ICS35. 030 GB CCS L80 中华人民共和国国家标准 GB/T25068.6—20XX 信息技术安全技术网络安全 第6部分：无线网络访问安全 Cybersecurity technology-Network securityPart 6:Securing wireless IP network access (ISO/IEC 27033-6:2016,Information technology—Security techniques—Network securityPart 6:Securing wireless IP network access,MOD) (草案稿） 在提交反馈意见时，请将您知道的相关专利连同支持性文件一并附上。 XXXX-XX-XX 发布 XXXX-XX-XX 实施 国家市场监督管理总局 发布 国家标准化管理委员会 GB/T25068.6—20XX 目 次 前 言 引 言： VII 1 范围. 2规范性引用文件. 3术语和定义 4缩略语.... 5文档结构. 6概述. 6.1无线网络接入技术， 6.2无线网络安全原则. 7安全威胁. 7.1概述.. 7.2未授权的访问. 7.3数据包嗅探.. 7.4恶意无线AP 7.5DoS攻击 7.6蓝牙劫持. 7.7蓝牙漏洞攻击 8 7.8Ad-hoc网络威胁 7.9其他威胁 8 8安全要求， 8.1概述. 8.2机密性. 8.3完整性... 8.4可用性. 8.5身份鉴别 10 8.6授权. 10 8.7可核查性 10 9安全控制. 10 9. 1 无线安全策略.. 10 9.2 加密控制和实现. 9.3 完整性评估.. 11 9. 4 身份鉴别.. 9.5 访问控制.. 12 9.6 抵御DoS攻击 13 9.7 通过防火墙保护实现DMZ隔离 14 9.8 通过安全配置和设备加固实现漏洞管理. 14 9.9 无线网络的持续监控. GB/T25068.6—20XX 10安全设计技术和注意事项 10.1 安全设计规划. 14 10.2 WLAN. 10.3 WMAN.... 10.4 蓝牙... ..18 10.5 其他无线技术， 参考文献 II GB/T25068.6—20XX 前言 草。 本文件是GB/T25068《网络安全技术网络安全》的第6部分。GB/T25068已发布了以下部分： 第1部分：综述和概念； 第2部分：网络安全设计和实现指南； 第3部分：面向网络接入场景的威胁、设计技术和控制； 第4部分：使用安全网关的网间通信安全保护； 第5部分：使用虚拟专用网的跨网通信安全保护。 本修改采用ISO/IEC27033-6:2016《网络安全技术网络安全第6部分：无线网络访问安全》。 本文件与ISO/IEC27033-6:2016相比做了下述结构调整： 第6章对应ISO/IEC27033-6:2016中的第6章，其中6.1和6.2由ISO/IEC27033-6:2016中的第6章内 容拆分梳理得到； 删除ISO/IEC27033-6:2016附录A。 本文件与ISO/IEC27033-6:2016的技术差异及原因如下： “，“，S，DIS，“，“I，O， “，“，，，“，，‘， 修改6.1列项WPAN中对蓝牙、UWB、ZigBee的陈述，删除列项WLAN中表述HiperLAN段落， 修改列项WLAN中对Wi-Fi、WAPI的表述，删除列项WMAN下表述WiMAX的段落，修改列项WMAN 首段表述，增加列项WMAN下关于4G、5G的陈述，以适应我国的国情； -修改ISO/IEC27033-6:2016中“10.2Wi-Fi”为“10.2WLAN”，包括：10.2.1中增加WAPI安全 机制；修改10.2.3列项；删除SO/IEC27033-6:2016中“10.2.4无线Wi-Fi技术”，替换为“10.2.4WLAN 设备安全配置”，以适应已发布的强制国家标准和我国的国情； 本文件做了下列编辑性改动： 增加全文中的Wi-Fi作为商品表述时的商标角注，增加注中引导句“给出这一信息是为了方便 本文件使用者，并不表示对该产品的认可。如果其他产品具有相同的效果，那么可使用这些等效产品”； 修改3.9无线自组织网的定义； 修改第7章，包括：删除7.3末段；删除7.5首段； 删除8.5倒数第2、3段； “6：，，甲“6“6 除9.2首段和末段；删除9.3末段；修改9.5.1标题，由“概述”修改为“无线访问控制”；删除9.5.2首段 第一句“IEEE802.11系列标准中”；删除9.6首段最后一句“这些技术也用于所有ICT网络； 修改10.1标题，由“概述”修改为“安全设计规划”； 增加参考文献GB15629.11。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由全国网络安全标准化技术委员会（SAC/TC260）提出并归口。 本文件起草单位： 本文件主要起草人： V GB/T25068.6—20XX 引言 GB/T25068的目的是为信息系统网络的管理、运行、使用及互联互通提供安全方面的详细指导。方 便组织内负责信息安全（例如：网络安全的人员）采纳本标准以满足其特定需求。它由七个部分构成， 各部分主要目标如下： 一第1部分：综述和概念。定义和描述与网络安全相关的概念并提供管理指导； 一第2部分：网络安全设计和实现指南。为组织如何规划、设计、实现高质量的网络安全体系提 供指导； 一第3部分：面向网络接入场景的威胁、设计技术和控制。列举与典型的网络接入场景相关的具 体风险、设计技术和控制； 一第4部分：使用安全网关的网间通信安全保护。提供了安全网关实施、操作、监视和审查网络 安全控制相关问题的指南； 一一第5部分：使用虚拟专用网的跨网通信安全保护。定义了使用虚拟专用网络建立安全连接的具 体风险、设计技术和控制要素； 一第6部分：无线网络访问安全。目的是为选择、实施和监测使用无线网络进行安全通信所必需 一第7部分：网络虚拟化安全。识别网络虚拟化安全风险，并为网络虚拟化的安全实施提供指引。 需强调的是，GB/T25068提供了关于网络安全控制的更详细的实施指南，GB/T22081对上述网络安 全控制进行了基本的标准化描述。 除非另做说明，本文件适用于当前或计划中的网络，但将仅作为“网络”或“此网络”来引用。 VI GB/T25068.6—20XX 信息技术安全技术网络安全第6部分：无线网络访问安全 1范围 本文件描述了与无线网络相关的威胁、安全要求、安全控制和设计技术，为使用无线网络进行安全 通信提供所需的技术选择、实施和监控指导。 本文件适用于选择涉及使用及设计无线网络技术安全架构选项，在满足GB/T25068.2的基础上，为 负责实施和维护安全无线网络的用户和实施者提供指导。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 IDT) 27033-2:2012，IDT) GB/T29246一2023信息技术安全技术信息安全管理体系概述和词汇（ISO/IEC27000:2016，IDT） 3术语和定义 GB/T25068.1、GB/T29246界定的以及下列术语和定义适用于本文件。 3. 1 无线访问接入点wirelessaccesspoint 允许无线设备连接到有线网络的设备或设备部件。 注：连接使用无线局域网（WLAN）或相关标准。 3. 2 无线基站wirelessbasestation 提供移动终端与核心通信网络连接的设备。 3.3 核心网络corenetwork 移动通信网络的一部分，规定了核心交换或呼叫路由功能的网元。 3. 4 加固hardening 通过减少漏洞暴露面来保护系统的过程 注：加固通常包括删除不必要的软件、不必要的用户名或登录名以及禁用或删除不必要的服务。 1