中华人民共和国国家标准代替信息技术安全技术网络安全第部分综述和概念报批稿本稿完成时间年月日发布实施目次前言引言范围规范性引用文件术语和定义缩略语文档结构概述背景网络安全规划和管理识别安全风险和准备确定安全控制简介有关当前及规划网络的信息组织信息安全策略中的安全需求有关当前及规划网络的信息信息安全风险和潜在的控制区域支持控制简介网络安全管理背景网络安全管理活动网络安全角色与职责网络监视网络安全评估技术脆弱性管理鉴别与身份认证网络审计日志和监视入侵检测和防御恶意代码防御基于密码的服务业务连续性管理网络安全设计和实现指南背景网络技术安全架构设计参考网络场景威胁设计技术和控制要素简介员工互联网访问服务增强性协作服务企业对企业的服务企业对客户的服务外包服务网络划分移动通信旅行用户的网络支持家庭和小型企业的网络支持技术主题风险设计技术和控制要素开发和测试安全解决方案操作安全解决方案监视和评审解决方案的实施附录资料性附录本部分中安全控制部分同标准中相关章节交叉引用附录资料性附录文档示例模板参考文献图图图图图图典型的网络类型及连接方式路线图典型网络环境网络安全规划和管理过程网络安全风险区域的概念模型网络安全风险评估和管理过程表根据章节表章节前言信息技术安全技术网络安全由以下几个部分组成第部分综述和概念第部分网络安全设计和实现指南第部分参考网络场景威胁设计技术和控制要素第部分使用安全网关的网间通信安全保护第部分使用虚拟专用网的跨网通信安全保护第部分无线网络访问安全保护本部分是的第部分注可能还会有其它部分这些部分可能覆盖的主题包括局域网城域网宽带网网页寄存互联网电子邮件接入第三方组织的路由这些部分主要涉及威胁设计技术和控制等问题本部分按照标准化工作导则第部分标准的结构和编写规则标准化工作指南第部分采用国际标准给出的规则起草本部分代替信息技术安全技术网络安全第部分网络安全管理转制于已经被取代并做了技术上的修订本标准等同采用对进行修订与相比主要技术变化如下本部分名称由信息技术安全技术网络安全第部分信息技术安全技术网络安全第部分网络安全管理修改为信息技术安全技术网络安全第部分综述和概念对标准文本结构进行了调整由原来的章调整为现在的章对每个章节的名称及内容进行了重新归纳和修改增加了支持控制措施参考网络场景威胁设计技术和控制要素开发和测试安全解决方案等章节删除了目标公共基础设施中基于密码的服务等章节第章中删除了对等标准的注日期的引用增加了对等标准的不注日期的引用第章术语中删除了安全维滥发等术语及定义增加了架构信息安全策略等术语及定义第章删除了等缩略语增加了等缩略语删除了中表对中的图进行了重新编辑和排序增加了图图增加了附录和附录本部分使用翻译法等同采用信息安全安全技术网络安全第部分综述和概念本部分还做了下列编辑性修改按照汉语习惯对一些编排格式进行了修改将一些适用于国际标准的表述改为适用于我国标准的表述本部分由全国信息安全标准化技术委员会提出并归口本部分起草单位黑龙江省网络空间研究中心中国电子技术标准化研究所西安西电捷通无线网络通信股份有限公司北京安天电子设备有限公司杭州安恒信息技术有限公司本部分主要起草人方舟曲家兴马超谷俊涛树彬刘佳李锐宋雪马遥王大萌吴琼姜国春冯亚娜张弘司丹本部分所代替的历史版本发布情况为引言当前商业和政府组织大多数都通过网络连接他们的信息系统如图其中网络连接类型可能包括如下一个或多个组织内部的网络不同组织间的网络组织和公众之间的网络图典型的网络类型及连接方式此外快速发展的网络技术特别是通过互联网发展起来网络技术提供了重要商业机会越来越多的组织机构开展全球性的电子商务以提供在线公共服务这些商业机会不仅实现了将互联网作为简单的连接媒介以提供低成本的数据通信也实现了由互联网服务提供商提供更复杂的服务这也就意味着通过在电路的每一端使用相对低成本的本地连接可以完整实现在线电子交易和服务交付系统例如采用基于的应用及服务技术此外新的技术包括数据语音和视频的集成为远程工作提供了可能也称为远程工作或远程办公使员工能够在一段时间内离开他们的工作地点还能通过远程设备访问组织网络社区网络以及相关业务支持信息和服务这种环境有利于获得重大商业利益但又存在新的安全风险随着组织越来越依赖于信息和相关网络那么信息保密性完整性及可用性的缺失将会对开展业务造成极大负面影响因此有必要适当保护网络信息系统和信息的安全换句话说实施和维护充分的网络安全对任何组织业务稳定运行来说都是至关重要的在这种情况下电信和信息技术产业正在寻求成本效益均衡的安全解决方案旨在保护网络免受恶意攻击和无意的不正当行为满足信息和服务保密性完整性和可用性的业务要求适当的网络安全对于确保服务计费和使用信息的准确性是必不可少的产品的安全能力对整体网络安全包括应用和服务至关重要然而随着更多解决方案将产品组合起来形成的一个整体产品间是否具备互操作性将决定解决方案成功与否安全性是每个产品或服务的关注点它必须依靠提高整体安全解决方案的安全能力进行开发本标准的目的是为信息系统网络的管理运行使用及互联互通提供安全方面的详细指导组织内负责信息安全特别是网络安全的人员应能够采纳本标准以满足其特定需求其主要目标如下定义和描述与网络安全相关的概念并提供管理指导包括网络安全概述及相关定义指导网络安全风险识别和分析进而定义网络安全需求它还介绍了如何达成优质的技术安全架构以及与典型网络场景和网络技术领域相关的风险设计和控制等方面其余部分将详细介绍定义了组织应该如何规划设计实现高质量的网络安全体系以确保网络安全适合相应的业务环境可借助模型框架本部分标准利用模型框架来描述一类技术安全架构设计的结构和内部运行机制使用一致的方法进行网络安全规划设计与实现同时本部分标准也适用于参与到网络安全规划设计和实施网络安全架构的人员参考例如网络架构师设计人员网络管理员和网络安全主管定义与典型的网络场景相关的具体风险设计技术和控制要素与所有参与网络安全架构方面规划设计和实施的人员例如网络架构师设计人员网络管理员和网络安全主管有关定义使用安全网关保护的网络之间信息流的具体风险设计技术和控制要素与所有参与安全网关的详细规划设计和实施的人员例如网络架构师设计人员网络管理员和网络安全主管有关定义使用虚拟专用网络建立安全连接的具体风险设计技术和控制要素这与所有参与安全性详细规划设计和实施的人员例如网络架构师设计人员网络管理员和网络安全主管有关定义保护无线网络的具体风险设计技术和控制要素与参与详细规划设计和实施无线网络安全的人员例如网络架构师设计人员网络管理员和网络安全主管有关需要强调的是本标准在国家标准的基础上进一步对网络安全控制提供了详细的实施指导应注意的是本标准不是法规和立法要求的参考或规范性文件因为网络安全取决于业务类型等因素所以本标准仅强调这些影响的重要性而不做具体说明除非另做说明否则本部分标准所参考的指南仅适用于当前及规划的网络或此网络信息技术安全技术网络安全第部分综述和概念范围本部分规定了网络安全概述和相关定义定义和描述与网络安全相关的概念并提供有关网络安全的管理指导本部分中网络安全不仅适用于通过通信链路传送的信息安全还适用于设备安全以及与设备应用服务和最终用户相关的管理活动的安全本部分的使用者包括拥有运行或使用网络的任何人包括高级管理人员和其他非技术管理人员或用户以及对信息安全及网络安全网络操作负有特定责任的或对组织的整体安全计划和安全策略制定负责的经理和管理员此外还包括参与网络安全架构方面的规划设计和实施的所有人本部分还包括以下内容提供了识别和分析网络安全风险的指南并基于上述分析定义网络安全需求提供了支持网络技术安全架构和相关技术控制的综述以及不仅适用于网络的技术和非技术控制介绍了如何实现高质量的网络技术安全架构以及与典型网络场景和网络技术领域相关的风险设计和控制要素在的其他部分中详细论述简述了与实施和运行网络安全控制有关的问题以及对其实施进行持续监督和评审的相关问题本部分提供了标准的概述和对其他部分的指引规范性引用文件下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文件凡是不注日期的引用文件其最新版本包括所有修正适用于本文件所有部分信息技术开放系统互连基本参考模型命名与编址信息技术安全技术信息安全管理体系要求信息技术安全技术信息安全管理实用规则信息技术安全技术信息安全风险管理术语和定义为实现本文件的目的所有部分给出如下适用的术语和定义注以下条款及定义同样适用于本系列其他部分警报信息系统和网络可能受到攻击或者因意外事件故障或人为错误而处于危险之中的即时指示架构构成系统的各组成部分及其相互关系以及该系统与环境的关系还包括指导其设计和演进的基本原则见攻击者故意利用技术和非技术安全控制的脆弱性以窃取或损害信息系统和网络或者损害合法用户对信息系统和网络资源可用性为目的的任何人审计日志以评审分析和持续监视为目的的相关信息安全事态的数据记录审计工具一种辅助分析审计日志内容的自动化工具认证机构被一个或多个用户信任的机构该机构创建和分配公钥证书注需注意的是认证机构可以创建用户密钥注在此过程中认证机构的作用是保证被授予唯一证书人的身份真实性通常这表示身份核查机关已与提供被核查人身份确认资料的机构达成协议认证机构是信息安全和电子商务的一个重要组成部分因为它们保证了交换信息双方的身份真实性信息安全策略根据业务要求和相关法律法规描述管理方向和支持信息安全的文件注该文件描述了整个组织必须遵循的高级信息安全需求非军事区介于网络之间作为中立区的边界网络也称为屏蔽子网拒绝服务阻止对系统资源的授权访问或延迟系统的运行和功能并导致授权用户可用性受损外联网是对组织内联网的扩展特别是通过公共网络提供对其内联网的有限访问以支持组织与组织之间组织与个人之间共享资源注例如可以允许组织的客户对组织内部网络的某些部分进行访问从而创建外联网但是从安全的角度来看不能认为这些客户是可信的过滤根据指定的准则接受或拒绝数据流通过网络的过程防火墙设置在网络环境之间的一种安全屏障它由一台专用设备或若干组件和技术的组合组成网络环境之间两个方向的所有通信流均通过此屏障并且只有按照本地安全策略定义的已授权的通信流才允许通过集线器一种工作在开放系统互联参考模型第层的网络设备注网络集线器不是智能设备它只为联网系统或设备提供物理连接点互联网在公共领域中由相互连接的网络组成的全球系统互联网络相互连接的网络集合内联网支持组织成员利用互联网络协议和网络连接安全地分享组织的部分信息和操作的私有计算机网络简称内网入侵对网络或联网系统的未授权访问即对信息系统进行有意或无意的未授权访问包括针对信息系统的恶意活动或对信息系统内资源的未授权使用入侵检测检测入侵的正式流程通过分析异常特征以及已被利用的脆弱性类型和利用方式发现入侵的时间和方式见入侵检测系统用于识别尝试正在进行或已经发生的入侵并可能对信息系统和网络中的入侵做出