GB/T 25068.3-2022信息技術(shù)安全技術(shù)網(wǎng)絡(luò)安全第3部分：面向網(wǎng)絡(luò)接入場景的威脅、設(shè)計技術(shù)和控制

ICS35030

CCSL.80

中華人民共和國國家標準

GB/T250683—2022

.

代替GB/T250684—2010

.

信息技術(shù)安全技術(shù)網(wǎng)絡(luò)安全

第3部分面向網(wǎng)絡(luò)接入場景的

:

威脅設(shè)計技術(shù)和控制

、

Informationtechnology—Securitytechniques—Networksecurity—

Part3Threatsdesintechniuesandcontrolfornetworkaccessscenarios

:,gq

ISO/IEC27033-32010Informationtechnolo—Securittechniues—

(:,gyyq

Networksecurit—Part3Referencenetworkinscenarios—

y:g

ThreatsdesintechniuesandcontrolissuesMOD

,gq,)

2022-10-12發(fā)布2023-05-01實施

國家市場監(jiān)督管理總局發(fā)布

國家標準化管理委員會

GB/T250683—2022

.

目次

前言

…………………………Ⅲ

引言

…………………………Ⅴ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

縮略語

4……………………2

文檔結(jié)構(gòu)

5…………………2

概述

6………………………3

員工的互聯(lián)網(wǎng)訪問服務(wù)

7…………………5

背景

7.1…………………5

安全威脅

7.2……………5

安全設(shè)計技術(shù)和控制措施

7.3…………6

企業(yè)對企業(yè)的服務(wù)

8………………………7

背景

8.1…………………7

安全威脅

8.2……………8

安全設(shè)計技術(shù)和控制措施

8.3…………8

企業(yè)對客戶的服務(wù)

9………………………9

背景

9.1…………………9

安全威脅

9.2……………9

安全設(shè)計技術(shù)和控制措施

9.3…………10

增強協(xié)作服務(wù)

10…………………………11

背景

10.1………………11

安全威脅

10.2…………………………12

安全設(shè)計技術(shù)和控制措施

10.3………………………12

網(wǎng)絡(luò)分段

11………………13

背景

11.1………………13

安全威脅

11.2…………………………13

安全設(shè)計技術(shù)和控制措施

11.3………………………14

為居家辦公和小型商務(wù)辦公場所提供網(wǎng)絡(luò)支持

12……………………14

背景

12.1………………14

安全威脅

12.2…………………………14

安全設(shè)計技術(shù)和控制措施

12.3………………………15

移動通信

13………………16

Ⅰ

GB/T250683—2022

.

背景

13.1………………16

安全威脅

13.2…………………………16

安全設(shè)計技術(shù)和控制措施

13.3………………………17

為流動用戶提供網(wǎng)絡(luò)支持

14……………18

背景

14.1………………18

安全威脅

14.2…………………………18

安全設(shè)計技術(shù)和控制措施

14.3………………………19

外包服務(wù)

15………………19

背景

15.1………………19

安全威脅

15.2…………………………19

安全設(shè)計技術(shù)和控制措施

15.3………………………20

附錄資料性威脅目錄

A()………………21

附錄資料性互聯(lián)網(wǎng)使用策略示例

B()…………………25

參考文獻

……………………28

表網(wǎng)絡(luò)接入場景資源訪問框架

1…………3

表網(wǎng)絡(luò)安全技術(shù)示例

2……………………5

表員工的互聯(lián)網(wǎng)訪問服務(wù)場景下的安全控制措施

3……………………6

表企業(yè)對企業(yè)的服務(wù)場景下的安全控制措施

4…………8

表企業(yè)對客戶的服務(wù)場景下的安全控制措施

5………10

表增強協(xié)作服務(wù)場景下的安全控制措施

6……………12

表網(wǎng)絡(luò)分段場景下的安全控制措施

7…………………14

表用于居家和小型商務(wù)辦公場所場景的網(wǎng)絡(luò)安全控制

8……………15

表移動通信場景下的安全控制措施

9…………………17

表為流動用戶提供網(wǎng)絡(luò)支持場景下的安全控制措施

10………………19

表外包服務(wù)場景下的安全控制措施

11…………………20

Ⅱ

GB/T250683—2022

.

前言

本文件按照標準化工作導則第部分標準化文件的結(jié)構(gòu)和起草規(guī)則的規(guī)定

GB/T1.1—2020《1:》

起草

。

本文件是信息技術(shù)安全技術(shù)網(wǎng)絡(luò)安全的第部分已發(fā)布了以下

GB/T25068《》3。GB/T25068

部分

:

第部分綜述和概念

———1:;

第部分網(wǎng)絡(luò)安全設(shè)計和實現(xiàn)指南

———2:;

第部分面向網(wǎng)絡(luò)接入場景的威脅設(shè)計技術(shù)和控制

———3:、;

第部分使用安全網(wǎng)關(guān)的網(wǎng)間通信安全保護

———4:;

第部分使用虛擬專用網(wǎng)的跨網(wǎng)通信安全保護

———5:。

本文件代替信息技術(shù)安全技術(shù)網(wǎng)絡(luò)安全第部分遠程接入的安

GB/T25068.4—2010《IT4:

全保護與相比除結(jié)構(gòu)調(diào)整和編輯性改動外主要技術(shù)變化如下

》。GB/T25068.4—2010,,:

本文件主要內(nèi)容由遠程接入的安全保護改為面向網(wǎng)絡(luò)接入場景的威脅設(shè)計技術(shù)和控制

———、;

本文件對原系列標準中的每個技術(shù)應用場景進行了重新歸納和修改

———;

刪除了接入點高級加密標準回叫等術(shù)語和定義增加了惡意軟件不透明性外包

———“”“”“”,“”“”“”

等術(shù)語和定義見第章年版的第章

(3,20103);

增加了員工的互聯(lián)網(wǎng)訪問服務(wù)企業(yè)對企業(yè)的服務(wù)企業(yè)對客戶的服務(wù)增強協(xié)作服務(wù)

———“”“”“”“”

網(wǎng)絡(luò)分段為居家辦公和小型商務(wù)辦公場所提供網(wǎng)絡(luò)支持等內(nèi)容刪除了遠程訪問連接類

“”“”,“

型遠程訪問連接技術(shù)選擇和配置指南等內(nèi)容見第章第章年版的第

”“”“”(7~15,20106

章第章

~8);

增加了威脅目錄互聯(lián)網(wǎng)使用策略示例刪除了遠程接入安全策略示例實施

———“”“”,“”“RADIUS

和部署的最佳實踐的兩種模式安全郵件服務(wù)核查表安全服務(wù)核查表無線

”“FTP”“”“Web”“

局域網(wǎng)安全核查表見附錄附錄年版的附錄附錄

”(A、B,2010A~F)。

本文件修改采用信息安全安全技術(shù)網(wǎng)絡(luò)安全第部分參考網(wǎng)絡(luò)

ISO/IEC27033-3:2010《3:

場景威脅設(shè)計技術(shù)和控制

—、》。

本文件與相比做了下述結(jié)構(gòu)調(diào)整

ISO/IEC27033-3:2010:

將附錄調(diào)整為附錄附錄調(diào)整為附錄

———AB,BA。

本文件與的技術(shù)差異及其原因如下

ISO/IEC27033-3:2010:

用規(guī)范性引用的代替見第章第章代替

———GB/T29246ISO/IEC27000(3、6),GB/T25068.1

見第章以適應我國的技術(shù)條件

ISO/IEC27033-1(3),;

將面向聯(lián)邦國家或歐盟等政府組織的網(wǎng)絡(luò)分段指導改為適合我國的跨國組織的網(wǎng)絡(luò)分段指

———

導并以注的形式出現(xiàn)見

,“”(11.1)。

本文件做了下列編輯性改動

:

將一些適用于國際標準的表述改為適用于我國標準的表述

———;

增加了表中的腳注

———1;

將國際標準附錄中面向博客的使用要求擴展為面向所有社交平臺的使用要求

———A;

將國際標準附錄中中的懸置段調(diào)整為附錄中帶序號的等內(nèi)容

———AA.4.3BB.4.3.1;

刪除了國際標準附錄中的定義

———AA.6;

增加了參考文獻

———“”。

Ⅲ

GB/T250683—2022

.

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機構(gòu)不承擔識別專利的責任

。。

本文件由全國信息安全標準化技術(shù)委員會提出并歸口

(SAC/TC260)。

本文件起草單位黑龍江省網(wǎng)絡(luò)空間研究中心中國電子技術(shù)標準化研究院安天科技集團股份有

:、、

限公司黑龍江安信與誠科技開發(fā)有限公司上海工業(yè)控制安全創(chuàng)新科技有限公司哈爾濱理工大學

、、、、

哈爾濱工業(yè)大學

。

本文件主要起草人曲家興方舟于海寧谷俊濤肖鴻江李琳琳宋雪李銳楊霄璇白瑞馬遙

:、、、、、、、、、、、

王大萌呼大永樹彬吳瓊上官曉麗蔡一鳴杜宇芳趙超吳佳興曹威魯子元馬超孟慶川

、、、、、、、、、、、、、

單建中韓建雍劉明鴿黃海方偉童松華劉穎孫騰倪華

、、、、、、、、。

本文件及其所代替文件的歷次版本發(fā)布情況為

:

年首次發(fā)布為

———2010GB/T25068.4—2010;

本次為第一次修訂調(diào)整為

———,GB/T25068.3—2022。

Ⅳ

GB/T250683—2022

.

引言

的目的是為信息系統(tǒng)網(wǎng)絡(luò)的管理運行使用及互聯(lián)互通提供安全方面的詳細指

GB/T25068、、

導方便組織內(nèi)負責信息安全特別是網(wǎng)絡(luò)安全的人員采納本文件以滿足其特定需求擬由六個部分

,。

構(gòu)成

。

第部分綜述和概念目的是提出網(wǎng)絡(luò)安全相關(guān)的概念并提供管理指導

———1:。。

第部分網(wǎng)絡(luò)安全設(shè)計和實現(xiàn)指南目的是為組織如何規(guī)劃設(shè)計實現(xiàn)高質(zhì)量的網(wǎng)絡(luò)安全

———2:。、、

體系確保網(wǎng)絡(luò)安全適合相應的業(yè)務(wù)環(huán)境提供指導

,。

第部分面向網(wǎng)絡(luò)接入場景的威脅設(shè)計技術(shù)和控制目的是列舉與典型的網(wǎng)絡(luò)接入場景相

———3:、。

關(guān)的具體風險設(shè)計技術(shù)和控制適用于所有參與網(wǎng)絡(luò)安全架構(gòu)方面規(guī)劃設(shè)計和實施的人員

、,、。

第部分使用安全網(wǎng)關(guān)的網(wǎng)間通信安全保護目的是確保使用安全網(wǎng)關(guān)的網(wǎng)間通信安全

———4:。。

第部分使用虛擬專用網(wǎng)的跨網(wǎng)通信安全保護目的是定義使用虛擬專用網(wǎng)絡(luò)建立安全連

———5:。

接的具體風險設(shè)計技術(shù)和控制要素

、。

第部分無線網(wǎng)絡(luò)訪問安全目的是為選擇實施和監(jiān)測使用無線網(wǎng)絡(luò)提供安全通信所必需

———6:。、

的技術(shù)控制提供指南并用于第部分中涉及使用無線網(wǎng)絡(luò)的技術(shù)安全架構(gòu)或設(shè)計選項的審

,2

查與選擇

。

是在信息技術(shù)安全技術(shù)信息安全控制實踐指南的基礎(chǔ)上進一步

GB/T25068GB/T22081《》,

對網(wǎng)絡(luò)安全控制提供了詳細的實施指導僅強調(diào)業(yè)務(wù)類型等因素影響網(wǎng)絡(luò)安全的重要性

。GB/T25068

而不做具體說明

。

本文件凡涉及采用密碼技術(shù)解決保密性完整性真實性抗抵賴性需求的遵循密碼相關(guān)國家標準

、、、,

和行業(yè)標準

。

Ⅴ

GB/T250683—2022

.

信息技術(shù)安全技術(shù)網(wǎng)絡(luò)安全

第3部分面向網(wǎng)絡(luò)接入場景的

:

威脅設(shè)計技術(shù)和控制

、

1范圍

本文件描述了與網(wǎng)絡(luò)接入場景相關(guān)的威脅設(shè)計技術(shù)和控制問題為每一個網(wǎng)絡(luò)接入場景提供了能

、,

夠降低相關(guān)風險的安全威脅安全設(shè)計技術(shù)以及控制三個要素的詳細指南

、。

本文件適用于按照來評審技術(shù)性安全體系的結(jié)構(gòu)和設(shè)計