GB/T 25068.3-2010信息技術(shù)安全技術(shù)IT網(wǎng)絡(luò)安全第3部分：使用安全網(wǎng)關(guān)的網(wǎng)間通信安全保護(hù)

ICS35020

L80.

中華人民共和國國家標(biāo)準(zhǔn)

GB/T250683—2010/ISO/IEC18028-32005

.:

信息技術(shù)安全技術(shù)IT網(wǎng)絡(luò)安全

第3部分使用安全網(wǎng)關(guān)的

:

網(wǎng)間通信安全保護(hù)

Informationtechnology—Securitytechniques—ITnetworksecurity—

Part3Securincommunicationsbetween

:g

networksusingsecuritygateways

(ISO/IEC18028-3:2005,IDT)

2010-09-02發(fā)布2011-02-01實(shí)施

中華人民共和國國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布

中國國家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T250683—2010/ISO/IEC18028-32005

.:

目次

前言…………………………

Ⅲ

引言…………………………

Ⅳ

范圍………………………

11

規(guī)范性引用文件…………………………

21

術(shù)語和定義………………

31

縮略語……………………

43

安全要求…………………

54

安全網(wǎng)關(guān)技術(shù)……………

64

包過濾…………………

6.14

狀態(tài)包檢測(cè)……………

6.25

應(yīng)用代理………………

6.35

網(wǎng)絡(luò)地址轉(zhuǎn)換…………………

6.4(NAT)5

內(nèi)容分析和過濾………………………

6.55

安全網(wǎng)關(guān)組件……………

76

交換機(jī)…………………

7.16

路由器…………………

7.26

應(yīng)用級(jí)網(wǎng)關(guān)……………

7.36

安全裝置………………

7.47

安全網(wǎng)關(guān)體系結(jié)構(gòu)………………………

87

結(jié)構(gòu)化方法……………

8.17

層次化方法……………

8.210

選擇和配置指南…………………………

913

安全網(wǎng)關(guān)體系結(jié)構(gòu)和適當(dāng)組件的選擇………………

9.113

硬件和軟件平臺(tái)………………………

9.214

配置……………………

9.314

安全特點(diǎn)和設(shè)置………………………

9.414

常規(guī)管理………………

9.515

日志……………………

9.615

文檔化…………………

9.715

審計(jì)……………………

9.816

培訓(xùn)和教育……………

9.916

其他…………………

9.1016

參考文獻(xiàn)……………………

17

Ⅰ

GB/T250683—2010/ISO/IEC18028-32005

.:

前言

在信息技術(shù)安全技術(shù)網(wǎng)絡(luò)安全總標(biāo)題下擬由以下個(gè)部分組成

GB/T25068《IT》,5:

第部分網(wǎng)絡(luò)安全管理

———1:;

第部分網(wǎng)絡(luò)安全體系結(jié)構(gòu)

———2:;

第部分使用安全網(wǎng)關(guān)的網(wǎng)間通信安全保護(hù)

———3:;

第部分遠(yuǎn)程接入的安全保護(hù)

———4:;

第部分使用虛擬專用網(wǎng)的跨網(wǎng)通信安全保護(hù)

———5:。

本部分為的第部分

GB/T250683。

本部分使用翻譯法等同采用國際標(biāo)準(zhǔn)信息技術(shù)安全技術(shù)網(wǎng)絡(luò)安全

ISO/IEC18028-3:2005《IT

第部分使用安全網(wǎng)關(guān)的網(wǎng)間通信安全保護(hù)英文版根據(jù)的規(guī)定做了如下一

3:》()。GB/T1.1—2000,

些編輯性修改

:

第章中增加了引用文件

———2“ISO/IECTR15947”;

在中對(duì)內(nèi)容過濾加以說明并在中補(bǔ)充了內(nèi)容過濾的內(nèi)容關(guān)鍵字過濾為今后技

———3.6“”,6.5“”,

術(shù)發(fā)展預(yù)留了空間

;

刪除了第章中縮略語英文名稱中的以與中

———4S/MIME“protocol”,GB/T25068.4—2010

定義的同一術(shù)語統(tǒng)一另外增加了一些縮略語增加的縮略語在所在頁邊的

2.34S/MIME。,,

空白處用單豎線標(biāo)出

“|”。

本部分由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(TC260)。

本部分起草單位黑龍江省電子信息產(chǎn)品監(jiān)督檢驗(yàn)院中國電子技術(shù)標(biāo)準(zhǔn)化研究所哈爾濱工程大

:、、

學(xué)北京勵(lì)方華業(yè)技術(shù)有限公司山東省標(biāo)準(zhǔn)化研究院

、、。

本部分主要起草人王希忠張國印李健利王向輝黃俊強(qiáng)馬遙方舟王大萌樹彬張清江

:、、、、、、、、、、

王智許玉娜劉亞東邱意民王運(yùn)福

、、、、。

Ⅲ

GB/T250683—2010/ISO/IEC18028-32005

.:

引言

通信和信息技術(shù)業(yè)界一直在尋找經(jīng)濟(jì)有效的全面安全解決方案安全的網(wǎng)絡(luò)應(yīng)受到保護(hù)免遭惡

。,

意和無意的攻擊并且應(yīng)滿足業(yè)務(wù)對(duì)信息和服務(wù)的保密性完整性可用性抗抵賴可核查性真實(shí)性和

,、、、、、

可靠性的要求保護(hù)網(wǎng)絡(luò)安全對(duì)于適當(dāng)維護(hù)計(jì)費(fèi)或使用信息的準(zhǔn)確性也是必要的產(chǎn)品的安全保護(hù)能

。。

力對(duì)于全網(wǎng)的安全包括應(yīng)用和服務(wù)是至關(guān)重要的然而當(dāng)更多的產(chǎn)品被組合起來以提供整體解決

()。,

方案時(shí)互操作性的優(yōu)劣將決定這種解決方案的成功與否安全不僅是對(duì)每種產(chǎn)品或服務(wù)的關(guān)注還必

,。,

須以促進(jìn)全面的端到端安全解決方案中各種安全能力交合的方式來開發(fā)因此的目的

。,GB/T25068

是為網(wǎng)絡(luò)的管理操作和使用及其互連等安全方面提供詳細(xì)指南組織中負(fù)責(zé)一般安全和特定

IT、。IT

網(wǎng)絡(luò)安全的人員應(yīng)能夠調(diào)整中的材料以滿足他們的特定要求的主要目

ITGB/T25068。GB/T25068

標(biāo)如下

:

定義和描述網(wǎng)絡(luò)安全的相關(guān)概念并提供網(wǎng)絡(luò)安全管理指南包括考慮如

———GB/T25068.1,———

何識(shí)別和分析與通信相關(guān)的因素以確立網(wǎng)絡(luò)安全要求還介紹可能的控制領(lǐng)域和特定的技術(shù)

,

領(lǐng)域在的后續(xù)部分中涉及

(GB/T25068);

定義一個(gè)標(biāo)準(zhǔn)的安全體系結(jié)構(gòu)它描述一個(gè)支持規(guī)劃設(shè)計(jì)和實(shí)施網(wǎng)絡(luò)安全的

———GB/T25068.2,、

一致框架

;

定義使用安全網(wǎng)關(guān)保護(hù)網(wǎng)絡(luò)間信息流安全的技術(shù)

———GB/T25068.3;

定義保護(hù)遠(yuǎn)程接入安全的技術(shù)

———GB/T25068.4;

定義對(duì)使用虛擬專用網(wǎng)建立的網(wǎng)絡(luò)間連接進(jìn)行安全保護(hù)的技術(shù)

———GB/T25068.5(VPN)。

與涉及擁有操作或使用網(wǎng)絡(luò)的所有人員相關(guān)除了對(duì)信息安全和或網(wǎng)絡(luò)安

GB/T25068.1、。(IS)/

全及網(wǎng)絡(luò)操作負(fù)有特定責(zé)任的或?qū)M織的全面安全規(guī)劃和安全策略開發(fā)負(fù)有責(zé)任的管理者和管理員

,

外還包括高級(jí)管理者和其他非技術(shù)性管理者或用戶

,。

與涉及規(guī)劃設(shè)計(jì)和實(shí)施網(wǎng)絡(luò)安全體系結(jié)構(gòu)方面的所有人員例如網(wǎng)絡(luò)管理者

GB/T25068.2、(IT、

管理員工程師和網(wǎng)絡(luò)安全主管相關(guān)

、IT)。

與涉及詳細(xì)規(guī)劃設(shè)計(jì)和實(shí)施安全網(wǎng)關(guān)的所有人員例如網(wǎng)絡(luò)管理者管理員

GB/T25068.3、(IT、、

工程師和網(wǎng)絡(luò)安全主管相關(guān)

IT)。

與涉及詳細(xì)規(guī)劃設(shè)計(jì)和實(shí)施遠(yuǎn)程接入安全的所有人員例如網(wǎng)絡(luò)管理者管理

GB/T25068.4、(IT、

員工程師和網(wǎng)絡(luò)安全主管相關(guān)

、IT)。

與涉及詳細(xì)規(guī)劃設(shè)計(jì)和實(shí)施安全的所有人員例如網(wǎng)絡(luò)管理者管理員

GB/T25068.5、VPN(IT、、

工程師和網(wǎng)絡(luò)安全主管相關(guān)

IT)。

Ⅳ

GB/T250683—2010/ISO/IEC18028-32005

.:

信息技術(shù)安全技術(shù)IT網(wǎng)絡(luò)安全

第3部分使用安全網(wǎng)關(guān)的

:

網(wǎng)間通信安全保護(hù)

1范圍

的本部分規(guī)定了各種安全網(wǎng)關(guān)技術(shù)組件和各種類型的安全網(wǎng)關(guān)體系結(jié)構(gòu)它還提

GB/T25068、。

供安全網(wǎng)關(guān)的選擇和配置指南

。

盡管個(gè)人防火墻使用類似的技術(shù)但因?yàn)樗蛔鳛榘踩W(wǎng)關(guān)使用所以它不在本部分的范圍之內(nèi)

,,。

本部分適用于技術(shù)和管理人員例如管理者系統(tǒng)管理員網(wǎng)絡(luò)管理員和安全人員本部分

,IT、、IT。

提供的指南有助于用戶正確地選擇最能滿足其安全要求的安全網(wǎng)關(guān)體系結(jié)構(gòu)類型

。

2規(guī)范性引用文件

下列文件中的條款通過的本部分的引用而成為本部分的條款凡是注日期的引用文

GB/T25068。

件其隨后所有的修改單不包括勘誤的內(nèi)容或修訂版均不適用于本部分然而鼓勵(lì)根據(jù)本部分達(dá)成

,(),,

協(xié)議的各方研究是否可使用這些文件的最新版本凡是不注日期的引用文件其最新版本適用于本

。