标准规范下载简介:
内容预览由机器从pdf转换为word,准确率92%以上,供参考
GB/T 32922-2023 信息安全技术 IPSecV PN安全接入基本要求与实施指南.pdf6.4.5算法合规性管理要求
ecVPN技术建设安全接人平台或系统的实施过
根据业务系统数量、业务流量、用户数量、网络架构等现状,进行技术需求分析,包括: A) 2 明确IPSecVPN安全接人的应用场景需求; b) 1 明确对IPSecVPN协议、算法的需求; c) ? 明确互通兼容性的需求; d)明确性能需求
从设备管理、密钥管理、证书管理、权限管理、配置管理、日志管理等方面提出相应的管理需求: L业 1M1 设备管理:对设备组网、设备状态、CPU/内存/磁盘使用率、版本号等设备信息的管理,以及对 设备资源不足、授权异常、网络异常等设备异常状态的管理; D) 密钥管理和证书管理:对密钥及证书的生成、使用、更新等过程的管理; C) 权限管理:对操作员、管理员和审计员三类管理用户权限的管理,需为不同管理用户赋予最示 管理权限; I) )配置管理:对配置的下发、变更、备份等过程的管理; 日志管理:对信息日志、告警日志、错误日志、调试日志、操作日志等日志信息的记录、存储等过 程的管理。
从设备管理、密钥管理、证书管理、权限管理、配置管理、日志管理等方面提出相应的管理需求: 1i) 设备管理:对设备组网、设备状态、CPU/内存/磁盘使用率、版本号等设备信息的管理二跨简支板桥工程建设施工组织设计,以及对 设备资源不足、授权异常、网络异常等设备异常状态的管理; b) 密钥管理和证书管理:对密钥及证书的生成、使用、更新等过程的管理; C) 权限管理:对操作员、管理员和审计员三类管理用户权限的管理,需为不同管理用户赋予最小 管理权限; d)配置管理:对配置的下发、变更、备份等过程的管理; e) 日志管理:对信息日志、告警日志、错误日志、调试日志、操作日志等日志信息的记录、存储等过 程的管理。
根据用户的网络现状,部署设计可分为新建网络及改造网络两种场景。 对于新建网络场景,部署设计包括: Ea) 1M 依据需求分析结果,结合业务系统整体网络建设目标,参考5.1、5.2的IPSecVPN典型安全接 人场景设计网络拓扑架构,确认IPSecVPN安全接人的实现方式; b)对通信链路进行统一规划,对重要业务系统的通信链路进行备份; c)又 对带宽资源进行统一规划,各个部分的网络通信带宽要能满足业务高峰期需要; d) 1 明确IPSecVPN网关、IPSecVPN客户端、IPSecVPN集中管理平台的部署位置、链路拓扑 连接方式等; e) 关键接人节点的IPSecVPN网关考虑硬件余,保证系统的可用性; f 对IPSecVPN网关、IPSecVPN客户端的IP地址进行统一规划。 对于改造网络场景,在按照新建网络场景下的部署设计开展工作前,需优先完成以下内容: a) 1M 梳理当前网络的网络架构,改造网络的部署设计方案需包含改造网络的平滑过渡方案;
b) 如果当前网络中已部署有IPSecVPN网关,需考虑可继续利用的已有IPSecVPN网关与新增 的IPSecVPN网关之间的兼容性; C 梳理当前网络中使用的IP地址,避免新规划IP地址与已使用IP地址冲突
依据用户业务需求,对IPSecVPN安全接人系统的功能与性能进行设计,包括: a)功能设计:明确VPN功能、可靠性功能、互通兼容性功能、IP协议兼容性功能、证书认证功能 管理功能,明确随机数生成、密码算法、工作模式、密钥交换、安全报文封装、NAT穿越、身份鉴 别方式、IP协议版本支持、抗重放攻击、密钥更新等指标要求; b)性能设计:明确加解密吞吐率、加解密时延、最大并发隧道数、每秒新建隧道数等指标要求,
依据用户业务安全性要求,对IPSecVPN安全接人系统自身的安全性进行设计,包括: Aa) 根据安全管理要求,明确IPSecVPN网关、IPSecVPN客卢端、集中管理平台间的身份鉴别和 授权措施,为不同的IPSecVPN网关及客户端设计不同的身份鉴别信息; b) 根据密码要求,明确IPSecVPN网关及客户端的协议、算法、密钥管理等指标要求; c)日 明确IPSecVPN网关及客户端的密钥及证书更新周期等指标要求; d)明确对IPSecVPN网关进行远程管理时所采用的加密措施。
在方案设计完成后需对方案进行验证测试,测试通过后方可进行配置实施。测试工作包括测试方 案制定、测试环境准备、测试实施、结论审定、报告出具等主要过程,具体包括: a)制定测试方案,按照对应的安全接入场景和部署设计搭建仿真环境,连接测试工具仪器设备; b)设备部署后对IPSecVPN网关和客户端的功能、性能、安全性等进行测试; c)测试完成后,对部署包、初始配置、详细测试过程文档、测试结果、测试报告等进行归档
在部署实施前,需做好以下准备工作。 11 设备选型包括: 1)根据7.2需求分析结果,按6.1要求对IPSecVPN网关进行选型,如使用IPSecVPN客户 端,则按6.2要求对IPSecVPN客户端进行选型; 2)选用由具备资格的机构安全认证合格或者安全检测符合要求的产品。 D) 设备检查:对IPSecVPN网关及客户端外观、附件进行检查,确保设备完好、附件齐全。 ? 证书申请:向受信任的证书认证机构申请相应的IPSecVPN网关及客户端证书、管理员证书等。 IP地址申请:申请IPSecVPN网关地址池、对外服务IP地址及设备管理IP地址。 2 备份链路申请:根据业务系统重要性,向网络运营商申请备份链路。 F 1M1 带外管理网络申请:根据管理需求规划,申请带外管理网络线路。 ) 访问控制策略制定:确定允许或拒绝用户通过IPSecVPN访问业务系统对应的IP地址、服务 端口、协议类型、访问时间等,并制定详细的访问控制策略。 h)上线与回退方案制定:在实施前,制定网络割接和设备上线方案,以及失败时恢复到原有网络 状态的回退方案。
在IPSecVPN网关及客户端部署时,需做好以下操作: a)理解接人方案并按方案要求完成IPSecVPN网关和客户端的部署; b)进人机房部署IPSecVPN网关时遵守机房管理制度; C) 1M 对用于IPSecVPN网关部署的操作终端进行安全状态检查; d)IPSecVPN网关上电后进行设备状态检查,按照设备操作手册核查指示灯、声音等状态指示 以确认设备的工作状态; e)IPSecVPN网关一般部署在网络出口,外网口连接外部网络,内网口连接内部网络,在IPSec VPN网关接人外部网络前,配备安全防护设备或系统进行安全防护; f) 在IPSecVPN网关导人实施准备步骤中申请的证书; g)在接人终端上使用IPSecVPN客户端时,导人实施准备步骤中申请的证书; h)IPSecVPN网关部署完成后,在集中管理平台上完成IPSecVPN网关的统一配置、管理、隧道 状态监控。
IPSecVPN网关及客户端部署完成后,需做好以下配置: a1) 1 网络参数:配置网络接口IP地址、缺省网关地址、VPN主机和子网路由、域名等; b)管理参数:配置IPSecVPN网关用于接受远程运维管理的IP地址和协议端口、集中管理平台 的IP地址和协议端口、管理用户账户及其身份鉴别方式、用户登录失败锁定策略等; C) 业务参数:配置IPSecVPN业务所需的隧道封装地址、密码算法、工作模式、密钥交换、安全报 文封装、NAT穿越、身份鉴别方式等参数,配置需进行IPSec处理的IP数据报文五元组及处 理对应的SA: d) 安全参数:配置密钥更新周期、访问控制地址和端口列表、访问控制时间段和资源列表等; e)客户端用户参数:当使用客户端模式时,在IPSecVPN客户端中配置用户名和口令、用户身份 鉴别方式、用户授权信息、用户配置信息、身份鉴别和授权服务器的IP地址和协议端口、用户 有效期等,其中用户配置信息包括接人用户IP地址、网关IP地址、域名服务器地址和DHCP 服务器地址等
7.6.1系统维护管理
a) IPSecVPN网关及客户端正式投人运行前,及时清除设备中的临时数据及临时参数等,关闭 不需要的系统服务、默认共享和高危端口; 建立针对IPSecVPN网关及客户端日常维护的安全管理制度和系统维护制度; C) 2 按7.6.2定期检查IPSecVPN网关及客户端的网络状况、设备状况、业务状况、系统状况等; H) 按7.6.3登记并归档保存与IPSecVPN实施和维护过程中的资源信息; e) 1 按7.6.4制定数据备份与恢复策略,制定应急预案并定期开展应急演练; f) 按7.6.5建立IPSecVPN业务变更与撤销的流程
资源管理包括以下内容。 a)对IPSecVPN实施和维护过程中产生的电子文档、纸质文档、配置信息、程序文件等资源信息 进行统一登记、集中归档保存。资源信息包括: 1)IPSecVPN需求分析、方案设计过程中产生的相关方案及过程文档; 2)IPSecVPN配置实施过程中产生的部署拓扑图、资产信息、网络配置、管理配置、安全配 置、用户配置等过程信息; 3)IPSecVPN使用的密钥、证书、承载业务情况等; 4)IPSecVPN测试过程中产生的测试文档、测试结果、测试报告等; 5)IPSecVPN运行管理过程中产生的制度文件、监测记录、配置变更记录等。 b)定期对归档保存的资源信息进行检查,保证资源信息的正确性、一致性和可用性。 c) 资源信息存放在安全可控的存储环境中,并定期对存储环境进行安全检查。 d)1 IPSecVPN维护过程中需对系统资源的授权、审批、登记等使用情况统一管理。安排特定人 员依据本单位管理制度对IPSecVPN进行系统资源变更及资源信息管理,对发生变化的资源 信息及时进行更新归档
备份与恢复管理包括如下内容: Ea)) 对VPN业务执行所依赖的数据(包括配置、权限、用户信息、证书及密钥等)进行识别评估,对 需备份的数据形成备份清单,制定数据备份策略,明确备份方式、备份频率、存储介质等信息; D) 定期对备份清单对应的数据进行备份,并对备份过程进行详细记录,包括备份日期、备份过程 参与人员及备份结果等相关信息;
建立IPSecVPN网关配置修改、客户端增减、应用资源授权范围调整、接人链路调整、业务撤销等 变更与撤销事项的业务流程。流程包括审批、实施和反馈三个方面,具体包括: a)建立变更与撤销审批流程:审批内容包括变更与撤销操作人员、操作对象、操作内容、审批人员 及意见、时间等要素,审批数据需妥善保存; b)按照审批通过的内容实施变更与撤销事项:在撤销IPSecVPN安全接人业务时,清除接人设 备的配置信息、用户数据、系统日志等,并回收为用户分配的IP地址; c)建立变更与撤销实施完成反馈制度:在IPSecVPN网关配置变更与撤销完成后,对相关人员 进行汇报与反馈。
本附录描述了IPSecVPN的典型应用案例,各行业可参照实施。 通过部署IPSecVPN安全接人系统,为分支机构提供从互联网等公众网络可信接人总部网络的安 全隧道。
图A.1IPSecVPN典型应用逻辑示意图
IPSecVPN网关的部署要点包括。 a)部署位置:IPSecVPN服务网关的外联接口一般连接到防火墙等与互联网逻辑隔离的安全设 备,内联接口连接到总部网络内部区域。IPSecVPN服务网关支持与总部网络MPLSVPN 等多业务域环境的对接。外部接人的IPSecVPN接人网关一般部署在远端待接人的局域网 互联网出人口处。 b)IP地址:IPSecVPN服务网关外联接口IP地址使用互联网地址,IPSecVPN服务网关内联接 口IP地址采用总部网络统一分配的地址。远端接入的IPSecVPN接人网关外联口IP地址 为互联网地址,内联口IP地址采用地址池内的地址或者远端局域网地址。IPSecVPN客户端 的IP地址一般由IPSecVPN服务网关分配。 c)接人方式:IPSecVPN服务网关一般要求支持网关和客户端两种接人方式。 d) 性能考虑:IPSecVPN服务网关的性能需满足实际的带宽及同时接人IPSecVPN接人网关和 客户端数量要求。根据需要可部署IPSecVPN网关集群。
不具备专线条件接人总部网络的分支机构使用IPSecVPN网关通过互联网链路接人总部网络,见 图A.2。
图A.2 IPSecVPN网关典型应用场景一
场京一中的部者要点包括。 a) 13 对于分支机构存在多条互联网出口线路的情况,分支机构IPSecVPN网关可建立多条VPN 隧道接入总部网络,当其中一条互联网链路出现拥堵、中断等故障时,业务流量可通过其他 VPN隧道正常传输,从而保障业务可用。 b)IPSecVPN网关按照就近接人原则,通过互联网接人到本级总部网络的IPSecVPN服务网 关,例如本级总部网络无IPSecVPN服务网关0078 珠海某大学校区污水处理系统改造土建工程施工组织设计,可申请接入上一级总部网络的IPSecVPN服 务网关。 C) 分支机构IPSecVPN网关支持接人集中管理,状态检测、策略下发、版本升级等操作。
移动办公用户以IPSecVPN客户端方式接人IPSecVPN服务网关,访问总部网络移动办公应 业务系统,见图A.3。
IPSec VPN 服务网关(集样) 移动办公 (使用证书或用 总部网络城域网 户名、口令) 路山器 路山器 总部网络骨下网 公岁 互联网 : 3G基站 VPIN服务器 A 儿 拉 移动办公 (带VPIDN客户端) 逻辑隔离 共他公用承裁圈
图A.3IPSecVPN网关应用场景二
场景二中的部署要点包括。 A1) 针对需通过互联网实时接人总部网络访问的移动终端用户,使用IPSecVPN方式连接 IPSecVPN服务网关,提供移动接人终端到IPSecVPN网关的身份鉴别、传输加密、访问控
A.4典型应用场景三:分支机构VPN组网
不具备专线组网条件的分支机构可基于互联网搭建IPSecVPN专网,分支机构通过互联网持 SecVPN加密隧道接人专网,实现业务数据安全互访,见图A.4
DB34/T 3350-2019标准下载图A.4IPSecVPN网关应用场景三