标准搜索结果: 'GB/T 25068.5-2021'
标准编号 | GB/T 25068.5-2021 (GB/T25068.5-2021) | 中文名称 | 信息技术 安全技术 网络安全 第5部分:使用虚拟专用网的跨网通信安全保护 | 英文名称 | Information technology -- Security techniques -- Network security -- Part 5: Securing communications across networks using virtual private networks | 行业 | 国家标准 (推荐) | 中标分类 | L80 | 国际标准分类 | 35.040 | 字数估计 | 22,290 | 发布日期 | 2021-03-09 | 实施日期 | 2021-10-01 | 旧标准 (被替代) | GB/T 25068.5-2010 | 起草单位 | 西安西电捷通无线网络通信股份有限公司、中关村无线网络安全产业联盟、重庆邮电大学、中国电子技术标准化研究院、黑龙江省网络空间研究中心、国家无线电监测中心检测中心、福建省无线电监测站、中国通用技术研究院、国家密码管理局商用密码检测中心、国家信息技术安全研究中心、珠海许继电气有限公司、许继集团有限公司、天津市无线电监测站、北京计算机技术及应用研究所 | 归口单位 | 全国信息安全标准化技术委员会(SAC/TC 260) | 标准依据 | 国家标准公告2021年第3号 | 提出机构 | 全国信息安全标准化技术委员会(SAC/TC 260) | 发布机构 | 国家市场监督管理总局、国家标准化管理委员会 |
GB/T 25068.5-2021
Information technology -- Security techniques -- Network security -- Part 5: Securing communications across networks using virtual private networks
ICS 35.040
L80
中华人民共和国国家标准
代替GB/T 25068.5-2010
信息技术 安全技术 网络安全
第5部分:使用虚拟专用网的跨网通信
安全保护
(ISO/IEC 27033-5:2013,MOD)
2021-03-09发布
2021-10-01实施
国 家 市 场 监 督 管 理 总 局
国 家 标 准 化 管 理 委 员 会 发 布
目次
前言 Ⅲ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 缩略语 2
5 概述 2
5.1 简介 2
5.2 VPN类型 3
6 安全威胁 4
7 安全要求 4
7.1 概述 4
7.2 机密性 5
7.3 完整性 5
7.4 鉴别 5
7.5 授权 5
7.6 可用性 5
7.7 隧道端点安全 6
8 安全控制 6
8.1 安全方面 6
8.2 虚电路 6
9 VPN相关技术 6
9.1 概述 6
9.2 法规和法律方面 7
9.3 VPN管理方面 7
9.4 VPN架构方面 7
9.4.1 概述 7
9.4.2 端点安全 8
9.4.3 终止点安全 8
9.4.4 恶意软件防护 8
9.4.5 鉴别 9
9.4.6 入侵检测与防御系统 9
9.4.7 安全网关 9
9.4.8 网络设计 9
9.4.9 其它连接 9
9.4.10 分离隧道 9
9.4.11 日志审计和网络监控 9
9.4.12 技术漏洞的管理 10
9.4.13 公共网络路由加密 10
9.5 VPN技术考量 10
9.5.1 背景 10
9.5.2 VPN设备管理 10
9.5.3 VPN安全监控 10
10 产品选择指南 11
10.1 承载协议选择 11
10.2 VPN装置 11
附录A(资料性附录) TISec技术 12
参考文献 16
信息技术 安全技术 网络安全
第5部分:使用虚拟专用网的跨网通信
安全保护
1 范围
GB/T 25068的本部分规定了使用虚拟专用网(VPN)连接到互联网和将远程用户连接到网络上的
安全要求,以及在使用VPN提供网络安全时所必需的控制技术的选择、实施和监控指南。
本部分适用于在使用VPN时负责选择和实施提供网络安全所必需的技术控制人员,以及随后的
VPN安全的网络监控人员。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 9387(所有部分) 开放系统互连 基本参考模型[ISO 7498(所有部分)]
GB/T 17901.1-2020 信息技术 安全技术 密钥管理 第1部分:框架(ISO/IEC 11770-1:
2010,MOD)
GB/T 22080-2016 信息技术 安全技术 信息安全管理体系 要求(ISO/IEC 27001:2013,
IDT)
GB/T 22081 信息技术 安全技术 信息安全控制实践指南(GB/T 22081-2016,ISO/IEC 27002:
2013,IDT)
GB/T 25068.1-2020 信息技术 安全技术 网络安全 第1部分:综述和概念(ISO/IEC 27033-1:2015,
IDT)
GB/T 31722-2015 信息技术 安全技术 信息安全风险管理(ISO/IEC 27005:2008,IDT)
3 术语和定义
GB/T 9387(所有部分)、GB/T 22080-2016、GB/T 22081、GB/T 25068.1-2020、GB/T 31722-
2015界定的以及下列术语和定义适用于本文件。
3.1
专用 private
仅限于授权用户使用。
3.2
隧道 tunnel
在联网的设备之间,隐藏在其它可见性更高的协议内部的数据路径。
3.3
基于物理网络系统资源,通过隧道技术构建的、受限使用的虚拟网络。
3.4
虚电路 virtualcircuit
使用诸如X.25、ATM或帧中继等包或信元交换技术而建立的网络设备之间的数据通道。
3.5
通过传输包裹在另一协议内的协议数据单元,将一个数据流封装在另一数据流中。
注:在虚拟专用网技术中这种方法可用于建立隧道。
4 缩略语
5 概述
5.1 简介
作为一种网络互连方式和一种将远程用户连接到网络的方法,VPN技术一直在快速发展。
目前存在着范围较广的VPN定义。按照其最简单的定义,VPN提供一种在现有网络或点对点连
接上建立一至多条安全数据信道的机制。它只分配给受限的用户组独占使用,并能在需要时动态地建
立和撤销。主机网络可为专用的或公共的。
VPN的示意图见图1,它具有一条跨域公共网来连接端点和网关的安全数据通道,以及一条跨域
公共网来连接两个网关的安全数据通道。
图1 VPN示意图
使用VPN的远程接入是在普通的点对点连接之上实现的。首先,在本地用户和远程位置之间建
立普通的点对点连接。一些VPN作为一种受管理的服务来提供,在这些VPN中,安全可靠的连通性、
管理和寻址功能(与专用网上的相同)是在共享的基础设施上提供的。可使用本部分所给出的附加安全
控制来增强VPN功能。
穿越VPN的数据和代码宜限制在使用VPN的组织内部,且宜与下层网络的其它用户保持分离。
属于其它用户的数据和代码不宜有访问同一VPN信道的能力。当可能需要评测附加安全控制的范围
时,拥有或提供VPN的组织在机密性和其它安全方面的可信度宜加以考虑。
5.2 VPN类型
如上所述,VPN有多种表示方式。
从体系结构角度,VPN包括:
---单一的点对点连接(例如客户端经由站点网关远程接入组织网络,或者站点网关连接到另一个
站点网关);
---点到云连接(例如,通过 MPLS技术来实施)。
从OSI基本参考模型角度,VPN主要有3种类型:
---第2层VPN提供模拟的局域网设施。它使用运行在主机网络(例如提供商网络)上的VPN
连接来链接组织的站点或提供到组织的远程连接。典型的提供商在该领域通常提供虚拟专用
线路服务(VPWS)或虚拟局域网服务(VPLS)。其中,VPWS提供虚拟的“有线连接”,VPLS
提供更完整的模拟局域网服务。
---第3层VPN提供模拟的广域网设施。它使用在网络基础设施上运行的VPN,为站点提供模
拟的“OSI网络层”连接。值得关注的是,它具有在公共基础设施上使用专用IP寻址方案的能
力。而这种做法在“正常”的公共IP连接上是不允许的。在第3层VPN中,专用地址能够在
公共网络上经由NAT(网络地址转换)后被使用,虽然这种做法确实可行,但会使得IPSec
VPN的建立和使用变得复杂。IPSecVPN技术参见GB/T 36968-2018。
---高层VPN用于保护跨公共网络交易的安全。通常它们在互相通信的应用之间提供一条安全
信道,以确保交易数据的机密性和完整性。这种类型也可称作第4层VPN,因为VPN连接通
常建立在TCP之上,而TCP为第4层协议。高层VPN技术参见GM/T 0024-2014。
6 安全威胁
在可预见的未来,网络使用组织能够预料到针对它们的系统的有效攻击变得日益增多。未授权的
接入是非常有害的,例如将导致DoS攻击,资源的滥用或者随意访问到有价值的信息等。
一般来讲,对VPN的攻击是以入侵攻击或者DoS攻击的形式出现。当外部人员或恶意的攻击者
控制了网络的一部分,入侵就发生了。这些入侵可由计算机或者其它网络设备(包括移动设备)实施。
入侵可能来自和网络有连接的任何地方。这些攻击也可能来自其它VPN、互联网或者服务提供商
本身。在网络入口处通过从非预期的源头里过滤非预期的数据流能够抵制这些类型的攻击。这类入侵
的典型例子是未授权的实体非法访问安全隧道。
在一些缺少集中化管理的VPN设计模型中,所有站点相互连接但却未进行数据流控制,抵御入侵
将很困难。
DoS攻击是VPN面对的另一类威胁。DoS攻击和入侵都来自其它的VPN、互联网或者服务提供
商的核心。这两种类型的攻击主要区别在于,对DoS攻击而言,攻击者需要接入或者控制某个设备。
对服务提供商设备的DoS攻击也能够导致部分VPN拒绝服务。尽管保护网络免遭DoS攻击有时
是困难的,对DoS攻击的抵御主要还是在于良好的VPN网络设计。
VPN的安全问题包括:
---标记交换网络上承载的VPN间的地址空间和路由的分离;
---确保标记交换网络核心的内部结构对外部网络是不可见的(例如,对潜在攻击者可用的信息加
以限制);
---提供抵抗拒绝服务攻击的措施;
---提供抵抗未授权访问攻击的措施;
---抵御标记欺骗(虽然有可能从外部将错误标记插入到标记交换网中,但由于地址分离,所以欺
骗包只能损害产生该欺骗包的VPN)。
7 安全要求
7.1 概述
VPN的主要安全目标是抵御未授权访问。因而VPN才能用于完成更多的网络安全目标:
---防护网络中的以及与网络相连的系统中的信息以及它们所使用的服务;
---保护支撑性的网络基础设施;
---保护网络管理系统。
为实现上述目标,VPN的实施方式宜确保:
---在VPN端点之间传输的数据的机密性;
---在VPN端点之间传输的数据的完整性;
---VPN用户和管理员的真实性;
---VPN用户和管理员的授权管理;
---VPN端点和网络基础设施的可用性。
总之,这意味着用于构建VPN的下层隧道宜按照满足安全目标的方式实现。图2中概括了这些
安全目标。
实现机密性、完整性和鉴别要求时宜使用基于密码技术的机制,应支持国家密码管理主管部门批准
使用的密码算法,使用国家密码管理主管部门认证核准的密码产品,遵循相关密码国家标准和行业
图2 映射到下层隧道的VPN一般安全要求
7.2 机密性
隧道中传输的数据和代码的机密性不宜受到破坏。使用隧道技术可能意味着传输的数据和代码对
网络中的其它用户是不可见的。然而,这并不意味着这种数据流一直是保密的。特别是隧道中的数据
和代码流不能抵御使用数据分析器或探测器进行的确定性探测。因此保持隧道中传输的数据和代码的
机密性关键依赖于这种探测发生的可能性。总之,这是支撑VPN的下层网络中存在的可信度因素之
一,它将依赖于传输网络的所有权而变化。如果传输网络未处于可信域(有关可信域的更多信息见
GB/T 25068.1-2021),或者如果认为被传输的数据和代码是敏感的,就可能需要采取附加安全控制措
施来进一步保护机密性。在这些情况下,所采用的隧道机制宜支持加密,或者所发送的数据项在VPN
上传输前宜离线加密。隧道端点的安全也不宜被忽视(见7.7)。
7.3 完整性
隧道中所传输的数据和代码的完整性不宜受到破坏。用于实现VPN隧道的机制宜支持所传输数
据和代码的完整性检查。使用的技术包括消息验证码,消息鉴别码和防止重放的机制等。如果在隧道
实施时无法使用这类保护,或者如果传输的数据和代码特别敏感,则完整性保护控制宜在终端系统中实
现,这样完整性保护将以端到端的方式提供。
7.4 鉴别
在VPN的参与端之间宜提供跨公共IP网络的消息鉴别。鉴别控制宜支持隧道的建立和操作过
程,从而能保证隧道的每一端都与真实的对端(可能是一个远程访问系统)通信且接收的数据来自正确
的并得到授权的源,可采用TePA-EA技术(参见GB/T 15843.3-2016)实现鉴别。
7.5 授权
隧道的建立和操作过程宜得到访问控制的支持,可采用 TePA-AC(参见 GB/T 28455-2010)、
ACL(访问控制列表)等技术,从而能保证隧道的每一端都与得到授权的对端(可能是一个远程接入系
统)通信以及所接收的数据和代码来自已授权的源。
7.6 可用性
隧道及VPN的可用性是支撑性网络基础设施和端点系统可用性的一项功能。抵抗针对隧道机制
的拒绝服务攻击的安全控制设施,宜在任何可能之处被结合使用。
对于特定服务等级的协定,宜检验多种弹性隧道机制进而作为备用。
7.7 隧道端点安全
VPN端点的安全要求宜同样加以考虑。通常每个VPN端点宜确保在主机网络与VPN之间只有
受控的网络数据流。这通常意味着关闭路由以及至少使用包过滤器或防火墙技术。更多细节见9.4.2
(端点安全)和9.4.3(终止点安全)。
8 安全控制
8.1 安全方面
虽然隧道对于普通的网络用户是隐藏的,但并非不可见,因此不是本质上安全的。用于构建隧道的
基本划分过程(划分为虚电路或标签交换通道)或封装过程,在攻击者使用网络分析器或探测器进行确
定性探测时,将不受保护。如果隧道的实现没有使用加密技术,攻击者将能访问其数据流。即使使用了
加密技术,也无法隐藏隧道及其端点。
此外,保护隧道端点免遭未经授权的逻辑或(和)物理访问也可能是不必要的。为实现安全的
VPN,有必要根据组织安全策略和风险承受级别对隧道使用安全控制措施。能否接受这些安全风险取
决于组织的安全策略。
如果保护网络通信节点之间的网络接入安全,则需要提供节点之间的网络接入安全和数据传输安
全保护。网络接入安全包括鉴别接入网络节点的身份合法性和鉴别其平台的可信,数据传输安全包括
保障数据在传输过程中的机密性、完整性和抗重放性等。使用现有的IP安全可信技术,可满足以上要
求,如使用附录A中给出的TISec技术。
注:即使数据被加密了,数据流的出现也可能和通信数据一样重要。例如,如果确定了VPN端点,个人用户的位置
也可以确定,这就可能暴露个人隐私,如果是在执法或者军事行动的情况下,就可能泄露他们的任务。
8.2 虚电路
用于建立下层安全信道的安全控制可使用常规广域电信设施中的虚电路,例如租用线路,它使用帧
中继或ATM等技术。在这些技术中,对于电信操作人员保持私人用户的租用线路设施与所提供的公
共访问互联网服务之间分离的程度而言,其下层网络也是基本安全的。虚电路中使用的技术使通道内
具有一定程度的机密性,但不具有绝对的安全性。在这种传统虚电路上构建的VPN被认为受到损害
的可能性相对较小,因为违规的安全操作或攻击通常需要来自服务提供商的核心网络内部。
9 VPN相关技术
9.1 概述
VPN是使用物理网络的系统资源构建的。例如,通过使用加密和/或穿越真实网络的虚拟网络隧
道链接构建的。
VPN能在其所属组织控制下的专用网内完整实现,也能穿越公共域的网络实现,或能穿越这两种
网络的组合来实现。VPN完全有可能在现有的专用广域网上构建。由于通常可提供成本相对较低的
互联网访问,使得这种公共网络系统逐渐成为很多应用程序中支持广域VPN和远程接入VPN的经济
有效的工具。
另一种方案是,使用穿越互联网服务提供商网络构建的安全通道来建立这种信道。这种情况下,公
共互联网就有效地成为下层传输系统。对于VPN的机密性而言,这意味着更高的不确定性。隧道是
联网设备之间的数据通道,是跨越现有的网络基础设施而建立的。它对正常的网络操作是透明的。在
很多现实场景中,其用法相当于正常的网络连接。在必要时,隧道能根据需要很容易地打开或关闭,而
不必对下层的物理网络基础设施做任何更改。因此,用隧道创建的VPN比基于物理连接的网络更加
灵活。
可使用以下技术创建隧道:
---虚电路;
---标签交换;
---协议封装。
创建为虚电路的隧道,通常作为租用线路在常规的广域网设施中使用包交换技术(例如帧中继或
ATM)建立。这些技术能够确保隧道之间的数据流是分离的。
标签交换是创建隧道的另一种方式。流经一个隧道的所有数据包都被分配一个识别标签。这种标
签能确保将每个具有不同标签的包都从在规定的网络穿越路径中排除。
虽然隧道所使用的技术能保证隧道与下层网络之间的数据流适当分离,但不能满足一般的机密性
要求。如果需要保密,就需要使用加密技术来提供所需的安全级别。
VPN隧道能在OSI模型的不同层上创建。虚电路能够在第2层形成隧道。标签技术允许隧道在
第2层或第3层创建。协议封装技术能在除物理层之外的所有层上使用(多数在第3层及以上层实
施)。
隧道也能够使用协议封装技术来创建,即一个协议的数据单元被包装和承载在另一个协议中。例
如,使用TISec技术中TUE协议的隧道模式或IPSecESP协议的隧道模式来封装IP包,并在插入附加
的IP头后在IP网络上传输。
9.2 法规和法律方面
建议考虑不同的监管或立法机构(包括国家政府部门)规定的,与网络连接和VPN的使用相关的
任何法规或法律安全要求。
需要关注以下方面的法规和/或法律:
---隐私/数据保护;
---密码技术的使用;
---操作风险管理/治理。
9.3 VPN管理方面
在考虑使用VPN时,凡工作职责与VPN相关的人员宜明白业务需求和利益诉求。此外,他们和
所有的VPN使用者还应了解这种连接的安全风险以及相关的控制域。业务需求和利益诉求可能影响
如下过程中的很多决定和行动:考虑VPN连接,识别潜在的控制域,最终的选择、设计、实施和安全控
制的维护。总之,在整个选用VPN的过程中,都需考虑业务需求和利益诉求。
9.4 VPN架构方面
9.4.1 概述
在选择VPN时,宜考虑下列架构方面的因素:
---端点安全;
---终止点安全;
---恶意软件防护;
---鉴别;
---入侵检测与防御系统(IPDS);
---安全网关(包括防火墙);
---网络设计;
---其它连接;
---分离隧道;
---日志审计和网络监控;
---技术漏洞的管理;
---公共网络路由加密。
上述各因素汇总如下。
9.4.2 端点安全
VPN的作用是提供一条安全的、跨越一些网络介质的安全通信信道。但是,在建设VPN时却无法
监控视其数据流的具体内容。若任一端点受到损害,这种损害就可能扩散到穿越VPN的会话。端点
安全不仅适用于设备本身,也适用于这些设备上的应用程序以及与使用VPN相关的规程/物理方面。
为了顺畅地运行端点安全控制,宜尽量减少端点的总数。
一些用于远程接入的端点用户设备(例如移动/远程工作计算设备)可能未受到与VPN相同的管
理控制。这些设备可能被连接到不同的网络,例如,在不同的时间分布接入到互联网和私有网络。这些
网络可能带来额外的风险,宜考虑采取适当的安全控制。例如,使用TISec技术实现网络通信节点间的
安全,通过安全的网络接入和数据传输,获得互联网和企业专用网分时段的控制权来实现。在考虑此类
端点设备的安全时,宜把GB/T 22081中的安全控制考虑在内,包括:
---设备安全;
---抵御恶意和移动代码;
---对设备使用人员进行信息安全意识的培养......
|