GB／T 25068.3-2022  信息技术 安全技术 网络安全 第3部分：面向网络接入场景的威胁、设计技术和控制

表1网终接入场景资源访问框架

络分段是指网络的分离或隔离（通常使用一个或多个防火墙），它可能意味着出于安全原因，物理隔离 网络。

花纹板标准本文件中列出的场景顺序如下： 员工的互联网访问服务（见第7章）； 企业对企业的服务（见第8章）； 企业对客户的服务（见第9章）； 增强协作服务（见第10章）； 网络分段（见第11章）； 为居家办公和小型商务办公场所提供网络支持（见第12章）； 移动通信（见第13章）； 为流动用户提供网络支持（见第14章）； 外包服务（见第15章）。

本文件基于以下方法对每个已识别的参考网络接人场景提供指导： 评审网络接人场景的背景信息和范围； 描述与网络接人场景相关的威胁； 对已发现的漏洞进行风险分析； 分析潜在的漏洞对业务的影响； 确定用以保护网络的实施建议。 为了解决网络安全性问题，需采用一种提供端到端评估的系统化方法。这种方法的复杂性取决 定范围内网络的性质和规模。然而，随着技术的不断发展，评估方法的一致性对管理安全性非

GB/T25068.3—2022

过保护甲乙之间的通话来保护他们的机密信息，进而确保了信息的不透明性。 文件所描述的所有场景中，都将上述安全属性作为安全设计技术和控制措施阶段的一部分进 表2展示了一些网络安全属性的实现机制的示例，这些安全属性可用于降低潜在风险。

在本文件中，每个参考网络接人场景的环境中讨论的策略设计和技术实施均需考上述安全事 直常来说，组织将从GB/T22081中选择相关控制要素以达成其业务目标，而本文件旨在提供实施 空制要素的网络等级的注意事项

7员工的互联网访问服务

与员工互联网访问服务相关的安全威胁包括以下内容。 病毒攻击和恶意软件的入侵：

GB/T 25068.3—2022

7.3安全设计技术和控制措施

表3描述了与员上的互联网访问 木和控制措施。 评审每个安全属性在降低可预测的安全风险方面的适用性，随后在第二列中给出相应的技术实施 示例。例如，完整性、访问控制和鉴别可用于防御恶意代码。

GB/T25068.32022

表3员工的互联网访问服务场景下的安全控制措施（续）

组织与其他组织进行交易（如制造商、批发商、零售商）宜考虑本章所提供的网络接入场景。 一般来说，企业对企业的服务通过租用专用线路或网络分段来实现。互联网和相关技术确实提供 了更多选择，但实施此类服务的同时也引人了新的安全风险。不断发展的B2B电子商务模式允许组织 通过互联网开展业务，应用程序则聚焦于通过使用互联网、外联网或两者兼用以达到改善业务伙伴关系 （相互已知且经过注册）的目的，这有别于企业对客户的情况。 通常组织基于自已的需求来选择企业对企业的服务。例如，可用性和可靠性就是非常重要的需

求，因为组织开展工作通常直接依赖于企业对企业的服务。 当基于互联网来实现企业对企业的服务时，经过验证的措施，例如租用专线的服务质量预期不再适 用，因此就要用与以往不同的方式处理可用性和可靠性等需求。新的安全风险需通过适当的设计技术 和控制措施来降低。重点是通过防止访问未经授权的数据和保持业务系统间的隔离，来加强组织之间 的信任。 下述条款针对内部、内外部、使用行为情况，描述了安全威胁和关于安全设计技术与控制措施的建 议，以减轻相关风险。

8.3安全设计技术和控制措施

术了与企业对企业的服务相关的信息安全设计技

表4企业对企业的服务场景下的安全控制措施

表4企业对企业的服务场景下的安全控制措施（续）

组织与客户进行交易时宜考虑本章所提供的网络接人场景。 企业对客户的服务，也称为电子商务服务，包括电子商务、电子银行和电子政务等服务。在企业对 的服务中，安全性需要在实施交易与维护品牌和商业价值之间取得平衡。 信息安全要求包括： 保密性（特别是关于电子银行业务）； 鉴别； 完整性； 数据通信安全性，即终端用户期望业务服务能够提供一条用以保护用户和提供者之间的交易 路径，以抵抗复杂攻击（例如“中间人”或“浏览器中间人”攻击）； 一可用性是电子商务提供商的一个重要衡量度。 信息安全特征包括： 一一只有在组织控制下的终端平台上才能“保证”安全性，才能为实施控制措施和维护良好的平台 级安全提供良好的环境； 客户端上的安全性一般较差。难以在这样的环境中实施控制措施，因此客户端在这种场景（如 约定中没有“安全连接的条件”的要求集合）下会存在重大风险。 下述条款针对内部、内外部、使用行为情况，描述了安全威胁和关于安全设计技术与控制措施的建 以减轻相关风险

与企业对客户的服务的相关安全威胁包括以下内容。 病毒攻击和恶意软件的人侵：

GB/T25068.3—2022

与企业到客户的服务相关的安全设计技术和控制

表5企业对客户的服务场景下的安全控制措施

表5企业对客户的服务场景下的安全控制措施（续）

组织在利用涉及多个员 群件； 文件服务器； 邮件列表； 基于Web的服务。

组织在利用涉及多个员工的服务时宜考虑本章所提供的网络接入场景。示例如下： 群件； 文件服务器； 邮件列表； 基于Web的服务，

组织在利用涉及多个员工的服务时宜考虑本章所提供的网络接人场景。示例如下： 群件； 文件服务器； 邮件列表； 基于Web的服务。

GB/T 25068.32022

0.3安全设计技术和控制措施

术了与增强协作服务相关的信息安全设计技术和

表6增强协作服务场景下的安全控制措施

表6增强协作服务场景下的安全控制措施（续）

组织按组织结构将内网划分为多个域时宜考虑本章所提供的网络接人场景。 网络分段是一种可用于增强系统和应用程序访问控制的技术。网络分段可用于对特定类型的行 为、应用程序或系统进行分组，以便根据权限进行分组访问。通过这种方式，网络访问控制增强了其他 端点访问控制措施，并提供了更深层次的防御。例如，网络分段用于： 一将管理和维护功能与普通用户对业务应用程序的访问隔离； 一将关键应用程序与其他应用程序隔离； 一将数据库与大多数用户隔离。 注：对于跨国组织来说，国家的特定法律法规对信息安全要求有很大的影响。为了满足跨国组织在其开展业务的 国家对信息安全的不同要求，按照国家边界对网络进行分段是一种有效的方法。例如，某个国家的立法可要求 对客户或客户数据进行特定保护，并且不允许将此类数据传输到另一个国家，这通常需要额外的信息安全控 制，以确保遵守此类法规。 下述条款针对内部、内外部、使用行为情况，描述了安全威胁和关于安全设计技术与控制措施的建 义，以减轻相关风险。

为满足合规性要求而对网络分段的安全威胁包括以下内容。 因监管不合规而产生的责任。 数据泄露： ·违反保密规定，例如客户或客户资料是从不宜提供该资料的渠道取得的； ·违反法律法规特定的隐私要求； ·因未满足客户对保密性或不透明性的期望而导致的信誉风险

11.3安全设计技术和控制措施

术了与网络分段有关的信息安全设计技术和控制

表7网络分段场景下的安全控制措施

12为居家办公和小型商务办公场所提供网络支持

组织需要为居家办公或小型办公场所的员工提供内部资源访问权限时宜考本章所提供的网络接 人场景。 居家办公和小型商务办公场所通常需要将组织的内网扩展到其所在地，这种情况下成本是一个关 键问题，通过成本效益分析来看，其实施成本不宜过高。这意味着用于保护此类网络扩展的安全控制措 施的成本有限，因此通常不使用已建立的网间安全控制措施来连接更多的内联网段。 在许多居家办公或小型办公场所场景中，除商业用途外，基础设施可能也用于私人用途，这可能会 导致额外的信息安全风险。 下述条款针对内部、内外部、使用行为情况，描述了安全威胁和关于安全设计技术与控制措施的建 议，以减轻相关风险。

与居家办公和小型商务办公场所网络相关的安全威胁包括以下内容。 未经授权的访问： · 网络访问设备配置设置薄弱，如居家办公路由器（小型办公场所、居家办公）； 使用隧道分离技术； 物理安全控制措施缺失或薄弱； ·由于网络连接的“始终在线”特性，可能导致机会窗口期更长；

使用访客账户和款认设置。 病毒攻击和恶意软件的人侵： ·在缺乏安全控制措施的情况下（例如恶意软件保护缺失或薄弱等）操作、使用居家办公或 小型办公场所网络中的设备（如PCs）； · 私有环境和业务环境混合引入的问题，例如私自使用本身具有高风险的协议（如对等文件 共享协议）； ·修补失败； ·一旦感染病毒，由于病毒传播导致网络过载会严重影响可用性。 未经授权泄露敏感信息： ·在居家办公或小型办公场所网络中存储和传输的数据未加密； ·在居家办公或小型办公场所网络中可能存在的不当访问，如无线局域网访问； 缺乏对终端用户认知和安全最佳实践的培训； ·由于该网络接入场景不能提供与办公室分支机构互联网关相同的保护级别，导致对内联 网保护的预判失效。

12.3安全设计技术和控制措施

表8用于居家和小型商务办公场所场景的网络安全控制（续）

与移动通信设备相关的安全威胁包括以下内容。 未经授权访问存储在移动设备上的信息： ·对敏感信息的访问控制或保护不足； 缺乏安全认知和弱口令； ·弱配置； ·异常设备劫持攻击； 。终端用户缺少对信息安全保护要求的认知，例如将私人信息和商务信息混合在一起。 未经授权泄露敏感数据和位置信息： ·基于位置的服务可以将用户的位置信息泄露给未经授权的第三方，从而导致隐私泄 问题； 窃听； 通信流中介人了未受充分保护的第三方； ? 使用明文或未受充分保护的传输协议； 处置程序不当。

3.3安全设计技术和控制措施

与个人移动通信设备相关的数据安全设计技术和

表9移动通信场景下的安全控制措施

表9移动通信场景下的安全控制措施（续）

14为流动用户提供网络支持

组织在允许流动中的员工访问机构资源时宜考本章所提供的网络接人场景 流动用户网络支持方案和产品通常侧重于功能方面，主要面向消费者市场。从信息安全的角度来 看，现行功能级别引人了新的风险，可能影响有关信息安全的预判，或导致预判失效。举例来说，如果内 联网的远程访问没有采用适当的控制措施，那么预判其控制良好且受到良好保护的可能性存疑。 下述条款针对内部、内外部、使用行为情况，描述了安全威胁和关于安全设计技术与控制措施的建 议，以减轻相关风险，

与流动用户提供网络支持有关的安全威胁包括以下内容。 未经授权的访问： ·滥用流动用户网络支持，未经授权访问组织的内联网； ·违背在内联网边界使用安全网关的原则； ·未经授权而直接访问存储在移动用户设备上的数据。 降低网络可用性： ·因未满足客户对网络支持的期望而导致的可用性问题。

14.3安全设计技术和控制措施

10为流动用户提供网络支持场景下的安全控

组织使用外包服务时宜考虑本章所提供的网络接人场景。 组织使用外包服务是因为它被视为一种可行的业务策略，但它也带来了组织和操作的复杂性，特别 是在保障质量和安全性的情况下。 机构由于依赖于服务提供商而承担了其带来的附加风险。例如，服务提供商或供应商可能要求直 接访问机构内部资产以解决技术支持服务问题或突发事件，从而使关键资产面临安全风险。一些技术 支持服务需要永久访问权限，而其他的技术支持服务可能只需临时访问权限。通常技术支持服务需要 高访问权限才能完成任务。 无论外包场景的类型如何，均需在约定中体现安全性考量和安全监督。本文件仅给出与外包服务 有关的威胁和相关事项的概述。有关外包服务安全的更多深人信息，见ISO/IEC27036。 下述条款针对内部、内外部、使用行为情况，描述了安全威胁和关于安全设计技术与控制措施的建 议，以减轻相关风险

与外包服务有关的安全威胁包括以下内容。 未经授权访问其他内部系统（当供应商访问内部系统进行远程技术支持服务和维护时）： 滥用远程维护端口； 用管理员权限。 服务提供商未经授权泄露敏感数据

未遵守知识产权相关规定； 未区别对待多客户环境； 缺乏信息安全最佳实践（如随意的口令共享）； ·存储介质处置不当； ·使用非安全通信方法。 恶意软件（在软件开发环境中）的入侵： ·软件开发和发布过程中的安全性不足； ·文件和数据的不安全传输； ·不安全的在线协同。 因不遵守规章而产生的责任： ·跨国服务提供商缺乏对我国法律法规的了解； 服务提供商或供应商缺乏对其所在国相关法律法规的了解。

5.3安全设计技术和控制措施

了与外包服务有关的信息安全设计技术和控制措

表11外包服务场景下的安全控制措施

A.1故意给出错误的权限和授权

燃气标准规范范本GB/T25068.32022

包括但不限于下列行为： a）虚假授权； b） 授予其他用户密码、密钥或证书（如系统管理员）； c) 个人用户未经授权获取和使用用户服务相关的鉴别信息（如用户ID、用户密码、会话密钥）； d）未经授权获取和使用管理员鉴别信息（如用户ID、密码）； e) 涉及信号传输的重放攻击

包括但不限于下列行为： a）非法获取服务提供商的利益，以剥夺服务提供商的合法收益； b）服务提供商欺诈； c）未经授权删除或更改计费信息； d）设备克隆； e) 控制增稳系统； f）大量复制、传播服务中信息，导致服务被盗用

体育标准A.3侵害用户隐私和窃听

包括但不限于下列行为： a）呼叫跟踪模式用以发现身份信息、从属关系、存在状态和使用情况。 b） 流量（包括管理流量和信令流量）捕获，未经授权的流量记录，包括数据包记录、数据包日志记 录和数据包嗅探。 c）未经授权访问订阅用户的媒体流。 d）未经授权访问OAM&P流量。 e）未经授权访问信令流量。 信息收集，蓄意捕获身份信息，为实现后续信息窃取和执行未授权通信做准备。身份信息由 ID集合组成，ID可以是数字、字符串、统一资源定位符等。 g 媒介重构，未经授权对视频通信的某一部分（包括身份、展现形式和状态）进行监视、记录、存 储、重建、识别、解释、翻译或特征提取。 h）未经授权泄露订阅用户服务能力。 i）‘未经授权泄露订阅用户曾经或当前使用情况或行为（如订阅用户观看广播或视频点播内容的 历史、在线游戏活动等）。 涉及媒体的重放攻击（出于不当获利的目的捕获媒体并重放，或出于侵犯隐私目的重放个人使 用的媒体）。

包括但不限于下列行为！