1、ICS 35.020 L 80 GB 国家标准和国11: ./、中华人民GB/T 25068.5-201 O/ISO/IEC 18028-5: 2006 信息技术安全技术IT网络安全第5部分:使用虚拟专用网的跨网通信安全保护Information technology-Security techniques-IT network security一Part 5: Securing communications across networks using virtual private networks (ISO/IEC 18028-5: 2006 , IDT) 2010-09-02发布暂且队防
2、伪中华人民共和国国家质量监督检验检夜总局中国国家标准化管理委员会2011-02-01实施发布G/T 25068.5-201 O/ISO/IEC 18028-5: 2006 目次qdqJqJAtFhdFDPOPOPOPOi巧句t巧tni句t巧nun3n目唱iqJ,IE11111111r1 议UU协和术技的用使所UULNUU升PH v点现特1.实全南.加南)安指妞面构指量量录川川肌瞅七L娘一r瞅酥卜畔脚时稍蛐酥梢酬wwm阳引定述类相方全全性性u性端附和管体阳管技料.层层vv1础辄附叫附刚刚娃叫时阳耀驯酬明即引Mmmm刚刚叫黯知如眼烟吼言言范规术缩V1234VV123456.置123安12录1234
3、5tf前引12345旦旦丘丘671111118忌。队8.99.9.附AAAAA参G/T 25068.5-201 O/ISO/IEC 18028-5: 2006 剧吕GB/T 25068在信息技术安全技术IT网络安全总标题下,拟由以下5个部分组成:一一第1部分:网络安全管理;一一第2部分:网络安全体系结构;一一第3部分:使用安全网关的网间通信安全保护;一一第4部分:远程接入的安全保护;一一-第5部分:使用虚拟专用网的跨网通信安全保护。本部分为GB/T25068的第5部分。本部分使用翻译法等同采用国际标准ISO/IEC18028-5: 2006(信息技术安全技术IT网络安全第5部分:使用虚拟专用网
4、的跨网通信安全保护)(英文版)。根据GB/T1. 1-2000的规定,做了如下一些纠错性和编辑性修改z一一第2章中增加了引用文件GB/T17901. 1; 一一原文第4章的缩略语NAS对应的全称中AreaStrong和NCP对应的全称中Point-toPoint是错误的,转换为本部分时NAS的全称更正为NetworkAccess Server , NCP的全称更正为NetworkControl Protocol。另外为使本部分易于理解,增加了7个缩略语,增加的缩略语在所在页边的空白处用单竖线1标出。一-8.1中增加了使用国家加密标准的规定。这些修改不影响等同采用的一致性程度。本部分的附录A为资
5、料性附录。本部分由全国信息安全标准化技术委员会(TC260)提出并归口。本部分起草单位:黑龙江省电子信息产品监督检验院、中国电子技术标准化研究所、哈尔滨工程大学、北京励方华业技术有限公司、山东省标准化研究院。本部分主要起草人:王希忠、徐铁、黄俊强、马遥、方舟、王大萌、树彬、张清江、王智、许玉娜、张国印、李健利、肖鸿江、祝宇林、刘亚东、邱意民、王运福。I GB/T 25068.5-201 O/ISO/IEC 18028-5: 2006 引通信和信息技术业界一直在寻找经济有效的全面安全解决方案。安全的网络应受到保护,免遭恶意和无意的攻击,并且宜满足业务对信息和服务的保密性、完整性、可用性、抗抵赖、
6、可核查性、真实性和可靠性的要求。保护网络安全对于适当维护计费或使用信息的准确性也是必要的。产品的安全保护能力对于全网的安全(包括应用和服务)是至关重要的。然而,当更多的产品被组合起来以提供整体解决方案时,互操作性的优劣将决定这种解决方案的成功与否。安全不仅是对每种产品或服务的关注,还必须以促进全面的端到端安全解决方案中各种安全能力交合的方式来开发。因此,GB/T25068的目的是为IT网络的管理、操作和使用及其互连等安全方面提供详细指南。组织中负责一般IT安全和特定IT网络安全的人员应能够调整GB/T25068中的材料以满足他们的特定要求。GB/T25068的主要目标如下:GB/T 25068
7、. 1定义和描述网络安全的相关概念,并提供网络安全管理指甫一一包括考虑如何识别和分析与通信相关的因素以确立网络安全要求,还介绍可能的控制领域和特定的技术领域(在GB/T25068的后续部分中涉及h一-GB/T25068. 2定义一个标准的安全体系结构,它描述一个支持规划、设计和实施网络安全的一致框架;GB/T 25068. 3定义使用安全网关保护网络间信息流安全的技术;一-GB/T25068.4定义保护远程接人安全的技术;一-GB/T25068. 5定义对使用虚拟专用网(VPN)建立的网络间连接进行安全保护的技术。GB/T 25068. 1与涉及拥有、操作或使用网络的所有人员相关。除了对信息安
8、全(IS)和/或网络安全及网络操作负有特定责任的,或对组织的全面安全规划和安全策略开发负有责任的管理者和管理员外,还包括高级管理者和其他非技术性管理者或用户。GB/T 25068. 2与涉及规划、设计和实施网络安全体系结构方面的所有人员(例如IT网络管理者、管理员、工程师和IT网络安全主管)相关。GB/T 25068.3与涉及详细规划、设计和实施安全网关的所有人员(例如IT网络管理者、管理员、工程师和IT网络安全主管)相关。GB/T 25068.4与涉及详细规划、设计和实施远程接入安全的所有人员(例如IT网络管理者、管理员、工程师和IT网络安全主管)相关。GB/T 25068. 5与涉及详细规
9、划、设计和实施VPN安全的所有人员(例如IT网络管理者、管理员、工程师和IT网络安全主管)相关。E G/T 25068.5-201 O/ISO/IEC 18028-5: 2006 1 范围信息技术安全技术IT网络安全第5部分:使用虚拟专用网的跨网通信安全保护GB/T 25068的本部分规定了使用虚拟专用网CVPN)连接到互联网络以及将远程用户连接到网络上的安全指南。它是根据ISO/IEC18028-1中的网络管理导则而构建的。本部分适用于在使用VPN时负责选择和实施提供网络安全所必需的技术控制的人员,以及负责随后的VPN安全的网络监控人员。本部分提供VPN综述,提出VPN的安全目标,并概括VP
10、N的安全要求。它给出安全VPN的选择、实施以及VPN安全的网络监控的指南。它也提供有关VPN所使用的典型技术和协议的信息。2 规范性引用文件下列文件中的条款通过GB/T25068的本部分的引用而成为本部分的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本部分,然而,鼓励根据本部分达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本部分。GB/T 9387C所有部分)信息技术开放系统互连基本参考模型CISO/IEC7498 ,IDT) GB/T 17901.1-1999信息技术安全技术密钥管理第1部分:框架CISO/IE
11、C11770-1: 1996 ,IDT) GB/T 19715.1信息技术安全技术信息安全管理指南第1部分:信息技术安全概念和模型CGB/T 19715.1-2005,ISO/IEC TR 13335-1:2004,IDT) GB/T 22081-2008信息技术安全技术信息安全管理实用规则CISO/IEC27002: 2005 , IDT) GB/T 25068. 3信息技术安全技术IT网络安全第3部分z使用安全网关的网间通信安全保护CGB/T25068.3-2010 , ISO/IEC 18028-3 :2005 ,IDT) GB/T 25068. 4 信息技术安全技术IT网络安全第4部分
12、z远程接人的安全保护CGB/T 25068. 4-2010 ,ISO/IEC 18028-4:2005 ,IDT) ISO/IEC 18028-1: 2006信息技术安全技术IT网络安全第1部分:网络安全管理ISO/IEC 18028-2: 2006信息技术安全技术IT网络安全第2部分:网络安全体系结构3 术语和定义GB/T 9387C所有部分)、GB/T19715. 1和ISO/IEC18028-1确立的以及下列术语和定义适用于GB/T 25068的本部分。3. 1 第2层交换技术layer 2 switching 使用内部交换机制并利用第2层协议在设备之间创建和控制连接的技术。注:它通常对
13、于上层协议模拟局域网环境。1 GB/T 25068.5一2010/ISO/IEC18028-5: 2006 3.2 第2层VPNlayer 2 VPN 在网络基础设施上提供模拟局域网环境的虚拟专用网。注z由第2层VPN链接的各个站点,能够像它们在同一个局域网上那样运行。3.3 第3层交换技术layer 3 switching 使用内部交换机制并与标准路由机制相结合或使用MPLS技术以建立和控制网络之间连接的技术。3.4 3.5 3.6 3. 7 3.8 4 2 第3层VPNlayer 3 VPN 在网络基础设施上提供模拟广域网环境的虚拟专用网。注:由第3层VPN链接的各个站点,能够像它们在一个
14、专用广域网上那样运行。专用private 只限于授权组成员使用:在VPN环境中,它指VPN连接中的通信流。专用网private network 受到访问控制的网络,只限于得到授权的组成员使用。协议封装protocol encapsulation 通过传输包装在一个协议内的协议数据单元而将一个数据流封装在另一数据流之内。注2在VPN技术中,这是可用于建立隧道的一种方法。虚电路virtual circuit 使用诸如X.25、ATM或帧中继等包或信元交换技术而建立的网络设备之间的数据通道。缩略语ACL AH ATM ESP IDS IKE IPX ISAKMP IT L2F L2TP LAN LD
15、P 岛1PPE岛1PLS访问控制列表(AccessControl Lists) 鉴别头(AuthenticationHeader) 异步传输模式(AsynchronousTransfer Mode) 封装安全载荷(EncapsulatedSecurity Payload) 入侵检测系统OntrusionDetecton System) 互联网密钥交换(lnternetKey Exchange) 互联网络包交换(InternetworkPacket Exchange) 互联网安全关联和密钥管理协议(InternetSecurity Association and Key Management P
16、rotocol) 信息技术(InformationTechnology) 第2层转发(协议)Layer 2 Forwarding (Protocol) 第2层隧道协议(Layer2 Tunneling Protocol) 局域网(LocalArea Network) 标签分发协议(LabelDistribution Protocol) 微软点对点加密协议(MicrosoftPoint-to-Point Encryption) 多协议标记交换(Multi-ProtocolLabel Switching) GB/T 25068.5-2010/ISO/IEC 18028号:2006NAS 网络访问服
17、务器CNetworkAccess Server) NCP 网络控制协议CNetworkControl Protocol) PPP 点对点协议CPoint-to-PointProtocol) PPTP 点对点隧道协议(Point-to-PointTunneling Protocol) SSL 安全套接层协议CSecureSockets Layer) VPLS 虚拟专用LAN服务CVirtualPrivate LAN Service) VPN 虚拟专用网CVirtualPrivate Network) VPWS 虚拟专用线路服务CVirtualPrivate Wire Service) WAN 广
18、域网CWideArea Network) 5 VPN综述5. 1 简介作为一种网络互连方式和一种将远程用户连接到网络的方法,VPN一直在快速发展。VPN是一种能实现ISO/IEC18028-2中所描述的通信流安全维技术的实例。其安全作为服务安全层(参见ISO/IEC 18028-2中的定义)的一部分来考虑。目前存在着范围较广的VPN定义。按照其最简单的定义,VPN提供一种在现有网络或点对点连接上建立一至多条安全数据信道的机制。它只分配给受限的用户组独占使用,并能在需要时动态地建立和撤销。主机网络可为专用的或公共的。VPN的示例表示如图1所示。它具有一条跨越不安全的公共网来连接两个端点的安全数据
19、信道。用户和中心系统之间的VPN用户中心系统攻击者2图1VPN的示例表示使用VPN的远程接人是在普通的点对点连接之上实现的。宜按照GB/T25068. 4的规定,首先在本地用户和远程位置之间建立连接。该连接可采用有线或无线网络技术的方式。一些VPN作为一种管理服务来提供。在这种VPN中,安全可靠的连通性、管理和寻址功能(与专用网上的相同)是在共享的基础设施上提供的。因此,可能需要考虑本部分所指明的附加安全控制来增强VPN。穿越VPN的数据和代码宜只限于使用VPN的组织,且宜与下层网络的其他用户保持分离。属于其他用户的数据和代码不宜有访问同-VPN信道的可能。当可能需要评测附加安全控制的范围时,
20、宜考虑拥有或提供VPN的组织在保密性和其他安全方面的可信度。5.2 VPN类型如上所述,有多种方式来表示VPN类型。从体系结构角度,VPN包括:单一的点对点连接(例如客户端经由站点网关远程接人组织网络,或者一个站点网关连接到另一个站点网关h3 GB/T 25068.5-201 O/ISO/IEC 18028-5: 2006 一一点对云连接(例如,通过MPLS技术实施)。从OSI基本参考模型角度,VPN主要有三种类型:一一第2层VPN提供模拟的局域网设施,它使用运行在主机网络(例如提供商网络)上的VPN连接来链接组织的站点或提供到组织的远程连接。提供商在该领域通常提供的服务包括虚拟专用线路服务(
21、VPWS)或虚拟专用局域网服务(VPLS)0 VPWS提供模拟的有线连接;VPLS 提供更完整的模拟局域网服务。一-第3层VPN提供一种模拟的广域网设施。它也使用在网络基础设施上运行的VPN。它为站点提供模拟的OS1网络层连通性。值得关注的是,它具有在公共基础设施上使用专用1P寻址方案的能力,而这种做法在正常的公共1P连接上是不允许的。在第3层VPN中,专用地址能够在公共网络上经由NAT(网络地址转换而被使用,虽然这种做法确实可行,却能够使1Psec VPN的建立和使用变得复杂。-一一高层VPN用于保护跨公共网络交易的安全。通常它们在通信的应用之间提供一条安全信道,以确保交易期间数据的保密性和
22、完整性。这种类型也可称作第4层VPN,因为VPN连接通常建立在TCP之上,而TCP为第4层协议。附录A进一步描述各种类型VPN通常所使用的特定技术和协议。5.3 VPN相关技术VPN是使用物理网络的系统资源(例如,通过使用加密和/或穿越真实网络的虚拟网络的隧道链接)构建的。VPN能在其所属组织控制下的专用网内完整实现,能穿越公共域中的网络实现,或能穿越以上两种网络的组合实现(VPN完全有可能在现有的专用广域网上构建。由于通常可提供成本相对较低的互联网访问,这使得这种公共网络系统逐渐成为很多应用程序中支持广域VPN和远程接入VPN的经济有效工具)。另一种方案是,这种信道可使用穿越互联网服务提供商
23、网络而构建的安全隧道来建立。在这种情况下,公共的互联网就有效地成为下层传输系统。对于VPN的保密性,这意味着不确定度更高。隧道是联网设备之间的数据通道,是跨越现有的网络基础设施而建立的。它对正常的网络操作是透明的,在很多实际场合,其用法能够类似于正常网络连接。需要时,隧道能够容易地打开或关闭,而不必对下层的物理网络基础设施进行任何更攻。因此,用隧道创建的VPN比基于物理链接的网络更加灵活。能使用以下技术创建隧道z一一虚电路;一一标签交换;一一协议封装。为虚电路而创建的隧道,通常使用包交换技术(例如帧中继或ATM)作为租用线路在常规的广域网设施中建立。这些技术确保隧道之间的数据流是分离的。标签交
24、换是创建隧道的另一种方式。流经一个隧道的所有数据包都被分配一个识别标签。这种标签确保每个标签不同的包都将被穿过网络的特定路径排除在外。虽然隧道所使用的技术确实保证隧道与下层网络之间的数据流适当分离,但却不能满足一般的保密性要求。如果需要保密性,就需要使用加密技术来提供所需的安全级别。隧道也能够使用协议封装技术来创建,即一个协议的数据单元被包装和承载在另一个协议中。例如,一个1P包被使用1PsecESP协议的隧道模式来包装。在插入附加的1P头后,这种包再在1P网络上传输。VPN隧道能在OS1模型的不同层上创建。虚电路在第2层上形成隧道。标签交换技术允许隧道在第2或第3层上创建。协议封装技术能在除
25、物理层之外的所有层上使用(多数在第3层及以上实施。4 GB/T 25068.5-2010/ISO/IEC 18028号:2006加密技术可用于为基于虚电路、协议封装和标签交换的隧道提供附加安全级别。5.4 安全方面虽然对于普通的网络用户,隧道是隐藏的,但并非不可见,因此不是内在安全的。用于构建隧道的基本划分过程(划分为虚电路或标签交换通道)或封装过程,在攻击者使用网络分析器或探测器进行确定性检测时,不能得到保护。如果隧道没有使用加密技术实现,则这些攻击者将能访问其通信流。即便使用了加密技术,也不能隐藏隧道及其端点的存在。此外,也可能不必保护隧道端点免受未授权的逻辑和/或物理访问。因此,为了实现
26、安全的VPN,必须根据组织安全策略和风险承受级别对隧道应用安全控制措施。是否接受这种脆弱性将取决于组织的安全策略。5.4.1 虚电路用于建立下层安全信道的安全控制可使用常规广域电信设施中的虚电路,例如租用线路,它使用帧中继或ATM等技术。在这些技术中,对于电信操作人员保持私人用户的租用线路设施与所提供的公共访问互联网服务之间分离的程度而言,其下层网络也是基本安全的。虚电路中使用的技术使通道内在具有一定程度的保密性,但不具有绝对的安全性。在这种传统虚电路上构建的VPN被认为相对不大可能受到损害,因为安全违规或攻击通常需要源自提供商的核心网络之内。5.4.2 标签交换标签交换VPN的安全问题包括:
27、一一一标签交换网络上承载的VPN之间的地址空间和路由的分离;一一确保标签交换网络核心的内部结构对外部网络是不可见的(例如,对潜在攻击者可用的信息加以限制); 一一提供对拒绝服务攻击的抵抗;提供对未授权访问攻击的抵抗;一一抵御标签欺骗(虽然有可能从外部将错误标签插入到标签交换网中,但由于地址分离,所以欺骗包只能损害产生欺骗包的VPN)。5.4.3 协议封装使用协议封装保持的密级取决于封装协议的属性。例如,如果使用仅具有AH协议的IPsec隧道来创建隧道,因为被第三方拦截的任何数据都清晰可见,所以它不提供保密性。这是因为AH协议只鉴别通信双方。5.4.4 加密密码学通用安全方面的指南参见ISO/I
28、EC18028-1 :2006、GB/T17901. 1-1999和GB/T22081-20080有关特定算法和协议的信息在其他出版物中论及,并且宜考虑作为安全VPN选择的一部分(见第8章)。5.4.5 完整性保护没有完整性保护的加密包能受到篡改。因此,易于改变的通信流,无论其是否被加密,也宜得到完整性保护。6 VPN安全目标VPN的主要安全目标是抵御未授权访问,因而VPN才能用于完成更多的网络安全目标:一一防护网络中的和与网络相连的系统中的信息以及它们所使用的服务;一一保护支撑网络基础设施;一一保护网络管理系统。ISO/IEC 18028-1 :2006讨论与VPN相关的关键安全风险。5 G
29、/T 25068.5一2010/ISO/IEC18028-5: 2006 7 VPN安全要求为实现上述第6章中概述的目标,VPN的实施方式宜确保:一一在VPN端点之间传输的数据和代码的保密性;一一在VPN端点之间传输的数据和代码的完整d性;一-VPN用户和管理员的真实性;一-VPN用户和管理员的授权;一-VPN端点和网络基础设施的可用性。总之,这意味着用于构建VPN的下层隧道宜按照满足安全目标的方式实现。图2中概括这些安全目标。隧道中的数据和代码隧道端点/ 真实性授权可用性隧道端点 飞真实性授权可用性保密性、完整性、可用性esses-, ,/ 飞、EE. , 、图2映射到下层隧道上的VPN一般
30、安全要求以下将详细讨论这些要求。ISO/IEC 18028-1也讨论用于实现安全VPN的安全控制类型。7. 1 保密性隧道中正在传输的数据和代码的保密性不宜受到损害。使用隧道技术可能意味着正在传输的数据和代码对网络中的其他用户是不可见的。然而,这并不意味着这种通信流一直是保密的,特别是隧道中的数据和代码流不能抵御使用数据分析器或探测器进行的确定的检测。因此保持隧道中正在传输的数据和代码的保密性关键依赖于这种检测发生的可能性。总之,这是支持VPN的下层网络中存在的可信度因素。它将依赖于传输网络的所有权而变化。如果传输网络未处于可信域(有关可信域的更多信息参见ISO/IEC18028-1 :200
31、6),或者如果认为被传输的数据和代码是敏感的,就可能需要采取附加安全控制措施来进一步保护保密性。在这些情况下,所采用的隧道机制宜支持加密,或者所发送的项在VPN上传输前宜离线加密。隧道端点的安全也不宜被忽视(见7.的。7.2 完整性隧道中所传输的数据和代码的完整性不宜受到损害。用于实现VPN隧道的机制宜支持所传输数据和代码的完整性检查,使用的技术包括消息验证码、消息鉴别码和防止重放机制等。如果隧道实施不可用这类保护,或者如果传输的数据和代码特别敏感,那么完整性保护控制宜在终端系统中实现,因而完整性保护就以端到端的方式提供。7.3 鉴别隧道的建立和操作过程宜得到鉴别控制的支持,从而能保证隧道的每
32、一端都正在与正确的伙伴端点(可能是一个远程访问系统)通信以及所接收的数据和代码来自正确的得到授权的源。这些安全控制包括,例如,密码保护、密码挑战保护、基于安全证书的系统、安全密钥交换规程、数据原发鉴别码和防止重放机制。GB/T 25068.5-201 O/ISO/IEC 18028-5: 2006 7.4 授权隧道的建立和操作过程宜得到访问控制的支持,诸如ACL,从而能保证隧道的每一端都正在与得到授权的伙伴端点(可能是一个远程接入系统)通信以及所接收的数据和代码来自得到授权的源。对穿越已建立隧道的数据通道的访问进行控制超出了隧道机制的范畴,宜由端系统中的适当访问控制来处理。7.5 可用性隧道的
33、可用性,以及VPN的可用性,是支撑网络基础设施和端点系统的可用性的功能。对抗特定于隧道机制的拒绝服务攻击的安全控制措施,宜在任何可能之处结合使用。对于特定的服务级协定,宜检验多种弹性隧道备用。7.6 隧道端点对于VPN端点的安全要求也宜考虑。通常每个VPN端点宜确保在主机网络与VPN之间只有受控的网络通信流。这通常意味着关闭路由和至少也使用包过滤器或防火墙技术。更多细节见8.3. 1 (端点安全)和8.3.2C终止点安全)。8 安全VPN选择指南8. 1 法规和法律方面与网络连接和VPN使用相关的国家法规法律的安全要求,特别是国家加密标准的使用规定,都应予以考虑:这包括关注以下方面的法规和/或
34、法律:一一一隐私/数据的保护;一一密码技术的使用;操作风险管理/治理。8.2 VPN管理方面在考虑VPN的使用及其对管理、控制和终端用户安全面的影响时,组织中其职责与VPN相关的所有人员都宜明白其业务要求和利益。此外,他们和VPN的所有其他用户宜意识到这种连接的安全风险以及相关控制域。业务要求和利益可能影响在如下过程中的很多决定和行动z考虑VPN连接,识别潜在的控制域,然后是最终的选择、设计、实施和维护安全控制。因此,在整个选择过程中,都需考虑这些业务要求和利益。有关安全服务管理框架和整个网络安全管理的详细指南见ISO/IEC18028-1: 2006,且作为安全管理面的一部分在ISO/IEC
35、18028-2: 2006中论及。8.3 VPN体系结构方面选择VPN时,下列体系结构方面宜得到处理:一一-端点安全;一一终止点安全E一一恶意软件保护;鉴别;一一-入侵检测系统;一一安全网关(包括防火墙); 一一网络设计;一一其他连通性;一一隧道分离;一一审计日志和网络监控E一一技术脆弱性管理。7 GBjT 25068.5-201 OjISOjIEC 18028-5: 2006 下面逐一概述这些方面。8.3.1 端点安全VPN的功能是提供一条安全跨越一些网络介质的安全通信信道。但是,建立VPN的时候却不可能监视其数据流包含的内容。如果任何一个端点受到损害,这种损害可能扩散到跨越VPN的会话。端
36、点安全不仅适用于设备本身,也适用于这些设备上的应用程序以及与使用相关的规程/物理方面。一些用于远程接人的端点用户设备(例如移动/远程工作计算设备)可能未受到与VPN相同的管理控制。这些设备可能被连接到不同的网络,例如,在不同时段获得互联网和组织专用网的访问权。这些网络可能带来额外的风险,宜给予考量以确保应用适当的安全控制。在考虑此类端点设备的安全时,宜考虑GBjT22081-2008中的安全控制,这些安全控制与以下方面相关:一一设备安全;一一抵御恶意代码和移动代码;设备使用人员的信息安全意识的培养、教育和培训1;VPN相关技术和设备的技术脆弱性管理;宜考虑其他控制,例如包过滤或个人防火墙。8.
37、3.2 终止点安全影响VPN安全的关键因素之一是如何在每个端点终止VPN。如果终止点直接设在端点的核心(例如,处于网络的安全区),安全直接取决于远程伙伴的安全。如果终止点设在非安全区中某处,通信就可能被轻易地欺骗。VPN终止的标准方法包括:一一使用外部防火墙终止设施在防火墙上终止:适用于点对点的连通性(例如在2个网络之间)。(GBjT 25068.3中进一步讨论防火墙); 一一在中间区部署专门的VPN端点,允许其有进一步处理来自VPN信息的能力(例如,决定是否许可访问安全区中的应用/系统)。中间区终止可能允许更多地控制VPN及其用户。在以上任何一种情况下,VPN端点在允许访问前都宜鉴别实体(例
38、如用户或设备)。对于为设置VPN链接而在端点之间进行的鉴别,这是一种附加鉴别。例如,对用户而言,这种鉴别通常包括用户名和口令,也可能要求使用附加形式的鉴别(称作强鉴别勺,例如令牌、卡或生物技术。8.3.3 恶意软件保护一旦表明信息系统元任何恶意软件,那么引人此类代码的唯一途径就是通过数据(或可执行代码)。VPN端点提供良好的控制点来实现恶意软件保护,以控制此类代码的传输。更多有关抵御(包括病毒、蠕虫和特洛伊木马)恶意代码的信息见GBjT22081-20080 8.3.4 鉴别鉴别是建立VPN的关键阶段之一。必然地,每一端宜鉴别预期的会话伙伴(换言之,需要相互鉴别)。这能用几种方法实现:一一预共
39、享密钥。此方法可提供便捷性,因为一旦设置这种密钥,就无需更多的管理。然而,如果它们受到损害,就可能被滥用(例如中间人攻击)。一一证书。这种方法提供更大的灵活性和弹性,尤其是在部署PKI备份以简化密钥管理、撤销和重发时。有关鉴别和对鉴别使用基于密码服务的更多信息参见ISOjIEC18028-1: 2006、GBjT17901. 1-1999和GBjT22081-20080 8.3.5 入侵检测系统(IDS)宜考虑入侵检测系统(IDS)技术的需要。IDS能在VPN的两端实现,以检测可能的入侵。然后IDS报警能由任何适当的机制发出,也可作为审计跟踪的一部分被记录(和管理)。值得注意的是,甚至GB/T
40、 25068.5-201 O/ISO/IEC 18028号:2006一些个人防火墙也有作为简单的入侵防护系统C1PS)的资质,用于阻止对未授权应用的网络接人。有关IDS的更多信息参见1SO/1EC18028-1 :2006 ,1SO/1EC TR 15947和1SO/1EC18043。8.3.6 安全罔关对于适当安全网关(包括防火墙)技术的选择宜予以仔细考虑以支持VPN的部署。有关安全网关(包括防火墙)的信息参见GB/T25068. 30 8.3.7 网络设计VPN任何一端的网络设计宜支持上面讨论的终止点安全的目标。特别是,VPN通常宜在外部防火墙上(例如在网络边界)或在自己的中间区内被终止。
41、更多有关信息参见1SO/1EC18028-1: 2006、ISO/IEC18028-2: 2006、GB/T25068. 3和GB/T25068. 40 8.3.8 其他连通性对于VPN端点的任何更多的连通性宜予以考虑。在VPN的任何一个端点,如果有其他连通性存在,则从该信道发起的安全漏洞可能攻击本地系统,并经由该VPN攻击远程系统。通过正确的网络设计和防火墙的使用,能够降低这种可能性。然而,最有效的控制是没有任何不必要的连通性。对于在远程/居家系统中使用调制解调器而言,这种考量尤为急迫。对于组织网络与提供支持、故障诊断等服务的第三方组织之间的连通性宜予以特别关注,对于服务提供商环境的安全控制
42、宜作为合同安排的一部分而确立。这类控制宜确保一个与服务提供商的其他操作和顾客环境在物理上和逻辑上分隔的环境。更多信息见GB/T22081-2008中6.20更多有关信息参见GB/T25068. 30 8.3.9 隧道分离情况允许时,宜避免分离隧道。分离隧道是指单一连接(通常是互联网)支持VPN和其他连接(VPN或其他)的能力。在这种情形下,因为攻击来自其他隧道,所以远程网络安全有受到损害的风险;这种情形类似于在两个网络之间提供路由的、具有双网卡的个人计算机。总之,通过VPN产品接管网络连接能够避免隧道分离。8.3. 10 审计日志和网络监控与其他安全技术相同的是,所选择的VPN解决方案宜维护适
43、当的审计日志,以分析该端点处的所有行动。它与网络产生的其他审计日志一样,宜用于评审安全事件的迹象。宜小心以确保审计日志本身是被保护的、与被评估的风险相当、抵御篡改和滥用。如果审计日志将被用于法律诉讼,那么其完整性应不容质疑。更多有关审计日志和网络监控的信息参见ISO/1EC18028-1 :2006和GB/T22081-2008 0 8.3. 11 技术脆弱性管理与其他复杂系统一样,网络环境也不能免于出错。在VPN等网络中,技术脆弱性在频繁使用的组件中出现,并为之发布。利用这些技术脆弱性能严重影响VPN的安全,大多数影响可以在可用性和保密性领域观察到。因此所有的VPN设备宜具有技术脆弱性管理。
44、有关脆弱性管理的更多信息参见1SO/1EC 18028-1: 2006和GB/T22081 0 9 安全VPN实施指南9.1 VPN管理考量有关实施安全服务管理框架和网络安全管理的详细指南参见1SO/IEC18028-1: 2006。本部分也讨论VPN的高级安全风险以及与降低这些风险相关的安全控制组。1SO/1EC18028-2: 2006讨论那些需要跨越管理、控制和终端用户安全面的网络安全活动。9.2 VPN技术考量完成安全VPN的实施需要系统地考虑目标中所确定的因素。宜特别考虑以下实施方面:-一承载协议的选择;9 GB/T 25068.5-201 O/ISO/IEC 18028-5: 20
45、06 一一硬件对软件;VPN设备管理。下面逐一讨论这些方面。附录A提供各种类型VPN经常使用的特定技术和协议的更多信息。9.2. 1 承载协议选择宜基于以下方面选择适当的安全承载协议:一一业务要求;互操作性(正式标准或专用标准); 市场洞察力;已知弱点;健壮性。9.2.2 VPN装置宜考虑VPN装置的使用。在小规模的VPN(例如单用户至中心系统)中,VPN的功能由软件解决方案来实现是适当的。在很多情况下,使用装置来提供VPN功能可能具有显著的优点,例如,简化管理,通常可在更加安全坚固的平台上操作。也可能是所要求的某种形式的鉴别平台(例如目录、PKI或RADIUS) ,例如,它将只允许授权用户连
46、接到中心位置。9.2.3 VPN设备管理宜正确地管理VPN设备。VPN设备管理是有关设置和监控VPN设备所需过程的通用术语。设置VPN设备包括z将其配置为网络配置和所需的端口/应用访问、安装证书(例如为更高层VPN)和像对待其他任何网络设备那样对VPN设备进行连续网络监控。使用光盘、磁盘等移动媒体的VPN部署宜受到控制,例如,创建交付和接收日志以及实现对媒体复用(日期/时间失效等)或媒体可使用次数的限制。9.2.4 VPN安全监控VPN,尤其是当其作为进入公司网络的远程接人信道而使用时,如果未得到精心的管理和控制,会给网络安全管理带来特别的挑战。宜考虑隧道自身、其端点还有流经隧道的数据和代码,
47、以防止将其作为一条便捷的进入网络的安全通道提供给攻击者。为使网络安全控制保持有效,至关重要的是,对包括VPN在内的安全实施进行系统的网络监控以及网络管理者或管理员能够对实际的或怀疑的信息安全事件进行检测和做出反应。此外,宜实施以下一至多个措施:人侵检测系统;一一安全/事件警告;一一安全/审计日志;一一常规检测;一一培训用户,使其识别和报告信息安全事件。重要的是认识到网络安全是一个动态概念。因此,至关重要的是,安全人员始终跟上该领域的进展且VPN及支撑技术一直在使用供应商所提供的最新安全补丁和修正。有关上述所有内容的更多信息参见ISO/IEC18028-1: 2006、ISO/IECTR 159
48、47、ISO/IEC18043、GB/Z 20985和GB/T22081-2008。10 GB/T 25068.5一2010/ISO/IEC18028号:2006附录A(资料性附录)实现VPN所使用的技术和协议A.1 导言本资料性附录提供用于实现VPN的典型技术和协议的示例。本附录未打算提供一个完全列表,或把一个技术或协议提升到其他技术或协议之上。A.5概括比较VPN协议的安全特点eA.2第2层VPNA.2.1 帧中继帧中继是基于X.25的包交换技术。在帧中继中,用于数据传输的帧的大小是可变的。此外,任何差错控制机制均只由发送端和接收端负责,从而使数据得以高速传输。它使用两种类型的电路来传输数
49、据:永久式虚电路(PVC)和交换式虚电路(SVC)0 PVC是穿过专用网(例如网络服务提供商所拥有的网络)的虚拟通道。在这种通道中,连接的端点由网络管理员规定。SVC是更短暂的虚拟通道(通常穿过外联网)。在这种通道中,连接的端点由网络用户在呼叫发起时规定。A.2.2 异步传输模式(ATM)ATM是基于PVC的数字转换技术,它能支持音频、视频和数据信号。为了实现该目的,它使用固定大小的帧或包。这些包(或信元勺在传输之前被排队,并被异步处理,不考虑其他相关信元。这使得ATM传输的速度比其他交换技术快。A.2.3 多协议标签交换(MPLS)MPLS是一种为在网络间路由选择中使用而开发的技术,即把标签分配给每个数据通道或流,并用于交换连接,覆盖常规的路由选择协议机制。它通常使基于IP的VPN能够跨越基于ATM的网络而部署。在传输期间,接受IP包的初始MPLS设备使用分配到的MPLS标签将IP包封装。随后,这个MPLS标签而非实际的IP头,被用于