中华人民共和国国家标准代替信息技术安全技术网络安全第部分网络安全设计和实现指南送审稿本稿完成时间年月日在提交反馈意见时请将您知道的相关专利连同支持性文件一并附上发布实施目次前言范围规范性引用文件术语和定义缩略语结构网络安全设计准备概述资产识别需求收集法律和监管需求业务需求性能要求需求审查现有设计和实施的审查网络安全设计概述设计原理概述纵深防御网络分区弹性设计场景模型和框架设计核验网络安全实现概述网络组件选择标准产品或供应商的选择标准网络管理日志监视和事件响应文档测试计划与测试实施核验附录资料性附录检查表描述附录资料性附录实例文档模板附录表框架和控制映射参考文献前言信息技术安全技术网络安全分为以下几部分第部分综述和概念第部分网络安全设计和实现指南第部分参考网络场景风险设计技术和控制要素第部分使用安全网关的网间通信安全保护第部分使用虚拟专用网的跨网通信安全保护第部分无线网络接入的安全保护本部分为的第部分注可能还会有其他部分这些部分可能覆盖的主题包括局域网城域网宽带网网页寄存互联网电子邮件接入第三方组织的路由这些部分主要涉及威胁设计技术和控制等问题本部分按照给出的规则起草本部分代替信息技术安全技术网络安全第部分网络安全体系结构与后者相比主要技术变化如下本部分名称由信息技术安全技术网络安全第部分网络安全体系结构修改为信息技术安全技术网络安全第部分网络安全设计和实现指南对标准文本结构进行了调整由原来的章调整为现在的章对第章的名称及内容进行了大幅度修改增加了网络安全设计准备网络安全设计网络安全实现等章节删除了网络安全参考体系结构安全维安全层安全面安全威胁对安全维应用于安全层所实现目标的描述等章节第章中删除了对的引用增加了对所有部分的引用第章删除了等缩略语增加了等缩略语附录均为资料性附录本部分使用翻译法等同采用信息技术安全技术网络安全第部分网络安全设计和实现指南与本部分中规范性引用的国际文件有一致性对应关系对应关系的我国文件如下所有部分信息技术开放系统互连基本参考模型所有部分本部分做了下列编辑性修改删除了引言本部分由全国信息安全标准化技术委员会提出并归口本部分起草单位黑龙江省网络空间研究中心中国电子技术标准化研究所西安西电捷通无线网络通信股份有限公司等本部分主要起草人曲家兴方舟马遥王大萌等本部分所代替的历史版本发布情况为信息技术安全技术网络安全第部分网络安全设计和实现指南范围本部分标准为组织给出了计划设计实施和记录网络安全的指南规范性引用文件下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文件凡是不注日期的引用文件其最新版本包括所有的修改版适用于本文件信息技术安全技术信息安全管理体系概述和词汇信息技术安全技术信息安全管理体系要求信息技术安全技术信息安全管理体系信息安全控制实践指南信息技术安全技术信息安全风险管理所有部分信息技术开放系统互连基本参考模型信息技术安全技术网络安全第部分综述和概念术语和定义所有部分和中界定的以及下列术语和定义都适用于的本部分缩略语入侵防御系统概念证明远程认证拨号用户服务远程访问服务简单消息服务简单邮件传输协议终端访问控制器访问控制系统简单文件传输协议传输层安全协议结构本部分标准的结构包括网络安全设计准备概述资产识别需求收集需求审查现有的设计和实施的审查网络安全设计概述设计原则设计核验网络安全实现概述网络组件的选择准则产品或供应商的选择准则网络管理日志监视和事件响应文档测试计划和实施测试核验网络安全设计准备概述网络安全的目标是促进能够提高组织业务流程的信息流阻止降低组织业务流程的信息流网络安全设计与实施的编制工作包括如下阶段资产识别需求收集需求审查技术选择和技术约束的评估现有设计和实施的评估这些阶段形成了早期的文档该文档包括后续设计与实施阶段的所有输入资产识别对任何网络来说资产识别是确定信息安全风险的首要步骤有些资产如果被不适当地泄露修改或失效将会影响组织的业务流程这样的资产都需要保护需要保护的资产包括物理资产服务器交换机路由器等和逻辑资产配置设置可执行代码数据等作为持续性计划灾难恢复风险分析的一部分资产登记应提前执行需要解决如下问题需要保护的不同类型的网络设备和设施分组有哪些需要保护的不同类型的网络活动有哪些需要保护哪些信息资产和信息处理能力信息资产存储于信息系统架构的哪个位置可识别的资产包括安全支持管理控制和用户流量所需的资产以及网络基础设施服务和应用程序正常生效的功能这就包括主机路由器防火墙等设备接口内部和外部信息存储处理和使用的协议基础设施资产的保护仅是网络安全设计目标的一部分最终目标是保护商业资产例如信息和业务流程需求收集法律和监管需求应该收集和审查法律监管对当地与网络功能的要求以保证这些要求在网络设计中得到满足需要特别注意跨管辖或监管边界的信息流在这种情况下需要记录边界两侧的要求业务需求组织的业务流程和数据分类类型决定了其访问需求网络应该配置成这样对于适当授权的用户能够访问信息资产并且阻止其他的访问信息访问通常和一些服务相关这些服务可以建立在开放端口例如端口的服务特定主机如地址为特定主机组例如子网或特定的网络接口设备如地址为的接口该组织需要识别哪些是向他人提供的服务哪些是由他人提供的服务以及哪些是内部服务性能要求流量数据能够记录通信线路服务器和安全网关防火墙的配置以便实现用户所期望的高水平服务没有过度配置以及相关不必要的成本收集的信息诸如现有通信连接的速度任何位于第三方路由器的配置容量每个链接允许访问的用户数并发访问和访问的用户数量所需的最小平均和最大用户连接时间可访问的授权用户身份网页点击次数数据库访问的点击率未来一年和三五年的增长预期以及是否需要窗口登录可以使用电信表排队理论来确定所需端口信道的数量特别是拨号链路上的端口和信道应对性能要求进行审查排除疑问性能标准要求应满足已经确认的技术架构和相关的技术安全架构需求审查当前的性能和任何计划的技术网络架构的变化都需要进行审查并和开发中的技术安全架构进行比较以发现不兼容之处这些不兼容之处都需要重新审查并且进行适当的架构调整在审查过程中收集到的信息应至少包括以下内容正在使用的网络连接类型的识别安全风险的确定制定技术安全体系架构和安全控制的需求列表使用的网络协议在网络各个层面使用的网络应用信息的收集应考虑网络性能应获得相关网络体系结构的详细信息并对此进行审查以便为接下来的过程步骤提供必要的理解和衔接尽早明确这些内容确定相关的安全需求识别标准识别控制区域审查安全体系结构的技术选项并决定哪些应被采纳可获得更高效更可行的安全解决方案例如由于位置的关系建立所有网络连接只能集中通过一个管道那么对于选定的地点来说针对多种不同通道所设置的冗余连接的安全控制就是无用无效的其他控制也要设身处地考虑才能找到保护网络连接的最优方式在早期阶段如果当前架构下尚未实现能被接受的安全解决方案则应为网络和应用架构预留出时间以便对这些架构进行审查和必要的修改现有设计和实施的审查现有安全控制审查必须依据安全风险评估和管理审查的结果来进行安全风险评价的结果可以指明被评估威胁相应的安全控制需求应对当前网络安全架构进行差距分析以确定现有的网络安全体系架构中还有哪些问题还未解决网络安全体系架构应该包含现有的网络控制以及任何遗漏和新的安全控制网络安全设计概述网络安全体系架构限制了不同信任域之间的数据流量信任域之间最明显边界是一个组织内部网络和外部世界之间的接口任何规模的组织都会在可被识别和控制的内部信任域之间确立边界网络安全体系架构包括组织或行业内部网络与外界之间接口的描述反映上述节中提到的审查要求并解决如何保护组织免受中曾描述的常见威胁和弱点的攻击节提供了最佳实践设计指南本系列标准第部分及之后部分给出了针对当前和未来特定网络技术的网络安全体系架构指南以及在特定场景下组织的设计指南本系列标准第部分给出了一个组织所需的特定网络场景的指南需求调研过程中形成的技术设定必须形成文档例如只允许有授权访问的通信防火墙通常支持通信如果允许并入其他协议可能会造成管理困难如果需要引入非协议则此类协议需视为安全体系架构之外或利用隧道技术的协议来进行接入网络安全体系架构通常包含服务包括但不限于身份验证和授权密码令牌智能卡证书终端访问控制系统等逻辑访问控制单点登录基于访问控制的角色可信数据库应用程序控制防火墙代理设备等安全审计和核查审计日志审计日志分析设备入侵检测设施写一次读多次设备等存储清理安全删除可控擦除设施安全测试脆弱性扫描网络监听渗透测试等安全的开发环境独立开发和测试环境免编译器等软件变更控制配置管理软件版本控制等安全软件部署数字签名协议传输层安全等安全维护和可用性良好的备份恢复设施恢复聚类数据仓库多样性通信等传输安全传输加密的使用扩频技术无线局域网虚拟专用网外联网设计原理概述设计失败是与网络安全体系架构相关的常见风险是由不好的设计对业务连续计划缺少适当的考虑或设计无法对当前或未来威胁等级做出响应等引发开发安全体系架构所必需的基本要素应覆盖所有已识别的安全控制和业务需求通用的网络安全设计实践大多包括这些要素本系列标准第部分及之后的部分详细介绍了网络技术安全体系架构最佳实践的设计与实现关于最佳实践实施的更多详细指导可参阅其他出版物以下各节提供了在考虑网络安全体系结构时应遵循的设计最佳实践的一般指导纵深防御组织不应仅从一个视角来看待网络安全而应通过一种整体分层方法来进行综合考虑安全必须全面覆盖所有网络层采用分层方法的网络安全体系架构就称为纵深防御安全组件是一个集策略设计管理和技术于一体的组合每一个组织都需要确定需求并设计一个基于这些需求的纵深防御许多移动设备有和网络连接以及无线功能这些设备可以方式连接到内部网络或内部系统如果这是在设备的无线连接打开和未加密的情况下完成的这些设备可以作为内部网络上的恶意无线接入点从而绕过周边控制应采取严格措施以限制不安全的移动设备连接到网络并为检测恶意无线接入点而执行日常的无线信道扫描所有无线接入点应位于非军事区内内部网络的无线接入点应该有严格的连接设置最强的安全保护措施在可能的情况下设置使用地址过滤以限制有设备连接到已授权的设备本标准的第部分提供了更多关于移动通信技术和相关控制威胁的细节纵深防御原则体现了通过多个安全控制或安全技术的帮助以减少风险的用法风险是来自于被破坏或被规避的防御组件举例来说当防火墙和同一环境中的服务器上已经有病毒保护时可以在单个工作站上安装防病毒软件来自多个供应商的不同的安全产品可能被部署用来防御网络中的不同的潜在载体帮助防止任何一个防御出现短板以防可能导致更大范围的失效这种防御方法被称为分层方法图显示了边界安全基础设施安全主机安全应用程序安全和数据安全所有的层都是为了保护数据图纵深防御基于分层方法的安全解决方案是灵活和可度量的该解决方案适用于组织的安全需求网络分区网络分区指将不同敏感度等级不同风险容忍度和敏感度的系统资源置于不同的安全分区在系