虚拟专用网产品安全技术.pdfVIP

虚拟专用网产品安全技术

1范围

本标准规定了虚拟专用网产品的安全功能要求、安全保障要求和等级划分要求。

本标准适用于虚拟专用网产品的设计、开发与测试。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T18336.3-2015信息技术安全技术信息技术安全性评估准则

GB/T25069-2010信息安全技术术语

3术语和定义

GB/T18336.3-2015和GB/T25069-2010界定的以及下列术语和定义适用于本文件。

3.1

虚拟专用网virtualprivatenetwork

在公用网络上建立专用网络的技术。在公共的、不可信的通信基础设施上，VPN通过设备间建立

安全通信通道来保护两个通信实体间传送的数据的安全。安全通信通道通过使用加密、数字签名、鉴别、

认证和访问控制等安全机制建立。

3.2

隧道tunnel

用于传输协议的封装，在隧道的起点将待传输的原始信息经过封装处理后嵌入目标协议的数据包

内，从而在支持目标协议的网络中正常传输。在隧道的终点，从封装的数据包中提取出原始信息，完成

隧道两端的正常通信。

3.3

互联网协议安全internetprotocolsecurity

由IETF的IPSec工作组提出的，将安全机制引入TCP/IP网络的一系列标准，是一组开放的网络

安全协议的总称。IPSec提供了完整性、认证和保密性等安全服务，主要有两种工作方式：隧道模式和

传输模式。

4缩略语

下列缩略语适用于本文件。

IETF：互联网工程任务组（InternetEngineeringTaskForce）

IPSec：互联网协议安全（InternetProtocolSecurity）

IPv6:互联网协议第六版(InternetProtocolVersion6)

NAT：网络地址转换（NetworkAddressTranslation）

TCP/IP：传输控制协议/互联网协议（TransmissionControlProtocol/InternetProtocol）

VPN：虚拟专用网（VirtualPrivateNetwork）

5虚拟专用网产品描述

VPN产品将若干个专用网络通过公共网络连接起来，使分布在不同地域的专用网络可以通过不可完

全信任的公共网络（例如互联网）安全地通信。专用网络的数据经由产品建立的隧道在公共网络中传输。

在VPN中，数据在公共网络传输的安全性应由加密技术来保障。

VPN产品常用的工作模式有：Site-Site、Host-Site等，图1是VPN产品典型运行环境图。

图1VPN产品典型运行环境图

6总体说明

6.1安全技术要求分类

虚拟专用网产品安全技术要求分为安全功能和安全保障两类。其中，安全功能要求是对VPN产品应

具备的安全功能提出具体要求，包括标识和鉴别、安全审计、访问控制、用户数据完整性保护、隧道建

立、NAT穿越、密码支持和IPv6环境适应性；安全保障要求针对VPN产品的开发和使用文档的内容提出具

体的要求，例如开发、指导性文档、生命周期支持和测试等。

6.2安全等级

按照VPN产品安全功能要求强度，以及按照GB/T18336.3-2015，对VPN产品安全等级进行划分。安

全等级分为基本级和增强级，安全功能强弱和安全保障要求高低是等级划分的具体依据。安全等级突出

安全特性。

7安全功能要求

7.1标识和鉴别

7.1.1基本标识

VPN产品应对使用产品功能的用户进行标识。基本标识一般以用户名或用户ID实现。

7.1.2唯一性标识

VPN产品应为用户提供唯一标识，并能将标识与其所有可审计事件相关联。

7.1.3身份鉴别

VPN产品应保证任何用户在执行产品的安全功能前都要进行身份鉴别。应通过用户所使用设备的MAC

地址或IP地址等对用户进行设备级验证。

7.1.4鉴别失败处理

当用户鉴别失败的次数达到或