1、ICS 35.040 L 80 道昌中华人民ft .、和国国家标准GB/T 25068.2-2012/ISO/IEC 18028-2: 2006 信息技术安全技术IT网络安全第2部分:网络安全体系结构Information technology-Security techniques-IT network security一Part 2: Network security architecture (ISOjIEC 18028-2: 2006 , IDT) 2012-06-29发布2012-10-01实施.,0.10553, . p叫衣飞跑g 码防伪中华人民共和国国家质量监督检验检亵总局中国国
2、家标准化管理委员会发布GB/T 25068.2-2012/ISO/IEC 18028-2: 2006 目次前言.1 引言.El 范围2 规范性引用文件-3 术语和定义4 缩略语25 网络安全参考体系结构.3 6 安全维37 安全层.4 8 安全面69 安全威胁.7 10 对安全维应用于安全层所实现目标的描述.8 参考文献.18G/T 25068.2-2012月SO/IEC18028-2: 2006 目Ui=i GB/T 25068(信息技术安全技术IT网络安全分为以下5个部分:一一第l部分:网络安全管理;一一第2部分:网络安全体系结构;一一第3部分:使用安全网关的网间通信安全保护;第4部分:远
3、程接入的安全保护;一一第5部分:使用虚拟专用网的跨网通信安全保护。本部分为GB/T25068的第2部分。本部分按照GB/T1. 1-2009给出的规则起草。本部分使用翻译法等同采用国际标准ISO/IEC18028-2: 2006(信息技术安全技术IT网络安全第2部分z网络安全体系结构。根据国情和GB/T1. 1的规定,做了如下一些编辑性修改:一一原文CCITTX. 800中的内容已在本部分引用的国家标准GB/T9387.2一1995中体现,故本部分不再引用X.800。一一在原文正文里使用的缩略语没有全部反映在第4章中,本部分在其中做了增补,增加的缩略语在其页边切口用单竖线1指示。一一-为避免干
4、扰章节编号,第5章中几个问题的数字编号改为字母编号。一由于我国尚未有隐私和数据保护的相关法律法规,故在6.8中删掉依据国家隐私和数据保护的法律法规。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本部分由全国信息安全标准化技术委员会(TC260)提出并归口。本部分起草单位:黑龙江省电子信息产品监督检验院、中国电子技术标准化研究所。本部分主要起草人z黄俊强、王希忠、方舟、马遥、王大萌、张清江、宋超臣、段志鸣、树彬、上官晓丽、许玉娜、王运福。I GB/T 25068.2-2012月SO/IEC18028-2: 2006 51 通信和信息技术业界一直在寻找经济有效的全面
5、安全解决方案。安全的网络应受到保护,免遭恶意和无意的攻击,并且应满足业务对信息和服务的保密性、完整性、可用性、抗抵赖、可核查性、真实性和可靠性的要求。保护网络安全对于适当维护计费或使用信息的准确性也是必要的。产品的安全保护能力对于全网的安全(包括应用和服务)是至关重要的。然而,当更多的产品被组合起来以提供整体解决方案,互操作性将决定这种解决方案的成功与否。安全不一定只是对每种产品或服务的单线关注,而必须以促进全面的端到端安全解决方案中各种安全能力交织的方式来开发。因此,GB/T25068的目的是为IT网络的管理、操作和使用及其互连等安全方面提供详细指南。组织中负责一般IT安全和特定IT网络安全
6、的人员应能够调整GB/T25068中的材料以满足他们的特定要求。GB/T25068的主要目标如下:GB/T 25068. 1定义和描述网络安全的相关概念,并提供网络安全管理指南包括考虑如何识别和分析与通信相关的因素以确立网络安全要求,还介绍可能的控制领域和特定的技术领域(相关内容在GB/T25068的后续部分中涉及); GB/T 25068. 2定义一个标准的安全体系结构,它描述一个支持规划、设计和实施网络安全的一致框架;一-GB/T25068. 3定义使用安全网关保护网络间信息流安全的技术;一-GB/T25068. 4定义保护远程接入安全的技术;GB/T 25068. 5定义对使用虚拟专用网
7、(VPN)建立的网络间连接进行安全保护的技术。GB/T 25068. 1与涉及拥有、操作或使用网络的所有人员相关。除了对信息安全(lS)和/或网络安全及网络操作负有特定责任的、或对组织的全面安全规划和安全策略开发负有责任的管理者和管理员外,还包括高级管理者和其他非技术性管理者或用户。GB/T 25068. 2与涉及规划、设计和实施网络安全体系结构方面的所有人员(例如IT网络管理者、管理员、工程师和IT网络安全主管)相关。GB/T 25068. 3与涉及详细规划、设计和实施安全网关的所有人员(例如IT网络管理者、管理员、工程师和IT网络安全主管)相关。GB/T 25068. 4与涉及详细规划、设
8、计和实施远程接人安全的所有人员(例如IT网络管理者、管理员、工程师和IT网络安全主管)相关。GB/T 25068. 5与涉及详细规划、设计和实施VPN安全的所有人员(例如IT网络管理者、管理员、工程师和IT网络安全主管)相关。E GB/T 25068.2-2012/ISO/IEC 18028-2 :2006 1 范围信息技术安全技术IT网络安全第2部分:网络安全体系结构GB/T 25068的本部分规定了用于提供端到端网络安全的网络安全体系结构。本部分适用于体系结构能应用于关注端到端安全且独立于网络下层技术的各种类型的网络。其目的是作为开发详细的端到端网络安全建议的基础。2 规范性引用文件下列文
9、件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 9387.2-1995信息处理系统开放系统互连基本参考模型第2部分z安全体系结构。SO7498号:1989,IDT)。3 术语和定义3. 1 3.2 3.3 3.4 3.5 ,、:.0 GB/T 9387. 2-1995中界定的下列术语和定义适用于本文件。访问控制access control 防止未授权使用资源,包括防止以未授权方式使用某一资源。数据原发鉴别data origin authentication 确认接收到的数据的来源是所
10、声称的。对等实体鉴别peer-entity authentication 确认某一关联中的对等实体是所声称的实体。可用性availability 已授权实体一旦需要就可访问和使用的特性。保密性confidentiality 使信息不世漏给未授权的个人、实体或过程或不使信息为其利用的特性。组据完整性data integrity 数据未经未授权方式修改或破坏的特性。1 GB/T 25068.2-2012/ISO/IEC 18028-2: 2006 3. 7 3.8 3.9 原发证据抗抵赖non-repudiation with proof of origin 为数据接收方提供数据源证据的安全服务。
11、注1:这将防范发送方否认发送数据或其内容的任何企图。注2:改编自GB/T9387.2-1995. 交付证据抗抵赖non-repudiation with proof of delivery 为数据发送方提供数据交付证据的安全服务。注1:这将防范接收方否认接收数据或其内容的任何后续企图。注2:改编自GB/T9387.2-1995. 隐私privacy 每个人都享有的控制或影响与其相关的什么信息可被收集和存储以及这些信息可被何人或对何人泄露的权利。4 缩暗语2 ASP ATM DHCP DNS DS-3 Ipsec 应用服务提供商(ApplicationService Provider) 异步传输
12、模式(AsynchronousTransfer Mode) 动态主机配置协议(DynamicHost Configuration Protocol) 域名系统(DomainName System) DS3数字信号攻击基础设施安全8个安全维对安全层应用安全维图1基础设施安全层基础设施安全层由通过安全维实施的机制所保护的网络传输设施和单个的网络元素组成。基础设施安全层代表网络、网络服务及应用的基本构建块。属于基础设施安全层的组件实例有单个路由器、交换机和服务器以及单个路由器、交换机和服务器之间的通信链路。7. 1 服务安全层服务安全层处理服务提供商提供给客户的服务的安全。这些服务的范围从基本传输和
13、连通性直到提供互联网访问(如鉴别、授权和计费服务、动态主机配置服务、域名服务等)所必需的服务使能器以及免费电话服务、QoS、VPN、定位服务、即时消息等增值服务。服务安全层用于保护服务提供商及其客户,这两者均为潜在的安全威胁目标。例如,攻击者可能试图否认服务提供商提供服务的能力,或者他们可能试图中断服务提供商(如企业)对某个客户的服务。7.2 应用安全层应用安全层关注被服务提供商的客户访问的、基于网络的应用的安全。这些应用被网络服务使用且包括基本的文件传输(如FTP)和万维网浏览应用、目录、基于网络的语音消息和电子邮件之类的基本应用以及客户关系管理、电子/移动商务、基于网络的培训、视频协同之类
14、的高端应用。基于网络的应用可由第三方应用服务提供商USP).也起到ASP作用的服务提供商吱fI:!在自R的(戎相用的)数据中心运营它们的企业来提供。在这一层中有4个潜在的安全攻击目标:应用用户、应用提供商、由第三方集成者提供的中间件(如万维网代管服务)以及服务提供商。5 7.3 GB/T 25068.2-2012/ISO/IEC 18028-2: 2006 安全面安全面是由为安全维实施的机制所保护的某种类型的网络活动。这一参考体系结构定义3个安全面来表示网络中发生的三种受到保护的活动。这些安全面包括:(1)管理安全面;(2)控制安全面;(3)终端用户安全面。这些安全面相应地处理与网络管理活动、
15、网络控制或信令活动和终端用户活动相关的特定安全需求。网络系统宜用这样一种方式设计z一个安全面上的事态被尽可能多地保存并与其他安全面适当隔离。例如,由终端用户请求发起的终端用户安全面上的DNS查询洪泛,不宜把允许管理员改正问题的管理安全面中的OAM&P界面排除在外。图2说明包含安全面的参考体系结构。每种描述网络活动的类型都有其自身特定的安全需求。安全面的概念允许与那些活动相关的特定安全关注和独立处理它们的能力之间有差异。例如,考虑由服务安全层处理的VoIP服务。VoIP服务管理(如配置用户)的安全保护必须独立于服务控制(如SIP之类的协议)的安全保护,也必须独立于正在由服务传输的终端用户数据(如
16、用户语音)的安全保护。8 |且时量|威胁II墨犁剧栩Mhm唱摇斜阳啊时属也圆明划髓恳附带领5|E 喜剧冉霍熔币s攻击基础设施安全8个安全维终端用户安全面控制安全面管理安全面安全面反映不同类型的网络活动圈2管理安全面管理安全面涉及网络元素、传输设施、后台系统(运行支持系统、业务支持系统、客户服务系统等等)和数据中心的OAM&P功能的保护。管理安全面支持故障、容量、管理、配置和安全(FCAPS)功能。宜注意的是,就服务提供商的用户通信流而言,承载这些活动通信流的网络可以是带内或带外的。8. 1 控制安全面控制安全面从事于使能穿越网络高效交付信息、服务和应用的活动保护。它通常包含机器对机器的信息通信
17、,以允许机器(如交换机或路由器)确定如何最好地选择路由或交换穿越下层传输网络的通信流。这种类型信息有时被称作控制或信令信息。就服务提供商的用户通信流而言,承载这些类型消息的网络可是带内或带外的。例如.IP网络系统在带内承载其控制信息,而PSTN在一个分离的带外信令网络(SS7网络)中承载其控制信息。这种类型通信流的实例包括路由协议、DNS、SIP、SS7和8.2 GB/T 25068.2-2012月SO/IEC18028-2: 2006 Megaco/H.248等。8.3 终端用户安全面终端用户安全面处理客户访问和使用服务提供商网络的安全。这个平面也涉及实际终端用户数据流的保护。终端用户可使用
18、只提供连通性的网络,他们可使用它来提供VPN之类的增值服务,或者可使用它来访问基于网络的应用。9 安全威胁这一参考体系结构定义一个规划和一套原则以描述端到端安全解决方案的安全结构。为防止有意威胁以及偶然威胁,该体系结构识别需要被处理的安全问题。下列威胁在GB/T9387.2-1995中描述:a) 信息和/或其他资源的破坏zb) 信息的损坏或修改;c) 信息和/或其他资源的窃取、移动或丢失;d) 信息泄漏;e) 服务中断。每个安全层与每个安全面的交集表示一个安全维应用于对抗威胁的安全视图。表1提供一个安全维至安全威胁的映射。该映射对每个安全视图相同。表格的行与列的交集所形成单元中的字母Y表示特定
19、安全威胁被相应的安全维对抗。表1安全维至安全威胁的映射安全威胁安全维信息或其他信息的损信息和其他资源的信息服务资源的破坏坏或修改窃取、移动或丢失泄漏中断访问控制Y Y Y Y 鉴别Y Y 抗抵赖Y Y Y Y Y 数据保密性Y Y 通信流安全Y Y 数据完整性Y Y 可用性Y Y 隐私Y 图3说明具有所示体系结构元素的参考体系结构并指出前面描述的安全威胁。此图描述用每个安全层的每个安全面上的安全维来保护网络的概念以提供全面的安全解决方案。宜注意的是,根据一个给定网络的安全要求,可能不必让所有的体系结构元素(即具有一稳套安令维、安舍层和安全面)都得到实施。7 GB/T 25068.2-2012/
20、ISO/IEC 18028-2: 2006 r 安全层/ /飞/飞应用安全 严|嘉轩件已|数通数访抗据信据服务安全问鉴抵保流Y主E俨甲|控别赖密安整制性全性日中基础设施安全G雪雪2-./ 终端用户安全面控制安全面管理安全面图3端到端网络安全参考体系结构10 对安全维应用于安全层所实现目标的描述可用隐性私、严该参考体系结构能应用于图4中所描述的安全项目的所有方面和阶段。如图4所示,安全项目除技术外还包括策略和规程,并且贯穿其生命期过程的3个阶段:(1)定义和规划阶段;(2)实施阶段;(3)维护阶段。该参考体系结构连同ISO/IEC13335的指南能跨越安全项目的所有3个阶段,应用于安全策略和规程
21、以及技术。网络体系结构、策略定义、事件响应和恢复规划基于业务要求而确定。在此过程中,该参考体系结构能够通过在定义和规划阶段考虑每个安全层和安全面上的安全维,来指导全面安全策略定义、事件响应和恢复计划及技术体系结构的开发。随着策略和规程的推行和技术的部署,该参考体系结构也能用作安全评估的基础,用以检验安全项目的实施如何处理安全维、安全层和安全面。一旦安全项目被部署,就必须得到维护以使其在不断变化的安全环境中保持更新。该参考体系结构能通过确保对安全项目的修改处理每个安全层和安全面上的每个安全维,从而帮助管理安全策略和规程、事件响应和恢复规划及技术体系结构。8 4 能够应用于整个网络安全生命周期/
22、。因时,Mmog-M|NO-M由皂白二。NEMHMOOf飞f飞广f飞、威胁|( 破坏) ( j;:j; ) C豆豆二二 中断) 攻击._; .1 .1 .1 .1.1 .1 .1、电 / I I / 8个安全维I / ./ 安全层应用安全隐私可用性数据完整性通信流安全数据保密性抗抵赖鉴别访问控制| P| |I 一时, f 脆弱性终端用户安全而细一面安一全制一安控一理管应用参考安全架构的安全程序图4 GB/T 25068.2-2012月SO/IEC18028-2:2006 此外,该参考体系结构能够应用于任一级协议榜上的任一种网络。例如,在驻留于协议校第3层的IP网络中,基础设施安全层是指单个的路
23、由器、路由器(如SONET、ATMPVC等)之间的点对点通信链路以及用于提供IP网络所要求的支持服务的服务器平台。服务安全层是指基本IP服务本身(如互联网连通性)、IP支持服务(如AAA、DNS、DHCP等)以及服务提供商提供的高级增值服务(如VoIP、QoS、VPN等)。最后,应用安全层是指经由IP网络访问的用户应用(如电子邮件等)安全。同样,对于驻留于协议枝第2层的ATM网络,基础设施安全层是指单个的交换机和交换机之间的点对点通信链路(承载设施,例如DS3数字信号)。服务安全层是指ATM服务提供的不同的传输种类(固定比特率、可变比特率(实时)、可变比特率(非实时)、可用比特率和未指定比特率
24、)。最后,应用安全层是指终端用户正使用ATM网络访问的应用,例如视频会议应用。图5以表格形式示出该参考体系结构并说明一种保护网络的系统途径。从此图中能发现,安全层与安全面的交叉点表示一个考虑到8个安全维的独特视图。9个模块都与应用于特定安全面的特定安全层的8个安全维相结合。宜注意的是,不同模块的安全维可有不同的目标,因此,可包含不同的安全措施集。表格形式为描述每个模块的安全维目标提供一种便利方式。基础设施安全层服务安全层应用安全层管理安全面模块1_)模块4模块7控制安全面做2模块5模块日终端用户安全面模块3模块6模块9 访问控制I I 通信流鉴别I I 完整性抗抵赖I I 可用性数据保密性I
25、I 隐私8个安全维图5表格形式的参考体系结构宜注意的是,在后面表格中使用的保护概念包含着创建用于检测控制机制在哪里失效的机制,且确保为动作而报告事态和/或设备/过程适当地纠正这种失效的任何后果。10. 1 基倒挺跑去金屋基础设施安全层的管理安全面的安全保护涉及操作、管理、维护和配置COAM&凹的安全保护以及单个网络元素、通信链路和包含网络的服务器平台的配置。一个需要得到保护的基础设施管理的实例是由网络操作人员配置的单个路由器或交换机。表2描述将安全维应用于基础设施安全层的管理安10 GB/T 25068.2-2012/ISO/IEC 18028-2: 2006 全面的目标。表2将安全维应用于基
26、础设施安全层的管理安全面模块1:基础设施安全层的管理安全面安全维安全目标访问控制确保只允许授权人员或设备在网络设备或通信链路上执行或试图执行常规管理或管理活动(如SNMP管理设备的情形)。这适用于经由端口的设备直接管理和设备的远程管理鉴别验证在网络设备或通信链路上执行常规管理或管理活动的人员或设备的身份。可要求鉴别技术作为访问控制的一部分抗抵赖提供一个识别在网络设备或通信链路上执行每个常规管理或管理活动的人员或设备及其所执行动作的记录。此记录能用作常规管理或管理活动原发者的证据保护网络设备或通信链路配置信息免受未授权访问或查看。这适用于驻留在网络设备或通信链路中的配置信息、正被传输到网络设备或
27、通信链路的配置信息以及离线存储的备份配置数据保密性信息。保护常规管理鉴别信息(如管理员身份标识和口令)免受未授权访问或查看。用于处理访问控制的技术可有助于提供数据保密性在远程管理网络设备或通信链路的情形中,确保管理信息只在远程管理站与正被管理的设备通信流安全或通信链路之间流动。当管理信息在这些端点之间流动时它不会被转向或拦截。同样类型的考量适用于常规管理鉴别信息(如管理员身份标识和口令)保护网络设备和通信链路的配置信息免受未授权修改。此保护适用于驻留在网络设备或通数据完整性信链路中的配置信息及正在传输或存储于离线系统中的配置信息。同样类型的考量适用于常规管理鉴别信息(如管理员身份标识和口令)确
28、保由授权人员或设备管理网络设备或通信链路的能力不能被否认。这包括抵御拒绝服务可用性(DoS)攻击之类的主动攻击以及抵御对常规管理鉴别信息付日管理员身份标识和口令)进行修改或删除之类的被动攻击确保能用于识别网络设备或通信链路的信息对未授权人员或设备是不可用的。此类信息的隐私实例包括网络设备IP地址或DNS域名。例如,能识别给攻击者提供目标信息的网络设备。确保通过网络来收集、处理和传播个人信息以便符合当地数据保护的法律法规基础设施安全层的控制安全面的安全保护包括驻留于网络元素和包含网络的服务器平台中的控制或信令信息的安全保护以及网络元素和服务器平台的控制或信令信息的接收和传输的安全保护。例如,驻留
29、于网络交换机上的交换表需要得到保护而免遭篡改或未授权泄漏。在另一个实例中,路由器需要得到保护以免接收和传播伪造的路由更新或响应源自欺骗路由器的伪造路由请求。表3描述将安全维应用于基础设施安全层的控制安全面的目标。表3将安全维应用于基础设施安全层的控制安全面模块2:基础设施安全层的控制安全面安全维安全目标确保只允许授权人员或设备访问或试图访问驻留于网络设备(如路由表)中或离线存储的控访问控制制信息。确保网络设备将仅从授权网络设备接收控制信息消息(如路由更新验证观察或修改驻留于网络设备中控制信息的人员或设备的身份。鉴别验证经网络发送控制信息的设备的身份。可要求鉴别技术作为访问控制的一部分11 GB
30、/T 25068.2-2012月SO/IEC18028-2: 2006 表3(续)模块2:基础设施安全层的控制安全面安全维安全目标提供一个识别每个观察过或修改过网络设备中控制信息的人员或设备及其所执行动作的记抗抵赖录。此记录能用作访问或修改控制信息的证据。提供一个识别发起发送给网络设备的控制消息的设备及其所执行动作的记录。此记录能用作设备发起控制消息的证据保护驻留于网络设备中或离线存储的控制信息免受未授权访问或查看。用于处理访问控制数据保密性的技术可有助于为驻留于网络设备中的控制信息提供数据保密性。保护预定送往网络设备的控制信息在穿越网络传输时免受未授权访问或查看通信流安全确保正穿越网络传输的
31、控制信息(如路由更新)只在控制信息源与其期望目的地之间流动。当控制信息在这些端点之间流动时它不会被转向或拦截数据完整性保护驻留于网络设备中、正穿越网络传输或离线存储的控制信息免受未授权修改可用性确保网络设备总是可用于从授权源接收控制信息。这包括抵御拒绝服务(DoS)攻击之类的故意攻击和偶然发生事件(如路由翻动)确保能用于识别网络设备或通信链路的信息对未授权人员或设备是不可用的。此类信息的隐私实例包括网络设备IP地址或DNS域名。例如,能识别给攻击者提供目标信息的网络设备或通信链路。确保通过网络来收集、处理和传播个人信息以便符合当地数据保护的法律法规基础设施安全层的终端用户安全面的安全保护包括驻
32、留于网络元素中或通过网络正穿越通信链路传输的用户数据和语音的安全保护。在这里驻留于服务器平台上的用户数据的安全保护涉及传输于网络元素中或穿越通信链路传输的用户数据免受非法拦截的安全保护。表4描述将安全维应用于基础设施安全层的终端用户安全面的目标。表4将安全维应用于基础设施安全层的终端用户安全面模块3:基础设施安全层的终端用户安全面安全维安全目标访问控制确保只允许授权人员或设备访问或试图访问在网络兀素或通信链路中传输的或驻留在离线存储设备上的终端用户数据验证试图访问在网络元素或通信链路中传输的或驻留在离线存储设备上的终端用户数据的鉴别人员或设备的身份。可要求鉴别技术作为访问控制的一部分提供一个识
33、别访问在网络元素或通信链路中传输的或驻留在离线设备上的终端用户数据的抗抵赖每个人员或设备及其所执行动作的记录。此记录能用作访问终端用户数据的证据数据保密性保护在网络元素或通信链路中传输的或驻留在离线存储设备上的终端用户数据免受未授权访问或查看。用于处理访问控制的技术可有助于为终端用户数据提供数据保密性通信流安全确保在超越授权访问情形下,在网络元素或通信链路中传输的终端用户数据在这些端点之间流动时不会被转向或拦截(如合法窃听)数据完整性保护在网络元素或通信链路中传输的或驻留于离线存储设备上的终端用户数据免受未授权|修改12 GB/T 25068.2-2012/ISO/IEC 18028-2: 2
34、006 表4(续)模块3:基础设施安全层的终端用户安全面安全维安全目标确保授权人员(包括终端用户)或设备访问驻留于设备上的终端用户数据不能被拒绝。这包可用性括抵御拒绝服务(DoS)攻击之类的主动攻击以及抵御对鉴别信息(如用户身份标识和口令、管理员身份标识和口令)进行修改或删除之类的被动攻击确保网络元素不向未授权人员或设备提供关于终端用户网络活动的信息(如用户的地理位隐私置、访问的万维网站点等。确保通过网络来收集、处理和传播个人信息以便符合当地数据保护的法律法规10.2 服务安全层为满足客户要求而使服务可相互依赖,这个事实使服务安全层的安全保护变得复杂化。例如,为了提供VoIP服务,服务提供商必
35、须首先提供基础IP服务以及必要的AAA、DHCP、DNS之类的使能服务。为满足客户对VoIP服务的QoS和安全的要求,服务提供商可能也需要部署一个VPN服务。因此,基于如下考量的服务必须分解成复合的服务来处理其整体安全。服务安全层的管理安全面的安全保护涉及到网络服务的OAM&P功能和配置的安全保护。需要安全保护管理的服务的一个实例是网络操作人员配置特定终端用户中的授权用户的服务。表5描述将安全维应用于服务安全层的管理安全面的目标。表5将安全维应用于服务安全层的管理安全面模式4:服务安全层的管理安全面安全维安全目标访问控制确保只允许授权人员或设备执行或试图执行网络服务的常规管理或管理活动(如配置
36、该服务的用户鉴别验证试图执行网络服务的常规管理或管理活动的人员或设备的身份。可要求鉴别技术作为访问控制的一部分抗抵赖提供一个识别执行网络服务的常规管理或管理活动的人员或设备及其所执行动作的记录。此记录能用作所指示的人员或设备执行了常规管理或管理活动的证据保护网络服务的配置和管理信息(如可下载的VPN服务IPsec客户端设置)免受未授权访问数据保密性或查看。这适用于驻留在网络设备中、正穿越网络传输或离线存储的管理和配置信息。保护网络服务的常规管理或管理信息(如用户身份标识和口令、管理员身份标识和口令)免受未授权访问或查看在网络服务远程管理的情形中,确保常规管理或管理信息仅在远程管理站与正作为网络
37、服务通信流安全一部分被管理的设备之间流动。当常规管理和管理信息在这些端点之间流动时它不会被转向或拦截。同样类型的考量适用于网络服务鉴别信息(如用户身份标识和口令、管理员身份标识和口令)保护网络服务的常规管理和管理信息免受未授权修改。此保护适用于驻留在网络设备中、正数据完整性穿越网络传输或存储于离线系统上的常规管理和管理信息。同样类型的考量适用于网络服务鉴别信息(如用户身份标识和口令、管理员身份标识和口令)13 GB/T 25068.2-2012/ISO/IEC 18028-2: 2006 表5(续)模式4:服务安全层的管理安全面安全维安全目标确保由授权人员或设备管理网络服务的能力不能被否认。这
38、包括抵御拒绝服务(DoS)攻击之可用性类的主动攻击以及抵御对网络服务常规管理鉴别信息(如管理员身份标识和口令)进行修改或删除之类的被动攻击确保能用于识别网络服务常规管理或管理系统的信息对未授权人员或设备是不可用的。此隐私类信息的实例包括系统IP地址或DNS域名。例如,能识别给攻击者提供目标信息的网络服务常规管理系统。确保通过网络来收集、处理和传播个人信息以便符合当地数据保护的法律法规服务安全层的控制安全面的安全保护包括网络服务使用的控制或信令信息的安全保护。例如,在这里处理用于发起和保持VoIP会话的SIP协议的安全保护问题。表6描述将安全维应用于服务安全层的控制安全面的目标。表6将安全维应用
39、于服务安全层的控制安全面模式5:服务安全层的控制安全面安全维安全目标访问控制在接受网络设备为网络服务接收的控制信息之前确保该信息来自授权源(如VoIP会话发起消息来源于授权用户或设备。例如,抵御未授权设备欺骗VoIP会话发起消息鉴别验证发送到参与网络服务的网络设备的网络服务控制信息源的身份。可要求鉴别技术作为访问控制的一部分抗抵赖提供一个识别发起由参与网络服务的网络设备接收的网络服务控制消息的人员或设备及其所执行动作的记录。此记录能用作人员或设备发起网络服务控制消息的证据保护驻留于网络设备中、正穿越网络传输或离线存储的网络服务控制信息(如IPsec会话数据数据保密性库)免受未授权访问或查看。用
40、于处理访问控制的技术可有助于为驻留于网络设备中的网络服务控制信息提供数据保密性通信流安全确保正穿越网络传输的网络服务控制信息(如IPsec密钥协商消息)只在控制信息源与其期望目的地之间流动。当网络服务控制信息在这些端点之间流动时它不会被转向或拦截数据完整性保护驻留于网络设备中、正穿越网络传输或离线存储的网络服务控制信息免受未授权修改可用性确保参与网络服务的网络设备总是可用于从授权源接收控制信息。这包括抵御拒绝服务(DoS)攻击之类的主动攻击确保能用于识别参与网络服务的网络设备或通信链路的信息对未授权人员或设备是不可用隐私的。此类信息的实例包括网络设备F地址或DNS域名,例如,能识别给攻击者提供
41、目标信息的网络设备或通信链路。确保通过网络来收集、处理和传播个人信息以便符合当地数据保护的法律法规服务安全层的终端用户安全面的安全保护包括使用网络服务的用户数据和语音的安全保护。例如,在VoIP服务中必须保护用户会话的保密性。同样,DNS服务必须确保服务用户的保密性。表7描述将安全维应用于服务安全层的终端用户安全面的目标。14 GB/T 25068.2-2012月SO/IEC18028-2: 2006 表7将安全维应用于服务安全层的终端用户安全面模式6:服务安全层的终端用户安全面安全维安全目标访问控制确保只允许授权用户和设备访问或试图访问和使用网络服务鉴别验证试图访问和使用网络服务的用户或设备
42、的身份。可要求鉴别技术作为访问控制的一部分抗抵赖提供一个识别访问和使用网络服务的每个用户和设备及其所执行动作的记录。此记录能用作终端用户或设备访问和使用网络服务的证据数据保密性保护网络服务正在传输、处理或存储的终端用户数据免受未授权访问或查看。用于处理访问控制的技术可有助于为终端用户数据提供数据保密性通信流安全确保在超越授权访问情形下,网络服务正在传输、处理或存储的终端用户数据在这些端点之间流动时不会被转向或拦截(如合法窃昕数据完整性确保网络服务正在传输、处理或存储的终端用户数据免受未授权修改保证授权终端用户或设备访问网络服务不能被否认。这包括抵御拒绝服务(Do日攻击之类的可用性主动攻击以及抵
43、御对终端用户鉴别信息(如用户身份标识和口令进行修改或删除之类的被动攻击隐私确保网络服务不提供关于终端用户服务的使用信息(如对于VoIP服务或被叫用户)给未授权人员或设备。确保通过网络来收集、处理和传播个人信息以便符合当地数据保护的法律法规10.3 应用安全层应用安全层的管理安全面的安全保护涉及基于网络应用的OAM&P功能和配置的安全保护。对于电子邮件应用来说,需要保护的管理动作的一个实例是用户邮箱的配置和常规管理。表8描述将安全维应用于应用安全层的管理安全面的目标。表8将安全维应用于应用安全层的管理安全面模式7:应用安全层的管理安全面安全维安全目标访问控制确保只允许授权人员或设备执行或试图执行
44、基于网络应用的常规管理或管理活动(如为电子邮件应用管理用户邮箱鉴别验证试图执行基于网络应用的常规管理或管理活动的人员或设备的身份。可要求鉴别技术作为访问控制的一部分抗抵赖提供一个识别执行基于网络应用的每个常规管理或管理活动的人员或设备及其所执行动作的记录。此记录能用作常规管理或管理活动与执行它的人员或设备的指示一起执行的证据保护在创建和执行基于网络的应用程序过程中所使用的所有文件(如源文件、目标文件、可执行文件、临时文件等)和应用配置文件免受未授权访问或查看。这适用于驻留在网络设备中、数据保密性正穿越网络传输或离线存储的应用文件。保护基于网络应用的常规管理或管理信息(如用户身份标识和口令、管理
45、员身份标识和口令)免受未授权访问或查看在远程管理或操纵基于网络应用的情形中,确保常规管理或管理信息只在远程管理站与组成基于网络应用的设备之间流动。当常规管理或管理信息在这些端点之间流动时它不会被转通信流安全向或拦截。同样类型的考量适用于基于网络应用的常规管理或管理信息(如用户身份标识和口令、管理员身份标识和口令)15 GB/T 25068.2-2012月SO/IEC18028-2: 2006 表8(续)模式7:应用安全层的管理安全面安全维安全目标保护在创建和执行基于网络的应用程序过程中所使用的所有文件(如源文件、目标文件、可执行文件、临时文件等)和应用配置文件免受未授权修改。此保护也适用于驻留
46、在网络设备中、数据完整性正穿越网络传输或存储在离线系统中的应用文件。同样类型的考量适用于基于网络应用的常规管理或管理信息(如用户身份标识和口令、管理员身份标识和口令)确保由授权人员或设备管理或操纵基于网络应用的能力不能被否认。这包括抵御拒绝服务可用性(DoS)攻击之类的主动攻击以及抵御对基于网络应用的常规管理鉴别信息(如管理员身份标识和口令)进行修改或删除之类的被动攻击确保能用于识别基于网络应用的常规管理或管理系统的信息对未授权人员或设备是不可用隐私的。此类信息的实例包括系统IP地址或DNS域名。例如,能识别给攻击者提供目标信息的基于网络应用的常规管理系统。确保通过网络来收集、处理和传播个人信
47、息以便符合当地数据保护的法律法规应用安全层的控制安全面的安全保护包括基于网络应用使用的控制或信令信息的安全保护。这种信息通常会引发执行响应接收信息动作的应用程序。例如,在这里处理用于控制电子邮件交付的SMTP和POP协议的安全保护问题。表9描述将安全维应用于应用安全层的控制安全面的目标。表9将安全维应用于应用安全层的控制安全面模式8:应用安全层的控制安全面安全维安全目标访问控制在接受参与基于网络应用的网络设备接收的应用控制信息之前确保该信息来自授权源(如请求电子邮件传输的SMTP消息)。例如,抵御未授权设备欺骗SMTP客户鉴别验证发送到参与基于网络应用的网络设备的应用控制信息源的身份。可要求鉴别技术作为l访问控制的一部分抗抵赖提供一个识别发起由参与基于网络应用的网络设备接收的应用控制消息的人员或设备及其所执行动作的记录。此记录能用作人员或设备发起应用控制消息的证据保护驻留于网络设备中、正穿越网络传输或离线存储的应用控制信息(如SSL或TLS会话数数据保密性据库)免受未授权访问或查看。用于处理访问控制的技术可有助于为驻留于网络设备中基于网络应用的控制信息提供数据保密性通信流
