标准规范下载简介:
内容预览由机器从pdf转换为word,准确率92%以上,供参考
GB/T 25068.3-2022 信息技术 安全技术 网络安全 第3部分:面向网络接入场景的威胁、设计技术和控制.pdf求,因为组织开展工作通常直接依赖于企业对企业的服务。 当基于互联网来实现企业对企业的服务时,经过验证的措施,例如租用专线的服务质量预期不再适 用,因此就要用与以往不同的方式处理可用性和可靠性等需求。新的安全风险需通过适当的设计技术 和控制措施来降低。重点是通过防止访问未经授权的数据和保持业务系统间的隔离,来加强组织之间 的信任。 下述条款针对内部、内外部、使用行为情况,描述了安全威胁和关于安全设计技术与控制措施的建 议,以减轻相关风险。
述了与企业对企业的服务相关的信息安全设计技
136.砌体工程施工安全技术交底企业对企业的服务场景下的安全控制措施
GB/T 25068.3—2022
表4企业对企业的服务场景下的安全控制措施(续)
组织与客户进行交易时宜考虑本章所提供的网络接人场景。 企业对客户的服务,也称为电子商务服务,包括电子商务、电子银行和电子政务等服务。在企业对 的服务中,安全性需要在实施交易与维护品牌和商业价值之间取得平衡。 信息安全要求包括: 一保密性(特别是关于电子银行业务); 鉴别; 一完整性; 数据通信安全性,即终端用户期望业务服务能够提供一条用以保护用户和提供者之间的交易 路径,以抵抗复杂攻击(例如“中间人"或“浏览器中间人"攻击); 可用性是电子商务提供商的一个重要衡量度。 信息安全特征包括: 只有在组织控制下的终端平台上才能“保证"安全性,才能为实施控制措施和维护良好的平台 级安全提供良好的环境; 客户端上的安全性一般较差。难以在这样的环境中实施控制措施,因此客户端在这种场景(如 约定中没有“安全连接的条件”的要求集合)下会存在重大风险。 下述条款针对内部、内外部、使用行为情况,描述了安全威胁和关于安全设计技术与控制措施的建 以减轻相关风险
与企业对客户的服务的相关安全威胁包括以下内容。 病毒攻击和恶意软件的入侵:
与企业到客户的服务相关的安全设计技术和控制
表5企业对客户的服务场景下的安全控制措施
GB/T 25068.32022
组织在利用涉及多个员 群件; 文件服务器; 邮件列表; 基于Web的服务。
组织在利用涉及多个员工的服务时宜考虑本章所提供的网络接人场景。示例如下: 群件; 文件服务器; 邮件列表; 基于Web的服务
组织在利用涉及多个员工的服务时宜考虑本章所提供的网络接人场景。示例如下: 群件; 文件服务器; 邮件列表; 基于Web的服务。
0.3安全设计技术和控制措施
术了与增强协作服务相关的信息安全设计技术和
引水隧洞坝施工组织设计方案表6增强协作服务场景下的安全控制措施
增强协作服务场景下的安全控制措施(续)
为满足合规性要求而对网络分段的安全威胁包括以下内容。 因监管不合规而产生的责任。 数据泄露: ·违反保密规定,例如客户或客户资料是从不宜提供该资料的渠道取得的; ·违反法律法规特定的隐私要求; ·因未满足客户对保密性或不透明性的期望而导致的信誉风险
11.3安全设计技术和控制措施
术了与网络分段有关的信息安全设计技术和控制
表7网络分段场景下的安全控制措施
组织需要为居家办公或小型办公场所的员工提供内部资源访问权限时宜考虑本章所提供的网络接 人场景。 居家办公和小型商务办公场所通常需要将组织的内网扩展到其所在地,这种情况下成本是一个关 键问题,通过成本效益分析来看,其实施成本不宜过高。这意味着用于保护此类网络扩展的安全控制措 施的成本有限,因此通常不使用已建立的网间安全控制措施来连接更多的内联网段。 在许多居家办公或小型办公场所场景中,除商业用途外,基础设施可能也用于私人用途,这可能会 导致额外的信息安全风险。 下述条款针对内部、内外部、使用行为情况,描述了安全威胁和关于安全设计技术与控制措施的建 议,以减轻相关风险。
与居家办公和小型商务办公场所网络相关的安全威胁包括以下内容。 未经授权的访问: ·网络访问设备配置设置薄弱春港丽园施工组织设计,如居家办公路由器(小型办公场所、居家办公); ·使用隧道分离技术; · 物理安全控制措施缺失或薄弱;