GAT686-2007信息安全技术虚拟专用网安全技术要求.pdf 41页

'ICS35.040A90中华人民共和国公共安全行业标准GA/T686一2007信息安全技术虚拟专用网安全技术要求Informationsecuritytechnology一TechnicalrequirementsofvirtualPrivatenetworksecurity2007一03一20发布2007一05一01实施中华人民共和国公安部发布 GA/T686一2007目次前言·····························································，···················，，·······························⋯⋯V引言··············································································4·····················，·······，·····⋯⋯U1范围························································4······················································⋯⋯12规范性引用文件·················4···········································································，··⋯⋯13术语、定义和缩略语·····················4·······························，·······································⋯⋯14VPN的一般说明···········································4··················4·································⋯⋯2概述·····················⋯⋯:‘;安全环境········4································，···············，············································⋯⋯24.21安全威胁····································，，···············，·············································⋯⋯24.2.2安全应用假设·············································，··································⋯⋯，.·····⋯⋯35安全功能技术要求···························，，···············，···················..··...................⋯⋯35.1标识和鉴别···················，···················，················，··········································⋯⋯35.1.1用户标识·······················4··············，····，··········，·························.···········......⋯⋯35.1.2用户鉴别····································，·····4··········，······，······································⋯⋯35.1.3鉴别失败处理·····························，···············，，····4·····························⋯⋯，....⋯⋯45.1.4用户一主体绑定····························，····4·································⋯⋯，.········.........⋯⋯45.2安全审计···························································，··········································⋯⋯45.2.1安全审计的响应···························，，···············，······4····.········.........................⋯⋯452.2安全审计数据产生·························································.·····⋯⋯，.··...........⋯⋯45.2.3安全审计分析··································，⋯:············，，······················.··········.......⋯⋯55.2.4安全审计查阅··················，·············，······，················44···············.··.·······........⋯⋯55.2.5安全审计事件存储························，················，·······················...······⋯⋯，..⋯⋯55.26网络环境安全审计与评估··········································································4···⋯⋯55.3通信抗抵赖················································，·····4··············......······..........··....⋯⋯65.3.1抗原发抵赖···················································································....·······..⋯⋯65.32抗接收抵赖··················································，································.....······..⋯⋯65.4标记··········································，，·················，···················4··························⋯⋯65.5自主访问控制···································4·········，·····································....·······..⋯⋯75.6强制访问控制·································，，··············································........··....⋯⋯75.7用户数据存储保护························4·····························...······.....⋯⋯，...............⋯⋯75.8用户数据传输保护·················，·······················································...··一，，......⋯⋯75.8.IVPN内数据传输保护·········，····················································，····...···，·...⋯⋯，⋯75.8.ZVPN向公用网络输出数据的保护·············4····················································，··⋯⋯75.8.3公用网络向VPN输人数据的保护················································，·················⋯⋯85.9用户数据完整性保护·····························································⋯⋯，..............⋯⋯，，二859.1存储数据的完整性·············，····················，，·······························⋯⋯，..····.......⋯⋯85.9.2传输数据的完整性································，·······································.····⋯⋯，，，，.⋯85.93处理数据的完整性·················，····4··············································⋯⋯，·····.....⋯⋯81 GA/T686一2007510剩余信息保护·················111·····························，，，，，··，·····1。········⋯⋯85.1隐蔽信道分析··························································，·····················.........·....⋯⋯85.11一般性的隐蔽信道分析·，·····························，，，······，·······························。·‘·····⋯⋯85·1·2系统化的隐蔽信道分析····················。·········，，，，············································⋯⋯95·1·3彻底化的隐蔽信道分析·····················。。································.....................⋯⋯95.12可信路径·········，···，··············································································，·········⋯⋯95.13密码支持·················4···········，······，，························，·······································⋯⋯96安全保证技术要求···········，········，······，，················，·····················.·⋯⋯，，...........⋯⋯，.⋯96·IvPN安全功能自身安全保护············4················，··，·····，·······································⋯⋯96.1.1安全运行测试·············································，········，，·······，，··························⋯⋯，.961‘2失败保护················································································，，········，，······⋯⋯96卜1.3输出VPN安全功能数据的可用性·············，，，·····，，，，，········································⋯⋯96.1.4输出VPN安全功能数据的保密性·····························，，·····································一106.15输出VPN安全功能数据的完整性111····。··，····，，·····，，，······，，，·，··················一功6.16VPN内VPN安全功能数据传输··································································⋯⋯106.1.7物理安全保护··········································，，······，，，，·····················.................⋯⋯106.1.8可信恢复·····································································4·····························⋯⋯106.1.9重放检测··········，························································································⋯⋯n6.1.10参照仲裁······，，，········，·············································································⋯⋯16.1.1域分离····································4···················，········，···················，·············⋯⋯161.12状态同步协议·，·········，····················································4············，······......⋯⋯161.13时间戳·········，·，········，·········，，··············，············································444···⋯⋯n6.1.14数据一致性···44········4·，·······················‘··，，，······，，·······，，·······························⋯⋯H6.1.15安全功能检测··4········4·········4·，···············，，·，·······，········，······························⋯⋯16‘1.16资源利用···························，··················，，，··············································⋯⋯16117VPN安全设施访问控制·····························，，·，，·····，，，，··········⋯⋯，⋯⋯，卜卜‘..⋯⋯126.118可信路径/信道，，········，······11·········，，，，，，，·，，，，，，·························⋯⋯126.ZVPN设计和实现···············。。。····················，·，··，，，，，，，，，····························...·.⋯⋯13621配置管理································································································44·⋯⋯1362.2分发和操作·····················································，·，········································⋯⋯146.23开发·················，·······································，·······························.··········，····⋯⋯1462.4指导性文档································································································⋯⋯巧6.2.5生命周期支持4········，，·········，，··········，··········，，，·········································.····⋯⋯166.2.6测试································4·4·······44············，，·········，··················，，·······，········⋯⋯1762.7脆弱性评定·，···············，··································································4··，·，······⋯⋯186.3VPN安全设施安全管理···，················4··········，，，，·················，····························⋯⋯196卜31功能管理··················································，··················································一”63.2安全属性的管理············································，，，，··········································⋯⋯”63.3VPN安全功能数据的管理·······‘······················，，······，，···································⋯⋯1963.4安全角色管理···，····，·····························，·············，·，····················一196.3.5时限授权·······················“····‘·····························。··········。。······‘·‘·····⋯⋯206.36撤销······，·····················································，，··········································⋯⋯207VPN安全保护等级划分要求······························，，，，，·，·······································⋯⋯20盯 GA/T686一20077.1第一级:用户自主保护级······························，········，·········································⋯⋯207.1.1安全功能技术要求················································，·················4····················⋯⋯207.1.2安全保证技术要求·‘····。······························································4·····，···········⋯⋯2072第二级:系统审计保护级············，，，··，·····················，，，···················，·····，·，·········⋯⋯2172.1安全功能技术要求···············································，，，，·····················，，，·，··········⋯⋯217.2.2安全保证技术要求······················································································⋯⋯27.3第三级:安全标记保护级····························································，····················⋯⋯237.31安全功能技术要求················································444··············4············4·4······⋯⋯237，3.2安全保证技术要求············，，············4·‘·····。··················“································⋯⋯247.4第四级:结构化保护级··········4，，，，····，，·······················，，····················，，·····，··········⋯⋯257.4.1安全功能技术要求·······················，，，····，·················，，，······················，，············⋯⋯257.4.2安全保证技术要求··········，·······································，·························，··········⋯⋯267.5第五级:访问验证保护级····························，·················。·························⋯⋯‘··⋯⋯287.5，1安全功能技术要求·······················，，······························································⋯⋯287，5.2安全保证技术要求································11，·······，······11······。··········，，·····⋯⋯29附录A(资料性附录)标准概念说明····，，························，·····，········，，···················‘·····⋯⋯31A.1组成与相互关系··，·································································，·····················⋯⋯31A.ZvPN安全等级的划分··········································，，·····················，··················⋯⋯31A.3关于vPN中的主体与客体················，······················，·，·······，··········，·，···············⋯⋯3A4关于VPN中的安全设施、安全功能和安全功能策略·················4···········，，···，··········⋯⋯33A.5关于密码技术，，，，二·1·········，，，，，，··二。。·1········，，，，，，·二·。········，·，，，，，，，，············一34参考文献···················，························································································⋯⋯35 GA/T686一2007月U吕本标准从信息技术方面详细规定了各安全保护级别的VPN系统所应具有的安全功能要求和安全保证要求。本标准的附录A为资料性附录。本标准由公安部公共信息网络安全监察局提出。本标准由公安部信息系统安全标准化技术委员会归口。本标准起草单位:中国科学院研究生院信息安全国家重点实验室本标准主要起草人:荆继武、冯登国、夏鲁宁、聂晓峰、黄敏、王琼霄、许良玉、高能、林碌锵、吕欣、廖洪变。 GA/T686一2007引言本标准用以指导设计者如何设计和实现具有所需要的安全等级的虚拟专用网产品，主要从对虚拟专用网的安全保护等级进行划分的角度来说明其技术要求，即主要说明为实现GB17859一1999中每一个安全保护等级的安全要求对虚拟专用网应采取的安全技术措施，以及各安全技术要求在不同安全保护等级中具体实现上的差异。本标准对虚拟专用网系统安全等级保护所涉及的安全功能技术要求和安全保证技术要求做了比较全面的描述，按GB17859一1999五个安全保护等级的划分，对每一个安全保护等级的安全功能技术要求和安全保证技术要求做了详细描述。文中每一级别比上一级别新增的要求以加粗字表示 GA/T686一2007信息安全技术虚拟专用网安全技术要求范围本标准规定了按GB17859一1999对虚拟专用网进行安全等级保护划分所需要的详细技术要求本标准适用于按GB17859一1999的安全等级保护要求所进行的虚拟专用网的设计和实现。GB17859一1999安全等级保护的要求对虚拟专用网进行的测试、管理也可参照使用。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是标注日期的引用文件，其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。GB17859一1999计算机信息系统安全保护等级划分准则GB/T1836.1一2。。1信息技术安全技术信息技术安全性评估准则第1部分:简介和一般模型3术语、定义和缩略语3.1术语和定义GB17859一1999和GB/T183361一2001确立的以及下列术语、定义适用于本标准。3，，.1虚拟专用网vlrtualprivatenetwork;vPN虚拟专用网，又称虚拟私人网络。VPN是一门网络技术，它为我们提供了一种像使用安全专用网络一样使用公用网络(例如互联网)的能力。在公共的、不可信的通信基础设施上，VPN通过设备间建立安全通信通道来保护两个通信实体间传送的数据的安全。安全通信通道通过使用加密、数字签名、鉴别、认证和访问控制等安全机制建立。安全通信通道可以建立在局域网、城域网、私有广域网和公用广域网(例如互联网)之上。3.1。2VpN安全设施trustedcomputingbase(TcB)orvpN在VPN中，vPN安全设施是VPN中保护装置的总称，包括硬件、固件、软件和负责执行安全策略的组合体。它建立一个基本的保护环境，并提供VPN所要求的附加服务。VPN中，VPN安全设施是一个物理上分散，逻辑上统一的分布式安全设施。3.1.3VpN安全功能策略TCB，ecurlty加nctionpolicyofvpN对VPN安全设施中的资源进行管理、保护和分配的一组规则。VPN安全功能策略构成一个安全域，以防止不可信主体的干扰和篡改。一个VPN安全设施可以有一个或多个安全功能策略。3。1.4VpN安全功能TCBsecurityfunctionorVPN正确实施VPN安全功能策略的全部硬件、固件、软件所提供的功能。每一个安全功能策略的实现，组成一个安全功能模块。一个VPN安全设施的所有安全功能模块共同组成该VPN安全设施的安1 GA/T686一2007全功能。实现VPN安全功能有两种方法，一种是设置前端过滤器，另一种是设置访问监督器。两者都是在一定硬件基础上通过软件实现确定的安全策略，并提供所要求的附加服务。3.1.5隧道tunnel在隧道的起点将待传输的原始信息经过封装处理后嵌人另一种协议的数据包内，而后像普通数据包一样在网络中进行传输。在隧道的终点，从封装的数据包中提取出原始信息。能够实现隧道技术的协议主要有LZTP、GRE、IPseC和MPI名等3.1.6互联网协议安全协议internetp，tocolsecurity;Ipsec互联网协议安全协议是由IETF的IPse。工作组提出的，将安全机制引人TCP/IP网络的一系列标准，是一组开放的网络安全协议的总称。主要有认证头协议(AH)、封装安全载荷协议(ESP)和互联网密钥交换协议(IKE)。还有两个重要的策略数据结构:安全关联数据库(SAD)和安全策略数据库(sPD)。IPSe。提供了完整性、认证和机密性等安全服务，主要有两种工作方式:隧道模式和传输模式。3.2缩略语下列缩略语适用于本标准。AH认证头协议AuthenticationHeaderATM异步传输模式AsynchronousTransfe:ModeESp封装安全载荷协议Encapsulatingsecuritypayload(;RE路由封装协议GenericRoutingEncapsulationIETF互联网工程任务组InternetEngineeringTaskForceIKE互联网密钥交换协议InternetKeyExchangeIPSec互联网协议安全协议InternetProtocolsecurityIZTp第二层隧道协议LayerZTuonelingprotocolMpIS多协议标记交换协议Multi一propocollabelswitchingSAD安全关联数据库SecurityAssociationDatabaseSpD安全策略数据库securitypolicyDatabaseTCP/IP传输控制协议/互联网协议TransmissionControlProtocol/InternetProtocolVPDN虚拟专用拨号网VirtualPrivateDialupNetworksVPN虚拟专用网VirtualPrivateNetwork4VPN的一般说明4.1概述vPN通过vPN设备将若干个专用网络与公共网络连接起来，使分布在不同地方的专用网络在不可完全信任的公共网络(例如互联网)上安全地通信，专用网络的数据经由隧道在公共网络中传输。按组网方式，VPN可分为远程访问VPN(RemoteAcces，VPN)、企业内部VPN(IntranetVPN)和扩展的企业内部VPN(ExtranetVPN)。远程访问虚拟专网也称为虚拟专用拨号网。VPN传输所使用的公用网络并不一定是IP网络，也可以是帧中继、ATM等，构建在使用IP协议的公用网络如互联网之上的VPN也常被称为IP一VPN。在VPN中，数据在公共网络传输的安全性应由加密技术来保障。用于实现vPN技术的协议主要包括LZTP、GRE、IPsec和MPLs等。4.2安全环境4.2.1安全威胁VPN面临的安全威胁主要包括:2 GA/T686一2007a)授权用户可能有意或无意地访问或修改未授权信息，使用未经允许的资源或向没有相关权限的人员或组织泄漏敏感数据。b)审计记录容量有限造成有效审计记录的丢失;审计记录未按照发生时间记录，导致无效的审计记录分析结果。c)VPN系统设计或结构允许绕过安全机制，而这种机制可能被不恰当的使用。d)操作程序不充分或没有完全实施导致对信息的未授权访问或修改以及资源的不恰当使用。e)授权用户、系统管理员或安全管理员可能有意或无意地经由隐蔽信道向未授权用户发送信息，而这些信息未授权用户原本并无权读取。f)未授权用户为了访问或修改信息，使用系统资源而绕过鉴别认证机制。攻击策略包括对密钥猜测、密钥窃取、口令扫描，重放和IP地址欺骗或人侵已建立的合法会话过程。9)有多个出人本地网络的数据通道，从而可以绕过预定的安全功能。h)管理员可能没有始终一致或正确地解释安全策略，这可能导致违背预定的安全策略。1)未授权用户伪装成授权用户对审计信息进行删除、修改，停止审计记录继续记录。j)有意或者无意的设计缺陷和实现缺陷有可能被恶意用户利用，来实现他们的恶意目的。k)对VPN安全功能的不充分测试可能导致VPN系统潜在的安全漏洞没有被发现。1)未授权用户可能利用VPN系统资源中遗留下来授权用户的遗留信息，伪装成授权用户，进行未授权访问。m)恶意用户有可能用尽系统资源，造成拒绝服务攻击。4.2.2安全应用假设VPN安全应用假设主要包括:a)VPN中有专门的授权用户对VPN进行管理。他们被给予充分的信任。但为防止误操作造成的损失，应视需要增加一些约束b)VPN文件和配置参数等数据的备份操作与安全策略是一致的。在发生系统故障或受到安全威胁时，这些备份能够恢复VPN的操作。备份对用户是透明的，并按照安全策略自动执行。c)实施VPN的环境是物理安全的，例如安装VPN的机房的消防措施，VPN设备的防盗防毁等，都能保障整个VPN的环境的物理安全d)VPN的所有授权用户受过适当的培训，应尽其能力准确地实施已制定的安全策略。e)VPN通过公共网络进行互连，其中的路由器，通信线路能够正确地没有改动地传送数据。f)在vPN设备上没有安装通用目的的计算或者储存能力(例如编译器、编辑器、用户应用程序等)，不考虑它们将可能给VPN带来的安全问题。5安全功能技术要求5.1标识和鉴别5.1.1用户标识5.1.11基本标识在用户对VPN资源访问之前，VPN安全功能应对用户进行基本标识。基本标识一般以用户名或用户ID实现。口令的存储和传输应得到保护。5.1.1.2唯一性标识应确保所标识用户在VPN系统生命周期内的唯一性，并将用户标识与审计相关联。5.1.2用户鉴别5.1.2.1动作前鉴别VPN安全功能应在允许任何代表该用户的其他VPN安全功能促成的动作之前，应对该用户的身份进行成功的鉴别。应通过用户所使用设备的MAC地址或IP地址等对用户进行设备级验证。只 GA/T6B6一20075.12.2同步鉴别VPN安全功能应允许用户在被鉴别之前以该用户名义实施由VPN安全功能促成的某些动作。这些动作用来确定鉴别自己的条件(如生成口令)。除了这些动作以外，用户在实施其他动作之前，都应先鉴别用户的身份5.1.23不可伪造鉴别VPN安全功能应具有相关的安全机制能检测出已经丢弃的或复制的鉴别数据的重放操作。能检测或防止由任何别的用户伪造的鉴别数据，同时应检测或防止当前用户从任何其他用户处复制的鉴别数据的使用。在远程访问VPN中，应确保远程用户的鉴别信息具有加密、完整性保护和具有抗重播的:旨育2.4一次性使用鉴别VPN安全功能应能提供一次性使用鉴别数据操作的鉴别机制，防止与已标识过的鉴别机制有关的鉴别数据的重用5.1.2.5多鉴别机制除口令鉴别机制外，VPN安全功能应提供基于智能卡、人体生物特征(指纹、视网膜、声音)等特殊信息进行的身份鉴别以及预共享密钥、公共密钥加密和数字证书等多种鉴别机制来进行身份鉴别。512.6皿新鉴别VPN安全功能应规定需要重新鉴别用户的事件，如VPN隧道的重新建立，VPN一些资源的重新启动、用户长时间未访问资源或VPN隧道在一定时间内没有数据包的传送等。发生相关的事件后，应对用户进行重新鉴别5.1.3鉴别失败处理当对用户鉴别失败的次数达到或超过某一给定值时。VPN安全功能应:a)记录鉴别错误事件;b)通知VPN的安全管理员;c)终止该用户的访问;d)当用户是远程访问时，切断与相应主机的通信。5.1.4用户一主体娜定对VPN系统中一个已标识和鉴别的用户，为了完成某个任务，需要激活另一个主体〔如进程)，这时，应通过用户一主体绑定将该用户与该主体相关联，应把该用户的身份与其所有可审计行为(如用户的登陆时间，登陆失败的次数等)相关联。52安全审计5.2.1安全审计的响应当检测到可能的安全侵害事件时，VPN系统应:a)将审计数据记人审计日志;b)生成实时报警信息;c)终止违例进程;d)取消当前的服务，断开当前用户账号，并使其失效。VPN隧道终止，相关的安全关联参数失效，需重新建立。5.2.2安全审计数据产生VPN安全功能应为可审计事件生成审计记录。审计记录应包括以下内容:事件的日期和时间，事件的类型，主客体身份，事件的结果(成功或失败)。审计数据应易于理解，不被末授权修改。VPN主要的审计事件包括:a)审计功能的启用和关闭;b)用户鉴别失败事件;4 GA/T686一2007C)授权用户的一般操作;d)系统管理员、系统安全员、审计员和一般操作员所实施的操作;e)vPN隧道的建立和删除;f)连续的对同一VPN隧道的建立和删除;9)用户数据完整性校验失败;h)用户数据解密失败;1)根据策略，数据包被丢弃事件;j)审计日志存储失败;在利用IPSec实现的VPN中，审计事件还应包括:k)对VPN安全策略数据库的修改;1)对VPN安全关联数据库的修改。5.23安全审计分析a)潜在侵害分析:VPN安全功能应提供一系列规则去监控审计事件，并根据这些规则指出VPN系统的潜在威胁;b)基于异常检测的描述:通过对审计历史的记录，VPN安全功能应维护与每个用户相对应的质疑等级，当用户的质疑等级超出某一门限时，VPN安全功能应指出即将发生的安全威胁;c)简单攻击探测:VPN安全功能对有侵害性的系统事件进行分组，并做相应的描述，当检测到侵害性事件与上述组中的相应描述相匹配时，指出一个对VPN系统攻击的到来;d)复杂攻击探测:在简单攻击探测的基础上，VPN安全功能应能检测到多步人侵情况，并能根据已知的事件序列模拟出完整的人侵情况，还应指出发现对VPN安全功能的潜在侵害的签名事件或事件序列的时间。5.2.4安全审计查阅安全审计查阅工具应其有:a)审计查阅:VPN安全功能应为授权用户提供获得和解释审计信息的能力当用户是人时，应以人类可懂的方式表示信息;当用户是外部IT实体时，应以电子方式无歧义地表示审计信息。b)有限审计查阅:在审计查阅的基础上，审计查阅工具应不准许具有读访问权限以外的用户读取审计信息。c)可选审计查阅:在上述有限审计查阅的基础上，审计查阅工具应具有根据准则来选择要查阅的审计数据的功能，并根据某种逻辑关系的标准提供对审计数据进行搜索、分类、排序的能力。5.2.5安全审计事件存储应具有以下创建并维护安全的审计踪迹记录的能力:a)受保护的审计踪迹存储:审计踪迹的存储应受到保护，能检测或防止对VPN系统审计记录的修改;b)确保审计数据的可用性:在意外情况出现时，VPN安全功能能检测或防止对审计记录的修改，以及在发生审计存储已满、存储失败或存储受到攻击时，确保审计记录不被破坏;c)审计数据可能丢失情况下的措施:当审计跟踪超过预定的门限时，应采取相应的措施，进行审计数据可能丢失情况的处理;山防止审计数据丢失:在审计踪迹存储记满时，应采取相应的防止审计数据丢失的措施，可选择“忽略可审计事件”、“阻止除具有特殊权限外的其他用户产生可审计事件”、“覆盖已存储的最老的审计记录”和“一旦审计存储失败所采取的其他行动”等措施，防止审计数据丢失。5.2.6网络环境安全审计与评估应建立由安全审计服务器和分布在VPN各个运行节点的审计代理程序组成的分布式安全审计系统，统一进行管理和控制，实现分布式的审计系统。 GA/T686一2007在网络环境运行的计算机信息系统，VPN安全功能应采用以下措施进行安全审计与评估:a)建立由安全审计中心(安全审计服务器)和分布在网络各个运行节点的审计代理程序组成的分布式安全审计系统，实现网络环境计算机信息系统安全审计与评估;h)安全审计代理程序为安全审计服务器提供审计数据;c)安全审计服务器实时收集各安全代理程序的审计信息，并进行记录分析与保存;d)设置跨平台的安全审计机制，对安全事件快速进行评估并做出响应，向管理人员提供各种能反映系统使用情况、出现的可疑迹象、运行中发生的问题等有价值的统计和分析信息;e)运用统计方法学和审计评估机制，给出智能化审计报告及趋向报告，达到综合评估系统安全现状的目的53通值抗抵赖5.31抗原发抵赖抗原发抵赖确保信息的发起者不能否认曾经发送过信息。VPN安全功能应提供一种方法，确保接收信息的主体在数据交换期间获得了证明信息原发的证据此证据可由该接收主体或第三方主体验证。例如采用IKE协商安全参数时，在协商的两个阶段交换的消息中都应提供抗原发抵赖。可通过预共享密钥、公钥加密或数字签名等手段提供抗原发抵赖。抗原发抵赖分为:a)选择性原发证明，在接收到请求时，VPN安全功能应具有提供原发信息证据的能力;b)强制原发证明，VPN安全功能应在任何时候都能对传送信息产生原发证据。5.3.2抗接收抵赖抗接收抵赖确保信息的接收者不能否认对信息的接收。VPN安全功能应提供一种方法来确保发送信息的主体在数据交换期间获得了证明信息接收的证据，此证据可由该发送主体或第三方主体验证例如采用IKE协商安全参数时，在协商的两个阶段交换的消息中都应提供抗接收抵赖可通过预共享密钥、公钥加密或数字签名等手段提供抗接收抵赖。抗接收抵赖分为:a)选择性接收证明，在接收到请求时，VPN安全功能应具有提供接收信息证据的能力;b)强制接收证明，VPN安全功能应在任何时候都能对接收信息产生证据。5.4标记应为VPN系统中的主体和客体指定敏感标记。对于通过VPN的各种数据包类型，可在配置文件中通过以下条目为其指定敏感标记和策略，包括:—数据包的源IP地址或掩码;一一数据包的目的IP地址或掩码;—传输层协议类型;_一源端口;—目的端口;—数据敏感等级;—处理方法。其中数据敏感等级可包括普通、秘密、机密和绝密级别。处理方法包括丢弃、直接转发、加密保护、完整性保护等。使用IPSec来实现VPN时，上述通过VPN的各种数据包的敏感标记存储在安全策略数据库中同时当数据包需要实施安全保护时，需要在安全关联数据库中建立相应的安全关联条目，安全关联数据库中的每一个条目标记一条单向的隧道。安全关联数据库中每个条目至少应包括以下内容:—32比特安全参数索引;—IPseC协议类型;6 GA/T686一2007—32比特序号计数器;—序号计数器溢出标志;—抗重播窗口;—密码算法及密钥;一一安全关联的生存期;一一IPsec协议的模式;--一网络最大传输单元参数。5.5自主访问控制在VPN系统中，常用的自主访问控制策略为访问控制表(ACI)访问控制，包括目录表访问控制、存取控制表访问控制、访问控制矩阵访问控制、能力表访问控制等。a)VPN系统的资源都应预先标出一组安全属性，用户对VPN资源的访问权限对应一张访问控制表，用以表明用户对VPN资源的访问能力。对于配置文件(如安全策略数据库和安全关联数据库)以及密钥等重要数据，只有VPN安全管理员才允许访问。当VPN是基于某一具体的操作系统时，可借助操作系统的自主访问控制机制。没有存取权的用户只允许由授权用户指定对客体的访问权。对于VPN普通用户，应以组为单位规定对VPN用户的资源访问控制策略;对于VPN系统用户，其访问控制粒度应细化为单个用户。b)自主访问控制还应与身份鉴别和审计相结合，通过确认用户的身份和记录用户对客体访问情况，使用户对自己的行为承担明确的责任。c)VPN安全功能应控制访问权限扩散。应规定以下权限:VPN数据的查看、添加、删除、隐含、共享、属性修改，以及对文件和目录的查看、执行、添加、删除、隐含、共享、属性修改等。d)应将自主访问控制扩展到所有主体与客体，并要求为侮个命名主体指定用户名和用户组，以及规定他们对客体的访问模式。5.6强制访问控制在VPN系统中，强制访问控制策略包括基于规则的策略，常用的为多级安全模型。按需要为VPN系统强制访问控制策略指出控制范围，包括策略控制下的主体、客体，及由策略覆盖的被控制的主体与客体间的操作。该模型通过分配给每个目标一个密级来操作。要求:a)由系统管理员、系统安全员和系统审计员分别担任系统的常规管理、与安全有关的管理以及审计管理等三个角色，应相互制约，防止权限过于集中。与强制访问有关的数据或信息应由相应的管理员进行管理。h)根据为VPN系统中主体与它能够访问的所有资源(包括:主体、存储客体和输人输出资源)指定的敏感标记，VPN安全功能应根据相应的安全策略，如多级安全策略，为系统中的用户指定访问权限，实施强制访问控制c)VPN安全功能应根据为用户指定的敏感标记，控制用户对网络资源的访问。d)所有主体对客体的直接或间接的访问应满足下读上写原则。5.7用户数据存储保护应对VPN系统中存储的用户数据进行保护，以避免用户未授权访问。5.8用户数据传输保护5.8.IVPN内数据传输保护当数据在VPN内传输时，VPN设备应根据预定的配置文件伪几安全策略数据库)中定义的规则对数据进行保护。5.8.ZVPN向公用网络输出数据的保护当数据从VPN向公用网络输出数据时，VPN安全功能应根据预先在配置文件(如安全策略数据库)中对输出数据类型的安全属性设定的策略和敏感标记，确定是否需要加密等保护或直接转发、丢弃等。 GA/T686一200758.3公用网络向VPN输入数据的保护数据从公用网络向VPN输人时，VPN安全功能应根据预先在配置文件(如安全策略数据库)中对输人数据类型所设定的敏感标记和策略进行处理，当是加密的隧道数据时，应从隧道中提取原始数据并进行解密，并将数据转发至专用网内正确的目的主机中。59用户数据完整性保护5.9.1存储数据的完整性对存储在VPN安全功能控制范围内的用户数据应提供完整性保护a)完整性检测:VPN安全功能应对存储在VPN内的用户数据进行完整性检测，特别是配置文件(如安全关联数据库)中的安全参数，应防止未授权访问和修改。可通过加密、数字签名、Hash函数等提供存储数据的完整性保护能力。b)完整性检测和恢复:在检测到存储在VPN安全功能控制范围内用户数据的完整性错误时，VPN安全功能应具有相关的恢复机制。5.9.2传输数据的完整性对用户数据在VPN系统中传输时应提供完整性保护。a)完整性检测:当数据在vPN内传输时，vPN设备应根据配置文件(如安全策略数据库)中预定的规则对数据进行完整性保护。在使用IPsec实现的VPN中，当未建立隧道时，通过手工设定密钥及安全关联参数，或者通过玩ternet密钥交换协议(IKE)动态协商密钥及安全关联参数。根据协商的密钥等参数对数据进行完整性保护。可以依据RFC24o9和RFc24oZ的认证头协议AH进行具体实现。b)数据交换恢复:对于检测到传输数据的完整性被破坏时.VPN安全功能具有相应的恢复机制，恢复其完整性。5.9.3处理数据的完整性应对VPN处理中的数据提供完整性保护，在各种异常情况或出现操作错误的情况下应具有回退的功能。a)基本回退，VPN安全功能应执行访问控制VPN安全功能策略，以允许对客体列表上的指定操作的回退，并允许在回退可以实施的范围内进行回退操作;b)高级回退，VPN安全功能应执行访问控制VPN安全功能策略，以允许对客体列表上的所有操作的回退，并允许在回退可以实施的范围内进行回退操作5.10剩余信息保护在VPN中，为了防止重放攻击，VPN安全功能应确保对所有客体分配资源时，使该资源任何以前的信息内容不再使用，并且新生成的客体确实不包含不应被访问的信息。例如VPN安全功能应确保在用户数据包被转发后没有剩余信息。IPsec实现的VPN中，使用IKE动态协商安全参数时，对于某条隧道，若隧道被终止使用，则应确保该隧道原有的安全关联参数不再被使用。隧道重新建立时应重新启动IKE进行参数的协商。a)子集信息保护:对VPN安全控制范围之内的某个子集的客体资源，在将其分配给某一用户或代表该用户运行的进程时，不应泄露该客体中的原有信息;b)完全信息保护:VPN安全功能应确保在分配或释放所有的客体的资源时，不应泄露该客体中的原有信息;c)特殊信息保护:对于某些需要特别保护的信息，应采用专门的方法对客体资源中的残留信息做彻底清除。5.1隐蔽信道分析5.1.1一般性的隐蔽信道分析应通过对VPN系统中隐蔽存储信道的非形式化搜索，标识出可识别的隐蔽存储信道，并根据实际8 GA/T686一2007测量或工程估量确定每一个被标识信道的最大带宽，应对每个信息流控制策略都搜索隐蔽信道，并以文档形式说明以下情况:a)标识出隐蔽存储信道并估算它们的带宽;b)描述用于确定隐蔽存储信道存在的过程，以及进行隐蔽存储信道分析所需要的信息;c)描述隐蔽存储信道分析期间所作的全部假设;d)描述最坏的情况下对隐蔽存储信道带宽进行估算的方法;e)为每个可标识的隐蔽存储信道描述其最大可能的利用情形。51.2系统化的隐蔽信道分析应通过对VPN系统中隐蔽信道的系统化搜索，标识出可识别的隐蔽信道，并以结构化、可重复的方式标识出隐蔽信道，应对每个信息流控制策略都搜索隐蔽信道，并提供隐蔽信道分析的文档。对分析文档的要求与一般性隐蔽信道分析相同5.1.3彻底化的隐蔽信道分析应通过对隐蔽信道的穷举搜索，标识出可识别的隐蔽信道，并以结构化、可重复的方式标识出隐蔽信道，应提供额外的证据，证明对隐蔽信道的所有可能的搜索方法都已执行对分析文档的要求与一般性隐蔽信道分析相同。5.12可信路径可信路径的交换可以由用户在与VPN安全功能交互期间发起，或者VPN安全功能经一条可信路径与用户建立通信。要求:a)提供真实的端点标识，并保护通信数据免遭修改和泄露;b)允许VPN安全功能自身、本地用户或远程用户原发的经可信路径的通信;c)对原发用户的鉴别或需要可信路径的其他服务均使用可信路径;d)运用以PKI为基础的混合密码体制建立安全的可信路径。5.13密码支持应根据密码强度与信息系统安全等级匹配的原则，按国家密码主管部门的规定分级配置密码管理。应按照密码分级配置所确定的特定密码算法和指定长度的密钥进行密码运算，以确保密码运算功能的正确性和不同级别的密码运算的不同强度。VPN安全功能应根据符合国家标准的方法来管理密钥，包括密钥的产生、分配、访问及销毁。当采用PKI技术进行密钥的管理时，应按相关的PKI标准和CA实施管理，每个级别的要求应与相应的PKI标准的级别相符合。6安全保证技术要求6.IVPN安全功能自身安全保护6.1.1安全运行测试VPN安全功能在VPN系统初始化期间、在正常运转下周期性地、应授权用户的请求或在其他条件下，应能运行一组与VPN系统当前状态有关的测试套件，来验证由VPN安全功能所提供的安全假定的正确运行。系统在设计时不应留有“后门”。即不应以维护、支持或操作需要为借口，设计有违反或绕过安全规则的任何类型的人口和文档中未说明的任何模式的人口。6.12失败保护当VPN安全功能发生电源故障，检测到不安全的操作或未知状态等失败情况时应保存一个保护状态，以确保VPN安全功能从失败恢复时安全策略的正确性。6.1.3输出VPN安全功能数据的可用性应通过一系列规则，根据VPN安全功能数据类型列表的指示，在所定义的可用性度量范围内，确保VPN安全功能数据(如口令、密钥、证书、审计数据或VPN安全功能的可执行代码)在VPN安全功 GA/T686一2007能与远程可信IT产品之间传输时的可用性。6.1.4输出VPN安全功能数据的保密性应保护VPN安全功能数据，如口令、密钥、证书、审计数据和VPN安全功能的可执行代码，在VPN安全功能与远程可信IT产品之间传输时，不被未经授权的泄露。6.1.5输出VPN安全功能数据的完整性a)VPN安全功能间修改的检测要求:对VPN安全功能数据，包括口令、密钥、证书、审计数据和VPN安全功能的可执行代码实施保护，在VPN安全功能与远程可信IT产品之间传输时，应提供在所定义的修改度量范围内检测VPN安全功能与远程IT产品之间传输的所有VPN安全功能数据被修改的能力;b)VPN安全功能间修改的检测与改正进一步要求:如果检测到修改，能按修改类型将所有被修改的数据改正过来，具有重发和产生审计记录的能力。61.6vPN内VPN安全功能数据传输VPN安全功能数据在VPN内的分离部分间传输时应受到保护，包括:a)内部VPN安全功能数据传输的基本保护:VPN安全功能应对VPN的分离部分间传输的安全功能数据，包括口令、密钥、证书、审计数据和VPN安全功能的可执行代码等，进行保护，使其在传输过程中不被泄露或修改;b)在VPN内部的分离部分间传输数据时，VPN安全功能应将用户数据与安全功能数据进行分离;c)在VPN的分离部分间传输VPN安全功能数据时，应检测出所传输的VPN安全功能数据被修改、替换、重排序、删除等完整性错误，并采取规定的措施进行修正。6.1.7物理安全保护6.1.7.1物理攻击的被动检测对可能危及VPN安全功能物理安全(即承载VPN安全功能的软硬件设施的安全)的篡改提供明确的检测手段，并提供判断VPN安全功能设备或要素是否已被物理篡改的能力。篡改检测是被动的，授权用户应激活安全管理功能或用手动方式检查，以确定篡改是否发生。6.1.7.2物理攻击的自动报告对需主动检测的VPN安全功能设备或要素，VPN安全功能应监视这些设备和要素，并当其发生物理篡改时，自动报告给指定用户。6.1.7.3物理攻击抵抗VPN安全功能的物理安全保护模块应检测到物理篡改，还应以使设备受到保护的策略自动回应物理篡改，真正地抵制或阻止这些攻击。例如，对于存储在某类存储介质上的信息，使其处于不可写的状态，从而保护其上的信息不被篡改。6.1.8可信恢复应在确定不减弱保护的情况下启动VPN系统，并在VPN安全功能运行中断后能在不减弱保护的情况下恢复运行。a)手动恢复允许以人工干预的方法使VPN返回到安全状态。当发生失败或服务中断时，VPN安全功能应进人维护方式，以手工方法使VPN返回到一个保护状态。b)自动恢复要求对至少一种类型的服务(例如电源故障和比特计算完整性丢失)中断，VPN安全功能应确保自动化过程使VPN返回到一个安全状态。c)无过分丢失的自动恢复要求在实现上述自动恢复时，应确保VPN安全功能数据或客体无超过限量的丢失。d)功能恢复要求VPN安全功能应确保VPN安全功能或者被成功完成，或者对指定的情况恢复到一致的和安全的状态。l0 GA/1’686一20076.1.9，放检测VPN安全功能应检测VPN设备之间的控制协商等消息以及授权管理员的访问消息等实体的重放。检测到重放时，VPN安全功能应不执行重放操作，并产生相应的审计记录。6.1.10参照仲裁对一个给定的安全功能策略，确保要求执行策略的所有行动，都应由VPN安全功能根据安全功能策略加以确认。确保VPN安全功能的执行对所有安全功能策略都不可旁路和不可篡改。61.11域分离确保VPN安全功能自身执行时至少有一个安全域可用，并保护该VPN安全功能不被不可信主体从外部干扰篡改。包括:a)VPN安全功能自身隔离:VPN安全功能应为自身执行时维护一个安全域，防止不可信主体观察、干扰和篡改VPN安全功能的数据和编码;b)VPN系统内各主体隔离:VPN安全功能应分离VPN系统控制范围内各主体的安全域;c)访问控制隔离:VPN安全功能应为VPN系统控制范围内与访问控制有关的部分，维护一个自身执行的安全域，防止不可信主体和VPN安全功能剩余部分的观察、干扰和篡改。6112状态同步协议确保VPN系统中两个部分(如主机)在完成与安全有关的活动后，状态保持同步。包括:a)单向的可信回执:当VPN安全功能收到另一个VPN安全功能发出的未经修改的VPN安全功能数据时，应给出可信回执;b)相互的可信回执:在单向的可信回执的基础上，收到回执的VPN安全功能，应发送可信回执，以确认其收到回执。使得交换数据的双方知道在其各部分传送数据处于正确状态。6.1.13时间戮VPN安全功能应为其自身应用提供可靠的时间戳。6.1.14数据一致性6.114.IVPN安全功能间vPN安全功能数据一致性VPN安全功能与其他可信IT产品共享VPN安全功能数据时，VPN安全功能应提供对审计记录，安全支持参数和密钥相关数据等数据一致性解释的能力。6.1.14.ZVPN内数据复制一致性VPN安全功能应确保VPN系统各部分间的VPN安全功能数据复制的一致性，如在网络连接中断后，重新建立连接时，应确保VPN安全功能数据复制的一致性。6.1.15安全功能检测提供了对VPN安全功能正确操作的测试能力。包括:a)VPN安全功能自检:VPN安全功能应运行一套自检，可以根据授权用户要求，在初始化启动期间，或正常工作期间周期性地进行，以表明VPN安全功能操作地正确性;b)VPN安全功能数据完整性验证:VPN安全功能应为授权用户提供一种验证能力，验证VPN安全功能数据完整性;c)VPN安全功能可执行代码完整性验证:VPN安全功能还应为授权用户提供一种能力，对存储的VPN安全功能可执行代码的完整性进行验证。6.1.16资源利用6.1.161故障容错确保VPN系统即便出现部分故障时，也应维持正常运转。包括:a)降级故障容错:当VPN系统中出现确定的故障(如电源短时间中断、CPU或主机瘫痪、软件错误或缓冲区溢出等)时，VPN安全功能应检测出，并发出相应出错警报，且能继续正确运行指定的功能;11 GA/T686一2007b)受限故障容错:VPN系统应确保标识的故障发生时，应采取有效的对抗措施，保证VPN安全功能仍能继续运行。6.1.16.2服务优先级VPN安全功能控制用户(主体)应对VPN系统中资源的访问和使用，使得系统内高优先级任务的完成总是不受系统中低优先级任务所造成的干扰和延迟的影响。服务优先级包括:a)有限服务优先级:VPN安全功能应给VPN系统中的每个用户(主体)分配一种优先级。服务优先级的控制范围限定于VPN系统中的某个资源子集中。b)全部服务优先级:VPN安全功能应给VPN系统中的每个用户(主体)分配一种优先级。服务优先级的控制范围应包括VPN系统的全部资源，VPN安全功能控制范围内的所有资源应都服从服务优先机制。6.1.16.3资源分配VPN安全功能控制主体对资源的使用，不应由于未授权的主体独占资源而出现拒绝服务。包括:a)最高限额控制:应确保VPN系统中的主体不会超过某一数量或不会独占某种受控资源。VPN安全功能应规定受控资源的最高分配限额系统安全管理员指定受控资源最高分配限额列表(如进程、传输带宽、主机磁盘空间、内存)。b)最低和最高限额控制:除确保上述最高限额的受控资源分配外，还应确保VPN系统中的主体获得最小规定资源的下限。6，.17VPN安全设施访问控制VPN安全设施访问控制应提供控制用户与VPN安全设施建立会话的功能。VPN安全设施访问控制包括:a)按可选属性范围限定的要求:提供VPN建立会话时限制会话安全属性范围的要求。vPN安全功能应基于访问方法、访问地址或端口以及访问时间，限制用户可能选择的会话安全属性的范围。b)按多重并发会话的基本限定的要求:提供了适用于VPN安全功能内所有用户的限定。VPN安全功能应限制属于同一用户的并发会话的最大数量。VPN安全功能还应缺省执行对会话次数的限定管理。c)按VPN安全设施会话建立所描述的要求:应提供交互式会话的VPN安全功能原发的和用户原发的锁定和解锁能力及VPN安全功能原发终止能力，以便对交互式会话在进人非活动周期后对终端进行锁定或结束会话。d)按VPN安全设施访问标记的要求:访问标记定义了向用户显示有关适当使用VPN的可配置劝告性警示信息的要求。e)按VPN安全设施访问历史所描述的要求:VPN安全功能应在一次会话成功建立的基础上，显示该账户上一次会话成功或不成功建立的日期、时间、方法和位置等信息，以及从最后一次成功的会话建立以来不成功的尝试次数，实现对会话管理的设计。f)按VPN安全设施会话建立所描述的要求:应提供拒绝用户基于属性对VPN安全设施访问的要求。VPN安全功能应能拒绝基于无效远程用户口令或缺少硬件令牌的会话建立，实现对会话建立管理的设计。6.1.18可信路径/信道提供VPN安全功能和其他可信IT产品之间，以及VPN安全功能和用户之间的可信路径。包括:a)VPN安全功能间的可信信道:应在多个安全功能之间或应在它自身和远程VPN产品之间提供一条可信通信信道;b)VPN安全功能和用户间的可信信道:应在VPN安全功能与用户之间提供一条可信的信息传输路径。该可信路径应提供真实的端点标识，保护通信数据免遭修改和泄露。l2 GA/1’686一200762VPN设计和实现6.2.1配t管理6.21.1配t管理自动化配置管理自动化可增加配置管理系统的有效性，使VPN系统配置不易受人为错误或疏忽的影响。包括:a)部分配置管理自动化:应在配置管理系统中使用一些工具来支持VPN系统的自动生成。配置管理计划应描述在配置管理系统中使用了哪些自动生成工具以及这些工具的使用方法。b)完全配置管理自动化:在部分配置管理自动化的基础上，配置管理系统能自动地确定VPN系统与以前版本之间的变化.以及因给定的配置项的修改而受到影响的其他所有配置项。6.2.1.2配t管理能力配置管理能力表明了确保VPN系统的正确性和完整性的能力以及防止配置项未授权修改的可能J胜。包括:a)版本号:开发者应使用与所表示的VPN样本完全对应的版本号标识VPN系统，并给其做上标记，没有歧义。b)配置清单，在版本号基础上，开发者应提供配置管理文档。包括配置清单。配置清单应能对配置项进行唯一标识，并清楚地标识出组成安全功能的配置项。c)配置管理计划:在配置清单的荃础上，配置管理文档还应包括一个配置管理计划。配置管理计划应描述配置管理系统的使用方法，并确保实施中的配置管理与配置管理计划是一致的。配置管理文档应能证明所有配里项在配盆管理系统下得到有效地维护，且配置管理系统确保对配置项只进行授权修改、增加或删除。d)接受计划:在配置管理计划基础上，配置管理文档还应包括一个接受计划。接受计划应描述用来接受修改过或新建的作为VPN系统一部分的配置项的程序。e)进一步支持:集成过程应有助于确保由一组被管理的配置项生成VPN安全设施的过程是以授权的方式正确进行的，配置管理系统应有能力标识用于VPN安全设施生成的主拷贝的材料，这有助于通过适当的技术，以及物理的和过程的安全措施来保持这些材料的完整性。为此，配置管理的进一步支持要求:—配置管理文档除应包括配里清单、配置管理计划外，还应包括一个验收计划和集成过程，集成过程应描述在VPN安全设施制作过程中如何使用配置管理系统;—配置管理系统应将一个配置项接收到配置管理中的不是该配置项的开发者;—配置管理系统应明确标识组成VPN安全功能的配置项;—配置管理系统应支持所有对VPN安全设施修改的审计，至少应包括操纵者、日期、时间等信息;—配置管理系统应有能力标明用于生成VPN安全设施主拷贝的所有材料;—配置管理文档应阐明配置管理系统与开发安全方法相联系的使用，并只允许对VPN安全设施作授权的修改;—配置管理文档应阐明集成过程的使用能够确保VPN安全设施的生成是以授权的方式正确进行的;—配置管理文档应阐明配置管理系统足以确保负责将某配置项接收到配置管理中的不是该配置项的开发者;—配置管理文档应能证明接收过程对所有配置项的修改都提供了充分而适当的复查。6.21.3配t管理范围应确保配置管理系统能跟踪所有必需的VPN系统中的配置项，保证这些配置项的完整性是受配置管理系统能力保护的。包括: GA/T686一2007a)配置管理范围:配置管理文档应说明配置管理系统如何跟踪配置项，并说明至少能跟踪:VPN系统的实现表示，设计文档，测试文档，用户文档，管理员文档和配置管理文档;b)跟踪安全缺陷:在配置管理范围基础上，配置管理文档应说明配置管理系统能跟踪安全缺陷;c)跟踪开发工具:在跟踪配置管理范围基础仁，配置管理文档应说明配置管理系统还能跟踪开发工具和相关信息。6.2.2分发和操作6.22.1分发应通过系统控制、分发设备和程序来保证接收方所收到的VPN产品正是发送者所发送的，且无任何修改。包括:a)分发过程:应将VPN系统或其部分的程序以文档形式提供给用户，分发文档应描述维护安全所必需的所有程序，并按该过程进行分发;b)检测修改:在分发过程的基础上，分发文档应描述如何使用多种程序和技术上的措施来检测修改，检测开发者的主拷贝和用户方收到的版本之间的任何差异和检测试图伪装成开发者向用户发送产品的方法;c)防止修改:在检测修改的基础上，分发文档应描述如何防止修改的方法和技术;d)VPN所有软件应提供安全安装的默认值，在客户不做选择时，默认值应使安全机制有效地发挥安全功能;e)VPN设备关键数据如口令和密钥，不应在未受保护的程序或文档中以明文形式存储并分发给用户。6.2.2.2操作确保在开发者所期望的安全方式下进行安装、生成和启动。包括:a)过程文档化:开发者应将VPN系统安全地安装、生成和启动的过程文档化，文档应描述VPN安全地安装、生成和启动所必要的步骤;b)日志生成:在过程文档化的基础上，文档应描述建立日志的过程，该日志能够明确决定VPN系统是何时及如何产生的。6.23开发6.2.3.1功能设计功能设计是用户可见接口和VPN安全功能行为的一个高层描述。它是VPN安全功能要求的一个实例化。包括:a)非形式化功能设计:开发者应提供VPN系统的功能设计。功能设计使用非形式化风格描述VPN安全功能及其外部接口，并应描述所有外部VPN安全功能接口的用途和使用方法。b)完备表示安全功能:在非形式化功能设计的基础上，功能设计还应完备地表示VPN安全功能。c)半形式化功能设计:在完备表示安全功能的基础上，使用半形式化风格来描述VPN安全功能及其外部接口，必要时可由非形式化、解释性的文字来支持。d)形式化功能设计:在半形式化功能设计的基础上，应使用形式化风格来完备地描述VPN安全功能及其外部接口。62.3.2高层设计将功能设计细化成子系统，对VPN安全功能的每个结构单元的功能及其相互关系进行描述，实现VPN的安全功能要求。包括:a)描述性高层设计:开发者应提供VPN安全功能的非形式化高层设计该高层设计按子系统来描述VPN安全功能的结构以及每个子系统所提供的安全功能，并标识VPN安全功能子系统的所有接口。14 GA/T686一2007b)安全加强的高层设计:在描述性高层设计的基础上，该高层设计应描述vPN安全功能子系统所有接口的用途与使用方法，还应将VPN系统分成安全功能策略实施的子系统和其他子系统c)半形式化高层设计:在安全加强的高层设计的基础上，该高层设计应是半形式化的，并对VPN安全功能提供所有结果的完整细节。d)半形式化高层解释:在半形式化高层设计的基础上，高层设计应证明所标识的分离方法，包括任何保护机制，是足以确保从非VPN安全功能加强功能中将VPN安全功能加强功能清晰而有效地分离出来，并应证明VPN安全功能机制足以实现在高层设计中标识的安全功能。e)形式化高层设计:在半形式化高层设计的基础上，该高层设计的表示应是形式化的。6.2.3.3实现裹示应以源代码、固件或硬件等来表述VPN安全功能的具体符号表示，从而可以获得VPN安全功能内部的详细工作情况。包括:a)安全功能的子集实现:开发者应提供VPN安全功能子集的实现表示(如源代码、硬件图)文档。实现表示应是内在一致的，并且无歧义地定义了详细的VPN安全功能。b)安全功能的完全实现:在安全功能子集的实现的基础上，实现表示还应描述实现各部分之间的关系。c)安全功能的结构化实现:在安全功能实现的基础上，实现表示应被构造成一些构造较小的，且易干理解的部件。6.2.3.4安全功能内部设计为简化VPN安全功能的设计，并使其达到可分析的程度，采用模块化、层次化、复杂度最小化的方法对VPN安全功能的内部进行结构设计。包括:a)模块化:VPN安全功能的设计和构建应模块化，开发者应提供一种描述VPN安全功能模块以及这些模块的用途、接口、参数和影响的结构化描述。b)层次化:在模块化的基础上，结构化描述应描述分层结构，并说明如何使交互作用最小化。c)复杂性最小化:在层次化的基础上，结构化描述应使VPN安全功能达到最小复杂性。62.3.5低层设计确保正确有效地细化VUN安全功能子系统低层设计表述了每一个子系统的用途、功能、接口、依赖关系以及所有VPN安全策略实施的实现。包括:a)非形式化低层设计:开发者应提供VPN安全功能的非形式化低层设计。低层设计应以模块化描述VPN安全功能，并描述每一个模块的用途以及模块的接口。b)半形式化低层设计:在描述性低层设计的基础上，低层设计的表示应是半形式化的，应详细描述VPN安全功能模块所有接口的用途与用法。。)形式化低层设计:在半形式化低层设计的基础上，低层设计的表示应是形式化的。6.2.3.6表示的对应性各种vPN安全功能表示(如vPN系统概要设计、功能设计、高层设计、低层设计、实现表示)之间在相应严格程度上应具有对应性。包括:a)非形式化对应性说明:开发者应提供的相邻两阶段开发文档之间提供其对应性分析。对于所提供的安全策略表示的每个相邻对，对应性分析应阐明，上一阶段的安全策略表示的在下一阶段文档中得到正确而完备地细化，b)半形式化对应性说明:在非形式化对应性说明基础上，如果所提供的安全策略表示的相邻对是半形式化的，对应性阐明也应是半形式化的。c)形式化对应性说明:在半形式化对应性说明的基础上，如果所提供的安全策略表示的相邻对是形式化的，对应性阐明也应是形式化的。15 GA/T686一20076.2.3.7安全策略模型化通过开发一个基于VPN安全策略子集的安全策略模型，并确定功能设计，安全策略模型和VPN安全策略之间的对应性，保证在功能范围中的安全功能可以实施VPN安全策略中的策略。包括:a)非形式化VPN安全策略模型:开发者应提供安全策略模型，用以描述所有可以模型化的安全策略的规则和特性。安全策略模型应阐明或适当时严格证明功能设计和安全策略模型之间的对应性，并说明功能规约中的安全功能对于安全策略模型来说，是一致的而且是完备的。b)半形式化VPN安全策略模型:在非形式化安全策略模型的基础上，功能规约是半形式化的，安全策略模型与功能规约之间的对应性的阐明也应是半形式化的。。)形式化VPN安全策略模型:在半形式化VPN安全策略模型的基础上，功能规约是形式化时，安全策略模型与功能规约之间的对应性的阐明也应是形式化的。6.2.4指导性文档指导性文档中不应提供任何会危及系统安全的信息。有关安全的指令和文档应划分等级分别提供给用户和管理员。这些文档应为独立的文档，或作为独立的章节插人到管理员指南和用户指南中。文档也可为硬拷贝、电子文档或联机文档。如果是联机文档应控制对其的访问。6.24.1安全管理员指南安全管理员指南是指一种书面材料，其目的是让负贵设置、维护和管理VPN系统的人以正确的方式、最大限度地保证安全。开发者应提供管理员指南，管理员指南应描述对于授权安全管理角色可使用的管理功能和接口、安全管理VPN系统的方式、受控制的安全参数、设置配置文件(如安全策略数据库)的方法以及与安全操作有关的用户行为的假设。管理员指南应描述与为评估而提供的其他所有文件保持一致。6.2.4.2用户指南用户指南指VPN系统的非管理员类用户或其他使用VPN系统外部接口的人员(如程序员)所使用的材料，可对这两类不同用户分别提供单独的文档。开发者应提供用户指南。用户指南应描述用户可获取的安全功能和接口的用法，安全操作中用户的职责(包括用户行为假设)。用户指南应与为评估而提供的其他所有文件保持一致。不应包括那些如果公开将会危及系统安全的任何信息。6.2.5生命周期支持6.25.1开发安全为保护VPN系统的安全而在开发环境中采取包括开发场地的物理安全和开发人员的选择等安全措施。包括:a)安全措施描述:开发者应提供的开发安全文档。描述在VPN系统的开发环境中，为保护VPN系统设计和实现的保密性和完整性在物理、程序、人员以及其他方面采取的必要的安全措施。b)安全措施的充分性:在安全措施描述的墓础上，开发安全文档应能提供证据证明安全措施对维护VPN系统的保密性和完整性提供了必要的保护级别。6.2.5.2缺陷纠正开发者应对已发现的安全缺陷进行跟踪和纠正。包括:a)基本缺陷纠正:开发者应提供的缺陷纠正的程序文档。文档应描述用以跟踪所有VPN系统版本里已被报告的安全缺陷的过程，还应描述所提供的每个安全缺陷的性质和效果，以及缺陷纠正的情况。还应标识每个安全缺陷所采取的纠正措施。还应描述为用户的纠正行为所提供的信息、纠正和指导的方法。b)缺陷报告过程:在基本缺陷纠正的基础上，开发者应提供接受缺陷报告和更正缺陷的要求，能采取相应解决措施的程序。程序应确保所有已知缺陷都已被更正，并将纠正办法发布给用户，还要确保为纠正这些安全缺陷所引进的纠正方法不会带来新的缺陷。。)蔡统缺陷纠不，在缺陷报告讨释的基础卜，缺陷纠正程序应包括这样一个程序，它负责及时将 GA/T686一2007安全缺陷报告及其相应的更正自动分发给可能受到这些安全缺陷影响的注册用户。6.2.5.3生命周期定义应在VPN系统生命周期内建立VPN系统开发和维护的模型。包括:a)开发者定义的生命周期模型:开发者应建立用于开发和维护VPN系统的生命周期定义文档和生命周期模型。生命周期定义文档应描述用于开发和维护VPN系统的模型。生命周期模型应提供对VPN系统开发和维护所必要的控制。b)标准化生命周期模型:在开发者定义的生命周期模型的基础上，生命周期定义文档应解释选择该模型的原因以及如何用该模型来开发和维护VPN系统。c)可测量的生命周期模型:在标准化生命周期模型的基础上，开发者应利用标准化的和可测量的生命周期模型来衡量VPN系统的开发，并提供VPN系统开发的测量结果。6.2.5.4工具和技术工具和技术是选择用于开发、分析和实现VPN系统的工具的一个方面。基于在实现标准及其选项文档的描述和范围上增加的要求，工具和技术分为:a)明确定义的开发工具:开发者应明确定义所有用于实现的开发工具。开发者提供的开发工具文档应明确定义实现中每个语句的含义，以及无歧义地定义所有基于实现的选项的含义。b)在明确定义的开发工具的基础上，开发者还应描述所应用的实现标准。。)在描述所应用的实现标准的基础上。开发者还应描述所应用的VPN所有部分的实现标准。62.6测试6.2.6.1，盖范围说明VPN安全功能要被测试的广度，以及测试是否广泛得足以论证VPN安全功能如规定的那样运作。a)范围证据，开发者提供的测试覆盖范围的证据应论证测试文档中所标识的测试和功能设计中所描述的VPN安全功能之间的对应性。}，)范围分析:在范围证据的基础上，开发者提供测试彼盖范围的分析应表明测试文档中所标识的测试与功能设计中所描述的VPN安全功能之间的对应性，并阐明功能设计中所描述的VPN安全功能和测试文档所标识的测试之间的对应性是完备的。c)范围的严格分析:在范围分析的基础上，测试范围的分析应严格地论证功能设计所标识的VPN安全功能的所有外部接口已经被完备测试。6.2.6.2测试深度涉及了VPN安全功能测试所能到达的详细程度。根据VPN安全功能表示所提供的从高层设计到实现表示不断增加的细节，测试的深度分为:a)高层设计测试:应用“单元”描述对VPN安全功能高层设计的测试。开发者提供的测试深度的分析应论证测试文档中所标识的测试足以论证该VPN安全功能运行是和高层设计一致的。b)低层设计测试:应用“模块”描述对VPN安全功能低层设计的测试。在高层设计测试的基础上，深度分析应论证测试文档中所标识的测试足以论证该VPN安全功能运行也和低层设计一致的。c)实现表示测试:应确保该VPN安全功能已正确实现。在低层设计测试的基础上，深度分析应论证测试文档中所标识的测试足以论证该VPN安全功能运行也根据实现表示而运作的。6.2.63功能测试a)一般功能测试:开发者应提供测试文档，包括测试计划、测试过程描述、预期的测试结果和实际测试结果。测试计划应标识要测试的安全功能，描述要执行的测试目标。测试过程描述应标识要执行的测试，测试概况。17 GA/T686一2007b)顺序的功能测试:在一般功能测试的基础上，测试文档应包含测试程序对顺序依赖性的分析。6.2.6.4独立性测试基于测试文档、测试支持和评估者测试的数量，独立性测试分为:a)符合独立性测试:应表明安全功能是按照规定运作的，开发者提供VPN系统应与测试相适应b)抽样独立性测试:在符合独立性测试的基础上，选择和重复测试开发者测试的一个抽样，表明安全功能按规范运作。开发者还应提供一个与开发者的VPN安全功能功能测试中使用的资源相当的集合。c)完全独立性测试:应通过重复所有开发者的测试来表明所有安全功能按规定执行。在抽样独立性测试的基础上，评估者应执行测试文档内的所有测试，以验证开发者的测试结果。6.2.6.5渗透性测试对VPN系统进行渗透性测试，利用第三方测试或是专业机构对VPN系统进行大量的攻击来探查VPN系统是否能够经受来自恶意黑客的同类攻击。在渗透性测试中，伪造的攻击可能包括社会工程等真正黑客可能尝试的任何攻击。6.2.7脆弱性评定6.2.7.1隐蔽信道分析目的在于确定非预期的信号信道(例如非法信息流)的存在性及其潜在的容量。保证要求提出了非预期的和可利用的信号信道在违反VPN安全功能策略运行时造成的威胁。隐蔽信道分析是建立在VPN的实现、管理员指南、用户指南以及完整定义的外部接口等基础上的。隐蔽信道分析可以是一般性的，也可以是系统化的，或者是严格的。基于隐蔽信道分析不断增加的严格程度，隐蔽信道分析分为:a)一般性隐蔽信道分析:开发者对每个信息流控制策略都应搜索隐蔽信道开发者提供隐蔽信道分析文档应标识出隐蔽性道并且估计它们的容量，还应描述以下内容:用于确定隐蔽信道存在的程序;进行隐蔽信道分析所需要的信息;隐蔽信道分析期间所作的全部假设;在最坏的情况下对通道容量进行评估的方法;每个可标识的隐蔽信道其最坏的利用情况。1，)系统化隐蔽信道分析:在一般性隐蔽信道分析的基础上，分析文档应证明对于隐蔽信道的分析是系统化的。c)彻底化隐蔽信道分析:在系统化隐蔽信道分析的基础上，应通过对隐蔽信道的穷举搜索，标识出可标识的隐蔽信道。为此，开发者应提供额外的证据，证明对隐蔽信道的所有可能的搜索方法都已执行。6.2.7.2防止误用应使对VPN系统的无法检测的不安全配置和安装，操作中人为的或其他错误造成的安全功能解除、无效或者无法激活，以及导致进人无法检测的不安全状态的风险达到最小。基于开发者所提供不断增加的证据和不断增加的分析严格性，误用分为:a)指南检查:开发者提供的指导性文档应确定对VPN系统的所有可能的运行方式(包括失败和操作失误后的运行)，它们的后果以及对于保持安全运行的意义。指导性文档应是完备的、清晰的、一致的、合理的，且列出所有目标环境的假设和所有外部安全措施(包括外部程序的、物理的或人员的控制)的要求b)分析确认:在指南检查的基础上，开发者还应文档化对指导性文档的分析。分析文档应论证，指导性文档是完备的。c)对安全状态的检测和分析:在分析确认的基础上，还应进行独立测试，以确定安全管理员或用户在理解指导性文档的情况下能基本判断VPN系统是否在不安全状态下配置或运行。6.27.3安全功能强度对每个具有安全功能强度声明的安全机制，开发者应进行安全功能强度的分析。 GA/T686一20076.2.7.4脆弱性分析脆弱性分析是一种评定，用来决定在对VPN系统的构建和预期运行进行评估或通过其他方法(例如缺陷假设)中所标识的脆弱性是否允许用户违反VPN安全策略。a)开发者脆弱性分析:开发者应提供脆弱性分析文档，文档应标识的脆弱性的分布，并说明在所期望的环境中这些脆弱性不会被利用。b)独立脆弱性分析:在开发者脆弱性分析的基础上，开发者应文档化己标识的脆弱性的分布。文档应证明对于具有已标识脆弱性的VPN系统可以抵御明显的穿透性攻击。c)中级抵抗力分析:在独立脆弱性分析的基础上，证据应能说明对于具有已标识脆弱性的VPN可以抵御中级攻击能力攻击者发起的穿透性攻击。d)高级抵抗力分析:在中级抵抗力分析的基础上，分析文档应提供完备地分析表述VPN可分发材料的证明。评估者则应确定可以抵御高级攻击能力攻击者发起的对VPN的穿透性攻击。6.3VPN安全设施安全管理对相应的VPN的访问控制、鉴别控制、审计和安全属性管理等相关的功能，以及与一般的安装、配置等有关的功能，制定相应的操作、运行规程和行为规章制度。63.1功能管理允许授权用户对VPN安全功能中的行为进行管理。VPN安全功能应具有限制系统和安全管理员决定、取消、调整用户审计、选择审计事件、管理审计追踪、访问控制列表等功能行为的能力。6.3.2安全属性的管理允许授权用户对安全属性进行管理，即查看和修改安全属性的能力。应列出安全属性所适用的访问控制VPN安全功能策略表，并规定对指定安全属性的操作，规定哪些用户能创建、查询、修改安全属性，修改缺省值，删除整个安全属性或定义他们自己的操作，或执行的其他操作。包括:a)安全属性的管理:VPN安全功能仅允许授权管理员以维护安全的方式去管理安全属性。b)安全的安全属性:应确保安全属性只接受安全的值，即确保分配给安全属性的值，其安全状态是有效的，从而保证任何可以接受的安全属性的组合处在一个安全的状态中。“安全”的定义应在VPN指南和VPN安全功能模型中给出。应提供安全值的清晰定义和认为它们安全的理由。安全的安全属性包含了对安全属性的赋值要求。其赋值应使VPN保持安全的状态。“安全”的定义应由VPN的开发者在有关文档中给出。例如:如果一个用户账号已经创建，它应有一个有效的口令。。)静态属性初始化:应为相关客体安全属性提供缺省值，并确保安全属性的缺省值适用于许可的或受限的情况。63.3vPN安全功能数据的管理允许授权用户(角色)控制VPN安全功能数据的管理。这里的VPN安全功能数据包括审计信息、时钟、系统配置和其他VPN安全功能配置参数。VPN安全功能数据管理分为:a)管理VPN安全功能数据:VPN安全功能应限制授权角色查询、修改或删除VPN安全功能数据的能力。仅允许授权角色的用户去管理这些数据，在参数创建过程中提供的缺省值作为默认值。b)VPN安全功能数据限值的管理:VPN安全功能应规定受限的VPN安全功能数据以及这些受限值如果VPN安全功能数据值超出了指定的限制，VPN安全功能将采取特定的动作。c)安全的VPN安全功能数据:VPN安全功能应确保VPN安全功能数据只接受安全的值。6.3.4安全角色管理应通过对用户给以不同的角色配置，确定这些角色的安全管理能力。安全角色管理分为:a)安全角色的定义:安全功能应能维护标识的授权角色，并把用户与该角色关联起来，应明确定义并识别不同的角色。通常系统应区分客体的拥有者、管理员和其他用户。在安全标记保护19 GA/T686一2007级及其以上级别，VPN安全功能应由系统管理员、系统安全员和系统审计员分别担任系统的常规管理、与安全有关的管理以及审计管理等三个角色。系统管理员负责VPN用户管理、启动关闭VPN设备等;系统安全员负责VPN安全策略的指定和实施;系统审计员负责VPN审计的管理，当出现安全相关事件时，与系统安全员进行协作处理。b)安全角色的限制:VPN安全功能应识别授权角色，并确保用户的不同角色应满足的条件。c)角色承担:VPN安全功能应要求设置下列角色:系统管理员、安全管理员和系统审计员。63.5时限授权为授权用户提供对指定的安全属性说明有效期的能力。应有对标识的授权用户按支持有效期的安全属性表的规定实施有效期的能力，并在超过了指定的有效期后，应根据活动表的规定采取必要的爵辈6撤销提供对某一时刻将实施的安全属性的撤销。应对VPN系统内标识的授权角色，有限制地提供其撤销与用户、主体、客体、及其他附加资源相关联的安全属性的能力。定义对VPN系统内各种实体安全属性的撤销，规定对撤销权限的要求，并对撤销规则有详细的说明7VPN安全保护等级划分要求7.1第一级:用户自主保护级7.1.1安全功能技术要求7.1.1.1身份鉴别a)按5.1.1.1设计VPN用户基本标识;b)按5.1.2.1实现动作前鉴别;c)按5.1.3a)和5.1.3b)进行鉴别失败处理。7.1.1.2自主访问控制应根据5.sa)设计自主访问控制.7.1.1.3数据完整性应按5.9.Za)检测传输数据的完整性。7.1.2安全保证技术要求7.1.2.IVPN自身安全保护7.1.2.1.飞VPN安全功能保护a)按6.1.1在系统初始化期间进行安全运行侧试，b)按6.1.2实现失败保护;c)按6.1.6a)实现内部VPN安全功能数据传输的基本保护，d)按6.1.71实现对VPN的物理安全保护，e)按6.1.13为vPN安全功能的运行提供可靠的时间戮支持f)按6.1.15a)实现VPN安全功能在初始化期间的自检。7，1.2.1.2资源利用a)按6.1.16.la)实现VPN系统对指定故障的处理;b)按6.1.16.Za)控制用户对vPN资源的访问和使用;c)按6.1.16.3a)对VPN资源进行管理和分配。7.1.213VPN安全设施访问控制a)按6.1.17a)实施可选属性范围限定;b)按6.1.17b)实施多重并发会话的基本限定;。)按6.1.17f)实现会话管理。20 GA/T686一2007.2.2VPN安全设施设计和实现2.2.1配且管理按6.2.1.Za)使用户所使用的版本号与VPN系统样本完全一致。712‘22分发和操作a)按6.2.2.la)编制分发文档;b)按6.2.22a)实现过程文档化。7.1.2.2.3开发a)按6.2.31a)进行非形式化功能设计;b)按6.2.3.Za)进行描述性高层设计;c)按6.2.3.3a)进行实现表示设计;d)按6.2.3.4a)进行VPN安全功能的内部结构设计;e)按6.2.3.sa)进行非形式化低层设计;f)按6.2.3.6。)进行非形式化对应性说明。7.1.22.4指导性文档应按6.2.4.1和6.2.42设计指导性文档.7.1.2.2.5生命周期支持按6.2.5.3a)进行vPN系统的开发设计。7.1.2.2.6测试a)按6.2.6.3a)执行一般功能测试，b)按6.2.6.4a)执行符合独立性测试.7.1.2.3VPN安全管理a)按63.1对VPN安全功能中的行为进行管理，b)按6.3.4a)定义安全角色。7.2第二级:系统审计保护级7.2，1安全功能技术要求7.211身份鉴别a)按51.1.1设计VPN用户基本标识，并按5.1.1.2设计唯一性标识;b)按5.1.2.1实现动作前鉴别，并按5.1.2.2实现同步鉴别，c)按51.3a)、5.1.3b)和5.1.3c)进行鉴别失败处理。72.1.2自主访问控制应根据5.sa)和5.sb)设计自主访问控制。7.2.1.3审计a)按5.2.la)设计审计响应功能;b)按5.2.2产生审计数据;c)按5.2.3a)进行审计分析设计，d)按5.2.4a)和5.2.4b)进行安全审计查阅设计，e)按5.2.5。)提供对审计事件的保护存储。7.2.1.4通信抗抵赖信息的发送方，按5.3.la)进行原发抗抵赖设计;信息的接收方，按5.3.Za)进行接收抗抵赖设计。7，2，.5剩余信息保护应按5.loa)进行剩余信息保护的设计。 GA/T686一20077.2.1.6数据完整性a)按5.9.la)检测存储数据的完整性;b)按5.9.Za)检测传输数据的完整性;c)按5.9.3a)设计基本回退。7.2.1.7数据加密按5.13进行设计。7.2.2安全保证技术要求7.2.21VPN自身安全保护7.2.2.1.IVPN安全功能保护a)按61.1在系统初始化期间进行安全运行测试;b)按6.1.2实现失败保护;。)按6.1.6a)实现内部VPN安全功能数据传输的基本保护;d)按6.1.71实现对VPN的物理安全保护;e)按6.113为VPN安全功能的运行提供可靠的时间戳支持;f)按6.1.15a)实现VPN安全功能在初始化期间的自检。7.2.2.1.2资源利用a)按6.1.161a)实现VPN系统对指定故障的处理;h)按6.1.16.Za)控制用户对VPN资源的访问和使用;c)按61.16.3a)对VPN资源进行管理和分配。7.22.13VPN安全设施访问控制VPN安全设施的访问控制按下列要求设计:a)按6.1.17a)实施可选属性范围限定;b)按61.17b)实施多重并发会话的基本限定;c)按6.1.17e)实现VPN安全设施访问历史的设计;d)按6.1.17f)实现会话管理。7.22.ZVPN设计和实现7.2.22.1配t管理a)按6.2.1.Za)使用户所使用的版本号与VPN系统样本完全一致;b)按6.2.1.3a)确定配t管理范围。7.22.2.2分发和操作。)按62.2.1。)编制分发文档;b)按6.2.2.ld)提供安全安装默认值;c)按6.2.2.Za)和62.22b)编制操作说明。72.2.2.3开发a)按6.2.3.la)进行功能设计;b)按62.3.Za)进行描述性高层设计;c)按6.2.3.3a)进行实现表示设计;d)按6.2.3.4a)进行VPN安全功能的内部结构设计;e)按6.2.35a)进行非形式化低层设计;扔按6.2.3.6a)进行非形式化对应性说明。7.么2_2.指导性文档按6..4.1和6.24.2设计指导性文档。文档还应包括生命周期支持和脆弱性评定等方面的内容22 GA/T686一20077.2.2.2.5生命周期支持a)按6.2.51a)提供开发安全文档;的按625.3a)进行VPN系统的开发设计。7.2.2.2.6测试a)按6.26.la)和6.2.6.lb)对测试的极盖范围进行限定，b)按62.6.Za)对测试的深度进行限定;c)按6.26.3a)执行一般功能测试;d)按6.2.6.4a)执行符合独立性测试。7.2.2.2.7脆弱性评定a)按6.2.7.Za)对指导性文档进行检查.b)按6.2.7.3进行VPN系统安全功能强度评估，c)按6.2.7.4a)进行开发者脆弱性分析.7.22.3VPN安全管理a)按6.3.1对VPN安全功能中的行为进行管理;b)按6.34a)定义安全角色。7.3第三级:安全标记保护级7.3.1安全功能技术要求7.31.1身份鉴别a)按5.1，1实现用户标识;b)按512.1、512.2、5.12.3、5.1.2.4和5.1.25进行用户鉴别;c)按5.13a)、5.1.3b)、5.1.3c)和5.1.3d)进行鉴别失败处理;d)按5.1.4进行用户一主体绑定。73.12自主访问控制按5.sa)和5.sb)设计自主访问控制，并按5.sc)控制访问权限的扩散。7.3.13标记按5.4为VPN系统中的主体和客体指定敏感标记。73.1.4强制访问控制按5.6实现vPN系统内的强制访问控制。7.3，，.5审计a)按52.la)和52.lb)设计审计响应功能;b)按5.2.2产生审计数据，c)按5，2.3a)和5.2。3b)进行审计分析设计;d)按52.4a)、52.4b)和5.2.4。)进行安全审计查阅设计;e)按5.2.sa)和5.2.sb)提供对审计事件的保护存储，f)按5.2，6实现分布式审计系统。7.31.6通信抗抵赖。)信息的发送方，按5.3.la)进行原发抗抵赖设计;b)信息的接收方，按5.3.Za)进行接收抗抵赖设计。7.31.7刹余信息保护应按5.10a)进行剩余信息保护设计。7.3.1.8数据完挂性a)按5.9.lb)进行存储数据完整性的检测和恢复;b)按5.9.Zb)进行传输数据完整性的检测与恢复; GA/T686一2007c)按5.9.3a)设计基本回退。7.3.1.9数据加密按5.13进行设计。7.3.2安全保证技术要求7.3.2.IVPN自身安全保护7.32.1.IVPN安全功能保护a)按6.1.1在vPN系统初始化期间、在正常运转下周期性地、应授权用户的诸求或在其他条件下，进行安全运行测试;b)按6.12实现失败保护;c)按6.1，3实现VPN内VPN安全功能数据传输的可用性保护;d)按6.1.4实现vPN内vPN安全功能数据传输的保密性保护;e)按6.1.sa)实现输出vPN安全功能数据的完整性保护;f)按6.1.6a)、6.16b)和6.16c)实现内部VpN安全功能数据传输保护;9)按61.7，1和6.1.7.2实现对VPN的物理安全保护;h)按6.1.9实现对指定实体的重放检测;1)按6.1.10确保vPN安全功能的执行对所有VPN安全功能策略都不可旁路;j)按6.1.1。)确保vPN安全功能不受不可信主体的干扰和篡改;k)按6.1.12a)实现单向的可信回执，1)按6.1.13为VPN安全功能的运行提供可靠的时间戳支持;m)按6.1141保证VPN安全功能间VPN安全功能数据的一致性;n)按6.1.14，2保证VPN内数据复制一致性;0)按6.1.15a)实现vPN安全功能在启动时、在正常运转时周期性、应授权用户请求或在其他条件下进行的自检。73.2.1.2资源利用a)按6.1.161a)和6.1.16.lb)实现VPN系统对指定故障的处理;b)按61.16.Zb)控制用户对VPN资源的访问和使用;c)按6.1.16.3b)对VPN资源进行管理和分配。73.2.1，3VPN安全设施访问控制a)按6.1.17a)实施可选属性范围限定;1，)按6，117b)实施多重并发会话的基本限定;c)按6.1.17c)实现对VPN安全设施会话会话的锁定和解锁能力以及原发终止能力;d)按6.1.17d)实现vPN安全设施访问标记的要求;e)按61.17e)进行vPN安全设施访问历史设计;f)按6.117f)实现会话管理。7.32.ZVPN设计与实现73.2.2.1配t管理a)按6.2.1，la)实现部分配置管理自动化;b)按6.2.1.Za)、6.2.12b)和6.21.Zc)对VPN系统进行配置管理;C)按62.1.3a)和6.2.1.3b)确定配置管理范围。73.2.22分发和操作a)按6.2.2.la)和6.2.2.lb)的要求编制分发文档;1，)按6.2.2.1山提供安全安装默认值;c)按6.22.2编制操作说明。24 GA/T686一20077.3.2.2.3开发a)按6.2.3.la)和6.2.3.lb)进行功能设计;b)按6.2.3.Zb)进行安全加强的高层设计，c)按6.2.3.3b)进行实现表示设计;d)按6.2.3.4a)和6.2.3.4b)进行vPN安全功能的内部结构设计;e)按6.23.sa)进行非形式化低层设计;f)按62.3.6a)进行非形式化对应性说明;9)按6.2.3.7a)进行非形式化安全策略模型设计。7.3.2.2.4指导性文档按6.2.41和6.2.4.2设计指导性文档。文档还应包括生命周期支持和脆弱性评定等方面的内容。7.3.2.2.5生命周期支持在本安全等级中，生命周期支持应遵循下列要求:a)按6.25.la)提供开发安全文档;b)按6.2.5.Za)提供的缺陷纠正的程序文档;c)按6.2.5.3b)进行VPN系统的开发设计，d)按6.2.5.4a)明确定义的开发工具.73.2.2.6测试a)按6.2.6.la)和6.2.6.lb)对测试的夜盖范围进行限定;切按6.2.6.Za)和6.2.6.Zb)对测试的深度进行限定;c)按6.2.63a)和6.2.6.3b)执行功能测试;d)按6.2.6.4a)和6.2.6.4b)执行独立性测试。7.3.2.2.7脆弱性评定a)按62.7.2。)和6.27.Zb)对指导性文档进行检查和分析b)按6.2.7.3进行VPN系统安全功能强度评估;c)按6.27.4a)和62.7.4b)进行脆弱性分析文档设计。7.3.2.3VPN安全管理a)按6.31对VPN安全功能中的行为进行管理;b)按6.3.2对安全属性进行管理，c)按6.3.3a)和6.3.3b)对VPN安全功能数据进行管理，d)按6.3.4a)、63.4b)和6.3.4c)，对角色进行安全管理;e)按6.3.5指定安全属性的有效期，f)按6.3.6提供对某一时刻将实施的安全属性的撤销.7.4第四级:结构化保护级7.4.1安全功能技术要求7.4，.1身份鉴别a)按5.1.1实现用户标识;b)按5.12.1、5.1.2.2、5.1.2.3、5.1.2.4、5.1.2.5和5.1.2.6进行用户鉴别;c)按5.1.3进行鉴别失败处理;d)按5.14进行用户一主体绑定;e)按5.3.lb)和5.3.Zb)设计用户身份鉴别信息交换的抗抵赖。74，1.2自主访问控制按5.sa)、5.sb)和5.sc)设计自主访问控制，并按5.sd)将自主访问控制扩展到所有主体和客体。25 GA/T686一20077.4.1.3标记按5.4为VPN系统中的主体和客体指定敏感标记。7.4.1.4强制访问控制按5.6实现VPN系统内的强制访问控制。7.4.1.5审计a)按5.2.la)、5.2.lb)和5.2.ic)设计审计响应功能;b)按52.2产生审计数据;c)按5.2.3a)、5.23b)和5.2.5。)进行审计分析设计;d)按5.2.4进行安全审计查阅设计;e)按5.2.sa)、5.2.sb)和5.2.sc)提供对审计事件的保护存储;f)按5.2.6实现分布式审计系统。7.4.1.6通信抗抵赖a)信息的发送方，按5.3.lb)进行原发抗抵赖设计;b)信息的接收方，按5.3.Zb)进行接收抗抵赖设计。7.4.1.7剩余信息保护应按510b)进行剩余信息保护设计。7.4.18数据完整性a)按5.9.lb)进行存储数据完整性的检测和恢复;b)按5921)进行传输数据完整性的检测与恢复;c)按5.9.3b)设计高级回退。7.4门.9隐蔽信道分析按5.11.1进行一般性隐蔽信道分析。7.4.1.10可信路径按5.12设计可信路径。7，4.1.1数据加密按5.13进行设计。7.4.2安全保证技术要求7.4.2，IvPN自身安全保护7.4.2.，.IVPN安全功能保护a)按6.11进行安全运行测试;b)按6.1.2实现失败保护;c)按6.1.3实现对vPN内VPN安全功能数据传输的可用性保护;d)按61.4实现对vPN内vPN安全功能数据传输的保密性保护;e)按61.sa)和6.1.sb)实现对vPN内vPN安全功能数据传输的完整性保护;f)按6.1.6对vPN安全功能数据的传输保护;9)按6.1.7.1、6.1.7.2和6.1.7.3实现对VPN的物理安全保护;h)按6.1.sa)和6.1.sb)，实现VPN运行中断时的手动恢复和自动恢复;1)按6.1.9实现对指定实体的重放检测，及出现重放检测的处理;j)按6.1.10确保vPN安全功能的执行对所有vPN安全功能策略都不可旁路;k)按6.1.11a)和6.1.11b)设计域分离;1)按6.1.12b)实现相互的可信回执;m)按6.113为VPN安全功能的运行提供可靠的时间戳支持;n)按6.1.14.1保证VPN安全功能间VPN安全功能数据的一致性;26 GA/T686一20070)按6.1.14.2保证VPN内数据复制的一致性;p)按6.115a)和6.1.15b)进行安全功能检测;q)按6.1.18实现可信路径。7.42.12资源利用a)按61.16.1实现VPN系统对指定故障的处理;b)按6.1.16.Zb)控制用户对VPN资源的访问和使用;c)按6.1.16.3b)对VPN资源进行管理和分配。7.4.21.3VPN安全设施访问控制按6.1.17.卖施vPN安全设施的访问控制。7.4.22VPN设计与实现7.4.2.21配t管理a)按6.2.1.la)实现部分配置管理自动化;b)按6.2.1.Za)、6.2.1.Zb)、6.2.1.2。)、6.2.1.Zd)和6.2.1‘Ze)对VpN系统进行配置管理;c)按6。21.3a)、6.2.1.3b)和6.2.1.3c)确定配置管理范围。7.4.222分发和抓作应以文档形式提供对vPN系统进行分发、安装、生成和启动的过程的说明。本级要求:a)按6.2.2.la)、6.2.2.lb)和6.2.2.Ic)编制分发文档;b)按62.2.ld)提供安全安装默认值;c)按6.2.2.2编制操作说明。7.4.2.23开发a)按6.2.3.Ic)进行半形式化功能设计;b)按6.2.3.Zc)进行半形式化高层设计;c)按6.2.3.3c)进行实现表示设计;d)按6.2.3.4c)进行VPN安全功能的结构设计;e)按6.2.3.sb)进行半形式化低层设计;f)按6.2.3.6b)进行半形式化对应性说明、9)按6.2.3.7b)进行半形式化vPN安全策略模型设计。7.4.224指导性文档按6.24.1和62.4.2设计指导性文档。文档还应包括生命周期支持和脆弱性评定等方面的内容。7.4.22.5生命周期支持a)按6251a)和6.2.51b)提供开发安全文档;b)按6.2.5.Za)和6.2.5.Zb)提供的缺陷纠正的程序文档;c)按6.2.53b)进行VPN系统的开发设计;d)按62.5.4a)和6.2.5.4b)描述实现的开发工具。74.2.2.6测试a)按6.2.6.la)、62，6.lb)和6.2，6.1。)对测试的覆盖范围进行限定;b)按6.26.Za)、62.6.Zb)和6.2.6.Zc)对测试的深度进行限定;c)按62.6.3进行功能测试;d)按6.2.6.4a)和6，2.6.4b)进行独立性测试。74.2.2.7脆弱性评定a)按6.2.7.la)进行一般性隐蔽信道分析;b)按6.2.7.Za)、6.2.7.Zb)和6.2.7.Zc)进行防止误用设计;27 GA/T686一2007c)按62.7.3进行VPN系统安全功能强度评估;d)按6.2.7.4a)、6.2.74b)和6.2.7.4c)进行脆弱性分析文档设计。7.4.2.3VPN安全管理本安全等级应按以下要求制定相应的操作、运行规程和行为规章制度:a)按6.3.1对VPN安全功能中的行为进行管理;h)按6.3.2对安全属性进行管理;c)按6.3.3a)、6.3.3b)和6.3.3。)对vPN安全功能数据进行管理;d)按6.3.4对角色进行安全管理;e)按6.3.5指定的安全属性的有效期;f)按6.3.6提供对某一时刻将实施的安全属性的撤销。7.5第五级:访问验证保护级75.1安全功能技术要求7.5.1.1身份鉴别a)按51.1实现用户标识;b)按5.1.2中定义的全部鉴别方式进行用户鉴别，c)按5.1.3进行鉴别失败处理;d)按5.1.4进行用户一主体绑定;e)按5.3.lb)和5.3.Zb)设计用户身份鉴别信息交换的抗抵赖。7.5.1.2自主访问控制按5.5设计自主访问控制。7.5.1.3标记按5.4为VPN系统中的主体和客体指定敏感标记。7.51.4弓虽制访问控制按5.6实现vPN系统内的强制访问控制。7.5.1.5审计a)按5.21a)、5.2.lb)、5.2.1。)和5.2.id)设计审计响应功能;b)按5.2.2产生审计数据;c)按52.3a)、52.3b)、5.2.3。)和5.2.3d)进行审计分析设计;d)按5.24进行安全审计查阅设计;e)按5.2.sa)、5.25b)、5.2.sc)和5.2.sd)提供对审计事件的保护存储;f)按52.6实现分布式审计系统。7.5.1.6通信抗抵赖a)信息的发送方，按5.3.lb)进行原发抗抵赖设士卜b)信息的接收方，按5.3.Zh)进行接收抗抵赖设计。751.7剩余信息保护按510b)和5.10c)进行剩余信息保护设计。7.5.，.8数据完整性a)按5.9.lb)进行存储数据完整性的检侧和恢复;b)按5.9.Zb)进行传输数据完整性的检测与恢复;C)按5.9.3b)设计高级回退。7.5.1.9隐蔽信道分析a)按5.11.2进行系统化的隐蔽信道分析b)按5.1.3进行彻底化的隐蔽信道分析 GA/T686一20077.5，1.10可信路径按5.12设计可信路径。75.1.1数据加密按5.13进行设计。7.52安全保证技术要求7.5.2.IVPN自身安全保护7.5.2.1.IVPN安全功能保护应按61的要求，设计VPN系统的VPN安全功能保护。本安全等级要求:a)按6.1.1进行安全运行测试;b)按6.1.2实现失败保护;c)按6.1.3实现VPN内VPN安全功能数据传输的可用性保护;d)按6.14实现VPN内VPN安全功能数据传输的保密性保护;e)按6.1.5实现VPN内VPN安全功能数据传输的完整性性保护;f)按6.1.6对VPN安全功能数据的传输保护;9)按6.1.7的全部要求，实现对VPN的物理安全保护。h)按6.1.sa)、6.18b)实现VPN运行中断时的手动恢复、自动恢复;1)按6.1.8。)实现无过分丢失的自动恢复，按6.1.sd)实现功能恢复;j)按6.19进行重放检测及处理;k)按6.110确保VPN安全功能的执行对所有VPN安全功能策略都不可旁路;1)按6.1.11a)、6.1.11b)和6.1llc)进行域分离设计;m)按6.112b)实现相互的可信回执;n)按6.1.13为vPN安全功能的运行提供可靠的时间戳支持;0)按6.1.141确保vPN安全功能间vPN安全功能数据的一致性;p)按6.1.142保证VPN内数据复制的一致性;q)按6.1.15a)、6.1.15b)和6.1.15。)进行安全功能检测，r)按6.1.18实现可信路径。7.5.2.1.2资源利用a)按61.16.1实现VPN系统对指定故障的处理;b)按6.1.16.Zb)控制用户对VPN资源的访问和使用，c)按6.1.16.3b)对VPN资源进行管理和分配.7.5.2.1.3VPN访问控制按6.1.17实施VPN安全设施的访问控制。7.5.22VPN的设计与实现7.522.1配t管理。)按6.2.1.lb)实现完全配里管理自动化，b)按6.2.1.2对vPN系统进行配置管理;c)按6.2.1.3确定配置管理范围。7.52.2.2分发和操作a)按6.2.2.1的全部要求进行分发;b)按6.2.2.2编制操作说明。7.5.2.2.3开发a)按62.3.ld)进行形式化功能设计，b)按6.2.3.Zd)进行形式化高层设计; GA/T686一2007c)按6.2.3.3c)进行实现表示设计;d)按6.2.3.4c)进行vPN安全功能的结构设计;e)按6.2.3.sc)进行形式化低层设计;f)按6.2.3.6。)进行形式化对应性说明;9)按6.2.3.7c)进行形式化vPN安全策略模型设计。7.5.2.2.4指导性文档按6.2.4.1和6242设计指导性文档。文档还应包括生命周期支持和脆弱性评定等方面的内容。7.5.22.5生命周期支持在本安全等级中，生命周期支持应遵循下列要求:a)按6.2.5.1制定开发安全文档;b)按6.2.5.Za)、6.2.5.Zb)和6.2.5.Zc)提供的缺陷纠正的程序文档;c)按6.2.5.3c)进行vPN系统的开发设计;d)按6.2.5.4a)、62.54b)和6.2.5.4。)的描述，定义所有用于实现的开发工具。7.5.2.2.6测试在本安全等级中，测试应遵循下列要求:a)按6.2.6.1对测试的覆盖范围进行限定;b)按6.2.6.2对测试的深度进行限定;c)按6.2.6.3进行功能测试;d)按6.2.6.4a)、6.26.4b)和6.2.6.4c)进行独立性测试;e)按6.2.6.5进行渗透性测试。7.5.2.2.7脆弱性评定a)按6.2.7.lb)和6.2.7.Ic)进行隐蔽信道分析，b)按6.2.7.2进行防止误用设计，c)按62.73进行vPN系统安全功能强度评估，d)按62.7.4a)、6.2.7.4b)和6.2.7.4d)进行脆弱性分析文档设计。7.5.2.3VPN安全管理a)按6.3.1对vPN安全功能中的行为进行管理;b)按6.32对安全属性进行管理，c)按6.3.3对vPN安全功能数据进行管理，d)按6.3.4对角色进行安全管理;e)按6.3.5指定的安全属性的有效期;f)按6.3.6提供对某一时刻将实施的安全属性的撤销。 GA/T686一2007附录A(资料性附录)标准概念说明A.1组成与相互关系一个安全的VPN，应从安全功能和安全保证两方面考虑其安全性。安全功能主要说明VPN所实现的安全策略和安全机制，安全保证则是通过一定的方法保证VPN所提供的安全功能确实达到了确定的功能要求。本标准描述了VPN每一安全级所应达到的安全功能要求和安全保证要求。A.ZVPN安全等级的划分根据GB17859一1999，我们划分了五个级别，每个级别的功能要求和保证要求如表Al和表A.2所示。表A.1功能要求功能要求分类功能要求详细分类第一级第二级第三级第四级第五级基本标识+++++用户标识唯一性标示+++十同步鉴别十+++十动作前鉴别++斗十不可伪造鉴别+十+用户鉴别一次性使用鉴别++十多鉴别机制++重新鉴别+十鉴别失败处理+++++用户主体绑定+十+十+安全审计的响应++++++++十十安全审计数据产生++++潜在俊害分析++十+基于异常检测的描述++十安全审计分析简单攻击探测++复杂攻击探测+审计查阅++十十安全审计查阅有限审计查阅+十++可选审计查阅十++受保护的审计踪迹存储++++安全审计确保审计数据的可用性+++事件存储审计数据可能丢失情况下的措施++防止审计数据丢失+ GA/T686一2007表A，1(续)功能要求分类}功能要求详细分类第一级第二级第三级第四级第五级网络环境安全审计与评估弓++_____一斗+++’“””{强制原发证明++、，.，_.1++++’‘’“”一++自主访问控制+++++++++++十标记十++强制访问控制++潇-++数据加密++++++++++++可信路径++VPN内数据传输保护+++VPN向公用网络输出数据的保护+++公用网络向VPN输人数据的保护+++存。数据的{完整性检，++-++完整性一完整性。，。和恢;+++传输，据的一完整性检测+十+++一++日处理数据的完整性++++子集信息保护++十十完全信息保护++特殊信息保护+一般性的隐蔽信道分析++系统化的隐蔽信道分析+彻底化的隐蔽信道分析+表A.2保证要求保证要求分类保证要求详细分类第一级第二级第三级第四级第五级安全运行测试++++++++失败保护十++++VPN内安全功能数据的传输可用性卜++VPN内安全功能数据的传输保密性+十+VPN安全功能VPN内安全功能数据的传输完整性+++十干自身安全保护VPN内VPN安全功能数据传输++十汗+++十物理安全保护十++++一+++++可信恢复+重放检测+!+ GA/T686一2007表AZ(续)保证要求分类保证要求详细分类第一级第二级第三级第四级第五级参照仲裁+++域分离+十+十+状态同步协议+++++VPN安全功能时间戳+++++自身安全保护数据一致性+++安全功能检测++++++++可信路径/信道++故障容错++十+++++资源利用服务优先级{++++十++资源分配+十十十+++十VPN安全设施VPN安全设施访问控制+++!}」++++++访问控制配!管理+{{+++++++-尸，一十十卞分发和操作++++++十++十++++开发+{++++卜++十十++++VPN安全设施指导性文档+++++十+++设计和实现生命周期支持+++乍十卡++++++十++测试+十月++++++一十十}++脆弱性评定十l+++++++++功能管理+++于+安全属性的管理++十vPN安全设施VPN安全功能数据的管理{卜++十安全管理安全管理角色卜++++++1十+++时限授权斗斗+撤销+++A.3关于VPN中的主体与客体在VPN中，每一个实体成分都应是主体或客体，或既是主体又是客体。主体是一个主动的实体，它包括用户、用户组、终端、主机或一个应用。系统中最原始的主体应是用户(包括一般用户、系统管理员、系统安全员、系统审计员等)每个进人系统的用户应是唯一标识的，并经过鉴别确定为真实的。A.4关于vPN中的安全设施、安全功能和安全功能策略在VPN中，VPN安全设施(叮信计算基)是构成一个安全的VPN的所有安全保护装置的组合体。一个VPN安全设施可以包含多个TSF(vPN安全设施安全功能模块)，每个TSF是一个或多个VPN安全功能策略的实现。TSP〔VPN安全设施安全功能策略)是这些VPN安全功能策略的总称，构成一个安全域，以防止不可信主体的干扰和篡改实现TSF(VPN安全设施安全功能策略)有两种方法，一种是设置前端过滤器，另一种是设置访问监督器。两者都是在一定硬件基础上通过软件实现确定的安33 GA/T686一2007全策略，并提供所要求的附加服务。VPN中，VPN安全设施是一个物理上分散、逻辑上统一的分布式VPN安全设施。A.5关于密码技术密码技术是VPN安全保护的关键技术。在不同安全保护等级中所采用的不同安全策略，应选取不同配置的密码技术作为构成VPN安全保护的重要机制，或将密码技术与系统安全技术相结合，组成统一的安全机制。利用密码功能可提供的以下支持:标识与鉴别、抗抵赖、数据加密保护、数据的完整性保护等。若采用PKI技术，则应参照相应PKI的技术要求实施。各个安全等级密码技术的具体配置由国家密码主管部门决定。本标准对于密码的应用不作详细的要求。 GA/T686一2007参考文献[l二GB/T18336.2一2001信息技术安全技术信息技术安全性评估准则第2部分:安全功能要求〔2〕GB/T玲336.3一201信息技术安全技术信息技术安全性评估准则第3部分:安全保证要求[3〕AGoalVPNProtectionProfileForProtectingSens1tiveInformation，Release2，0，IOJuly，2006[4〕IETFRFC2401，SecurityArchitecturefortheInternetProtocol(IPSe。)'