《信息技術(shù) 安全技術(shù) 網(wǎng)絡(luò)安全 第4部分：使用安全網(wǎng)關(guān)的網(wǎng)間通信安全保護(hù)-編制說明》

一、工作簡況

1、總體情況

根據(jù)黑龍江省網(wǎng)絡(luò)空間研究中心的申請，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會于

2019年11月下達(dá)了《信息技術(shù)安全技術(shù)網(wǎng)絡(luò)安全第4部分：使用安全網(wǎng)關(guān)的網(wǎng)

間通信安全保護(hù)》的標(biāo)準(zhǔn)制定任務(wù)。國家標(biāo)準(zhǔn)化管理委員會于2020年第一批國家

標(biāo)準(zhǔn)制修訂計劃下達(dá)了《信息技術(shù)安全技術(shù)網(wǎng)絡(luò)安全第4部分：使用安全網(wǎng)關(guān)

的網(wǎng)間通信安全保護(hù)》國家標(biāo)準(zhǔn)制定計劃（計劃號：20201689-T-469），由黑龍

江省網(wǎng)絡(luò)空間研究中心牽頭承擔(dān)標(biāo)準(zhǔn)制定工作，起草單位包括：中國電子技術(shù)標(biāo)

準(zhǔn)化研究院、哈爾濱安天科技集團(tuán)股份有限公司、黑龍江安信與誠科技開發(fā)有限

公司、上海工業(yè)控制安全創(chuàng)新科技有限公司等。

2、標(biāo)準(zhǔn)制定的主要工作過程如下：

1)2019年9月－2020年1月，跟蹤研究ISO/IEC27033系列國際標(biāo)準(zhǔn)的研制情

況，翻譯了國際標(biāo)準(zhǔn)ISO/IEC27033-4多個版本的中文文本，且多次在專

家、成員單位、管理部門等范圍內(nèi)進(jìn)行討論和征求意見，并根據(jù)這些意

見形成了標(biāo)準(zhǔn)草案；

2)2020年1月—2020年3月，廣泛地收集相關(guān)資料和國內(nèi)網(wǎng)絡(luò)安全、網(wǎng)絡(luò)安

全管理相關(guān)文檔、資料、學(xué)術(shù)文獻(xiàn)和法律法規(guī)，形成本標(biāo)準(zhǔn)第一階段草

稿；

3)2020年4月—2020年5月，對第一階段草稿細(xì)化、校對翻譯稿，重新整理

語序，形成本標(biāo)準(zhǔn)第二階段草稿；

4)2020年5月—2020年6月，標(biāo)準(zhǔn)編制組經(jīng)過多次討論和修訂，對搜集到的

資料分類整理、規(guī)范語言，統(tǒng)一格式，并對翻譯稿進(jìn)行再次細(xì)化校對，

形成標(biāo)準(zhǔn)草案稿。

3、各階段稿件意見的處理情況

1)工作組草案階段，共進(jìn)行了2次專家評審和征集意見工作，共收到反饋意

見4條，其中全部采納3條，部分采納1條，具體參見意見匯總處理表。

二、標(biāo)準(zhǔn)編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問題

1、標(biāo)準(zhǔn)編制的主要原則

1）遵循現(xiàn)行國家標(biāo)準(zhǔn)為基礎(chǔ)，等同采用國際新標(biāo)準(zhǔn)。

本標(biāo)準(zhǔn)編寫格式符合國家標(biāo)準(zhǔn)GB/T1.1-2020的規(guī)定。

2）貫徹國家有關(guān)政策與法規(guī)

本部分凡涉及網(wǎng)絡(luò)安全事件的判定與處置，均按國家有關(guān)法規(guī)實施；

3）認(rèn)真記錄、反復(fù)衡量、綜合分析各方意見，多方征集行業(yè)企業(yè)的意見和

反饋

在《信息技術(shù)安全技術(shù)網(wǎng)絡(luò)安全第4部分：使用安全網(wǎng)關(guān)的網(wǎng)間通信安全

保護(hù)》國家標(biāo)準(zhǔn)修訂過程中，各起草單位齊心協(xié)力，在充分溝通和交流的基礎(chǔ)上，

形成了標(biāo)準(zhǔn)編制組內(nèi)統(tǒng)一的標(biāo)準(zhǔn)文本。之后按照信安標(biāo)委的要求開展廣泛的征求

意見工作，并已根據(jù)征求到的意見對標(biāo)準(zhǔn)文本進(jìn)行修改和完善。

2、本標(biāo)準(zhǔn)的主要內(nèi)容

本部分規(guī)定了網(wǎng)絡(luò)安全概述和相關(guān)定義。定義和描述與網(wǎng)絡(luò)安全相關(guān)的概

念，并提供有關(guān)網(wǎng)絡(luò)安全的管理指南。（本文中網(wǎng)絡(luò)安全不僅適用于通過通信鏈

路傳送的信息安全，還適用于設(shè)備安全，以及與設(shè)備、應(yīng)用/服務(wù)和最終用戶相

關(guān)的管理活動的安全）。

3、本標(biāo)準(zhǔn)在確定主要內(nèi)容時主要基于如下幾個方面：

1)本標(biāo)準(zhǔn)依據(jù)使用安全網(wǎng)關(guān)（防火墻，應(yīng)用防火墻，入侵防護(hù)系統(tǒng)等）的

網(wǎng)絡(luò)間通信安全指南，這些安全網(wǎng)關(guān)按照文檔化的信息安全策略進(jìn)行通

信，包括：

識別和分析與安全網(wǎng)關(guān)相關(guān)的網(wǎng)絡(luò)安全威脅；

a)基于威脅分析定義安全網(wǎng)關(guān)的網(wǎng)絡(luò)安全需求；

b)使用設(shè)計和實施技術(shù)來解決與典型的網(wǎng)絡(luò)場景相關(guān)的威脅和控制

c)問題；

解決與實施，操作，監(jiān)視和審查網(wǎng)絡(luò)安全網(wǎng)關(guān)控制相關(guān)的問題。

d)

2)等同采用國際標(biāo)準(zhǔn)ISO/IEC27033-4:2014《Information

technology—Securitytechniques—Networksecurity—Part4:Securing

communicationsbetweennetworksusingsecuritygateways》，對國家標(biāo)準(zhǔn)

GB/T25068.3-2010《信息技術(shù)安全技術(shù)IT網(wǎng)絡(luò)安全第3部分：使用

安全網(wǎng)關(guān)的網(wǎng)間通信安全保護(hù)》進(jìn)行修訂。

4、本部分代替GB/T25068.3—2010《信息技術(shù)安全技術(shù)IT網(wǎng)絡(luò)安全第3

部分：使用安全網(wǎng)關(guān)的網(wǎng)間通信安全保護(hù)》，主要變化如下：

——本標(biāo)準(zhǔn)的名稱由《信息技術(shù)安全技術(shù)IT網(wǎng)絡(luò)安全第3部分：使

用安全網(wǎng)關(guān)的網(wǎng)間通信安全保護(hù)》更名為《信息技術(shù)安全技術(shù)網(wǎng)

絡(luò)安全第4部分：使用安全網(wǎng)關(guān)的網(wǎng)間通信安全保護(hù)》；

——刪除了對GB/T25068.4—2010、ISO/IECTR15947的引用，增加了

對ISO/IEC27033（所有部分）的引用；

——由原來的9章調(diào)整為現(xiàn)在的10章。對第5～8章標(biāo)題及內(nèi)容進(jìn)行了

重新書寫，增加了第5章“概述”、第6章“安全威脅”、第7章“安全

需求”、第8章“安全控制”、第9章“設(shè)計技術(shù)”、第10章“產(chǎn)品選擇

指南”等章節(jié)，刪除了“安全要求”、“安全網(wǎng)關(guān)技術(shù)”、“安全網(wǎng)關(guān)組件”、

“安全網(wǎng)關(guān)體系結(jié)構(gòu)”、“選擇和配置指南”等章節(jié)；

——刪除了“報警”、“攻擊者”、“審計”、“審計日志”、“非軍事區(qū)”、“過

濾”、“防火墻”、“信息安全事件”、“信息安全事件管理”、“入侵”、“入

侵檢測”、“入侵檢測系統(tǒng)”、“端口（1）”、“端口（2）”、“隱私”、“遠(yuǎn)

程接入”、“路由器”、“安全維”、“安全域”、“安全網(wǎng)關(guān)”、“欺騙”、“交

換機(jī)”、“虛擬專用網(wǎng)”等術(shù)語及定義（第3章，見2010年版3.1至3.12），

增加了“堡壘主機(jī)”、“終端軟件防火墻”、“強化的操作系統(tǒng)”、“互聯(lián)

網(wǎng)網(wǎng)關(guān)”、“包”、“邊界網(wǎng)絡(luò)”、“遠(yuǎn)程辦公室”與“分支辦公室”、“單點

故障”、“SIP網(wǎng)關(guān)”等術(shù)語及定義（見3.1至3.9）；

——刪除了“IT”、“IDP”、“V.35”等縮略語，增加了“ACL”、“ASIC”、“CPU”、

“DDoS”等縮略語（見第4章）。

三、主要試驗[或驗證]情況分析

標(biāo)準(zhǔn)各項要求在部分起草單位設(shè)備上進(jìn)行了驗證，效果良好。

四、知識產(chǎn)權(quán)情況說明

本標(biāo)準(zhǔn)不涉及知識產(chǎn)權(quán)問題。

五、產(chǎn)業(yè)化情況、推廣應(yīng)用論證和預(yù)期達(dá)到的經(jīng)濟(jì)效果

本標(biāo)準(zhǔn)等同采用ISO/IEC27033-4:2014《Informationtechnology—Security

techniques—Networksecurity—Part4:Securingcommunicationsbetweennetworks

usingsecuritygateways》》（ISO/IEC27033-4:2014《信息技術(shù)安全技術(shù)網(wǎng)絡(luò)安

全第4部分：使用安全網(wǎng)關(guān)的網(wǎng)間通信安全保護(hù)》）標(biāo)準(zhǔn)，利用專業(yè)技術(shù)人員對

相關(guān)標(biāo)準(zhǔn)進(jìn)行翻譯，同時結(jié)合我國信息技術(shù)、安全技術(shù)和網(wǎng)絡(luò)安全的實際情況進(jìn)

行編制，從而形成國家標(biāo)準(zhǔn)草案。本標(biāo)準(zhǔn)適用于擁有、運行或使用網(wǎng)絡(luò)的任何人，

包括高級管理人員和其他非技術(shù)管理人員或用戶，對信息安全和/或網(wǎng)絡(luò)安全、

網(wǎng)絡(luò)操作負(fù)有特定責(zé)任的或?qū)M織的整體安全計劃和安全策略制定負(fù)責(zé)的經(jīng)理

和管理員。此外，本標(biāo)準(zhǔn)的使用者還包括參與網(wǎng)絡(luò)安全架構(gòu)方面的規(guī)劃、設(shè)計和

實施的所有人相關(guān)。在2010年制定的國家標(biāo)準(zhǔn)GB/T25068.3-2010《信息技術(shù)安

全技術(shù)IT網(wǎng)絡(luò)安全第3部分：使用安全網(wǎng)關(guān)的網(wǎng)間通信安全保護(hù)》基礎(chǔ)上，按

照修訂后的版本中對于網(wǎng)絡(luò)安全設(shè)計準(zhǔn)備工作、網(wǎng)絡(luò)安全設(shè)計、網(wǎng)絡(luò)安全評審和

驗收等網(wǎng)絡(luò)安全設(shè)計和實施的全過程，對原標(biāo)準(zhǔn)進(jìn)行修訂。標(biāo)準(zhǔn)制定完成后，在

黑龍江省內(nèi)選擇2個不同行業(yè)的網(wǎng)絡(luò)信息系統(tǒng)進(jìn)行應(yīng)用驗證，經(jīng)驗證，其在不同

領(lǐng)域的適用性較強。

六、采用國際標(biāo)準(zhǔn)和國外先進(jìn)標(biāo)準(zhǔn)情況

本標(biāo)準(zhǔn)等同采用國際標(biāo)準(zhǔn)ISO/IEC27033-4:2014《Information

technology—Securitytechniques—Networksecurity—Part4:Securing

communicationsbetweennetworksusingsecuritygateways》（ISO/IEC27033-4:2014

《信息技術(shù)安全技術(shù)網(wǎng)絡(luò)安全第4部分：使用安全網(wǎng)關(guān)的網(wǎng)間通信安全保

護(hù)》），基于翻譯法，使其符合中文閱讀習(xí)慣。

七、與現(xiàn)行相關(guān)法律、法規(guī)、規(guī)章及相關(guān)標(biāo)準(zhǔn)的協(xié)調(diào)性

1、貫徹國家有關(guān)政策與法規(guī)

本標(biāo)準(zhǔn)中涉及網(wǎng)絡(luò)安全設(shè)計原則與實施指南符合國家網(wǎng)絡(luò)安全有關(guān)規(guī)定。

2、與相關(guān)國內(nèi)相關(guān)標(biāo)準(zhǔn)的關(guān)系

本標(biāo)準(zhǔn)與我國現(xiàn)行的法律、法規(guī)及國家標(biāo)準(zhǔn)、國家軍用標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)不存

在沖突問題。本標(biāo)準(zhǔn)發(fā)布后，將替代原有標(biāo)準(zhǔn)GB/T25068-3:2010《信息技術(shù)安

全技術(shù)IT網(wǎng)絡(luò)安全第3部分：使用安全網(wǎng)關(guān)的網(wǎng)間通信安全保護(hù)》。這一標(biāo)

準(zhǔn)制定的目的是為管理、操作和使用信息系統(tǒng)網(wǎng)絡(luò)之間連接時，針對安全網(wǎng)關(guān)的

使用和部署，提供安全方面的詳細(xì)指導(dǎo)，標(biāo)準(zhǔn)中的相應(yīng)的要求應(yīng)能滿足有關(guān)實際

需求。為網(wǎng)絡(luò)安全控制提供了詳細(xì)的指導(dǎo)，適用于網(wǎng)絡(luò)間通信環(huán)境下，對安全網(wǎng)

關(guān)的管理以及保證網(wǎng)絡(luò)應(yīng)用程序/服務(wù)和用戶的網(wǎng)絡(luò)的信息安全。

國家標(biāo)準(zhǔn)GB/T25068.3—2010《信息技術(shù)安全技術(shù)網(wǎng)絡(luò)安全第3部分：

使用安全網(wǎng)關(guān)的網(wǎng)間通信安全保護(hù)》等同采用ISO/IEC18028-3:2005。2012年，

國際標(biāo)準(zhǔn)組織修訂ISO/IEC18028-3:2005，被新頒布的國際標(biāo)準(zhǔn)ISO/IEC

27033-4:2014所代替，但對應(yīng)的國家標(biāo)準(zhǔn)化修訂工作尚未開展。本項目依照新頒

布的國際標(biāo)準(zhǔn)ISO/IEC27033-4:2014，對現(xiàn)有的國家標(biāo)準(zhǔn)GB/T25068.3-2010《信

息技術(shù)安全技術(shù)IT網(wǎng)絡(luò)安全第3部分：使用安全網(wǎng)關(guān)的網(wǎng)間通信安全保護(hù)》

進(jìn)行修訂，由于ISO/IEC27033-4:2014與GB/T25068.3-2010存在對應(yīng)關(guān)系，則

標(biāo)準(zhǔn)號國家標(biāo)準(zhǔn)仍然使用GB/T25068.3。

八、重大分歧意見的處理經(jīng)過和依據(jù)

本標(biāo)準(zhǔn)起草過程中未出現(xiàn)重大分歧，妥善處理了各階段收到的專家意見和建

議。

九、標(biāo)準(zhǔn)性質(zhì)的建議

本標(biāo)準(zhǔn)應(yīng)作為一項推薦性國家標(biāo)準(zhǔn)。

十、貫徹標(biāo)準(zhǔn)的要求和措施建議

本標(biāo)準(zhǔn)的技術(shù)已經(jīng)成熟，實施難度不大，建議本標(biāo)準(zhǔn)的發(fā)布日期與實施日期

相隔六個月的時間。

為了使標(biāo)準(zhǔn)的規(guī)定得到有效貫徹，建議全國信安標(biāo)委及時通知行業(yè)內(nèi)各單位

本標(biāo)準(zhǔn)的發(fā)布信息，在過渡期內(nèi)組織編寫標(biāo)準(zhǔn)宣貫材料及宣貫活動。

十一、替代或廢止現(xiàn)行相關(guān)標(biāo)準(zhǔn)的建議