6.2网络安全规划和管理

考虑网络连接时，组织中所有负责网络连接的工作人员宜清楚业务需求和效益、相关的安全风险 关的技术安全架构、设计技术和安全控制区域。在考虑网络连接、识别技术安全架构、设计技术 安全控制区域，最终选择、设计、实施和维护安全网络的过程中，这些业务需求和效益将会对所采 多决策和行动造成影响。 现和维护所需的网络安全的总体过程可总结如下： 确定范围及情境，然后评估安全风险： 收集有关当前和/或规划的网络环境的信息。 评审企业信息安全策略。这些策略中的网络安全相关风险一般是高等级的，但无论被评 估的网络安全风险等级如何，都应实施网络安全控制。 此策略还宜包含组织对遵守法律法规的立场，包括： 1）有关监管机构或立法机构（包括政府机构）规定的与网络连接相关的监管和立法安全 要求； 2）在网络上存储或传输的敏感信息。 收集和评审关于当前和/或规划的网络（架构、应用、服务、连接类型和其他特性）的信息： 确定对于风险的识别和评估，以及网络技术安全架构、设计而言，哪些信息是可能产生影 响的。 一收集其他信息，以便能够评估潜在的负面业务影响、风险和脆弱性（包括通过网络连接传 输的对业务运营有价值的信息、可能通过未经授权的方式而获取的信息，以及提供的服务 的一切信息）。 识别和评估网络安全风险，以及可能的潜在控制区域 进行网络安全风险评估和管理评审，包括使用与所需网络情景和“技术”主题相关的风险 信息来定义安全需求（见第10章和第11章）[包括： 1）评估潜在违反相关监管或立法机构（包括政府机构）规定的，与网络连接有关的监管 和立法安全要求所产生的风险； 2） 使用默认潜在负面影响的业务，确保在网络上存储或传输的敏感及分类信息]。 确定支持的安全控制一一不仅适用于网络的非技术策略和技术策略（见第8章）。 评审技术安全架构、设计选项，在考虑网络情景和“技术”主题的同时，选择和记录首选技术安 全架构、设计和相关的安全控制（见第9章～第11章）（这将包括相关监管机构或立法机构（包 括政府机构）定义的与网络连接相关的相关法规和立法所需的控制）。 开发和测试安全解决方案（见第12章）。 实施和操作安全控制（见第13章）。 监控和评审实施情况（见第14章）[包括监控和评审为遵守相关监管或立法机构（包括国家政 府机构）定义的有关网络连接的相关法规和立法所需的控制」： 宜定期进行评审，一旦出现重大变化（业务需求、技术和安全解决方案等），建议重新访问 和更新上述早期阶段的结果。 络安全规划和管理过程的概述如图4所示

宜使用特定类型的安全网关； 没有数字签名的付款指令无效。 在进行风险评估和管理评审以及确定技术安全架构、设计方面和潜在的安全控制时，宜考虑这些要 求。任何此类要求宜记录在潜在控制区域清单草案中，并在技术安全架构、设计选项中反映出来。 关于信息安全策略的指导在ISO/IEC27002和ISO/IEC27005中给出

7.2.2有关当前和/或规划网络的信息

路基标准规范范本下一步宜收集和评审关于当前和/或规划的网络 架构、应用及服务、连接类型和其他特性的信

7.2.2.2网络架构、应用及服务

068.12020/ISO/IEC2

影响。 基于安全性考量的网络应用类型宜包括： 瘦客户端应用； 桌面应用； 终端仿真应用； 信息传送基础设施与应用； 存储、转发或假脱机的应用； 客户端服务器应用。 以下示例显示应用程序特性如何影响其可能使用的网络环境的安全要求： 信息传送应用（为消息提供加密和数字签名）可提供足够的安全级别，而无需在网络上实施专 用的安全控制。 瘦客户端下载移动代码以实现特定的功能。在这种情况下，保密性可能不是主要的问题，完整 性才是重要的，且网络宜为此提供适当的机制。此外，如果要满足更高的要求，移动代码的数 字签名将提供完整性和附加鉴别。通常这是在应用框架内完成的，因此可能无需在网络中提 供这些服务。 存储、转发或假脱机的应用通常为得到进一步处理而将重要数据临时存储在中转节点。如果 存在完整性和保密性的要求，则宜在网络中进行适当的控制以保护传输中的数据。然而，由于 数据暂时存储在中间主机，这些控制可能还不够。因此，可能宜应用附加控制以保护存储在中 转节点上的数据。 宜在安全语境下考虑网络服务类型（例如，DNS、电子邮件和语音等）。 在评审网络架构、应用和服务时，还建议考虑已有的组织或社区内部间或组织/社区内部与外部间 来的网络连接，甚至是计划的网络连接。组织、社区的现有连接可能因协议或合同的变更而限制或阻 新的连接。其他内外往来的网络连接均可能引人额外的漏洞，并可能因此引人更高的风险，由此需要 强的和/或附加的控制， （有关网络和应用程序体系结构的一般股指南可在ISO/IEC7498中找到。）

7.2.2.3网络连接类型

组织或社区可能使用很多通用类型的网络连接，其中一些类型的连接能通过专用网（仅已知社区可 方问)实现，一些连接可通过公共网络（任何组织或个人均可访问)实现。此外，这些类型的网络连接可 用于各种服务，例如电子邮件，考虑到这些连接的不同安全需求，这些连接也会涉及互联网、内联网或外 联网设施的使用。每种类型的连接可能有不同的漏洞，因而具有不同的安全风险，其结果是最终需要不 同的控制。 按照业务需求，将通用网络连接类型分类如下： 同一受控区域内同一组织的不同部分之间的互连，如单个受控楼宇或场所。 同一组织不同地理位置上独立部门之间的互连，如地区办事处与总部通过广域网实现的互连， 全部或大多数用户能够访问可用的信息系统，但并不是组织内的所有用户都具有访问所有应 用或信息的授权。 组织场所和在远离组织场所工作的人员之间的连接，或者由从家庭或其他远程站点工作的员 工建立到组织运算系统的远程连接，而不是通过组织维护的网络连接 在封闭行业内的不同组织之间的连接，如由于合同或其他具有法律药束力，或类似的商业利益 （如银行或保险）产生业务关联的情况。对于每个参与的组织来说，这种连接不提供全部应用

7.2.2.4其他网络特征

7.2.2.5其他信息

最后，为ISO/IEC27001和27002兼容网络安全风险评估和管理评审，宜收集其他信息，包括要

定义评审的边界范围。尽早收集其他信息是为了避免以后出现歧义和不必要的工作，并能提高评 重点和效果。边界范围的界定宜清楚的指明在执行网络安全风险评估和管理评审时考虑的事情： 信息类型； 业务进程； 实际的或可能的硬件构成、软件、服务、连接等细节； 实际的或可能的环境（例如，位置和设施）； 活动（操作）。 这些信息，同7.2结合起来，宜用于网络安全风险评估和管理评审，其活动总结见7.3

7.3信息安全风险和潜在的控制区域

IEC27005等标准中有所体现。这些将在8.2.2～8.2.5中所描述的网络安全背景中进一步展开。

8.2.2网络安全管理活动

对于任何网络来说，关键需求宜得到安全管理活动的支持，包括对网络安全实现及运行的创建和控 制。这些活动要确保组织、社区内所有信息系统的安全。网络安全管理活动建议包括： 定义所有与网络安全有关的职责，并指定一名对网络安全负全责的管理者； 对网络安全策略及相关技术安全架构进行建档； 安全操作规程归档（SecOP）； 实施安全合规性检查（包括安全测试），以确保维持相应的安全等级； 在内部和外部组织或人员建立许可连接之前，将网络安全连接条件进行建档 远程网络用户的安全条件建档； 网络安全事故管理方案； 建档并测试业务连续性、灾难性恢复计划。 宜查阅ISO/IEC27002、ISO/IEC27005和ISO/IEC27035以获取详细的专题信息。上述对于网 各的使用特别重要的专题将在下述条款中提供进一步指导

8.2.2.2网络安全策略

管理者有责任明确地接受和支持组织的网络安全策略（如ISO/IEC27002所述）。网络安全策略 宜源于组织的信息安全策略并与之一致。此策略宜具有可执行性，且容易被组织中得到授权的成员使 用，并包含以下相关方面的清晰陈述： 组织对可接受网络使用方面的立场； 安全使用特定网络资源、服务和应用的明确规则； 不遵守安全规则的后果； 组织对网络滥用的态度； 策略及所有特定安全规则的基本原理； （在某些情况下，如果这些清晰的表述对机构更为方便和/或对机构人员更为清晰，可并人到信 息安全策略中。） 网络安全策略的内容通常宜包括对网络安全风险评估和管理评审结果的概述（对控制的花费予以 释），包括与评估风险相当的所有安全控制的细节（见7.3）

8.2.2.3网络安全操作程序

为支持网络安全策略，宜开发和维护SecOP文件。它们宜包含与安全相关的日常操作规程的 以及负责其使用和管理的人员。参见附录B

8.2.2.4网络安全合规性检查

对于所有的网络连接，其安全合规性检查宜从规定的控制中列出全面的检查清单： 网络安全策略； 相关的SecOPs; 技术安全体系结构； 安全网关服务访问（安全）策略； 业务连续性计划；

相关的安全连接条件。 网络安全合规性检查宜在任何网络连接的实际操作和重要版本更新之前（与重要业务或网络变更 相关），或者每年进行一次。 这种检查宜包括对公认标准的安全性测试，测试时使用安全测试策略及预先生成的相关计划，该计 划精确地规划要进行何种测试、使用什么、何时何处进行。通常它宜包含脆弱性扫描与渗透测试的组 合。在任何此类测试并始之前，宜检查测试计划以确保测试将以完全符合相关法律法规的方式进行 在执行这种检查时，宜注意网络不可能仅限定于一个地区之内，它可能分布于具有不同政策性法规的不 同地区。该测试结束后，其报告宜指出所遇到的漏洞细节和所需的修正及其优先级。

8.2.2.5多组织网络连接的安全条件

除非连接的安全条件适当并且被正式许可，否则组织实际上要接受与其域外的网络另一端连接的 相关风险。此类风险可能与隐私、数据保护相关，即用于隐私数据交换的网络连接的一端或两端遵从本 地法律的约束，但若连接的一端位于另一个国家（在组织的域之外），则法律可能有所不同。 例如，组织A可要求组织B在能够经由网络连接而与其系统相连接之前，B宜为其连接中涉及的 系统维护和演示确定特定安全级别。通过这种方式，能够向A保证B正在以一个可接受的方式管理其 风险。在此情况下，A宜生成该连接的安全条件文件，详述B宜提供的控制。这些控制宜在B实施后， 由组织签署绑定声明以确保安全性。A将保留对B进行委托或合规性检查的权利。 在某些情况下，社区中的组织被此认可一个“连接安全条件”文件，该文件记录所有各方的义务和责 任，包括相互的合规性检查，

元程网络用户安全条件文

授权远程工作的用户宜配有远程网络用户安全条件的文件。该文件宜说明用户对网络的硬件、软 件、和数据的责任以及它的安全性

8.2.2.7网络安全事件管理

使用网络时信息安全事件发生的可能性更大（与不使用网络的情况相比），对业务产生的不利影 也更严重。此外，与其他组织连接的网络很可能发生具有重大法律后果的安全事故。 因此，有网络连接的组织宜具备一个便于文件化和实施的信息安全事件管理方案以及相关的基础 设施，以便能够在识别安全事故时迅速做出反应，最大限度地减少其影响，并吸取教训，以防止再次发 主。该方案宜能解决信息安全事态（识别系统、服务和网络状况中可能存在的违反信息安全策略或防 失效或与之前未知的安全相关的情况）和信息安全事件（很可能人侵企业经营和风险信息安全的，独立 或一系列有害的或未预料的信息安全事态）。更详细的信息安全事件管理见ISO/IEC27035。

8.2.3网络安全角色与

与网络安全管理有关的角色与责任如下（注意，根据机构的规模这些角色可合并）： a） 高级管理： 明确组织的安全目标； 创立、审批、发布和实施组织的安全策略、规程和规则； 创立、审批、发布和实施组织可接受的使用策略： 一确保安全和可接受的使用策略得到强制执行。 （注：高级管理包括企业负责人。） b 网络管理： 制定详细的网络安全策略；

8.2.5网络安全评估

网络安全是一个动态概念。安全人员宜始终跟进该领域的发展，并确保任何网络都能够使用佳 提供的最新安全补丁和更新来进行连续工作。对于建立的基准，宜定期审计现有的安全控制，包括 则试、脆弱性扫描等。建议以安全为评估新的网络技术和网络环境的主要考量

与其他复杂系统一样，网络环境也存在错误。有些已知的或已经被公开的技术脆弱性组件仍在网 各中被频繁使用。利用这些技术脆弱性对网络安全可能产生严重的影响，最常见于信息的可用性和保 密性。因此，技术脆弱性管理目前宜涵盖所有的网络组件并宜包括： 及时获取技术漏洞的信息； 评估此类漏洞的曝光程度； 制定恰当的安全控制解决相关风险； 执行和核验预定的安全控制

技术脆弱性管理的先决条件是能获取当前所有网络组件的完整清单，提供必要的技术信息，例如设 备型号、供应商、硬件版本号、固件或软件以及机构信息，例如负责管理人员 如果组织已成立了综合技术脆弱性管理项目，优先方案是把技术网络脆弱性管理项目并入到综合 任务中（关于技术脆弱性管理更详细的信息，包括实施指南，可在ISO/IEC27002中找到）。

对授权人员的访问进行限制是非常重要的（无论是组织内还是组织外的）。例如，策略普遍要求对 人员访问特定的网络服务和相关的信息进行严格限定。对这些连接的要求并不仅限于网络连接 宜通过ISO/IEC27002和ISO/IEC27005获得适用于网络使用的细节。 可能与网络的使用和相关的信息系统有关的3个安全控制域如下： 远程登录。无论是来自远离组织工作的授权人员、远程维护工程师还是来自其他组织的人员 可通过拨号接入到组织、互联网连接、来自其他组织的专线或者通过经由互联网的共享访问来 完成。必要时，组织可通过内部系统或合作伙伴利用公共网络建立网络连接。每种类型的远 程登录宜有适合相关网络性质的附加安全控制，例如，不允许使用远程访问账户直接访问系统 和网络软件，除非有提供附加的鉴别一一端对端加密以及对远离办公场所人员在未经授权的 情况下，访问存储在电脑上的邮件软件和根目录数据进行保护。 加强鉴别。使用用户ID或口令匹配是认证用户的简便方法，但可能遭到入侵或被猜出密码 因此，我们宜考虑其他更多的安全方式认证用户，尤其是远程访向用户和/或未授权人员很 能获取受保护 更用公共网络发起 CLID)（但 用于认证 证方式支持用户鉴别是更复杂但也更安全的方法，尤其是在远程访问情境下，例如，远程验证 标识和智能卡，并确保标识或智能卡只在授权 户鉴别账户时起作用（最好是用户的电脑和位 置或接入点），例如任何相关的PIN码或生物识别信息。这就是强大的双因素鉴别 安全单点登录。用户网络很可能遇到多次鉴别和身份认证核查。在这种情况下，用户可能冒 险采用不安全的登录方式，例如，写下密码或再次使用相同的鉴别数据。安全单点登录可通过 产力也可得到提高，井且可减少与密 关的服务台工作负载。然而，安全单点登录失败 王国的钥匙”风险）。因此， 强大的机制是必要的，并且从安全 单点登录机制中排除 更可取的

8.5网络审计日志和监视

系统中与安全相关的警报/预警（例如，IP地址复制、电路中断）。 在联网环境中，审计日志宜从多个渠道获取，例如路由器、防火墙、入侵检测系统（IDS)并发送到中 央审计服务器上进行全局分析。所有的审计日志宜进行实时和离线检查。在实时检查时，日志通过滚 屏显示并对潜在的攻击发出预警。离线分析必不可少，因为这样可从大局进行确定的趋势分析。一个 攻击的最初迹象可能是在防火墙日志中出现大量的流量，这表明是针对潜在目标进行的探测活动。 IDS也能根据攻击特征码对其实时检测。 宜强调的是，为了便于分析和调查，宜使用适当的经批准的审计日志管理和分析软件进行日志存 诸、检索、溯源（针对特定用户、应用程序和信息类型以及时间段，特别是在出于调查目的时）和报告，以 快速地得到重点突出和容易理解的结果。审计日志分析报告宜保存在安全的地方，并按规定时间存档。 宜在UDP中进一步保护审计日志（包括鉴别和身份认证以及访问控制）。持续监视涵盖的范围宜 包括： 一 防火墙、路由器、服务器等审计日志； 预先配置的审计日志发出警报通知特定事件类型，例如防火墙、路由器、服务器等； 一入侵检测系统的结果； 一网络安全扫描活动结果； 一由用户和支持人员报告的安全事件和事故信息。 根据组织的需求，审计痕迹宜在线保存一段时间。所有的审计痕迹都应备份并存档以确保信息的 完整性和可用性，例如，使用CD等WORM媒体。此外，审计日志还包含敏感信息以及可能被攻击者 利用网络连接进行攻击的信息。在发生网络纠纷时，审计日志能够提供在信息网络中传输的证据，特别 是能够确保其完整和抗抵赖性。因此，所有的审计日志宜适当保护，包括在指定日期对存档CD进行销 毁。根据企业要求和国家法律，审计痕迹宜安全保留一段时间。另外，审计痕迹和相关服务器的时间同 步也非常重要，例如，网络时间协议（NTP）经常用于取证和诉讼。 宜强调的是，实施网络监视宜完全遵守国际和国家相关法律法规，这包括数据保护法和调查权规范 去（根据法律，在实施任何监视之前宜通知所有的用户）。总之，监视宜本着负责的态度，而不是利用某 国隐私法的不健全去查看员工的行为。显然，采取的网络监视行为宜与所在组织、社区的安全和隐私策 略相一致，处理相关责任时，程序恰当。如果刑事或民事诉讼中使用审计日志证据，实施网络审计记录 和监视时还宜更加谨慎。 关于网络使用的大多数评审记录和监视控制以及相关的信息系统可根据ISO/IEC27002及ISO IEC27005的使用而定。

随着网络使用量的增加，人侵者可更容易地找到多种方法来隐藏其初始访问点，以渗透到组织或社 区的信息系统和网络中，建立网络连接并瞄准内部信息系统。而且，这些人侵者变得更加狡猬，使用的 攻击手段也更加复杂，因为他们所使用的工具可在网上或公开文献中获得。实际上，他们使用的很多工 具都是自动的、高效的，就算是对初级入侵者来说也很容易。 对大多数组织来说，预防所有的潜在渗透从经济上说几乎不可能实现。因此，入侵行为很可能会发 主。大多数渗透的相关风险宜通过提高鉴别和身份认证能力、逻辑访问控制能力、计算评审控制能力以 及人侵监视和防御能力得以解决。这些能力能够预测入侵、识别入侵、提高告警级别并防御人侵。它还 能本地收集入侵信息，随后进行整合和分析，以及分析组织正常信息系统行为、使用模式。 IDS监视所有内部网络的流量情况，以确定入侵是否尝试发生、正在发生或已经发生，对人侵做出 响应，并向适当的人员发出警报。有两种类型的IDS： NIDS：监视网络数据包并试图把攻击者的攻击模式与已知攻击模式数据库进行匹配来发现人 侵者：

HIDS：通过监视安全事件目志或检查系统变化实现监视主机（服务器）的活动，例如，系统重要 文件的变化或系统注册表的变化。 人侵防御系统（IPS)会对进入内部网络的所有流量进行检查并自动拦截所有可识别的攻击。换言 之，IPS是专门为提供主动响应而设计的。 ISO/IEC27039提供了详细的入侵检测和防御指南

8.8 基于密码的服务

在保密性要求高的环境中，宜考虑对网络上的信息进行加密控制。在完整性要求高的环境中，宜考 虑数字签名和/或信息完整性控制以保护网络连接上的信息。数字签名控件能够为消息鉴别控制提供 类似的保护，同时也具备抗抵赖性， 网络上传输的信息在要求提供实质性证据时（抗抵赖性），宜考虑如下控制： 提供确认提交的通信协议； 要求提供发件人地址或标识符并检查此信息存在与否的应用协议； 检查发件人和收件人地址格式中语法的有效性及与相关目录中信息一致性的网关； 确认网络发送以及确定信息顺序的协议。 重要的是信息的传输或接收，在有争议时能够得到证明，并宜通过使用标准数字签名方法来提供保 正（这也是一种抗抵赖的形式）。在需要来源证明的情况下，信息发送方宜使用通用标准的数字签名密 封信息。如需提供交付证明，发送方宜要求使用数字签名封装回复。 决定使用加密、数学签名、消息完整性或其他基于加密的控制时宜考虑相关法律法规，并视情况考 慧适当的公钥基础设施、密钥管理要求、使用的机制是否适合所涉及的网络类型和所需保护程度，以及 与数字签名协议中使用的密钥（相关认证）相关联的用户或实体的可靠可信注册。 ISO/IEC18033（所有部分）对加密机制进行了标准化。ISO/IEC10116标准化了使用分组密码进

重要的是要制定控制，以便在发生灾难时确保业务的持续运作，并且在适当的时间范围内提供业务 被中断后恢复每个部分的能力。因此，组织宜适当安排业务持续性管理计划，其过程涵盖所有业务连续 性阶段，包括业务影响分析评审、风险评估评审、建立业务恢复要求、业务连续性策略制定、业务连续性 计划制定、企业连续性计划测试、全体员工企业连续性意识提升、业务连续性计划持续维护以及风险降 低措施。只有遵循所有的阶段才能确保实现： 所需的业务优先级和时间尺度符合业务需求； 被识别的推荐业务连续性策略选项与优先级和时间尺度匹配； 正确且必要的计划与设施得到妥当安排及测试，包括信息、业务流程、信息系统和服务、语音和 数据通信、人员和物理设施。 业务连续性管理指南作为一个整体，包括业务连续性策略和相关计划制定，以及后续测试，都可在 SO/PAS22399：2007中得到。 从网络的角度看，网络连接的维护、实现具有足够容量的替代连接，以及在网络安全事件之后的恢 复连接等问题，都宜予以解决。这些方面和要求宜充分考虑随着时间的推移，连接对业务功能重要程度 以及发生损害时对业务产生的不利影响。虽然连通性可给组织带来许多好处，但如果发生中断，就灵活 性和使用创造性方法的能力而言它们也会成为脆弱点和“单点故障”，这可能对组织造成破坏性影响。

9网络安全设计和实现指南

的基础（见第12章）。一且技术安全架构和安全控制生效，就建议开始实施实时的持续监视和执行评审 （见第14章）。

客技术安全体系架构及设

10参考网络场景一风险、设计技术和控制要素

10.2员工互联网访问服务

10.3增强性协作服务

将其作为组织内部服务和外部的服务使用。使用这种服务可带来更多益处，但同时会带来更 多相关安全风险。 在实施方面，该服务可在内部实施，或者只是从第三方购买作为服务。在许多仅使用内部服务的情 兄下，最可能在内部实施。如果该服务要在内部和外部使用，从第三方购买协作服务则是更合适的解决 方案。内部以及内外部同时使用的情况下，该服务提供了用于减轻这些风险的关于安全设计技术和控 制的安全风险和建议

10.4企业对企业的服务

传统上讲，企业对企业的服务已经能够通过租用专用线路或网络段来实现。互联网和相关技术确 实提供了更多的选择，但也引人了与实施这些服务相关的新安全风险。通常，企业对企业的服务有自已 的要求。例如，可用性和可靠性是非常重要的要求，因为组织依赖于企业对企业的服务。 当使用互联网作为基本网络连接来实现企业对企业的服务时，可用性和可靠性等需求宜与之前区 别对待。使用租用线路来衡量服务质量的方式已不再适用，宜通过适当的设计技术和控制来降低新的 安全风险

10.5企业对客户的服务

企业对各户的服务包括电于商务相电于银行。 用的方法，例如双因素，基于证书等等；实施成本之间的关系也很重要，通常是因为客户数量大以及财 务损失、商业声誉、信誉损失等风险的减少）、完整性和抵抗复杂性攻击（例如“中间人”或“浏览器中间 ”攻击）等要求。 特征包含以下内容： 安全通常只在组织控制下的终端平台上得以“保证”，为实施控制和维持平台安全提供良好 环境； 客户平台，特别是PC的安全性通常很差。在这种环境中实现控制更加困难，因此在这种情况 下，客户平台将面临更多的风险（在这种环境下很难实施合同中无“安全连接条件”等系列 要求。

由于现在IT环境的复杂性，许多组织使 提供的文持特服务：或者完全或部分外包具基 础设施的支持，和/或使用其他外包服务。许多供应商还要求直接访问其客户使用的产品，以便能够适 当地处理网络安全事故和/或支持管理。 许多外包服务需要永久的访问权限，例如，支持访问的基础设施的权限，其他人可能只需要临时访 问权限。在某些情况下，外包服务需要较高的访问权限，以便完成所需的任务，特别是在事故管理场 景中。

对许多地区，特别是港澳台地区而言，特定的地方性法规或政策性法规对信息安全要求有很大的影 向。组织通常在许多不同地区开展业务，因此有义务遵守各个地区的特定政策法规，这可能进一步导致 组织宜满足每个地区的信息安全要求。这通常宜采取额外的信息安全控制，以确保遵守此类政策法规。 为了满足某个组织在不同地区开展业务的信息安全要求，实施网络划分是一个有效的泛解决方案 在许多情况下，这种泛解决方案除了可用 问控制外，还可用于建立单独的防御屏障。

该参考网络场景涉及个人移动通信设备，例如，流行的智能手机或掌上电脑（PDA)（关于网络上

场景涉及个人移动通信设备，例如，流行的智能手机或掌上电脑（PDA）（关于网络上设

10.9旅行用户的网络支持

当前，旅行用户期望旅行过程中的网络连接同在固定位置（例如其办公室）的连接一样有效。这样 的解决方案和产品通常侧重于功能方面。从信息安全的角度来看，这样的功能往往带来新的风险，使得 预设的信息安全策略受到影响甚至无效。例如，如果未使用适当的控制来实现旅行用户对内联网的访 ，那么维持良好控制和（从外部）受保护的内联网的假设可能被质疑

家庭和小型企业的网络支

家庭和小型企业通常宜将组织的内部网络扩展到家庭或小型办公场所。扩展成本是一个关键问 ，因为成本、效益通常不需要很高的实施成本，这意味着用于保护这种网络扩展的安全控制成本有限 年且通常阻止使用用于连接较大内联网段的已建立的网络互联安全控制。 在许多家庭或小型企业场景中，基础设施也可用于私人和商业目的，这可能导致额外的信息安全风 险。定义安全风险，并提出有关安全设计技术和控制以缓解这些风险的建议

11“技术”主题一风险、设计技术和控制要素

与“技术”主题相关的安全风险、设计技术和控制要素包括如下内容： 局域网； 广域网； 无线网； 无线电网络： 宽带网； 安全网关； 虚拟专用网； 语音网络； IP聚合； 虚拟主机； 电子邮件； 路由访问第三方组织； 数据中心。

12开发和测试安全解决方案

一旦技术安全架构已完全记录并获得一致认可（包括高级管理层）岩土工程，则宜制定解决

技术安全架构已完全记录并获得一致认可（包括高级管理层），则宜制定解决方案，以“试用模

式”实施，并进行全面测试和合规性检查。 一般来说，“适用性”测试宜率先进行，通过测试策略文件所描述的方法，从而验证解决方案并制定 测试计划。由于执行此类测试检验出某些不足，可能需要对测试策略进行更改，如有必要还宜重新进行 测试。 一旦“适用”测试已成功完成并做出了更改，宜检查该实施是否符合文档化的技术安全体系结构和 以下文档中规定的所需安全控制： 技术安全体系结构； 一安全策略； 相关安全操作规程（SecOPs）； 安全网关服务访问（安全）的策略； 一业务连续性计划； 一相关安全连接条件。 合规性评审宜在现场运行之前完成。当所有缺陷已被确定、修复并由高级管理层签署后，评审即已 完成。 宜强调的是，这宜包括对相关公认的行业、地方标准（在没有国家标准的情况下）进行安全测试，在 明确何时何地要进行哪些测试后，宜制定安全测试策略和相关的安全测试计划。这宜包括脆弱性扫描 和渗透测试的组合。在开始任何此类测试之前，宜检查测试计划，以确保该测试与相关法律法规完全兼 容。在进行这项检查时，不宜忘记，网络不仅限于一个国家，它分布在具有不同立法的不同国家。在测 式结束后，报告宜指出所遇到的漏洞并进行必要的修复，并以优先级标明，在附录中确认所有需要的修 复已完成。此类报告宜由高级管理层签署。 最后，当一切完毕时，宜签署并接受执行，包括高级管理层

“操作”是指使用达成一致的安全解决方案运营实时（日常）网络，并已经进行了安全测试，预先完成 了相关的必要操作。换言之，一且签署技术安全架构以及安全控制实施，则宜开始执行日常运营。随着 寸间的推移，如果发生重大变化，则宜进行进一步的实施测试和评审（见第14章）

监视和评审解决方案的实

在日常运营实施后，宜根据相关公认的行业、地方标准（在没有国家标准的情况下）开展持续监视和 合规性评审。此类活动宜在与业务需求、技术、安全解决方案等相关的重大变化发布之前进行，否则每 年进行一次。这里的活动宜遵循第12章所述的模式，

园林施工组织设计 本部分中安全控制部分同ISO/IEC27001、ISO/IEC27002相关章条号的交叉引用