服务项目

信息安全认证：ISO27000标准“A.13.1 网络安全管理”条款讲解

文章录入：华道众合文章来源：华道众合添加时间：2021-1-28

A. 13.1 网络安全管理

目的：确保网络中的信息及其支持性的信息处理设施得到保护。

【标准条款】

A.13.1.1 网络控制

应管理和控制网络以保护系统和应用中的信息。

【理解与应用】

宜实现控制，以确保网络中信息的安全，确保所连接的网络服务得到保护，免遭未授权访问。特别的，宜考虑如下内容∶

（1）宜建立网络设备管理的责任和规程;

（2）在合适的地方，网络的运行责任宜与计算机运行责任予以分离（见A.6.1.2职责分离）;

（3）宜建立专门的控制，以保护在公用网络上或无线网络上流经数据的保密性和完整性，并且保护已连接的系统及应用（见A.10密码和A.13.2信息传输）;为维护所连接的网络服务和计算机的可用性，还可以需要专门的控制;

（4）宜应用合适的日志生成和监视，以便能记录和检测到一些可能影响信息安全或与信息安全相关的活动;

（5）为优化对组织的服务和确保在信息处理基础设施中诸多控制的一致应用，宜紧密协调相应的管理活动;

（6）宜鉴别网络上的系统;

（7）宜限制与网络的系统连接。

有关网络安全的更多信息参见 ISO/IEC 27033。

【标准条款】

A.13.1.2 网络服务的安全

所有网络服务的安全机制、服务级别和管理要求应予以确定并包含在网络服务协议中，无论这些服务由内部提供还是外包的。

【理解与应用】

网络服务提供商以安全方式管理商定服务的能力，宜予以确定并定期监视，还宜商定审计的权利。

宜识别特殊服务必要的安全安排，例如安全特征、服务水平和管理要求。组织宜确保网络服务提供商实现了这些措施。

需要关注如下内容∶

网络服务包括接入服务、私有网络服务、增值网络和受控的网络安全解决方案，例如防火墙和入侵检测系统。这些服务既包括简单的未受控的带宽也包括复杂的增值的提供。

网络服务的安全特征可以是：

（1）为网络服务应用的安全技术，例如鉴别、加密和网络连接控制;

（2）按照安全和网络连接规则，网络服务的安全连接需要的技术参数;

（3）若必要，使用网络服务规程，以限制对网络服务或应用的访问。

【标准条款】

A.13.1.3网络中的隔离

应在网络中隔离信息服务、用户及信息系统。

【理解与应用】

管理大型网络安全的一种方法是将该网络分成独立的网络域。域的选择可以基于信任级别（如公共访问域、桌面域、服务器域）、所属的组织单元（如人力资源、财务、市场）或某些组合（如连接到多个组织单元的服务器域）。域之间的隔离可以使用不同的物理网络或者使用不同的逻辑网络（如虚拟专用网络）。

宜明确界定每个域的边界。网络域之间允许访问，但宜在边界处使用网关（如防火墙、过滤路由器）进行控制。划分网络域以及允许穿过网关访问的准则宜基于对每个域安全要求的评估。该评估宜与访问控制策略（见 A.9.1.1访问控制策略）、访问要求、被处理信息的价值和分级相一致，并考虑到相对成本和采用合适的网关技术对性能的影响。

由于无线网络的边界难以确定，因此需要专门处理。对敏感环境而言，宜考虑把所有无线访问视为外部连接，并将该访问从内部网络隔离，直到该访问在授权访问内部系统之前根据网络控制策略（见 A.13.1.1网络控制）通过了网关为止。当恰当地实现时，现代的、基于标准的无线网络的鉴别、加密和用户分级网络访问控制技术可能对直连组织内网是足够的。

需要关注的是因为形成的业务伙伴关系可能需要信息处理和网络设施的互连或共享，网络通常超出了组织边界。这样的扩展会增加对使用网络的组织信息系统未授权访问的风险，其中的某些系统由于其敏感性或关键性可能需要防范其他网络用户。

想了解更多的关于信息安全认证信息可以经常关注我们

【相关文章】