GB∕T 25068.2-2020 信息技術(shù) 安全技術(shù) 網(wǎng)絡(luò)安全 第2部分：網(wǎng)絡(luò)安全設(shè)計和實現(xiàn)指南

GB/T25068.2—2020/ISO/IEC信息技術(shù)安全技術(shù)網(wǎng)絡(luò)安全第2部分：網(wǎng)絡(luò)安全設(shè)計和實現(xiàn)指南國家市場監(jiān)督管理總局國家標(biāo)準(zhǔn)化管理委員會 I 1 1 14縮略語 1 2 26.1概述 2 2 3 3 4 47.1概述 4 5 68網(wǎng)絡(luò)安全實現(xiàn) 78.1概述 7 7 7 8 8 9 9 9附錄A(資料性附錄)本部分安全控制部分與ISO/IEC27001:2005、ISO/IEC27002:2005 附錄B(資料性附錄)文檔模板示例 參考文獻(xiàn) 23IGB/T25068.2—2020/ISO/IEC2本部分代替GB/T25068.2—201 “OAM8.P”“OSI”“POP”“PSTN”“PVC”“QoS”“SHA-1”“SIP”“SNMP”“SONET”“SS7”本部分使用翻譯法等同采用ISO/IEC27033-2: GB/T22080—2016信息技術(shù)安全技術(shù)信息安全管理體 -GB/T25068.1—2020信息技術(shù)安全技術(shù)網(wǎng)絡(luò)安全第1部分：綜述和概念(ISO/IEC GB/T29246—2017信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯(ISO/IEC——GB/T31722—2015信息技術(shù)安全技術(shù)信息安全風(fēng)險管理(ISO/IEC27005:2008,I1ISO/IEC7498(所有部分)信息技術(shù)開放系統(tǒng)互連基本參考模型(Informationtechnology—ISO/IEC27000:2009信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯(Informationtechnology—SecuritytechnISO/IEC27001:2005信息技術(shù)安全技術(shù)信息安全管理體系要求(Informationtechnology-ISO/IEC27002:2005信息技術(shù)安全技術(shù)信息安全管理實用規(guī)則(Informationtechnology—Securitytechniques—Codeofpracticeforinformationsecuritymanagement)ISO/IEC27005:2011信息技術(shù)安全技術(shù)信息安全風(fēng)險管理(Informationtechnology—Secu-ritytechniques—Informationsecurityriskmanagement)ISO/IEC27033-1信息技術(shù)安全技術(shù)網(wǎng)絡(luò)安全第1部分：綜述和概念(Informationtech-nology—Securitytechni2●需求收集；●需求審查；●設(shè)計核驗?！?網(wǎng)絡(luò)安全實現(xiàn)●核驗。3GB/T25068.2—2020/ISO/IEC27033-2:2012 (例如TCP端口80的HTTP服務(wù))、特定主機(jī)(如,IP地址為3),特定主機(jī)組(例如4/24子網(wǎng))或特定的網(wǎng)絡(luò)接口設(shè)備(如MAC地址為10:00:00:01:02:03的接 正在使用的網(wǎng)絡(luò)連接類型的識別： —如果需要引入非IP協(xié)議，宜視其為處于安全體系架構(gòu)之外或利用隧道技術(shù)的協(xié)議來實現(xiàn) 5GB/T25068.2—2020/IS護(hù)措施(在可能的情況下設(shè)置WPA2),使用MAC地址過濾以限制有設(shè)備連接到上安裝防病毒軟件。來自多個供應(yīng)商的不同的安全產(chǎn)品可能被部署用來防御網(wǎng)絡(luò)中的不同的潛在載邊界邊界主機(jī)數(shù)據(jù)6GB/T25068.2—2020/ISO/IEC27033●為外網(wǎng)提供服務(wù)(例如互聯(lián)網(wǎng))的設(shè)備和計算機(jī)系統(tǒng)宜位于不同的區(qū)域(非軍事區(qū)—DMZ)●戰(zhàn)略資產(chǎn)宜設(shè)在專用安全區(qū)；●低信任級別的設(shè)備和計算機(jī)系統(tǒng)，如遠(yuǎn)程訪問服務(wù)器和無線網(wǎng)絡(luò)接入點宜設(shè)在專用安 ●用戶工作站宜同服務(wù)器位于不同的安全區(qū)；●網(wǎng)絡(luò)和安全管理系統(tǒng)宜設(shè)在專用安全區(qū)；提供了ITU-TX.805如何在ISO/IEC27001:2005控制支持下進(jìn)行應(yīng)用。7—-網(wǎng)絡(luò)組件選擇標(biāo)準(zhǔn)—風(fēng)險削減技術(shù)； 8GB/T25068.2—2020/ISO/IEC27033 許多組織使用簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)管理陷阱來直接監(jiān)視網(wǎng)絡(luò)。SNMP版本1和版本2有重9GB/T25068.2—2020/ISO/IEC27033-2:2012——授權(quán)機(jī)制GB/T25068.2—2020/ISO/表A.1給出了本部分安全控制部分與ISO/IEC27001:2005、ISO/IEC27002:2005相關(guān)章條號的表A.1本部分與ISO/IEC27001:2005、ISO/IEC27002:2005相關(guān)章條號交叉引用情況ISO/IEC27002:2005章條號內(nèi)容描述10.6.1網(wǎng)絡(luò)控制網(wǎng)絡(luò)宜充分的管理和控制.以免受到威脅，并保持使用網(wǎng)絡(luò)的系統(tǒng)、應(yīng)用程序和傳輸信息的安全網(wǎng)絡(luò)操作與計算機(jī)操作權(quán)限宜適當(dāng)分開務(wù)能力，并確保全程對信息處理基礎(chǔ)設(shè)施保持控制10.6.2網(wǎng)絡(luò)服務(wù)安全需求都宜被識別并包含在任何網(wǎng)絡(luò)服務(wù)協(xié)10.8.1信息交互策略和程序11.4.1使用網(wǎng)絡(luò)服務(wù)的政策宜只能向用戶提供訪問被明確授權(quán)使用的11.4.2從外部連接的用戶身份宜使用適當(dāng)?shù)纳矸蒡炞C方法來控制遠(yuǎn)程用戶的訪問GB/T25068.2—2020/ISO/IEC27033(資料性附錄)——目的/目標(biāo)/范圍；——技術(shù)和其他方面的假設(shè)；-—文檔狀態(tài)；——概述；——上下文；·主要領(lǐng)域1;●主要領(lǐng)域2;·主要領(lǐng)域3等；●服務(wù)器；·日志記錄；·身份驗證和訪問控制；——組件1:·日志記錄；GB/T25068.2—2020/ISO/IEC2 ·應(yīng)用程序管理。包括以下部分-—位置X的服務(wù)：——位置Y的服務(wù)。 內(nèi)容GB/T25068.2—2020/ISO/IEC2 GB/T25068.2—2020/ISO/---技術(shù)架構(gòu)文檔； 服務(wù)器/控制臺配置： 軟件配置： 數(shù)據(jù)庫配置； 系統(tǒng)陷阱： GB/T25068.2—2020/IS·反惡意代碼服務(wù)器；·不間斷電源UPS:·其他組成部分；·其他控制要求； —安全。——事件處理——DMZ服務(wù)器管理；——任何其他相關(guān)的服務(wù)和協(xié)議細(xì)節(jié)。B.2.12注釋詞表GB/T25068.2—2020/ISO/ITU-TX.805框架也可用來對ISO/IEC27001:2005中的技術(shù)要素進(jìn)行增強(qiáng)力度圖C.1ITU-TX.805框架增強(qiáng)GB/T25068.2—2020/ISO/IEC2師圖防止未經(jīng)授權(quán)的變更，數(shù)據(jù)保密性維度提供了文件加密，以防止未經(jīng)授權(quán)的泄露。訪問控制維度提供對GB/T25068.2—2020/ISO/IEC2數(shù)據(jù)完整性·選擇風(fēng)險處理的控制要素?實施表操作控制要素識別資產(chǎn)→員工數(shù)據(jù)庫[2]ISO/IEC27035Informationtechnology—S[3]ITU-TX.805Securityarchitectureforsystems[4]RFC5246ThetransportlayerGR/T25068GR/T250682—2020/ISO/