GB/T 25068.4-2010信息技術(shù)安全技術(shù)IT網(wǎng)絡(luò)安全第4部分：遠(yuǎn)程接入的安全保護(hù)

ICS35020

L80.

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T250684—2010/ISO/IEC18028-42005

.:

信息技術(shù)安全技術(shù)IT網(wǎng)絡(luò)安全

第4部分遠(yuǎn)程接入的安全保護(hù)

:

Informationtechnology—Securitytechniques—ITnetworksecurity—

Part4Securinremoteaccess

:g

(ISO/IEC18028-4:2005,IDT)

2010-09-02發(fā)布2011-02-01實(shí)施

中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布

中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T250684—2010/ISO/IEC18028-42005

.:

目次

前言…………………………

Ⅲ

引言…………………………

Ⅳ

范圍………………………

11

術(shù)語(yǔ)和定義………………

21

目的………………………

35

綜述………………………

45

安全要求…………………

56

遠(yuǎn)程訪(fǎng)問(wèn)連接類(lèi)型………………………

66

遠(yuǎn)程訪(fǎng)問(wèn)連接技術(shù)………………………

77

概述……………………

7.17

通信服務(wù)器的訪(fǎng)問(wèn)……………………

7.27

局域網(wǎng)資源的訪(fǎng)問(wèn)……………………

7.310

用于維護(hù)的訪(fǎng)問(wèn)………………………

7.411

選擇和配置指南…………………………

812

概述……………………

8.112

客戶(hù)端的保護(hù)…………………

8.2RAS12

服務(wù)器的保護(hù)…………………

8.3RAS12

連接的保護(hù)……………

8.413

無(wú)線(xiàn)安全………………

8.514

組織措施………………

8.615

法律考量………………

8.716

結(jié)論………………………

916

附錄資料性附錄遠(yuǎn)程接入安全策略示例…………

A()17

目的…………………

A.117

范圍…………………

A.217

策略…………………

A.317

強(qiáng)制執(zhí)行……………

A.418

術(shù)語(yǔ)和定義…………………………

A.518

附錄資料性附錄實(shí)施和部署的最佳實(shí)踐………………

B()RADIUS20

概述…………………

B.120

實(shí)施的最佳實(shí)踐……………………

B.220

部署的最佳實(shí)踐……………………

B.321

附錄資料性附錄的兩種模式…………………

C()FTP22

模式……………………

C.1PORTFTP22

模式……………………

C.2PASVFTP22

附錄資料性附錄安全郵件服務(wù)核查表……………

D()23

郵件服務(wù)器操作系統(tǒng)核查表………………………

D.123

郵件服務(wù)器與郵件內(nèi)容安全核查表………………

D.224

Ⅰ

GB/T250684—2010/ISO/IEC18028-42005

.:

網(wǎng)絡(luò)基礎(chǔ)設(shè)施核查表………………

D.325

郵件客戶(hù)端安全核查表……………

D.426

郵件服務(wù)器的安全管理核查表……………………

D.526

附錄資料性附錄安全服務(wù)核查表…………

E()Web28

服務(wù)器操作系統(tǒng)核查表………………………

E.1Web28

安全服務(wù)器安裝與配置核查表………………

E.2Web29

內(nèi)容核查表……………………

E.3Web30

鑒別和加密核查表……………

E.4Web31

網(wǎng)絡(luò)基礎(chǔ)設(shè)施核查表………………

E.532

安全服務(wù)器管理核查表………………………

E.6Web33

附錄資料性附錄無(wú)線(xiàn)局域網(wǎng)安全核查表…………

F()35

參考文獻(xiàn)……………………

37

Ⅱ

GB/T250684—2010/ISO/IEC18028-42005

.:

前言

在信息技術(shù)安全技術(shù)網(wǎng)絡(luò)安全總標(biāo)題下擬由以下個(gè)部分組成

GB/T25068《IT》,5:

第部分網(wǎng)絡(luò)安全管理

———1:;

第部分網(wǎng)絡(luò)安全體系結(jié)構(gòu)

———2:;

第部分使用安全網(wǎng)關(guān)的網(wǎng)間通信安全保護(hù)

———3:;

第部分遠(yuǎn)程接入的安全保護(hù)

———4:;

第部分使用虛擬專(zhuān)用網(wǎng)的跨網(wǎng)通信安全保護(hù)

———5:。

本部分為的第部分

GB/T250684。

本部分使用翻譯法等同采用國(guó)際標(biāo)準(zhǔn)信息技術(shù)安全技術(shù)網(wǎng)絡(luò)安

ISO/IEC18028-4:2005《IT

全第部分遠(yuǎn)程接入的安全保護(hù)英文版該國(guó)際標(biāo)準(zhǔn)中缺少規(guī)范性引用文件的章條為保持

4:》()?！啊?

與該國(guó)際標(biāo)準(zhǔn)編排方式的一致本部分未添加相應(yīng)的章條

,。

本部分更正了部分術(shù)語(yǔ)條款中全稱(chēng)中的更正為條款

(2.10DHCP“Control”“Configuration”;

中全稱(chēng)中的更正為條款中全稱(chēng)中的

2.28RADIUS“Access”“Authentication”;2.43TKIP

更正為條款中全稱(chēng)中的更正為

“implementation”“integrity”;7.2.2S/MIME“exchange”“exten-

sions”)。

本部分更正了部分錯(cuò)誤附錄中誤表示為行為的刪除或關(guān)閉不必要的服務(wù)和應(yīng)用和配

(E.1“”“”“

置操作系統(tǒng)用戶(hù)鑒別更正為標(biāo)題表示形式附錄中的更正為

”“”;E.3“SSI”“SSL”)。

中竊聽(tīng)威脅只能用加密與之對(duì)抗中的只能過(guò)于絕對(duì)修改為大多為今后技術(shù)發(fā)展預(yù)

8.4.3“”“”,“”,

留了空間

。

中增加了使用國(guó)家加密標(biāo)準(zhǔn)的規(guī)定

8.7。

本部分的附錄附錄附錄附錄附錄附錄為資料性附錄

A、B、C、D、E、F。

本部分由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(TC260)。

本部分起草單位黑龍江省電子信息產(chǎn)品監(jiān)督檢驗(yàn)院中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究所哈爾濱工程大

:、、

學(xué)北京勵(lì)方華業(yè)技術(shù)有限公司山東省標(biāo)準(zhǔn)化研究院

、、。

本部分主要起草人王希忠黃庶劉亞?wèn)|黃俊強(qiáng)馬遙方舟王大萌樹(shù)彬張清江王智許玉娜

:、、、、、、、、、、、

張國(guó)印李健利馮亞娜曲家興邱益民王運(yùn)福

、、、、、。

Ⅲ

GB/T250684—2010/ISO/IEC18028-42005

.:

引言

在信息技術(shù)領(lǐng)域在組織內(nèi)部和組織之間使用網(wǎng)絡(luò)的需求日益增加因此安全使用網(wǎng)絡(luò)的要求必

,。,

須得到滿(mǎn)足

。

在遠(yuǎn)程接入網(wǎng)絡(luò)領(lǐng)域要求特定措施時(shí)安全宜得到適當(dāng)安排的本部分為遠(yuǎn)程接

,IT。GB/T25068

入網(wǎng)絡(luò)或使用電子郵件文件傳輸或只是遠(yuǎn)程工作提供指南

(、,)。

Ⅳ

GB/T250684—2010/ISO/IEC18028-42005

.:

信息技術(shù)安全技術(shù)IT網(wǎng)絡(luò)安全

第4部分遠(yuǎn)程接入的安全保護(hù)

:

1范圍

的本部分規(guī)定了安全使用遠(yuǎn)程接入使用公共網(wǎng)絡(luò)將一臺(tái)計(jì)算機(jī)遠(yuǎn)程連接到另一臺(tái)

GB/T25068(

計(jì)算機(jī)或某個(gè)網(wǎng)絡(luò)的方法及其安全含義的安全指南本部分介紹不同類(lèi)型的遠(yuǎn)程接入以及使用

IT)。

的協(xié)議討論與遠(yuǎn)程接入相關(guān)的鑒別問(wèn)題并提供安全建立遠(yuǎn)程接入時(shí)的支持

,,。

本部分適用于那些計(jì)劃使用這種連接或者已經(jīng)使用這種連接并且需要其安全建立及安全操作方式

建議的網(wǎng)絡(luò)管理員和技術(shù)員

。

2術(shù)語(yǔ)和定義

下列術(shù)語(yǔ)和定義適用于本部分

。

21

.

接入點(diǎn)AccessPointAP

;

提供從無(wú)線(xiàn)網(wǎng)絡(luò)接入到地面網(wǎng)絡(luò)的系統(tǒng)

。

22

.

高級(jí)加密標(biāo)準(zhǔn)AdvancedEncryptionStandardAES

;

一種對(duì)稱(chēng)加密機(jī)制

。

注提供可變的密鑰長(zhǎng)度并允許按美國(guó)聯(lián)邦信息處理標(biāo)準(zhǔn)的規(guī)范有效實(shí)現(xiàn)

:AES(FIPS)197。

23

.

鑒別authentication

確信實(shí)體是其所聲稱(chēng)身份的措施在用戶(hù)鑒別的情