GB/T 25068.5-2010信息技术安全技术IT网络安全第5部分：使用虚拟专用网的跨网通信安全保护

ICS35020

L80.

中华人民共和国国家标准

GB/T250685—2010/ISO/IEC18028-52006

.:

信息技术安全技术IT网络安全

第5部分使用虚拟专用网的跨网

:

通信安全保护

Informationtechnology—Securitytechniques—ITnetworksecurity—

Part5Securincommunicationsacrossnetworksusinvirtualrivatenetworks

:ggp

(ISO/IEC18028-5:2006,IDT)

2010-09-02发布2011-02-01实施

中华人民共和国国家质量监督检验检疫总局发布

中国国家标准化管理委员会

GB/T250685—2010/ISO/IEC18028-52006

.:

目次

前言…………………………

Ⅰ

引言…………………………

Ⅱ

范围………………………

11

规范性引用文件…………………………

21

术语和定义………………

31

缩略语……………………

42

综述…………………

5VPN3

简介……………………

5.13

类型………………

5.2VPN3

相关技术…………………………

5.3VPN4

安全方面………………

5.45

安全目标……………

6VPN5

安全要求……………

7VPN6

保密性…………………

7.16

完整性…………………

7.26

鉴别……………………

7.36

授权……………………

7.47

可用性…………………

7.57

隧道端点………………

7.67

安全选择指南……………………

8VPN7

法规和法律方面………………………

8.17

管理方面…………………………

8.2VPN7

体系结构方面……………………

8.3VPN7

安全实施指南……………………

9VPN9

管理考量…………………………

9.1VPN9

技术考量…………………………

9.2VPN9

附录资料性附录实现所使用的技术和协议………………

A()VPN11

导言…………………

A.111

第层…………………………

A.22VPN11

第层…………………………

A.33VPN12

高层……………

A.4VPN13

典型协议安全特点比较………………………

A.5VPN13

参考文献……………………

15

GB/T250685—2010/ISO/IEC18028-52006

.:

前言

在信息技术安全技术网络安全总标题下拟由以下个部分组成

GB/T25068《IT》,5:

第部分网络安全管理

———1:;

第部分网络安全体系结构

———2:;

第部分使用安全网关的网间通信安全保护

———3:;

第部分远程接入的安全保护

———4:;

第部分使用虚拟专用网的跨网通信安全保护

———5:。

本部分为的第部分

GB/T250685。

本部分使用翻译法等同采用国际标准信息技术安全技术网络安全

ISO/IEC18028-5:2006《IT

第部分使用虚拟专用网的跨网通信安全保护英文版根据的规定做了如

5:》()。GB/T1.1—2000,

下一些纠错性和编辑性修改

:

第章中增加了引用文件

———2GB/T17901.1;

原文第章的缩略语对应的全称中和对应的全称中

———4NAS“AreaStrong”NCP“Point-to-

是错误的转换为本部分时的全称更正为的全称

Point”,NAS“NetworkAccessServer”,NCP

更正为另外为使本部分易于理解增加了个缩略语增加的

“NetworkControlProtocol”。,7,

缩略语在所在页边的空白处用单竖线标出

“|”。

中增加了使用国家加密标准的规定

———8.1。

这些修改不影响等同采用的一致性程度

。

本部分的附录为资料性附录

A。

本部分由全国信息安全标准化技术委员会提出并归口

(TC260)。

本部分起草单位黑龙江省电子信息产品监督检验院中国电子技术标准化研究所哈尔滨工程大

:、、

学北京励方华业技术有限公司山东省标准化研究院

、、。

本部分主要起草人王希忠徐铁黄俊强马遥方舟王大萌树彬张清江王智许玉娜张国印

:、、、、、、、、、、、

李健利肖鸿江祝宇林刘亚东邱意民王运福

、、、、、。

Ⅰ

GB/T250685—2010/ISO/IEC18028-52006

.:

引言

通信和信息技术业界一直在寻找经济有效的全面安全解决方案安全的网络应受到保护免遭恶

。,

意和无意的攻击并且宜满足业务对信息和服务的保密性完整性可用性抗抵赖可核查性真实性和

,、、、、、

可靠性的要求保护网络安全对于适当维护计费或使用信息的准确性也是必要的产品的安全保护能

。。

力对于全网的安全包括应用和服务是至关重要的然而当更多的产品被组合起来以提供整体解决

()。,

方案时互操作性的优劣将决定这种解决方案的成功与否安全不仅是对每种产品或服务的关注还必

,。,

须以促进全面的端到端安全解决方案中各种安全能力交合的方式来开发因此的目的

。,GB/T25068

是为网络的管理操作和使用及其互连等安全方面提供详细指南组织中负责一般安全和特定

IT、。IT

网络安全的人员应能够调整中的材料以满足他们的特定要求的主要目

ITGB/T25068。GB/T25068

标如下

:

定义和描述网络安全的相关概念并提供网络安全管理指南包括考虑如

———GB/T25068.1,———

何识别和分析与通信相关的因素以确立网络安全要求还介绍可能的控制领域和特定的技术

,

领域在的后续部分中涉及

(GB/T25068);

定义一个标准的安全体系结构它描述一个支持规划设计和实施网络安全的

———GB/T25068.2,、

一致框架

;

定义使用安全网关保护网络间信息流安全的技术

———GB/T25068.3;

定义保护远程接入安全的技术

———GB/T25068.4;

定义对使用虚拟专用网建立的网络间连接进行安全保护的技术

———GB/T25068.5(VPN)。

与涉及拥有操作或使用网络的所有人员相关除了对信息安全和或网络安

GB/T25068.1、。(IS)/

全及网络操作负有特定责任的或对组织的全面安全规划和安全策略开发负有责任的管理者和管理员

,

外还包括高级管理者和其他非技术性管理者或用户

,。

与涉及规划设计和实施网络安全体系结构方面的所有人员例如网络管理者

GB/T25068.2、(IT、

管理员工程师和网络安全主管相关

、IT)。

与涉及详细规划设计和实施安全网关的所有人员例如网络管理者管理员

GB/T25068.3、(IT、、

工程师和网络安全主管相关

IT)。

与涉及详细规划设计和实施远程接入安全的所有人员例如网络管理者管理

GB/T25068.4、(IT、

员工程师和网络安全主管相关

、IT)。

与涉及详细规划设计和实施安全的所有人员例如网络管理者管理员

GB/T25068.5、VPN(IT、、

工程师和网络安全主管相关

IT)。

Ⅱ

GB/T250685—2010/ISO/IEC18028-52006

.:

信息技术安全技术IT网络安全

第5部分使用虚拟专用网的跨网

:

通信安全保护

1范围

的本部分规定了使用虚拟专用网连接到互联网络以及将远程用户连接到网络

GB/T25068(VPN)

上的安全指南它是根据中的网络管理导则而构建的

。ISO/IEC18028-1。

本部分适用于在使用时负责选择和实施提供网络安全所必需的技术控制的人员以及负责

VPN,

随后的安全的网络监控人员

VPN。

本部分提供综述提出的安全目标并概括的安全要求它给出安全的选

VPN,VPN,VPN。VPN

择实施以及安全的网络监控的指南它也提供有关所使用的典型技术和协议的信息

、VPN。VPN。

2规范性引用文件

下列文件中的条款通过的本部分的引用而成为本部分的条款凡是注日期的引用文

GB/T25068。

件其随后所有的修改单不包括勘误的内容或修订版均不适用于本部分然而鼓励根据本部分达成

,(),,

协议的各方研究是否可使用这些文件的最新版本凡是不注日期的引用文件其最新版本适用于本

。,

部分

。

所有部分信息技术开放系统互连基本参考模型

GB/T9387()(ISO/IEC7498,IDT)

信息技术安全技术密钥管理第部分框架

GB/T17901.1—19991: