信息技術安全技術網絡安全第3部分面向網絡接入場景的威脅設計技術和控制2022目 次前言 Ⅲ引言 Ⅴ范圍 1規范性引用文件 1術語和定義 1縮略語 2文檔結構 2概述 3員工的互聯網訪問服務 5

…………………5安全威脅 5安全設計技術和控制措施 6企業對企業的服務 7

…………………7安全威脅 8安全設計技術和控制措施 8企業對客戶的服務 9

…………………9安全威脅 9安全設計技術和控制措施 0增強協作服務 1

………………1安全威脅 2安全設計技術和控制措施 2網絡分段背景

………………3………………3安全威脅 3安全設計技術和控制措施 4為居家辦公和小型商務辦公場所提供網絡支持 4

………………4安全威脅 4安全設計技術和控制措施 5移動通信

………………6Ⅰ

………………6安全威脅 6安全設計技術和控制措施 7為流動用戶提供網絡支持 8

………………8安全威脅 8安全設計技術和控制措施 9外包服務背景

………………9………………9安全威脅 9安全設計技術和控制措施 0附錄A資料性)威脅目錄 1附錄B資料性)互聯網使用策略示例 5參考文獻 8表1網絡接入場景資源訪問框架 3表2網絡安全技術示例 5表3員工的互聯網訪問服務場景下的安全控制措施 6表4企業對企業的服務場景下的安全控制措施 8表5企業對客戶的服務場景下的安全控制措施 0表6增強協作服務場景下的安全控制措施 2表7網絡分段場景下的安全控制措施 4表8用于居家和小型商務辦公場所場景的網絡安全控制 5表9移動通信場景下的安全控制措施 7表0為流動用戶提供網絡支持場景下的安全控制措施 9表1外包服務場景下的安全控制措施 0Ⅱ1122信息技術安全技術網絡安全第3部分面向網絡接入場景的威脅設計技術和控制范圍本文件描述了與網絡接入場景相關的威脅設計技術和控制問題為每一個網絡接入場景提供了能夠降低相關風險的安全威脅安全設計技術以及控制三個要素的詳細指南。本文件適用于按照2來評審技術性安全體系的結構和設計以及選擇和記錄首選技術安全架構設計和相關控制的選項。被評審的網絡環境的特征決定了特定信息的選擇包括從56中選擇的信息即特定信息的選擇與特定網絡接入場景和技術主題有關。規范性引用文件下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款。其中注日期的引用文件僅該日期對應的版本適用于本文件不注日期的引用文件其最新版本包括所有的修改單適用于本文件。6信息技術安全技術信息安全管理體系概述和詞匯T,)1信息技術 安全技術 網絡安全 第1部分綜述和概念T—)術語和定義1界定的以及下列術語和定義適用于本文件。1

惡意軟件 e帶有惡意設計的軟件類別包含可能直接或間接對用戶或用戶的計算機系統造成潛在傷害的特性或功能。來源]2

不透明性 y對可能通過監測網絡活動例如在互聯網上的P呼叫中獲得端點的地址獲得的信息給予保護。注:不透明性同時還保護獲得信息的相關行為。34

外包 g購買方為支持其業務功能需求而進行的外部購買服務。社會工程 g利用某種方式誘使合法用戶執行操作或泄露秘密信息的行為。縮略語下列縮略語適用于本文件。鑒別、授權和計費d)動態主機分配協議c)域名服務n)S安全擴展)拒絕服務)文件傳輸協議)入侵檢測系統n)互聯網協議)P安全)M)開放系統互聯)個人數據終端)公共交換電話網絡d)服務質量)會話發起協議)簡單郵件傳輸協議e)簡單網絡管理協議k)安全套接層加密認證協議P電話)虛擬專用網)文檔結構本文件的結構包括:為每個參考網絡接入場景提供了網絡安全防護方法的概述詳見第6章為每個參考場景詳見第7章~第5章提供了詳細描述:描述了存在于參考場景的威脅;描述了在第6章的方法的基礎上可能采用的安全控制措施和技術。本文件中的場景按照表1進行排序其目的是評估給定場景的功能:接入用戶的類型可能包括機構內部的用戶從外部訪問機構資源的員工或外部用戶消PAGEPAGE3PAGEPAGE4費者供應商業務合作伙伴被訪問信息資源的類型開放受限外包的訪問資源。表1呈現一個一致性結構使得更易于管理增加新的場景也表明本文件各個場景的必要性。表1網絡接入場景資源訪問框架可訪問的信息資源接入用戶內部用戶外部員工外部用戶開放員工的互聯網訪問服務;企業對企業的服務企業對客戶的服務受限增強協作服務;企業對企業的服務;網絡分段a;居家辦公和小型商務辦公場所的網絡支持移動通信;流動用戶的絡支持增強協作服務;企業對企業的服務;企業對客戶的服務外包外包服務外包服務a網絡分段是指網絡的分離或隔離通常使用一個或多個防火墻它可能意味著出于安全原因物理隔離網絡。本文件中列出的場景順序如下:員工的互聯網訪問服務見第7章企業對企業的服務見第8章企業對客戶的服務見第9章增強協作服務見第0章網絡分段見第1章為居家辦公和小型商務辦公場所提供網絡支持見第2章移動通信見第3章為流動用戶提供網絡支持見第4章外包服務見第5章。概述本文件基于以下方法對每個已識別的參考網絡接入場景提供指導:評審網絡接入場景的背景信息和范圍;描述與網絡接入場景相關的威脅;對已發現的漏洞進行風險分析;分析潛在的漏洞對業務的影響;確定用以保護網絡的實施建議。為了解決網絡安全性問題需采用一種提供端到端評估的系統化方法。這種方法的復雜性取決于一定范圍內網絡的性質和規模。然而隨著技術的不斷發展評估方法的一致性對管理安全性非常重要。安全評估中需考慮的首要因素是確定擬保護的資產。這些資產大致可以分為基礎設施服務及應用程序。機構可自定義其資產類別但要注意不同的資產類別所受威脅和攻擊具有差異化。如如果路由器被歸類為基礎設施類資產而P被歸類為終端用戶服務類資產那么針對S攻擊就需要采取不同的策略。具體來看路由器需在其物理端口上防御偽數據包泛洪而P服務需保護用戶的賬戶及服務信息不被刪除或損壞以保障合法用戶不會被阻止訪問服務。網絡安全還需要保護網絡上支持的各種活動如管理活動控制指令消息終端用戶數據本地數據和傳輸數據例如管理員界面可能會由于未經授權的訪問而被公開易被破解的管理員賬戶和密碼通信流量易被偽造P地址的操作系統發出的M指令破壞被嗅探泄露被數據包泛洪中斷。本文件對資產和行為的識別方法有助于對威脅模塊化和系統化的分析。根據已知的威脅集檢查每個參考網絡接入場景以確定可適用哪些威脅。A提供了已知的行業威脅的列表盡管該列表不能完全覆蓋已知的行業威脅但它提供了一個基點。一旦確定了網絡的威脅概況就可以對漏洞進行分析以確定在特定資產環境中可能出現的威脅。這樣的分析將有助于確定缺少哪些防御措施以及需要部署哪些策略來實現對目標的保護采取的策略將降低入侵成功的可能性或降低其影響。風險分析是通過發現漏洞來實現的業務影響分析是通過應對每個漏洞的業務決策來實現的業務決策包括補救承受風險或轉移風險。任何安全評估方法均需包括為保護漏洞不受威脅而設計的策略和實施的控制措施。根據對資產信息保護來說相關控制措施的選擇和實施是至關重要的。該標準要求保持信息的保密性完整性和可用性除此之外還可能涉及信息的真實性抗抵賴性和可靠性等其他屬性。以下是本文件中使用的一組安全屬性用于客觀的設計策略和實施控制措施以降低風險。下面是對每個安全屬性不限于保密性完整性和可用性需求的合理化描述。保密性是指保護數據免遭未經授權的泄露。完整性是指維護數據的正確性和準確性防止未經授權的修改刪除創建和復制。可用性是指允許對網元存儲信息信息流服務和應用程序的授權訪問。訪問控制是指通過使用鑒別和授權對網絡設備和服務的訪問進行控制并確保只允許經過授權的人員或設備訪問網元存儲信息信息流服務和應用程序。例如在V部署中禁用訪問用戶機頂盒的調試接口就是出于對訪問控制屬性考慮的安全建議之一。對保密性完整性或可用性的評審不會產生異議。鑒別是指在獲得授權的訪問控制時確認或證實用戶或通信方的身份并確保實體不會試圖偽裝或未經授權地重放攻擊。例如個人可獲得對網絡管理系統的訪問權但是需要通過認證才能更新訂閱用戶服務記錄。因此不能僅通過采用保密性完整性可用性或訪問控制來確保網絡管理行為具備可執行性。注在基于角色的訪問控制中鑒別和授權函數為空值授權是通過將用戶劃分為不同角色來實現的。訪問控制是指在授予訪問權限之前驗證該用戶是否為具有訪問權限的角色。同樣訪問控制列表根據策略授予訪問權如果用戶滿足策略要求那么就被授予訪問權。通信或傳輸安全是指確保信息只在授權的端點之間流動而不被轉移或攔截。抗抵賴性是指保留審核記錄以保證數據的來源或事態操作的起源不可否認。對受保護數據執行未經授權操作的人員進行識別該識別行為不影響數據的保密性完整性和可用性。不透明性是指保護網絡活動不被監視進而保護網絡活動產生的信息。實現不透明性除了保護信息之外還需要保護網絡活動。保護信息是通過實施保密性來實現的保護網絡活動是通過保護甲乙之間的通話來保護他們的機密信息進而確保了信息的不透明性。在本文件所描述的所有場景中都將上述安全屬性作為安全設計技術和控制措施階段的一部分進行評審。表2展示了一些網絡安全屬性的實現機制的示例這些安全屬性可用于降低潛在風險。表2網絡安全技術示例安全事項安全機制技術訪問控制門禁系統訪問控制列表職責分離鑒別簡單登錄簡易密碼數字證書數字簽名傳輸層安全協議單點登錄詢問握手認證協議可用性冗余備份防火墻入侵檢測入侵防御用于阻止業務連續性使用服務水平協議管理的網絡和服務通信安全第二層隧道協議私有線路隔離網絡保密性加密訪問控制列表文件許可完整性哈希消息認證碼循環冗余校驗反病毒軟件抗抵賴性日志基于角色的訪問控制數字簽名不透明性P包頭加密如具有c隧道模式的網絡地址轉換針對)在本文件中每個參考網絡接入場景的環境中討論的策略設計和技術實施均需考慮上述安全事項。通常來說組織將從1中選擇相關控制要素以達成其業務目標而本文件旨在提供實施所選控制要素的網絡等級的注意事項。員工的互聯網訪問服務背景當組織需要為員工提供互聯網訪問服務時可采用本章所提供的網絡接入場景以確保員工訪問互聯網的內容是明確的且已被授權的而不是一般的開放訪問。組織需考慮如何管理訪問權限避免因員工不受控制訪問互聯網而導致網絡帶寬損失甚至可能承擔連帶法律責任。隨著越來越多的互聯網違法案例的出現員工的互聯網訪問控制日益受到關注。因此組織有責任通過評估以下場景來建立監測和執行一個明確的互聯網訪問策略:出于業務目的訪問互聯網;是否允許出于私人目的以受限形式訪問互聯網允許使用哪些服務;是否允許增強協作服務;是否允許員工使用聊天系統論壇等。通常情況下盡管既定策略可阻止大多數違規使用互聯網行為但組織仍然面臨巨大的信息安全風險。下述條款針對內部內外部使用行為情況描述了安全威脅和關于安全設計技術與控制措施的建議以減輕相關風險。安全威脅與員工互聯網訪問服務相關的安全威脅包括以下內容。病毒攻擊和惡意軟件的入侵:PAGEPAGE10PAGEPAGE7使用互聯網的員工是惡意軟件的主要攻擊目標這些惡意軟件可導致信息的丟失或破壞造成T基礎設施失控給組織的網絡安全帶來巨大風險。用戶下載的文件或程序可能包含惡意代碼。由于即時消息傳輸對等文件共享和P電話等應用程序的普及員工可能會在不經意間下載并安裝惡意應用程序這些惡意應用程序可能使用靈活的端口配置在開放端口之間跳躍和加密等技術來規避網絡防御。此外可以利用對等文件共享應用程序作為僵尸網絡的隱通道。b瀏覽器或其他b應用程序中的漏洞可被惡意軟件利用并導致感染病毒和木馬。一旦感染病毒傳播活動將導致網絡過載嚴重影響可用性未授權的實體借由木馬獲得訪問權限破壞了保密性。信息泄露:允許將信息上傳到b服務器的應用程序上可導致組織內部與互聯網間不受控的數據傳輸。如果使用加密會話例如傳輸層安全協議那么甚至無法記錄此類行為。當在組織內部的系統上植入未經認證的代碼時也會引入類似的安全風險。未經授權的使用和訪問:基礎設施系統和應用程序的失控可能導致欺詐拒絕服務和設施的濫用。違法違規責任:因不遵守法律法規或監管義務而產生的法律責任;不符合組織使用的策略可能導致違反法律法規。因帶寬不足或穩定性問題而降低網絡可用性:過度使用高帶寬服務如流媒體或對等文件共享可導致網絡過載。安全設計技術和控制措施表3描述了與員工的互聯網訪問服務有關的安全設計技術和控制措施。評審每個安全屬性在降低可預測的安全風險方面的適用性隨后在第二列中給出相應的技術實施示例。例如完整性訪問控制和鑒別可用于防御惡意代碼。表3員工的互聯網訪問服務場景下的安全控制措施適用于已識別威脅的安全屬性設計和技術的實施病毒攻擊和惡意軟件的入侵完整性訪問控制鑒別只向員工提供與業務相關的互聯網服務。利用黑名單管理授權服務進而拒絕使用聊天系統或b郵件服務或對等文件共享網絡協議。在連接互聯網的網關上使用防病毒軟件以掃描所有出入互聯網的流量。掃描宜覆蓋所有授權使用的網絡協議。確保自動安裝防病毒更新或提醒用戶存在可用更新。在所有客戶端系統上使用防病毒軟件特別是員工使用的客戶端系統。對文件和所有存儲的信息進行病毒木馬及其他形式的惡意軟件的掃描。使用如雜湊校驗碼證書等算法對數據文件進行完整性驗證。阻止彈出窗口和網絡廣告。通過使用少量受控的安全網關來控制互聯網訪問服務的流量。活動內容鑒別表3員工的互聯網訪問服務場景下的安全控制措施續)適用于已識別威脅的安全屬性設計和技術的實施信息泄露通信安全完整性訪問控制在互聯網網關上為移動代碼設置過濾器。只接受來自非關鍵的白名單站點的移動代碼。只接受由認證機構或認可供應商簽名的移動代碼并在客戶端啟用相應的配置選項例如主動管理和設置一個允許代碼簽名認證機構的白名單未授權的使用和訪問訪問控制抗抵賴性只向員工提供與業務相關的互聯網服務。利用黑名單管理未授權服務例如聊天頻道或b郵件服務為非授權協議如對等文件共享網絡協議設置過濾器。限制使用極易傳輸大量數據的服務。確保對所有可能將數據傳輸到互聯網的服務進行適當的日志記錄和監控。在專用策略中明確界定授權或未授權互聯網訪問的情況見附錄。通過適當的教育和培訓確保用戶的安全意識違法違規責任抗抵賴性用戶日志時間戳。用戶的網絡安全提示機制和培訓制度降低網絡可用性完整性可用性根據漏洞的嚴重程度在規定的時間內對已知系統漏洞進行適當的管理和修補。漏洞管理宜關注全部接收互聯網流量的系統無論是在傳輸層還是應用層包括使用互聯網的網關的所有系統以及用于訪問互聯網服務的終端用戶系統特別是在使用s操作系統的情況下。限制流媒體帶寬僅在業務策略允許的情況下。宜監控網絡和系統資源入侵檢測系統日志審計等從而對系統安全性和操作事態進行檢測企業對企業的服務背景組織與其他組織進行交易如制造商批發商零售商宜考慮本章所提供的網絡接入場景。一般來說企業對企業的服務通過租用專用線路或網絡分段來實現。互聯網和相關技術確實提供了更多選擇但實施此類服務的同時也引入了新的安全風險。不斷發展的B電子商務模式允許組織通過互聯網開展業務應用程序則聚焦于通過使用互聯網外聯網或兩者兼用以達到改善業務伙伴關系相互已知且經過注冊的目的這有別于企業對客戶的情況。通常組織基于自己的需求來選擇企業對企業的服務。例如可用性和可靠性就是非常重要的需求因為組織開展工作通常直接依賴于企業對企業的服務。當基于互聯網來實現企業對企業的服務時經過驗證的措施例如租用專線的服務質量預期不再適用因此就要用與以往不同的方式處理可用性和可靠性等需求。新的安全風險需通過適當的設計技術和控制措施來降低。重點是通過防止訪問未經授權的數據和保持業務系統間的隔離來加強組織之間的信任。下述條款針對內部內外部使用行為情況描述了安全威脅和關于安全設計技術與控制措施的建議以減輕相關風險。安全威脅與企業對企業的服務有關的安全威脅包括以下內容。病毒攻擊和惡意軟件的入侵:利用惡意軟件對系統進行滲透可導致敏感信息被破壞或被未經授權訪問;b瀏覽器或其他b應用程序中的漏洞可被惡意軟件利用并導致感染病毒和木馬。針對企業對企業門戶網或外聯網的S攻擊和S攻擊。授權業務伙伴間的內部攻擊。偽造事務內容郵件未送達預期收件人或數據在傳送過程中被篡改。安全設計技術和控制措施表4描述了與企業對企業的服務相關的信息安全設計技術和控制措施。表4企業對企業的服務場景下的安全控制措施適用于已識別威脅的安全屬性設計和技術的實施病毒攻擊和惡意軟件的入侵完整性訪問控制鑒別在連接互聯網的網關上使用防病毒軟件以掃描所有出入互聯網的流量。掃描宜覆蓋所有授權使用的網絡協議。確保自動安裝防病毒更新或提醒用戶存在可用更新。對文件和所有存儲的信息進行病毒木馬及其他形式的惡意軟件的掃描。使用如雜湊校驗碼證書等算法對數據文件進行完整性驗證。通過使用少量受控的安全網關來控制互聯網訪問服務的流量。活動內容鑒別拒絕服務攻擊可用性不透明性禁用未使用的端口和服務以防止它們對未經授權的掃描或嗅探作出響應這可能會導致泛洪流量S攻擊。從告警提示中排除描述性信息可以防止向攻擊者提供目標信息表4企業對企業的服務場景下的安全控制措施續)適用于已識別威脅的安全屬性設計和技術的實施內部攻擊訪問控制抗抵賴性明確定義訪問管理安全策略用于業務關系管理。明確的角色和職責。定制告警提示。限制特權用戶。使用日志記錄所有關鍵非關鍵事務偽造事務內容抗抵賴性詳細事務日志。使用數字簽名企業對客戶的服務背景組織與客戶進行交易時宜考慮本章所提供的網絡接入場景。企業對客戶的服務也稱為電子商務服務包括電子商務電子銀行和電子政務等服務。在企業對客戶的服務中安全性需要在實施交易與維護品牌和商業價值之間取得平衡。信息安全要求包括:保密性特別是關于電子銀行業務鑒別;完整性;數據通信安全性即終端用戶期望業務服務能夠提供一條用以保護用戶和提供者之間的交易路徑以抵抗復雜攻擊例如中間人或瀏覽器中間人攻擊可用性是電子商務提供商的一個重要衡量度。信息安全特征包括:只有在組織控制下的終端平臺上才能保證安全性才能為實施控制措施和維護良好的平臺級安全提供良好的環境;客戶端上的安全性一般較差。難以在這樣的環境中實施控制措施因此客戶端在這種場景如約定中沒有安全連接的條件的要求集合下會存在重大風險。下述條款針對內部內外部使用行為情況描述了安全威脅和關于安全設計技術與控制措施的建議以減輕相關風險。安全威脅與企業對客戶的服務的相關安全威脅包括以下內容。病毒攻擊和惡意軟件的入侵:利用惡意軟件對系統進行滲透可導致敏感信息被破壞或被未經授權訪問;b瀏覽器或其他b應用程序中的漏洞可被惡意軟件利用并導致感染病毒和木馬。未經授權的訪問:未經授權訪問后臺數據庫如結構化查詢語言注入攻擊跨站腳本攻擊;賬戶獲取這是一種通過b應用程序響應用戶鑒別而獲得有效賬戶信息的方法自動化腳本通常用于獲取有效的用戶D和賬戶名;使用社會工程攻擊通過使用欺騙性技術竊取線上身份例如網絡釣魚攻擊和基于S的攻擊這些攻擊將用戶連接到看似合法但實際不合法且具有欺詐性的b服務器上;未經授權訪問系統或網絡惡意復制修改或破壞數據;非法破解導致侵犯版權和內容盜用。S攻擊。偽造事務內容郵件未送達預期收件人或數據在傳送過程中被篡改。安全設計技術和控制措施表5描述了與企業到客戶的服務相關的安全設計技術和控制措施。表5企業對客戶的服務場景下的安全控制措施適用于已識別威脅的安全屬性設計和技術的實施病毒攻擊和惡意軟件的入侵完整性訪問控制鑒別在連接互聯網的網關上使用防病毒軟件以掃描所有出入互聯網的流量。掃描宜覆蓋所有授權使用的網絡協議。對文件和所有存儲的信息進行病毒木馬及其他形式的惡意軟件的掃描。使用如雜湊校驗碼證書等算法對數據文件進行完整性驗證。通過使用少量受控的安全網關來控制互聯網訪問服務的流量。活動內容鑒別PAGEPAGE11PAGEPAGE12表5企業對客戶的服務場景下的安全控制措施續)適用于已識別威脅的安全屬性設計和技術的實施未經授權的訪問訪問控制鑒別保密性通信安全完整性不透明性限制b應用訪問后臺數據庫的權限。在非軍事區內進行網絡分段和劃分安全層以防止直接指向公司數據資產的連接路徑。用戶注冊安全確保訪問證書只頒發給可信的用戶例如使用獨立的注冊機構進行注冊的用戶。使用數字證書密碼生物識別或智能卡進行鑒別。建立防火墻和訪問控制列表以防止未經授權的用戶訪問。基于角色的訪問控制以限制用戶可執行的功能。檢查b應用程序日志以識別和遏制攻擊。設置適當的存儲信息的加密級別。使用傳輸層安全協議等技術確保b瀏覽器和b服務器之間的安全性。使用例如簡單對象訪問協議消息保護b服務的基本通信。使用如雜湊校驗碼證書等算法對數據文件進行完整性驗證。對于b應用程序中的統一資源定位符小型文本文件或隱藏的表單元素數據完整性:加密所有數據即便在使用3的情況下使用帶變量的時間戳;對敏感數據進行數字簽名或使用加密哈希算法。在b服務器和外網之間使用反向代理拒絕服務攻擊可用性不透明性禁用未使用的端口和服務以防止它們對未經授權的掃描或嗅探作出響應這可能會導致泛洪流量S攻擊。從告警提示中排除描述性信息可以防止向攻擊者提供目標信息偽造事務內容抗抵賴性詳細的事務日志。使用數字簽名增強協作服務背景組織在利用涉及多個員工的服務時宜考慮本章所提供的網絡接入場景。示例如下:群件;文件服務器;郵件列表;基于b的服務。增強協作服務讓集成各種通信和文檔共享這一行為更具可能性是業務環境的一個重要方面。這種協作服務通常將視頻電話聊天頻道的語音通信電子郵件系統以及文檔共享和在線協作環境集成為一體。組織使用的此類服務有兩種基本方式:僅作為內部服務使用但存在不能與外部合作伙伴一起使用的缺點等;作為內部和外部服務使用。這種方式收益更多但與僅在內部使用相比也會產生更多的安全風險。實施方面的服務可包括:內部實施;來自第三方。如果服務要在內部和外部使用那么從第三方購買協作服務可能是更合適的解決方案。下述條款針對內部內外部使用行為情況描述了安全威脅和關于安全設計技術與控制措施的建議以減輕相關風險。安全威脅與增強協作服務相關的安全威脅包括以下內容。未經授權的訪問導致敏感信息的泄露:濫用協作工具非法共享受版權保護的資料獲取保密數據將用戶暴露于不良內容或宣傳中;通過監視使用模式垃圾郵件和身份攻擊來破壞不透明性。病毒攻擊和惡意軟件的入侵:利用共享資源傳播和執行惡意軟件。降低網絡可用性:利用合法流量造成網絡過載;利用協作服務中使用的協議漏洞。安全設計技術和控制措施表6描述了與增強協作服務相關的信息安全設計技術和控制措施。表6增強協作服務場景下的安全控制措施適用于已識別威脅的安全屬性設計和技術的實施未經授權的訪問導致敏感信息泄露訪問控制鑒別保密性通信安全抗抵賴性基于角色訪問應用程序網絡和存儲器;將用戶賦予不同的角色以適用不同虛擬局域網下的不同通行權;基于角色來確定使用權限和資源訪問策略例如用戶可以運行哪些應用程序;訪問控制列表;強鑒別和授權;用于網絡虛擬化的虛擬局域網;基于主機的入侵檢測系統;數據加密表6增強協作服務場景下的安全控制措施續)適用于已識別威脅的安全屬性設計和技術的實施病毒攻擊和惡意軟件的入侵完整性使用屏幕傳輸軟件如終端服務器以盡量減少數據和潛在惡意軟件進入共同環境的可能性降低網絡可用性可用性利用虛擬存儲區域網絡來提高靜態數據的可用性和安全性;利用軟件工具防止復制粘貼信息阻止試圖寫入可移動介質或打印防止信息被轉移;利用監視軟件檢測違反策略的行為例如非法訪問應用程序和其他網絡資源)網絡分段背景組織按組織結構將內網劃分為多個域時宜考慮本章所提供的網絡接入場景。網絡分段是一種可用于增強系統和應用程序訪問控制的技術。網絡分段可用于對特定類型的行為應用程序或系統進行分組以便根據權限進行分組訪問。通過這種方式網絡訪問控制增強了其他端點訪問控制措施并提供了更深層次的防御。例如網絡分段用于:將管理和維護功能與普通用戶對業務應用程序的訪問隔離;將關鍵應用程序與其他應用程序隔離;將數據庫與大多數用戶隔離。注對于跨國組織來說國家的特定法律法規對信息安全要求有很大的影響。為了滿足跨國組織在其開展業務的國家對信息安全的不同要求按照國家邊界對網絡進行分段是一種有效的方法。例如某個國家的立法可要求對客戶或客戶數據進行特定保護并且不允許將此類數據傳輸到另一個國家這通常需要額外的信息安全控制以確保遵守此類法規。下述條款針對內部內外部使用行為情況描述了安全威脅和關于安全設計技術與控制措施的建議以減輕相關風險。安全威脅為滿足合規性要求而對網絡分段的安全威脅包括以下內容。因監管不合規而產生的責任。數據泄露:違反保密規定例如客戶或客戶資料是從不宜提供該資料的渠道取得的;違反法律法規特定的隱私要求;因未滿足客戶對保密性或不透明性的期望而導致的信譽風險。PAGEPAGE14PAGEPAGE15安全設計技術和控制措施表7描述了與網絡分段有關的信息安全設計技術和控制措施。表7網絡分段場景下的安全控制措施適用于已識別威脅的安全屬性設計和技術的實施不合規而產生的責任不透明性保密性策略和用戶認知:隱私相關的法律法規;加密技術;數據存儲傳輸相關的法律法規;合法監聽的法律法規數據泄露訪問控制鑒別完整性安全網關;應用程序級代理;數據加密為居家辦公和小型商務辦公場所提供網絡支持背景組織需要為居家辦公或小型辦公場所的員工提供內部資源訪問權限時宜考慮本章所提供的網絡接入場景。居家辦公和小型商務辦公場所通常需要將組織的內網擴展到其所在地這種情況下成本是一個關鍵問題通過成本效益分析來看其實施成本不宜過高。這意味著用于保護此類網絡擴展的安全控制措施的成本有限因此通常不使用已建立的網間安全控制措施來連接更多的內聯網段。在許多居家辦公或小型辦公場所場景中除商業用途外基礎設施可能也用于私人用途這可能會導致額外的信息安全風險。下述條款針對內部內外部使用行為情況描述了安全威脅和關于安全設計技術與控制措施的建議以減輕相關風險。安全威脅與居家辦公和小型商務辦公場所網絡相關的安全威脅包括以下內容。未經授權的訪問:網絡訪問設備配置設置薄弱如居家辦公路由器小型辦公場所居家辦公使用隧道分離技術;物理安全控制措施缺失或薄弱;由于網絡連接的始終在線特性可能導致機會窗口期更長;使用訪客賬戶和默認設置。病毒攻擊和惡意軟件的入侵:在缺乏安全控制措施的情況下例如惡意軟件保護缺失或薄弱等操作使用居家辦公或小型辦公場所網絡中的設備如私有環境和業務環境混合引入的問題例如私自使用本身具有高風險的協議如對等文件共享協議修補失敗;一旦感染病毒由于病毒傳播導致網絡過載會嚴重影響可用性。未經授權泄露敏感信息:在居家辦公或小型辦公場所網絡中存儲和傳輸的數據未加密;在居家辦公或小型辦公場所網絡中可能存在的不當訪問如無線局域網訪問;缺乏對終端用戶認知和安全最佳實踐的培訓;由于該網絡接入場景不能提供與辦公室分支機構互聯網關相同的保護級別導致對內聯網保護的預判失效。安全設計技術和控制措施表8描述了與居家辦公和小型商務辦公場所網絡支持相關的信息安全設計技術和控制措施。表8用于居家和小型商務辦公場所場景的網絡安全控制適用于已識別威脅的安全屬性設計和技術的實施未經授權的訪問訪問控制鑒別通信安全禁用未使用的網絡接口和服務;安裝主機防火墻丟棄或拒絕所有來自外部的連接;隧道分離的設計與技術保護;系統不宜使用空白空值或默認的密碼;所有用戶都宜使用強密碼不宜允許匿名訪客訪問;技術符合性檢查以確保所有安全敏感設備如路由器或無線局域網接入點)的正確配置和設置;網絡訪問組件如路由器中的安全N技術病毒攻擊和惡意軟件的入侵完整性可用性維護當前的軟件版本和補丁;確保自動安裝防病毒更新或提醒用戶存在可用更新;在適用的前提下至少使用基于主機的入侵檢測系統檢測軟件數據庫完整性;對文件和所有存儲的信息進行病毒木馬及其他形式的惡意軟件的掃描;備份配置數據和用于事件響應和恢復的文件表8用于居家和小型商務辦公場所場景的網絡安全控制續)適用于已識別威脅的安全屬性設計和技術的實施未經授權泄露敏感信息保密性不透明性用戶認知和安全最佳實踐的培訓;存儲和傳輸數據的加密移動通信背景組織允許員工使用移動設備訪問網絡時宜考慮本章所提供的網絡接入場景。此場景關注機構使用和部署移動設備和應用程序時的安全問題。雖然消費者市場是推動智能手機或等移動設備新功能快速發展的主要動力但這些功能也同樣適用于商務環境。移動設備通常是私有物但也被用于商務用途。有時機構提供的移動設備也可用于個人用途。因為設備供應商希望在競爭激烈的市場中獲得盡可能多的業務所以針對商務領域的設備也需要引入消費者市場具備的功能。移動通信設備允許遠程用戶同步個人數據庫并提供對無線電子郵件b瀏覽和互聯網等網絡服務的訪問。當個人將同一個設備用于私人和商務目的時就會有避開或忽視使用策略的傾向從而給機構帶來重大的信息安全風險。下述條款針對內部內外部使用行為情況描述了安全威脅和關于安全設計技術與控制措施的建議以減輕相關風險。安全威脅與移動通信設備相關的安全威脅包括以下內容。未經授權訪問存儲在移動設備上的信息:對敏感信息的訪問控制或保護不足;缺乏安全認知和弱口令;弱配置;異常設備劫持攻擊;終端用戶缺少對信息安全保護要求的認知例如將私人信息和商務信息混合在一起。未經授權泄露敏感數據和位置信息:基于位置的服務可以將用戶的位置信息泄露給未經授權的第三方從而導致隱私泄露問題;竊聽;通信流中介入了未受充分保護的第三方;使用明文或未受充分保護的傳輸協議;處置程序不當。未經授權修改刪除存儲信息包括軟件安裝未授權來源的軟件而引入惡意軟件;利用底層操作系統中的漏洞。垃圾郵件導致:增加服務費用;網絡釣魚攻擊;S攻擊。失竊或意外損失兩者都可能導致:當設備上存儲的數據沒有鏡像或異地備份時會丟失敏感數據;未充分保護設備上存儲的敏感數據而產生的保密問題;數據備份的安全問題。安全設計技術和控制措施表9描述了與個人移動通信設備相關的數據安全設計技術和控制措施。表9移動通信場景下的安全控制措施適用于已識別威脅的安全屬性設計和技術的實施未經授權訪問存儲在移動設備上的信息訪問控制鑒別抗抵賴性用戶對物理控制的認知;避免默認配置;強鑒別;啟用日志審計選項;超時鎖;防火墻;針對密碼和商務使用的組織安全策略限制個人使用機構設備)未經授權泄露敏感數據和位置信息保密性鑒別安全通信不透明性加密存儲和傳輸無線數據;密碼保護;拒絕要求明文訪問傳輸數據的第三方服務在無法拒絕的情況下則宜確保按保密性要求處理數據;確保安全的同步過程;遠程訪問連接使用安全的;適當的清除敏感數據的處置過程;用戶對位置使用的許可PAGEPAGE18PAGEPAGE19表9移動通信場景下的安全控制措施續)適用于已識別威脅的安全屬性設計和技術的實施未經授權的修改刪除存儲信息包括軟件)保密性可用性完整性禁用未使用的無線接口服務和應用程序;操作系統的最新補丁;適當的清除敏感數據的處置過程;確保自動安裝防病毒更新或提醒用戶存在可用更新;軟件只能從機構軟件分發系統中下載避免安裝未經授權的軟件驗證下載源的數字簽名垃圾郵件訪問控制內容過濾;提升用戶安全意識失竊或意外損失保密性可用性遠程資產管理禁用鎖定設備定期安全備份;對資產跟蹤和策略的一致性實施集中管理為流動用戶提供網絡支持背景組織在允許流動中的員工訪問機構資源時宜考慮本章所提供的網絡接入場景。流動用戶網絡支持方案和產品通常側重于功能方面主要面向消費者市場。從信息安全的角度來看現行功能級別引入了新的風險可能影響有關信息安全的預判或導致預判失效。舉例來說如果內聯網的遠程訪問沒有采用適當的控制措施那么預判其控制良好且受到良好保護的可能性存疑。下述條款針對內部內外部使用行為情況描述了安全威脅和關于安全設計技術與控制措施的建議以減輕相關風險。安全威脅與流動用戶提供網絡支持有關的安全威脅包括以下內容。未經授權的訪問:濫用流動用戶網絡支持未經授權訪問組織的內聯網;違背在內聯網邊界使用安全網關的原則;未經授權而直接訪問存儲在移動用戶設備上的數據。降低網絡可用性:因未滿足客戶對網絡支持的期望而導致的可用性問題。安全設計技術和控制措施表0描述了與流動用戶聯網支持有關的信息安全設計技術和控制措施。表0為流動用戶提供網絡支持場景下的安全控制措施適用于已識別威脅的安全屬性設計和技術的實施未經授權的訪問訪問控制鑒別通信安全保密性增強鑒別技術基于證書的鑒別雙因素鑒別或激勵響應鑒別。為流動用戶提供基于傳輸層安全協議3保護的b接口服務。在客戶端系統如個人防火墻中使用安全N技術連接私有安全網關:在3層實施如;如基于傳輸層安全協議。加密存儲用戶數據降低網絡可用性可用性選擇保障可靠性和性能的服務水平協議的全球服務提供商外包服務背景組織使用外包服務時宜考慮本章所提供的網絡接入場景。組織使用外包服務是因為它被視為一種可行的業務策略但它也帶來了組織和操作的復雜性特別是在保障質量和安全性的情況下。機構由于依賴于服務提供商而承擔了其帶來的附加風險。例如服務提供商或供應商可能要求直接訪問機構內部資產以解決技術支持服務問題或突發事件從而使關鍵資產面臨安全風險。一些技術支持服務需要永久訪問權限而其他的技術支持服務可能只需臨時訪問權限。通常技術支持服務需要高訪問權限才能完成任務。無論外包場景的類型如何均需在約定中體現安全性考量和安全監督。本文件僅給出與外包服務有關的威脅和相關事項的概述。有關外包服務安全的更多深入信息見。下述條款針對內部內外部使用行為情況描述了安全威脅和關于安全設計技術與控制措施的建議以減輕相關風險。安全威脅與外包服務有關的安全威脅包括以下內容。未經授權訪問其他內部系統當供應商訪問內部系統進行遠程技術支持服務和維護時濫用遠程維護端口;濫用管理員權限。服務提供商未經授權泄露敏感數據:未遵守知識產權相關規定;未區別對待多客戶環境;缺乏信息安全最佳實踐如隨意的口令共享存儲介質處置不當;使用非安全通信方法。惡意軟件在軟件開發環境中的入侵:軟件開發和發布過程中的安全性不足;文件和數據的不安全傳輸;不安全的在線協同。因不遵守規章而產生的責任:跨國服務提供商缺乏對我國法律法規的了解;服務提供商或供應商缺乏對其所在國相關法律法規的了解。安全設計技術和控制措施表1描述了與外包服務有關的信息安全設計技術和控制措施。表1外包服務場景下的安全控制措施適用于已識別威脅的安全屬性設計和技術的實施實施可由機構或服務提供商或供應商根據約定的任務分配來承擔)未授權訪問內部系統訪問控制鑒別抗抵賴性嚴格分配個人用戶;對根用戶超級管理員登錄的強鑒別例如雙因素鑒別受用戶D和密碼保護的本地控制端口或帶外端口在服務提供商需要現場物理訪問的情況下全面記錄訪問行為和日志評審未經授權的敏感信息泄露保密性通過加密保護客戶端數據的最佳實踐;安全意識和安全培訓;創建監視和評審的設施和程序;明文規定的安全策略和程序指令惡意軟件的入侵完整性安全編碼實踐;變更管理過程;確保自動安裝防病毒更新或提醒用戶存在可用更新因不遵守規章而承擔的責任保密性不透明性了解法規;使用兼容的加密軟件;不透明機制c)故意給出錯誤的權限和授權包括但不限于下列行為:虛假授權;

附錄資料性)威脅目錄授予其他用戶密碼密鑰或證書如系統管理員個人用戶未經授權獲取和使用用戶服務相關的鑒別信息如用戶用戶密碼會話密鑰未經授權獲取和使用管理員鑒別信息如用戶密碼涉及信號傳輸的重放攻擊。竊取服務行為包括但不限于下列行為:非法獲取服務提供商的利益以剝奪服務提供商的合法收益;服務提供商欺詐;未經授權刪除或更改計費信息;設備克隆;控制增穩系統;大量復制傳播服務中信息導致服務被盜用。侵害用戶隱私和竊聽包括但不限于下列行為:呼叫跟蹤模式用以發現身份信息從屬關系存在狀態和使用情況。流量包括管理流量和信令流量捕獲未經授權的流量記錄包括數據包記錄數據包日志記錄和數據包嗅探。未經授權訪問訂閱用戶的媒體流。未經授權訪問流量。未經授權訪問信令流量。)D集合組成)D集合組成D可以是數字字符串統一資源定位符等。g 媒介重構未經授權對視頻通信的某一部分包括身份展現形式和狀態進行監視記錄存儲重建識別解釋翻譯或特征提取。未經授權泄露訂閱用戶服務能力。未經授權泄露訂閱用戶曾經或當前使用情況或行為如訂閱用戶觀看廣播或視頻點播內容的歷史在線游戲活動等。涉及媒體的重放攻擊出于不當獲利的目的捕獲媒體并重放或出于侵犯隱私目的重放個人使用的媒體。攔截和修改包括但不限于下列行為:22323會話模擬和劫持使用信息對通信的任何部分進行注入刪除添加移除取代或部分替換修改其內容以更改其內容或任何一方的身份展現形式和狀態包括管理和信令流量;未經授權訪問修改或刪除數字信息;劫持數據流以未經授權的方式插入修改和刪除數據流;任何形式的垃圾郵件;出于政治或其他原因未經授權傳輸資料。流量數據包泛洪包括但不限于下列行為:用戶端的S攻擊是通過發送大量有效數據包致使服務中斷進而導致應用程序因過載而停)止其中一些S攻擊甚至可以影響網元;、 ;端點數據包泛洪場景導致網元或服務器崩潰重啟或耗盡所有資源S導致的帶寬消耗資源消耗流量泛洪例如到多播組影響海量訂閱用戶的潛在可能例如支持海量訂閱用戶的服務器。封包攻擊和畸形消息包括但不限于下列行為:使用無效消息導致端點失效S攻擊端點如服務器通過發送大量無效消息可能導致端點崩潰重啟或耗盡所有資源;畸形協議消息向設備發送畸形的協議消息例如帶有溢出或下溢的消息導致設備性能下降而無法處理正常消息;導致緩沖區溢出的畸形消息;影響海量訂閱用戶的潛在可能例如支持海量訂閱用戶的服務器。欺騙消息包括但不限于下列行為:S攻擊通過提前結束會話導致中斷服務。控制消息的欺騙。在通信中注入惡意控制流量導致應用程序或服務器發生故障或將流量發送到錯誤的目的地。偽造控制消息用于改變組播分布樹的結構影響組播樹之間的數據分布S攻擊如偽造信道損失率高或阻塞率高的廣播消息導致信號源將降低傳輸速率影響其他用戶。偽造端使用消息和應用程序或服務器響應;更改P和C地址以欺騙其他用戶的C和P地址以捕獲數據流。底層平臺S包括但不限于下列行為:應用程序或服務運行的底層操作系統或固件漏洞;利用互聯網上可免費下載的開箱即用的資源;S攻擊會降低設備性能。這可能會影響到海量設備例如客戶端。可能需要重新部署或維護海量設備。已安裝軟件服務相關數據或系統配置的危害包括但不限于下列行為:惡意軟件間諜軟件插入;未經授權復制安裝修改或刪除生產軟件和配置文件;未經授權復制泄露創建修改或刪除服務相關數據如系統日志賬單信息解密密鑰解密密鑰存儲容器等S利用被感染的設備造成服務崩潰;未經授權創建或修改訂閱用戶服務相關信息如鑒別信息會話密鑰未經授權或不必要的激活或停用邏輯協議端口。資源耗盡包括但不限于下列行為:導致系統內存資源如緩沖區耗盡的軟件或硬件缺陷;系統中消耗大部分中央處理器資源的軟硬件缺陷;限制通信鏈路可用帶寬的硬件或軟件錯誤;軟件或硬件缺陷產生不必要的消息減少帶寬資源。如無限的軟件循環路由循環。未經授權的網絡掃描和探測包括但不限于下列行為:執行端口掃描包互聯網查詢工具g命令掃描。攻擊者可以在連接到網絡的主機上運行公開可用的掃描軟件。監視端口的設備上的主機服務將作出響應可能向攻擊者提供信息。執行漏洞掃描如s工具網絡映射如。攻擊者可以在連接到查詢設備配置和網絡拓撲的網絡的主機上運行公開可用軟件。未經授權遠程訪問設備上的軟件或功能例如利用提供后門。泄露用戶應用數據包括但不限于下列行為:未經授權的泄露創建修改復制刪除用戶通過可訪問應用程序創建或使用的數據;包括用戶存儲在服務提供商網絡中的信息如錄制的視頻內容。竊取內容包括但不限于下列行為:捕獲數字證書以獲取訂購內容進而向其他訂閱者重新分發該內容;捕獲家庭網絡和P子網上的數據包;從模擬端口輸出到外部記錄設備;從數字端口輸出到外部記錄設備;執行超次數播放;訪問非法內容如盜版內容繞開控制增穩系統;復制服務器或終端用戶設備上的存儲內容。訪問不當內容包括但不限于下列行為:意外訪問;蓄意訪問。42525泄露用戶信息包括但不限于下列行為:獲取用戶信息的社會工程;未經授權泄露創建修改復制或刪除用戶信息如地址電話號碼賬戶號碼信用卡信息、信息信息等。會話劫持和服務偽裝包括但不限于下列行為:冒充合法服務提供商從數字證書擁有者處獲取數字證書以修改流或修改任何信息;模擬合法網絡設備視頻服務器游戲服務器數字版權管理服務器;中間人攻擊;將視頻流重定向到未授權設備。未經授權的管理包括但不限于下列行為:未經授權使用板載管理應用程序或執行管理命令。例如篡改調制解調器配置來阻止特定的服務。偽造或修改管理協議消息。例如篡改調制解調器配置來阻止或允許特定的協議)。 ( 。修改遠程管理信息

如M非法訂閱用戶的自配置操作。例如重新配置機頂盒以消除帶寬限制以便為其他訂閱用戶生成慢速連接或為自己增加帶寬。由授權管理代理程序執行未經授權行為。未經授權的內容管理。例如加載刪除內容或修改觸發日期對公眾開放內容的日期。未經授權訂閱用戶的管理。例如未經授權的訂閱用戶獲取服務的行為包括訂閱用戶查看權限的升級降級。綜述

附錄B資料性)互聯網使用策略示例可接受的信息安全使用策略不宜與開放信任和公正的企業文化相違背。信息安全致力于保護企業的員工合作伙伴和企業免受個人有意或無意的非法或破壞性行為。包括但不限于計算機設備軟件操作系統存儲媒體提供電子郵件的網絡賬戶WWW瀏覽和等與互聯網內聯網外聯網相關的系統屬于企業。在常規操作下將系統應用于商務目的以便于為企業創造利益同時也要保障其客戶的利益。有效安全需通過團隊協作獲得。每個計算機用戶都有責任了解這些指導策略并據此開展活動。目的本策略列舉了企業中計算機設備的可接受用途制定這些規則是為了保護員工和企業。不恰當使用本策略將導致企業暴露于風險包括病毒攻擊網絡系統和服務受損以及法律問題等中。適用范圍本策略適用于企業的員工承包商顧問臨時工和其他員工包括所有與第三方有關聯的人員本策略適用于企業擁有或租用的所有設備。策略一般用途及所有權雖然企業旨在提供一個具有合理不透明度的網絡管理環境但用戶宜注意他們在企業系統上創建的數據仍屬于企業。出于企業保護網絡的需要管理層無法保證在企業所屬網絡設備上存儲信息的保密性。員工有責任對個人使用網絡的合理性做出判斷。各部門負責制定有關個人使用互聯網內聯網外聯網系統的指導策略。若企業無既定策略員工宜以部門的個人使用策略為指導如有不確定情況員工宜咨詢其主管或經理。出于信息安全