信息技術(shù) 安全技術(shù) 網(wǎng)絡(luò)安全 第4部分：使用安全網(wǎng)關(guān)的網(wǎng)間通信安全保護(hù)-編制說(shuō)明

一、工作簡(jiǎn)況1、總體情況根據(jù)黑龍江省網(wǎng)絡(luò)空間研究中心的申請(qǐng)，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)于2019年11月下達(dá)了《信息技術(shù)安全技術(shù)網(wǎng)絡(luò)安全第4部分：使用安全網(wǎng)關(guān)的網(wǎng)間通信安全保護(hù)》的標(biāo)準(zhǔn)制定任務(wù)。國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)于2020年第一批國(guó)家標(biāo)準(zhǔn)制修訂計(jì)劃下達(dá)了《信息技術(shù)安全技術(shù)網(wǎng)絡(luò)安全第4部分：使用安全網(wǎng)關(guān)的網(wǎng)間通信安全保護(hù)》國(guó)家標(biāo)準(zhǔn)制定計(jì)劃（計(jì)劃號(hào)：20201689-T-469），由黑龍江省網(wǎng)絡(luò)空間研究中心牽頭承擔(dān)標(biāo)準(zhǔn)制定工作，起草單位包括：中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院、哈爾濱安天科技集團(tuán)股份有限公司、黑龍江安信與誠(chéng)科技開發(fā)有限公司、上海工業(yè)控制安全創(chuàng)新科技有限公司等。2、標(biāo)準(zhǔn)制定的主要工作過(guò)程如下：2019年9月－2020年1月，跟蹤研究ISO/IEC27033系列國(guó)際標(biāo)準(zhǔn)的研制情況，翻譯了國(guó)際標(biāo)準(zhǔn)ISO/IEC27033-4多個(gè)版本的中文文本，且多次在專家、成員單位、管理部門等范圍內(nèi)進(jìn)行討論和征求意見，并根據(jù)這些意見形成了標(biāo)準(zhǔn)草案；2020年1月—2020年3月，廣泛地收集相關(guān)資料和國(guó)內(nèi)網(wǎng)絡(luò)安全、網(wǎng)絡(luò)安全管理相關(guān)文檔、資料、學(xué)術(shù)文獻(xiàn)和法律法規(guī)，形成本標(biāo)準(zhǔn)第一階段草稿；2020年4月—2020年5月，對(duì)第一階段草稿細(xì)化、校對(duì)翻譯稿，重新整理語(yǔ)序，形成本標(biāo)準(zhǔn)第二階段草稿；2020年5月—2020年6月，標(biāo)準(zhǔn)編制組經(jīng)過(guò)多次討論和修訂，對(duì)搜集到的資料分類整理、規(guī)范語(yǔ)言，統(tǒng)一格式，并對(duì)翻譯稿進(jìn)行再次細(xì)化校對(duì)，形成標(biāo)準(zhǔn)草案稿。3、各階段稿件意見的處理情況工作組草案階段，共進(jìn)行了2次專家評(píng)審和征集意見工作，共收到反饋意見4條，其中全部采納3條，部分采納1條，具體參見意見匯總處理表。二、標(biāo)準(zhǔn)編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問(wèn)題1、標(biāo)準(zhǔn)編制的主要原則1）遵循現(xiàn)行國(guó)家標(biāo)準(zhǔn)為基礎(chǔ)，等同采用國(guó)際新標(biāo)準(zhǔn)。本標(biāo)準(zhǔn)編寫格式符合國(guó)家標(biāo)準(zhǔn)GB/T1.1-2020的規(guī)定。2）貫徹國(guó)家有關(guān)政策與法規(guī)本部分凡涉及網(wǎng)絡(luò)安全事件的判定與處置，均按國(guó)家有關(guān)法規(guī)實(shí)施；3）認(rèn)真記錄、反復(fù)衡量、綜合分析各方意見，多方征集行業(yè)企業(yè)的意見和反饋在《信息技術(shù)安全技術(shù)網(wǎng)絡(luò)安全第4部分：使用安全網(wǎng)關(guān)的網(wǎng)間通信安全保護(hù)》國(guó)家標(biāo)準(zhǔn)修訂過(guò)程中，各起草單位齊心協(xié)力，在充分溝通和交流的基礎(chǔ)上，形成了標(biāo)準(zhǔn)編制組內(nèi)統(tǒng)一的標(biāo)準(zhǔn)文本。之后按照信安標(biāo)委的要求開展廣泛的征求意見工作，并已根據(jù)征求到的意見對(duì)標(biāo)準(zhǔn)文本進(jìn)行修改和完善。2、本標(biāo)準(zhǔn)的主要內(nèi)容本部分規(guī)定了網(wǎng)絡(luò)安全概述和相關(guān)定義。定義和描述與網(wǎng)絡(luò)安全相關(guān)的概念，并提供有關(guān)網(wǎng)絡(luò)安全的管理指南。（本文中網(wǎng)絡(luò)安全不僅適用于通過(guò)通信鏈路傳送的信息安全，還適用于設(shè)備安全，以及與設(shè)備、應(yīng)用/服務(wù)和最終用戶相關(guān)的管理活動(dòng)的安全）。3、本標(biāo)準(zhǔn)在確定主要內(nèi)容時(shí)主要基于如下幾個(gè)方面：本標(biāo)準(zhǔn)依據(jù)使用安全網(wǎng)關(guān)（防火墻，應(yīng)用防火墻，入侵防護(hù)系統(tǒng)等）的網(wǎng)絡(luò)間通信安全指南，這些安全網(wǎng)關(guān)按照文檔化的信息安全策略進(jìn)行通信，包括：識(shí)別和分析與安全網(wǎng)關(guān)相關(guān)的網(wǎng)絡(luò)安全威脅；基于威脅分析定義安全網(wǎng)關(guān)的網(wǎng)絡(luò)安全需求；使用設(shè)計(jì)和實(shí)施技術(shù)來(lái)解決與典型的網(wǎng)絡(luò)場(chǎng)景相關(guān)的威脅和控制問(wèn)題；解決與實(shí)施，操作，監(jiān)視和審查網(wǎng)絡(luò)安全網(wǎng)關(guān)控制相關(guān)的問(wèn)題。等同采用國(guó)際標(biāo)準(zhǔn)ISO/IEC27033-4:2014《Informationtechnology—Securitytechniques—Networksecurity—Part4:Securingcommunicationsbetweennetworksusingsecuritygateways》，對(duì)國(guó)家標(biāo)準(zhǔn)GB/T25068.3-2010《信息技術(shù)安全技術(shù)IT網(wǎng)絡(luò)安全第3部分：使用安全網(wǎng)關(guān)的網(wǎng)間通信安全保護(hù)》進(jìn)行修訂。4、本部分代替GB/T25068.3—2010《信息技術(shù)安全技術(shù)IT網(wǎng)絡(luò)安全第3部分：使用安全網(wǎng)關(guān)的網(wǎng)間通信安全保護(hù)》，主要變化如下：本標(biāo)準(zhǔn)的名稱由《信息技術(shù)安全技術(shù)IT網(wǎng)絡(luò)安全第3部分：使用安全網(wǎng)關(guān)的網(wǎng)間通信安全保護(hù)》更名為《信息技術(shù)安全技術(shù)網(wǎng)絡(luò)安全第4部分：使用安全網(wǎng)關(guān)的網(wǎng)間通信安全保護(hù)》；刪除了對(duì)GB/T25068.4—2010、ISO/IECTR15947的引用，增加了對(duì)ISO/IEC27033（所有部分）的引用；由原來(lái)的9章調(diào)整為現(xiàn)在的10章。對(duì)第5～8章標(biāo)題及內(nèi)容進(jìn)行了重新書寫，增加了第5章“概述”、第6章“安全威脅”、第7章“安全需求”、第8章“安全控制”、第9章“設(shè)計(jì)技術(shù)”、第10章“產(chǎn)品選擇指南”等章節(jié)，刪除了“安全要求”、“安全網(wǎng)關(guān)技術(shù)”、“安全網(wǎng)關(guān)組件”、“安全網(wǎng)關(guān)體系結(jié)構(gòu)”、“選擇和配置指南”等章節(jié)；刪除了“報(bào)警”、“攻擊者”、“審計(jì)”、“審計(jì)日志”、“非軍事區(qū)”、“過(guò)濾”、“防火墻”、“信息安全事件”、“信息安全事件管理”、“入侵”、“入侵檢測(cè)”、“入侵檢測(cè)系統(tǒng)”、“端口（1）”、“端口（2）”、“隱私”、“遠(yuǎn)程接入”、“路由器”、“安全維”、“安全域”、“安全網(wǎng)關(guān)”、“欺騙”、“交換機(jī)”、“虛擬專用網(wǎng)”等術(shù)語(yǔ)及定義（第3章，見2010年版3.1至3.12），增加了“堡壘主機(jī)”、“終端軟件防火墻”、“強(qiáng)化的操作系統(tǒng)”、“互聯(lián)網(wǎng)網(wǎng)關(guān)”、“包”、“邊界網(wǎng)絡(luò)”、“遠(yuǎn)程辦公室”與“分支辦公室”、“單點(diǎn)故障”、“SIP網(wǎng)關(guān)”等術(shù)語(yǔ)及定義（見3.1至3.9）；刪除了“IT”、“IDP”、“V.35”等縮略語(yǔ)，增加了“ACL”、“ASIC”、“CPU”、“DDoS”等縮略語(yǔ)（見第4章）。三、主要試驗(yàn)[或驗(yàn)證]情況分析標(biāo)準(zhǔn)各項(xiàng)要求在部分起草單位設(shè)備上進(jìn)行了驗(yàn)證，效果良好。四、知識(shí)產(chǎn)權(quán)情況說(shuō)明本標(biāo)準(zhǔn)不涉及知識(shí)產(chǎn)權(quán)問(wèn)題。五、產(chǎn)業(yè)化情況、推廣應(yīng)用論證和預(yù)期達(dá)到的經(jīng)濟(jì)效果本標(biāo)準(zhǔn)等同采用ISO/IEC27033-4:2014《Informationtechnology—Securitytechniques—Networksecurity—Part4:Securingcommunicationsbetweennetworksusingsecuritygateways》》（ISO/IEC27033-4:2014《信息技術(shù)安全技術(shù)網(wǎng)絡(luò)安全第4部分：使用安全網(wǎng)關(guān)的網(wǎng)間通信安全保護(hù)》）標(biāo)準(zhǔn)，利用專業(yè)技術(shù)人員對(duì)相關(guān)標(biāo)準(zhǔn)進(jìn)行翻譯，同時(shí)結(jié)合我國(guó)信息技術(shù)、安全技術(shù)和網(wǎng)絡(luò)安全的實(shí)際情況進(jìn)行編制，從而形成國(guó)家標(biāo)準(zhǔn)草案。本標(biāo)準(zhǔn)適用于擁有、運(yùn)行或使用網(wǎng)絡(luò)的任何人，包括高級(jí)管理人員和其他非技術(shù)管理人員或用戶，對(duì)信息安全和/或網(wǎng)絡(luò)安全、網(wǎng)絡(luò)操作負(fù)有特定責(zé)任的或?qū)M織的整體安全計(jì)劃和安全策略制定負(fù)責(zé)的經(jīng)理和管理員。此外，本標(biāo)準(zhǔn)的使用者還包括參與網(wǎng)絡(luò)安全架構(gòu)方面的規(guī)劃、設(shè)計(jì)和實(shí)施的所有人相關(guān)。在2010年制定的國(guó)家標(biāo)準(zhǔn)GB/T25068.3-2010《信息技術(shù)安全技術(shù)IT網(wǎng)絡(luò)安全第3部分：使用安全網(wǎng)關(guān)的網(wǎng)間通信安全保護(hù)》基礎(chǔ)上，按照修訂后的版本中對(duì)于網(wǎng)絡(luò)安全設(shè)計(jì)準(zhǔn)備工作、網(wǎng)絡(luò)安全設(shè)計(jì)、網(wǎng)絡(luò)安全評(píng)審和驗(yàn)收等網(wǎng)絡(luò)安全設(shè)計(jì)和實(shí)施的全過(guò)程，對(duì)原標(biāo)準(zhǔn)進(jìn)行修訂。標(biāo)準(zhǔn)制定完成后，在黑龍江省內(nèi)選擇2個(gè)不同行業(yè)的網(wǎng)絡(luò)信息系統(tǒng)進(jìn)行應(yīng)用驗(yàn)證，經(jīng)驗(yàn)證，其在不同領(lǐng)域的適用性較強(qiáng)。六、采用國(guó)際標(biāo)準(zhǔn)和國(guó)外先進(jìn)標(biāo)準(zhǔn)情況本標(biāo)準(zhǔn)等同采用國(guó)際標(biāo)準(zhǔn)ISO/IEC27033-4:2014《Informationtechnology—Securitytechniques—Networksecurity—Part4:Securingcommunicationsbetweennetworksusingsecuritygateways》（ISO/IEC27033-4:2014《信息技術(shù)安全技術(shù)網(wǎng)絡(luò)安全第4部分：使用安全網(wǎng)關(guān)的網(wǎng)間通信安全保護(hù)》），基于翻譯法，使其符合中文閱讀習(xí)慣。七、與現(xiàn)行相關(guān)法律、法規(guī)、規(guī)章及相關(guān)標(biāo)準(zhǔn)的協(xié)調(diào)性1、貫徹國(guó)家有關(guān)政策與法規(guī)本標(biāo)準(zhǔn)中涉及網(wǎng)絡(luò)安全設(shè)計(jì)原則與實(shí)施指南符合國(guó)家網(wǎng)絡(luò)安全有關(guān)規(guī)定。2、與相關(guān)國(guó)內(nèi)相關(guān)標(biāo)準(zhǔn)的關(guān)系本標(biāo)準(zhǔn)與我國(guó)現(xiàn)行的法律、法規(guī)及國(guó)家標(biāo)準(zhǔn)、國(guó)家軍用標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)不存在沖突問(wèn)題。本標(biāo)準(zhǔn)發(fā)布后，將替代原有標(biāo)準(zhǔn)GB/T25068-3:2010《信息技術(shù)安全技術(shù)IT網(wǎng)絡(luò)安全第3部分：使用安全網(wǎng)關(guān)的網(wǎng)間通信安全保護(hù)》。這一標(biāo)準(zhǔn)制定的目的是為管理、操作和使用信息系統(tǒng)網(wǎng)絡(luò)之間連接時(shí)，針對(duì)安全網(wǎng)關(guān)的使用和部署，提供安全方面的詳細(xì)指導(dǎo)，標(biāo)準(zhǔn)中的相應(yīng)的要求應(yīng)能滿足有關(guān)實(shí)際需求。為網(wǎng)絡(luò)安全控制提供了詳細(xì)的指導(dǎo)，適用于網(wǎng)絡(luò)間通信環(huán)境下，對(duì)安全網(wǎng)關(guān)的管理以及保證網(wǎng)絡(luò)應(yīng)用程序/服務(wù)和用戶的網(wǎng)絡(luò)的信息安全。國(guó)家標(biāo)準(zhǔn)GB/T25068.3—2010《信息技術(shù)安全技術(shù)網(wǎng)絡(luò)安全第3部分：使用安全網(wǎng)關(guān)的網(wǎng)間通信安全保護(hù)》等同采用ISO/IEC18028-3:2005。2012年，國(guó)際標(biāo)準(zhǔn)組織修訂ISO/IEC18028-3:2005，被新頒布的國(guó)際標(biāo)準(zhǔn)ISO/IEC27033-4:2014所代替，但對(duì)應(yīng)的國(guó)家標(biāo)準(zhǔn)化修訂工作尚未開展。本項(xiàng)目依照新頒布的國(guó)際標(biāo)準(zhǔn)ISO/IEC27033-4:2014，對(duì)現(xiàn)有的國(guó)家標(biāo)準(zhǔn)GB/T25068.3-2010《信息技術(shù)安全技術(shù)IT網(wǎng)絡(luò)安全第3部分：使用安全網(wǎng)關(guān)的網(wǎng)間通信安全保護(hù)》進(jìn)行修訂，由于ISO/IEC27033-4:2014與GB/T25068.3-2010存在對(duì)應(yīng)關(guān)系，則標(biāo)準(zhǔn)號(hào)國(guó)家標(biāo)準(zhǔn)仍然使用GB/T25068.3。八、重大分歧意見的處理經(jīng)過(guò)和依據(jù)本標(biāo)準(zhǔn)起草過(guò)程中未出現(xiàn)重大分歧，妥善處理了各階段收到的專家意見和建議。九、標(biāo)準(zhǔn)性質(zhì)的建議本標(biāo)準(zhǔn)應(yīng)作為一項(xiàng)推薦性國(guó)家標(biāo)準(zhǔn)。十、貫徹標(biāo)準(zhǔn)的要求和措施建議本標(biāo)準(zhǔn)的技術(shù)已經(jīng)成熟，實(shí)施難度不大，建議本標(biāo)準(zhǔn)的發(fā)布日期與實(shí)施日期相隔六個(gè)月的時(shí)間。為了使標(biāo)準(zhǔn)的規(guī)定得到有效貫徹，建議全國(guó)信安標(biāo)委及時(shí)通知行業(yè)內(nèi)各單位本標(biāo)準(zhǔn)的發(fā)布信息，在過(guò)渡期內(nèi)組織編寫標(biāo)準(zhǔn)宣貫材料及宣貫活動(dòng)。十一、替代或廢止現(xiàn)行相關(guān)標(biāo)準(zhǔn)的建議本標(biāo)準(zhǔn)代替GB/T25068.3-2010《信息技術(shù)安全技術(shù)IT網(wǎng)絡(luò)安全