GB/T 25068.3-2022信息技術(shù)安全技術(shù)網(wǎng)絡(luò)安全第3部分：面向網(wǎng)絡(luò)接入場(chǎng)景的威脅、設(shè)計(jì)技術(shù)和控制

ICS35030

CCSL.80

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T250683—2022

.

代替GB/T250684—2010

.

信息技術(shù)安全技術(shù)網(wǎng)絡(luò)安全

第3部分面向網(wǎng)絡(luò)接入場(chǎng)景的

:

威脅設(shè)計(jì)技術(shù)和控制

、

Informationtechnology—Securitytechniques—Networksecurity—

Part3Threatsdesintechniuesandcontrolfornetworkaccessscenarios

:,gq

ISO/IEC27033-32010Informationtechnolo—Securittechniues—

(:,gyyq

Networksecurit—Part3Referencenetworkinscenarios—

y:g

ThreatsdesintechniuesandcontrolissuesMOD

,gq,)

2022-10-12發(fā)布2023-05-01實(shí)施

國(guó)家市場(chǎng)監(jiān)督管理總局發(fā)布

國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T250683—2022

.

目次

前言

…………………………Ⅲ

引言

…………………………Ⅴ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語(yǔ)和定義

3………………1

縮略語(yǔ)

4……………………2

文檔結(jié)構(gòu)

5…………………2

概述

6………………………3

員工的互聯(lián)網(wǎng)訪問(wèn)服務(wù)

7…………………5

背景

7.1…………………5

安全威脅

7.2……………5

安全設(shè)計(jì)技術(shù)和控制措施

7.3…………6

企業(yè)對(duì)企業(yè)的服務(wù)

8………………………7

背景

8.1…………………7

安全威脅

8.2……………8

安全設(shè)計(jì)技術(shù)和控制措施

8.3…………8

企業(yè)對(duì)客戶的服務(wù)

9………………………9

背景

9.1…………………9

安全威脅

9.2……………9

安全設(shè)計(jì)技術(shù)和控制措施

9.3…………10

增強(qiáng)協(xié)作服務(wù)

10…………………………11

背景

10.1………………11

安全威脅

10.2…………………………12

安全設(shè)計(jì)技術(shù)和控制措施

10.3………………………12

網(wǎng)絡(luò)分段

11………………13

背景

11.1………………13

安全威脅

11.2…………………………13

安全設(shè)計(jì)技術(shù)和控制措施

11.3………………………14

為居家辦公和小型商務(wù)辦公場(chǎng)所提供網(wǎng)絡(luò)支持

12……………………14

背景

12.1………………14

安全威脅

12.2…………………………14

安全設(shè)計(jì)技術(shù)和控制措施

12.3………………………15

移動(dòng)通信

13………………16

Ⅰ

GB/T250683—2022

.

背景

13.1………………16

安全威脅

13.2…………………………16

安全設(shè)計(jì)技術(shù)和控制措施

13.3………………………17

為流動(dòng)用戶提供網(wǎng)絡(luò)支持

14……………18

背景

14.1………………18

安全威脅

14.2…………………………18

安全設(shè)計(jì)技術(shù)和控制措施

14.3………………………19

外包服務(wù)

15………………19

背景

15.1………………19

安全威脅

15.2…………………………19

安全設(shè)計(jì)技術(shù)和控制措施

15.3………………………20

附錄資料性威脅目錄

A()………………21

附錄資料性互聯(lián)網(wǎng)使用策略示例

B()…………………25

參考文獻(xiàn)

……………………28

表網(wǎng)絡(luò)接入場(chǎng)景資源訪問(wèn)框架

1…………3

表網(wǎng)絡(luò)安全技術(shù)示例

2……………………5

表員工的互聯(lián)網(wǎng)訪問(wèn)服務(wù)場(chǎng)景下的安全控制措施

3……………………6

表企業(yè)對(duì)企業(yè)的服務(wù)場(chǎng)景下的安全控制措施

4…………8

表企業(yè)對(duì)客戶的服務(wù)場(chǎng)景下的安全控制措施

5………10

表增強(qiáng)協(xié)作服務(wù)場(chǎng)景下的安全控制措施

6……………12

表網(wǎng)絡(luò)分段場(chǎng)景下的安全控制措施

7…………………14

表用于居家和小型商務(wù)辦公場(chǎng)所場(chǎng)景的網(wǎng)絡(luò)安全控制

8……………15

表移動(dòng)通信場(chǎng)景下的安全控制措施

9…………………17

表為流動(dòng)用戶提供網(wǎng)絡(luò)支持場(chǎng)景下的安全控制措施

10………………19

表外包服務(wù)場(chǎng)景下的安全控制措施

11…………………20

Ⅱ

GB/T250683—2022

.

前言

本文件按照標(biāo)準(zhǔn)化工作導(dǎo)則第部分標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則的規(guī)定

GB/T1.1—2020《1:》

起草

。

本文件是信息技術(shù)安全技術(shù)網(wǎng)絡(luò)安全的第部分已發(fā)布了以下

GB/T25068《》3。GB/T25068

部分

:

第部分綜述和概念

———1:;

第部分網(wǎng)絡(luò)安全設(shè)計(jì)和實(shí)現(xiàn)指南

———2:;

第部分面向網(wǎng)絡(luò)接入場(chǎng)景的威脅設(shè)計(jì)技術(shù)和控制

———3:、;

第部分使用安全網(wǎng)關(guān)的網(wǎng)間通信安全保護(hù)

———4:;

第部分使用虛擬專用網(wǎng)的跨網(wǎng)通信安全保護(hù)

———5:。

本文件代替信息技術(shù)安全技術(shù)網(wǎng)絡(luò)安全第部分遠(yuǎn)程接入的安

GB/T25068.4—2010《IT4:

全保護(hù)與相比除結(jié)構(gòu)調(diào)整和編輯性改動(dòng)外主要技術(shù)變化如下

》。GB/T25068.4—2010,,:

本文件主要內(nèi)容由遠(yuǎn)程接入的安全保護(hù)改為面向網(wǎng)絡(luò)接入場(chǎng)景的威脅設(shè)計(jì)技術(shù)和控制

———、;

本文件對(duì)原系列標(biāo)準(zhǔn)中的每個(gè)技術(shù)應(yīng)用場(chǎng)景進(jìn)行了重新歸納和修改

———;

刪除了接入點(diǎn)高級(jí)加密標(biāo)準(zhǔn)回叫等術(shù)語(yǔ)和定義增加了惡意軟件不透明性外包

———“”“”“”,“”“”“”

等術(shù)語(yǔ)和定義見(jiàn)第章年版的第章

(3,20103);

增加了員工的互聯(lián)網(wǎng)訪問(wèn)服務(wù)企業(yè)對(duì)企業(yè)的服務(wù)企業(yè)對(duì)客戶的服務(wù)增強(qiáng)協(xié)作服務(wù)

———“”“”“”“”

網(wǎng)絡(luò)分段為居家辦公和小型商務(wù)辦公場(chǎng)所提供網(wǎng)絡(luò)支持等內(nèi)容刪除了遠(yuǎn)程訪問(wèn)連接類

“”“”,“

型遠(yuǎn)程訪問(wèn)連接技術(shù)選擇和配置指南等內(nèi)容見(jiàn)第章第章年版的第

”“”“”(7~15,20106

章第章

~8);

增加了威脅目錄互聯(lián)網(wǎng)使用策略示例刪除了遠(yuǎn)程接入安全策略示例實(shí)施

———“”“”,“”“RADIUS

和部署的最佳實(shí)踐的兩種模式安全郵件服務(wù)核查表安全服務(wù)核查表無(wú)線

”“FTP”“”“Web”“

局域網(wǎng)安全核查表見(jiàn)附錄附錄年版的附錄附錄

”(A、B,2010A~F)。

本文件修改采用信息安全安全技術(shù)網(wǎng)絡(luò)安全第部分參考網(wǎng)絡(luò)

ISO/IEC27033-3:2010《3:

場(chǎng)景威脅設(shè)計(jì)技術(shù)和控制

—、》。

本文件與相比做了下述結(jié)構(gòu)調(diào)整

ISO/IEC27033-3:2010:

將附錄調(diào)整為附錄附錄調(diào)整為附錄

———AB,BA。

本文件與的技術(shù)差異及其原因如下

ISO/IEC27033-3:2010:

用規(guī)范性引用的代替見(jiàn)第章第章代替

———GB/T29246ISO/IEC27000(3、6),GB/T25068.1

見(jiàn)第章以適應(yīng)我國(guó)的技術(shù)條件

ISO/IEC27033-1(3),;

將面向聯(lián)邦國(guó)家或歐盟等政府組織的網(wǎng)絡(luò)分段指導(dǎo)改為適合我國(guó)的跨國(guó)組織的網(wǎng)絡(luò)分段指

———

導(dǎo)并以注的形式出現(xiàn)見(jiàn)

,“”(11.1)。

本文件做了下列編輯性改動(dòng)

:

將一些適用于國(guó)際標(biāo)準(zhǔn)的表述改為適用于我國(guó)標(biāo)準(zhǔn)的表述

———;

增加了表中的腳注

———1;

將國(guó)際標(biāo)準(zhǔn)附錄中面向博客的使用要求擴(kuò)展為面向所有社交平臺(tái)的使用要求

———A;

將國(guó)際標(biāo)準(zhǔn)附錄中中的懸置段調(diào)整為附錄中帶序號(hào)的等內(nèi)容

———AA.4.3BB.4.3.1;

刪除了國(guó)際標(biāo)準(zhǔn)附錄中的定義

———AA.6;

增加了參考文獻(xiàn)

———“”。

Ⅲ

GB/T250683—2022

.

請(qǐng)注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任

。。

本文件由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本文件起草單位黑龍江省網(wǎng)絡(luò)空間研究中心中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院安天科技集團(tuán)股份有

:、、

限公司黑龍江安信與誠(chéng)科技開(kāi)發(fā)有限公司上海工業(yè)控制安全創(chuàng)新科技有限公司哈爾濱理工大學(xué)

、、、、

哈爾濱工業(yè)大學(xué)

。

本文件主要起草人曲家興方舟于海寧谷俊濤肖鴻江李琳琳宋雪李銳楊霄璇白瑞馬遙

:、、、、、、、、、、、

王大萌呼大永樹(shù)彬吳瓊上官曉麗蔡一鳴杜宇芳趙超吳佳興曹威魯子元馬超孟慶川

、、、、、、、、、、、、、

單建中韓建雍劉明鴿黃海方偉童松華劉穎孫騰倪華

、、、、、、、、。

本文件及其所代替文件的歷次版本發(fā)布情況為

:

年首次發(fā)布為

———2010GB/T25068.4—2010;

本次為第一次修訂調(diào)整為

———,GB/T25068.3—2022。

Ⅳ

GB/T250683—2022

.

引言

的目的是為信息系統(tǒng)網(wǎng)絡(luò)的管理運(yùn)行使用及互聯(lián)互通提供安全方面的詳細(xì)指

GB/T25068、、

導(dǎo)方便組織內(nèi)負(fù)責(zé)信息安全特別是網(wǎng)絡(luò)安全的人員采納本文件以滿足其特定需求擬由六個(gè)部分

,。

構(gòu)成

。

第部分綜述和概念目的是提出網(wǎng)絡(luò)安全相關(guān)的概念并提供管理指導(dǎo)

———1:。。

第部分網(wǎng)絡(luò)安全設(shè)計(jì)和實(shí)現(xiàn)指南目的是為組織如何規(guī)劃設(shè)計(jì)實(shí)現(xiàn)高質(zhì)量的網(wǎng)絡(luò)安全

———2:。、、

體系確保網(wǎng)絡(luò)安全適合相應(yīng)的業(yè)務(wù)環(huán)境提供指導(dǎo)

,。

第部分面向網(wǎng)絡(luò)接入場(chǎng)景的威脅設(shè)計(jì)技術(shù)和控制目的是列舉與典型的網(wǎng)絡(luò)接入場(chǎng)景相

———3:、。

關(guān)的具體風(fēng)險(xiǎn)設(shè)計(jì)技術(shù)和控制適用于所有參與網(wǎng)絡(luò)安全架構(gòu)方面規(guī)劃設(shè)計(jì)和實(shí)施的人員

、,、。

第部分使用安全網(wǎng)關(guān)的網(wǎng)間通信安全保護(hù)目的是確保使用安全網(wǎng)關(guān)的網(wǎng)間通信安全

———4:。。

第部分使用虛擬專用網(wǎng)的跨網(wǎng)通信安全保護(hù)目的是定義使用虛擬專用網(wǎng)絡(luò)建立安全連

———5:。

接的具體風(fēng)險(xiǎn)設(shè)計(jì)技術(shù)和控制要素

、。

第部分無(wú)線網(wǎng)絡(luò)訪問(wèn)安全目的是為選擇實(shí)施和監(jiān)測(cè)使用無(wú)線網(wǎng)絡(luò)提供安全通信所必需

———6:。、

的技術(shù)控制提供指南并用于第部分中涉及使用無(wú)線網(wǎng)絡(luò)的技術(shù)安全架構(gòu)或設(shè)計(jì)選項(xiàng)的審

,2

查與選擇

。

是在信息技術(shù)安全技術(shù)信息安全控制實(shí)踐指南的基礎(chǔ)上進(jìn)一步

GB/T25068GB/T22081《》,

對(duì)網(wǎng)絡(luò)安全控制提供了詳細(xì)的實(shí)施指導(dǎo)僅強(qiáng)調(diào)業(yè)務(wù)類型等因素影響網(wǎng)絡(luò)安全的重要性

。GB/T25068

而不做具體說(shuō)明

。

本文件凡涉及采用密碼技術(shù)解決保密性完整性真實(shí)性抗抵賴性需求的遵循密碼相關(guān)國(guó)家標(biāo)準(zhǔn)

、、、,

和行業(yè)標(biāo)準(zhǔn)

。

Ⅴ

GB/T250683—2022

.

信息技術(shù)安全技術(shù)網(wǎng)絡(luò)安全

第3部分面向網(wǎng)絡(luò)接入場(chǎng)景的

:

威脅設(shè)計(jì)技術(shù)和控制

、

1范圍

本文件描述了與網(wǎng)絡(luò)接入場(chǎng)景相關(guān)的威脅設(shè)計(jì)技術(shù)和控制問(wèn)題為每一個(gè)網(wǎng)絡(luò)接入場(chǎng)景提供了能

、,

夠降低相關(guān)風(fēng)險(xiǎn)的安全威脅安全設(shè)計(jì)技術(shù)以及控制三個(gè)要素的詳細(xì)指南

、。

本文件適用于按照來(lái)評(píng)審技術(shù)性安全體系的結(jié)構(gòu)和設(shè)計(jì)