—《信息技術安全技術網(wǎng)絡安全第6部分：無線網(wǎng)絡訪問安全》（征求意見稿）編制說明一、工作簡況1、總體情況根據(jù)黑龍江省網(wǎng)絡空間研究中心的申請，全國網(wǎng)絡安全標準化技術委員會于2024年2月下達了《信息技術安全技術網(wǎng)絡安全第6部分：無線網(wǎng)絡訪問安全》的標準制定任務。國家標準化管理委員會于2024年7月下達了《信息技術安全技術網(wǎng)絡安全第6部分：無線網(wǎng)絡訪問安全》國家標準制定計劃（計劃號：20241941-T-469），由黑龍江省網(wǎng)絡空間研究中心牽頭承擔標準制定工作，起草單位包括：西安西電捷通無線網(wǎng)絡通信股份有限公司、哈爾濱理工大學、中國移動通信集團有限公司、中國信息通信研究院、國家工業(yè)信息安全發(fā)展研究中心、哈爾濱金融學院、陜西省信息化工程研究院、國家計算機病毒應急處理中心、中國網(wǎng)絡安全審查認證和市場監(jiān)管大數(shù)據(jù)中心、國家計算機網(wǎng)絡應急技術處理協(xié)調(diào)中心、南方電網(wǎng)數(shù)字電網(wǎng)集團信息通信科技有限公司等。2、標準制定的主要工作過程如下2022年1月－2022年12月，跟蹤研究ISO/IEC27033系列國際標準的研制情況，翻譯了國際標準ISO/IEC27033-6的中文文本，且多次在專家、成員單位、管理部門等范圍內(nèi)進行討論和征求意見，并根據(jù)這些意見形成了標準草案；2023年1月—2023年6月，廣泛地收集相關資料和國內(nèi)無線網(wǎng)絡安全、網(wǎng)絡安全管理相關文檔、資料、學術文獻和法律法規(guī)，形成本標準第一階段草稿；2023年7月6日，根據(jù)專家評審會與會專家意見，標準編制組將轉(zhuǎn)標策略改為修改采用國際標準；2023年7月—2023年9月，標準編制組根據(jù)專家意見，進一步深入調(diào)研、搜集資料、分類整理，并對第一階段草稿完善、規(guī)范語言、統(tǒng)一格式、細化校對，修改形成第二階段標準草案稿；2023年9月16日，在第二批網(wǎng)絡安全國家標準立項專家評審會上匯報標準制定相關工作，收集與會專家意見；2023年10月-2024年5月，在第二階段標準草案稿基礎上，從翻譯的準確性、規(guī)范性、流暢性、符合國人用語習慣等方面對標準草案稿進行完善，并書面征詢參編單位專家意見；2024年6月，在全國網(wǎng)絡安全標準化技術委員會2024年第一次會議周上匯報標準編制進展情況，對標準草案征集意見；2024年6月-2024年8月，標準編制組根據(jù)標準周會議各單位專家意見，修改標準草案文本，并做了2次內(nèi)部版本的變更；2024年9月，參加全國網(wǎng)絡網(wǎng)絡安全標準化委員會組織的國家標準專家評審會，根據(jù)與會專家意見，修改完善標準草案文本，形成征求意見版。3、各階段稿件意見的處理情況標準草案階段，參與了1次全國網(wǎng)絡安全標準化委員會會議周，共收到反饋意見27條，采納25條，未采納2條。參與了1次全國網(wǎng)絡網(wǎng)絡安全標準化委員會組織的國家標準專家評審會，共收到專家意見20條，采納19條，未采納2條，詳見《意見匯總表》。二、標準編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問題1、標準編制的主要原則1）遵循現(xiàn)行國家標準為基礎，修改采用國際新標準。本標準編寫格式符合國家標準GB/T1.1-2009的規(guī)定。2）貫徹國家有關政策與法規(guī)本標準中，凡涉及在此網(wǎng)絡中傳遞涉密信息，均按國家有關法規(guī)實施；凡涉及采用密碼技術解決機密性、完整性、身份鑒別、可核查性需求的，均遵循密碼相關政策法規(guī)和國家標準。3）認真記錄、反復衡量、綜合分析各方意見，多方征集行業(yè)企業(yè)的意見和反饋在《信息技術安全技術網(wǎng)絡安全第6部分：無線網(wǎng)絡訪問安全》國家標準制定過程中，各起草單位齊心協(xié)力，在充分溝通和交流的基礎上，形成了標準編制組內(nèi)統(tǒng)一的標準文本，在此基礎上，編制組邀請省內(nèi)外無線網(wǎng)絡安全領域高校和企事業(yè)單位的專家學者，圍繞文本的規(guī)范性、實用性、技術性等內(nèi)容進行探討，并根據(jù)收集到的專家意見對標準文本進行修改和完善。2、本標準的主要內(nèi)容本標準給出了與無線網(wǎng)絡相關的威脅、安全要求、安全控制和設計技術，提供了選擇、實施和監(jiān)測無線網(wǎng)絡安全通信的技術控制指導。本標準適用于評審或選擇涉及使用無線網(wǎng)絡技術安全架構(gòu)及設計選項，在滿足GB/T25068.2的基礎上，為負責實施和維護安全無線網(wǎng)絡的用戶和實施者提供技術控制指導。本標準的主要框架如下：前言引言1范圍2規(guī)范性引用文件3術語和定義4縮略語5文檔結(jié)構(gòu)6概述7安全威脅8安全要求9安全控制10安全設計技術和注意事項3、本標準在確定主要內(nèi)容時的論據(jù)本標準修改采用國際標準《ISO/IEC27033-6:2016Informationtechnology—Securitytechniques—Networksecurity—Part6:SecuringwirelessIPnetworkaccess》（《信息技術安全技術網(wǎng)絡安全第6部分：無線網(wǎng)絡訪問安全》），同時結(jié)合我國信息技術、安全技術和網(wǎng)絡安全的實際情況進行編制。三、主要試驗[或驗證]情況分析2024年4月-2024年7月，編制組聯(lián)合中共黑龍江省委網(wǎng)絡安全和信息化委員會辦公室、中國移動通信集團設計院有限公司、陜西省信息化工程研究院、哈爾濱工業(yè)大學網(wǎng)絡安全學院、西安西電捷通無線網(wǎng)絡通信股份有限公司、黑龍江安信與誠科技開發(fā)有限公司6家有代表性的政府部門、行業(yè)組織、高校和企業(yè)，成立《信息技術安全技術網(wǎng)絡安全第6部分：無線網(wǎng)絡訪問安全》國家標準試點工作組，選取典型無線網(wǎng)絡訪問相關業(yè)務場景對標準核心條款進行逐項驗證。四、知識產(chǎn)權(quán)情況說明本標準不涉及知識產(chǎn)權(quán)問題。五、產(chǎn)業(yè)化情況、推廣應用論證和預期達到的經(jīng)濟效果本標準修改采用國際標準《ISO/IEC27033-6:2016Informationtechnology—Securitytechniques—Networksecurity—Part6:SecuringwirelessIPnetworkaccess》（《信息技術安全技術網(wǎng)絡安全第6部分：無線網(wǎng)絡訪問安全》），依托專業(yè)技術人員對國際標準進行翻譯，在此基礎上，適當增加符合國內(nèi)技術發(fā)展現(xiàn)狀及實際應用場景需求的相關內(nèi)容，形成國家標準草案。本標準適用于參與無線網(wǎng)絡安全詳細規(guī)劃、設計和實現(xiàn)的所有人員，以及使用不同類型的無線設備的政府部門、行業(yè)組織、企事業(yè)單位、個人和家庭等。本標準給出了與無線網(wǎng)絡相關的漏洞、安全要求、安全控制和設計技術。本標準的實施將對技術安全架構(gòu)或設計選項進行審查和選擇發(fā)揮重要指導性作用，同時也將有助于全面定義組織的無線網(wǎng)絡環(huán)境并實現(xiàn)安全性。六、采用國際標準和國外先進標準情況本標準修改采用《ISO/IEC27033-6:2016Informationtechnology—Securitytechniques—Networksecurity—Part6:SecuringwirelessIPnetworkaccess》（《信息技術安全技術網(wǎng)絡安全第6部分：無線網(wǎng)絡訪問安全》）。本文件與ISO/IEC27033-6:2016相比做了下述結(jié)構(gòu)調(diào)整：——第6章對應ISO/IEC27033-6:2016中的第6章，其中6.1和6.2由ISO/IEC27033-6:2016中的第6章內(nèi)容拆分梳理得到；——刪除ISO/IEC27033-6:2016附錄A。本文件與ISO/IEC27033-6:2016的技術差異及原因如下：——刪除術語“藍牙”“家用基站”“無線網(wǎng)絡控制器”，以適應我國的國情；——刪除縮略語“BYOD”“ICT”“PEAP-GTC”“SIG”“TTLS”“UEA1”“WRAN”“WWAN”，增加“2FA”“4G”“5G”“Ad-hoc”“RAP”“WAP3”，以適應我國的國情；——修改6.1列項WPAN中對藍牙、UWB、ZigBee的陳述，刪除列項WLAN中表述HiperLAN段落，修改列項WLAN中對Wi-Fi、WAPI的表述，刪除列項WMAN下表述WiMAX的段落，修改列項WMAN首段表述，增加列項WMAN下關于4G、5G的陳述，以適應我國的國情；——修改ISO/IEC27033-6:2016中“10.2Wi-Fi”為“10.2WLAN”，包括：10.2.1中增加WAPI安全機制；修改10.2.3列項；刪除SO/IEC27033-6:2016中“10.2.4無線Wi-Fi技術”，替換為“10.2.4WLAN設備安全配置”，以適應已發(fā)布的強制國家標準和我國的國情；本文件做了下列編輯性改動：——增加全文中的Wi-Fi作為商品表述時的商標角注，增加注中引導句“給出這一信息是為了方便本文件使用者，并不表示對該產(chǎn)品的認可。如果其他產(chǎn)品具有相同的效果，那么可使用這些等效產(chǎn)品”；——修改3.9無線自組織網(wǎng)的定義；——修改第7章，包括：刪除7.3末段；刪除7.5首段；——刪除8.5倒數(shù)第2、3段；——修改第9章，包括：修改9.1標題，由“概述”修改為“無線安全策略”；刪除9.1首段；刪除9.2首段和末段；刪除9.3末段；修改9.5.1標題，由“概述”修改為“無線訪問控制”；刪除9.5.2首段第一句“IEEE802.11系列標準中”；刪除9.6首段最后一句“這些技術也用于所有ICT網(wǎng)絡；——修改10.1標題，由“概述”修改為“安全設計規(guī)劃”；——增加參考文獻GB15629.11。七、與現(xiàn)行相關法律、法規(guī)、規(guī)章及相關標準的協(xié)調(diào)性1、貫徹國家有關政策與法規(guī)本標準中涉及無線網(wǎng)絡安全設計原則等符合國家網(wǎng)絡安全相關法律、法規(guī)、規(guī)章。2、與國內(nèi)相關標準的關系本標準與我國現(xiàn)行的法律、法規(guī)及國家標準、行業(yè)標準不存在沖突問題。本標準作為《GB/T25068》系列標準的一部分，與已實施的前五部分標準保持較好的一致性和關聯(lián)性，這些標準可以為無線網(wǎng)絡訪問安全提供參考。具體情況如下：ISO/IEC27033-1:Informationtechnology—Securitytechniques—Networksecurity—Part1:Overviewandconcepts定義網(wǎng)絡安全相關的概念，提供管理指南，包括提供網(wǎng)絡安全的概述、相關的定義、識別和分析網(wǎng)絡安全風險的指南以及定義網(wǎng)絡安全需求。ISO/IEC27033-2：Informationtechnology—Securitytechniques—Networksecurity—Part2:Guidelinesforthedesignandimplementationofnetworksecurity定義組織如何實現(xiàn)高質(zhì)量的網(wǎng)絡安全架構(gòu)、設計和執(zhí)行，以確保網(wǎng)絡安全適合于其業(yè)務環(huán)境，并使用一直的方法來規(guī)劃、設計和實現(xiàn)網(wǎng)絡安全。ISO/IEC27033-3：Informationtechnology—Securitytechniques—Networksecurity—Part3:Referencenetworkingscenarios-Threats,designtechniquesandcontrolissues定義與典型網(wǎng)絡場景相關的特定風險、設計技術和控制問題。它與所有參與規(guī)劃、設計和實現(xiàn)網(wǎng)絡安全架構(gòu)方面的人員有關(例如網(wǎng)絡架構(gòu)師和設計人員、網(wǎng)絡管理人員和網(wǎng)絡安全人員)。ISO/IEC27033-4：Informationtechnology—Securitytechniques—Networksecurity—Part4:Securingcommunicationsbetweennetworksusingsecuritygateways根據(jù)安全網(wǎng)關的文件化信息安全政策，給出了使用安全網(wǎng)關（防火墻、應用防火墻、入侵保護系統(tǒng)等）保護網(wǎng)絡間通信的指南。ISO/IEC27033-5：Informationtechnology—Securitytechniques—Networksecurity—Part5:SecuringcommunicationsacrossnetworksusingVirtualPrivateNetworks(VPNs)給出了使用虛擬專用網(wǎng)絡（VPN）連接來互連網(wǎng)絡并將遠程用戶連接到網(wǎng)絡以提供網(wǎng)絡安全所需的技術控制的選擇、實施和監(jiān)控指南。本標準凡涉及采用密碼技術解決機密性、完整性、身份鑒別、可核查性需求的，遵循密碼相關強