典尚

  • 典尚
  • 百度
  • 360
首页   当前位置:全部素材 > 规范图集 > 图标图集
GBT 25068.2-2012 信息技术 安全技术 IT网络安全 第2部分:网络安全体系结构PDF文本

ICS35.040L80B中华人民共和国国家标准GB/T25068.2-2012/IS0/IEC18028-2:2006信息技术安全技术T网络安全第2部分:网络安全体系结构IntormioSecurit ecnetwork securityPart 2:Network security architecture(ISO/IEC18028-2:2006,IDT)2012-06-29发布2012-10-01实施中华人民共和国国家质量监督检验检疫总局发布中国国家标准化管理委员会筑321.-标准查询下载网莲筑泰村网Z.ZS心
GB/T25068.2-2012/1S0/EC18028-2:2006前言…I引言1范围…12规范性引用文件13术语和定义…14缩略语………5网络安全参考体系结构36安全维…37安全层8安全面…69安全威胁…710对安全维应用于安全层所实现目标的描述…8参考文献J.NE筑321一标准查询下载网贸素前网Z.ZC.ET
GB/T25068.2-2012/1S0/IEC18028-2:2006GB/T25068《信息技术安全技术IT网络安全》分为以下5个部分:—第1部分:网络安全管理;第2部分:网络安全体系结构;一一第3部分:使用安全网关的网间通信安全保护;-第4部分:远程接人的安全保护;—第5部分:使用虚拟专用网的跨网通信安全保护。本部分为GB/T25068的第2部分。本部分按照GB/T1.1一2009给出的规则起草。本部分使用翻译法等同采用国际标准IS0/1EC18028-2:2006《信息技术安全技术IT网络安全第2部分:网络安全体系结构》。根据国情和GB/T1.1的规定,做了如下一些编辑性修改:一一原文CCITT X.800中的内容已在本部分引用的国家标准GB/T9387.2一1995中体现,故本部分不再引用X.800。在原文正文里使用的缩略语没有全部反映在第4章中,本部分在其中做了增补,增加的缩略语在其页边切用单竖线“1”指示。一为避免于扰章节编号,第5章中几个问题的数字编号改为字母编号。门FT由于我国尚未有隐私和数据保护的相关法律法规,故在6.8中删掉“依据国家隐私和数据保护的法律法规”。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本部分由全国信息安全标准化技术委员会(T℃260)提出并归。本部分起草单位:黑龙江省电子信息产品监督检验院、中国电子技术标准化研究所。本部分主要起草人:黄俊强、王希忠、方舟、马遥、王大萌、张清江、宋超臣、段志鸣、树彬、上官晓丽、许玉娜、王运福。筑321一标准查询下载网理时ZC.NE1
GB/T25068.2-2012/IS0/1EC18028-2:2006通信和信息技术业界一直在寻找经济有效的全面安全解决方案。安全的网络应受到保护,免遭恶意和无意的攻击,并且应满足业务对信息和服务的保密性、完整性、可用性、抗抵赖、可核查性、真实性和可靠性的要求。保护网络安全对于适当维护计费或使用信息的准确性也是必要的。产品的安全保护能力对于全网的安全(包括应用和服务)是至关重要的。然而,当更多的产品被组合起来以提供整体解决方案,互操作性将决定这种解决方案的成功与否。安全不一定只是对每种产品或服务的单线关注,而必须以促进全面的端到端安全解决方案中各种安全能力交织的方式来开发。因此,GB/T25068的目的是为T网络的管理、操作和使用及其互连等安全方面提供详细指南。组织中负责一般IT安全和特定IT网络安全的人员应能够调整GB/T25068中的材料以满足他们的特定要求。GB/T25068的主要目标如下:GB/T25068.1定义和描述网络安全的相关概念,并提供网络安全管理指南一包括考虑如何识别和分析与通信相关的因素以晚立网络安全要求,还介绍可能的控制领域和特定的技术领域(相关内容在GB/T25068的后续部分中涉及);GB/T25068.2定义一个标准的安全体系结构,它描述一个支持规划、设计和实施网络安全的一致框架;GB/T25068.3定义使用安全网关保护网络间信息流安全的技术;GB/T25684定义猓护远程接人安全的技术;」7,J?SCETGB/T25068.5定义对使用虚拟专用网(VPN)立的网络间连接进行安全保护的技术。GB/T25068.1与涉及拥有、操作或使用网络的所有人员相关。除了对信息安全(IS)和/或网络安全及网络操作负有特定责任的、或对组织的全面安全规划和安全策略开发负有责任的管理者和管理员外,还包括高级管理者和其他非技术性管理者或用户。GB/T25068.2与涉及规划、设计和实施网络安全体系结构方面的所有人员(例如IT网络管理者、管理员、工程师和IT网络安全主管)相关。GB/T25068.3与涉及详细规划、设计和实施安全网关的所有人员(例如IT网络管理者、管理员、工程师和IT网络安全主管)相关。GB/T25068.4与涉及详细规划、设计和实施远程接入安全的所有人员(例如IT网络管理者、管理员、工程师和IT网络安全主管)相关。GB/T25068.5与涉及详细规划、设计和实施VPN安全的所有人员(例如IT网络管理者、管理员、工程师和IT网络安全主管)相关。筑321-标准查询下载网理时ZC.NEI
GB/T25068.2-2012/IS0/IEC18028-2:2006信息技术安全技术T网络安全第2部分:网络安全体系结构1范围GB/T25068的本部分规定了用于提供端到端网络安全的网络安全体系结构。本部分适用于体系结构能应用于关注端到端安全且独立于网络下层技术的各种类型的网络。其目的是作为开发详细的端到端网络安全议的基础。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T9387.2一1995信息处理系统开放系统互连基本参考模型第2部分:安全体系结构(1S07498-2:1989,IDT)。3术语和定义J.NEGB/T9387.2一1995中界定的下列术语和定义适用于本文件。3.1访问控制access control防止未授权使用资源,包括防止以未授权方式使用某一资源。3.2数据原发鉴别data origin authentication确认接收到的数据的来源是所声称的。3.3对等实体鉴别peer-entity authentication确认某一关联中的对等实体是所声称的实体。3.4可用性availability已授权实体一旦需要就可访问和使用的特性。3.5保密性confidentiality使信息不泄漏给未授权的个人、实体或过程或不使信息为其利用的特性。3.6数据完整性data integrity数据未经未授权方式修改或破坏的特性。1筑321一标准流询下载网罚素衬阀ZS沁
GB/T25068.2-2012/IS0/IEC18028-2:20063.7原发证据抗抵赖non-repudiation with proof of origin为数据接收方提供数据源证据的安全服务。注1:这将防范发送方否认发送数据或其内容的任何企图注2:改编自GB/T9387.2一19953.8交付证据抗抵赖no-repudiation with proof of delivery为数据发送方提供数据交付证据的安全服务。注1:这将防范接收方否认接收数据或其内容的任何后续企图。注2:改编自GB/T9387.2-1995.3.9隐私privacy每个人都享有的控制或影响与其相关的什么信息可被收集和存储以及这些信息可被何人或对何人泄露的权利。4缩略语ASP应用服务提供商(Application Service Provider)ATM异步传输模式(Asynchronous Transfer Mode)DHCP动态主机配置协议(Dynamic Host Configuration Protocol)DNS典垓名系统omain Name Syste阿网DS-3DS3数字信号(Digital Signal Level3)IpsecIP安全协议(IP Security Protocol)MD5消息摘要第5版(Message Digest Version5)Megaco/H.248媒体网关控制协议(Media Gateway Control Protocol)MPLS多协议标签交换(Multi-protocol Label Switching)OAM&P操作、管理、维护和配置(Operations Administration Maintenance and Provisio.ning)OSI开放系统互连(Open Systems Interconnection).POP邮局协议(Post Office Protocol)PSTN公用电话交换网(Public Switched Telephone Network)PVC永久虚电路(Permanent Virtual Circuit)QoS服务质量(Quality of Service)SHA-1安全散列算法(Secure Hash Algorithm)SIP会话发起协议(Session Initiation Protocol)SMTP简单邮件传输协议(Simple Mail Transfer Protocol)SNMP简单网络管理协议(Simple Network Management Protocol)SO同步光纤网络(Synchronous Optical Network)SS7信令系统7(Signalling System#7)SSL安全套接层(加密和鉴别协议)(Secure Socket Layer(encryption and authenticationprotocol))TLS传输层安全(加密和鉴别协议)(Transport Layer Security(encryption and authen-tication protocol))2筑321-标准查询下较网理时ZC.NEI
GB/T25068.2-2012/IS0/EC18028-2:2006VLAN虚拟局域网(Virtual Local Area Network)5网络安全参考体系结构该参考体系结构被创来应对服务提供商、企业、客户的全球安全挑战,适用于无线、光纤和有线的语音、数据和聚合网络。在本部分的内容中“参考”一词与“体系结构”一词结合,用于表达以下含义:该规范提供一个高层次安全体系结构实例,可以此体系结构为基础,来为不同网络设计更详细的安全解决方案。对网络基础设施、服务和应用而言,该参考体系结构处理其管理、控制和使用的安全关注点。该参考体系结构提供全面的、自顶向下的、端到端的网络安全视图并且能应用于网络元素、服务和应用,以预测、检测和改正安全脆弱性。该参考体系结构将一组复杂的、与端到端网络安全相关的特性按照逻辑划分到单独的体系结构组件中。这种划分支持端到端安全的系统化方法,此类方法可用于规划新的安全解决方案和评估现有网络的安全。该参考体系结构处理的是覆盖以下至关重要的问题的网络安全需求:a)何种信息需要得到保护?b)什么是安全风险?需要何种保护来管理这些风险?c)哪些不同类型的网络活动需要得到保护?d)哪些不同类型的网络设备及设施分组需要得到保护?宜进行风险评估以区分保护要求的优先次序并帮助确立安全体系结构的适当安全措施。这些问题由体系结构的3个组件安全维,安全面和安全层)来处理。个T这个多面参考体系结构擂述的原则能够应用于独立于网路技术或者协议栈中位置的各种网络。后面章节针对主要安全威胁来详细描述体系结构元素及其功能。6安全维通常在风险管理过程中识别适当的安全措施以管理或减轻评估风险。安全维引人一组用于实施特定网络安全方面的安全措施。安全维的概念并不局限于网络,在应用或终端用户信息的环境中也可使用。此外,安全维适用于服务提供商或向客户提供安全服务的企业。安全维包括:(1)访问控制:(2)鉴别:(3)抗抵赖;(4)数据保密性;(5)通信流安全;(6)数据完整性:(7)可用性;(8)隐私。适当设计和实现的安全维支持为特定网络规定的安全策略,使得安全管理容易设置规则。6.1访问控制安全维访问控制安全维提供对使用网络资源的授权。访问控制确保只允许得到授权的人员或设备访问网络元素、存储的信息、信息流、服务和应用。例如,基于角色的访问控制(RBAC)提供不同的访问级别以保证人员和设备只能对已授权的网络元素,存储的信息和信息流进行访问并在其上执行操作。6.2鉴别安全维鉴别安全维的作用是确认通信实体的身份或其他授权属性。当鉴别被参与通信的实体的授权或访问控制(如人员、设备、服务或应用)使用时,它确保所声称身份的有效性和提供实体未企图冒充或未授权重放以前通信的保证。使用基于用户身份标识和令对、双因子鉴别(如令牌)、生物统计特征技术的鉴别方法被广泛使用。3筑321-标准查询下载网理时ZC.NE1
GB/T25068.2-2012/1S0/EC18028-2:20066.3抗抵赖安全维抗抵赖安全维提供技术手段,通过使各种与网络相关行动的证据(例如责任、意图或承诺的证据、数据原发证据、所有权证据、资源使用证据)可用,来防止个人或实体否认已执行与数据相关的特定动作。它有助于确保证据的可用性,这些证据能作为某种已发生的事态或动作的技术证据呈现给第三方。然而,需注意的是通过技术方法提供的抗抵赖不会导致必要的法律结论。经常使用密码学的方法来提供抗抵赖。6.4数据保密性安全维数据保密性安全维保护数据免遭未授权的泄漏。加密是一种经常用于确保数据保密性的方法。访问控制列表和文件权限是有助于保持数据保密性的方法。6.5通信流安全维通信流安全维确保信息只在授权端点之间流动(信息在这些端点之间流动时不会被转向或拦截)。通信流安全维的安全机制不能抵御修改/损坏;这是数据完整性的功能。MPLS隧道、VLAN和VPN是能提供通信流安全的技术实例。6.6数据完整性安全维数据完整性安全维确保数据的正确性或准确性(亦即数据只能被授权的过程或授权的人或设备的动作处理)。数据得到保护免避未授权的修改、副除、创和复制,且提供这些未授权活动的指示。散列消息鉴别码方法(如MD5、SHA-1)常用于确保数据的完整性。6.7可用性安全维可用性安全维确保未因对网络元素、存储的信息、信息流、服务和应用的授权访问影响网络而拒绝这些事态。灾难恢复解决方案也包含在此范畴中。6.8隐私安全维隐私安全维对可能源自网络活动观察的任何信息(通信方的身份或任何数据—包括包头一属于此方承载的任何活动)提供保护。这些信息的实例包括用户已访问的万维网站点、用户的地理位置、服务提供商网络中的P地址和设备的DNS名称:网络地址转换(NAT)和应用代理是能用于隐私保护技术的实例。隐私安全维也宜对个人信息的收集、处理和传播提供适当的保护结构和控制措施。7安全层为了提供端到端安全解决方案,第6章中描述的安全维必须应用于网络设备和设施分组的层次结构,称作安全层。这个参考体系结构定义3个安全层,即基础设施安全层、服务安全层和应用安全层,它们相互依赖以提供基于网络的解决方案。各个安全层是用于安全网络解决方案的一组使能器:基础设施安全层使能服务安全层、服务安全层使能应用安全层。该参考体系结构处理每一层都有不同的安全脆弱性的事实并提供以最适合特定安全层的方式来对抗潜在威胁的灵活性。是否较高级别必须假定较低级别安全已起到想要的作用或者是否它们宜包含检测失效的过程,其决定权留给实施。筑321-~标准查询下载网理时ZC.NEI
GB/T25068.2-2012/IS0/EC18028-2:2006宜注意的是安全层(前面已定义)有着与OSI层不同的含义。安全层通过提供网络安全的连续视角来识别安全必须被置于产品和解决方案中的何处。例如,首先为基础设施安全层处理安全脆弱性,然后为服务安全层,最后为应用安全层处理安全脆弱性。安全维识别需要在每个安全层中处理的域。图1描述每个安全维的机制如何应用于安全层,以降低每层中存在的脆弱性,从而缓解安全攻击。安全层应用安全学甲威胁服务安全脆弱性基础设施安全攻击8个安全维筑累'舞我.NE可7.1基础设施安全层基础设施安全层由通过安全维实施的机制所保护的网络传输设施和单个的网络元素组成。基础设施安全层代表网络、网络服务及应用的基本构块。属于基础设施安全层的组件实例有单个路由器、交换机和服务器以及单个路由器、交换机和服务器之间的通信链路。7.2服务安全层服务安全层处理服务提供商提供给客户的服务的安全。这些服务的范围从基本传输和连通性直到提供互联网访问(如鉴别、授权和计费服务、动态主机配置服务、域名服务等)所必需的服务使能器以及免费电话服务、QoS、VPN、定位服务、即时消息等增值服务。服务安全层用于保护服务提供商及其客户,这两者均为潜在的安全威胁目标。例如,攻击者可能试图否认服务提供商提供服务的能力,或者他们可能试图中断服务提供商(如企业)对某个客户的服务。7.3应用安全层应用安全层关注被服务提供商的客户访问的、基于网络的应用的安全。这些应用被网络服务使用且包括基本的文件传输(如FTP)和万维网浏览应用、目录、基于网络的语音消息和电子邮件之类的基本应用以及客户关系管理、电子/移动商务、基于网络的培训、视频协同之类的高端应用。基于网络的应用可由第三方应用服务提供商(ASP)、也起到ASP作用的服务提供商或由在自己的(或租用的)数据中心运营它们的企业来提供。在这一层中有4个潜在的安全攻击目标:应用用户、应用提供商、由第三方集成者提供的中间件(如万维网代管服务)以及服务提供商。筑321-~标准查询下载网理时ZC.NE1
GB/T25068.2一2012/IS0/IEC18028-2:20068安全面安全面是由为安全维实施的机制所保护的某种类型的网络活动。这一参考体系结构定义3个安全面来表示网络中发生的三种受到保护的活动。这些安全面包括:(1)管理安全面:(2)控制安全面;(3)终端用户安全面。这些安全面相应地处理与网络管理活动、网络控制或信令活动和终端用户活动相关的特定安全需求。网络系统宜用这样一种方式设计:一个安全面上的事态被尽可能多地保存并与其他安全面适当隔离。例如,由终端用户请求发起的终端用户安全面上的DNS查询洪泛,不宜把允许管理员改正问题的管理安全面中的OAM&P界面排除在外。图?说明包含安全面的参考体系结构。每种描述网络活动的类型都有其自身特定的安全需求。安全面的概念允许与那些活动相关的特定安全关注和独立处理它们的能力之间有差异。例如,考虑由服务安全层处理的VolP服务。VoIP服务管理(如配置用户)的安全保护必须独立于服务控制(如SIP之类的协议)的安全保护,也必须独立于正在由服务传输的终端用户数据(如用户语音)的安全保护。安全层应用安全威助脆弱性图冈基础设施安全攻击?终端用户安全面控制安全面8个安全维管理安全面图2安全面反映不同类型的网络活动8.1管理安全面管理安全面涉及网络元素、传输设施、后台系统(运行支持系统、业务支持系统、客户服务系统等等)和数据中心的OAM&P功能的保护。管理安全面支持故障、容量、管理、配置和安全(FCAPS)功能。宜注意的是,就服务提供商的用户通信流而言,承载这些活动通信流的网络可以是带内或带外的。8.2控制安全面控制安全面从事于使能穿越网络高效交付信息、服务和应用的活动保护。它通常包含机器对机器的信息通信,以允许机器(如交换机或路由器)确定如何最好地选择路由或交换穿越下层传输网络的通信流。这种类型信息有时被称作控制或信令信息。就服务提供商的用户通信流而言,承载这些类型消息的网络可是带内或带外的。例如,IP网络系统在带内承载其控制信息,而PSTN在一个分离的带外信令网络(SS7网络)中承载其控制信息。这种类型通信流的实例包括路由协议、DNS、SIP、SS7和6筑321-标准查询下载网筑素衬阀Z.Z沁
评星:

  • 0

  • 0

作品评论(0)

登录 后参与讨论
相关推荐:
本站所有资源由用户上传,仅供学习和交流之用;未经授权,禁止商用,否则产生的一切后果将由您自己承担!素材版权归原作者所有,如有侵权请立即与我们联系,我们将及时删除
收藏 免注册直接免费下载
下载地址二下载
下载出错?
浏览:109 次数:3
下载:免费下载 收藏:0
等级:
编号:200267 5
文件格式:pdf文本
文件大小:7.99MB
投稿:1001 进入
上传时间:2022/8/15 17:38:57
如有侵权请联系删除

您可能在找这些:

GBT 25068.1-2012 信息技术 安全技术 IT网络安全 第1部分:网络安全管理GBT 25030-2010 建筑物清洗维护质量要求GBT 24976.8-2010 电器附件环境设计导则 第8部分:家用和类似用途固定式电器装置的开关GB-T 9978.1-2008 建筑构件耐火试验方法 第1部分:通用要求GBT 9779-2015 复层建筑涂料GBT 9776-2008 建筑石膏GBT 9711-2017 石油天然气工业 管线输送系统用钢管 非正式版GBT 9536-2012 电气和电子设备用机电开关 第1部分 总规范GBT 9532-2012 压电单晶材料型号命名方法GBT 9468-2008 灯具分布光度测量的一般要求GBT 9443-2007铸钢件渗透检测GBT 9435-2012 彩色显像管有效屏面尺寸GBT 9393-2012 STZ3型电子测量仪器用电源连接器GBT 9330.2-2008 塑料绝缘控制电缆 第2部分:聚氯乙烯绝缘和护套控制电缆GBT 9158-2015 建筑门窗力学性能检测方法GBT 8446.3-2004 电力半导体器件用散热器 第3部分:绝缘件和紧固件
技术措施 09版-规划·建筑·景观 纠错表 幕墙检测收费标准2015年执行 木质防火门---1999沪J613 闽3003J101塑钢门窗 闽2010-J-34 福建 酚醛保温板外墙保温隔热建筑构造 闽2010-J-34 酚醛保温板外墙保温隔热建筑构造 闽2010-J-31建筑硅质刚性防水构造(DBJT13-85)1 闽2007G119 先张法预应力高强混凝土管桩 闽2006J10福建省蒸压砂加气混凝土砌块建筑构造 闽2006J10 蒸压砂加气混凝土砌块建筑构造 闽2005J03 平屋面建筑构造 闽2005J02坡屋面建筑构造 闽2005J02 坡屋面建筑构造 闽2004J05楼梯栏杆(DBJT13-70) 闽2004J05 楼梯栏杆 闽2004J04-A 福建省村镇住宅A型通用图 闽2004J02 闽2004J02 顶棚 闽2004G108 闽2004G108 锚杆静压桩

网站首页 典尚平台 建筑素材 三维模型 室内装修 视频素材网 上传教程 帮助中心 热门搜索 版权申明 关于我们 联系典尚

Copyright © 2000-2020 www.jzsc.net.粤ICP备07047611号 All Rights Reserved.

客服QQ:609470690 客服电话:0755-83549300 深圳市典尚风设计有限公司

Copyright© 2016典尚平台 JZSC.NET

网站推荐使用腾讯、Chrome浏览器浏览,不推荐360,很卡

粤公网安备 44030302000908号

QQ咨询
推广分享
×
复制本页url网址

推广详情

如您已登录,分享网址将自动加载您的推广编号,您将获得2元/注册用户的奖励。

推广记录  积分记录

网站首页
回顶部