ICS35020

L80.

中華人民共和國國家標準

GB/T250685—2010/ISO/IEC18028-52006

.:

信息技術(shù)安全技術(shù)IT網(wǎng)絡(luò)安全

第5部分使用虛擬專用網(wǎng)的跨網(wǎng)

:

通信安全保護

Informationtechnology—Securitytechniques—ITnetworksecurity—

Part5Securincommunicationsacrossnetworksusinvirtualrivatenetworks

:ggp

(ISO/IEC18028-5:2006,IDT)

2010-09-02發(fā)布2011-02-01實施

中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局發(fā)布

中國國家標準化管理委員會

GB/T250685—2010/ISO/IEC18028-52006

.:

目次

前言…………………………

Ⅰ

引言…………………………

Ⅱ

范圍………………………

11

規(guī)范性引用文件…………………………

21

術(shù)語和定義………………

31

縮略語……………………

42

綜述…………………

5VPN3

簡介……………………

5.13

類型………………

5.2VPN3

相關(guān)技術(shù)…………………………

5.3VPN4

安全方面………………

5.45

安全目標……………

6VPN5

安全要求……………

7VPN6

保密性…………………

7.16

完整性…………………

7.26

鑒別……………………

7.36

授權(quán)……………………

7.47

可用性…………………

7.57

隧道端點………………

7.67

安全選擇指南……………………

8VPN7

法規(guī)和法律方面………………………

8.17

管理方面…………………………

8.2VPN7

體系結(jié)構(gòu)方面……………………

8.3VPN7

安全實施指南……………………

9VPN9

管理考量…………………………

9.1VPN9

技術(shù)考量…………………………

9.2VPN9

附錄資料性附錄實現(xiàn)所使用的技術(shù)和協(xié)議………………

A()VPN11

導言…………………

A.111

第層…………………………

A.22VPN11

第層…………………………

A.33VPN12

高層……………

A.4VPN13

典型協(xié)議安全特點比較………………………

A.5VPN13

參考文獻……………………

15

GB/T250685—2010/ISO/IEC18028-52006

.:

前言

在信息技術(shù)安全技術(shù)網(wǎng)絡(luò)安全總標題下擬由以下個部分組成

GB/T25068《IT》,5:

第部分網(wǎng)絡(luò)安全管理

———1:;

第部分網(wǎng)絡(luò)安全體系結(jié)構(gòu)

———2:;

第部分使用安全網(wǎng)關(guān)的網(wǎng)間通信安全保護

———3:;

第部分遠程接入的安全保護

———4:;

第部分使用虛擬專用網(wǎng)的跨網(wǎng)通信安全保護

———5:。

本部分為的第部分

GB/T250685。

本部分使用翻譯法等同采用國際標準信息技術(shù)安全技術(shù)網(wǎng)絡(luò)安全

ISO/IEC18028-5:2006《IT

第部分使用虛擬專用網(wǎng)的跨網(wǎng)通信安全保護英文版根據(jù)的規(guī)定做了如

5:》()。GB/T1.1—2000,

下一些糾錯性和編輯性修改

:

第章中增加了引用文件

———2GB/T17901.1;

原文第章的縮略語對應的全稱中和對應的全稱中

———4NAS“AreaStrong”NCP“Point-to-

是錯誤的轉(zhuǎn)換為本部分時的全稱更正為的全稱

Point”,NAS“NetworkAccessServer”,NCP

更正為另外為使本部分易于理解增加了個縮略語增加的

“NetworkControlProtocol”。,7,

縮略語在所在頁邊的空白處用單豎線標出

“|”。

中增加了使用國家加密標準的規(guī)定

———8.1。

這些修改不影響等同采用的一致性程度

。

本部分的附錄為資料性附錄

A。

本部分由全國信息安全標準化技術(shù)委員會提出并歸口

(TC260)。

本部分起草單位黑龍江省電子信息產(chǎn)品監(jiān)督檢驗院中國電子技術(shù)標準化研究所哈爾濱工程大

:、、

學北京勵方華業(yè)技術(shù)有限公司山東省標準化研究院

、、。

本部分主要起草人王希忠徐鐵黃俊強馬遙方舟王大萌樹彬張清江王智許玉娜張國印

:、、、、、、、、、、、

李健利肖鴻江祝宇林劉亞東邱意民王運福

、、、、、。

Ⅰ

GB/T250685—2010/ISO/IEC18028-52006

.:

引言

通信和信息技術(shù)業(yè)界一直在尋找經(jīng)濟有效的全面安全解決方案安全的網(wǎng)絡(luò)應受到保護免遭惡

。,

意和無意的攻擊并且宜滿足業(yè)務(wù)對信息和服務(wù)的保密性完整性可用性抗抵賴可核查性真實性和

,、、、、、

可靠性的要求保護網(wǎng)絡(luò)安全對于適當維護計費或使用信息的準確性也是必要的產(chǎn)品的安全保護能

。。

力對于全網(wǎng)的安全包括應用和服務(wù)是至關(guān)重要的然而當更多的產(chǎn)品被組合起來以提供整體解決

()。,

方案時互操作性的優(yōu)劣將決定這種解決方案的成功與否安全不僅是對每種產(chǎn)品或服務(wù)的關(guān)注還必

,。,

須以促進全面的端到端安全解決方案中各種安全能力交合的方式來開發(fā)因此的目的

。,GB/T25068

是為網(wǎng)絡(luò)的管理操作和使用及其互連等安全方面提供詳細指南組織中負責一般安全和特定

IT、。IT

網(wǎng)絡(luò)安全的人員應能夠調(diào)整中的材料以滿足他們的特定要求的主要目

ITGB/T25068。GB/T25068

標如下

:

定義和描述網(wǎng)絡(luò)安全的相關(guān)概念并提供網(wǎng)絡(luò)安全管理指南包括考慮如

———GB/T25068.1,———

何識別和分析與通信相關(guān)的因素以確立網(wǎng)絡(luò)安全要求還介紹可能的控制領(lǐng)域和特定的技術(shù)

,

領(lǐng)域在的后續(xù)部分中涉及

(GB/T25068);

定義一個標準的安全體系結(jié)構(gòu)它描述一個支持規(guī)劃設(shè)計和實施網(wǎng)絡(luò)安全的

———GB/T25068.2,、

一致框架

;

定義使用安全網(wǎng)關(guān)保護網(wǎng)絡(luò)間信息流安全的技術(shù)

———GB/T25068.3;

定義保護遠程接入安全的技術(shù)

———GB/T25068.4;

定義對使用虛擬專用網(wǎng)建立的網(wǎng)絡(luò)間連接進行安全保護的技術(shù)

———GB/T25068.5(VPN)。

與涉及擁有操作或使用網(wǎng)絡(luò)的所有人員相關(guān)除了對信息安全和或網(wǎng)絡(luò)安

GB/T25068.1、。(IS)/

全及網(wǎng)絡(luò)操作負有特定責任的或?qū)M織的全面安全規(guī)劃和安全策略開發(fā)負有責任的管理者和管理員

,

外還包括高級管理者和其他非技術(shù)性管理者或用戶

,。

與涉及規(guī)劃設(shè)計和實施網(wǎng)絡(luò)安全體系結(jié)構(gòu)方面的所有人員例如網(wǎng)絡(luò)管理者

GB/T25068.2、(IT、

管理員工程師和網(wǎng)絡(luò)安全主管相關(guān)

、IT)。

與涉及詳細規(guī)劃設(shè)計和實施安全網(wǎng)關(guān)的所有人員例如網(wǎng)絡(luò)管理者管理員

GB/T25068.3、(IT、、

工程師和網(wǎng)絡(luò)安全主管相關(guān)

IT)。

與涉及詳細規(guī)劃設(shè)計和實施遠程接入安全的所有人員例如網(wǎng)絡(luò)管理者管理

GB/T25068.4、(IT、

員工程師和網(wǎng)絡(luò)安全主管相關(guān)

、IT)。

與涉及詳細規(guī)劃設(shè)計和實施安全的所有人員例如網(wǎng)絡(luò)管理者管理員

GB/T25068.5、VPN(IT、、

工程師和網(wǎng)絡(luò)安全主管相關(guān)

IT)。

Ⅱ

GB/T250685—2010/ISO/IEC18028-52006

.:

信息技術(shù)安全技術(shù)IT網(wǎng)絡(luò)安全

第5部分使用虛擬專用網(wǎng)的跨網(wǎng)

:

通信安全保護

1范圍

的本部分規(guī)定了使用虛擬專用網(wǎng)連接到互聯(lián)網(wǎng)絡(luò)以及將遠程用戶連接到網(wǎng)絡(luò)

GB/T25068(VPN)

上的安全指南它是根據(jù)中的網(wǎng)絡(luò)管理導則而構(gòu)建的

。ISO/IEC18028-1。

本部分適用于在使用時負責選擇和實施提供網(wǎng)絡(luò)安全所必需的技術(shù)控制的人員以及負責

VPN,

隨后的安全的網(wǎng)絡(luò)監(jiān)控人員

VPN。

本部分提供綜述提出的安全目標并概括的安全要求它給出安全的選

VPN,VPN,VPN。VPN

擇實施以及安全的網(wǎng)絡(luò)監(jiān)控的指南它也提供有關(guān)所使用的典型技術(shù)和協(xié)議的信息

、VPN。VPN。

2規(guī)范性引用文件

下列文件中的條款通過的本部分的引用而成為本部分的條款凡是注日期的引用文

GB/T25068。

件其隨后所有的修改單不包括勘誤的內(nèi)容或修訂版均不適用于本部分然而鼓勵根據(jù)本部分達成

,(),,

協(xié)議的各方研究是否可使用這些文件的最新版本凡是不注日期的引用文件其最新版本適用于本

。,

部分

。

所有部分信息技術(shù)開放系統(tǒng)互連基本參考模型

GB/T9387()(ISO/IEC7498,IDT)

信息技術(shù)安全技術(shù)密鑰管理第部分框架

GB/T17901.1—19991: