信息技術(shù) 安全技術(shù) IT網(wǎng)絡(luò)安全 第5部分：使用虛擬專用網(wǎng)的跨網(wǎng)通信安全保護(hù)

GB/T25068-5—XXXXPAGE9GB/T25068.5—XXXXPAGE10信息技術(shù)安全技術(shù)IT網(wǎng)絡(luò)安全第5部分：使用虛擬專用網(wǎng)的跨網(wǎng)通信安全保護(hù)范圍本標(biāo)準(zhǔn)規(guī)定了使用虛擬專用網(wǎng)（VPN）連接到互聯(lián)網(wǎng)和將遠(yuǎn)程用戶連接到網(wǎng)絡(luò)上的安全指南，以及在使用VPN提供網(wǎng)絡(luò)安全時所必需的控制技術(shù)的選擇、實施和監(jiān)控指南。規(guī)范性引用文件下列文件對于本標(biāo)準(zhǔn)的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T22081-2016信息技術(shù)安全技術(shù)信息安全管理使用規(guī)則（ISO/IEC27002:2013）GB/T17901.1-XXXX信息技術(shù)安全技術(shù)密鑰管理第1部分：框架（ISO/IEC11770-1:2010）GB/T22080-2008信息技術(shù)安全技術(shù)信息安全管理系統(tǒng)需求（ISO/IEC27001:2005）GB/T31722-2015信息技術(shù)安全技術(shù)信息安全風(fēng)險管理（ISO/IEC27005:2008）ISO/IEC27033-1:2009信息技術(shù)安全技術(shù)IT網(wǎng)絡(luò)安全第1部分:概述和概念術(shù)語和定義ISO/IEC7498（所有部分），ISO/IEC27000,GB/T17901.1,GB/T22081,GB/T31722,ISO/IEC27033-1界定的以及下列術(shù)語和定義適用于本部分。專用Private只限于授權(quán)組成員使用；在VPN環(huán)境中，它指VPN連接中的通信流。虛擬專用網(wǎng)virtualprivatenetwork一種采用隧道技術(shù)連接的虛擬網(wǎng)絡(luò)，即受限使用的邏輯計算機(jī)網(wǎng)絡(luò)，該網(wǎng)絡(luò)基于物理網(wǎng)絡(luò)系統(tǒng)資源所構(gòu)建，穿越實際網(wǎng)絡(luò)建立連接。虛電路virtualcircuit使用諸如X.25、ATM或幀中繼等包或信元交換技術(shù)而建立的網(wǎng)絡(luò)設(shè)備之間的數(shù)據(jù)通道。隧道tunnel在聯(lián)網(wǎng)的設(shè)備之間，一種隱藏在其它可見性更高的協(xié)議內(nèi)部的數(shù)據(jù)路徑。協(xié)議封裝protocolencapsulation通過傳輸包裹在另一協(xié)議內(nèi)的協(xié)議數(shù)據(jù)單元，將一個數(shù)據(jù)流封裝在另一數(shù)據(jù)流中。注：在虛擬專用網(wǎng)（VPN）技術(shù)中這種方法可用于建立隧道。縮略語AAC 鑒別訪問控制器（AuthenticationAccessController）AH 鑒別頭（AuthenticationHeader）AKE鑒別和密鑰建立（AuthenticationandKeyEstablishment）AS 鑒別服務(wù)器（AuthenticationServer）DHCP動態(tài)主機(jī)配置協(xié)議（DynamicHostConfigurationProtocol）DIP動態(tài)IP（DynamicIP）DR數(shù)據(jù)中轉(zhuǎn)（DataRelay）ESP 封裝安全載荷（EncapsulatingSecurityPayload）IKE 互聯(lián)網(wǎng)密鑰交換（InternetKeyExchange）IP互聯(lián)網(wǎng)協(xié)議（InternetProtocol）IPSec 互聯(lián)網(wǎng)協(xié)議安全（InternetProtocolSecurity）ISAKMP互聯(lián)網(wǎng)安全關(guān)聯(lián)和密鑰管理協(xié)議（InternetSecurityAssociationandKeyManagementProtocolL2FLayer第2層轉(zhuǎn)發(fā)（協(xié)議）（TwoForwarding(Protocol)）LDP 標(biāo)簽分發(fā)協(xié)議（LabelDistributionProtocol）MIC消息完整性校驗（MessageIntegrityCheck）MPPE 微軟點對點加密協(xié)議（MicrosoftPoint-to-PointEncryption）MPLS 多協(xié)議標(biāo)記交換（Multi-protocolLabelSwitching）NAS 網(wǎng)絡(luò)訪問服務(wù)器（NetworkAreaServer）NAT-TNAT穿越（NATTraversal）OSI 開放式系統(tǒng)互聯(lián)（OpenSystemsInterconnection）PKI公鑰基礎(chǔ)設(shè)施（PublicKeyInfrastructure）PPP 點對點協(xié)議（Point-to-PointProtocol）PPTP 點對點隧道協(xié)議（Point-to-PointTunnelingProtocol）PSD端點狀態(tài)檢測(PeerStatusDetection)PSD-CPSD控制（PSDControl）RADIUS 遠(yuǎn)程認(rèn)證撥入用戶服務(wù)(RemoteAuthenticationDialInUserService)REQ請求者（Requester）SAP安全關(guān)聯(lián)參數(shù)（SecurityAssociationParameters）SP安全策略（SecurityPolicy）SSL 安全套接層協(xié)議（SecureSocketsLayer）TAEP 三元鑒別可擴(kuò)展協(xié)議（Tri-elementAuthenticationExtensibleProtocol）TAI 基于三元對等鑒別的鑒別基礎(chǔ)結(jié)構(gòu)（TePA-basedAuthenticationInfrastructure）TePA三元對等架構(gòu)（Tri-elementPeerArchitecture）TePA-AC 基于三元對等鑒別的訪問控制方法（TePA-basedAccessControl）TISec IP安全可信（TrustofIPSecurity）TUE隧道通用封裝(TunnelUniversalEncapsulating)VPLS 虛擬專用局域網(wǎng)服務(wù)（VirtualPrivateLANService）VPN虛擬專用網(wǎng)絡(luò)(VirtualPrivateNetwork)VPWS 虛擬專用線路服務(wù)（VirtualPrivateWireService）WAN 廣域網(wǎng)（WideAreaNetwork）概述簡介作為一種網(wǎng)絡(luò)互連方式和一種將遠(yuǎn)程用戶連接到網(wǎng)絡(luò)的方法，VPN技術(shù)一直在快速發(fā)展。目前存在著范圍較廣的VPN定義。按照其最簡單的定義，VPN提供一種在現(xiàn)有網(wǎng)絡(luò)或點對點連接上建立一至多條安全數(shù)據(jù)信道的機(jī)制。它只分配給受限的用戶組獨占使用，并能在需要時動態(tài)地建立和撤銷。主機(jī)網(wǎng)絡(luò)可為專用的或公共的。VPN的示例表示如圖1所示。它具有一條跨域公共網(wǎng)來連接端點和網(wǎng)關(guān)的安全數(shù)據(jù)通道，以及一條跨域公共網(wǎng)來連接兩個網(wǎng)關(guān)的安全數(shù)據(jù)通道。圖1VPN的示例圖使用VPN的遠(yuǎn)程接入是在普通的點對點連接之上實現(xiàn)的。首先在本地用戶和遠(yuǎn)程位置之間建立普通的點對點連接。一些VPNs作為一種管理服務(wù)來提供。在這種VPN中，安全可靠的連通性、管理和尋址功能（與專用網(wǎng)上的相同）是在共享的基礎(chǔ)設(shè)施上提供的。因此，可能需要考慮本部分所指明的附加安全控制來增強(qiáng)VPN。穿越VPN的數(shù)據(jù)和代碼宜只限于使用VPN的組織，且宜與下層網(wǎng)絡(luò)的其它用戶保持分離。屬于其它用戶的數(shù)據(jù)和代碼不宜有訪問同一VPN信道的可能。當(dāng)可能需要評測附加安全控制的范圍時，宜考慮擁有或提供VPN的組織在保密性和其它安全方面的可信度。VPN類型如上所述，有多種方式來表示VPN類型。從體系結(jié)構(gòu)角度，VPN包括：單一的點對點連接（例如客戶端經(jīng)由站點網(wǎng)關(guān)遠(yuǎn)程接入組織網(wǎng)絡(luò)，或者站點網(wǎng)關(guān)連接到另一個站點網(wǎng)關(guān)）；點到云連接（例如，通過MPLS技術(shù)實施）從OSI基本參考模型角度，VPN主要有三種類型：第2層VPNs提供模擬的局域網(wǎng)設(shè)施，它使用運(yùn)行在主機(jī)網(wǎng)絡(luò)（例如提供商網(wǎng)絡(luò)）上的VPN連接來鏈接組織的站點或提供到組織的遠(yuǎn)程連接。提供商在該領(lǐng)域通常提供的服務(wù)包括虛擬專用線路服務(wù)（VPWS）或虛擬局域網(wǎng)服務(wù)（VPLS），VPWS提供虛擬的“有線連接”；VPLS提供更完整的模擬局域網(wǎng)服務(wù)。第3層VPNs提供一種模擬的廣域網(wǎng)設(shè)施。它也使用在網(wǎng)絡(luò)基礎(chǔ)設(shè)施上運(yùn)行的VPN。它為站點提供模擬的“OSI網(wǎng)絡(luò)層”連通性。值得關(guān)注的是，它具有在公共基礎(chǔ)設(shè)施上使用專用IP尋址方案的能力。而這種做法在“正?！钡墓睮P連接上是不允許的。在第3層VPNs中，專用地址能夠在公共網(wǎng)絡(luò)上經(jīng)由NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）而被使用，雖然這種做法確實可行，卻能夠使IPsecVPN的建立和使用變得復(fù)雜。高層VPNs用于保護(hù)跨公共網(wǎng)絡(luò)交易的安全。通常它們在通信的應(yīng)用之間提供一條安全信道，以確保交易間數(shù)據(jù)的保密性和完整性。這種類型也可稱作第4層VPN。因為VPN連接通常建立在TCP之上，而TCP為第4層協(xié)議。安全威脅對于可預(yù)見的未來，組織能夠預(yù)料到針對它們的系統(tǒng)的有效攻擊變得日益增多。未授權(quán)的接入是相當(dāng)有害的，例如將導(dǎo)致DoS攻擊，資源的濫用或者隨意訪問到有價值的信息。一般來講對VPN的攻擊是以入侵攻擊或者DoS攻擊的形式出現(xiàn)。當(dāng)外部或者惡意的罪犯控制了網(wǎng)絡(luò)的一部分，那么入侵就發(fā)生了；這些入侵可能是計算機(jī)或者其它網(wǎng)絡(luò)設(shè)備（包括移動設(shè)備）導(dǎo)致的。入侵可能來自和你的網(wǎng)絡(luò)有連接的任何地方。這些攻擊也能來自其它VPNs、互聯(lián)網(wǎng)或者服務(wù)提供商核心本身。在網(wǎng)絡(luò)入口從無用源里過濾無用流量能夠抵制這些類型的攻擊。這類入侵的典型例子就是未授權(quán)的實體非法訪問安全隧道。在一些所有站點相互連接又沒有流量控制，缺少集中化的VPN設(shè)計模型里，抵御這種入侵是很困難的。DoS攻擊是另一類VPN威脅。DoS攻擊和入侵都來自其它的VPN、互聯(lián)網(wǎng)或者服務(wù)提供商的核心。這兩種類型攻擊的主要區(qū)別是對于DoS攻擊來說，攻擊者需要接入或者控制你的某個設(shè)備。對服務(wù)提供商設(shè)備的DoS攻擊也能夠?qū)е虏糠諺PN拒絕服務(wù)。盡管有時候保護(hù)你的網(wǎng)絡(luò)免于DoS攻擊是困難的，但是對DoS攻擊的抵御主要在于VPN的良好的網(wǎng)絡(luò)設(shè)計。VPN的安全方面包括：標(biāo)記交換網(wǎng)絡(luò)上承載的VPNs間的地址空間和路由的分離；確保標(biāo)記交換網(wǎng)絡(luò)核心的內(nèi)部結(jié)構(gòu)對外部網(wǎng)絡(luò)是不可見的（例如，對潛在攻擊者可用的信息加以限制）；提供抵抗拒絕服務(wù)攻擊的措施；提供抵抗未授權(quán)訪問攻擊的措施；抵御標(biāo)記欺騙（雖然有可能從外部將錯誤標(biāo)記插入到標(biāo)記交換網(wǎng)中，但由于地址分離，所以欺騙包只能損害產(chǎn)生欺騙包的VPN）。安全要求概述VPN的主要安全目標(biāo)是抵御未授權(quán)訪問。因而VPN才能用于完成更多的網(wǎng)絡(luò)安全目標(biāo)：防護(hù)網(wǎng)絡(luò)中的和與網(wǎng)絡(luò)相連的系統(tǒng)中的信息以及它們所使用的服務(wù)；保護(hù)支撐網(wǎng)絡(luò)基礎(chǔ)設(shè)施；保護(hù)網(wǎng)絡(luò)管理系統(tǒng)。為實現(xiàn)上述目標(biāo)，VPN的實施方式宜確保：在VPN端點之間傳輸?shù)臄?shù)據(jù)的保密性；在VPN端點之間傳輸?shù)臄?shù)據(jù)的完整性；VPN用戶和管理員的真實性；VPN用戶和管理員的授權(quán)；VPN端點和網(wǎng)絡(luò)基礎(chǔ)設(shè)施的可用性?？傊?，這意味著用于構(gòu)建VPN的下層隧道宜按照滿足安全目標(biāo)的方式實現(xiàn)。圖2中概括這些安全目標(biāo)。圖2映射到下層隧道上的VPN一般安全要求以下將詳細(xì)討論這些要求。第9章也討論用于實現(xiàn)安全VPN的安全控制類型。保密性隧道中正在傳輸?shù)臄?shù)據(jù)和代碼的保密性不宜受到損害。使用隧道技術(shù)可能意味著正在傳輸?shù)臄?shù)據(jù)和代碼對網(wǎng)絡(luò)中的其它用戶是不可見的。然而，這并不意味著這種通信流一直是保密的。特別是隧道中的數(shù)據(jù)和代碼流不能抵御使用數(shù)據(jù)分析器或探測器進(jìn)行的確定的檢測。因此保持隧道中正在傳輸?shù)臄?shù)據(jù)和代碼的保密性關(guān)鍵依賴于這種檢測發(fā)生的可能性。總之，這是支持VPN(s)的下層網(wǎng)絡(luò)中存在的可信度因素。它將依賴于傳輸網(wǎng)絡(luò)的所有權(quán)而變化。如果傳輸網(wǎng)絡(luò)未處于可信域（有關(guān)可信域的更多信息參見ISO/IEC27033-1），或者如果認(rèn)為被傳輸?shù)臄?shù)據(jù)和代碼是敏感的，就可能需要采取附加安全控制措施來進(jìn)一步保護(hù)保密性。在這些情況下，所采用的隧道機(jī)制宜支持加密，或者所發(fā)送的項在VPN上傳輸前宜離線加密。隧道端點的安全也不宜被忽視（見8.7）。完整性隧道中所傳輸?shù)臄?shù)據(jù)和代碼的完整性不宜受到損害。用于實現(xiàn)VPN隧道的機(jī)制宜支持所傳輸數(shù)據(jù)和代碼的完整性檢查。使用的技術(shù)包括消息驗證碼，消息鑒別碼和防止重放機(jī)制等。如果隧道實施不可用這類保護(hù)，或者如果傳輸?shù)臄?shù)據(jù)和代碼特別敏感，那么完整性保護(hù)控制宜在終端系統(tǒng)中實現(xiàn)，因而完整性保護(hù)就以端到端的方式提供。鑒別在VPN的參與對端之間應(yīng)該提供跨公共IP網(wǎng)絡(luò)的信息鑒別。隧道的建立和操作過程宜得到鑒別控制的支持，從而能保證隧道的每一端都正在與正確的伙伴端點（可能是一個遠(yuǎn)程訪問系統(tǒng)）通信以及所接收的數(shù)據(jù)和代碼來自正確的并得到授權(quán)的源。授權(quán)隧道的建立和操作過程宜得到訪問控制的支持，諸如ACLs。從而能保證隧道的每一端都正在與得到授權(quán)的伙伴端點（可能是一個遠(yuǎn)程接入系統(tǒng)）通信以及所接收的數(shù)據(jù)和代碼來自已授權(quán)的源?？捎眯运淼赖目捎眯裕约癡PN的可用性，是支撐網(wǎng)絡(luò)基礎(chǔ)設(shè)施和端點系統(tǒng)的可用性的功能。對抗特定于隧道機(jī)制的拒絕服務(wù)攻擊的安全控制設(shè)施，宜在任何可能之處被結(jié)合使用。對于特定的服務(wù)級協(xié)定，宜檢驗多種彈性隧道備用。隧道端點安全對于VPN端點的安全要求也宜考慮。通常每個VPN端點宜確保在主機(jī)網(wǎng)絡(luò)與VPN之間只有受控的網(wǎng)絡(luò)通信流。這通常意味著關(guān)閉路由和至少也使用包過濾器或防火墻技術(shù)。更多細(xì)節(jié)見9.4.2（端點安全）和9.4.3（終止點安全）。安全控制安全方面雖然對于普通的網(wǎng)絡(luò)用戶，隧道是隱藏的，但并非不可見，因此不是內(nèi)在安全的。用于構(gòu)建隧道的基本劃分過程（劃分為虛電路或標(biāo)簽交換通道）或封裝過程，在攻擊者使用網(wǎng)絡(luò)分析器或探測器進(jìn)行確定性檢測時，不能得到保護(hù)。如果隧道沒有使用加密技術(shù)實現(xiàn)，則這些攻擊者將能訪問其通信流。即使使用了加密技術(shù)，也不能隱藏隧道及其端點的存在。此外，也可能不必保護(hù)隧道端點免受未授權(quán)的邏輯和/或物理訪問。因此，為了實現(xiàn)安全的VPN，必須根據(jù)組織安全策略和風(fēng)險承受級別對隧道應(yīng)用安全控制措施。是否接受這種漏洞將取決于組織的安全策略。如果保護(hù)網(wǎng)絡(luò)通信節(jié)點之間的網(wǎng)絡(luò)接入安全，需要提供節(jié)點之間的網(wǎng)絡(luò)接入安全和數(shù)據(jù)傳輸安全保護(hù)。網(wǎng)絡(luò)接入安全包括鑒別接入網(wǎng)絡(luò)節(jié)點的身份合法性和鑒別其平臺的可信,數(shù)據(jù)傳輸安全包括保障數(shù)據(jù)在傳輸過程中的機(jī)密性、完整性和抗重放性等。使用現(xiàn)有的IP安全可信技術(shù)，可滿足以上要求，如使用附錄A中TISec技術(shù)實現(xiàn)的方式。注：即使數(shù)據(jù)被加密了，數(shù)據(jù)流的出現(xiàn)也可能和通信數(shù)據(jù)一樣重要。例如，如果確定了VPN端點，個體用戶的位置也可以確定。這就可能暴露個體隱私，如果是執(zhí)法或者軍事的情況下，就可能泄露他們的任務(wù)。虛電路用于建立下層安全信道的安全控制可使用常規(guī)廣域電信設(shè)施中的虛電路，例如租用線路，它使用幀中繼或ATM等技術(shù)。在這些技術(shù)中，對于電信操作人員保持私人用戶的租用線路設(shè)施與所提供的公共訪問互聯(lián)網(wǎng)服務(wù)之間分離的程度而言，其下層網(wǎng)絡(luò)也是基本安全的。虛電路中使用的技術(shù)使通道內(nèi)具有一定程度的保密性，但不具有絕對的安全性。在這種傳統(tǒng)虛電路上構(gòu)建的VPN被認(rèn)為相對不大可能受到損害，因為安全違規(guī)或攻擊通常需要源自提供商的核心網(wǎng)絡(luò)之內(nèi)。VPNs相關(guān)技術(shù)概述VPNs是使用物理網(wǎng)絡(luò)的系統(tǒng)資源（例如，通過使用加密和/或穿越真實網(wǎng)絡(luò)的虛擬網(wǎng)絡(luò)的隧道鏈接）構(gòu)建的。VPNs能在其所屬組織控制下的專用網(wǎng)內(nèi)完整實現(xiàn)，能穿越公共域的網(wǎng)絡(luò)實現(xiàn)，或能穿越以上兩種網(wǎng)絡(luò)的組合實現(xiàn)。VPN完全有可能在現(xiàn)有的專用廣域網(wǎng)上構(gòu)建。由于通?？商峁┏杀鞠鄬^低的互聯(lián)網(wǎng)訪問，這使得這種公共網(wǎng)絡(luò)系統(tǒng)逐漸成為很多應(yīng)用程序中支持廣域VPN和遠(yuǎn)程接入VPN的經(jīng)濟(jì)有效工具。另一種方案是，這種信道可使用穿越互聯(lián)網(wǎng)服務(wù)提供商網(wǎng)絡(luò)而構(gòu)建的安全隧道來建立。在這種情況下，公共的互聯(lián)網(wǎng)就有效地成為下層傳輸系統(tǒng)。對于VPN的保密性，這意味著不確定度更高。隧道是聯(lián)網(wǎng)設(shè)備之間的數(shù)據(jù)通道，是跨越現(xiàn)有的網(wǎng)絡(luò)基礎(chǔ)設(shè)施而建立的。它對正常的網(wǎng)絡(luò)操作是透明的。在很多實際場合，其用法能夠類似于正常網(wǎng)絡(luò)連接。需要時，隧道能夠容易地打開或關(guān)閉，而不必對下層的物理網(wǎng)絡(luò)基礎(chǔ)設(shè)施進(jìn)行任何更改，因此，用隧道創(chuàng)建的VPN比基于物理連接的網(wǎng)絡(luò)更加靈活。能使用以下技術(shù)創(chuàng)建隧道：虛電路，標(biāo)簽交換，協(xié)議封裝。為虛電路而創(chuàng)建的隧道，通常使用包交換技術(shù)（例如幀中繼或ATM）作為租用線路在常規(guī)的廣域網(wǎng)設(shè)施中建立。這些技術(shù)確保隧道之間的數(shù)據(jù)流是分離的。標(biāo)簽交換是創(chuàng)建隧道的另一種方式。流經(jīng)一個隧道的所有數(shù)據(jù)包都被分配一個識別標(biāo)簽。這種標(biāo)簽確保每個標(biāo)簽不同的包都將被穿過網(wǎng)絡(luò)的特定路徑排除在外。雖然隧道所使用的技術(shù)確實保證隧道與下層網(wǎng)絡(luò)之間的數(shù)據(jù)流適當(dāng)分離，但卻不能滿足一般的保密性要求。如果需要保密性，就需要使用加密技術(shù)來提供所需的安全級別。VPN隧道能在OSI模型的不同層上創(chuàng)建。虛電路在第2層上形成隧道。標(biāo)簽技術(shù)允許隧道在第2或第3層上創(chuàng)建。協(xié)議封裝技術(shù)能在除物理層之外的所有層上使用（多數(shù)在第3層及以上實施）。隧道也能夠使用協(xié)議封裝技術(shù)來創(chuàng)建，即一個協(xié)議的數(shù)據(jù)單元被包裝和承載在另一個協(xié)議中。例如，一個IP包被使用IPsecESP協(xié)議的隧道模式來包裝。在插入附加的IP頭后，這種包再在IP網(wǎng)絡(luò)上傳輸。法規(guī)和法律方面與網(wǎng)絡(luò)連接和VPN使用相關(guān)的國家法規(guī)法律的安全要求，特別是國家加密標(biāo)準(zhǔn)的使用規(guī)定，都應(yīng)予以考慮。其中需要關(guān)注以下方面的法規(guī)和/或法律：隱私/數(shù)據(jù)的保護(hù)；密碼技術(shù)的使用；操作風(fēng)險管理/治理。VPN管理方面在考慮VPN的使用時，其職責(zé)與VPN相關(guān)的所有人員都宜明白其業(yè)務(wù)要求和利益。此外，他們和VPN的所有其它用戶宜意識到這種連接的安全風(fēng)險以及相關(guān)控制域。業(yè)務(wù)要求和利益可能影響在如下過程中的很多決定和行動：考慮VPN連接，識別潛在的控制域，然后是最終的選擇、設(shè)計、實施和維護(hù)安全控制。因此，在整個選擇過程中，都需考慮這些業(yè)務(wù)要求和利益。VPN體系結(jié)構(gòu)概述選擇VPNs時，下列體系結(jié)構(gòu)方面宜得到處理：端點安全；終止點安全；惡意軟件保護(hù)；鑒別；入侵檢測防護(hù)系統(tǒng)；安全網(wǎng)關(guān)（包括防火墻）；網(wǎng)絡(luò)設(shè)計；其它連通性；隧道分離；審計日記和網(wǎng)絡(luò)監(jiān)控；技術(shù)漏洞管理；公共網(wǎng)絡(luò)路由加密。下面逐一概述這些方面。端點安全VPN的功能是提供一條安全的跨越一些網(wǎng)絡(luò)介質(zhì)的安全通信信道。但是，建立VPN的時候卻不可能監(jiān)視其數(shù)據(jù)流包含的內(nèi)容。如果任何一個端點受到損害，這種損害可能擴(kuò)散到跨越VPN的會話。端點安全不僅適用于設(shè)備本身，也適用于這些設(shè)備上的應(yīng)用程序以及與使用相關(guān)的規(guī)程/物理方面。為了順暢地操作端點安全控制，端點總個數(shù)宜最小。一些用于遠(yuǎn)程接入的端點用戶設(shè)備（例如移動/遠(yuǎn)程工作計算設(shè)備）可能未受到與VPN相同的管理控制。這些設(shè)備可能被連接到不同的網(wǎng)絡(luò)。這些網(wǎng)絡(luò)可能帶來額外的風(fēng)險，宜考慮使用適當(dāng)?shù)陌踩刂?。例如，使用TISec技術(shù)（見附錄A）實現(xiàn)網(wǎng)絡(luò)通信節(jié)點間的安全，通過安全的網(wǎng)絡(luò)接入和數(shù)據(jù)傳輸，獲得互聯(lián)網(wǎng)和企業(yè)專用網(wǎng)分時段的控制權(quán)來實現(xiàn)。在考慮此類端點設(shè)備的安全時，宜考慮ISO/IEC27002中的安全控制，這些安全控制與以下方面相關(guān)：設(shè)備安全；抵御惡意和移動代碼；設(shè)備使用人員的信息安全意識的培養(yǎng)、教育和培訓(xùn)；VPN相關(guān)技術(shù)和設(shè)備的技術(shù)漏洞管理。宜考慮其它控制，例如包過濾器或個人防火墻。終止點安全影響VPN安全的關(guān)鍵因素之一是如何在每個端點終止VPN。如果終止點直接設(shè)在端點的核心（例如，處于網(wǎng)絡(luò)的安全區(qū)），安全直接取決于遠(yuǎn)程伙伴的安全，如果終止點設(shè)在非安全區(qū)中某處，通信就可能被輕易地欺騙。VPN終止的標(biāo)準(zhǔn)方法是在邊界網(wǎng)絡(luò)里部署專門的VPN端點，允許其有進(jìn)一步處理來自VPN信息的能力（例如，決定是否許可訪問安全區(qū)中的應(yīng)用/系統(tǒng)）。中間區(qū)終止可能允許更多地控制VPN及其用戶。注：中間區(qū)，周邊網(wǎng)絡(luò)或者DMZ在ISO/IEC27033-4里描述。在以上任何一種情況下，VPN端點在允許訪問前都宜鑒別實體（例如用戶或設(shè)備）。對于為設(shè)置VPN鏈接而在端點之間進(jìn)行的鑒別，這是一種附加鑒別。例如，對用戶而言，這種鑒別通常包括用戶名和口令，也可能要求使用附加形式的鑒別（稱作“強(qiáng)鑒別”），例如令牌、卡或生物技術(shù)。惡意軟件保護(hù)一旦表明信息系統(tǒng)無任何惡意軟件，那么引入此類代碼的唯一途徑就是通過接收者執(zhí)行的數(shù)據(jù)（或可執(zhí)行代碼）。許多程序允許代碼（腳本）嵌入在數(shù)據(jù)里，使其看起來是不引人注目。VPN端點提供良好的控制點來實現(xiàn)惡意軟件保護(hù)，以控制此類代碼的傳輸。更多有關(guān)抵御（包括病毒，蠕蟲和特洛伊木馬）惡意代碼的信息見ISO/IEC27002.注：為了端點安全，應(yīng)該為“威脅代碼”制定規(guī)則，特別是包括相當(dāng)敏感信息的時候。為了保護(hù)受到威脅的端點用戶，威脅代碼宜可能依舊允許接入，但是它可能觸發(fā)附加的日志或者追蹤，和警告相關(guān)的環(huán)境管理。鑒別鑒別是建立VPN的關(guān)鍵階段之一。必然地，每一端宜鑒別預(yù)期的會話伙伴（換言之，需要相互鑒別）。這能用以下2種方法實現(xiàn)：預(yù)共享密鑰。此方法可提供便攜性，因為一旦設(shè)置這種密鑰，就無需更多的管理。然而，如果密鑰受到損害，就可能被濫用（例如中間人攻擊）。證書。這種方法提供更大的靈活性和彈性，尤其是在部署PKI備份以簡化密鑰管理、撤銷和重發(fā)時。有關(guān)鑒別和對鑒別使用基于密碼服務(wù)的更多信息參見GB/T17901.1-XXXX和GB/T22081-2008。入侵防御檢測系統(tǒng)（IPDS）宜考慮入侵防御檢測系統(tǒng)（IPDS）技術(shù)的需要。IPDS能在VPN的兩端實現(xiàn)，以檢測可能的入侵。然后IPDS報警能由任何適當(dāng)?shù)臋C(jī)制發(fā)出，也可作為審計跟蹤的一部分被記錄（和管理）。值得注意的是，甚至一些個人防火墻也有作為簡單的入侵防護(hù)系統(tǒng)（IPS）的資質(zhì)，用于阻止對未授權(quán)應(yīng)用的網(wǎng)絡(luò)接入。有關(guān)IDS的更多信息參見ISO/IEC27039。安全網(wǎng)關(guān)對于適當(dāng)安全網(wǎng)關(guān)（包括防火墻）技術(shù)的選擇宜予以仔細(xì)考慮以支持VPN的部署。有關(guān)安全網(wǎng)關(guān)（包括防火墻）的信息參見ISO/IEC27033-4。網(wǎng)絡(luò)設(shè)計VPN任何一端的網(wǎng)絡(luò)設(shè)計宜支持上面討論的終止點安全的目標(biāo)。特別是，VPN通常宜在外部防火墻上（例如在網(wǎng)絡(luò)邊界）或在自己的中間區(qū)內(nèi)被終止。其它連通性對于VPN端點的任何更多的連通性宜予以考慮。在VPN的任何一個端點，如果有其它連通性存在，則從該信道發(fā)起的安全漏洞可能攻擊本地系統(tǒng)，并經(jīng)由該VPN攻擊遠(yuǎn)程系統(tǒng)。通過正確的網(wǎng)絡(luò)設(shè)計和防火墻的使用，能夠降低這種可能性。然而，最有效的控制是沒有任何不必要的連通性。對于在遠(yuǎn)程/居家系統(tǒng)中使用調(diào)制解調(diào)器而言，這種考量尤為急迫。對于組織網(wǎng)絡(luò)與提供支持、故障診斷等服務(wù)的第三方組織之間的連通性宜予以特別關(guān)注。對于服務(wù)提供商環(huán)境的安全控制宜作為合同安排的一部分而確立。這類控制宜確保一個服務(wù)提供商的其它操作和顧客環(huán)境在物理上和邏輯上分隔的環(huán)境。隧道分離情況允許時，宜避免分離隧道。分離隧道是指單一連接（通常是互聯(lián)網(wǎng)）支持VPN和其它連接（VPN或其它）的能力。在這種情形下，因為攻擊來自其它隧道，所以遠(yuǎn)程網(wǎng)絡(luò)安全有受到損害的風(fēng)險；這種情形類似于在兩個網(wǎng)絡(luò)之間提供路由的、具有雙網(wǎng)卡的個人計算機(jī)?？傊?，通過VPN產(chǎn)品“接管”網(wǎng)絡(luò)連接能夠避免隧道分離。審計日志和網(wǎng)絡(luò)監(jiān)控與其它安全技術(shù)相同的是，所選擇的VPN解決方案宜維護(hù)適當(dāng)?shù)膶徲嬋罩?，以分析該端點處的所有行動。它與網(wǎng)絡(luò)產(chǎn)生的其它審計日志一樣，宜用于評審安全事件的跡象。宜小心以確保審計日志本身是被保護(hù)的，與被評估的風(fēng)險相當(dāng)、抵御篡改和濫用。如果審計日志將被用于法律訴訟，那么其完整性應(yīng)不容質(zhì)疑。技術(shù)脆弱性管理與其它復(fù)雜系統(tǒng)一樣，網(wǎng)絡(luò)環(huán)境也不能免于出錯。在VPN等網(wǎng)絡(luò)中，技術(shù)脆弱性在頻繁使用的組件中出現(xiàn)，并為之發(fā)布。利用這些技術(shù)脆弱性將嚴(yán)重影響VPN的安全，大多數(shù)影響可以在可用性和保密性領(lǐng)域觀察到。因此所有的VPN設(shè)備宜具有技術(shù)脆弱性管理。公共網(wǎng)絡(luò)路由加密通過靜態(tài)隧道上的第三方/不可信網(wǎng)絡(luò)的路由使VPN易受網(wǎng)絡(luò)分析的影響。如8.1提到的，盡管使用了數(shù)據(jù)加密，隧道和端點的存在也不是能隱藏的。在要求端點混淆的VPN架構(gòu)里，需要控制來隱藏VPN用戶的源和目的地址。實現(xiàn)這樣的控制是具有挑戰(zhàn)性的，需使VPN操作者看起來不是在控制第三方/不可信網(wǎng)絡(luò)。在第三方網(wǎng)絡(luò)里提供源和目的IP地址混淆的技術(shù)是存在的，例如虛擬代理和洋蔥路由項目。在使用這些工具之前，需要和第三方網(wǎng)絡(luò)提供商討論并征得同意后才能合法允許這些工具。VPN技術(shù)考量背景完成安全VPN的實施需要系統(tǒng)地考慮目標(biāo)中所確定的因素。宜特別考慮以下實施方面：承載協(xié)議的選擇；硬件對軟件；VPN設(shè)備管理；VPN安全監(jiān)控。以下逐一討論這些方面。VPN設(shè)備管理宜正確地管理VPN設(shè)備。VPN設(shè)備管理是有關(guān)設(shè)置和監(jiān)控VPN設(shè)備所需過程的通用術(shù)語。設(shè)置VPN設(shè)備包括：將其配置為網(wǎng)絡(luò)配置和所需的端口/應(yīng)用訪問、安裝證書（例如為更高層VPN）和像對待其它任何網(wǎng)絡(luò)設(shè)備那樣對VPN設(shè)備進(jìn)行連續(xù)網(wǎng)絡(luò)監(jiān)控。使用光盤、磁盤等移動媒體的VPN部署宜受到控制，例如交付和接收日志以及實現(xiàn)對媒體復(fù)用（日期/時間失效等）或媒體可使用次數(shù)的限制。VPN安全監(jiān)控VPN，尤其是當(dāng)其作為進(jìn)入公司網(wǎng)絡(luò)的遠(yuǎn)程接入信道而使用時，如果未得到精心的管理和控制，會給網(wǎng)絡(luò)安全管理帶來特別的挑戰(zhàn)。宜考慮隧道自身、其端點還有流經(jīng)隧道的數(shù)據(jù)和代碼，以防止將其作為一條便捷的進(jìn)入網(wǎng)絡(luò)的安全通道提供給攻擊者。為使網(wǎng)絡(luò)安全控制保持有效，至關(guān)重要的是，對包括VPN在內(nèi)的安全實施進(jìn)行系統(tǒng)的網(wǎng)絡(luò)監(jiān)控以及網(wǎng)絡(luò)管理者或管理員能夠?qū)嶋H的或懷疑的信息安全事件進(jìn)行檢測和做出反應(yīng)。此外，宜實施以下一至多個措施：入侵檢測系統(tǒng)；安全/事件警告；安全/審計日志；常規(guī)檢測；培訓(xùn)用戶，使其識別和報告信息安全事件。重要的是認(rèn)識到網(wǎng)絡(luò)安全是一個動態(tài)概念。因此，至關(guān)重要的是，安全人員始終跟上該領(lǐng)域的進(jìn)展且VPN及其支撐技術(shù)一直在使用供應(yīng)商所提供的最新安全補(bǔ)丁和漏洞修正。產(chǎn)品選擇指南承載協(xié)議選擇宜基于以下方面選擇適當(dāng)?shù)陌踩休d協(xié)議：業(yè)務(wù)需求；互操作性（正式互聯(lián)網(wǎng)標(biāo)準(zhǔn)或?qū)Ｓ脴?biāo)準(zhǔn)）；市場洞察力；已知弱點；健壯性。VPN應(yīng)用宜考慮VPN裝置的使用。在小規(guī)模的VPN（例如單用戶至中心系統(tǒng)）中，VPN的功能由軟件解決方案來實現(xiàn)是適當(dāng)?shù)摹Ｔ诤芏嗲闆r下，使用裝置來提供VPN功能可能具有顯著的優(yōu)點。例如，簡化管理，通常可在更加安全堅固的平臺上操作，也可能是所要求的某種形式的鑒別平臺（例如目錄，PKI或RADIUS），例如，它將只允許授權(quán)用戶連接到中心位置。

（資料性附錄）TISec技術(shù)TISec技術(shù)架構(gòu)TISec概述TISec技術(shù)的目標(biāo)是為IP網(wǎng)絡(luò)端到端的訪問和通信提供安全保障，包括保護(hù)IP網(wǎng)絡(luò)通信節(jié)點之間的網(wǎng)絡(luò)接入安全和數(shù)據(jù)傳輸安全。網(wǎng)絡(luò)接入安全包括鑒別接入網(wǎng)絡(luò)節(jié)點的身份合法性和鑒別其平臺的可信,數(shù)據(jù)傳輸安全包括保障數(shù)據(jù)在傳輸過程中的機(jī)密性、完整性和抗重放性等。為實現(xiàn)以上目的，TISec技術(shù)具有以下四類組成：用于實現(xiàn)網(wǎng)絡(luò)安全接入的能力：網(wǎng)絡(luò)節(jié)點的身份鑒別；網(wǎng)絡(luò)節(jié)點的平臺鑒別。用于實現(xiàn)節(jié)點之間狀態(tài)檢測與協(xié)商的組成：端點狀態(tài)檢測能力與協(xié)商PSD。用于實現(xiàn)IP數(shù)據(jù)安全傳輸?shù)姆?wù)：數(shù)據(jù)機(jī)密性；數(shù)據(jù)完整性；抗重放能力；訪問控制；數(shù)據(jù)混淆；數(shù)據(jù)壓縮。用于IP數(shù)據(jù)轉(zhuǎn)發(fā)服務(wù)：數(shù)據(jù)轉(zhuǎn)發(fā)DR。TISec體系結(jié)構(gòu)TISec技術(shù)包含TAI提供TISec網(wǎng)絡(luò)節(jié)點的身份鑒別服務(wù)和平臺鑒別服務(wù)，PSD提供TISec網(wǎng)絡(luò)節(jié)點之間協(xié)商SAP參數(shù)、狀態(tài)檢測和控制服務(wù)，TUE基于SAP和安全策略SP兩種參數(shù)提供TISec網(wǎng)絡(luò)節(jié)點之間的IP數(shù)據(jù)安全傳輸服務(wù)，DR技術(shù)提供TISec網(wǎng)關(guān)和被保護(hù)節(jié)點之間的數(shù)據(jù)轉(zhuǎn)發(fā)機(jī)制。TAI協(xié)議TAI協(xié)議包括身份鑒別AKE和平臺鑒別PAI兩部分，分別提供TISec網(wǎng)絡(luò)節(jié)點之間的身份鑒別服務(wù)和平臺鑒別服務(wù)。TAI協(xié)議使用AKE協(xié)議完成身份鑒別，并導(dǎo)出用于IP數(shù)據(jù)傳輸保護(hù)的密鑰，同時TAI協(xié)議提供密鑰更新服務(wù)，TAI協(xié)議依賴AKE協(xié)議實現(xiàn)密鑰導(dǎo)出和密鑰更新。TAI協(xié)議通過AKE協(xié)議提供數(shù)據(jù)傳輸保護(hù)服務(wù)，兩個TISec網(wǎng)絡(luò)節(jié)點間信息交互在此服務(wù)的保護(hù)下進(jìn)行。PSD協(xié)議PSD協(xié)議用于協(xié)商建立兩個TISec網(wǎng)絡(luò)節(jié)點之間的SAP參數(shù)，以及維護(hù)和控制TISec網(wǎng)絡(luò)節(jié)點的狀態(tài)。AKE輸出用于保護(hù)PSD數(shù)據(jù)的密鑰套件，PSD消息通過此密鑰套件加密后作為AKE消息的載荷進(jìn)行發(fā)送。TAI協(xié)議完成之后TISec網(wǎng)絡(luò)節(jié)點之間需要協(xié)商IP數(shù)據(jù)安全傳輸所需參數(shù)，PSD協(xié)議負(fù)責(zé)完成這個過程，PSD協(xié)商完成之后TISec網(wǎng)絡(luò)節(jié)點分別創(chuàng)建一組SAP，TISec網(wǎng)絡(luò)節(jié)點