GB/T 25068.4-2022信息技術(shù)安全技術(shù)網(wǎng)絡(luò)安全第4部分：使用安全網(wǎng)關(guān)的網(wǎng)間通信安全保護(hù)

ICS35030

CCSL.80

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T250684—2022/ISO/IEC27033-42014

.:

代替GB/T250683—2010

.

信息技術(shù)安全技術(shù)網(wǎng)絡(luò)安全

第4部分使用安全網(wǎng)關(guān)的網(wǎng)間

:

通信安全保護(hù)

Informationtechnology—Securitytechniques—Networksecurity—

Part4Securincommunicationsbetweennetworksusinsecuritatewas

:ggygy

ISO/IEC27033-42014IDT

(:,)

2022-10-12發(fā)布2023-05-01實(shí)施

國(guó)家市場(chǎng)監(jiān)督管理總局發(fā)布

國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T250684—2022/ISO/IEC27033-42014

.:

目次

前言

…………………………Ⅰ

引言

…………………………Ⅲ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語(yǔ)和定義

3………………1

縮略語(yǔ)

4……………………2

文檔結(jié)構(gòu)

5…………………3

概述

6………………………3

安全威脅

7…………………5

安全需求

8…………………5

安全控制

9…………………6

通則

9.1…………………6

無(wú)狀態(tài)包過(guò)濾

9.2………………………7

狀態(tài)包檢測(cè)

9.3…………………………7

應(yīng)用防火墻

9.4…………………………7

內(nèi)容過(guò)濾

9.5……………8

入侵防御系統(tǒng)和入侵檢測(cè)系統(tǒng)

9.6……………………9

安全管理

9.7API………………………9

設(shè)計(jì)技術(shù)

10…………………9

安全網(wǎng)關(guān)組件

10.1………………………9

部署安全網(wǎng)關(guān)控件

10.2………………10

產(chǎn)品選擇指南

11…………………………13

通則

11.1………………13

選擇安全網(wǎng)關(guān)結(jié)構(gòu)和適當(dāng)組件

11.2…………………13

硬件和軟件平臺(tái)

11.3…………………13

配置

11.4………………13

安全功能設(shè)置

11.5……………………14

管理能力

11.6…………………………15

日志記錄功能

11.7……………………15

審計(jì)功能

11.8…………………………15

培訓(xùn)和教育

11.9………………………15

實(shí)現(xiàn)類型

11.10…………………………15

高可用性和運(yùn)行模式

11.11……………16

其他注意事項(xiàng)

11.12……………………16

參考文獻(xiàn)

……………………17

GB/T250684—2022/ISO/IEC27033-42014

.:

前言

本文件按照標(biāo)準(zhǔn)化工作導(dǎo)則第部分標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則的規(guī)定

GB/T1.1—2020《1:》

起草

。

本文件是信息技術(shù)安全技術(shù)網(wǎng)絡(luò)安全的第部分已發(fā)布了以

GB/T25068《》4。GB/T25068

下部分

:

第部分綜述和概念

———1:;

第部分網(wǎng)絡(luò)安全設(shè)計(jì)和實(shí)現(xiàn)指南

———2:;

第部分面向網(wǎng)絡(luò)接入場(chǎng)景的威脅設(shè)計(jì)技術(shù)和控制

———3:、;

第部分使用安全網(wǎng)關(guān)的網(wǎng)間通信安全保護(hù)

———4:;

第部分使用虛擬專用網(wǎng)的跨網(wǎng)通信安全保護(hù)

———5:。

本文件代替信息技術(shù)安全技術(shù)網(wǎng)絡(luò)安全第部分使用安全網(wǎng)關(guān)

GB/T25068.3—2010《IT3:

的網(wǎng)間通信安全保護(hù)與相比除結(jié)構(gòu)調(diào)整和編輯性改動(dòng)外主要技術(shù)變化

》。GB/T25068.3—2010,,

如下

:

更改了陳述范圍時(shí)所使用的推薦條款和表述方式見(jiàn)第章年版的第章

a)“”(1,20101);

更改了術(shù)語(yǔ)和定義的內(nèi)容見(jiàn)第章年版的第章

b)“”(3,20103);

刪除了等縮略語(yǔ)增加了等縮略語(yǔ)

c)“IT”“IDP”“V.35”,“ACL”“ASIC”“CPU”“DDoS”“URL”

見(jiàn)第章年版的第章

(4,20104);

增加了文檔結(jié)構(gòu)概述安全威脅三章見(jiàn)第章第章

d)“”“”“”(5~7);

將安全要求更改為安全需求增加了表并將年版的有關(guān)內(nèi)容更改后納入見(jiàn)第

e)“”“”,“1”,2010(

章年版的第章

8,20105);

將安全網(wǎng)關(guān)技術(shù)更改為安全控制見(jiàn)第章年版的第章增加了要素通則見(jiàn)

f)“”“”(9,20106),“”(

入侵防御系統(tǒng)和入侵檢測(cè)系統(tǒng)見(jiàn)安全管理見(jiàn)刪除了要素網(wǎng)絡(luò)地

9.1)、“”(9.6)、“API”(9.7),“

址轉(zhuǎn)換見(jiàn)年版的

(NAT)”(20106.4);

刪除了狀態(tài)包檢測(cè)防火墻與應(yīng)用代理防火墻的優(yōu)缺點(diǎn)比較并將年版的有關(guān)內(nèi)容更

g)“”“”,2010

改后納入見(jiàn)年版的

(9.3,20106.2);

將應(yīng)用代理更改為應(yīng)用防火墻并將年版的有關(guān)內(nèi)容更改后納入見(jiàn)年版

h)“”“”,2010(9.4,2010

的

6.3);

將內(nèi)容分析和過(guò)濾更改為內(nèi)容過(guò)濾增加了內(nèi)容分析列項(xiàng)協(xié)議分析并將年版

i)“”“”,“”“”,2010

的有關(guān)內(nèi)容更改后納入見(jiàn)年版的

(9.5,20106.5);

將安全網(wǎng)關(guān)組件與安全網(wǎng)關(guān)體系結(jié)構(gòu)兩章合并為設(shè)計(jì)技術(shù)一章刪除了懸空段引導(dǎo)

j)“”“”“”,

詞重新繪制了示意圖見(jiàn)圖圖年版的圖圖并將年版的有關(guān)內(nèi)容更改

,(3~6,20101~4),2010

后納入見(jiàn)第章年版的第章第章

(10,20107、8);

增加了可能存在負(fù)載均衡交換機(jī)的使用規(guī)則見(jiàn)年版的

k)“”(10.1.1,20107.1);

將應(yīng)用級(jí)網(wǎng)關(guān)更改為應(yīng)用層網(wǎng)關(guān)增加了網(wǎng)關(guān)的使用規(guī)則并將年版的有關(guān)

l)“”“”,“SIP”,2010

內(nèi)容更改后納入見(jiàn)年版的

(10.1.3,20107.3);

增加了監(jiān)控功能的使用規(guī)則見(jiàn)

m)“”(10.1.5);

將安全網(wǎng)關(guān)體系結(jié)構(gòu)更改為部署安全網(wǎng)關(guān)控件刪除了懸置段見(jiàn)年版的

n)“”“”,(10.2,2010

8.1);

刪除了要素層次化方法見(jiàn)年版的

o)“”(20108.2);

Ⅰ

GB/T250684—2022/ISO/IEC27033-42014

.:

刪除了關(guān)于屏蔽主機(jī)體系結(jié)構(gòu)優(yōu)缺點(diǎn)的表述段落見(jiàn)年版的

p)“”(20108.1.3);

增加了包過(guò)濾防火墻的使用規(guī)則見(jiàn)

q)“”(10.2.1);

增加了要素通則見(jiàn)

r)“”(11.1);

將安全特點(diǎn)和設(shè)置更改為安全功能設(shè)置增加了支持對(duì)打包的企業(yè)或其他業(yè)務(wù)應(yīng)用程序

s)“”“”,“

的代理服務(wù)和支持識(shí)別協(xié)議流中運(yùn)行的應(yīng)用如辦公效率應(yīng)用嵌入式視頻即時(shí)消息等

”“(、、)”

的推薦條款并將年版的有關(guān)內(nèi)容更改后納入見(jiàn)年版的

,2010(11.5,20109.4);

增加規(guī)定了細(xì)粒度的訪問(wèn)權(quán)限見(jiàn)年版的

t)“”(11.6,20109.6);

刪除了要素文檔化見(jiàn)年版的

u)“”(20109.7);

增加了要素實(shí)現(xiàn)類型和要素高可用性和運(yùn)行模式見(jiàn)

v)“”“”(11.10、11.11)。

本文件等同采用信息技術(shù)安全技術(shù)網(wǎng)絡(luò)安全第部分使用安全

ISO/IEC27033-4:2014《4:

網(wǎng)關(guān)的網(wǎng)間通信安全保護(hù)

》。

本文件做了下列最小限度的編輯性改動(dòng)

:

用資料性引用的替換了見(jiàn)

———GB/T20985.2—2020ISO/IEC27035(9.1);

用資料性引用的替換了見(jiàn)

———GB/T28454—2020ISO/IEC27039(9.5);

請(qǐng)注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任

。。

本文件由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本文件起草單位黑龍江省網(wǎng)絡(luò)空間研究中心中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院安天科技集團(tuán)股份有

:、、

限公司黑龍江安信與誠(chéng)科技開(kāi)發(fā)有限公司上海工業(yè)控制安全創(chuàng)新科技有限公司哈爾濱理工大學(xué)哈

、、、、

爾濱工業(yè)大學(xué)

。

本文件主要起草人方舟曲家興谷俊濤于海寧肖鴻江李琳琳李銳宋雪楊霄璇白瑞

:、、、、、、、、、、

王大萌上官曉麗甘俊杰杜宇芳呼大永馬遙黃海樹(shù)彬張國(guó)華燕思嘉許言吳瓊姜天一周瑩

、、、、、、、、、、、、、、

曹威方偉童松華趙超祝宇琳石冬青單建中孟慶川倪華

、、、、、、、、。

本文件及其所代替文件的歷次版本發(fā)布情況為

:

年首次發(fā)布為

———2010GB/T25068.3—2010;

本次為第一次修訂編號(hào)調(diào)整為

———,GB/T25068.4—2022。

Ⅱ

GB/T250684—2022/ISO/IEC27033-42014

.:

引言

的目的是為信息系統(tǒng)網(wǎng)絡(luò)的管理運(yùn)行使用及互聯(lián)互通提供安全方面的詳細(xì)指導(dǎo)

GB/T25068、、。

方便組織內(nèi)負(fù)責(zé)信息安全特別是網(wǎng)絡(luò)安全的人員能夠采納本文件以滿足其特定需求擬由六個(gè)部分

。

構(gòu)成

。

第部分綜述和概念目的是定義和描述與網(wǎng)絡(luò)安全相關(guān)的概念并提供管理指導(dǎo)

———1:。。

第部分網(wǎng)絡(luò)安全設(shè)計(jì)和實(shí)現(xiàn)指南目的是為組織如何規(guī)劃設(shè)計(jì)實(shí)現(xiàn)高質(zhì)量的網(wǎng)絡(luò)安全

———2:。、、

體系以確保網(wǎng)絡(luò)安全適合相應(yīng)的業(yè)務(wù)環(huán)境提供指導(dǎo)

,。

第部分面向網(wǎng)絡(luò)接入場(chǎng)景的威脅設(shè)計(jì)技術(shù)和控制目的是列舉與典型的網(wǎng)絡(luò)接入場(chǎng)景相

———3:、。

關(guān)的具體風(fēng)險(xiǎn)設(shè)計(jì)技術(shù)和控制適用于所有參與網(wǎng)絡(luò)安全架構(gòu)方面規(guī)劃設(shè)計(jì)和實(shí)施的人員

、,、。

第部分使用安全網(wǎng)關(guān)的網(wǎng)間通信安全保護(hù)目的是確保使用安全網(wǎng)關(guān)的網(wǎng)間通信安全

———4:。。

它提供了如何識(shí)別和分析與安全網(wǎng)關(guān)相關(guān)的網(wǎng)絡(luò)安全威脅基于威脅分析定義安全網(wǎng)關(guān)的網(wǎng)

、

絡(luò)安全需求介紹了以解決典型網(wǎng)絡(luò)場(chǎng)景相關(guān)的威脅和控制方面的網(wǎng)絡(luò)技術(shù)安全結(jié)構(gòu)設(shè)計(jì)技

、

術(shù)實(shí)現(xiàn)并解決與使用安全網(wǎng)關(guān)實(shí)施操作監(jiān)視和審查網(wǎng)絡(luò)安全控制相關(guān)問(wèn)題的指南本文

,、、。

件適用于所有參與安全網(wǎng)關(guān)詳細(xì)規(guī)劃設(shè)計(jì)和實(shí)施的人員例如網(wǎng)絡(luò)架構(gòu)師和設(shè)計(jì)人員網(wǎng)絡(luò)

、(、

管理員和網(wǎng)絡(luò)安全主管

)。

第部分使用虛擬專用網(wǎng)的跨網(wǎng)通信安全保護(hù)目的是定義使用虛擬專用網(wǎng)絡(luò)建立安全連

———5:。

接的具體風(fēng)險(xiǎn)設(shè)計(jì)技術(shù)和控制要素

、。

第部分無(wú)線網(wǎng)絡(luò)訪問(wèn)安全目的是為選擇實(shí)施和監(jiān)測(cè)使用無(wú)線網(wǎng)絡(luò)提供安全通信所必需

———6:。、

的技術(shù)控制提供指南并用于第部分中涉及使用無(wú)線網(wǎng)絡(luò)的技術(shù)安全架構(gòu)或設(shè)計(jì)選項(xiàng)的審

,2

查與選擇

。

是在信息技術(shù)安全技術(shù)信息安全控制實(shí)踐指南的基礎(chǔ)上進(jìn)一步

GB/T25068GB/T22081《》,

對(duì)網(wǎng)絡(luò)安全控制提供了詳細(xì)的實(shí)施指導(dǎo)僅強(qiáng)調(diào)業(yè)務(wù)類型等因素影響網(wǎng)絡(luò)安全的重要性

。GB/T25068

而不做具體說(shuō)明

。

本文件凡涉及采用密碼技術(shù)解決保密性完整性真實(shí)性抗抵賴性需求的遵循密碼相關(guān)國(guó)家標(biāo)準(zhǔn)

、、、,

和行業(yè)標(biāo)準(zhǔn)

。

Ⅲ

GB/T250684—2022/ISO/IEC27033-42014

.:

信息技術(shù)安全技術(shù)網(wǎng)絡(luò)安全

第4部分使用安全網(wǎng)關(guān)的網(wǎng)間

:

通信安全保護(hù)

1范圍

本文件提供了使用安全網(wǎng)關(guān)防火墻應(yīng)用防火墻入侵防護(hù)系統(tǒng)等的網(wǎng)絡(luò)間通信安全保護(hù)指

(、、)

南這些安全網(wǎng)關(guān)按照文檔化的信息安全策略進(jìn)行通信指南包括

,,:

識(shí)別和分析與安全網(wǎng)關(guān)相關(guān)的網(wǎng)絡(luò)安全威脅

a);

基于威脅分析來(lái)定義安全網(wǎng)關(guān)的網(wǎng)絡(luò)安全需求

b);

使用設(shè)計(jì)和實(shí)現(xiàn)的技術(shù)來(lái)解決與典型的網(wǎng)絡(luò)場(chǎng)景相關(guān)的威脅和控制方面的問(wèn)題

c);

指出實(shí)施操作監(jiān)視和評(píng)審網(wǎng)絡(luò)安全網(wǎng)關(guān)控制措施相關(guān)的問(wèn)題

d)、、。

2規(guī)范性引用文件

下列