【国家标准(GB)】 信息技术 安全技术 IT网络安全 第4部分：远程接入的安全保护

ICS35.020
中华人民共和国国家标准
GB/T25068.4—2010/IS0/IEC18028-4:2005信息技术
安全技术　IT网络安全　
第4部分：远程接入的安全保护
Information technology-Security techniques--IT network security--Part4:Securing remoteaccess
(ISO/IEC18028-4:2005,IDT)
2010-09-02发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
数码防伤
2011-02-01实施
术语和定义
安全要求
远程访问连接类型
远程访问连接技术
通信服务器的访问间
局域网资源的访问·
用于维护的访问·
选择和配置指南··
RAS客户端的保护
RAS服务器的保护
连接的保护
无线安全
组织措施
法律考量·
附录A（资料性附录）远程接人安全策略示例A.1
强制执行
术语和定义
GB/T25068.4—2010/ISO/IEC18028-4:2005次
附录B（资料性附录）RADIUS实施和部署的最佳实践B.1
实施的最佳实践
B.3部署的最佳实践
附录C（资料性附录））
FTP的两种模式
C.1PORT模式FTP
C.2PASV模式FTP
附录D（资料性附录）
安全邮件服务核查表
邮件服务器操作系统核查表
邮件服务器与邮件内容安全核查表20
GB/T25068.4—2010/ISO/IEC18028-4:2005D.3网络基础设施核查表
D.4邮件客户端安全核查表
D.5邮件服务器的安全管理核查表附录E（资料性附录）安全Web服务核查表E.1Web服务器操作系统核查表
E.2安全Web服务器安装与配置核查表E.3Web内容核查表
E.4Web鉴别和加密核查表
E.5网络基础设施核查表
E.6安全Web服务器管理核查表
附录F（资料性附录）
参考文献
无线局域网安全核查表
GB/T25068.4—2010/ISO/IEC18028-4:2005前言
GB/T25068在《信息技术安全技术IT网络安全》总标题下，拟由以下5个部分组成：——第1部分：网络安全管理；
-第2部分：网络安全体系结构；第3部分：使用安全网关的网间通信安全保护；第4部分：远程接人的安全保护；一第5部分：使用虚拟专用网的跨网通信安全保护。本部分为GB/T25068的第4部分。本部分使用翻译法等同采用国际标准ISO/IEC18028-4：2005《信息技术安全技术IT网络安全第4部分：远程接人的安全保护》（英文版）。该国际标准中缺少“规范性引用文件”的章条，为保持与该国际标准编排方式的一致，本部分未添加相应的章条。本部分更正了部分术语（条款2.10中DHCP全称中的“Control”更正为“Configuration”；条款2.28中RADIUS全称中的“Access”更正为“Authentication”；条款2.43中TKIP全称中的“implementation”更正为\integrity”，条款7.2.2中S/MIME全称中的“exchange”更正为“extensions\)。
本部分更正了部分错误（附录E.1中误表示为“行为”的“删除或关闭不必要的服务和应用”和“配置操作系统用户鉴别”更正为“标题”表示形式；附录E.3中的“SSI”更正为“SSL\）。8.4.3中“窃听威胁只能用加密与之对抗”中的“只能”过于绝对，修改为“大多”，为今后技术发展预留了空间。
8.7中增加了使用国家加密标准的规定。本部分的附录A、附录B、附录C、附录D、附录E、附录F为资料性附录。本部分由全国信息安全标准化技术委员会（TC260)提出并归口。本部分起草单位：黑龙江省电子信息产品监督检验院、中国电子技术标准化研究所、哈尔滨工程大学、北京励方华业技术有限公司、山东省标准化研究院。本部分主要起草人：主希忠、黄度、刘亚东、黄俊强、马遥、方舟、主大萌、树彬、张清江、主智、许玉娜、张国印、李健利、冯亚娜、曲家兴、邱益民、王运福。GB/T25068.4—2010/IS0/IEC18028-4:2005引言
在信息技术领域，在组织内部和组织之间使用网络的需求日益增加。因此，安全使用网络的要求必须得到满足。
在远程接人网络领域要求特定措施时，IT安全宜得到适当安排。GB/T25068的本部分为远程接人网络(或使用电子邮件、文件传输，或只是远程工作)提供指南。1范围
GB/T25068.4—2010/ISO/IEC18028-4:2005信息技术安全技术IT网络安全
第4部分：远程接入的安全保护
GB/T25068的本部分规定了安全使用远程接人（使用公共网络将一台计算机远程连接到另一台计算机或某个网络的方法及其IT安全含义）的安全指南。本部分介绍不同类型的远程接人以及使用的协议，讨论与远程接入相关的鉴别问题，并提供安全建立远程接人入时的支持。本部分适用于那些计划使用这种连接或者已经使用这种连接并且需要其要全建立及安全操作方式建议的网络管理员和技术员。
2术语和定义
下列术语和定义适用于本部分。2.1
接入点AccessPointAP
提供从无线网络接入到地面网络的系统。2.2
AdvancedEncryptionStandard;AES高级加密标准
一种对称加密机制。
注：AES提供可变的密钥长度并允许按美国联邦信息处理标准（FIPS)197的规范有效实现。2.3
鉴别authentication
确信实体是其所声称身份的措施。在用户鉴别的情况下，通过所知的东西（例如口令）、拥有的东西(例如令牌)或个人特征(生物特征)识别用户。强鉴别既可以基于强机制(例如生物特征)，也可以利用这些因子中至少两个（称为“多因子鉴别”）。2.4
回叫call-back
一种在收到有效标识符(ID)参数后向预先定义或建议位置(和地址)呼叫的机制。2.5
挑战一握手鉴别协议Challenge-HandshakeAuthenticationProtocol;CHAP一种在RFC1994中定义的3次鉴别协议。2.6
数据加密标准DataEncryptionStandardDES一种众所周知的使用56比特密钥的对称加密机制。因其密钥长度短，DES已被AES取代，但仍在多重加密模式中使用，例如，3DES或三重DES(FIPS46-3）。2.7
非军事区de-militarisedzone;DMZ一种本地网络或站点网络的隔离区，其访问借助防火墙实现的特定策略来控制。DMZ不是内部网络的一部分并被认为不太安全。1
GB/T25068.4—2010/ISO/IEC18028-420052.8
拒绝服务Denial of Service;Dos一种使系统失去可用性的攻击。2.9
Digital SubscriberLine;DSL
数字用户线
一种快速访问本地电信回路网络的技术。2.10
Dynamic HostConfiguration Protocol;DHCP动态主机配置协议）
一种在启动时动态提供IP地址的互联网协议（RFC2131)。2.11
封装安全载荷
Encapsulating SecurityPayload;ESP一种基于IP、对数据提供保密性服务的协议。特别是，ESP将加密作为一种安全服务来提供，以保护IP包的数据内容。ESP是一个互联网标准（RFC2406）。2.12
可扩展鉴别协设
ExtensibleAuthenticationProtocol;EAP一种由远程拨号接入用户鉴别服务（RADIUS)支持并由IETF在RFC2284中标准化的鉴别协议。2.13
义FileTransferProtocol;FTP此内容来自标准下载网
文件传输协设
一种用于在客户端与服务器之间传输文件的互联网标准（RFC959）。2.14
互联网工程任务组InternetEngineeringTaskForce；IETF负责提出和制定互联网技术标准的小组。2.15
互联网消息访问协议第4版InternetMessageAccessProtocolv4；IMAP4一种电子邮件协议，该协议允许访间和管理远程电子邮件服务器上的电子邮件和信箱（在RFC2060中被定义）。
LocalAreaNetwork;LAN
局域网
一种通常在建筑物之内的本地网络。2.17
调制解调器
为将电话协议作为一种计算机协议使用，而将数字信号调制成模拟信号或反向调制（解调)的硬件或软件。
多用途互联网邮件扩展［协议］MultipurposeInternetMailExtensions;MIME一种允许通过电子邮件传输多媒体和二进制数据的方法，在RFC2045至RFC2049中被规范。2.19
网络访问服务器NetworkAccessServer;NAS为远程客户端提供对某基础设施访间的系统（通常是计算机）。2.20
one-timepassword;OTP
一次性口令
一种仅使用一次（因而对抗重放攻击）的口令。2
被动模式Passivemode;PASVmode一种FTP连接建立模式。
GB/T25068.4—2010/ISO/IEC18028-42005口令鉴别协议PasswordAuthenticationProtocol;PAP一种为点对点协议(PPP)提供的鉴别协议（(RFC1334)。个人数字助理E
Personal Digital Assistant;PDA通常指手持式计算机（掌上计算机）。2.24
点对点协议Point-to-PointProtocol;PPP一种在点对点链路上封装网络层协议信息的标准方法。2.25
邮局协议第3版
PostOfficeProtocolv3;POP3
RFC1939中定义的电子邮件协议，该协议允许电子邮件客户端索取存储在电子邮件服务器中的电子邮件。
PrettyGoodPrivacy;PGP
良好隐私保护
一种基于公钥密码、可公开提供的加密软件程序，其消息格式在RFC1991和RFC2440中被规范。2.27
Private Branch Exchange;PBX
用户级交换机
一种通常基于计算机的企业级数字电话交换机。2.28
远程拨号接入用户鉴别服务RemoteAuthenticationDial-inUserService；RADIUS一种用于鉴别远程用户的互联网安全协议（RFC2138和RFC2139）。2.29
RemoteAccessService;RAS
远程接入服务
通常是提供远程接入的硬件和软件。2.30
远程接入
remoteaccess
从安全域的外部对某系统的授权访间。2.31
请求评议RequestforComment；RFC由IETF提出的互联网标准的标识。2.32
安全壳SecureShell;SSH
一种利用不安全的网络提供安全的远程登录的协议。SSH虽为专有，但不久将成为IETF标准。SSH最初由SSH通信安全组开发。2.33
安全套接字SecureSocketsLayer;SSL一种处于网络层与应用层之间、提供客户端和服务器的鉴别及保密性和完整性服务的协议。SSL由Netscape开发，并构成安全传输层（TLS)的基础。3
GB/T25068.4—2010/IS0/IEC18028-4:20052.34
安全多用途互联网邮件扩展Security/MultipurposeInternetMailExtensions;S/MIME一种提供安全多用途邮件交换的协议。注：该协议第3版由5部分组成：RFC3369和RFC3370定义消息句法，RFC2631至RFC2633定义消息规范、证书处理和密钥协定方法。
串行线互联网协议SerialLineInternetProtocol;SLIP一种在RFC1055中被规范的、采用电话线（串行线）传输数据的包成顿协议。2.36
服务集标识符
FServiceSetIdentifier;SSID
一种通常以名字的形式表示的无线接人点标识符。2.37
SimpleMailTransferProtocol;SMTP简单邮件传输协议S
种用于向电子邮件服务器发送电子邮件（外发)的互联网协议（RFC821及其扩展）。2.38
传输层安全协TransportLayerSecurityProtocol；TLSSSL的后继协议，是正式的互联网协议（RFC2246）。2.39
统一资源定位符
UniformResourceLocator;URL
Web服务的地址方案。
Uninterruptible Power Supply;UPS不间断电源
通常是一种基于电池的系统，用于在停电、电压下降和电涌时保护设备。2.41
用户数据报协议UserDatagramProtocol；UDP一种用于无连接通信的互联网联网协议（RFC768）。2.42
虚拟专用网
VirtualPrivateNetwork;VPN
利用共享网络的专用网，例如，基于密码隧道协议运行在另一个网络基础设施上的网络2.43
WiFi保护接入WiFiProtectedAccess;WPA一种为无线通信提供保密性和完整性的安全增强规范。该规范包括临时密钥完整性协议（TKIP)。WPA是有线等效隐私(WEP)的后继协议。2.44
WiredEquivalentPrivacy;WEP
有线等效隐私
一种采用128比特密钥提供流密码加密的密码协议。该协议被定义在GB15629.11一2003（无线局域网规范)中。
无线保真
WirelessFidelity;WiFi
一种WiFi联盟推动使用无线LAN设备的商标。2.46
WirelessLAN;WLAN
无线局域网
一种使用无线电频率的网络。最常用的标准是GB15629.1102一2003和GB15629.1104一2006，4
GB/T25068.4—2010/IS0/IEC18028-4:2005它们利用2.4GHz频段，分别提供可高达11Mbit/s和54Mbit/s的传输速率。3目的
本部分旨在当网络管理员和IT安全主管遇到远程接人安全保护问题时提供指南。它提供各种远程接人类型和技术的信息，并帮助目标读者识别适当的措施来保护远程接人抵御已识别的威胁。它也可能在用户打算从其家庭办公室或在旅途中远程访问他们的办公室时提供帮助。4综述
远程接人使得用户能够从本地计算机登录到远程计算机或计算机网络上，并且就像存在直接的局域网链接那样，使用这些远程资源（见图1)。这里所使用的服务称为远程接人服务（RAS)。RAS确保远程用户能够访问网络资源。
通常，在以下情形中使用RAS：
。链接固定的个人工作站（例如，使得员工能够在家远程办公）；链接移动计算机（例如，支持员工在现场或商务外出时办公）；.
。链接整个局域网（例如，把远地或分支机构的本地网络连接到公司总部的局域网上）；·提供对远程计算机的管理访向（例如，用于远程维护），RAS提供一种在如下场景中连接远程用户的简单方式：远程用户建立与主干网的连接，例如，使用调制解调器经由电话网络。只要需要，这种直接连接可能一直存在，并且能够看作是租用线路，仅在需要时才激活。当使用DSL或者其他适当技术时，该连接也可能是永久的。重要提示：对企业的远程接人宜总是通过远程接人服务器来控制。直接拨号接入计算机意味着会有很多风险，因此宜避免使用。企业里的调制解调器只宜在限定的位置使用。送程应用
公共网络
远程客户端
图1资源的远程接入
建立RAS连接通常需要以下三种组件：远程接入服务器
a）企业网络内的本地网络组件，它提供RAS(即，已安装RAS软件)并且已经准备好接受RAS连接。这种组件称为RAS服务器或访问服务器。b)
已安装RAS软件并发起RAS连接的远程计算机。这种组件称为RAS客户端。远程客户端可能是工作站或移动计算机。
c）在其上建立RAS连接的通信介质。在大多数场景中，RAS客户端使用电信网络建立连接。因此，其最低要求是一条电话线和一个相匹配的调制解调器。根据RAS的体系结构，在服务器端能够使用不同的连接技术。RAS是按照客户端/服务器体系结构实现的：当通过拨打已安装RAS服务器软件的计算机的电话5
GB/T25068.4—2010/ISO/IEC18028-4:2005号码来请求公司的网络资源时，RAS客户端可以配置成能自动建立RAS连接另一种方式是，用户能够手动发起RAS连接。一些操作系统也允许在系统登录后立即激活RAS。客户端系统可以是任何一种计算机[例如膝上型计算机、个人数字助理(PDA)、智能电话]。连接建立之后，客户端系统可以使用各种应用，其中一些可能有安全含义。5安全要求
从安全角度来看，RAS服务器和RAS客户端被认为处于规定的安全策略的控制之下，而通信介质被认为在控制之外并且可能处于敌对的环境中。安全机制关注的风险是未授权的实体（例如个人或者过程)可能：
·获得对RAS客户端的访问；
获得对RAS服务器的访间；
阻止对RAS服务器的访间（拒绝服务）；·窃听RAS客户端与RAS服务器之间交换的信息；修改交换的信息。
对抗这些风险的安全服务包括保密性服务、鉴别服务和访问控制。因此，下列安全自标适用于RAS访间：
鉴别：远程用户必须由RAS系统唯一地识别。每次与本地网络建立连接时，必须通过鉴别机制确定用户的身份。在系统访问情况下，必须使用额外的控制机制，以确保远程用户的系统访问受到适当控制（例如，限制访间次数或只能访问得到允许的远程连接点）。有多种在质量和技术上不同的鉴别用户和过程的方法。最常用但也是最脆弱的方法是使用口令。访问控制：一远程用户已经被鉴别，远程接入服务器必须能够限制用户与网络的交互。为此要求，除了对远程用户的任何特定限制（例如特定的白天时间段、每个用户一个连接)外，还强制对远程用户实施由已授权管理员针对本地网络资源规定的授权和限制。通信安全：在远程接入的本地资源所在之处，用户数据也必须在已建立的RAS连接上传输。通常，适用于本地网络的有关通信保护（保密性、完整性、真实性）的安全要求，对于在RAS连接上传输的数据也必须是可实现的。
然而，RAS通信的保护尤为关键，因为可以使用许多通信介质和协议来进行RAS通信，且一般股不能假定这些通信处于本地网络操作人员的控制之下。可用性：当远程接入用于主流业务活动时，RAS访问的可用性尤其重要。如果RAS访问彻底失败或连接带宽不足，业务过程的通畅性可能受到削弱。通过使用替代的或允余的RAS连接，可以将这种风险降低到一定程度。这种方式尤其适用于以互联网作为通信介质的情况，因为互联网对连接和带宽一般都没有保证。
RAS系统的客户端/服务器体系结构，意味着RAS客户端和RAS服务器都会因为操作环境的类型和使用方式，而面临特定的风险。RAS客户端不必是固定的（例如家庭PC)，但也可能是移动设备（例如膝上型计算机)）。然而，客户端的位置通常不处于局域网操作人员的控制下，所以，必须假定这种环境是不安全的并且暴露于特定威胁，对移动客户端尤其如此。这里特别需要考的威胁包括物理威胁，诸如窃取或损环。RAS服务器通常是远程用户希望登录的局域网的一部分。它们处于局域网操作人员的控制下，并因此能被本地适用的安全措施盖。因为RAS服务器的主要任务是确保只有得到授权的用户才能访问已连接的局域网，所以，RAS服务器面临的威胁宜被看作属于以未授权访问该局域网为目的的攻击范畴。
6远程访问连接类型
客户端与远程局域网中的计算机建立连接有多种方式：6
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。