GB/T 25068.4-2010信息技術(shù)安全技術(shù)IT網(wǎng)絡安全第4部分：遠程接入的安全保護

ICS35020

L80.

中華人民共和國國家標準

GB/T250684—2010/ISO/IEC18028-42005

.:

信息技術(shù)安全技術(shù)IT網(wǎng)絡安全

第4部分遠程接入的安全保護

:

Informationtechnology—Securitytechniques—ITnetworksecurity—

Part4Securinremoteaccess

:g

(ISO/IEC18028-4:2005,IDT)

2010-09-02發(fā)布2011-02-01實施

中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局發(fā)布

中國國家標準化管理委員會

GB/T250684—2010/ISO/IEC18028-42005

.:

目次

前言…………………………

Ⅲ

引言…………………………

Ⅳ

范圍………………………

11

術(shù)語和定義………………

21

目的………………………

35

綜述………………………

45

安全要求…………………

56

遠程訪問連接類型………………………

66

遠程訪問連接技術(shù)………………………

77

概述……………………

7.17

通信服務器的訪問……………………

7.27

局域網(wǎng)資源的訪問……………………

7.310

用于維護的訪問………………………

7.411

選擇和配置指南…………………………

812

概述……………………

8.112

客戶端的保護…………………

8.2RAS12

服務器的保護…………………

8.3RAS12

連接的保護……………

8.413

無線安全………………

8.514

組織措施………………

8.615

法律考量………………

8.716

結(jié)論………………………

916

附錄資料性附錄遠程接入安全策略示例…………

A()17

目的…………………

A.117

范圍…………………

A.217

策略…………………

A.317

強制執(zhí)行……………

A.418

術(shù)語和定義…………………………

A.518

附錄資料性附錄實施和部署的最佳實踐………………

B()RADIUS20

概述…………………

B.120

實施的最佳實踐……………………

B.220

部署的最佳實踐……………………

B.321

附錄資料性附錄的兩種模式…………………

C()FTP22

模式……………………

C.1PORTFTP22

模式……………………

C.2PASVFTP22

附錄資料性附錄安全郵件服務核查表……………

D()23

郵件服務器操作系統(tǒng)核查表………………………

D.123

郵件服務器與郵件內(nèi)容安全核查表………………

D.224

Ⅰ

GB/T250684—2010/ISO/IEC18028-42005

.:

網(wǎng)絡基礎設施核查表………………

D.325

郵件客戶端安全核查表……………

D.426

郵件服務器的安全管理核查表……………………

D.526

附錄資料性附錄安全服務核查表…………

E()Web28

服務器操作系統(tǒng)核查表………………………

E.1Web28

安全服務器安裝與配置核查表………………

E.2Web29

內(nèi)容核查表……………………

E.3Web30

鑒別和加密核查表……………

E.4Web31

網(wǎng)絡基礎設施核查表………………

E.532

安全服務器管理核查表………………………

E.6Web33

附錄資料性附錄無線局域網(wǎng)安全核查表…………

F()35

參考文獻……………………

37

Ⅱ

GB/T250684—2010/ISO/IEC18028-42005

.:

前言

在信息技術(shù)安全技術(shù)網(wǎng)絡安全總標題下擬由以下個部分組成

GB/T25068《IT》,5:

第部分網(wǎng)絡安全管理

———1:;

第部分網(wǎng)絡安全體系結(jié)構(gòu)

———2:;

第部分使用安全網(wǎng)關的網(wǎng)間通信安全保護

———3:;

第部分遠程接入的安全保護

———4:;

第部分使用虛擬專用網(wǎng)的跨網(wǎng)通信安全保護

———5:。

本部分為的第部分

GB/T250684。

本部分使用翻譯法等同采用國際標準信息技術(shù)安全技術(shù)網(wǎng)絡安

ISO/IEC18028-4:2005《IT

全第部分遠程接入的安全保護英文版該國際標準中缺少規(guī)范性引用文件的章條為保持

4:》()?！啊?

與該國際標準編排方式的一致本部分未添加相應的章條

,。

本部分更正了部分術(shù)語條款中全稱中的更正為條款

(2.10DHCP“Control”“Configuration”;

中全稱中的更正為條款中全稱中的

2.28RADIUS“Access”“Authentication”;2.43TKIP

更正為條款中全稱中的更正為

“implementation”“integrity”;7.2.2S/MIME“exchange”“exten-

sions”)。

本部分更正了部分錯誤附錄中誤表示為行為的刪除或關閉不必要的服務和應用和配

(E.1“”“”“

置操作系統(tǒng)用戶鑒別更正為標題表示形式附錄中的更正為

”“”;E.3“SSI”“SSL”)。

中竊聽威脅只能用加密與之對抗中的只能過于絕對修改為大多為今后技術(shù)發(fā)展預

8.4.3“”“”,“”,

留了空間

。

中增加了使用國家加密標準的規(guī)定

8.7。

本部分的附錄附錄附錄附錄附錄附錄為資料性附錄

A、B、C、D、E、F。

本部分由全國信息安全標準化技術(shù)委員會提出并歸口

(TC260)。

本部分起草單位黑龍江省電子信息產(chǎn)品監(jiān)督檢驗院中國電子技術(shù)標準化研究所哈爾濱工程大

:、、

學北京勵方華業(yè)技術(shù)有限公司山東省標準化研究院

、、。

本部分主要起草人王希忠黃庶劉亞東黃俊強馬遙方舟王大萌樹彬張清江王智許玉娜

:、、、、、、、、、、、

張國印李健利馮亞娜曲家興邱益民王運福

、、、、、。

Ⅲ

GB/T250684—2010/ISO/IEC18028-42005

.:

引言

在信息技術(shù)領域在組織內(nèi)部和組織之間使用網(wǎng)絡的需求日益增加因此安全使用網(wǎng)絡的要求必

,。,

須得到滿足

。

在遠程接入網(wǎng)絡領域要求特定措施時安全宜得到適當安排的本部分為遠程接

,IT。GB/T25068

入網(wǎng)絡或使用電子郵件文件傳輸或只是遠程工作提供指南

(、,)。

Ⅳ

GB/T250684—2010/ISO/IEC18028-42005

.:

信息技術(shù)安全技術(shù)IT網(wǎng)絡安全

第4部分遠程接入的安全保護

:

1范圍

的本部分規(guī)定了安全使用遠程接入使用公共網(wǎng)絡將一臺計算機遠程連接到另一臺

GB/T25068(

計算機或某個網(wǎng)絡的方法及其安全含義的安全指南本部分介紹不同類型的遠程接入以及使用

IT)。

的協(xié)議討論與遠程接入相關的鑒別問題并提供安全建立遠程接入時的支持

,,。

本部分適用于那些計劃使用這種連接或者已經(jīng)使用這種連接并且需要其安全建立及安全操作方式

建議的網(wǎng)絡管理員和技術(shù)員

。

2術(shù)語和定義

下列術(shù)語和定義適用于本部分

。

21

.

接入點AccessPointAP

;

提供從無線網(wǎng)絡接入到地面網(wǎng)絡的系統(tǒng)

。

22

.

高級加密標準AdvancedEncryptionStandardAES

;

一種對稱加密機制

。

注提供可變的密鑰長度并允許按美國聯(lián)邦信息處理標準的規(guī)范有效實現(xiàn)

:AES(FIPS)197。

23

.

鑒別authentication

確信實體是其所聲稱身份的措施在用戶鑒別的情