信息技术VPN产品安全检验规范

翔羽

公安部计算机信息系统安全产品质量监督检验中心
第一版 第0次修订                                                              
2003年11月01日颁布                                       2003年12月01日实施

前    言
为了规范全国VPN产品的开发与应用，保障公共信息网络安全，根据公安部公共信息网络安全监察局的要求，本规范对VPN产品提出了安全功能要求和保证要求，作为对其进行检测的依据。
本规范由中华人民共和国公安部公共信息网络安全监察局提出。
本规范起草单位：公安部计算机信息系统安全产品质量监督检验中心。
公安部计算机信息系统安全产品质量监督检验中心负责对本规范的解释、提升和更改。

信息技术VPN产品安全检验规范
1 范围
本规范规定了信息技术VPN产品的安全功能要求和保证要求。
本规范适用于信息技术VPN产品的生产及检测。
2 术语和定义
2.1虚拟专用网VPN(Virtual Private Network)
VPN是一种虚拟的专用网络，它采用隧道技术，将专用网络中的数据封装在隧道中，通过公用网络进行传输。
2.2  隧道（Tunnel）
在隧道的起点将待传输的原始信息经过封装处理后嵌入另一种协议的数据包内，像普通数据包一样在网络中进行传输。在隧道的终点，从封装的数据包中提取出原始信息。
能够实现隧道技术的协议主要有L2TP、GRE、IPSec 和MPLS协议。
2.3  IPSec
IPSec是由IETF的IPSec 工作组提出的将安全机制引入TCP/IP网络的一系列标准，是一组开放的网络安全协议的总称。
主要有认证头协议（Authentication Header，简称AH）、封装安全载荷协议（Encapsulating Security Payload，简称ESP）和Internet密钥交换协议（Internet Key Exchange，简称IKE）。还有两个重要的策略数据结构：安全关联数据库（Security Association ,简称SAD）和安全策略数据库（Security Policy , 简称SPD）。
IPSec提供了完整性、认证和加密等安全功能。主要有两种工作方式：隧道模式和传输模式。
3 信息技术VPN产品的安全功能
3.1  标识
要求在用户对VPN资源访问之前，VPN安全功能应对用户进行标识。在远程访问VPN中，应先对远程用户进行标识。
3.2  鉴别
在远程访问VPN中，在VPN隧道建立前VPN安全功能应对远程用户进行鉴别。当用户对VPN资源访问之前，VPN安全功能也应先对提出该动作要求的用户身份进行身份鉴别。同时虚拟专用网设备应对用户进行设备级验证，可通过数据链路层的MAC地址、网络层的IP地址或机器名进行鉴别。当进行鉴别时，VPN安全功能应尽量只向用户反馈最少的信息（如：输入的字符数，鉴别的成功或失败）。
3.3  鉴别失败处理
VPN管理员应设定鉴别失败的次数不多于某个固定次数如3次。当达到固定次数时，VPN安全功能应进行审计记录，终止对该用户鉴别，使该用户账户无效或该登录点无效，并提醒VPN管理员进行处理。
3.4  审计事件
VPN安全功能应为可审计事件生成审计记录。审计记录应包括以下内容：事件的日期和时间，事件的类型，主客体身份，事件的结果（成功或失败）。审计数据应易于理解，不被未授权修改。VPN主要的审计事件包括：
－用户鉴别失败事件；
－授权用户的一般操作；
－VPN隧道的建立和删除；
－用户数据完整性校验失败；
－用户数据解密失败；
－根据策略数据包被丢弃事件；
3.5  审计查阅
安全审计查阅工具应具有：
a) 审计查阅：为授权用户提供获得和解释审计信息的能力。
b) 有限审计查阅：在审计查阅的基础上，审计查阅工具应禁止具有读访问权限以外的用户读取审计信息。
3.6  审计事件存储
a) 审计信息应存储在永久性存储介质中。
b) 审计信息应为人所能理解的。
c) 防止审计数据丢失：要求在审计踪迹存储记满时，应采取相应的防止审计数据丢失的措施，可选择“忽略可审计事件”、“阻止除具有特殊权限外的其他用户产生可审计事件”、“覆盖已存储的最老的审计记录”和“一旦审计存储失败所采取的其它行动”等措施，防止审计数据丢失。
3.7  通信抗抵赖
在VPN中，通信抗抵赖功能由以PKI为基础的CA认证系统作为可信第三方来支持。
3.7.1  抗原发抵赖
抗原发抵赖确保信息的发起者不能否认曾经发送过信息。要求VPN安全功能提供一种方法，确保接收信息的主体在数据交换期间获得了证明信息原发的证据。此证据可由该主体或客体或其他主体验证。在采用IKE协商安全参数时，在协商的两个阶段交换的消息中都应提供抗原发抵赖。可通过预共享密钥、公钥加密或数字签名等手段提供抗原发抵赖。
3.7.2  抗接收抵赖
接收抗抵赖确保信息的接收者不能否认对信息的接收。要求VPN安全功能提供一种方法，来确保发送信息的主体在数据交换期间获得了证明信息接收的证据，此证据可由该主体或其它主体验证。在采用IKE协商安全参数时，在协商的两个阶段交换的消息中都应提供抗接收抵赖。可通过预共享密钥、公钥加密或数字签名等手段提供抗接受抵赖。
3.8  访问控制
在VPN系统中，常用的访问控制策略为访问控制表（ACL），包括：
－目录表访问控制；
－存取控制表访问控制；
－访问控制矩阵访问控制等。
对于配置文件如安全策略数据库和安全关联数据库以及密钥等重要数据，只有VPN授权管理员才能访问。当VPN是基于某一具体的操作系统时，可借助操作系统的自主访问控制机制实施。
a) VPN系统的资源都应预先标出一组安全属性。用户对VPN资源的访问权限对应一张访问控制表，用以表明用户对VPN资源的访问能力。应规定以下权限：规定了VPN数据资源和文件、目录的查看与删除，以及执行文件、隐含文件、共享、系统属性等权限。
b) VPN系统中，对于VPN用户，应以组为单位规定对VPN资源访问控制策略。
c) 对于VPN系统，其访问控制粒度应细化为单个用户。
d) 为每个命名客体指定主体用户名和用户组，以及规定他们对VPN资源的访问级别。
3.9  用户数据保密性传输保护
3.9.1  VPN专用网络间数据传输保护
当数据在VPN专用网络间传输时，虚拟专用网设备应根据预定的安全策略数据库中定义的规则对数据进行加密保护。当未建立隧道时，通过手工设定密钥及安全关联参数，或者通过Internet密钥交换协议IKE动态协商密钥及安全关联参数。根据协商的密钥等参数对数据进行加密保护。应依据RFC2409和RFC2406进行具体实现。
3.9.2  专用网络向公用网络输出数据的保护
当数据从专用网络向公用网络输出数据时，VPN安全功能应根据预先在配置文件如安全策略数据库中对输出数据类型的安全属性设定的策略和敏感标记，确定是否需要加密等保护或直接转发、丢弃等。
3.9.3  公用网络向专用网络输入数据的保护
数据从公用网络向专用网络输入时，VPN安全功能应根据预先在配置文件如安全策略数据库中对输入数据类型所设定的敏感标记和策略进行处理，当是加密的隧道数据时，应从隧道中提取原始数据并进行解密，并将数据转发至专用网内正确的目的主机中。
3.10  密码支持
应根据密码强度与信息系统安全等级匹配的原则，按国家密码主管部门的规定分级配置密码管理。所用的密码强度应能抵御密码分析的攻击。VPN安全功能将根据符合国家标准的方法来管理密钥，包括密钥的产生、分发、访问及销毁。当采用PKI技术进行密钥的管理时，应按相关的PKI标准和CA实施管理，每个级别的要求应与相应的PKI标准的级别相符合。
4 VPN产品的保证要求
4.1 交付和运行
4.1.1交付过程
4.1.1.1 开发者行为元素：
a)  开发者应将把VPN产品及其部分交付给用户的程序文档化；
b)  开发者应使用交付程序。
4.1.1.2 证据元素的内容和表示
交付文档应描述，在给用户方分配VPN产品的版本时，用以维护安全所必需的所有程序。
4.1.2 安装、生成和启动程序
4.1.2.1 开发者行为元素
开发者应将VPN产品安全地安装、生成和启动所必需的程序文档化。
4.1.2.2 证据元素的内容和表示
文档应描述VPN产品安全地安装、生成和启动所必要的步骤。
4.2 指导性文档
4.2.1 管理员指南
4.2.1.1 开发者行为元素
    开发者应当提供针对系统管理员的管理员指南。
4.2.1.2  证据的内容和形式元素：
    a)  管理员指南应当描述VPN产品管理员可使用的管理功能和接口；
    b)  管理员指南应当描述如何以安全的方式管理VPN产品；
    c)  管理员指南应当包含在安全处理环境中必须进行控制的功能和权限的警告；
    d)  管理员指南应当描述所有与VPN产品的安全运行有关的用户行为的假设；
    e)  管理员指南应当描述所有受管理员控制的安全参数，合适时，应指明安全值；
    f)  管理员指南应当描述每一种与需要执行的管理功能有关的安全相关事件，包括改变TSF所控制的实体的安全特性；
    g)  管理员指南应当与为评估而提供的其他所有文档保持一致；
    h)  管理员指南应当描述与管理员有关的IT环境的所有安全要求。
4.2.2  用户指南
4.2.2.1  开发者行为元素
    开发者应当提供用户指南。
4.2.2.2  证据的内容和形式元素：
    a)  用户指南应该描述VPN产品的非管理用户可用的功能和接口；
    b)  用户指南应该描述VPN产品提供的用户可访问的安全功能的用法；
    c)  用户指南应该包含受安全处理环境中所控制的用户可访问的功能和权限的警告；
    d)  用户指南应该清晰地阐述VPN产品安全运行中用户所必须负的职责，包括有关在VPN产品安全环境阐述中找得到的用户行为的假设；
    e)  用户指南应该与为评估而提供的其它所有文档保持一致；
    f)  用户指南应该描述与用户有关的IT环境的所有安全要求。

小米米

我来看看！谢谢  

功夫花猫

不错!