GA/T 686-2018 信息安全技术 虚拟专用网产品安全技术要求

ICS35240

A90.

中华人民共和国公共安全行业标准

GA/T686—2018

代替

GA/T686—2007

信息安全技术

虚拟专用网产品安全技术要求

Informationsecuritytechnology

Securitytechnicalrequirementsforvirtualprivatenetworkproducts

2018-01-26发布2018-01-26实施

中华人民共和国公安部发布

GA/T686—2018

前言

本标准按照给出的规则起草

GB/T1.1—2009。

本标准代替信息安全技术虚拟专用网安全技术要求与

GA/T686—2007《》,GA/T686—2007

相比主要变化如下

:

删除了标记的要求见年版的

———(20075.4);

删除了剩余信息保护的要求见年版的

———(20075.10);

删除了隐蔽信道分析的要求见年版的

———(20075.11);

删除了可信路径的要求见年版的

———(20075.12);

修改了标准名称

———;

修改了虚拟专用网的定义见年版的

———(3.1,20073.1.1);

修改了安全保障要求见第章年版的第章

———(8,20076);

增加了访问控制要求见

———(7.3);

增加了隧道建立要求见

———(7.5);

增加了穿越要求见

———NAT(7.6);

增加了环境适应性要求见

———IPv6(7.8);

增加了用户的定义见

———(3.4);

修改了等级划分要求将等级划分为基本级和增强级两级见年版的

———,(9.2、9.3,2007A.2)。

本标准由公安部网络安全保卫局提出

。

本标准由公安部信息系统安全标准化技术委员会归口

。

本标准起草单位公安部计算机信息系统安全产品质量监督检验中心公安部第三研究所

:、。

本标准主要起草人胡维娜李毅赵婷顾玮沈亮吴其聪

:、、、、、。

本标准所代替标准的历次版本发布情况为

:

———GA/T686—2007。

Ⅰ

GA/T686—2018

信息安全技术

虚拟专用网产品安全技术要求

1范围

本标准规定了虚拟专用网产品的安全功能要求安全保障要求和等级划分要求

、。

本标准适用于虚拟专用网产品的设计开发与测试

、。

2规范性引用文件

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

。,()。

信息技术安全技术信息技术安全性评估准则

GB/T18336.3—2015

信息安全技术术语

GB/T25069—2010

3术语和定义

和界定的以及下列术语和定义适用于本文件

GB/T18336.3—2015GB/T25069—2010。

31

.

虚拟专用网virtualprivatenetwork

在公用网络上建立专用网络的技术在公共的不可信的通信基础设施上通过设备间建立

。、,VPN

安全通信通道来保护两个通信实体间传送的数据的安全安全通信通道通过使用加密数字签名鉴

。、、

别认证和访问控制等安全机制建立

、。

32

.

隧道tunnel

用于传输协议的封装在隧道的起点将待传输的原始信息经过封装处理后嵌入目标协议的数据包

,

内从而在支持目标协议的网络中正常传输在隧道的终点从封装的数据包中提取出原始信息完成

,。,,

隧道两端的正常通信

。

33

.

互联网协议安全internetprotocolsecurity

由的工作组提出的将安全机制引入网络的一系列标准是一组开放的网络

IETFIPSec,TCP/IP,

安全协议的总称提供了完整性认证和保密性等安全服务主要有两种工作方式隧道模式和

。IPSec、,:

传输模式

。

4缩略语

下列缩略语适用于本文件

。

互联网工程任务组

IETF:(InternetEngineeringTaskForce)

互联网协议安全

IPSec:(InternetProtocolSecurity)

互联网协议第六版

IPv6:(InternetProtocolVersion6)

1

GA/T686—2018

网络地址转换

NAT:(NetworkAddressTranslation)

传输控制协议互联网协议

TCP/IP:/(TransmissionControlProtocol/InternetProtocol)

虚拟专用网

VPN:(VirtualPrivateNetwork)

5虚拟专用网产品描述

产品将若干个专用网络通过公共网络连接起来使分布在不同地域的专用网络可以通过不可

VPN,

完全信任的公共网络例如互联网安全地通信专用网络的数据经由产品建立的隧道在公共网络中传

()。

输在中数据在公共网络传输的安全性应由加密技术来保障

。VPN,。

产品常用的工作模式有等图是产品典型运行环境图

VPN:Site-Site、Host-Site,1VPN。

图1VPN产品典型运行环境图

6总体说明

61安全技术要求分类

.

虚拟专用网产品安全技术要求分为安全功能和安全保障两类其中安全功能要求是对产

。,VPN

品应具备的安全功能提出具体要求包括标识和鉴别安全审计访问控制用户数据完整性保护隧道

,、、、、

建立穿越密码支持和环境适应性安全保障要求针对产品的开发和使用文档的内

、NAT、IPv6;VPN

容提出具体的要求例如开发指导性文档生命周期支持和测试等

,、、。

62安全等级

.

按照产品安全功能要求强度以及按照对产品安全等级进行划

VPN,GB/T18336.3—2015,VPN

分安全等级分为基本级和增强级安全功能强弱和安全保障要求高低是等级划分的具体依据安全

。,。

2

GA/T686—2018

等级突出安全特性

。

7安全功能要求

71标识和鉴别

.

711基本标识

..

产品应对使用产品功能的用户进行标识基本标识一般以用户名或用户实现

VPN。ID。

712唯一性标识

..

产品应为用户提供唯一标识并能将标识与其所有可审计事件相关联

VPN,。

713身份鉴别

..

产品应保证任何用户在执行产品的安全功能前都要进行身份鉴别应通过用户所使用设备

VPN。

的地址或地址等对用户进行设备级验证

MACIP。

714鉴别失败处理