信息技术 安全技术 网络安全 第3部分：面向网络接入场景的威胁、设计技术和控制-编制说明

一、工作简况1、总体情况根据黑龙江省网络空间研究中心的申请，全国信息安全标准化技术委员会于2019年9月下达了《信息技术安全技术网络安全第3部分：参考网络场景—风险、设计技术和控制要素》的标准制定任务。国家标准化管理委员会于2020年第一批推荐性国家标准制修订计划下达了《信息技术安全技术网络安全第3部分：参考网络场景—风险、设计技术和控制要素》国家标准计划（计划号：20201688—T—469），由黑龙江省网络空间研究中心牵头承担标准制定工作，起草单位包括：中国电子技术标准化研究院、哈尔滨安天科技集团股份有限公司、黑龙江安信与诚科技开发有限公司等。2、标准制定的主要工作过程如下：2017－2018年12月，跟踪研究ISO/IEC27033系列国际标准的研制情况，翻译了国际标准ISO/IEC27033-3多个版本的中文文本，且多次在专家、成员单位、管理部门等范围内进行讨论和征求意见，并根据这些意见形成了标准草稿；2019年1月—2019年9月，对标准草稿细化、校对翻译稿，重新整理语序，形成本标准草案；2019年10月27日—30日在全国信息安全标准化技术委员会2019年第二次会议周上汇报标准修订进展情况，对标准草案征集意见；2020年8月—2017年10月，标准编制组经过多次讨论和修订，对搜集到的资料分类整理、规范语言，统一格式，并对翻译稿进行再次细化校对，形成标准草案稿。2020年5月12-15日，在全国信息安全标准化技术委员会2020年第一次会议周上汇报标准修订进展情况，对标准草案征集意见。2020年6月，根据2020年第一次会议周意见对标准文本进行了修改，即将提交TC260/WG6工作组，进入征求意见阶段。3、各阶段稿件意见的处理情况工作组草案及征求意见稿（初稿）阶段，共参与了2次全国信息安全标准化委员会会议周，共收到反馈意见7条，采纳5条，未采纳2条，具体参见意见汇总处理表。二、标准编制原则和确定主要内容的论据及解决的主要问题1、标准编制的主要原则1）遵循现行国家标准为基础，等同采用国际新标准。本标准编写格式符合国家标准GB/T1.1-2020的规定。2）贯彻国家有关政策与法规本部分凡涉及网络安全的相关法律法规，按国家有关法规实施；3）认真记录、反复衡量、综合分析各方意见，多方征集行业企业的意见和反馈在《信息技术安全技术网络安全第3部分：参考网络场景—风险、设计技术和控制要素》国家标准修订过程中，各起草单位齐心协力，在充分沟通和交流的基础上，形成了标准编制组内统一的标准文本。2、本标准的主要内容本标准规定了与网络场景相关的威胁、设计技术和控制要素，为每一个网络场景提供了能够降低相关风险的安全威胁、安全设计技术以及控制要素的详细指南，旨在全面地定义和实施任何组织网络环境的安全。本标准适用于所有拥有、运行或使用网络的组织和个人；本标准适用于评估安全体系结构及安全体系设计，选择和记录符合要求的首选网络安全架构、网络安全设计和相关的选项。本标准的主要框架如下：前言1范围2规范性引用文件3术语和定义4缩略语5文档结构6概述7员工的互联网接入服务8企业对企业的服务9企业对客户的服务10增强协作服务11网络分段12为家庭和小型企业办公提供网络支持13移动通信14为传输用户提供网络支持15外包服务附录A附录B3、本标准在确定主要内容时主要基于如下几个方面：《信息技术安全技术IT网络安全第4部分：远程接入的安全保护》是黑龙江省网络空间研究中心在2010年承担编制的国家标准，中心多年来一直跟踪该标准所采用的国际标准修订情况，该标准所对应的国际标准《信息技术安全技术网络安全第3部分：参考网络场景—风险、设计技术和控制要素》是整个ISO/IEC27033系列标准的第三部分，按照国际标准对现行国家标准的修订具有重要的意义。等同采用国际标准《信息技术安全技术网络安全第3部分：参考网络场景—风险，设计技术和控制要素》（《Informationtechnology—Securitytechniques—NetworksecurityPart3:Referencenetworkingscenarios—Threats,designtechniquesandcontrolissues》），对国家标准《信息技术安全技术IT网络安全第4部分：远程接入的安全保护》进行修订。三、主要试验[或验证]情况分析标准各项要求在部分起草单位设备上进行了验证，效果良好。四、知识产权情况说明本标准不涉及知识产权问题。五、产业化情况、推广应用论证和预期达到的经济效果本标准等同采用《Informationtechnology—Securitytechniques—NetworksecurityPart3:Referencenetworkingscenarios—Threats,designtechniquesandcontrolissues》（《信息技术安全技术网络安全第3部分:参考网络场景—风险，设计技术和控制要素》）标准，利用专业技术人员对相关标准进行翻译，同时结合我国信息技术、安全技术和网络安全的实际情况进行编制，从而形成国家标准草案。本校准适用于任何计划设计、实施网络安全的组织机构。本标准提供了网络安全和相关定义的概述，定义和描述与网络安全相关的概念，并提供有关网络安全的管理指导。此外，该标准还提供了基于如何识别和分析网络安全风险以及网络安全要求定义的指导、持网络技术安全架构和相关技术控制的概述和介绍如何实现良好质量的网络技术安全架构，以及与典型网络场景和网络“技术”领域。六、采用国际标准和国外先进标准情况本标准等同采用《Informationtechnology—Securitytechniques—NetworksecurityPart3:Referencenetworkingscenarios—Threats,designtechniquesandcontrolissues》（《信息技术安全技术网络安全第3部分:参考网络场景—风险，设计技术和控制要素》）标准，基于翻译法，通过对语序的调整，以便符合中文阅读习惯。七、与现行相关法律、法规、规章及相关标准的协调性1、贯彻国家有关政策与法规本标准中涉及网络安全设计原则与实施指南符合国家网络安全有关规定。2、与相关国内相关标准的关系本标准与我国现行的法律、法规及国家标准、国家军用标准、行业标准不存在冲突问题。本标准发布后，将替代原有标准《信息技术安全技术IT网络安全第4部分：远程接入的安全保护》。为了能同国际标准相接轨，应将按照国际标准的修订情况相应对《信息技术安全技术IT网络安全第4部分：远程接入的安全保护》进行修订。八、重大分歧意见的处理经过和依据本标准起草过程中未出现重大分歧，妥善处理了各阶段收到的专家意见和建议。九、标准性质的建议本标准应作为一项推荐性国家标准。十、贯彻标准的要求和措施建议本标准的技术已较为成熟，实施难度不大，建议本标准的发布日期与实施日期相隔六个月的时间。为了使标准的规定得到有效贯彻，建议全国信安标委及时通知行业内各单位本标准的发布信息，在过渡期内组织编写标准宣贯材料及宣贯活动。十一、替代或废止现行相关标准的建议本标准代替GB/T25068.4-2010《信息技术安全技术IT网络安全第4部分：远程接入的安全保护》，建议本标准实施后，代替GB/T25068.4-2010。十二、其它应予说明的事项