|
建议项目名称
(中文)
|
大型网络的安全域划分与域边界识别指南
|
建议项目名称
(英文)
|
Guide for security domain division, domain boundary determination, domain classification and hierarchical management of large networks
|
|
制定或修订
|
■制定 □修订
|
被修订标准号
|
|
|
采用程度
|
□IDT □MOD □NEQ
|
采标号
|
|
|
国际标准名称
(中文)
|
|
国际标准名称
(英文)
|
|
|
采用快速程序
|
□FTP
|
快速程序代码
|
□B □C
|
|
ICS分类号
|
35.030
|
中国标准分类号
|
M10
|
|
牵头单位
|
长扬科技(北京)有限公司
|
体系编号
|
G
|
|
参与单位
|
中国科学院信息工程研究所,中国联合网络通信集团有限公司,西安邮电大学,华信咨询设计研究院有限公司,智网安云(武汉)信息技术有限公司,中通服咨询设计研究院有限公司
|
完成周期(月)
|
24
|
|
目的、意义
或必要性
|
大数据、云计算、物联网、人工智能、5G等新技术促进了万物互联、万物智联快速发展,同时网络规模持续快速增长、网络结构复杂,尤其是大型网路的安全域划分缺少规范、安全域边界模糊、各个域的安全措施参差不齐、安全治理与管理混乱的局面长期存在。
《中华人民共和国网络安全法》2016年11月7日颁布,自2017年6月1日起实施。随后,国家标准化管理委员会信息安全技术标准化委员会(SAC/TC260)组织专家对网络安全等级保护系列标准进行了修订,形成了网络安全等级保护2.0标准体系。
网络安全等级保护制度明确了分级保护的基本要求、定级指南、实施指南、设计技术要求、测评要求与测评过程指南。
在实际操作中,一个大型网络一般被作为一个整体的等级保护对象(定级对象)进行定级与保护,或者划分为少数几个等级保护对象进行定级、实施保护。从安全保护技术与措施的实施层面,对安全域的划分、确界及定级缺少细粒度的标准规范或者指导性文件支撑,使得安全方案难落地与落实。要按照整体定级执行安全保护,要么在内部边界与外部边界重复投入,投入过多的重复资源(同构技术)进行过度形式化保护,实际是一层被突破,纵深即全被突破;要么纵深防御安全措施覆盖不全,纵深防御强度不足,形成安全洼地。
不同安全域缺少明确的安全边界及边界防护技术措施,也缺少针对内部网络的多层边界异构纵深防御,可行的合理安全域划分、认定与安全域分级保护方案。
本文件结合实际需求,将等级保护对象(定级对象)按照网络结构有效识别划分出合理的安全域,明确安全域的边界,在满足等级保护对象安全保护等级的基础上,给出细粒度的安全域边界纵深管理与保护指南,促进大型网络合理划分安全域并进行有效的分域安全保护管理。
|
|
范围和主要
技术内容
|
本文件给出了物理环境视角的安全域的概念、网络(Network)视角的安全域的概念,给出了不同视角的最小安全域的概念。
本文件从前述概念出发,提出了安全域嵌套的概念,继而提出了针对大型网络的划分安全域的原则,最小独立安全域识别方法,给出了确定安全域的边界的方法。
本文件针对不同网络制式、不同传输介质、不同功用业务的网络,给出了识别确定域边界的方式方法,提出域边界形态建议、边界设备或组件设计与选择的指导建议,对设计边界安全方案、选择安全设备或组件、核心技术要素等给出了指导建议。
本文件给出了不同安全强度要求的安全域的建设参考建议。
本文件适用于大型网络的设计、建设,以及安全评估。
|
|
国内外情况
简要说明
|
1. 国内外对该技术研究情况简要说明:国内外对该技术研究的情况、进程及未来的发展;该技术是否相对稳定,如果不是的话,预计一下技术未来稳定的时间,提出的标准项目是否可作为未来技术发展的基础;
未识别到有相关的研究。
2. 项目与国际标准或国外先进标准采用程度的考虑:该标准项目是否有对应的国际标准或国外先进标准,标准制定过程中如何考虑采用的问题;
没有对应的国际标准和国外标准。
3. 与国内相关标准间的关系:有没有相关的国家标准或行业标准,,该标准项目在标准体系中的位置;
该标准作为网络安全等级保护2.0系列标准在通信行业的补充和支撑标准,在标准体系中属于管理标准与技术标准的结合点。
4. 指出是否发现有知识产权的问题;
没有知识产权的问题。
|
|
备注
|
|
|
牵头单位
|
(签字、盖公章)
月 日
|
标准化技术组织
|
(签字、盖公章)
月 日
|
部委托机构
|
(签字、盖公章)
月 日
|
|