(高清版)GBT 25068.5-2021 信息技術(shù) 安全技術(shù) 網(wǎng)絡(luò)安全 第5部分：使用虛擬專(zhuān)用網(wǎng)的跨網(wǎng)通信安全保護(hù)

GB/T25068.5—2021代替GB/T25068.5—2010信息技術(shù)安全技術(shù)網(wǎng)絡(luò)安全第5部分：使用虛擬專(zhuān)用網(wǎng)的跨網(wǎng)通信安全保護(hù)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)國(guó)家市場(chǎng)監(jiān)督管理總局發(fā)布國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)I Ⅲ 12規(guī)范性引用文件 1 1 2 2 2 3 4 4 47.2機(jī)密性 57.3完整性 5 5 57.6可用性 5 6 68.1安全方面 68.2虛電路 69VPN相關(guān)技術(shù) 6 69.2法規(guī)和法律方面 79.3VPN管理方面 7 79.4.1概述 79.4.2端點(diǎn)安全 89.4.3終止點(diǎn)安全 89.4.4惡意軟件防護(hù) 8 99.4.6入侵檢測(cè)與防御系統(tǒng) 99.4.7安全網(wǎng)關(guān) 99.4.8網(wǎng)絡(luò)設(shè)計(jì) 99.4.9其它連接 9 9 9ⅡGB/T25068.5—20219.4.12技術(shù)漏洞的管理 9.4.13公共網(wǎng)絡(luò)路由加密 9.5.3VPN安全監(jiān)控 10.1承載協(xié)議選擇 10.2VPN裝置 Ⅲ本部分為GB/T25068的第5部分。 ——第8章增加了對(duì)附錄A的引用。1GB/T25068的本部分規(guī)定了使用虛擬專(zhuān)用網(wǎng)(VPN)連接到互聯(lián)網(wǎng)和將遠(yuǎn)程用戶(hù)連接到網(wǎng)絡(luò)上的本部分適用于在使用VPN時(shí)負(fù)責(zé)選擇和實(shí)施提供網(wǎng)絡(luò)安全所必需的技術(shù)控制人員，以及隨后的GB/T9387(所有部分)開(kāi)放系統(tǒng)互連基本參考模型[ISO7498(所有部分)]GB/T17901.1—2020信息技術(shù)安全技術(shù)密鑰管理第1部分：框架(ISO/IEC11770-1:GB/T22080—2016信息技術(shù)安全技術(shù)信息安全管理體系要求(ISO/IEC27001:2013,GB/T22081信息技術(shù)安全技術(shù)信息安全控制實(shí)踐指南(GB/T22081—2016,ISO/IEC27002:GB/T25068.1—2020信息技術(shù)安全技術(shù)網(wǎng)絡(luò)安全第1部分：綜述和概念(ISO/IEC27033GB/T31722—2015信息技術(shù)安全技術(shù)信息安全風(fēng)險(xiǎn)管理(ISO/IEC27005:2008,IDT)2015界定的以及下列術(shù)語(yǔ)和定義適用于本文件。2IPSec:IP安全(InternetProtocolSecuPKI:公鑰基礎(chǔ)設(shè)施(PublicPSD-C:PSD控制(PSDControl)VPN:虛擬專(zhuān)用網(wǎng)絡(luò)(VirtualPri3-—第2層VPN提供模擬的局域網(wǎng)設(shè)施。它使用運(yùn)行在主機(jī)網(wǎng)絡(luò)(例如提供商網(wǎng)絡(luò))上的VPN4常建立在TCP之上，而TCP為第4層協(xié)議。高層VPN技術(shù)參見(jiàn)GM/T0024—2014。一般來(lái)講，對(duì)VPN的攻擊是以入侵攻擊或者DoS攻擊的形式出現(xiàn)。當(dāng)外部人員或惡意的攻擊者DoS攻擊是VPN面對(duì)的另一類(lèi)威脅。DoS攻擊和入侵都來(lái)自其它的VPN、互聯(lián)網(wǎng)或者服務(wù)提供對(duì)服務(wù)提供商設(shè)備的DoS攻擊也能夠?qū)е虏糠諺PN拒絕服務(wù)。盡管保護(hù)網(wǎng)絡(luò)免遭DoS攻擊有時(shí)以限制);騙包只能損害產(chǎn)生該欺騙包的VPN)。VPN的主要安全目標(biāo)是抵御未授權(quán)訪問(wèn)。因而VPN才能用于完成更多的網(wǎng)絡(luò)安全目標(biāo)： ——在VPN端點(diǎn)之間傳輸?shù)臄?shù)據(jù)的完整性； 總之，這意味著用于構(gòu)建VPN的下層隧道宜按照滿(mǎn)足安全目標(biāo)的方式實(shí)現(xiàn)。圖2中概括了這些使用的密碼算法，使用國(guó)家密碼管理主管部門(mén)認(rèn)證核準(zhǔn)的密碼產(chǎn)品，遵循相關(guān)密碼國(guó)家標(biāo)準(zhǔn)和行業(yè)5授權(quán)授權(quán)可用性隧道的建立和操作過(guò)程宜得到訪問(wèn)控制的支持，可采用TePA-AC(參見(jiàn)GB/T28456VPN端點(diǎn)的安全要求宜同樣加以考慮。通常每個(gè)VPN端點(diǎn)宜確保在主機(jī)網(wǎng)絡(luò)與VPN之間只有受控的網(wǎng)絡(luò)數(shù)據(jù)流。這通常意味著關(guān)閉路由以及至少使用包過(guò)濾器或防火墻技術(shù)。更多細(xì)節(jié)見(jiàn)9.4.2此外，保護(hù)隧道端點(diǎn)免遭未經(jīng)授權(quán)的邏輯或(和)物理訪問(wèn)也可能是不必要的。為實(shí)現(xiàn)安全的VPN,有必要根據(jù)組織安全策略和風(fēng)險(xiǎn)承受級(jí)別對(duì)隧道使用安全控制措施。能否接受這些安全風(fēng)險(xiǎn)取中繼或ATM等技術(shù)。在這些技術(shù)中，對(duì)于電信操作人員保持私人用戶(hù)的租用線路設(shè)施與所提供的公具有一定程度的機(jī)密性，但不具有絕對(duì)的安全性。在這種傳統(tǒng)虛電路上構(gòu)建的VPN被認(rèn)為受到損害9VPN相關(guān)技術(shù)VPN是使用物理網(wǎng)絡(luò)的系統(tǒng)資源構(gòu)建的。例如，通過(guò)使用加網(wǎng)絡(luò)的組合來(lái)實(shí)現(xiàn)。VPN完全有可能在現(xiàn)有的專(zhuān)用廣域網(wǎng)上構(gòu)建。由于通常可提供成本相對(duì)較低的7 第2層或第3層創(chuàng)建。協(xié)議封裝技術(shù)能在除物理層之外的所有層上使用(多數(shù)在第3層及以上層實(shí)8-—鑒別； 9-—證書(shū)。這種方法可提供更大的靈活性和可擴(kuò)展性，尤其是在部署了PKI的情況下，密鑰管理、撤銷(xiāo)和重新分發(fā)等將被簡(jiǎn)化。有關(guān)鑒別和使用基于密碼服務(wù)的鑒別的更多信息見(jiàn)有關(guān)IDS的更多信息參見(jiàn)ISO/IEC27039。宜認(rèn)真考慮選擇合適的安全網(wǎng)關(guān)(包括防火墻)宜考慮來(lái)自VPN端點(diǎn)的任何更進(jìn)一步的連接。如道發(fā)起的安全威脅可能會(huì)攻擊本地系統(tǒng)，并經(jīng)由該VPN攻擊遠(yuǎn)程系統(tǒng)。通過(guò)正確的網(wǎng)絡(luò)設(shè)計(jì)以及防條件允許時(shí)，宜避免使用分離隧道。分離隧道是指單一連接(通常是互聯(lián)網(wǎng))同時(shí)支持VPN和其的風(fēng)險(xiǎn)。這種情形類(lèi)似于具有雙網(wǎng)卡的個(gè)人計(jì)算機(jī)在兩個(gè)網(wǎng)絡(luò)之間路由?？傊?，通過(guò)VPN產(chǎn)品“接密性方面的影響。因此所有的VPN設(shè)備宜對(duì)技術(shù)在靜態(tài)隧道上通過(guò)第三方/不受信任的網(wǎng)絡(luò)進(jìn)行路由，將使VPN易受網(wǎng)絡(luò)分析的影響。如8.1提在需要對(duì)端點(diǎn)進(jìn)行模糊化處理的VPN架構(gòu)中，需要通過(guò)控制來(lái)隱藏VPN用戶(hù)的源和目的地址。為了安全地實(shí)施VPN,需要系統(tǒng)地考慮目標(biāo)中所確定的因素。宜特別考慮以下4個(gè)方面： VPN設(shè)備管理：置VPN設(shè)備包括：將其按照網(wǎng)絡(luò)配置及端口/應(yīng)用訪問(wèn)的要求進(jìn)行配置、安裝證書(shū)(例如為更高層的便攜式介質(zhì)進(jìn)行的VPN部署，例如，通過(guò)創(chuàng)建收發(fā)日志進(jìn)行限制以及實(shí)施對(duì)介質(zhì)的重復(fù)使用的限制-—常規(guī)檢測(cè)；TISec技術(shù)的目標(biāo)是為IP網(wǎng)絡(luò)端到端的訪問(wèn)和通信提供安全保障，包括保護(hù)IP網(wǎng)絡(luò)通信節(jié)點(diǎn)之2)網(wǎng)絡(luò)節(jié)點(diǎn)的平臺(tái)鑒別。b)用于實(shí)現(xiàn)節(jié)點(diǎn)之間狀態(tài)檢測(cè)與協(xié)商的協(xié)議：端點(diǎn)狀態(tài)檢測(cè)能力與協(xié)商PSD協(xié)議。1)數(shù)據(jù)機(jī)密性；4)訪問(wèn)控制；5)數(shù)據(jù)混淆；6)數(shù)據(jù)壓縮。d)用于IP數(shù)據(jù)轉(zhuǎn)發(fā)服務(wù)：A.1.3TAI協(xié)議TAI協(xié)議包括鑒別與密鑰建立協(xié)議和平臺(tái)鑒別協(xié)議兩部分，分別TAI協(xié)議通過(guò)鑒別與密鑰建立協(xié)議提供數(shù)據(jù)傳輸保護(hù)服務(wù)，兩PSD協(xié)議用于協(xié)商建立兩個(gè)TISec網(wǎng)絡(luò)節(jié)狀態(tài)。鑒別與密鑰建立協(xié)議輸出用于保護(hù)PSD數(shù)據(jù)的密鑰套件，PSD消息通過(guò)此密鑰套件加密后作為鑒別與密鑰建立協(xié)議消息的載荷進(jìn)行發(fā)送。TISec網(wǎng)絡(luò)節(jié)點(diǎn)之間需要協(xié)商IP數(shù)據(jù)安全傳輸所需參數(shù)，PSD協(xié)議負(fù)責(zé)完成這個(gè)過(guò)程，PSD協(xié)商完成之后TISec網(wǎng)絡(luò)節(jié)點(diǎn)分別創(chuàng)建一組SAP,TISec網(wǎng)絡(luò)節(jié)點(diǎn)可以協(xié)商多組SAP。SAP標(biāo)識(shí)TISec網(wǎng)絡(luò)節(jié)點(diǎn)TUE等協(xié)議所需的參數(shù)，SAP建立完成之后，TISec網(wǎng)絡(luò)節(jié)點(diǎn)通過(guò)PSD維護(hù)和控制TISec網(wǎng)絡(luò)A.1.5TUE協(xié)議TUE協(xié)議為IP分組提供保護(hù)能力，具體提供以下服務(wù)：a)機(jī)密性保護(hù)；b)完整性保護(hù)；c)抗重放能力保護(hù)；d)訪問(wèn)控制服務(wù)；e)數(shù)據(jù)混淆服務(wù)；f)數(shù)據(jù)壓縮服務(wù)。A.1.6DR技術(shù)DR技術(shù)定義了TISec網(wǎng)絡(luò)節(jié)點(diǎn)和被保護(hù)設(shè)備之間的IP分組轉(zhuǎn)發(fā)機(jī)制，用來(lái)解決被保護(hù)設(shè)備和TISec網(wǎng)絡(luò)節(jié)點(diǎn)通過(guò)路由配置機(jī)制的缺點(diǎn)。A.2TAI協(xié)議A.2.1TAI協(xié)議鑒別架構(gòu)TAI協(xié)議依賴(lài)鑒別與密鑰建立協(xié)議和平臺(tái)鑒別協(xié)議分別實(shí)現(xiàn)兩個(gè)TISec網(wǎng)絡(luò)節(jié)點(diǎn)之間的身份鑒別服務(wù)和平臺(tái)鑒別服務(wù)，鑒別與密鑰建立協(xié)議和平臺(tái)鑒別協(xié)議采用三元對(duì)等鑒別架構(gòu)，兩個(gè)TISec網(wǎng)絡(luò)節(jié)點(diǎn)在鑒別過(guò)程中需要有一方作為AAC的角色向AS和PAS服務(wù)器發(fā)起鑒別請(qǐng)求，如圖A.1。圖A.1TAI協(xié)議鑒別架構(gòu)A.2.2通信端口TAI消息默認(rèn)使用UDP的4113端口進(jìn)行通信，通過(guò)UDP的4113端口發(fā)送的消息包括鑒別與密鑰建立協(xié)議身份鑒別消息、PAI平臺(tái)鑒別消息和通過(guò)鑒別與密鑰建立協(xié)議封裝保護(hù)的PSD消息。A.3PSD協(xié)議A.3.1概述PSD是一種用于端點(diǎn)狀態(tài)檢測(cè)封裝協(xié)議，利用PSD封裝可以完成兩個(gè)TISec網(wǎng)絡(luò)節(jié)點(diǎn)之間如下4類(lèi)消息交互：用于兩個(gè)TISec網(wǎng)絡(luò)節(jié)點(diǎn)分別確定雙方之間b)安全關(guān)聯(lián)參數(shù)(SAP)協(xié)商消息：兩個(gè)TISec網(wǎng)絡(luò)節(jié)點(diǎn)通過(guò)SAP協(xié)商消息的交互用于建立安全關(guān)聯(lián)參數(shù)(SAP),所協(xié)商建立的SAPc)端點(diǎn)狀態(tài)控制消息(PSD-C);1)安全連接有效性保持(KeepAlive);用于TISec節(jié)點(diǎn)之間路徑NAT設(shè)備的探測(cè)和協(xié)商。用于TISec節(jié)點(diǎn)直接通信參數(shù)的協(xié)商。兩個(gè)TISec網(wǎng)絡(luò)節(jié)點(diǎn)之間通過(guò)安全關(guān)聯(lián)參數(shù)協(xié)商過(guò)程協(xié)商建立SAP所需的必要信息。通過(guò)SAP協(xié)商過(guò)程可協(xié)商如下幾類(lèi)信息：a)加解密算法套件；f)虛擬IP地址參數(shù)；h)路由參數(shù)。b)完整性保護(hù)；A.4.2傳輸模式A.4.3隧道模式在隧道模式下原始IP分組被封裝在一個(gè)新的IP分組中，并在原始IP報(bào)頭前嵌入TUE報(bào)頭。隧道模式主要用于端對(duì)端網(wǎng)關(guān)之間的通信。A.4.4UDP/TCP封裝為了滿(mǎn)足TUE分組的NAT設(shè)備穿越必須借助傳輸層協(xié)議來(lái)實(shí)現(xiàn)。本標(biāo)準(zhǔn)實(shí)現(xiàn)傳輸層封裝TUEDR技術(shù)定義了TISec網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備和被保護(hù)設(shè)備之間的IP分組轉(zhuǎn)發(fā)機(jī)制，用來(lái)解決傳統(tǒng)安全網(wǎng)關(guān)設(shè)備和被保護(hù)設(shè)備通過(guò)預(yù)先路由配置存在的缺點(diǎn)，同時(shí)VPN應(yīng)用中IP地址更易于實(shí)現(xiàn)權(quán)限管理。[1]GB/T15843.3—2016信息技術(shù)安全技術(shù)實(shí)體鑒別第3部分：采用數(shù)字簽名技術(shù)的[5]ISO/IEC27033-4Informationtechnolog