《信息安全技术 IPSec VPN安全接入基本要求与实施指南》介绍

2016年8月29日，国家质量监督检验检疫总局、国家标准化管理委员会批准发布国家标准《信息安全技术 IPSec VPN安全接入基本要求与实施指南》。该标准由国家信息中心公共技术服务部（国家电子政务外网管理中心办公室）具体牵头制定，标准号为GB/T 32922-2016，正式实施日期为2017年3月1日。

       该标准明确了采用IPSec VPN技术实现安全接入的场景，提出了IPSec VPN安全接入应用过程中有关网关、客户端以及安全管理等方面的要求，同时给出了IPSec VPN安全接入的实施过程指导。本文将从用途和适用范围、内容概要、典型应用案例三方面介绍该标准。

      本标准适用于采用IPSec VPN技术开展安全接入应用的机构,指导其进行基于IPSec VPN技术开展安全接入平台或系统的需求分析、方案设计、配置实施测试与备案、运行管理，也适用于设备厂商参考其进行产品的设计和开发。

标准主要包括7章内容。本标准第1至第4章为总述性内容，介绍标准的范围、引用文件、术语和定义、缩略语。第5-7章，主要内容包括IPSec VPN安全接入场景、IPSec VPN安全接入基本要求和实施指南。

在第5章IPSec VPN安全接入场景中，分别对网关到网关的安全接入场景和终端到网关的安全接入场景明确了适用范围、部署方式和网络类型。

     IPSec VPN网关到网关的对接适用于分支机构安全接入到总部网络或者机构之间的安全。如下图所示，网络1和网络2分别部署IPSec VPN网关，通过IPSec VPN网关建立网络之间的安全传输通道。物理链路包括互联网链路、运营商提供的无线接入链路或专线链路等。

网关到网关的安全接入场景图

终端到IPSec VPN网关的安全接入适用于移动办公用户或者公众用户接入机构内部网络。如下图所示，接入网络部署IPSec VPN网关，接入终端通过IPSec VPN客户端和IPSec VPN网关建立安全传输通道。IPSec VPN客户端包含在接入终端上部署的连接网关的软件以及可选用的智能密码钥匙等硬件，接入终端可以是计算机，也可以是智能手机、平板电脑等移动智能终端设备。物理链路包括互联网链路、运营商提供的无线接入链路等。

在第6章IPSec VPN安全接入基本要求中，规定了IPSec VPN网关技术要求、IPSec VPN客户端技术要求和安全管理要求。下面分别对各要求进行介绍。

1．IPSec VPN网关技术要求

（1）规定了应符合GM/T0022-2014《IPSec VPN技术规范》和GM/T0023-2014《IPSec VPN网关产品规范》；应支持符合国家标准规定的算法；应支持隧道模式和传输模式等三项产品要求；

（2）从VPN功能类型、产品可靠性功能、互通兼容性功能、IPv6兼容性功能、数字证书认证功能、设备管理功能等六项提出了功能要求；

（3）明确了对不同量级网关的加解密吞吐量、加解密时延、加解密丢包率、每秒新建隧道数、最大并发隧道数、单隧道最大并发连接数等六项性能要求。

2. 对于IPSec VPN客户端技术要求

从IPSec VPN客户端软件要求和IPSec VPN客户端硬件要求两方面进行说明。IPSec VPN客户端软件要求涉及安全协议、操作系统、网络设置等内容。IPSec VPN客户端硬件要求规定智能密码钥匙应符合国家相关标准。

3. 安全管理要求

（1）系统管理要求明确了基本要求和增强要求，基本要求明确了日志记录、管理员设置、用户使用等方面的要求，增强要求规定在对安全性要求较高的情况下，还应满足某些更高级别的安全要求；

（2）数字证书管理要求对设备数字证书管理和客户端数字证书管理进行了说明；

（3）地址管理要求包括地址规划和地址分配；

（4）其他要求为密钥管理、数据管理、人员管理和设备管理应符合GM/T0022-2014中的相关要求。

     第7章实施指南中规定，基于IPSec VPN技术建设安全接入平台或系统的实施过程可划分为需求分析、方案设计、配置实施、测试与备案、运行管理等五个阶段。下面对各阶段进行介绍。

（1）需求分析包括根据业务系统数量、业务流量等现状提出的IPSec VPN设备功能、性能需求和从设备管理、密钥管理、证书管理、配置管理、日志管理等方面提出的管理需求；

（2）方案设计分为接入方案设计和管理方案设计，接入方案设计包括网关、客户端的部署位置、链路拓扑、连接方式等；

（3）配置实施流程包括设备选型、数字证书申请、IP地址申请等工作的实施准备、IPSec VPN网关和客户端等设备的部署、IPSec VPN设备配置和系统联调；

（4）测试与备案阶段应制定测试方案，设备部署后对网关、客户端各项功能、性能等进行测试，测试完成后对详细测试结果、测试报告进行备案；

（5）运行管理包括系统维护管理、运行监测、资源管理、备份与恢复和变更与撤销。

     本文依据该标准描述了政务外网基于IPSec VPN的典型应用案例，为各行业部署IPSec VPN提供参考。

应用场景

     通过部署IPSec VPN安全接入系统，为政务外网用户提供从互联网等公众网络可信接入政务外网的安全隧道，满足不具备专线接入条件的部门接入政务外网和政务用户出差或移动办公的接入需求，延伸政务外网的覆盖范围。

     各级政务外网划分公用网络区、专用网络区等内部区域和互联网接入区等外部区域。在政务外网互联网接入区集中部署IPSec VPN服务网关或网关集群,提供IPSec VPN接入网关的接入或移动办公的接入服务。

部署要点

1.IPSec VPN网关按照就近接入原则,通过互联网接入到本级政务外网的IPSec VPN服务网关,如本级政务外网无IPSec VPN服务网关,可申请接入上级政务外网的IPSec VPN服务网关。

2.移动办公用户以IPSec VPN客户端方式接入IPSec VPN服务网关，按照属地化原则接入到政务外网：

（1）移动办公用户分别采用用户名、口令方式或采用证书方式连接到IPSec VPN服务网关。一般所访问的应用系统安全保护等级为第二级的,可以使用用户名、口令的方式连接IPSec VPN服务网关。应用系统安全保护等级为第三级的，要采用证书方式连接到IPSec VPN服务网关。

（2）证书一般应采用政务外网CA颁发的证书。

     兴唐IPSEC VPN安全网关是经由国家主管部门鉴定通过、实现网络层信道加密的商用密码设备，其系列产品包括万兆型、千兆型、百兆型、桌面型、模块型、密钥管理中心、设备管理中心等。产品数据加解密速度接近线速。

产品主要功能和特点

 （1）支持SM2、SM3和SM4；

 （2）网络节点的可靠性认证；

 （3）支持明通、密通等密码策略设置；

 （4）支持双机热备和负载均衡；

 （5）防重播功能，报文认证功能；

 （6）定制系统，定制协议；

 （7）自主防护，自适应。

应用领域

      主要应用于国家重点行业（通信、金融、能源、公安等）网络的边界防护。