GB/T 25068.5-2010信息技術(shù)安全技術(shù)IT網(wǎng)絡(luò)安全第5部分：使用虛擬專用網(wǎng)的跨網(wǎng)通信安全保護(hù)

ICS35020

L80.

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T250685—2010/ISO/IEC18028-52006

.:

信息技術(shù)安全技術(shù)IT網(wǎng)絡(luò)安全

第5部分使用虛擬專用網(wǎng)的跨網(wǎng)

:

通信安全保護(hù)

Informationtechnology—Securitytechniques—ITnetworksecurity—

Part5Securincommunicationsacrossnetworksusinvirtualrivatenetworks

:ggp

(ISO/IEC18028-5:2006,IDT)

2010-09-02發(fā)布2011-02-01實(shí)施

中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布

中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T250685—2010/ISO/IEC18028-52006

.:

目次

前言…………………………

Ⅰ

引言…………………………

Ⅱ

范圍………………………

11

規(guī)范性引用文件…………………………

21

術(shù)語(yǔ)和定義………………

31

縮略語(yǔ)……………………

42

綜述…………………

5VPN3

簡(jiǎn)介……………………

5.13

類型………………

5.2VPN3

相關(guān)技術(shù)…………………………

5.3VPN4

安全方面………………

5.45

安全目標(biāo)……………

6VPN5

安全要求……………

7VPN6

保密性…………………

7.16

完整性…………………

7.26

鑒別……………………

7.36

授權(quán)……………………

7.47

可用性…………………

7.57

隧道端點(diǎn)………………

7.67

安全選擇指南……………………

8VPN7

法規(guī)和法律方面………………………

8.17

管理方面…………………………

8.2VPN7

體系結(jié)構(gòu)方面……………………

8.3VPN7

安全實(shí)施指南……………………

9VPN9

管理考量…………………………

9.1VPN9

技術(shù)考量…………………………

9.2VPN9

附錄資料性附錄實(shí)現(xiàn)所使用的技術(shù)和協(xié)議………………

A()VPN11

導(dǎo)言…………………

A.111

第層…………………………

A.22VPN11

第層…………………………

A.33VPN12

高層……………

A.4VPN13

典型協(xié)議安全特點(diǎn)比較………………………

A.5VPN13

參考文獻(xiàn)……………………

15

GB/T250685—2010/ISO/IEC18028-52006

.:

前言

在信息技術(shù)安全技術(shù)網(wǎng)絡(luò)安全總標(biāo)題下擬由以下個(gè)部分組成

GB/T25068《IT》,5:

第部分網(wǎng)絡(luò)安全管理

———1:;

第部分網(wǎng)絡(luò)安全體系結(jié)構(gòu)

———2:;

第部分使用安全網(wǎng)關(guān)的網(wǎng)間通信安全保護(hù)

———3:;

第部分遠(yuǎn)程接入的安全保護(hù)

———4:;

第部分使用虛擬專用網(wǎng)的跨網(wǎng)通信安全保護(hù)

———5:。

本部分為的第部分

GB/T250685。

本部分使用翻譯法等同采用國(guó)際標(biāo)準(zhǔn)信息技術(shù)安全技術(shù)網(wǎng)絡(luò)安全

ISO/IEC18028-5:2006《IT

第部分使用虛擬專用網(wǎng)的跨網(wǎng)通信安全保護(hù)英文版根據(jù)的規(guī)定做了如

5:》()。GB/T1.1—2000,

下一些糾錯(cuò)性和編輯性修改

:

第章中增加了引用文件

———2GB/T17901.1;

原文第章的縮略語(yǔ)對(duì)應(yīng)的全稱中和對(duì)應(yīng)的全稱中

———4NAS“AreaStrong”NCP“Point-to-

是錯(cuò)誤的轉(zhuǎn)換為本部分時(shí)的全稱更正為的全稱

Point”,NAS“NetworkAccessServer”,NCP

更正為另外為使本部分易于理解增加了個(gè)縮略語(yǔ)增加的

“NetworkControlProtocol”。,7,

縮略語(yǔ)在所在頁(yè)邊的空白處用單豎線標(biāo)出

“|”。

中增加了使用國(guó)家加密標(biāo)準(zhǔn)的規(guī)定

———8.1。

這些修改不影響等同采用的一致性程度

。

本部分的附錄為資料性附錄

A。

本部分由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(TC260)。

本部分起草單位黑龍江省電子信息產(chǎn)品監(jiān)督檢驗(yàn)院中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究所哈爾濱工程大

:、、

學(xué)北京勵(lì)方華業(yè)技術(shù)有限公司山東省標(biāo)準(zhǔn)化研究院

、、。

本部分主要起草人王希忠徐鐵黃俊強(qiáng)馬遙方舟王大萌樹(shù)彬張清江王智許玉娜張國(guó)印

:、、、、、、、、、、、

李健利肖鴻江祝宇林劉亞?wèn)|邱意民王運(yùn)福

、、、、、。

Ⅰ

GB/T250685—2010/ISO/IEC18028-52006

.:

引言

通信和信息技術(shù)業(yè)界一直在尋找經(jīng)濟(jì)有效的全面安全解決方案安全的網(wǎng)絡(luò)應(yīng)受到保護(hù)免遭惡

。,

意和無(wú)意的攻擊并且宜滿足業(yè)務(wù)對(duì)信息和服務(wù)的保密性完整性可用性抗抵賴可核查性真實(shí)性和

,、、、、、

可靠性的要求保護(hù)網(wǎng)絡(luò)安全對(duì)于適當(dāng)維護(hù)計(jì)費(fèi)或使用信息的準(zhǔn)確性也是必要的產(chǎn)品的安全保護(hù)能

。。

力對(duì)于全網(wǎng)的安全包括應(yīng)用和服務(wù)是至關(guān)重要的然而當(dāng)更多的產(chǎn)品被組合起來(lái)以提供整體解決

()。,

方案時(shí)互操作性的優(yōu)劣將決定這種解決方案的成功與否安全不僅是對(duì)每種產(chǎn)品或服務(wù)的關(guān)注還必

,。,

須以促進(jìn)全面的端到端安全解決方案中各種安全能力交合的方式來(lái)開(kāi)發(fā)因此的目的

。,GB/T25068

是為網(wǎng)絡(luò)的管理操作和使用及其互連等安全方面提供詳細(xì)指南組織中負(fù)責(zé)一般安全和特定

IT、。IT

網(wǎng)絡(luò)安全的人員應(yīng)能夠調(diào)整中的材料以滿足他們的特定要求的主要目

ITGB/T25068。GB/T25068

標(biāo)如下

:

定義和描述網(wǎng)絡(luò)安全的相關(guān)概念并提供網(wǎng)絡(luò)安全管理指南包括考慮如

———GB/T25068.1,———

何識(shí)別和分析與通信相關(guān)的因素以確立網(wǎng)絡(luò)安全要求還介紹可能的控制領(lǐng)域和特定的技術(shù)

,

領(lǐng)域在的后續(xù)部分中涉及

(GB/T25068);

定義一個(gè)標(biāo)準(zhǔn)的安全體系結(jié)構(gòu)它描述一個(gè)支持規(guī)劃設(shè)計(jì)和實(shí)施網(wǎng)絡(luò)安全的

———GB/T25068.2,、

一致框架

;

定義使用安全網(wǎng)關(guān)保護(hù)網(wǎng)絡(luò)間信息流安全的技術(shù)

———GB/T25068.3;

定義保護(hù)遠(yuǎn)程接入安全的技術(shù)

———GB/T25068.4;

定義對(duì)使用虛擬專用網(wǎng)建立的網(wǎng)絡(luò)間連接進(jìn)行安全保護(hù)的技術(shù)

———GB/T25068.5(VPN)。

與涉及擁有操作或使用網(wǎng)絡(luò)的所有人員相關(guān)除了對(duì)信息安全和或網(wǎng)絡(luò)安

GB/T25068.1、。(IS)/

全及網(wǎng)絡(luò)操作負(fù)有特定責(zé)任的或?qū)M織的全面安全規(guī)劃和安全策略開(kāi)發(fā)負(fù)有責(zé)任的管理者和管理員

,

外還包括高級(jí)管理者和其他非技術(shù)性管理者或用戶

,。

與涉及規(guī)劃設(shè)計(jì)和實(shí)施網(wǎng)絡(luò)安全體系結(jié)構(gòu)方面的所有人員例如網(wǎng)絡(luò)管理者

GB/T25068.2、(IT、

管理員工程師和網(wǎng)絡(luò)安全主管相關(guān)

、IT)。

與涉及詳細(xì)規(guī)劃設(shè)計(jì)和實(shí)施安全網(wǎng)關(guān)的所有人員例如網(wǎng)絡(luò)管理者管理員

GB/T25068.3、(IT、、

工程師和網(wǎng)絡(luò)安全主管相關(guān)

IT)。

與涉及詳細(xì)規(guī)劃設(shè)計(jì)和實(shí)施遠(yuǎn)程接入安全的所有人員例如網(wǎng)絡(luò)管理者管理

GB/T25068.4、(IT、

員工程師和網(wǎng)絡(luò)安全主管相關(guān)

、IT)。

與涉及詳細(xì)規(guī)劃設(shè)計(jì)和實(shí)施安全的所有人員例如網(wǎng)絡(luò)管理者管理員

GB/T25068.5、VPN(IT、、

工程師和網(wǎng)絡(luò)安全主管相關(guān)

IT)。

Ⅱ

GB/T250685—2010/ISO/IEC18028-52006

.:

信息技術(shù)安全技術(shù)IT網(wǎng)絡(luò)安全

第5部分使用虛擬專用網(wǎng)的跨網(wǎng)

:

通信安全保護(hù)

1范圍

的本部分規(guī)定了使用虛擬專用網(wǎng)連接到互聯(lián)網(wǎng)絡(luò)以及將遠(yuǎn)程用戶連接到網(wǎng)絡(luò)

GB/T25068(VPN)

上的安全指南它是根據(jù)中的網(wǎng)絡(luò)管理導(dǎo)則而構(gòu)建的

。ISO/IEC18028-1。

本部分適用于在使用時(shí)負(fù)責(zé)選擇和實(shí)施提供網(wǎng)絡(luò)安全所必需的技術(shù)控制的人員以及負(fù)責(zé)

VPN,

隨后的安全的網(wǎng)絡(luò)監(jiān)控人員

VPN。

本部分提供綜述提出的安全目標(biāo)并概括的安全要求它給出安全的選

VPN,VPN,VPN。VPN

擇實(shí)施以及安全的網(wǎng)絡(luò)監(jiān)控的指南它也提供有關(guān)所使用的典型技術(shù)和協(xié)議的信息

、VPN。VPN。

2規(guī)范性引用文件

下列文件中的條款通過(guò)的本部分的引用而成為本部分的條款凡是注日期的引用文

GB/T25068。

件其隨后所有的修改單不包括勘誤的內(nèi)容或修訂版均不適用于本部分然而鼓勵(lì)根據(jù)本部分達(dá)成

,(),,

協(xié)議的各方研究是否可使用這些文件的最新版本凡是不注日期的引用文件其最新版本適用于本

。,

部分

。

所有部分信息技術(shù)開(kāi)放系統(tǒng)互連基本參考模型

GB/T9387()(ISO/IEC7498,IDT)

信息技術(shù)安全技術(shù)密鑰管理第部分框架

GB/T17901.1—19991: