GB∕T 25068.1-2020 信息技術(shù) 安全技術(shù) 網(wǎng)絡(luò)安全 第1部分：綜述和概念

代替GB/T25068.1—2012信息技術(shù)安全技術(shù)網(wǎng)絡(luò)安全國(guó)家市場(chǎng)監(jiān)督管理總局國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)IGB/T25068.1—2020/ISO/IEC27033-1:2015 V 1 1 1 5 7 8 86.2網(wǎng)絡(luò)安全規(guī)劃和管理 7識(shí)別安全風(fēng)險(xiǎn)和準(zhǔn)備確定安全控制 7.2有關(guān)當(dāng)前和/或規(guī)劃網(wǎng)絡(luò)的信息 7.2.1組織信息安全策略中的安全需求 7.2.2有關(guān)當(dāng)前和/或規(guī)劃網(wǎng)絡(luò)的信息 7.3信息安全風(fēng)險(xiǎn)和潛在的控制區(qū)域 8支持控制 8.2網(wǎng)絡(luò)安全管理 8.2.2網(wǎng)絡(luò)安全管理活動(dòng) 8.2.3網(wǎng)絡(luò)安全角色與職責(zé) 8.2.4網(wǎng)絡(luò)監(jiān)視 8.2.5網(wǎng)絡(luò)安全評(píng)估 8.3技術(shù)脆弱性管理 8.4鑒別和身份認(rèn)證 8.5網(wǎng)絡(luò)審計(jì)日志和監(jiān)視 8.6入侵檢測(cè)和防御 8.7惡意代碼防御 8.8基于密碼的服務(wù) 8.9業(yè)務(wù)連續(xù)性管理 9網(wǎng)絡(luò)安全設(shè)計(jì)和實(shí)現(xiàn)指南 249.1背景 9.2網(wǎng)絡(luò)技術(shù)安全體系架構(gòu)及設(shè)計(jì) 26Ⅱ 2610.2員工互聯(lián)網(wǎng)訪問(wèn)服務(wù) 10.3增強(qiáng)性協(xié)作服務(wù) 27 27 27 27 27 2810.10家庭和小型企業(yè)的網(wǎng)絡(luò)支持 28 28 29 的交叉引用 附錄B(資料性附錄)SecOPs文檔示例模板 V 8圖3網(wǎng)絡(luò)環(huán)境示例 9 圖5網(wǎng)絡(luò)安全風(fēng)險(xiǎn)區(qū)域的概念模型 Ⅲ本部分為GB/T25068的第1部分。本部分代替GB/T25068.1—2012《信息技術(shù)安全技術(shù)IT網(wǎng)絡(luò)安全第1部分：網(wǎng)絡(luò)安全管2012年版的第2章、第13章); 第2章，2012年版的第2章);2012年版的第3章);的第4章);第12章);——增加了本部分中安全控制部分同ISO/IEC27001、ISO/IEC27002中相關(guān)條款交叉引用及本部分使用翻譯法等同采用ISO/IEC27033-1:2015《信息安全安全技術(shù)網(wǎng)絡(luò)安全第1部分：——GB/T9387(所有部分)信息技術(shù)開放系統(tǒng)互連基本參考模型[ISO/IEC7498(所有部——GB/T22080—2016信息技術(shù)安全技術(shù)信息安全管理體系要求(ISO/IEC27001:——GB/T22081—2016信息技術(shù)安全技術(shù)信息安全控制實(shí)踐指南(ISO/IEC27002:2013, -GB/T29246—2017信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯(ISO/IEC——GB/T31722—2015信息技術(shù)安全技術(shù)信息安全風(fēng)險(xiǎn)管理(ISO/IEC27005:2008,GB/T25068.1—2020/ISO/IEC27033-1:2015——在第2章增加了正文中規(guī)范引用的國(guó)際文件ISO/IEC27000。VGB/T25068.1—2020/當(dāng)前，商業(yè)和政府組織大多數(shù)都通過(guò)網(wǎng)絡(luò)連接他們的連接媒介以提供低成本的數(shù)據(jù)通信，也實(shí)現(xiàn)了由互聯(lián)網(wǎng)服務(wù)提供商(ISP)提供更復(fù)雜的服務(wù)。這也VGB/T25068.1—2020/ISO/IEC27033-1:2015于確保服務(wù)計(jì)費(fèi)和使用信息的準(zhǔn)確性是必不可少的。產(chǎn)品的安全能力對(duì)整體網(wǎng)絡(luò)安全(包括應(yīng)用和服定解決方案成功與否。安全性是每個(gè)產(chǎn)品或服務(wù)的關(guān)注點(diǎn)，它是依 全適合相應(yīng)的業(yè)務(wù)環(huán)境?？山柚Ｐ涂蚣?本部分標(biāo)準(zhǔn)利用模型框架來(lái)描述一類技術(shù)安全架——ISO/IEC27033-4,定義使用安全網(wǎng)關(guān)保護(hù)的—ISO/IEC27033-5,定義使用虛擬專用網(wǎng)絡(luò)建立安全連接的具體風(fēng)險(xiǎn)、設(shè)計(jì)技術(shù)和控制要素。ISO/IEC27033-6,定義保護(hù)IP無(wú)線網(wǎng)絡(luò)的具體風(fēng)險(xiǎn)、設(shè)計(jì)技術(shù)和控制要素。與參與詳細(xì)規(guī)1ISO/IEC7498(所有部分)信息技術(shù)開放系統(tǒng)互連基本參考模型：命名與編址(Informationtechnology—OpensystemsinterconneISO/IEC27000信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯(Informationtechnolo-gy—Securitytechniques—InformatioISO/IEC27001信息技術(shù)安全技術(shù)信息安全管理體系要求(Informationtechnology—Se-curitytechniques—InformatioISO/IEC27002信息技術(shù)安全技術(shù)信息安全管理實(shí)用Securitytechniques—CoISO/IEC27005信息技術(shù)安全技術(shù)信息安全風(fēng)險(xiǎn)管理(Informationtechnology—Securitytechniques—Informationsec2GB/T25068.1—2020/ISO/IEC27033-1:2015[ISO/IEC15288:2008,定義43GB/T25068.1—2020/一種工作在開放系統(tǒng)互聯(lián)(OSI)參考模型第1層的網(wǎng)絡(luò)設(shè)備。支持組織成員利用互聯(lián)網(wǎng)絡(luò)協(xié)議和網(wǎng)絡(luò)連接，安全地分享組織的部分信息和操作的私有計(jì)算機(jī)[ISO/IEC27039,定義2.15][ISO/IEC27039,定義2.15][ISO/IEC27039,定義2.15]4GB/T25068.1—2020/ISO/IEC27033-1:2015一種為網(wǎng)間路由而開發(fā)的技術(shù)。該技術(shù)通過(guò)為每個(gè)數(shù)據(jù)路徑或數(shù)據(jù)流分配標(biāo)簽來(lái)實(shí)現(xiàn)連接交換，從另一網(wǎng)絡(luò)或從一個(gè)終端設(shè)備訪問(wèn)網(wǎng)絡(luò)資源的過(guò)程，這種訪問(wèn)通過(guò)物5GB/T25068.1—2020/利用內(nèi)部交換機(jī)制來(lái)提供聯(lián)網(wǎng)設(shè)備之間連通性的設(shè)備，其中的交換技術(shù)通常在OSI參考模型的第2層或第3層實(shí)現(xiàn)。在現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)設(shè)施上建立的聯(lián)網(wǎng)設(shè)備之間的數(shù)據(jù)路徑。下列縮略語(yǔ)適用于本文件及ISO/IEC27033的其他部分。ACL:訪問(wèn)控制列表(AccessControlList)AES:高級(jí)加密標(biāo)準(zhǔn)(AdvancedEncryptATM:異步傳輸模式(AsynchronoBPL:寬帶電力線路(BroadbandPowerLine)CA:認(rèn)證機(jī)構(gòu)(CertificatiCDPD:蜂窩數(shù)字分組數(shù)據(jù)(CellularDigitalPacketData)CDMA:碼分多址(CodeDivisioCLNP:無(wú)連接網(wǎng)絡(luò)協(xié)議(ConnectionLessNetworkProtocol)CoS:服務(wù)類別(ClassofService)CRM:客戶關(guān)系管理(CustomerRelationshipManagement)6IPS:入侵防御系統(tǒng)(IntrusionPreventLAN:局域網(wǎng)(LocalAreaNetw7VPN:虛擬專用網(wǎng)(VirtualPrivateNetwora)第1部分與第3部分、第4部分、第5部分8第8章),相關(guān)內(nèi)容請(qǐng)參考ISO/IEC27001,ISO/IEC27002和ISO/IEC27005;(見第10章);9GB/T25068.1—2020/ISO/IEC27033-1:2015公鑰基礎(chǔ)設(shè)施公鑰基礎(chǔ)設(shè)施無(wú)線局域網(wǎng)外部網(wǎng)關(guān)內(nèi)部網(wǎng)關(guān)遠(yuǎn)程站點(diǎn)虛擬專用網(wǎng)互聯(lián)網(wǎng)關(guān)三遠(yuǎn)程用戶遠(yuǎn)程用戶多數(shù)組織的業(yè)務(wù)需求都宜與外部合作伙伴和其他組當(dāng)一個(gè)組織決定使用IP電話(VoIP)技術(shù)來(lái)實(shí)現(xiàn)內(nèi)部電話網(wǎng)絡(luò)時(shí)，通常還宜在電話網(wǎng)絡(luò)之間合理GB/T25068.1—2020/ISO/IEC27033-1:20151)有關(guān)監(jiān)管機(jī)構(gòu)或立法機(jī)構(gòu)(包括政府機(jī)構(gòu))規(guī)定的與網(wǎng)絡(luò)連接相關(guān)的監(jiān)管和立法安全2)在網(wǎng)絡(luò)上存儲(chǔ)或傳輸?shù)拿舾行畔ⅰＰ畔?lái)定義安全需求(見第10章和第11章)[包括：1)評(píng)估潛在違反相關(guān)監(jiān)管或立法機(jī)構(gòu)(包括政府機(jī)構(gòu))規(guī)定的，與網(wǎng)絡(luò)連接有關(guān)的監(jiān)管全架構(gòu)、設(shè)計(jì)和相關(guān)的安全控制(見第9章～第11章)(這將包括相關(guān)監(jiān)管機(jī)構(gòu)或立法機(jī)構(gòu)(包d)開發(fā)和測(cè)試安全解決方案(見第12章)。e)實(shí)施和操作安全控制(見第13章)。f)監(jiān)控和評(píng)審實(shí)施情況(見第14章)[包括監(jiān)控和評(píng)審為遵守相關(guān)監(jiān)管或立法機(jī)構(gòu)(包括國(guó)家政網(wǎng)絡(luò)安全規(guī)劃和管理過(guò)程的概述如圖4所示。GB/T25068.1—2020/ISO/IEC27033-1:2015風(fēng)險(xiǎn)信息(見第10章、第11章);題，并選擇和記錄首選技術(shù)安全架構(gòu)及設(shè)計(jì)相關(guān)控制(見第9章～第11章)開發(fā)、實(shí)施和測(cè)試安全解決方案(第12章)操作安全解決方案(第13章)監(jiān)控和審查實(shí)施情況(第14章)測(cè)試、操作化(業(yè)務(wù)需求、決方案等)劃的網(wǎng)絡(luò)環(huán)境的信息，7.2提供了指導(dǎo)。第二階段是確定和評(píng)估網(wǎng)絡(luò)安全風(fēng)險(xiǎn)以及適當(dāng)?shù)臐撛诳刂茀^(qū)GB/T25068.1—2020/ISO/IEC27033-1:2015關(guān)于信息安全策略的指導(dǎo)在ISO/IEC27002和ISO/IEC27005中給出。個(gè)人局域網(wǎng)(PAN)將歸類為局域網(wǎng)。當(dāng)今使用的另一個(gè)術(shù)語(yǔ)是全球區(qū)域網(wǎng)(GAN),即全球WAN。注意，有些用于存儲(chǔ)相關(guān)網(wǎng)絡(luò)的術(shù)語(yǔ)，例如存儲(chǔ)區(qū)域網(wǎng)絡(luò)(SAN)和網(wǎng)絡(luò)連接存儲(chǔ)(NAS),但這些不在—許多運(yùn)營(yíng)商網(wǎng)絡(luò)均基于多協(xié)議標(biāo)簽交換(MPLS)協(xié)議，該協(xié)議允許一個(gè)核心承載網(wǎng)絡(luò)被多個(gè)專用網(wǎng)絡(luò)共享，而互相不產(chǎn)生干擾。MPLS的主要應(yīng)用場(chǎng)景是VPN,用不同的分隔屬于不同VPN的通信流(基于VPN的MPLS不依賴于數(shù)據(jù)加密機(jī)制),這使得企業(yè)用戶GB/T25068.1—2020/GB/T25068.1—2020/ISO/IEC27033-1:2015——IP環(huán)境與公共電話網(wǎng)的連接，即IP網(wǎng)絡(luò)發(fā)起的向PSTN的電話連接。這種連接是不受控制——-MPLS網(wǎng)絡(luò)是否支持QoS(QoS能夠提供穩(wěn)定的性能，具有可靠性和可用性。其提供的網(wǎng)絡(luò)無(wú)論采用哪種評(píng)審方法，某些組合可能意味著具有比其他組合更低的風(fēng)GB/T25068.1—2020/ISO/IEC27033-1:2015保密性等終端系統(tǒng)網(wǎng)元網(wǎng)元終端系統(tǒng)鑒別使用授權(quán)控制合公認(rèn)的良好安全實(shí)踐。這主要涉及以下5個(gè)方面：網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估和管理的主要進(jìn)程如圖6所示(這實(shí)際上是圖4中的“判定范圍及情境并評(píng)估風(fēng)GB/T25068.1—2020/ISO/IEC27033-1:2015風(fēng)險(xiǎn)評(píng)估有關(guān)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估及管理評(píng)審的詳細(xì)資料，宜參閱ISO/IEC息(見第10章和第11章，以及ISO/IEC27033的第3部分～第6部分)。制(技術(shù)和非技術(shù)方面)。ISO/IEC27001、ISO/IEC27002和ISO/IEC27制信息。這些對(duì)網(wǎng)絡(luò)使用來(lái)說(shuō)至關(guān)重要的控制將在8.2～8.9中進(jìn)行闡述，分別是網(wǎng)絡(luò)安全管理(網(wǎng)絡(luò)考ISO/IEC27001、ISO/IEC27002和ISO/IEC27005中的相關(guān)內(nèi)容。GB/T25068.1—2020/ISO/IEC27033-1:2015宜查閱ISO/IEC27002、ISO/IEC27005和ISO/IEC27035以獲取詳細(xì)的專題信息。上述對(duì)于網(wǎng)管理者有責(zé)任明確地接受和支持組織的網(wǎng)絡(luò)安全策略(如ISO/IEC27002所述)。網(wǎng)絡(luò)安全策略 網(wǎng)絡(luò)安全策略的內(nèi)容通常宜包括對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估和管理評(píng)審結(jié)果的概述(對(duì)控制的花費(fèi)予以為支持網(wǎng)絡(luò)安全策略，宜開發(fā)和維護(hù)SecOP文件。它們宜包含與安全相關(guān)的日常操作規(guī)程的細(xì)GB/T25068.1—2020/網(wǎng)絡(luò)安全合規(guī)性檢查宜在任何網(wǎng)絡(luò)連接的實(shí)際操作和重要版本更新之前(與重要業(yè)務(wù)或網(wǎng)絡(luò)變更合。在任何此類測(cè)試開始之前，宜檢查測(cè)試計(jì)劃以確保測(cè)試將以完全符合相關(guān)法律法規(guī)的方式進(jìn)行。例如，組織A可要求組織B在能夠經(jīng)由網(wǎng)絡(luò)連接而與其系統(tǒng)相連接之前，B宜為其連接由組織簽署綁定聲明以確保安全性。A將保留對(duì)B進(jìn)行委托或合規(guī)性檢查的使用網(wǎng)絡(luò)時(shí)信息安全事件發(fā)生的可能性更大(與不使用網(wǎng)絡(luò)的情況相比),對(duì)業(yè)務(wù)產(chǎn)生的不利影響或一系列有害的或未預(yù)料的信息安全事態(tài))。更詳細(xì)的信息安全事件管理見ISO/IEC27035。 制定詳細(xì)的網(wǎng)絡(luò)安全策略；GB/T25068.1—2020/ISO/IEC27033-1:2015——管理與外部利益相關(guān)者、外部服務(wù)提供商的接口，以確保其符合內(nèi)部和外部網(wǎng)絡(luò)安全——維護(hù)網(wǎng)絡(luò)安全工具和組件以密切關(guān)注風(fēng)險(xiǎn)的演變(例如，更新惡意代碼(包括病毒)標(biāo)簽文件);f)審計(jì)員(內(nèi)部和/或外部):——檢查和測(cè)試操作安全規(guī)則中當(dāng)前業(yè)務(wù)要求和法律限制的兼容性(例如網(wǎng)絡(luò)訪問(wèn)的許可GB/T25068.1—2020/授權(quán)人員訪問(wèn)特定的網(wǎng)絡(luò)服務(wù)和相關(guān)的信息進(jìn)行嚴(yán)格限定。對(duì)這些連接的要求并不僅限于網(wǎng)絡(luò)連接，可能與網(wǎng)絡(luò)的使用和相關(guān)的信息系統(tǒng)有關(guān)的3個(gè)安全控制域如下：加強(qiáng)鑒別。使用用戶ID或口令匹配是認(rèn)證用戶的簡(jiǎn)不在組織的直接控制之下(例如，通過(guò)筆記本電腦)。最簡(jiǎn)單的方法是使用用戶呼叫識(shí)別器(CLID)(但由于其易被冒用，因此CLID在無(wú)法進(jìn)一步-—遠(yuǎn)程登錄失敗的日期和次數(shù)；GB/T25068.1—2020/ISO/IEC27033-1:2015攻擊的最初跡象可能是在防火墻日志中出現(xiàn)大量的流量，這表明是針對(duì)潛在目標(biāo)進(jìn)行的探測(cè)活動(dòng)。宜在UDP中進(jìn)一步保護(hù)審計(jì)日志(包括鑒別和身份認(rèn)證以及訪問(wèn)控制)。持續(xù)監(jiān)視涵蓋的范圍宜關(guān)于網(wǎng)絡(luò)使用的大多數(shù)評(píng)審記錄和監(jiān)視控制以及相關(guān)的信息系統(tǒng)可根據(jù)ISO/IEC27GB/T25068.1—2020/入侵防御系統(tǒng)(IPS)會(huì)對(duì)進(jìn)入內(nèi)部網(wǎng)絡(luò)的所有流量進(jìn)行檢查并自動(dòng)攔截所有可識(shí)別的攻擊。換言成計(jì)算機(jī)執(zhí)行未授權(quán)的功能(例如在特定日期和時(shí)間用消息轟炸特定的目標(biāo)),或者一旦復(fù)制就試圖找全依賴掃描設(shè)備檢測(cè)所有的惡意代碼(甚至特定類型的所有惡意代碼),因?yàn)樾滦问降膼阂獯a不斷出程接入的情況下，防御病毒的軟件宜在遠(yuǎn)程系統(tǒng)上運(yùn)行，也宜在中心系統(tǒng)的服務(wù)器上，特別是在Windows系統(tǒng)和電子郵件服務(wù)器上運(yùn)行。更詳細(xì)的惡意代碼防御參見ISO/IEC27002和ISO/IEC27005。慮數(shù)字簽名和/或信息完整性控制以保護(hù)網(wǎng)絡(luò)連接上的信息。數(shù)字簽名控件能夠?yàn)橄㈣b別控制提供 -—要求提供發(fā)件人地址或標(biāo)識(shí)符并檢查此信息存在與否的應(yīng)用協(xié)議；ISO/IEC18033(所有部分)對(duì)加密機(jī)制進(jìn)行了標(biāo)準(zhǔn)化。ISO/IGB/T25068.1—2020/ISO/IEC27033-1:2015部分)中對(duì)被稱為消息認(rèn)證碼(或MACs)的消息完整性控制進(jìn)行了標(biāo)準(zhǔn)化。ISO/IEC9796(所有部分)和ISO/IEC14888對(duì)數(shù)字簽名技術(shù)進(jìn)行了標(biāo)準(zhǔn)化。更多與抗抵賴性有關(guān)的信息參見ISO/IEC14516——ISO/IEC11770(所有部分)信息技術(shù)安全技術(shù)密鑰管理；——ISO/IEC9597-8目錄公鑰與屬性證書框架；-——ISO11166-2銀行業(yè)務(wù)借助非對(duì)稱算法的密鑰管理；——ISO11568(所有部分)銀行業(yè)務(wù)零售密鑰管理；—ISO21118銀行公鑰基礎(chǔ)設(shè)施。本章闡明了各種網(wǎng)絡(luò)技術(shù)安全架構(gòu)及設(shè)計(jì)層面和相關(guān)潛在控制區(qū)域的問(wèn)題。第10章為網(wǎng)絡(luò)場(chǎng)景的風(fēng)險(xiǎn)、設(shè)計(jì)技術(shù)和安全控制區(qū)域提供了參考。第11章為當(dāng)前組織關(guān)注的特定技術(shù)主題提供有關(guān)風(fēng)多主題和控制區(qū)域。附錄B中有關(guān)于ISO/IEC27001、ISO/IEC27002網(wǎng)絡(luò)安全相關(guān)控制和本部分交依據(jù)第8章～第11章中所提到的相關(guān)網(wǎng)絡(luò)架構(gòu)，宜對(duì)所涉及的技術(shù)安全架構(gòu)、設(shè)計(jì)以及明確的控(見第14章)。GB/T25068.1—2020/ISO/IEC27033-1:2015——網(wǎng)絡(luò)技術(shù)安全設(shè)計(jì)包括所有應(yīng)用技術(shù)主題(這些主題與ISO/IEC27001—2007中的條款相 使用場(chǎng)景和技術(shù)指導(dǎo)(ISO/IEC27033-3～I(xiàn)SO/IEC27033-6有敘述)(同樣，見第10章和第11章);總體設(shè)計(jì)原則(使用最多的原則)在ISO/IEC27033-2中有描述。而且，宜參考ISO/IEC27033-2一些場(chǎng)景的例子。ISO/IEC27033-3不僅提供了詳細(xì)的安全風(fēng)險(xiǎn)和安全設(shè)計(jì)技術(shù)指導(dǎo)，還提供了在所有特定場(chǎng)景下減輕風(fēng)險(xiǎn)所需的控制。ISO/IEC27033-3包括ISO/IEC27033-4～I(xiàn)SO/IEC27033-6的GB/T25068.1—2020/ISO/IEC27033-1:2015方案。內(nèi)部以及內(nèi)外部同時(shí)使用的情況下，該服務(wù)提供了用于減輕這些風(fēng)險(xiǎn)——安全通常只在組織控制下的終端平臺(tái)上得以“保證”,為實(shí)施控制和維持平臺(tái)安全提供良好下，客戶平臺(tái)將面臨更多的風(fēng)險(xiǎn)(在這種環(huán)境下很難實(shí)施合同中無(wú)“安全連接條件”等系列 GB/T25068.1—2020/表A.1給出了本部分中安全控制部分同ISO/IEC27001、ISO/IEC27002相關(guān)章條號(hào)的交叉引用表A.1根據(jù)ISO/IEC27001、ISO/IEC27002章條號(hào)ISO/IEC27001、ISO/IEC27002章條號(hào)12.2.1惡意軟件的控制宜實(shí)現(xiàn)檢測(cè)、預(yù)防和回復(fù)控制以防范惡意軟件，并結(jié)合適當(dāng)?shù)挠脩粢庾R(shí)教育實(shí)現(xiàn)控制(如應(yīng)用程序白名單),以防止或發(fā)現(xiàn)未授權(quán)軟件的使用實(shí)現(xiàn)控制(如黑名單),以防止或發(fā)現(xiàn)已知或可疑的惡意網(wǎng)站的訪問(wèn)他介質(zhì)獲取的文件和軟件相關(guān)，該策略宜說(shuō)定期評(píng)審支持關(guān)鍵業(yè)務(wù)過(guò)程的系統(tǒng)軟件和數(shù)據(jù)內(nèi)容；宜正式調(diào)查作為一項(xiàng)預(yù)防措施，或例行程序，宜安裝和測(cè)和修復(fù)軟件掃描計(jì)算機(jī)和介質(zhì)，執(zhí)行的掃描宜包括：1)在使用通過(guò)網(wǎng)絡(luò)或任何形式的存儲(chǔ)介質(zhì)得到的文件前，要掃描惡意軟件；2)在使用電子郵件和附件下載前，要掃描惡意軟件；該掃描宜及進(jìn)入組織網(wǎng)絡(luò)時(shí)；實(shí)現(xiàn)定期收集信息的規(guī)程，例如訂閱郵件列表或驗(yàn)證提供新惡意軟件的web站點(diǎn)實(shí)現(xiàn)規(guī)程以驗(yàn)證與惡意軟件相關(guān)的信息，并確保報(bào)警公告是準(zhǔn)確的和有價(jià)值的；管理者宜確?？煽康膩?lái)源(例如，聲譽(yù)好的期刊、的和真實(shí)的惡意軟件；所有用戶宜了解欺騙問(wèn)題，以及收到后如GB/T25068.1—2020/表A.1(續(xù))ISO/IEC27001、ISO/IEC27002章條號(hào)隔離可能導(dǎo)致災(zāi)難性影響的環(huán)境13.1.1網(wǎng)絡(luò)控制宜管理和控制網(wǎng)絡(luò)以保護(hù)系統(tǒng)和應(yīng)用中的信息在合適的地方，網(wǎng)絡(luò)的運(yùn)行責(zé)任宜與計(jì)算機(jī)運(yùn)宜建立專門的控制，以保護(hù)在共用網(wǎng)絡(luò)上或無(wú)線網(wǎng)絡(luò)上流經(jīng)數(shù)據(jù)的保密性和完整性，并且保護(hù)已連接的系統(tǒng)及應(yīng)用(見第10章和第13.2條款);為維護(hù)所連接的網(wǎng)絡(luò)服務(wù)和計(jì)算能需要專門的控制11“技術(shù)”主題—風(fēng)險(xiǎn)、設(shè)計(jì)技響信息安全或與信息安全相關(guān)的活動(dòng)為優(yōu)化對(duì)組織的服務(wù)和確保在信息處理基礎(chǔ)設(shè)施中諸多控制的一致應(yīng)用，宜緊密協(xié)調(diào)相應(yīng)的管理活動(dòng)表A.2給出了ISO/IEC27002與本部分相關(guān)章條號(hào)交叉引用情況。ISO/IEC27002章條號(hào)6網(wǎng)絡(luò)安全規(guī)劃和管理有關(guān)當(dāng)前和/或規(guī)劃網(wǎng)絡(luò)的信息7識(shí)別安全風(fēng)險(xiǎn)和準(zhǔn)備確定安全控制有關(guān)當(dāng)前和/或規(guī)劃網(wǎng)絡(luò)的信息網(wǎng)絡(luò)架構(gòu)、應(yīng)用及服務(wù)網(wǎng)絡(luò)連接類型其他信息網(wǎng)絡(luò)安全管理網(wǎng)絡(luò)控制網(wǎng)絡(luò)安全管理活動(dòng)網(wǎng)絡(luò)安全策略5網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的訪問(wèn)網(wǎng)絡(luò)安全操作程序GB/T25068.1—2020/表A.2(續(xù))ISO/IEC27002章條號(hào)網(wǎng)絡(luò)安全合規(guī)性檢查多組織網(wǎng)絡(luò)連接的安全條件網(wǎng)絡(luò)安全事件管理網(wǎng)絡(luò)安全角色與職責(zé)網(wǎng)絡(luò)監(jiān)視日志和監(jiān)視網(wǎng)絡(luò)安全評(píng)估秘密鑒別信息的使用網(wǎng)絡(luò)審計(jì)日志和監(jiān)視日志和監(jiān)視網(wǎng)絡(luò)服務(wù)的安全密碼控制9網(wǎng)絡(luò)安全設(shè)計(jì)和實(shí)現(xiàn)指南網(wǎng)絡(luò)技術(shù)安全體系架構(gòu)、設(shè)計(jì)員工互聯(lián)網(wǎng)訪問(wèn)服務(wù)公共網(wǎng)絡(luò)上應(yīng)用服務(wù)的安全保護(hù)網(wǎng)絡(luò)劃分“技術(shù)”主題—風(fēng)險(xiǎn)、設(shè)計(jì)技術(shù)和控制要素網(wǎng)絡(luò)控制網(wǎng)絡(luò)服務(wù)的安全2.2.1IT環(huán)境4.2.6工作人員[1]GB/T18794.1—2002信息技術(shù)開放系統(tǒng)互連開放系統(tǒng)安全框架第1部分：概述(idt[3]ISO11166-2Banking—Key[4]ISO11568(all