GB/T 25068.1-2020信息技術(shù)安全技術(shù)網(wǎng)絡安全第1部分：綜述和概念

ICS35040

L80.

中華人民共和國國家標準

GB/T250681—2020/ISO/IEC27033-12015

.代替:

GB/T25068.1—2012

信息技術(shù)安全技術(shù)網(wǎng)絡安全

第1部分綜述和概念

:

Informationtechnology—Securitytechniques—Networksecurity—

Part1Overviewandconcets

:p

(ISO/IEC27033-1:2015,IDT)

2020-11-19發(fā)布2021-06-01實施

國家市場監(jiān)督管理總局發(fā)布

國家標準化管理委員會

GB/T250681—2020/ISO/IEC27033-12015

.:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅴ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

縮略語

4……………………5

文檔結(jié)構(gòu)

5…………………7

概述

6………………………8

背景

6.1…………………8

網(wǎng)絡安全規(guī)劃和管理

6.2………………10

識別安全風險和準備確定安全控制

7……………………11

簡介

7.1…………………11

有關(guān)當前和或規(guī)劃網(wǎng)絡的信息

7.2/…………………11

組織信息安全策略中的安全需求

7.2.1……………11

有關(guān)當前和或規(guī)劃網(wǎng)絡的信息

7.2.2/……………12

信息安全風險和潛在的控制區(qū)域

7.3…………………15

支持控制

8…………………17

簡介

8.1…………………17

網(wǎng)絡安全管理

8.2………………………17

背景

8.2.1……………17

網(wǎng)絡安全管理活動

8.2.2……………18

網(wǎng)絡安全角色與職責

8.2.3…………19

網(wǎng)絡監(jiān)視

8.2.4………………………20

網(wǎng)絡安全評估

8.2.5…………………20

技術(shù)脆弱性管理

8.3……………………20

鑒別和身份認證

8.4……………………21

網(wǎng)絡審計日志和監(jiān)視

8.5………………21

入侵檢測和防御

8.6……………………22

惡意代碼防御

8.7………………………23

基于密碼的服務

8.8……………………23

業(yè)務連續(xù)性管理

8.9……………………24

網(wǎng)絡安全設計和實現(xiàn)指南

9………………24

背景

9.1…………………24

網(wǎng)絡技術(shù)安全體系架構(gòu)及設計

9.2……………………25

參考網(wǎng)絡場景風險設計技術(shù)和控制要素

10—、…………26

Ⅰ

GB/T250681—2020/ISO/IEC27033-12015

.:

簡介

10.1………………26

員工互聯(lián)網(wǎng)訪問服務

10.2……………26

增強性協(xié)作服務

10.3…………………26

企業(yè)對企業(yè)的服務

10.4………………27

企業(yè)對客戶的服務

10.5………………27

外包服務

10.6…………………………27

網(wǎng)絡劃分

10.7…………………………27

移動通信

10.8…………………………27

旅行用戶的網(wǎng)絡支持

10.9……………28

家庭和小型企業(yè)的網(wǎng)絡支持

10.10……………………28

技術(shù)主題風險設計技術(shù)和控制要素

11“”—、……………28

開發(fā)和測試安全解決方案

12……………28

操作安全解決方案

13……………………29

監(jiān)視和評審解決方案的實施

14…………29

附錄資料性附錄本部分中安全控制部分同相關(guān)章條號

A()ISO/IEC27001、ISO/IEC27002

的交叉引用

………………30

附錄資料性附錄文檔示例模板

B()SecOPs…………33

參考文獻

……………………37

圖典型的網(wǎng)絡類型及連接方式

1………………………Ⅴ

圖路線圖

2ISO/IEC27033“”……………8

圖網(wǎng)絡環(huán)境示例

3…………………………9

圖網(wǎng)絡安全規(guī)劃和管理過程

4…………11

圖網(wǎng)絡安全風險區(qū)域的概念模型

5……………………16

圖網(wǎng)絡安全風險評估和管理過程

6……………………17

表根據(jù)章條號

A.1ISO/IEC27001、ISO/IEC27002…………………30

表根據(jù)本部分章條號

A.2………………31

Ⅱ

GB/T250681—2020/ISO/IEC27033-12015

.:

前言

信息技術(shù)安全技術(shù)網(wǎng)絡安全目前分為以下部分

GB/T25068《》5:

第部分綜述和概念

———1:;

第部分網(wǎng)絡安全設計和實現(xiàn)指南

———2:;

第部分參考網(wǎng)絡場景風險設計技術(shù)和控制要素

———3:———、;

第部分使用安全網(wǎng)關(guān)的網(wǎng)間通信安全保護

———4:;

第部分使用虛擬專用網(wǎng)的跨網(wǎng)通信安全保護

———5:。

本部分為的第部分

GB/T250681。

本部分按照給出的規(guī)則起草

GB/T1.1—2009。

本部分代替信息技術(shù)安全技術(shù)網(wǎng)絡安全第部分網(wǎng)絡安全管

GB/T25068.1—2012《IT1:

理與相比主要技術(shù)變化如下

》。GB/T25068.1—2012,:

增加了支持控制參考網(wǎng)絡場景風險設計技術(shù)和控制要素開發(fā)和測試安全解決方案

———“”“—、”“”

等內(nèi)容刪除了目標公共基礎(chǔ)設施中基于密碼的服務等內(nèi)容見第章第章第章

,“”“”(8、10、12,

年版的第章第章

20122、13);

刪除了對的注日期引用增

———GB/T22081—2008、GB/T25068.2—2012、GB/T25068.3—2010,

加了對的不注日期引用見

ISO/IEC27000、ISO/IEC27001、ISO/IEC27002、ISO/IEC27005(

第章年版的第章

2,20122);

刪除了安全維濫發(fā)等術(shù)語和定義增加了架構(gòu)信息安全策略等術(shù)語和定義見第章

———“”“”,“”“”(3,

年版的第章

20123);

刪除了等縮略語增加了等縮略語見第章年版

———“Telnet”“TETRA”,“BPL”“CA”“DPNSS”(4,2012

的第章

4);

刪除了網(wǎng)絡連接類型信任關(guān)系的識別信任關(guān)系參考潛在脆弱性類型增加了網(wǎng)絡安全風險區(qū)

———、、、,

域的概念模型網(wǎng)絡安全風險評估和管理過程見第章第章年版第章第章

、(5~8,20127、10~

第章

12);

增加了本部分中安全控制部分同中相關(guān)條款交叉引用及

———ISO/IEC27001、ISO/IEC27002

文檔示例模板見附錄附錄

SecOPs(A、B)。

本部分使用翻譯法等同采用信息安全安全技術(shù)網(wǎng)絡安全第部分

ISO/IEC27033-1:2015《1:

綜述和概念

》。

與本部分中規(guī)范性引用的國際文件有一致性對應關(guān)系的我國文件如下

:

所有部分信息技術(shù)開放系統(tǒng)互連基本參考模型所有部

———GB/T9387()[ISO/IEC7498(

分

)];

信息技術(shù)安全技術(shù)信息安全管理體系要求

———GB/T22080—2016(ISO/IEC27001:

2013,IDT);

信息技術(shù)安全技術(shù)信息安全控制實踐指南

———GB/T22081—2016(ISO/IEC27002:2013,

IDT);

信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯

———GB/T29246—2017(ISO/IEC

27000:2016,IDT);

信息技術(shù)安全技術(shù)信息安全風險管理

———GB/T31722—2015(ISO/IEC27005:2008,

IDT)。

Ⅲ

GB/T250681—2020/ISO/IEC27033-12015

.:

本部分做了下列編輯性修改

:

在第章增加了正文中規(guī)范引用的國際文件

———2ISO/IEC27000。

本部分由全國信息安全標準化技術(shù)委員會提出并歸口

(SAC/TC260)。

本部分起草單位黑龍江省網(wǎng)絡空間研究中心中國電子技術(shù)標準化研究院北京安天網(wǎng)絡安全技

:、、

術(shù)有限公司杭州安恒信息技術(shù)有限公司哈爾濱理工大學西安西電捷通無線網(wǎng)絡通信股份有限公司

、、、。

本部分主要起草人方舟曲家興馬超谷俊濤樹彬劉佳李銳宋雪馬遙王大萌吳瓊姜國春

:、、、、、、、、、、、、

馮亞娜張弘司丹張馳于海寧

、、、、。

本部分所代替標準的歷次版本發(fā)布情況為

:

———GB/T25068.1—2012。

Ⅳ

GB/T250681—2020/ISO/IEC27033-12015

.:

引言

當前商業(yè)和政府組織大多數(shù)都通過網(wǎng)絡連接他們的信息系統(tǒng)如圖所示其中網(wǎng)絡連接類型

,(1),,

可能包括如下一個或多個

:

組織內(nèi)部的網(wǎng)絡

———;

不同組織間的網(wǎng)絡

———;

組織和公眾之間的網(wǎng)絡

———。

圖1典型的網(wǎng)絡類型及連接方式

此外快速發(fā)展的網(wǎng)絡技術(shù)特別是通過互聯(lián)網(wǎng)發(fā)展起來網(wǎng)絡技術(shù)提供了重要商業(yè)機會越來越多

,(),

的組織機構(gòu)開展全球性的電子商務以提供在線公共服務這些商業(yè)機會不僅實現(xiàn)了將互聯(lián)網(wǎng)作為簡單

。

的連接媒介以提供低成本的數(shù)據(jù)通信也實現(xiàn)了由互聯(lián)網(wǎng)服務提供商提供更復雜的服務這也

,(ISP)。

就意味著通過在電路的每一端使用相對低成本的本地連接可完整實現(xiàn)在線電子交易和服務交付系

,,

統(tǒng)例如采用基于的應用及服務技術(shù)此外新的技術(shù)包括數(shù)據(jù)語音和視頻的集成為遠程工作

,Web。,(、)

提供了可能也稱為遠程工作或遠程辦公使員工能夠在一段時間內(nèi)離開他們的工作地點還能通

(“”“”),,

過遠程設備訪問組織網(wǎng)絡社區(qū)網(wǎng)絡以及相關(guān)業(yè)務支持信息和服務

、,。

這種環(huán)境有利于獲得重大商業(yè)利益但又存在新的安全風險隨著組織越來越依賴于信息和相關(guān)

,。

網(wǎng)絡那么信息保密性完整性及可用性的缺失將會對開展業(yè)務造成極大負面影響因此有必要適當

,、。,

保護網(wǎng)絡信息系統(tǒng)和信息的安全換句話說實施和維護充分的網(wǎng)絡安全對任何組織業(yè)務穩(wěn)定運行來

、。,

說都是至關(guān)重要的

。

Ⅴ

GB/T250681—2020/ISO/IEC27033-12015

.:

在這種情況下電信和信息技術(shù)產(chǎn)業(yè)正在尋求成本效益均衡的安全解決方案旨在保護網(wǎng)絡免受惡

,,

意攻擊和無意的不正當行為滿足信息和服務保密性完整性和可用性的業(yè)務要求適當?shù)木W(wǎng)絡安全對

,、。

于確保服務計費和使用信息的準確性是必不可少的產(chǎn)品的安全能力對整體網(wǎng)絡安全包括應用和服

。(

務至關(guān)重要然而隨著更多解決方案將產(chǎn)品組合起來形成的一個整體產(chǎn)品間是否具備互操作性將決

),,,

定解決方案成功與否安全性是每個產(chǎn)品或服務的關(guān)注點它是依靠提高整體安全解決方案的安全能

。,

力進行開發(fā)

。

1)的目的是為信息系統(tǒng)網(wǎng)絡的管理運行使用及互聯(lián)互通提供安全方面的詳細指

ISO/IEC27033、、

導組織內(nèi)負責信息安全特別是網(wǎng)絡安全的人員宜能夠采納本標準以滿足其特定需求其主要目標

。,。

如下

:

定義和描述與網(wǎng)絡安全相關(guān)的概念并提供管理指導包括網(wǎng)絡安全概述及

———ISO/IEC27033-1,。

相關(guān)定義指導網(wǎng)絡安全風險識別和分析進而定義網(wǎng)絡安全需求它還介紹了如何達成優(yōu)質(zhì)

,,。

的技術(shù)安全架構(gòu)以及與典型網(wǎng)絡場景和網(wǎng)絡技術(shù)領(lǐng)域相關(guān)的風險設計和控制等方面

,“”、

其余部分將詳細介紹

(ISO/IEC27033);

定義了組織宜如何規(guī)劃設計實現(xiàn)高質(zhì)量的網(wǎng)絡安全體系以確保網(wǎng)絡安

———ISO/IEC27033-2,、、,

全適合相應的業(yè)務環(huán)境可借助模型框架本部分標準利用模型框架來描述一類技術(shù)安全架

。(

構(gòu)設計的結(jié)構(gòu)和內(nèi)部運行機制使用一致的方法進行網(wǎng)絡安全規(guī)劃設計與實現(xiàn)同時本

、),,、。,

部分標準也適用于參與到網(wǎng)絡安全規(guī)劃設計和實施網(wǎng)絡安全架構(gòu)的人員參考例如網(wǎng)絡架

、(,

構(gòu)師設計人員網(wǎng)絡管理員和網(wǎng)絡安全主管

、、);

定義與典型的網(wǎng)絡場景相關(guān)的具體風險設計技術(shù)和控制要素與所有參與

———ISO/IEC27033-3,、,

網(wǎng)絡安全架構(gòu)方面規(guī)劃設計和實施的人員例如網(wǎng)絡架構(gòu)師設計人員網(wǎng)絡管理員和網(wǎng)絡

、(,、、

安全主管有關(guān)

);

定義使用安全網(wǎng)關(guān)保護的網(wǎng)絡之間信息流的具體風險設計技術(shù)和控制要

———ISO/IEC27033-4,、

素與所有參與安全網(wǎng)關(guān)的詳細規(guī)劃設計和實施的人員例如網(wǎng)絡架構(gòu)師設計人員網(wǎng)絡

。、(,、、

管理員和網(wǎng)絡安全主管有關(guān)

);

定義使用虛擬專用網(wǎng)絡建立安全連接的具體風險設計技術(shù)和控制要素

———ISO/IEC27033-5,、。

這與所有參與安全性詳細規(guī)劃設計和實施的人員例如網(wǎng)絡架構(gòu)師設計人員網(wǎng)絡

VPN、(,、、

管理員和網(wǎng)絡安全主管有關(guān)

);

定義保護無線網(wǎng)絡的具體風險設計技術(shù)和控制要素與參與詳細規(guī)

———ISO/IEC27033-6,IP、。

劃設計和實施無線網(wǎng)絡安全的人員例如網(wǎng)絡架構(gòu)師設計人員網(wǎng)絡管理員和網(wǎng)絡安全主

、(,、、

管有關(guān)

)。

宜強調(diào)的是是在的基礎(chǔ)上進一步對網(wǎng)絡安全控制提供了詳細的

,ISO/IEC27033ISO/IEC27002,

實施指導

。

宜注意的是不是法規(guī)和立法要求的參考或規(guī)范性文件因為網(wǎng)絡安全取決于業(yè)

,ISO/IEC27033。

務類型等因素所以僅強調(diào)這些影響的重要性而不做具體說明

,。

凡涉及采用密碼技術(shù)解決保密性完整性真實性抗抵賴性需求的宜遵循密碼相

ISO/IEC27033、、、

關(guān)國家標準和行業(yè)標準

。

除非另做說明的本部分所參考的指南僅適用于當前和或規(guī)劃的網(wǎng)絡或此網(wǎng)絡

,ISO/IEC27033/“”“”。

目前的第部分第部分已轉(zhuǎn)化為

1),ISO/IEC270331~5GB/T25068.1~GB/T25068.5。

Ⅵ

GB/T250681—2020/ISO/IEC27033-12015

.:

信息技術(shù)安全技術(shù)網(wǎng)絡安全

第1部分綜述和概念

:

1范圍

的本部分規(guī)定了網(wǎng)絡安全概述和相關(guān)定義定義和描述了與網(wǎng)絡安全相關(guān)的概念并

GB/T25068、

提供了有關(guān)網(wǎng)絡安全的管理指導本部分的網(wǎng)絡安全適用于通過通信鏈路傳送的信息安全設備安全以

(、

及與設備應用服務和最終用戶相關(guān)的管理活動的安全

、/)。

本部分的使用者包括擁有運行或使用網(wǎng)絡的任何人包括高級管理人員和其他非技術(shù)管理人員或

、,

用戶以及對信息安全和或網(wǎng)絡安全網(wǎng)絡操作負有特定責任的或?qū)M織的整體安全計劃和安全策略

,/、

制定負責的經(jīng)理和管理員此外還包括參與網(wǎng)絡安全架構(gòu)方面的規(guī)劃設計和實施的所有人

。,、。

本部分還包括以下內(nèi)容

:

提供了識別和分析網(wǎng)絡安全風險的指南并基于上述分析定義網(wǎng)絡安全需求

———,;

提供了支持網(wǎng)絡技術(shù)安全架構(gòu)和相關(guān)技術(shù)控制的綜述以及不僅適用于網(wǎng)絡的技術(shù)和非技術(shù)

———