信息技术 安全技术 网络安全 第4部分：使用安全网关的网间通信安全保护-编制说明

一、工作简况1、总体情况根据黑龙江省网络空间研究中心的申请，全国信息安全标准化技术委员会于2019年11月下达了《信息技术安全技术网络安全第4部分：使用安全网关的网间通信安全保护》的标准制定任务。国家标准化管理委员会于2020年第一批国家标准制修订计划下达了《信息技术安全技术网络安全第4部分：使用安全网关的网间通信安全保护》国家标准制定计划（计划号：20201689-T-469），由黑龙江省网络空间研究中心牵头承担标准制定工作，起草单位包括：中国电子技术标准化研究院、哈尔滨安天科技集团股份有限公司、黑龙江安信与诚科技开发有限公司、上海工业控制安全创新科技有限公司等。2、标准制定的主要工作过程如下：2019年9月－2020年1月，跟踪研究ISO/IEC27033系列国际标准的研制情况，翻译了国际标准ISO/IEC27033-4多个版本的中文文本，且多次在专家、成员单位、管理部门等范围内进行讨论和征求意见，并根据这些意见形成了标准草案；2020年1月—2020年3月，广泛地收集相关资料和国内网络安全、网络安全管理相关文档、资料、学术文献和法律法规，形成本标准第一阶段草稿；2020年4月—2020年5月，对第一阶段草稿细化、校对翻译稿，重新整理语序，形成本标准第二阶段草稿；2020年5月—2020年6月，标准编制组经过多次讨论和修订，对搜集到的资料分类整理、规范语言，统一格式，并对翻译稿进行再次细化校对，形成标准草案稿。3、各阶段稿件意见的处理情况工作组草案阶段，共进行了2次专家评审和征集意见工作，共收到反馈意见4条，其中全部采纳3条，部分采纳1条，具体参见意见汇总处理表。二、标准编制原则和确定主要内容的论据及解决的主要问题1、标准编制的主要原则1）遵循现行国家标准为基础，等同采用国际新标准。本标准编写格式符合国家标准GB/T1.1-2020的规定。2）贯彻国家有关政策与法规本部分凡涉及网络安全事件的判定与处置，均按国家有关法规实施；3）认真记录、反复衡量、综合分析各方意见，多方征集行业企业的意见和反馈在《信息技术安全技术网络安全第4部分：使用安全网关的网间通信安全保护》国家标准修订过程中，各起草单位齐心协力，在充分沟通和交流的基础上，形成了标准编制组内统一的标准文本。之后按照信安标委的要求开展广泛的征求意见工作，并已根据征求到的意见对标准文本进行修改和完善。2、本标准的主要内容本部分规定了网络安全概述和相关定义。定义和描述与网络安全相关的概念，并提供有关网络安全的管理指南。（本文中网络安全不仅适用于通过通信链路传送的信息安全，还适用于设备安全，以及与设备、应用/服务和最终用户相关的管理活动的安全）。3、本标准在确定主要内容时主要基于如下几个方面：本标准依据使用安全网关（防火墙，应用防火墙，入侵防护系统等）的网络间通信安全指南，这些安全网关按照文档化的信息安全策略进行通信，包括：识别和分析与安全网关相关的网络安全威胁；基于威胁分析定义安全网关的网络安全需求；使用设计和实施技术来解决与典型的网络场景相关的威胁和控制问题；解决与实施，操作，监视和审查网络安全网关控制相关的问题。等同采用国际标准ISO/IEC27033-4:2014《Informationtechnology—Securitytechniques—Networksecurity—Part4:Securingcommunicationsbetweennetworksusingsecuritygateways》，对国家标准GB/T25068.3-2010《信息技术安全技术IT网络安全第3部分：使用安全网关的网间通信安全保护》进行修订。4、本部分代替GB/T25068.3—2010《信息技术安全技术IT网络安全第3部分：使用安全网关的网间通信安全保护》，主要变化如下：本标准的名称由《信息技术安全技术IT网络安全第3部分：使用安全网关的网间通信安全保护》更名为《信息技术安全技术网络安全第4部分：使用安全网关的网间通信安全保护》；删除了对GB/T25068.4—2010、ISO/IECTR15947的引用，增加了对ISO/IEC27033（所有部分）的引用；由原来的9章调整为现在的10章。对第5～8章标题及内容进行了重新书写，增加了第5章“概述”、第6章“安全威胁”、第7章“安全需求”、第8章“安全控制”、第9章“设计技术”、第10章“产品选择指南”等章节，删除了“安全要求”、“安全网关技术”、“安全网关组件”、“安全网关体系结构”、“选择和配置指南”等章节；删除了“报警”、“攻击者”、“审计”、“审计日志”、“非军事区”、“过滤”、“防火墙”、“信息安全事件”、“信息安全事件管理”、“入侵”、“入侵检测”、“入侵检测系统”、“端口（1）”、“端口（2）”、“隐私”、“远程接入”、“路由器”、“安全维”、“安全域”、“安全网关”、“欺骗”、“交换机”、“虚拟专用网”等术语及定义（第3章，见2010年版3.1至3.12），增加了“堡垒主机”、“终端软件防火墙”、“强化的操作系统”、“互联网网关”、“包”、“边界网络”、“远程办公室”与“分支办公室”、“单点故障”、“SIP网关”等术语及定义（见3.1至3.9）；删除了“IT”、“IDP”、“V.35”等缩略语，增加了“ACL”、“ASIC”、“CPU”、“DDoS”等缩略语（见第4章）。三、主要试验[或验证]情况分析标准各项要求在部分起草单位设备上进行了验证，效果良好。四、知识产权情况说明本标准不涉及知识产权问题。五、产业化情况、推广应用论证和预期达到的经济效果本标准等同采用ISO/IEC27033-4:2014《Informationtechnology—Securitytechniques—Networksecurity—Part4:Securingcommunicationsbetweennetworksusingsecuritygateways》》（ISO/IEC27033-4:2014《信息技术安全技术网络安全第4部分：使用安全网关的网间通信安全保护》）标准，利用专业技术人员对相关标准进行翻译，同时结合我国信息技术、安全技术和网络安全的实际情况进行编制，从而形成国家标准草案。本标准适用于拥有、运行或使用网络的任何人，包括高级管理人员和其他非技术管理人员或用户，对信息安全和/或网络安全、网络操作负有特定责任的或对组织的整体安全计划和安全策略制定负责的经理和管理员。此外，本标准的使用者还包括参与网络安全架构方面的规划、设计和实施的所有人相关。在2010年制定的国家标准GB/T25068.3-2010《信息技术安全技术IT网络安全第3部分：使用安全网关的网间通信安全保护》基础上，按照修订后的版本中对于网络安全设计准备工作、网络安全设计、网络安全评审和验收等网络安全设计和实施的全过程，对原标准进行修订。标准制定完成后，在黑龙江省内选择2个不同行业的网络信息系统进行应用验证，经验证，其在不同领域的适用性较强。六、采用国际标准和国外先进标准情况本标准等同采用国际标准ISO/IEC27033-4:2014《Informationtechnology—Securitytechniques—Networksecurity—Part4:Securingcommunicationsbetweennetworksusingsecuritygateways》（ISO/IEC27033-4:2014《信息技术安全技术网络安全第4部分：使用安全网关的网间通信安全保护》），基于翻译法，使其符合中文阅读习惯。七、与现行相关法律、法规、规章及相关标准的协调性1、贯彻国家有关政策与法规本标准中涉及网络安全设计原则与实施指南符合国家网络安全有关规定。2、与相关国内相关标准的关系本标准与我国现行的法律、法规及国家标准、国家军用标准、行业标准不存在冲突问题。本标准发布后，将替代原有标准GB/T25068-3:2010《信息技术安全技术IT网络安全第3部分：使用安全网关的网间通信安全保护》。这一标准制定的目的是为管理、操作和使用信息系统网络之间连接时，针对安全网关的使用和部署，提供安全方面的详细指导，标准中的相应的要求应能满足有关实际需求。为网络安全控制提供了详细的指导，适用于网络间通信环境下，对安全网关的管理以及保证网络应用程序/服务和用户的网络的信息安全。国家标准GB/T25068.3—2010《信息技术安全技术网络安全第3部分：使用安全网关的网间通信安全保护》等同采用ISO/IEC18028-3:2005。2012年，国际标准组织修订ISO/IEC18028-3:2005，被新颁布的国际标准ISO/IEC27033-4:2014所代替，但对应的国家标准化修订工作尚未开展。本项目依照新颁布的国际标准ISO/IEC27033-4:2014，对现有的国家标准GB/T25068.3-2010《信息技术安全技术IT网络安全第3部分：使用安全网关的网间通信安全保护》进行修订，由于ISO/IEC27033-4:2014与GB/T25068.3-2010存在对应关系，则标准号国家标准仍然使用GB/T25068.3。八、重大分歧意见的处理经过和依据本标准起草过程中未出现重大分歧，妥善处理了各阶段收到的专家意见和建议。九、标准性质的建议本标准应作为一项推荐性国家标准。十、贯彻标准的要求和措施建议本标准的技术已经成熟，实施难度不大，建议本标准的发布日期与实施日期相隔六个月的时间。为了使标准的规定得到有效贯彻，建议全国信安标委及时通知行业内各单位本标准的发布信息，在过渡期内组织编写标准宣贯材料及宣贯活动。十一、替代或废止现行相关标准的建议本标准代替GB/T25068.3-2010《信息技术安全技术IT网络安全