GB/T 25068.2-2020信息技术　安全技术　网络安全　第2部分：网络安全设计和实现指南.pdf

ICS35.040

L80

中华人民共和国国家标准

GB/T25068.2—2020/ISO/IEC27033-2:2012

代替GB/T25068.2—2012

信息技术安全技术网络安全

第2部分：网络安全设计和实现指南

Informationtechnology—Securitytechniques—Networksecurity—

Part2:Guidelinesforthedesignandimplementationofnetworksecurity

(ISO/IEC27033-2:2012,IDT)

2020-11-19发布

2021-06-01实施

国家市场监督管理总局国家标准化管理委员会

发布

GB/T25068.2—2020/ISO/IEC27033-2:2012

目次

前言 I

1范围 1

2规范性引用文件 1

3术语和定义 1

4缩略语 1

5文档结构 2

6网络安全设计准备 2

6.1概述 2

6.2资产识别 2

6.3需求收集 3

6.4需求审查 3

6.5现有设计和实施的审查 4

7网络安全设计 4

7.1概述 4

7.2设计原理 5

7.3设计核验 6

8网络安全实现 7

8.1概述 7

8.2网络组件选择标准 7

8.3产品或供应商的选择标准 7

8.4网络管理 8

8.5日志、监视和事件响应 8

8.6文档 9

8.7测试计划与测试实施 9

8.8核验 9

附录A(资料性附录)本部分安全控制部分与ISO/IEC27001:2005、ISO/IEC27002:2005

相关章条号的交叉引用 10

附录B(资料性附录)文档模板示例 11

附录C(资料性附录)ITU-TX.805框架和ISO/IEC27001:2005控制要素的映射 19

参考文献 23

1

GB/T25068.2—2020/ISO/IEC27033-2:2012

前言

GB/T25068《信息技术安全技术网络安全》目前分为以下5部分：

——第1部分：综述和概念；

——第2部分：网络安全设计和实现指南；

——第3部分：参考网络场景——风险、设计技术和控制要素；

——第4部分：使用安全网关的网间通信安全保护；

——第5部分：使用虚拟专用网的跨网通信安全保护。

本部分为GB/T25068的第2部分。

本部分按照GB/T1.1—2009给出的规则起草。

本部分代替GB/T25068.2—2012《信息技术安全技术IT网络安全第2部分：网络安全体系

结构》,与GB/T25068.2—2012相比，主要技术变化如下：

——删除了“网络安全参考体系结构”“安全维”“安全层”“安全面”“安全威胁”“对安全维应用于安

全层所实现目标的描述”等内容，增加了“文档结构”“网络安全设计准备”“网络安全设计”“网

络安全实现”等内容(见第5章～第8章，2012年版的第5章～第10章);

——修改了第1章范围的内容(见第1章，2012年版的第1章);

——删除了规范性引用文件GB/T9387.2-1995的引用，增加了ISO/IEC27000:2009、ISO/IEC27001:2005、ISO/IEC27002:2005、ISO/IEC27005:2011、ISO/IEC7498(所有部分)、ISO/

IEC27033-1的引用(见第2章，2012年版的第2章);

——删除了第3章的术语和定义，修改了引导语(见第3章，2012年版的第3章);

——删除了“ASP”“ATM”“DHCP”“DNS”“DS-3”“Ipsec”“MD5”“Megaco/H.248”“MPLS”

“OAMP”OSI“POPPSTNPVCQoSSHA-1SIPSNMPSONETSS7“SSL”“VLAN”等缩略语，增加了“IPS“POCRADIUSSMSTACACSTFTP”等缩略

语(见第4章，2012年版的第4章)。

本部分使用翻译法等同采用ISO/IEC27033-2:2012《信息技术安全技术网络安全第2部

分：网络安全设计和实现指南》。

与本