GB/T 25068.4-2022信息技術(shù)安全技術(shù)網(wǎng)絡(luò)安全第4部分：使用安全網(wǎng)關(guān)的網(wǎng)間通信安全保護

ICS35030

CCSL.80

中華人民共和國國家標準

GB/T250684—2022/ISO/IEC27033-42014

.:

代替GB/T250683—2010

.

信息技術(shù)安全技術(shù)網(wǎng)絡(luò)安全

第4部分使用安全網(wǎng)關(guān)的網(wǎng)間

:

通信安全保護

Informationtechnology—Securitytechniques—Networksecurity—

Part4Securincommunicationsbetweennetworksusinsecuritatewas

:ggygy

ISO/IEC27033-42014IDT

(:,)

2022-10-12發(fā)布2023-05-01實施

國家市場監(jiān)督管理總局發(fā)布

國家標準化管理委員會

GB/T250684—2022/ISO/IEC27033-42014

.:

目次

前言

…………………………Ⅰ

引言

…………………………Ⅲ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

縮略語

4……………………2

文檔結(jié)構(gòu)

5…………………3

概述

6………………………3

安全威脅

7…………………5

安全需求

8…………………5

安全控制

9…………………6

通則

9.1…………………6

無狀態(tài)包過濾

9.2………………………7

狀態(tài)包檢測

9.3…………………………7

應(yīng)用防火墻

9.4…………………………7

內(nèi)容過濾

9.5……………8

入侵防御系統(tǒng)和入侵檢測系統(tǒng)

9.6……………………9

安全管理

9.7API………………………9

設(shè)計技術(shù)

10…………………9

安全網(wǎng)關(guān)組件

10.1………………………9

部署安全網(wǎng)關(guān)控件

10.2………………10

產(chǎn)品選擇指南

11…………………………13

通則

11.1………………13

選擇安全網(wǎng)關(guān)結(jié)構(gòu)和適當組件

11.2…………………13

硬件和軟件平臺

11.3…………………13

配置

11.4………………13

安全功能設(shè)置

11.5……………………14

管理能力

11.6…………………………15

日志記錄功能

11.7……………………15

審計功能

11.8…………………………15

培訓(xùn)和教育

11.9………………………15

實現(xiàn)類型

11.10…………………………15

高可用性和運行模式

11.11……………16

其他注意事項

11.12……………………16

參考文獻

……………………17

GB/T250684—2022/ISO/IEC27033-42014

.:

前言

本文件按照標準化工作導(dǎo)則第部分標準化文件的結(jié)構(gòu)和起草規(guī)則的規(guī)定

GB/T1.1—2020《1:》

起草

。

本文件是信息技術(shù)安全技術(shù)網(wǎng)絡(luò)安全的第部分已發(fā)布了以

GB/T25068《》4。GB/T25068

下部分

:

第部分綜述和概念

———1:;

第部分網(wǎng)絡(luò)安全設(shè)計和實現(xiàn)指南

———2:;

第部分面向網(wǎng)絡(luò)接入場景的威脅設(shè)計技術(shù)和控制

———3:、;

第部分使用安全網(wǎng)關(guān)的網(wǎng)間通信安全保護

———4:;

第部分使用虛擬專用網(wǎng)的跨網(wǎng)通信安全保護

———5:。

本文件代替信息技術(shù)安全技術(shù)網(wǎng)絡(luò)安全第部分使用安全網(wǎng)關(guān)

GB/T25068.3—2010《IT3:

的網(wǎng)間通信安全保護與相比除結(jié)構(gòu)調(diào)整和編輯性改動外主要技術(shù)變化

》。GB/T25068.3—2010,,

如下

:

更改了陳述范圍時所使用的推薦條款和表述方式見第章年版的第章

a)“”(1,20101);

更改了術(shù)語和定義的內(nèi)容見第章年版的第章

b)“”(3,20103);

刪除了等縮略語增加了等縮略語

c)“IT”“IDP”“V.35”,“ACL”“ASIC”“CPU”“DDoS”“URL”

見第章年版的第章

(4,20104);

增加了文檔結(jié)構(gòu)概述安全威脅三章見第章第章

d)“”“”“”(5~7);

將安全要求更改為安全需求增加了表并將年版的有關(guān)內(nèi)容更改后納入見第

e)“”“”,“1”,2010(

章年版的第章

8,20105);

將安全網(wǎng)關(guān)技術(shù)更改為安全控制見第章年版的第章增加了要素通則見

f)“”“”(9,20106),“”(

入侵防御系統(tǒng)和入侵檢測系統(tǒng)見安全管理見刪除了要素網(wǎng)絡(luò)地

9.1)、“”(9.6)、“API”(9.7),“

址轉(zhuǎn)換見年版的

(NAT)”(20106.4);

刪除了狀態(tài)包檢測防火墻與應(yīng)用代理防火墻的優(yōu)缺點比較并將年版的有關(guān)內(nèi)容更

g)“”“”,2010

改后納入見年版的

(9.3,20106.2);

將應(yīng)用代理更改為應(yīng)用防火墻并將年版的有關(guān)內(nèi)容更改后納入見年版

h)“”“”,2010(9.4,2010

的

6.3);

將內(nèi)容分析和過濾更改為內(nèi)容過濾增加了內(nèi)容分析列項協(xié)議分析并將年版

i)“”“”,“”“”,2010

的有關(guān)內(nèi)容更改后納入見年版的

(9.5,20106.5);

將安全網(wǎng)關(guān)組件與安全網(wǎng)關(guān)體系結(jié)構(gòu)兩章合并為設(shè)計技術(shù)一章刪除了懸空段引導(dǎo)

j)“”“”“”,

詞重新繪制了示意圖見圖圖年版的圖圖并將年版的有關(guān)內(nèi)容更改

,(3~6,20101~4),2010

后納入見第章年版的第章第章

(10,20107、8);

增加了可能存在負載均衡交換機的使用規(guī)則見年版的

k)“”(10.1.1,20107.1);

將應(yīng)用級網(wǎng)關(guān)更改為應(yīng)用層網(wǎng)關(guān)增加了網(wǎng)關(guān)的使用規(guī)則并將年版的有關(guān)

l)“”“”,“SIP”,2010

內(nèi)容更改后納入見年版的

(10.1.3,20107.3);

增加了監(jiān)控功能的使用規(guī)則見

m)“”(10.1.5);

將安全網(wǎng)關(guān)體系結(jié)構(gòu)更改為部署安全網(wǎng)關(guān)控件刪除了懸置段見年版的

n)“”“”,(10.2,2010

8.1);

刪除了要素層次化方法見年版的

o)“”(20108.2);

Ⅰ

GB/T250684—2022/ISO/IEC27033-42014

.:

刪除了關(guān)于屏蔽主機體系結(jié)構(gòu)優(yōu)缺點的表述段落見年版的

p)“”(20108.1.3);

增加了包過濾防火墻的使用規(guī)則見

q)“”(10.2.1);

增加了要素通則見

r)“”(11.1);

將安全特點和設(shè)置更改為安全功能設(shè)置增加了支持對打包的企業(yè)或其他業(yè)務(wù)應(yīng)用程序

s)“”“”,“

的代理服務(wù)和支持識別協(xié)議流中運行的應(yīng)用如辦公效率應(yīng)用嵌入式視頻即時消息等

”“(、、)”

的推薦條款并將年版的有關(guān)內(nèi)容更改后納入見年版的

,2010(11.5,20109.4);

增加規(guī)定了細粒度的訪問權(quán)限見年版的

t)“”(11.6,20109.6);

刪除了要素文檔化見年版的

u)“”(20109.7);

增加了要素實現(xiàn)類型和要素高可用性和運行模式見

v)“”“”(11.10、11.11)。

本文件等同采用信息技術(shù)安全技術(shù)網(wǎng)絡(luò)安全第部分使用安全

ISO/IEC27033-4:2014《4:

網(wǎng)關(guān)的網(wǎng)間通信安全保護

》。

本文件做了下列最小限度的編輯性改動

:

用資料性引用的替換了見

———GB/T20985.2—2020ISO/IEC27035(9.1);

用資料性引用的替換了見

———GB/T28454—2020ISO/IEC27039(9.5);

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機構(gòu)不承擔識別專利的責任

。。

本文件由全國信息安全標準化技術(shù)委員會提出并歸口

(SAC/TC260)。

本文件起草單位黑龍江省網(wǎng)絡(luò)空間研究中心中國電子技術(shù)標準化研究院安天科技集團股份有

:、、

限公司黑龍江安信與誠科技開發(fā)有限公司上海工業(yè)控制安全創(chuàng)新科技有限公司哈爾濱理工大學(xué)哈

、、、、

爾濱工業(yè)大學(xué)

。

本文件主要起草人方舟曲家興谷俊濤于海寧肖鴻江李琳琳李銳宋雪楊霄璇白瑞

:、、、、、、、、、、

王大萌上官曉麗甘俊杰杜宇芳呼大永馬遙黃海樹彬張國華燕思嘉許言吳瓊姜天一周瑩

、、、、、、、、、、、、、、

曹威方偉童松華趙超祝宇琳石冬青單建中孟慶川倪華

、、、、、、、、。

本文件及其所代替文件的歷次版本發(fā)布情況為

:

年首次發(fā)布為

———2010GB/T25068.3—2010;

本次為第一次修訂編號調(diào)整為

———,GB/T25068.4—2022。

Ⅱ

GB/T250684—2022/ISO/IEC27033-42014

.:

引言

的目的是為信息系統(tǒng)網(wǎng)絡(luò)的管理運行使用及互聯(lián)互通提供安全方面的詳細指導(dǎo)

GB/T25068、、。

方便組織內(nèi)負責信息安全特別是網(wǎng)絡(luò)安全的人員能夠采納本文件以滿足其特定需求擬由六個部分

。

構(gòu)成

。

第部分綜述和概念目的是定義和描述與網(wǎng)絡(luò)安全相關(guān)的概念并提供管理指導(dǎo)

———1:。。

第部分網(wǎng)絡(luò)安全設(shè)計和實現(xiàn)指南目的是為組織如何規(guī)劃設(shè)計實現(xiàn)高質(zhì)量的網(wǎng)絡(luò)安全

———2:。、、

體系以確保網(wǎng)絡(luò)安全適合相應(yīng)的業(yè)務(wù)環(huán)境提供指導(dǎo)

,。

第部分面向網(wǎng)絡(luò)接入場景的威脅設(shè)計技術(shù)和控制目的是列舉與典型的網(wǎng)絡(luò)接入場景相

———3:、。

關(guān)的具體風險設(shè)計技術(shù)和控制適用于所有參與網(wǎng)絡(luò)安全架構(gòu)方面規(guī)劃設(shè)計和實施的人員

、,、。

第部分使用安全網(wǎng)關(guān)的網(wǎng)間通信安全保護目的是確保使用安全網(wǎng)關(guān)的網(wǎng)間通信安全

———4:。。

它提供了如何識別和分析與安全網(wǎng)關(guān)相關(guān)的網(wǎng)絡(luò)安全威脅基于威脅分析定義安全網(wǎng)關(guān)的網(wǎng)

、

絡(luò)安全需求介紹了以解決典型網(wǎng)絡(luò)場景相關(guān)的威脅和控制方面的網(wǎng)絡(luò)技術(shù)安全結(jié)構(gòu)設(shè)計技

、

術(shù)實現(xiàn)并解決與使用安全網(wǎng)關(guān)實施操作監(jiān)視和審查網(wǎng)絡(luò)安全控制相關(guān)問題的指南本文

,、、。

件適用于所有參與安全網(wǎng)關(guān)詳細規(guī)劃設(shè)計和實施的人員例如網(wǎng)絡(luò)架構(gòu)師和設(shè)計人員網(wǎng)絡(luò)

、(、

管理員和網(wǎng)絡(luò)安全主管

)。

第部分使用虛擬專用網(wǎng)的跨網(wǎng)通信安全保護目的是定義使用虛擬專用網(wǎng)絡(luò)建立安全連

———5:。

接的具體風險設(shè)計技術(shù)和控制要素

、。

第部分無線網(wǎng)絡(luò)訪問安全目的是為選擇實施和監(jiān)測使用無線網(wǎng)絡(luò)提供安全通信所必需

———6:。、

的技術(shù)控制提供指南并用于第部分中涉及使用無線網(wǎng)絡(luò)的技術(shù)安全架構(gòu)或設(shè)計選項的審

,2

查與選擇

。

是在信息技術(shù)安全技術(shù)信息安全控制實踐指南的基礎(chǔ)上進一步

GB/T25068GB/T22081《》,

對網(wǎng)絡(luò)安全控制提供了詳細的實施指導(dǎo)僅強調(diào)業(yè)務(wù)類型等因素影響網(wǎng)絡(luò)安全的重要性

。GB/T25068

而不做具體說明

。

本文件凡涉及采用密碼技術(shù)解決保密性完整性真實性抗抵賴性需求的遵循密碼相關(guān)國家標準

、、、,

和行業(yè)標準

。

Ⅲ

GB/T250684—2022/ISO/IEC27033-42014

.:

信息技術(shù)安全技術(shù)網(wǎng)絡(luò)安全

第4部分使用安全網(wǎng)關(guān)的網(wǎng)間

:

通信安全保護

1范圍

本文件提供了使用安全網(wǎng)關(guān)防火墻應(yīng)用防火墻入侵防護系統(tǒng)等的網(wǎng)絡(luò)間通信安全保護指

(、、)

南這些安全網(wǎng)關(guān)按照文檔化的信息安全策略進行通信指南包括

,,:

識別和分析與安全網(wǎng)關(guān)相關(guān)的網(wǎng)絡(luò)安全威脅

a);

基于威脅分析來定義安全網(wǎng)關(guān)的網(wǎng)絡(luò)安全需求

b);

使用設(shè)計和實現(xiàn)的技術(shù)來解決與典型的網(wǎng)絡(luò)場景相關(guān)的威脅和控制方面的問題

c);

指出實施操作監(jiān)視和評審網(wǎng)絡(luò)安全網(wǎng)關(guān)控制措施相關(guān)的問題

d)、、。

2規(guī)范性引用文件

下列