标准规范下载简介
GB/T 25068.3-2022 信息技术 安全技术 网络安全 第3部分:面向网络接入场景的威胁、设计技术和控制.pdfICS 35.030 CCS L80
信息技术安全技术网络安全 第3部分:面向网络接入场景的 威胁、设计技术和控制
污水处理厂厂外管道工程施工组织设计信息技术安全技术网络安全
引言 范围 规范性引用文件 术语和定义 缩略语…. 文档结构 员工的互联网访问服务 ...... 7.1背景 +*.* 7.2安全威胁 7.3安全设计技术和控制措施 企业对企业的服务 8.1背景…… 8.2安全威胁…. 8.3安全设计技术和控制措施 企业对客户的服务 9.1背景·..…. 9.2安全威胁 "9 9.3安全设计技术和控制措施 10增强协作服务 10.1背景·... 10.2安全威胁 12 10.3安全设计技术和控制措施 11网络分段…… ·· 11.1背景 ·*· 13 11.2安全威胁 *·: 13 11.3安全设计技术和控制措施 14 12为居家办公和小型商务办公场所提供网络支持 14 12.1背景..... 12.2安全威胁 14 12.3安全设计技术和控制措施 ..... 15 3移动通信 ...... 16
为流动用户提供网络支持
表2 2网络安全技术示例 表3 员工的互联网访问服务场景下的安全控制措施· 表4 企业对企业的服务场景下的安全控制措施·. 表5 5企业对客户的服务场景下的安全控制措施 ·10 表6 增强协作服务场景下的安全控制措施 表7 网络分段场景下的安全控制措施… **.14 表8用于居家和小型商务办公场所场景的网络安全控制 ·15 表9 移动通信场景下的安全控制措施 ....... 表10 )为流动用户提供网络支持场景下的安全控制措施 表11 外包服务场景下的安全控制措施 20
GB/T 25068.32022
信息技术安全技术网络安全 第3部分:面向网络接入场景的 威胁、设计技术和控制
GB/T29246、GB/T25068.1界定的以及下列术语和定义适用于本文件。 3.1 恶意软件malware 带有恶意设计的软件类别,包含可能直接或间接对用户或用户的计算机系统造成潜在伤害的特性 或功能。 [来源:ISO/IEC27032:2012,4.35] 3.2 不透明性opacity 对可能通过监测网络活动(例如在互联网上的VoIP呼叫中获得端点的地址)获得的信息给予 保护。 注:不透明性同时还保护获得信息的相关行为。
GB/T29246、GB/T25068.1界定的以及下列术语和定义适用于本文件。 3.1 恶意软件malware 带有恶意设计的软件类别,包含可能直接或间接对用户或用户的计算机系统造成潜在伤害的特性 或功能。 [来源:ISO/IEC27032:2012,4.35] 3.2 不透明性opacity 对可能通过监测网络活动(例如在互联网上的VoIP呼叫中获得端点的地址)获得的信息给予 保护。 注:不透明性同时还保护获得信息的相关行为。
GB/T 25068.3—2022
? 外包 outsourcing 购买方为支持其业务功能需求而进行的外部购买服务。 4 社会工程socialengineering 利用某种方式诱使合法用户执行操作或泄露秘密信息的行为。
本文件的结构包括: 为每个参考网络接人场景提供了网络安全防护方法的概述(详见第6章); 为每个参考场景(详见第7章~第15章)提供了详细描述: ·描述了存在于参考场景的威胁; ·描述了在第6章的方法的基础上可能采用的安全控制措施和技术。 本文件中的场景按照表1进行排序,其目的是评估给定场景的功能: 接人用户的类型,可能包括机构内部的用户、从外部访问机构资源的员工,或外部用户(消
费者、供应商、业务合作伙伴); 被访问信息资源的类型,开放、受限、外包的访问资源。 表1呈现一个一致性结构,使得更易于管理增加新的场景,也表明本文件各个场景的必要性
表1网络接入场景资源访问框架
国络分段是指网络的分离或隔离(通常使用一个或多个防火墙),它可能意味着出于安全原因,物理隔离 网络。
本文件中列出的场景顺序如下: 员工的互联网访问服务(见第7章); 企业对企业的服务(见第8章); 企业对客户的服务(见第9章); 增强协作服务(见第10章); 网络分段(见第11章); 为居家办公和小型商务办公场所提供网络支持(见第12章); 移动通信(见第13章); 为流动用户提供网络支持(见第14章); 外包服务(见第15章)。
本文件基于以下方法对每个已识别的参考网络接人场景提供指导: 评审网络接人场景的背景信息和范围; 描述与网络接人场景相关的威胁; 一对已发现的漏洞进行风险分析; 一分析潜在的漏洞对业务的影响; 一 确定用以保护网络的实施建议。 为了解决网络安全性问题,需采用一种提供端到端评估的系统化方法。这种方法的复杂性取决 一定范围内网络的性质和规模。然而,随着技术的不断发展,评估方法的一致性对管理安全性非
过保护甲乙之间的通话来保护他们的机密信息,进而确保了信息的不透明性。 文件所描述的所有场景中,都将上述安全属性作为安全设计技术和控制措施阶段的一部分进 表2展示了一些网络安全属性的实现机制的示例,这些安全属性可用于降低潜在风险。
表2网络安全技术示售
在本文件中,每个参考网络接人场景的环境中讨论的策略设计和技术实施均需考虑上述安全事 通常来说,组织将从GB/T22081中选择相关控制要素以达成其业务目标,而本文件旨在提供实施 空制要素的网络等级的注意事项
与员工互联网访问服务相关的安全威胁包括以下内容。 病毒攻击和恶意软件的人侵:
表3描述了与员工的互联网访问服务有关的安全设计技术和控制措施。 评审每个安全属性在降低可预测的安全风险方面的适用性,随后在第二列中给出相应的技术实施 示例。例如,完整性、访问控制和鉴别可用于防御恶意代码。
表3 3员工的互联网访问服务场景下的安全控制措施(续)
组织与其他组织进行交易(如制造商、批发商、零售商)宜考虑本章所提供的网络接人场景。 一般来说,企业对企业的服务通过租用专用线路或网络分段来实现。互联网和相关技术确实提供 了更多选择,但实施此类服务的同时也引人了新的安全风险。不断发展的B2B电子商务模式允许组织 通过互联网开展业务,应用程序则聚焦于通过使用互联网、外联网或两者兼用以达到改善业务伙伴关系 (相互已知且经过注册)的目的,这有别于企业对客户的情况。 通常组织基于自已的需求来选择企业对企业的服务。例如,可用性和可靠性就是非常重要的需
求,因为组织开展工作通常直接依赖于企业对企业的服务。 当基于互联网来实现企业对企业的服务时,经过验证的措施,例如租用专线的服务质量预期不再适 用,因此就要用与以往不同的方式处理可用性和可靠性等需求。新的安全风险需通过适当的设计技术 和控制措施来降低。重点是通过防止访问未经授权的数据和保持业务系统间的隔离,来加强组织之间 的信任。 下述条款针对内部、内外部、使用行为情况,描述了安全威胁和关于安全设计技术与控制措施的建 议,以减轻相关风险。
述了与企业对企业的服务相关的信息安全设计技
企业对企业的服务场景下的安全控制措施
客运专线大体积混凝土施工工艺GB/T 25068.3—2022
表4企业对企业的服务场景下的安全控制措施(续)
组织与客户进行交易时宜考虑本章所提供的网络接人场景。 企业对客户的服务,也称为电子商务服务,包括电子商务、电子银行和电子政务等服务。在企业对 的服务中,安全性需要在实施交易与维护品牌和商业价值之间取得平衡。 信息安全要求包括: 一保密性(特别是关于电子银行业务); 鉴别; 一完整性; 数据通信安全性,即终端用户期望业务服务能够提供一条用以保护用户和提供者之间的交易 路径,以抵抗复杂攻击(例如“中间人"或“浏览器中间人"攻击); 可用性是电子商务提供商的一个重要衡量度。 信息安全特征包括: 只有在组织控制下的终端平台上才能“保证"安全性,才能为实施控制措施和维护良好的平台 级安全提供良好的环境; 客户端上的安全性一般较差。难以在这样的环境中实施控制措施,因此客户端在这种场景(如 约定中没有“安全连接的条件”的要求集合)下会存在重大风险。 下述条款针对内部、内外部、使用行为情况,描述了安全威胁和关于安全设计技术与控制措施的建 以减轻相关风险
与企业对客户的服务的相关安全威胁包括以下内容。 病毒攻击和恶意软件的入侵:
与企业到客户的服务相关的安全设计技术和控制
高速公路工程13合同标段满堂支架安全专项施工方案表5企业对客户的服务场景下的安全控制措施