ICS35040

L80.

中華人民共和國國家標準

GB/T250685—2021

代替.

GB/T25068.5—2010

信息技術安全技術網絡安全

第5部分使用虛擬專用網的跨網通信

:

安全保護

Informationtechnology—Securitytechniques—Networksecurity—

Part5Securincommunicationsacrossnetworksusinvirtualrivatenetworks

:ggp

(ISO/IEC27033-5:2013,MOD)

2021-03-09發布2021-10-01實施

國家市場監督管理總局發布

國家標準化管理委員會

GB/T250685—2021

.

目次

前言

…………………………Ⅲ

范圍

1………………………1

規范性引用文件

2…………………………1

術語和定義

3………………1

縮略語

4……………………2

概述

5………………………2

簡介

5.1…………………2

類型

5.2VPN……………3

安全威脅

6…………………4

安全要求

7…………………4

概述

7.1…………………4

機密性

7.2………………5

完整性

7.3………………5

鑒別

7.4…………………5

授權

7.5…………………5

可用性

7.6………………5

隧道端點安全

7.7………………………6

安全控制

8…………………6

安全方面

8.1……………6

虛電路

8.2………………6

相關技術

9VPN……………6

概述

9.1…………………6

法規和法律方面

9.2……………………7

管理方面

9.3VPN………………………7

架構方面

9.4VPN………………………7

概述

9.4.1……………7

端點安全

9.4.2………………………8

終止點安全

9.4.3……………………8

惡意軟件防護

9.4.4…………………8

鑒別

9.4.5……………9

入侵檢測與防御系統

9.4.6…………9

安全網關

9.4.7………………………9

網絡設計

9.4.8………………………9

其它連接

9.4.9………………………9

分離隧道

9.4.10………………………9

日志審計和網絡監控

9.4.11…………9

Ⅰ

GB/T250685—2021

.

技術漏洞的管理

9.4.12……………10

公共網絡路由加密

9.4.13…………10

技術考量

9.5VPN……………………10

背景

9.5.1……………10

設備管理

9.5.2VPN………………10

安全監控

9.5.3VPN………………10

產品選擇指南

10…………………………11

承載協議選擇

10.1……………………11

裝置

10.2VPN…………………………11

附錄資料性附錄技術

A()TISec………………………12

參考文獻

……………………16

Ⅱ

GB/T250685—2021

.

前言

信息技術安全技術網絡安全分為以下個部分

GB/T25068《》5:

第部分綜述和概念

———1:;

第部分網絡安全設計和實現的指南

———2:;

第部分參考網絡場景風險設計技術和控制要素

———3:、;

第部分使用安全網關的網間通信安全保護

———4:;

第部分使用虛擬專用網的跨網通信安全保護

———5:。

本部分為的第部分

GB/T250685。

注可能還會有其他部分這些部分可能覆蓋的主題包括局域網城域網寬帶網網頁寄存互聯網

:GB/T25068。、、、、

電子郵件接入第三方組織的路由這些部分主要涉及威脅設計技術和控制等問題

、。、。

本部分按照給出的規則起草

GB/T1.1—2009。

本部分代替信息技術安全技術網絡安全第部分使用虛擬專用網

GB/T25068.5—2010《IT5:

的跨網通信安全保護

》。

本部分與相比主要技術差異如下

GB/T25068.5—2010,:

修改了規范性引用文件見第章年版的第章

———(2,20102);

刪除了術語第層交換技術第層第層交換技術第層專用網增加

———“2”“2VPN”“3”“3VPN”“”,

了術語隧道見第章版的第章

“”(3,20103);

增加了縮略語等見第章

———“TePA”“TISec”(4);

修改了第章標題由綜述改為概述見第章年版的第章

———5,“VPN”“”(5,20105);

修改了第章標題由安全目標改為安全威脅見第章年版的第章

———6,“VPN”“”(6,20106);

修改了第章標題由安全要求改為安全要求見第章年版的第章

———7,“VPN”“”(7,20207);

增加了我國密碼算法相關的使用規定以與我國密碼管理相關規定相適應見第章

———,(7);

增加了第章安全控制見第章

———8“”(8);

將第章安全選擇指南和第章安全實施指南合并為第章相關技

———8“VPN”9“VPN”9“VPN

術見第章年版的第章和第章

”(9,201089);

增加了第章產品選擇指南見第章

———10“”(10)。

本部分使用重新起草法修改采用信息技術安全技術網絡安全第

ISO/IEC27033-5:2013《5

部分使用虛擬專用網的跨網通信安全保護

:》。

本部分與的技術性差異及其原因如下

ISO/IEC27033-5:2013:

關于規范性引用文件本部分做了具有技術性差異的調整以適應我國的技術文件調整的情

———,,,

況集中反映在第章規范性引用文件中具體調整如下

2“”,:

刪除了

●ISO/IEC27001:2005、ISO/IEC27002:2005、ISO/IEC27005:2011;

增加引用了所有部分見第章

●GB/T9387()、GB/T22080—2016、GB/T31722—2015(3);

增加引用了見第章

●GB/T22081(3、9.4.2、9.4.4、9.4.5);

增加引用了見

●GB/T17901.1—2020(9.4.5)。

第章增加了部分術語

———3。

修改了第章中的縮略語

———4。

刪除了國際文件中第章文檔結構并依次調整余后各章的編號

———5“”,。

第章增加了對我國國家標準和密碼行業標準的引用

———5IPSecVPNSSLVPN。

Ⅲ

GB/T250685—2021

.

第章增加了我國密碼算法相關的使用規定以與我國密碼管理相關規定相適應

———7,。

第章增加了對附錄的引用

———8A。

修改了第章的標題

———9。

本部分還做了下列編輯性修改

:

增加了資料性附錄給出了滿足安全使用目標的典型應用該附錄給出了一種安全

———A,VPN,IP

可信技術其目標是為網絡端到端的訪問和通信提供安全保障對如何實現安全可

(TISec),IP,

靠的提供指導

VPN;

請注意本部分的某些內容可能涉及專利本文件的發布機構不承擔識別這些專利的責任

。。

本部分由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本部分起草單位西安西電捷通無線網絡通信股份有限公司中關村無線網絡安全產業聯盟重慶

:、、

郵電大學中國電子技術標準化研究院黑龍江省網絡空間研究中心國家無線電監測中心檢測中心福

、、、、

建省無線電監測站中國通用技術研究院國家密碼管理局商用密碼檢測中心國家信息技術安全研究

、、、

中心珠海許繼電氣有限公司許繼集團有限公司天津市無線電監測站北京計算機技術及應用研

、、、、

究所

。

本部分主要起草人杜志強蘆亮黃振海王月輝陶洪波陳志宇于光明鐵滿霞張變玲

:、、、、、、、、、

許玉娜曲家興龍昭華李琴李明顏湘羅鵬簡練張強吳冬宇趙曉榮鄭驪許福明劉科偉

、、、、、、、、、、、、、、

方舟李冬傅強王棟熊克琦朱正美劉景莉趙慧郭上華趙奕李玉嬌

、、、、、、、、、、。

本部分所代替標準的歷次發布情況為

:

———GB/T25068.5—2010。

Ⅳ

GB/T250685—2021

.

信息技術安全技術網絡安全

第5部分使用虛擬專用網的跨網通信

:

安全保護

1范圍

的本部分規定了使用虛擬專用網連接到互聯網和將遠程用戶連接到網絡上的

GB/T25068(VPN)

安全要求以及在使用提供網絡安全時所必需的控制技術的選擇實施和監控指南

,VPN、。

本部分適用于在使用時負責選擇和實施提供網絡安全所必需的技術控制人員以及隨后的

VPN,

安全的網絡監控人員

VPN。

2規范性引用文件

下列文件對于本文件的應用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。