【GA公共安全标准】 信息安全技术虚拟专用网产品安全技术要求

ICS35.240
中华人民共和国公共安全行业标准GA/T686-—2018
代替GA/T686—2007
信息安全技术
虚拟专用网产品安全技术要求
Information security technologySecurity technical requirements for virtual private network products2018-01-26发布
中华人民共和国公安部
2018-01-26实施
本标准按照GB/T1.1—2009给出的规则起草。GA/T686—2018
本标准代替GA/T686—2007《信息安全技术虚拟专用网安全技术要求》，与GA/T686—2007相比主要变化如下：
删除了标记的要求（见2007年版的5.4）；删除了剩余信息保护的要求（见2007年版的5.10）；删除了隐蔽信道分析的要求（见2007年版的5.11）；删除了可信路径的要求（见2007年版的5.12）；修改了标准名称；
修改了虚拟专用网的定义（见3.1，2007年版的3.1.1）；修改了安全保障要求（见第8章，2007年版的第6章）；增加了访问控制要求（见7.3）；增加了隧道建立要求（见7.5）：增加了NAT穿越要求（见7.6)；
—增加了IPv6环境适应性要求（见7.8）；增加了用户的定义（见3.4）；
修改了等级划分要求，将等级划分为基本级和增强级两级（见9.2、9.3，2007年版的A.2）。本标准由公安部网络安全保卫局提出。本标准由公安部信息系统安全标准化技术委员会归口。本标准起草单位：公安部计算机信息系统安全产品质量监督检验中心、公安部第三研究所。本标准主要起草人：胡维娜、李毅、赵婷、顾玮、沈亮、吴其聪。本标准所代替标准的历次版本发布情况为：GA/T686—2007。
1范围
信息安全技术
虚拟专用网产品安全技术要求
本标准规定了虚拟专用网产品的安全功能要求、安全保障要求和等级划分要求。本标准适用于虚拟专用网产品的设计、开发与测试。2规范性引用文件
GA/T686—2018
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T18336.3—2015信息技术安全技术信息技术安全性评估准则GB/T25069—2010信息安全技术术语3术语和定义
GB/T18336.3—2015和GB/T25069--2010界定的以及下列术语和定义适用于本文件。3.1
virtual private network
虚拟专用网
在公用网络上建立专用网络的技术。在公共的、不可信的通信基础设施上，VPN通过设备间建立安全通信通道来保护两个通信实体间传送的数据的安全。安全通信通道通过使用加密、数字签名、鉴别、认证和访间控制等安全机制建立。3.2下载标准就来标准下载网
tunnel
用于传输协议的封装，在隧道的起点将待传输的原始信息经过封装处理后嵌人目标协议的数据包内，从而在支持目标协议的网络中正常传输。在隧道的终点，从封装的数据包中提取出原始信息，完成隧道两端的正常通信。
internet protocol security
互联网协设安全
由IETF的IPSec工作组提出的，将安全机制引人TCP/IP网络的一系列标准，是一组开放的网络安全协议的总称。IPSec提供了完整性、认证和保密性等安全服务，主要有两种工作方式：隧道模式和传输模式。
4缩略语
下列缩略语适用于本文件。
IETF：互联网工程任务组（InternetEngineeringTaskForce）IPSec：互联网协议安全（InternetProtocolSecurity）IPv6：互联网协议第六版（InternetProtocolVersion6）1
GA/T686—2018
NAT：网络地址转换（NetworkAddressTranslation)TCP/IP：传输控制协议/互联网协议（TransmissionControlProtocol/InternetProtocol）VPN：虚拟专用网（VirtualPrivateNetwork）5虚拟专用网产品描述
VPN产品将若干个专用网络通过公共网络连接起来，使分布在不同地域的专用网络可以通过不可完全信任的公共网络（例如互联网）安全地通信。专用网络的数据经由产品建立的隧道在公共网络中传输。在VPN中，数据在公共网络传输的安全性应由加密技术来保障。VPN产品常用的工作模式有：Site-Site、Host-Site等，图1是VPN产品典型运行环境图。VPN
Site-Site模式
Client
Host-Site模式
6总体说明
安全技术要求分类
网络1
网络2
图1VPN产品典型运行环境图
虚拟专用网产品安全技术要求分为安全功能和安全保障两类。其中，安全功能要求是对VPN产品应具备的安全功能提出具体要求，包括标识和鉴别、安全审计、访问控制、用户数据完整性保护、隧道建立、NAT穿越、密码支持和IPv6环境适应性；安全保障要求针对VPN产品的开发和使用文档的内容提出具体的要求，例如开发、指导性文档、生命周期支持和测试等。6.2安全等级
按照VPN产品安全功能要求强度，以及按照GB/T18336.3一2015，对VPN产品安全等级进行划分。安全等级分为基本级和增强级，安全功能强弱和安全保障要求高低是等级划分的具体依据。安全2
等级突出安全特性。
7安全功能要求
7.1标识和鉴别
7.1.1基本标识
GA/T686—2018
VPN产品应对使用产品功能的用户进行标识。基本标识一般以用户名或用户ID实现。唯一性标识
VPN产品应为用户提供唯一标识，并能将标识与其所有可审计事件相关联。7.1.3身份鉴别
VPN产品应保证任何用户在执行产品的安全功能前都要进行身份鉴别。应通过用户所使用设备的MAC地址或IP地址等对用户进行设备级验证。7.1.4鉴别失败处理
当用户鉴别失败的次数达到或超过某一给定值时，VPN产品安全功能应：a）记录鉴别失败事件；
b）终止该用户的访问；
当用户是远程访问时，切断与相应主机的通信；d)
通知VPN产品的安全管理员。
鉴别信息保护
VPN产品应保证用户的鉴别信息以非明文方式进行存储和传输。7.2
安全审计
7.2.1安全审计数据产生
VPN产品安全功能应为可审计事件生成审计记录。审计记录应包括以下内容：事件的日期和时间，事件的类型，主客体身份，事件的结果（成功或失败）。VPN产品主要的审计事件包括：a）用户鉴别失败事件；
授权用户的一般操作；
VPN隧道的建立和删除；
根据策略，数据包被丢弃事件；用户数据完整性校验失败；
用户数据解密失败。
安全审计查阅
安全审计查阅应满足以下要求：a）审计查阅：为授权用户提供获得和解释审计信息的能力：b）有限审计查阅：禁止具有读访问权限以外的用户读取审计信息；可选审计查阅：具有根据准则来选择要查阅的审计数据的功能，并提供对审计数据进行搜索、c）
分类、排序的能力。
GA/T686—2018
7.2.3安全审计事件存储
安全审计事件存储应满足以下要求：a）审计信息存储在掉电非易失性存储介质中；b）防止审计数据丢失：要求在审计踪迹存储记满时，应采取相应的措施防止审计数据丢失。7.3访问控制
若产品采用Site-Site模式，应支持基于源IP、目的IP、协议或端口、时间进行控制。若产品采用Host-Site模式，应支持基于host端IP、用户进行控制。7.4用户数据完整性保护
7.4.1存储数据的完整性
对存储在VPN安全功能控制范围内的用户数据应提供完整性保护：a）完整性检测：要求VPN安全功能对存储在VPN内的用户数据进行完整性检测，特别是配置文件中的安全参数，应防止未授权访问和修改。可通过加密、数字签名、Hash函数等提供存储数据的完整性保护能力。
b）完整性检测和恢复：在检测到存储在VPN安全功能控制范围内用户数据的完整性错误时，要求VPN安全功能具有相关的恢复机制。7.4.2传输数据的完整性
当数据在VPN内传输时，VPN设备应根据配置文件中预定的规则对数据进行完整性保护。7.5隧道建立
在双方提供鉴别信息后应能成功建立隧道进行数据安全传输。7.6NAT穿越
若是基于IPSec协议的VPN产品应支持NAT穿越。7.7密码支持
产品使用的密码算法应符合国家密码管理的有关规定。7.8IPv6环境适应性
7.8.1纯IPv6环境适应性测试
产品应能够适用于纯IPv6环境。7.8.2IPv4/6双栈环境适应性测试产品应能够适用于IPv4/6双栈环境，7.8.3支持IPv6网络环境下的产品自身管理产品组件（如果有多个组件，包括远程管理终端）间的通讯应支持IPv6及过渡环境。8安全保障要求
8.1开发
8.1.1安全架构
开发者应提供产品安全功能的安全架构描述，安全架构描述应满足以下要求：a）与产品设计文档中对安全功能实施抽象描述的级别一致；b）描述与安全功能要求一致的产品安全功能的安全域：描述产品安全功能初始化过程为何是安全的；d）证实产品安全功能能够防止被破坏；e）证实产品安全功能能够防止安全特性被旁路。8.1.2功能规范
开发者应提供完备的功能规范说明，功能规范说明应满足以下要求：a）完全描述产品的安全功能；
描述所有安全功能接口的目的与使用方法；b）
标识和描述每个安全功能接口相关的所有参数；c
d）描述安全功能接口相关的安全功能实施行为；描述由安全功能实施行为处理而引起的直接错误消息；e）
证实安全功能要求到安全功能接口的追溯；描述安全功能实施过程中，与安全功能接口相关的所有行为；g）
h）描述可能由安全功能接口的调用而引起的所有直接错误消息。8.1.3实现表示
开发者应提供全部安全功能的实现表示，实现表示应满足以下要求a）提供产品设计描述与实现表示实例之间的映射，并证明其一致性；GA/T686-2018
b）按详细级别定义产品安全功能，详细程度达到无须进一步设计就能生成安全功能的程度；c)
以开发人员使用的形式提供。
8.1.4产品设计
开发者应提供产品设计文档，产品设计文档应满足以下要求：a）根据子系统描述产品结构；
b）标识和描述产品安全功能的所有子系统；c
描述安全功能所有子系统间的相互作用；d）提供的映射关系能够证实设计中描述的所有行为能够映射到调用它的安全功能接口；e）根据模块描述安全功能；
提供安全功能子系统到模块间的映射关系；f
描述所有安全功能实现模块，包括其目的及与其他模块间的相互作用；g)
h）描述所有实现模块的安全功能要求相关接口、其他接口的返回值、与其他模块间的相互作用及调用的接口；
i）描述所有安全功能的支撑或相关模块，包括其目的及与其他模块间的相互作用。5
GA/T686-2018
8.2指导性文档
8.2.1操作用户指南
开发者应提供明确和合理的操作用户指南，操作用户指南与为评估而提供的其他所有文档保持一致，对每一种用户角色的描述应满足以下要求：a）描述在安全处理环境中被控制的用户可访问的功能和特权，包含适当的警示信息；b）描述如何以安全的方式使用产品提供的可用接口；c）描述可用功能和接口，尤其是受用户控制的所有安全参数，适当时指明安全值；明确说明与需要执行的用户可访问功能有关的每一种安全相关事件，包括改变安全功能所控d
制实体的安全特性；
标识产品运行的所有可能状态（包括操作导致的失败或者操作性错误），以及它们与维持安全e)
运行之间的因果关系和联系；
f）充分实现安全目的所必须执行的安全策略。8.2.2准备程序
开发者应提供产品及其准备程序，准备程序描述应满足以下要求a）描述与开发者交付程序相一致的安全接收所交付产品必需的所有步骤：b）描述安全安装产品及其运行环境必需的所有步骤。8.3生命周期支持
配置管理能力
开发者的配置管理能力应满足以下要求：a）为产品的不同版本提供唯一的标识；b）使用配置管理系统对组成产品的所有配置项进行维护，并唯一标识配置项；提供配置管理文档，配置管理文档描述用于唯一标识配置项的方法；c
配置管理系统提供一种自动方式来支持产品的生成，通过该方式确保只能对产品的实现表示d)
进行已授权的改变；
配置管理文档包括一个配置管理计划，配置管理计划描述如何使用配置管理系统开发产品，实施的配置管理与配置管理计划相一致：配置管理计划描述用来接受修改过的或新建的作为产品组成部分的配置项的程序。f
配置管理范围
开发者应提供产品配置项列表，并说明配置项的开发著。配置项列表应包含以下内容：a）产品、安全保障要求的评估证据和产品的组成部分；b）实现表示、安全缺陷报告及其解决状态。8.3.3交付程序
开发者应使用一定的交付程序交付产品，并将交付过程文档化。在给用户方交付产品的各版本时交付文档应描述为维护安全所必需的所有程序。8.3.4开发安全
开发者应提供开发安全文档。开发安全文档应描述在产品的开发环境中，为保护产品设计和实现6
的保密性和完整性所必需的所有物理的、程序的、人员的和其他方面的安全措施。8.3.5
5生命周期定义
GA/T686—2018
开发者应建立一个生命周期模型对产品的开发和维护进行的必要控制，并提供生命周期定义文档描述用于开发和维护产品的模型。8.3.6工具和技术
开发者应明确定义用于开发产品的工具，并提供开发工具文档无歧义地定义实现中每个语句的含义和所有依赖于实现的选项的含义。8.4测试
8.4.1覆盖
开发者应提供测试覆盖文档，测试覆盖描述应满足以下要求：a）表明测试文档中所标识的测试与功能规范中所描述的产品的安全功能间的对应性：b）表明上述对应性是完备的，并证实功能规范中的所有安全功能接口都进行了测试。8.4.2深度
开发者应提供测试深度的分析。测试深度分析描述应满足以下要求：a）证实测试文档中的测试与产品设计中的安全功能子系统和实现模块之间的一致性；b）证实产品设计中的所有安全功能子系统、实现模块都已经进行过测试。8.4.3功能测试
开发者应测试产品安全功能，将结果文档化并提供测试文档。测试文档应包括以下内容：测试计划，标识要执行的测试，并描述执行每个测试的方案，这些方案包括对于其他测试结果a)
的任何顺序依赖性；
b）预期的测试结果，表明测试成功后的预期输出；c）实际测试结果和预期的一致性。8.4.4
独立测试
开发者应提供一组与其自测安全功能时使用的同等资源，以用于安全功能的抽样测试。8.5脆弱性评定
基于已标识的潜在脆弱性，产品能够抵抗以下攻击行为：a）具有基本攻击潜力的攻击者的攻击；b）具有增强型基本攻击潜力的攻击者的攻击。9等级划分要求
9.1概述
VPN产品的安全功能要求和安全保障要求划分为基本级和增强级。9.2安全功能要求等级划分
VPN产品的安全功能要求等级划分如表1所示。7
GA/T686—2018
标识和鉴别
安全审计
用户数据完整性保护
IPv6环境适应性
表1VPN产品安全功能要求等级划分表安全功能要求
基本标识
唯一性标识
身份鉴别
鉴别失败处理
鉴别信息保护
安全审计数据产生
安全审计查阅
安全审计事件存储
访问控制
存储数据的完整性
传输数据的完整性
隧道建立
NAT穿越
密码支持
纯IPv6环境适应性测试
IPv4/6双栈环境适应性测试
支持IPv6网络环境下的产品自身管理安全保障要求等级划分
VPN产品的安全保障要求等级划分如表2所示。表2
基本级
7.1.4a)~7.1.4c)
7.2.1a)~7.2.1d)
7.2.2a)7.2.2b)
VPN产品安全保障要求等级划分表安全保障要求
指导性文档
生命周期支持
安全架构
功能规范
实现表示
产品设计
操作用户指南
雁备程序
配置管理能力
配置管理范围
交付程序
开发安全
基本级
8.1.2a)~8.1.2f)
8.1.4a)~8.1.4d)
8.3.1a)~8.3.1c)
增强级
增强级
生命周期支持
安全保障要求
表2（续）
生命周期定义
工具和技术
功能测试
独立测试
脆弱性评定
基本级
GA/T686—2018
增强级
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。