理；——ISO11568(所有部分)銀行業務零售密鑰管理；—ISO21118銀行公鑰基礎設施。本章闡明了各種網絡技術安全架構及設計層面和相關潛在控制區域的問題。第10章為網絡場景的風險、設計技術和安全控制區域提供了參考。第11章為當前組織關注的特定技術主題提供有關風多主題和控制區域。附錄B中有關于ISO/IEC27001、ISO/IEC27002網絡安全相關控制和本部分交依據第8章～第11章中所提到的相關網絡架構，宜對所涉及的技術安全架構、設計以及明確的控(見第14章)。GB/T25068.1—2020/ISO/IEC27033-1:2015——網絡技術安全設計包括所有應用技術主題(這些主題與ISO/IEC27001—2007中的條款相 使用場景和技術指導(ISO/IEC27033-3～ISO/IEC27033-6有敘述)(同樣，見第10章和第11章);總體設計原則(使用最多的原則)在ISO/IEC27033-2中有描述。而且，宜參考ISO/IEC27033-2一些場景的例子。ISO/IEC27033-3不僅提供了詳細的安全風險和安全設計技術指導，還提供了在所有特定場景下減輕風險所需的控制。ISO/IEC27033-3包括ISO/IEC27033-4～ISO/IEC27033-6的GB/T25068.1—2020/ISO/IEC27033-1:2015方案。內部以及內外部同時使用的情況下，該服務提供了用于減輕這些風險——安全通常只在組織控制下的終端平臺上得以“保證”,為實施控制和維持平臺安全提供良好下，客戶平臺將面臨更多的風險(在這種環境下很難實施合同中無“安全連接條件”等系列 GB/T25068.1—2020/表A.1給出了本部分中安全控制部分同ISO/IEC27001、ISO/IEC27002相關章條號的交叉引用表A.1根據ISO/IEC27001、ISO/IEC27002章條號ISO/IEC27001、ISO/IEC27002章條號12.2.1惡意軟件的控制宜實現檢測、預防和回復控制以防范惡意軟件，并結合適當的用戶意識教育實現控制(如應用程序白名單),以防止或發現未授權軟件的使用實現控制(如黑名單),以防止或發現已知或可疑的惡意網站的訪問他介質獲取的文件和軟件相關，該策略宜說定期評審支持關鍵業務過程的系統軟件和數據內容；宜正式調查作為一項預防措施，或例行程序，宜安裝和測和修復軟件掃描計算機和介質，執行的掃描宜包括：1)在使用通過網絡或任何形式的存儲介質得到的文件前，要掃描惡意軟件；2)在使用電子郵件和附件下載前，要掃描惡意軟件；該掃描宜及進入組織網絡時；實現定期收集信息的規程，例如訂閱郵件列表或驗證提供新惡意軟件的web站點實現規程以驗證與惡意軟件相關的信息，并確保報警公告是準確的和有價值的；管理者宜確?？煽康膩碓?例如，聲譽好的期刊、的和真實的惡意軟件；所有用戶宜了解欺騙問題，以及收到后如GB/T25068.1—2020/表A.1(續)ISO/IEC27001、ISO/IEC27002章條號隔離可能導致災難性影響的環境13.1.1網絡控制宜管理和控制網絡以保護系統和應用中的信息在合適的地方，網絡的運行責任宜與計算機運宜建立專門的控制，以保護在共用網絡上或無線網絡上流經數據的保密性和完整性，并且保護已連接的系統及應用(見第10章和第13.2條款);為維護所連接的網絡服務和計算能需要專門的控制11“技術”主題—風險、設計技響信息安全或與信息安全相關的活動為優化對組織的服務和確保在信息處理基礎設施中諸多控制的一致應用，宜緊密協調相應的管理活動表A.2給出了ISO/IEC27002與本部分相關章條號交叉引用情況。ISO/IEC27002章條號6網絡安全規劃和管理有關當前和/或規劃網絡的信息7識別安全風險和準備確定安全控制有關當前和/或規劃網絡的信息網絡架構、應用及服務網絡連接類型其他信息網絡安全管理網絡控制網絡安全管理活動網絡安全策略5網絡和網絡服務的訪問網絡安全操作程序GB/T25068.1—2020/表A.2(續)ISO/IEC27002章條號網絡安全合規性檢查多組織網絡連接的安全條件網絡安全事件管理網絡安全角色與職責網絡監視日志和監視網絡安全評估秘密鑒別信息的使用網絡審計日志和監視日志和監視網絡服務的安全密碼控制9網絡安全設計和實現指南網絡技術安全體系架構、設計員工互聯網訪問服務公共網絡上應用服務的安全保護網絡劃分“技術”主題—風險、設計技術和控制要素網絡控制網絡服務的安全2.2.1IT環境4.2.6工作人員[1]GB/T18794.1—2002信息技術開放系統互連開放系統安全框架第1部分：概述(idt[3]ISO11166-2Banking—Key[4]ISO11568(all