GB-T 32922-2016 信息安全技术 IPSec VPN安全接入基本要求与实施指南.pdf

1、I C S3 5.0 4 0L8 0中 华 人 民 共 和 国 国 家 标 准G B/T3 2 9 2 22 0 1 6信息安全技术 I P S e cV P N安全接入基本要求与实施指南I n f o r m a t i o ns e c u r i t y t e c h n o l o g yB a s e l i n ea n d i m p l e m e n t a t i o ng u i d eo f I P S e cV P Ns e c u r i n ga c c e s s2 0 1 6-0 8-2 9发布2 0 1 7-0 3-0 1实施中华人民共和国国家质量监督检验

2、检疫总局中 国 国 家 标 准 化 管 理 委 员 会发 布目 次前言引言1 范围12 规范性引用文件13 术语和定义14 缩略语25 I P S e cV P N安全接入场景3 5.1 网关到网关的安全接入场景3 5.2 终端到网关的安全接入场景36 I P S e cV P N安全接入基本要求3 6.1 I P S e cV P N网关技术要求3 6.2 I P S e cV P N客户端技术要求5 6.3 安全管理要求57 实施指南6 7.1 概述6 7.2 需求分析7 7.3 方案设计7 7.4 配置实施7 7.5 测试与备案8 7.6 运行管理8附录A(资料性附录)典型应用案例9附录

3、B(资料性附录)I P v 6过渡技术1 2参考文献1 4G B/T3 2 9 2 22 0 1 6前 言 本标准按照G B/T1.12 0 0 9给出的规则起草。本标准由全国信息安全标准化技术委员会(S A C/T C2 6 0)提出并归口。本标准起草单位:国家信息中心、华为技术有限公司、中安网脉(北京)技术股份有限公司、网神信息技术(北京)股份有限公司、北京天融信科技股份有限公司、迈普通信技术股份有限公司。本标准主要起草人:罗海宁、周民、吕品、冷默、黄敏、徐浩、张锐卿、任献永、徐惠清、邵国安。G B/T3 2 9 2 22 0 1 6引 言 本标准主要内容包括I P S e cV P N安

4、全接入基本要求和基于I P S e cV P N技术建设安全接入平台或系统的实施指南,其中“基本要求”对I P S e cV P N安全接入应用过程中有关网关、客户端以及安全管理方面提出技术要求,“实施指南”主要适用于采用I P S e cV P N技术开展安全接入应用的机构,指导其进行基于I P S e cV P N技术的安全接入平台或系统的需求分析、方案设计、配置实施、测试与备案、运行管理。同时,本标准也可为相关设备厂商进行产品的设计和开发提供参考。本标准是在国家电子政务外网I P S e cV P N安全接入应用实践基础上归纳总结并提出的技术标准,也可广泛适用于I P S e cV P

5、N各种应用场景。G B/T3 2 9 2 22 0 1 6信息安全技术 I P S e cV P N安全接入基本要求与实施指南1 范围本标准明确了采用I P S e cV P N技术实现安全接入的场景,提出了I P S e cV P N安全接入应用过程中有关网关、客户端以及安全管理等方面的要求,同时给出了I P S e cV P N安全接入的实施过程指导。本标准适用于采用I P S e cV P N技术开展安全接入应用的机构,指导其进行基于I P S e cV P N技术开展安全接入平台或系统的需求分析、方案设计、配置实施、测试与备案、运行管理,也适用于设备厂商参考其进行产品的设计和开发。2

6、规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。G B/T2 0 5 1 82 0 0 6 信息安全技术 公钥基础设施 数字证书格式G B/T2 5 0 6 92 0 1 0 信息安全技术 术语GM/T0 0 0 32 0 1 2(所有部分)S M 2椭圆曲线公钥密码算法GM/T0 0 0 42 0 1 2 S M 3密码杂凑算法GM/T0 0 1 62 0 1 2 智能密码钥匙密码应用接口规范GM/T0 0 1 72 0 1 2 智能密码钥匙密码应用接口数据格式规范GM/

7、T0 0 2 22 0 1 4 I P S e cV P N技术规范GM/T0 0 2 32 0 1 4 I P S e cV P N网关产品规范3 术语和定义G B/T2 5 0 6 92 0 1 0界定的以及下列术语和定义适用于本文件。3.1第二层隧道协议 l a y e r2t u n n e l i n gp r o t o c o lL 2 T P一种支持V P N的隧道协议,本身不提供加密功能。3.2I P安全协议 I Ps e c u r i t yI P S e c一套用于保护I P通信的安全协议,是I P v 4的一个可选协议系列,也是I P v 6的组成部分之一。3.3虚拟

8、专用网 v i r t u a l p r i v a t en e t w o r kV P N一种在公共通信基础网络上通过逻辑方式隔离出来的网络。1G B/T3 2 9 2 22 0 1 63.4安全联盟 s e c u r i t ya s s o c i a t i o nS A两个通信实体经协商建立起来的一种协定,描述实体如何利用安全服务来进行安全的通信。3.5因特网密钥交换协议 i n t e r n e tk e ye x c h a n g eI K EI P S e c体系结构中的一种主要协议,由因特网安全联盟和密钥管理协议、密钥交换协议组成。3.6失效对端检测 d e a

9、dp e e rd e t e c t i o nD P D一种基于数据流的、用于检测I P S e c连接状态的方法。3.7数字证书可辨别名 d i s t i n g u i s h e dn a m eD N又称为数字证书实体特征名,用来识别公钥的实体名称,通常包括实体的通用名、组织单位、组织和国家信息。4 缩略语下列缩略语适用于本文件。C A 数字证书认证中心(c e r t i f i c a t ea u t h o r i t y)C E 用户端边缘设备(c u s t o m e re d g e)D N数字证书可辨识名(d i s t i n g u i s h e dn a

10、 m e)D P D失效对端检测(d e a dp e e rd e t e c t i o n)I K E因特网密钥交换协议(i n t e r n e tk e ye x c h a n g e)I P S e cI P安全协议(i n t e r n e tp r o t o c o l s e c u r i t y)L D A P轻量级目录访问协议(l i g h td i r e c t o r ya c c e s sp r o t o c o l)MP L S多协议标签交换(m u l t i-p r o t o c o l l a b e l s w i t c h i n

11、g)NAT网络地址转换(n e t w o r ka d d r e s s t r a n s l a t i o n)P E运营商边缘设备(p r o v i d e re d g e)P P P点对点协议(p o i n t t op o i n tp r o t o c o l)P P T P点对点隧道协议(p o i n t t op o i n t t u n n e l i n gp r o t o c o l)S A安全联盟(s e c u r i t ya s s o c i a t i o n)S HA安全杂凑算法(s e c u r eh a s ha l g o r i

12、 t h m)S S H安全外壳协议(s e c u r es h e l l)S S L安全套接层(s e c u r es o c k e t l a y e r)V P D N虚拟专用拨号网(v i r t u a l p r i v a t ed i a l-u pn e t w o r k s)V P N虚拟专用网(v i r t u a l p r i v a t en e t w o r k)O C S P在线证书状态协议(o n l i n ec e r t i c i f a t es t a t u sp r o t o c o l)2G B/T3 2 9 2 22 0 1

13、 65 I P S e cV P N安全接入场景5.1 网关到网关的安全接入场景I P S e cV P N网关到网关的对接适用于分支机构安全接入到总部网络或者机构之间的安全接入,如图1所示。典型应用案例参见附录A。图1 网关到网关的安全接入场景图 网络1和网络2分别部署I P S e cV P N网关,通过I P S e cV P N网关建立网络之间的安全传输通道。物理链路包括互联网链路、运营商提供的无线接入链路或专线链路等。5.2 终端到网关的安全接入场景终端到I P S e cV P N网关的安全接入适用于移动办公用户或者公众用户接入机构内部网络,如图2所示。典型应用案例参见附录A。图2

14、 终端到网关的安全接入场景图 接入网络部署I P S e cV P N网关,接入终端通过I P S e cV P N客户端和I P S e cV P N网关建立安全传输通道。I P S e cV P N客户端包含在接入终端上部署的连接网关的软件以及可选用的智能密码钥匙等硬件,接入终端可以是计算机,也可以是智能手机、平板电脑等移动智能终端设备。物理链路包括互联网链路、运营商提供的无线链路等。6 I P S e cV P N安全接入基本要求6.1 I P S e cV P N网关技术要求6.1.1 产品要求I P S e cV P N网关产品选择基本要求如下:a)应符合GM/T0 0 2 22 0

15、 1 4、GM/T0 0 2 32 0 1 4要求;b)应支持符合国家标准规定的对称算法,应支持遵循GM/T0 0 0 32 0 1 2S M 2或2 0 4 8位及以上的R S A非对称密码算法,应支持遵循GM/T0 0 0 42 0 1 2S M 3或S HA 1杂凑算法;c)应支持隧道模式和传输模式。3G B/T3 2 9 2 22 0 1 66.1.2 功能要求I P S e cV P N网关功能要求如下:a)V P N功能类型:应支持L 2 T Po v e r I P S e c、I P S e co v e rG R E以及I P S e co v e rL 2 T P等。b)产

16、品可靠性功能:1)应支持双机热备方式及隧道状态同步功能;2)应支持D P D功能,隧道不可用时可重新建立。c)互通兼容性功能:1)应支持NAT穿越,能够双向穿透NAT设备;2)异构网关对接时应符合如下要求:采用国家标准密钥协商协议时,应遵循GM/T0 0 2 22 0 1 4,在协商时对接网关应采用自动密钥协商机制,选择一致的协商属性,具体包括加密算法、杂凑算法、认证方式等;对接网关在密钥协商时支持NAT穿越选项应保持一致;应支持E S P或AH安全传输协议,对接网关应选择一致的传输协议。d)I P v 6兼容性功能:应支持I P v 6基本协议,支持双栈、隧道、NAT 6 4翻译、双栈精简技

17、术等I P v 6过渡技术。I P v 6过渡技术参见附录B。e)数字证书认证功能:1)应符合G B/T2 0 5 1 82 0 0 6证书格式;2)应支持受信任的C A机构颁发的数字证书认证;3)应支持L D A P、O C S P等在线认证方式;4)应支持自动下载C R L;5)应支持在线或离线验证证书有效性;6)应支持对认证用户分组授权。f)设备管理功能:1)应支持对网关的隧道状态、在线用户状态及C P U、内存利用率等关键运行指标的监测和管理;2)应支持S y s l o g等格式日志输出,提供采集与配置管理接口。6.1.3 性能要求根据I P S e cV P N网关的性能不同,从高

18、到低分成A类(1 0万用户数)、B类(2万用户数)、C类(50 0 0用户数)和D类(10 0 0用户数)四类网关,以适配不同的应用场景。各类网关的性能要求应不低于如下要求:表1 I P S e cV P N网关性能指标分类表性能指标网关类别A类B类C类D类加解密吞吐量(14 2 8字节)a2 0G b i t/s5G b i t/s1G b i t/s2 0 0M b i t/s加解密时延(14 2 8字节)b小于1m s小于1 0m s小于2 0m s小于5 0m s加解密丢包率(14 2 8字节)c5%1 0%1 0%1 0%每秒新建隧道数d1 0 05 03 02 04G B/T3 2

19、 9 2 22 0 1 6表1(续)性能指标网关类别A类B类C类D类最大并发隧道数e1 0 00 0 02 00 0 01 00 0 050 0 0单隧道最大并发连接数f1 00 0 00 0 020 0 00 0 05 0 00 0 01 0 00 0 0 a加解密吞吐量:分别在6 4字节以太帧长和14 2 8字节(I P v 6下为14 0 8字节)以太帧长时,I P S e cV P N网关在丢包率为0的条件下内网口达到的双向数据最大流量,性能数据按14 2 8字节测试获得。b加解密时延:分别在6 4字节以太帧长和14 2 8字节(I P v 6下为14 0 8字节)以太帧长时,I P

20、S e cV P N网关在丢包率为0的条件下,一个明文数据流经加密变为密文,再由密文解密还原为明文所消耗的平均时间,性能数据按14 2 8字节测试获得。c加解密丢包率:分别在6 4字节以太帧长和14 2 8字节(I P v 6下为14 0 8字节)以太帧长时,在I P S e cV P N网关内网口处于线速情况下,单位时间内错误或丢失的数据包占总发数据包数量的百分比,性能数据按14 2 8字节测试获得。d每秒新建隧道数:网关在一秒钟的单位时间内能够建立I P S e cV P N隧道数目的最大值。e最大并发隧道数:网关同时并存的I P S e cV P N隧道数目的最大值。f单隧道最大并发连接

21、数:网关单条I P S e cV P N隧道最大能够并发建立的T C P连接数目。6.2 I P S e cV P N客户端技术要求6.2.1 I P S e cV P N客户端软件要求I P S e cV P N客户端软件要求如下:a)客户端密钥交换协议和安全报文协议应符合GM/T0 0 2 22 0 1 4中5.1和5.2相关要求;b)应支持从智能密码钥匙、电子文件证书中获取证书并利用证书实现与I P S e cV P N网关的连接;c)应支持国内外主流操作系统;d)应支持I P v 4、I P v 6等网络协议;e)应支持I P S e cV P N穿越NAT的技术。f)客户端接入I P

22、 S e cV P N网关时应符合如下要求:1)采用国家标准密钥协商协议,应遵循GM/T0 0 2 22 0 1 4,在协商时客户端应与I P S e cV P N网关选择一致的协商属性,具体包括加密算法、杂凑算法、认证方式等;2)客户端在密钥协商时是否支持NAT穿越应与I P S e cV P N网关保持一致;3)应支持扩展认证;4)应支持采用DHC Po v e r I P S e c协议获取I P地址;5)应支持E S P或AH安全传输协议,客户端应与I P S e cV P N网关选择一致的传输协议。6.2.2 I P S e cV P N客户端硬件要求I P S e cV P N客

23、户 端 所 使 用 的 智 能 密 码 钥 匙 等 硬 件 应 支 持 符 合 国 家 标 准 的 算 法,并 符 合GM/T0 0 1 62 0 1 2和GM/T0 0 1 72 0 1 2的相关要求。6.3 安全管理要求6.3.1 系统管理要求系统管理要求按照不同安全性要求,分为基本要求和增强要求,具体如下:5G B/T3 2 9 2 22 0 1 6a)基本要求:1)应对I P S e cV P N设备运行状况、网络流量、用户行为、管理员行为等进行日志记录;2)应对管理员进行角色设置与权限分离;3)应对网络设备的管理员登录地址进行限制;4)身份鉴别信息应具有不易被冒用的特点,口令应有复杂

24、度要求并定期更换;5)应启用I P S e cV P N登录失败处理功能,设置采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施;6)当对I P S e cV P N设备进行远程管理时,应采用S S H、S S L等安全方式保护传输安全。b)增强要求:对于安全性要求较高的情况,如安全等级保护第三级及以上的信息系统应用I P S e cV P N时,除满足基本要求外,还应符合以下要求:1)应按照业务服务的重要性来指定带宽分配优先级别;2)应根据设备记录数据进行分析,并定期由第三方审计系统生成审计报表;3)应对管理员身份认证采取两种或两种以上组合鉴别技术;4)应由内部人员或上级单位定

25、期进行安全检查,检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性等;5)I P S e cV P N客户端应采用由国家认证的C A中心所颁发的证书实现I K E协商;6)I P S e cV P N客户端的证书应采用智能密码钥匙等硬件介质。6.3.2 数字证书管理要求6.3.2.1 设备数字证书管理设备证书应遵循P K I相关标准,将单位、区域等关键信息在证书D N中列出。网关的设备证书的有效期宜大于网关的生命周期。6.3.2.2 客户端数字证书管理I P S e cV P N客户端证书宜采用智能密码钥匙等硬件介质承载的证书。客户端证书应遵循P K I相关标准,将用户、单位、区

26、域等关键信息在证书D N中列出。客户端证书丢失或损坏时,应当及时到证书颁发部门办理挂失、吊销、重新注册等手续。6.3.3 地址管理要求6.3.3.1 地址规划应对I P S e cV P N网关及客户端地址进行统一规划,遵循唯一性、连续性和可扩展性原则。6.3.3.2 地址分配客户端可从网关的DHC P地址池中获取地址,网关外网口地址宜采用公网地址或对外服务地址,网关内网口地址宜采用私有地址或内部互联地址。6.3.4 其他要求密钥管理、数据管理、人员管理和设备管理应符合GM/T0 0 2 22 0 1 4中6.3的相关要求。7 实施指南7.1 概述基于I P S e cV P N技术建设安全接

27、入平台或系统的实施过程可划分为需求分析、方案设计、配置实6G B/T3 2 9 2 22 0 1 6施、测试与备案、运行管理等五个阶段。7.2 需求分析7.2.1 I P S e cV P N设备功能与性能需求根据业务系统数量、业务流量等现状,提出满足业务需求的I P S e cV P N设备的功能、性能指标要求。7.2.2 管理需求从设备管理、密钥管理、证书管理、权限管理、配置管理、日志管理等方面提出相应的管理需求。7.3 方案设计7.3.1 概述方案设计是在需求分析基础上,对建设实施方案进行设计,并完成方案设计文档。7.3.2 接入方案设计通过分析业务系统需求,结合机构当前网络拓扑,设计I

28、 P S e cV P N安全接入的实现方式,包括网关、客户端的部署位置、链路拓扑、连接方式等。7.3.3 管理方案设计根据需求分析结果和6.3的要求进行管理方案设计。7.4 配置实施7.4.1 实施准备在部署实施前,需做好以下准备:a)设备选型:根据需求分析结果,按6.1要求对I P S e cV P N网关进行选型,并要求网关设备厂商按6.2要求提供I P S e cV P N客户端软件;I P S e cV P N设备应选用国家主管部门认证许可的产品;b)数字证书申请:申请I P S e cV P N设备证书、管理员证书和客户端证书;c)I P地址申请:申请I P S e cV P N网

29、关地址池、对外服务I P地址及设备管理I P地址;d)备份链路申请:可根据业务系统重要性,向不同的运营商申请备份链路;e)割接与回退方案制定:在实施前,应制定网络割接和设备上线方案,制定应急情况下割接或上线不成功时恢复到原有网络的方案。7.4.2 I P S e cV P N设备部署根据接入方案完成网关和客户端等设备的部署。I P S e cV P N网关一般部署在互联网出口,外网口连接互联网,内网口连接内部网络。在接入终端上安装I P S e cV P N客户端软件,如采用数字证书,还应导入证书或连接配备的智能密码钥匙等硬件介质。7.4.3 I P S e cV P N设备配置I P S e

30、 cV P N设备部署完毕后,应完成设备地址配置、证书导入、V P N隧道配置、V P N策略配置、集7G B/T3 2 9 2 22 0 1 6中管理配置、接入用户授权和认证服务器配置等。7.4.4 系统联调组织I P S e cV P N网关与网关对接调试,网关与客户端对接调试,应按照6.1.2、6.2、6.3的要求调整网关或客户端配置,还应根据需要与认证、授权、设备集中管理等其他系统进行联调。7.5 测试与备案应制定测试方案,设备部署后对网关、客户端各项功能、性能等进行测试。测试完成后,应对详细测试结果、测试报告进行备案。采用国家商用密码产品时,应按照单位主管部门要求进行产品信息备案。7

31、.6 运行管理7.6.1 系统维护管理系统正式投入运行后,应清除系统中临时数据或参数。应建立针对系统日常维护的安全管理和系统维护制度。应定期检查I P S e cV P N设备的配置信息、日志信息。7.6.2 运行监测对I P S e cV P N设备进行实时监测,发现运行过程中的问题和故障。主要监测内容如下:a)网络状况:网络链路状况、I P地址情况;b)设备状况:V P N隧道状况、C P U与内存等可用资源、策略有效性;c)系统状况:业务系统有效性、证书使用状况;d)用户行为:用户在线情况、访问对象、访问过程、历史登录信息。当监测到告警信息时,应记录告警发生时间、告警类型、告警内容等信息

32、,并及时处理和跟踪。7.6.3 资源管理对网络拓扑结构、技术方案、系统配置、网络I P地址规划和设备型号、证书信息、所承载的业务系统情况等资源信息进行登记,定期对照核查,及时更新维护。7.6.4 备份与恢复应制定备份方案,对I P S e cV P N网关设备配置、安全策略配置等重要数据进行定期备份。应制定应急预案,定期开展应急恢复演练,应急启动后按照预案应急流程组织应急响应和系统恢复,应急结束后应整理报告并备案,必要时应追究事件责任。7.6.5 变更与撤销应建立I P S e cV P N网关配置修改、客户端增减、应用资源授权范围调整、接入链路调整等变更事项的业务流程,按照流程变更部署。在I

33、 P S e cV P N安全接入业务撤销时,应清除接入设备的配置信息、用户数据、系统日志等,并回收为用户分配的I P地址等。8G B/T3 2 9 2 22 0 1 6附 录 A(资料性附录)典型应用案例 本附录描述了政务外网基于I P S e cV P N的典型应用案例,其他行业可以参照实施。通过部署I P S e cV P N安全接入系统,为政务外网用户提供从互联网等公众网络可信接入政务外网的安全隧道,满足不具备专线接入条件的部门接入政务外网和政务用户出差或移动办公的接入需求,延伸政务外网的覆盖范围。各级政务外网划分公用网络区、专用网络区等内部区域和互联网接入区等外部区域。在政务外网互联网接入区集中部署I P S e cV P N服务网关或网关集群,提供I P S e cV P N接入网关的接入或移动办公的接入服务。政务外网使用I P S e cV P N的典型应用,如图A.1所示。