搜索结果: GB/T 25068.1-2020, GB/T25068.1-2020, GBT 25068.1-2020, GBT25068.1-2020
| 标准编号 | GB/T 25068.1-2020 (GB/T25068.1-2020) | | 中文名称 | 信息技术 安全技术 网络安全 第1部分:综述和概念 | | 英文名称 | Information technology. Security techniques. Network security - Part 1: Overview and concepts | | 行业 | 国家标准 (推荐) | | 中标分类 | L80 | | 国际标准分类 | 35.040 | | 字数估计 | 45,465 | | 发布日期 | 2020-11-19 | | 实施日期 | 2021-06-01 | | 旧标准 (被替代) | GB/T 25068.1-2012 | | 引用标准 | ISO/IEC 7498-1; ISO/IEC 7498-3; ISO/IEC 7498-4; ISO/IEC 27000; ISO/IEC 27001; ISO/IEC 27002; ISO/IEC 27005 | | 采用标准 | ISO/IEC 27033-1-2015, IDT | | 标准依据 | 国家标准公告2020年第26号 | | 发布机构 | 国家市场监督管理总局、中国国家标准化管理委员会 | | 范围 | GB/T 25068的本部分规定了网络安全概述和相关定义、定义和描述了与网络安全相关的概念并提供了有关网络安全的管理指导(本部分的网络安全适用于通过通信链路传送的信息安全、设备安全以及与设备、应用/服务和最终用户相关的管理活动的安全)。本部分的使用者包括拥有、运行或使用网络的任何人,包括高级管理人员和其他非技术管理人员或用户,以及对信息安全和/或网络安全、网络操作负有特定责任的或对组织的整体安全计划和安全策略制定负责的经理和管理员。此外,还包括参与网络安全架构方面的规划、设计和实施的所有人。本部分还包括以 | GB/T 25068.1-2020: 信息技术 安全技术 网络安全 第1部分:综述和概念
GB/T 25068.1-2020 英文版: Information technology. Security techniques. Network security -- Part 1: Overview and concepts
中华人民共和国国家标准
代替GB/T 25068.1-2012
信息技术 安全技术 网络安全
第1部分:综述和概念
国 家 市 场 监 督 管 理 总 局
国 家 标 准 化 管 理 委 员 会 发 布
1 范围
GB/T 25068的本部分规定了网络安全概述和相关定义、定义和描述了与网络安全相关的概念并
提供了有关网络安全的管理指导(本部分的网络安全适用于通过通信链路传送的信息安全、设备安全以
及与设备、应用/服务和最终用户相关的管理活动的安全)。
本部分的使用者包括拥有、运行或使用网络的任何人,包括高级管理人员和其他非技术管理人员或
用户,以及对信息安全和/或网络安全、网络操作负有特定责任的或对组织的整体安全计划和安全策略
制定负责的经理和管理员。此外,还包括参与网络安全架构方面的规划、设计和实施的所有人。
本部分还包括以下内容:
---提供了识别和分析网络安全风险的指南,并基于上述分析定义网络安全需求;
---提供了支持网络技术安全架构和相关技术控制的综述,以及不仅适用于网络的技术和非技术
控制;
---介绍了如何实现高质量的网络技术安全架构,以及与典型网络场景和网络“技术”领域相关的
风险、设计和控制要素(在GB/T 25068的其他部分中详细论述),简述了与实施和运行网络安
全控制有关的问题,以及对其实施进行持续监督和评审的相关问题。
本部分提供了GB/T 25068系列标准的概述和对其他部分的指引。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
ISO/IEC 7498(所有部分) 信息技术 开放系统互连 基本参考模型:命名与编址(Information
technology-Opensystemsinterconnection-Basicreferencemodel:Namingandaddressing)
ISO/IEC 27000 信息技术 安全技术 信息安全管理体系 概述和词汇(Informationtechnolo-
gy-Securitytechniques-Informationsecuritymanagementsystems-Overviewandvocabulary)
ISO/IEC 27001 信息技术 安全技术 信息安全管理体系 要求(Informationtechnology-Se-
curitytechniques-Informationsecuritymanagementsystems-Requirements)
ISO/IEC 27002 信息技术 安全技术 信息安全管理实用规则(Informationtechnology-
Securitytechniques-Codeofpracticeforinformationsecuritycontrols)
ISO/IEC 27005 信息技术 安全技术 信息安全风险管理(Informationtechnology-Security
techniques-Informationsecurityriskmanagement)
4 缩略语
下列缩略语适用于本文件及ISO/IEC 27033的其他部分。
AAA:鉴别、授权和计费(Authentication,AuthorizationandAccounting)
ACL:访问控制列表(AccessControlList)
ADSL:非对称数字用户线路(AsymmetricDigitalSubscriberLine)
AES:高级加密标准(AdvancedEncryptionStandard)
ATM:异步传输模式(AsynchronousTransferMode)
BPL:宽带电力线路(BroadbandPowerLine)
CA:认证机构(CertificationAuthority)
CDPD:蜂窝数字分组数据(CelularDigitalPacketData)
CDMA:码分多址(CodeDivisionMultipleAccess)
CLID:用户呼叫识别器(CalingLineIDentifier)
CLNP:无连接网络协议(ConnectionLessNetworkProtocol)
CoS:服务类别(ClassofService)
CRM:客户关系管理(CustomerRelationshipManagement)
DEL:直接交换线路(DirectExchangeLine)
DES:数据加密标准(DataEncryptionStandard)
DMZ:非军事区(DeMilitarizedZone)
DNS:域名服务(DomainNameService)
DPNSS:数字专网信令系统(DigitalPrivateNetworkSignalingSystem)
DoS:拒绝服务(DenialofService)
DSL:数字用户线路(DigitalSubscriberLine)
EDGE:增强型GSM演进数据速率(EnhancedData-ratesforGSMEvolution)
EDI:电子数据交换(ElectronicDataInterchange)
EGPRS:增强型通用分组无线业务(EnhancedGeneralPacketRadioService)
EIS:企业信息系统(EnterpriseInformationSystem)
FiOS:光纤服务(FiberOpticService)
FTP:文件传输协议(FileTransferProtocol)
FTTH:光纤入户(FiberToTheHome)
GPRS:通用分组无线业务(GeneralPacketRadioService)
GSM:全球移动通信系统(GlobalSystemforMobilecommunications)
HIDS:基于主机的入侵检测系统(HostbasedIntrusionDetectionSystem)
HTTP:超文本传输协议(HyperTextTransferProtocol)
IDS:入侵检测系统(IntrusionDetectionSystem)
IP:互联网协议(InternetProtocol)
IPS:入侵防御系统(IntrusionPreventionSystem)
ISP:互联网服务提供商(InternetServiceProvider)
IT:信息技术(InformationTechnology)
LAN:局域网(LocalAreaNetwork)
MPLS:多协议标签交换(Multi-ProtocolLabelSwithing)
MRP:制造资源计划(ManufacturingResourcePlanning)
NAT:网络地址转换(NetworkAddressTranslation)
NIDS:网络入侵检测系统(NetworkIntrusionDetectionSystem)
NTP:网络时间协议(NetworkTimeProtocol)
OOB:带外(OutOfBand)
PABX:专用程控(电话)交换机(PrivateAutomatedBranch(telephone)eXchange)
PC:个人电脑(PersonalComputer)
PDA:个人数据助理(PersonalDataAssistant)
PIN:个人识别号(PersonalIdentificationNumber)
PKI:公钥基础设施(PublicKeyInfrastructure)
PSTN:公共交换电话网(PublicSwitchedTelephoneNetwork)
QoS:服务质量(QualityofService)
RAID:冗余磁盘阵列(RedundantArrayofInexpensiveDisks)
RAS:远程访问服务(RemoteAccessService)
RTP:实时协议(RealTimeProtocol)
SDSL:对称数字用户线路(SymmetricDigitalSubscriberLine)
SecOPs:安全操作规程(SecurityOperatingProcedures)
SIM:用户身份识别卡(SubscriberIdentityModule)
SNMP:简单网络管理协议(SimpleNetworkManagementProtocol)
SPIT:通过IP电话的垃圾呼叫(SPamoverIPTelephony)
SSH:安全外壳协议(SecureSHel)
TCP:传输控制协议(TransmissionControlProtocol)
TDMA:时分多址(TimeDivisionMultipleAccess)
TKIP:临时密钥完整性协议(TemporalKeyIntegrityProtocol)
UDP:用户数据报协议(UserDatagramProtocol)
UMTS:通用移动通信系统(UniversalMobileTelecommunicationsSystem)
UPS:不间断电源(UninterruptiblePowerSupply)
USB:通用串行总线(UniversalSerialBus)
VHF:甚高频(VeryHighFrequency)
VoIP:IP电话(VoiceoverIP)
VLAN:虚拟局域网(VirtualLocalAreaNetwork)
VPN:虚拟专用网(VirtualPrivateNetwork)
WAN:广域网(WideAreaNetwork)
WAP:无线应用协议(WirelessApplicationProtocol)
WEP:有线等效隐私协议(WiredEquivalentPrivacy)
WLAN:无线局域网(WirelessLocalAreaNetwork)
WORM:写一次读多次(WriteOnceReadMany)
WPA:Wi-Fi访问保护(Wi-FiProtectedAccess)
3G:第三代移动电话系统(thirdGenerationmobiletelephonesystem)
5 文档结构
ISO/IEC 27033系列标准的结构或称“路线图”,如图2所示。
在图2中,实线表示ISO/IEC 27033中各部分的自然层次。虚线表示:
a) 第1部分与第3部分、第4部分、第5部分、第6部分之间可能存在引用有关安全风险方面信
息的关系;
b) 第2部分与第3部分、第4部分、第5部分、第6部分可能存在引用有关设计技术和控制要素
信息的关系。
此外,第3部分中的有关内容将在第4部分、第5部分、第6部分进行详细叙述,因此在第3部分中
不做赘述。
因此,对于新建网络的任何组织或准备对现有网络进行重大评审的组织,宜依次采用第1部分、
第2部分的内容,必要时参见第3部分~第6部分中涉及的安全风险、设计技术和控制要素的内容。
如果一个组织计划部署一个新的网络环境,宜使用IP聚合、安全网关和无线网络,以及网络托管和
互联网(例如针对电子邮件和输出在线访问)。
在依据本部分描述的过程来确定新网络环境的安全风险时,组织宜同时考虑ISO/IEC 27033其他
相关部分信息的风险。这些部分定义了特殊安全风险(包括设计技术和控制要素),其内容涉及IP聚
合、安全网关和使用无线网络,以及网络托管和互联网的使用(如电子邮件和输出在线访问)。
在依据ISO/IEC 27033-2确定网络技术安全架构需求时,组织宜同时考虑ISO/IEC 27033其他相
关部分的设计技术和控制要素的信息。这些部分定义了具体设计技术和控制要素的信息(连同安全风
险),其内容涉及IP聚合、安全网关和无线网络的使用,以及网页寄存服务和互联网的使用(如电子邮件
和在线访问)。
本部分结构包括:
---网络安全方法概述(见第6章);
---识别网络相关风险和准备识别安全控制的过程的总结,即建立网络安全需求(见第7章);
---关于支持网络安全技术架构及其相关技术控制的概述,以及不仅适用于网络的其他控制;(见
第8章),相关内容请参考ISO/IEC 27001,ISO/IEC 27002和ISO/IEC 27005;
---介绍如何运用辅助模型框架,通过一致性方法规划和设计网络安全,以实现高质量的技术安全
架构,并确保其适用于组织的业务环境(即ISO/IEC 27033-2中的内容介绍)(见第9章);
---介绍参考网络场景相关的特定风险、设计、技术和控制要素(即ISO/IEC 27033-3内容的介绍)
(见第10章);
---介绍网络技术层面特定的风险、设计、技术和控制要素(即ISO/IEC 27033-4~ISO/IEC 27033-6
和未来其他部分的介绍)(见第11章);
---介绍开发、实施和测试网络安全解决方案(见第12章),运行网络安全解决方案(见第13章)以
及持续开展网络安全实施监视和评审相关的问题(见第14章);
---以表格形式给出了ISO/IEC 27001、ISO/IEC 27002中有关网络安全控制条款和本部分条款
之间交叉引用关系,参见附录A。
6 概述
6.1 背景
目前,许多组织中常见的网络环境如图3所示(图3仅为本章的示意图)。
内联网指的是组织内部依赖和维护的网络。通常情况下,只有该组织的内部工作人员才有权直接
物理接入。由于网络位于该组织拥有的场所内,因此可实现一定程度的物理保护。在大多数情况下,内
联网由于采用的技术和安全需求不同,不能一概而论,但往往有些基础设施所需的保护级别比内联网预
设的要高。此类基础设施,例如公钥基础设施(PKI)环境的主要部分,可在内联网的专属分区中运行。
另一方面,某些技术(例如无线局域网基础设施)可能需要某种程度的隔离和鉴别,因为它们引入了额外
的风险。对于这两种情况,可用内部安全网关来进行分段。
多数组织的业务需求都宜与外部合作伙伴和其他组织进行通信和数据交换。通常,与最重要的业
务伙伴的连接方式是直接将内联网扩展到业务伙伴组织的网络,外联网这个术语被普遍用于这种扩展。
在大多数情况下,由于被连接的合作伙伴组织中的信任低于组织内部的信任,所以外联网安全网关被用
于应对由这些连接而引入的风险。
公共网络中最常见的是互联网,目前被进一步用于向合作伙伴、客户和一般公众提供性价比最高的
通信和数据交换的设施,并且提供各种形式的内网的扩展。由于公共网络(特别是互联网)的低信任级
别,宜用复杂的安全网关来帮助应对所带来的风险。这些安全网关包括特定组件,以满足各种形式的内
联网扩展需求,以及合作伙伴和客户对网络连接的需求。
远程用户可通过虚拟专用网(VPN)技术连接,他们可能进一步使用如公共无线局域网热点之类的
无线连接设施来接入互联网。或者,远程用户可使用电话网络来建立与远程接入服务器的直接拨号连
接。远程接入服务器通常位于互联网防火墙的非军事区(DMZ)环境内。
当一个组织决定使用IP电话(VoIP)技术来实现内部电话网络时,通常还宜在电话网络之间合理
地部署安全网关。
新网络环境提供的商业机会宜与新技术带来的风险相平衡。例如,互联网具有许多技术特征,从安
全角度来看,它们能引起关注,因为最初设计时,优先考虑到的是具有弹性而不是安全性,并且许多常用
的底层协议天生是不安全的。全球环境中,许多人具有访问底层机制和协议的能力、知识和倾向,并制
造网络安全事故,包括未授权的访问,甚至于全面的破坏性拒绝服务。
6.2 网络安全规划和管理
当考虑网络连接时,组织中......
|