GM/T 0052-2016 密码设备管理 VPN设备监察管理规范在线下载,免费下载

犐犆犛３５．０４０犔８０： — 备案号５８５５７２０１７中华人民共和国密码行业标准犌犕／犜００５２—２０１６密码设备管理犞犘犖设备监察管理规范犆狉狔狆狋狅犵狉犪狆犺犻犮犲狇狌犻狆犿犲狀狋犿犪狀犪犵犲犿犲狀狋— 犕狅狀犻狋狅狉犻狀犵犿犪狀犪犵犲犿犲狀狋狊狆犲犮犻犳犻犮犪狋犻狅狀狅犳犞犘犖犲狇狌犻狆犿犲狀狋２０１６１２２３发布２０１６１２２３实施国家密码管理局发布犌犕／犜００５２—２０１６目　　次前言 ………………………………………………………………………………………………………… Ⅰ 引言 ………………………………………………………………………………………………………… Ⅱ １　范围 ……………………………………………………………………………………………………… １２　规范性引用文件 ………………………………………………………………………………………… １３　术语和定义 ……………………………………………………………………………………………… １４　缩略语 …………………………………………………………………………………………………… ２５　ＶＰＮ设备的监察管理体系 ……………………………………………………………………………… ２　５．１　体系结构 …………………………………………………………………………………………… ２　５．２　功能要求 …………………………………………………………………………………………… ２　５．３　管理应用层 ………………………………………………………………………………………… ３　５．４　管理平台层 ………………………………………………………………………………………… ３　５．５　ＶＰＮ设备的监察设备层 …………………………………………………………………………… ３　５．６　安全通信 …………………………………………………………………………………………… ４　５．７　ＶＰＮ设备的监察管理流程 ………………………………………………………………………… ４６　ＶＰＮ设备的监察数据采集规则 ………………………………………………………………………… ５　６．１　过滤规则 …………………………………………………………………………………………… ５　６．２　基于ＩＰＳｅｃＶＰＮ协议的检测规则 ………………………………………………………………… ６　６．３　基于ＳＳＬＶＰＮ协议的检测规则 ………………………………………………………………… ７７　ＶＰＮ设备的监察管理消息定义 ………………………………………………………………………… ７　７．１　概述 ………………………………………………………………………………………………… ７　７．２　ＶＰＮ设备的监察设备配置消息 …………………………………………………………………… ８　７．３　过滤规则消息 ……………………………………………………………………………………… ８　７．４　ＶＰＮ设备的监察设备告警消息 …………………………………………………………………… ９附录Ａ（资料性附录）　消息的ＸＭＬ定义举例 ………………………………………………………… １１　Ａ．１　ＶＰＮ设备的监察设备配置消息的ＸＭＬ定义 ………………………………………………… １１　Ａ．２　ＶＰＮ设备的监察设备过滤规则消息的ＸＭＬ定义 …………………………………………… １１　Ａ．３　ＶＰＮ设备的监察设备告警消息的ＸＭＬ定义 ………………………………………………… １２参考文献 …………………………………………………………………………………………………… １４犌犕／犜００５２—２０１６前　　言　　本标准按照ＧＢ／Ｔ１．１—２００９给出的规则起草。ＧＭ／Ｔ００５２《密码设备管理　ＶＰＮ设备监察管理规范》是密码设备管理类规范之一。该类规范由一个基础规范和系列管理应用规范组成，目前包括： ——— 基础规范：ＧＭ／Ｔ００５０　密码设备管理　设备管理技术规范； ——— 管理应用规范：ＧＭ／Ｔ００５１　密码设备管理　对称密钥管理规范； ——— 管理应用规范：ＧＭ／Ｔ００５２　密码设备管理　ＶＰＮ设备监察管理规范； ——— 管理应用规范：ＧＭ／Ｔ００５３　密码设备管理　远程监控与合规性检验接口数据规范。本标准凡涉及密码算法相关内容，按国家有关法规实施。本标准由密码行业标准化技术委员会提出并归口。本标准起草单位：上海信息安全工程技术研究中心、上海交通大学信息安全学院、上海鹏越惊虹信息技术发展有限公司、上海华堂网络有限公司、卫士通信息产业股份有限公司、上海天融信网络安全技术有限公司、上海信昊信息科技有限公司。本标准主要起草人：王隽、田立、周志洪、黄志荣、廖烨、邹铷、袁峰、潘淑媛、王贺刚、李俊山、张元臣、吕明忠、潘利民、李高健。 Ⅰ 犌犕／犜００５２—２０１６引　　言　　本标准依据ＧＭ／Ｔ００５０《密码设备管理　设备管理技术规范》中密码设备管理平台架构，提出针对重要信息系统与网络中ＶＰＮ设备的监察管理规范，包括管理体系、管理流程、管理消息格式等。本标准采用的安全通道，依据ＧＭ／Ｔ００５０中的管理应用接口建立，相关内容请参考ＧＭ／Ｔ００５０。 Ⅱ 犌犕／犜００５２—２０１６密码设备管理犞犘犖设备监察管理规范１　范围本标准规定了重要信息系统与网络中的ＶＰＮ设备的监察管理，以发现和定位网络中的非法ＶＰＮ设备，并检测合法设备在使用过程中的违规操作。本标准适用于ＶＰＮ设备监察管理系统及监察设备的研发与应用，也可用于指导检测该类监察设备。２　规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。ＧＭ／Ｔ００２２—２０１４　ＩＰＳｅｃＶＰＮ技术规范ＧＭ／Ｔ００２４—２０１４　ＳＳＬＶＰＮ技术规范ＧＭ／Ｔ００５０—２０１６　密码设备管理　设备管理技术规范ＧＭ／Ｔ００５３—２０１６　密码设备管理　远程监控与合规性检验接口数据规范３　术语和定义３．１下列术语和定义适用于本文件。犞犘犖设备　犞犘犖犱犲狏犻犮犲利用ＶＰＮ技术实现网络中安全通信服务的设备。本标准中的ＶＰＮ设备指ＩＰｓｅｃＶＰＮ和ＳＳＬＶＰＮ设备，包括采用ＩＰｓｅｃ、ＳＳＬ协议的符合国家标准的网络密码机。３．２犞犘犖设备的监察设备　犞犘犖犮狅犿狆犾犻犪狀犮犲犿狅狀犻狋狅狉犻狀犵犪犵犲狀犮狔按照监察管理应用规则，实现对被监测网络中的目的数据包进行过滤分析，并上报关键信息的网络设备。３．３伯克利封包过滤器　犫犲狉犽犲犾犲狔狆犪犮犽犲狋犳犻犾狋犲狉工作在操作系统内核的数据包捕获机制，先将链路层的数据包捕获再过滤，最后提供给应用层特定的过滤后的数据包。３．４白名单　狑犺犻狋犲犾犻狊狋对已在国家密码管理主管部门备过案，并且“已知为良好 ”的ＶＰＮ设备名单，管理应用层用来标识安全可信的合规设备列表。白名单中的信息包括：设备的注册ＩＰ地址、设备的密码算法标识等信息。１犌犕／犜００５２—２０１６４　缩略语下列缩略语适用于本文件。ＢＰＦ：伯克利封包过滤器（ＢｅｒｋｅｌｅｙＰａｃｋｅｔＦｉｌｔｅｒ）ＩＰＳｅｃ：ＩＰ安全协议（ＩｎｔｅｒｎｅｔＰｒｏｔｏｃｏｌＳｅｃｕｒｉｔｙ）ＩＳＡＫＭＰ：网络安全关联和密钥管理协议（ＩｎｔｅｒｎｅｔＳｅｃｕｒｉｔｙＡｓｓｏｃｉａｔｉｏｎａｎｄＫｅｙＭａｎａｇｅｍｅｎｔＰｒｏｔｏｃｏｌ）ＰＤＵ：分包数据单元（ＰａｃｋａｇｅＤａｔａＵｎｉｔ）ＳＳＬ：安全套接层（ＳｅｃｕｒｅＳｏｃｋｅｔＬａｙｅｒ）ＶＰＮ：虚拟专用网（ＶｉｒｔｕａｌＰｒｉｖａｔｅＮｅｔｗｏｒｋ）５　犞犘犖设备的监察管理体系５．１　体系结构ＶＰＮ设备监察管理体系遵循ＧＭ／Ｔ００５０—２０１６的５．３，其体系结构如图１所示。图１　犞犘犖设备监察管理体系结构图　　以下５．３、５．４、５．５详细描述图１中的各层内容。５．２　功能要求监察管理系统的功能要求为：ａ）　在线获取ＶＰＮ设备的监察数据；ｂ）　分析这些监察数据，判断ＶＰＮ设备的应用是否合规；ｃ）　若发现不合规的ＶＰＮ设备，则实时告警和取证分析；ｄ）　维护（新增、修改和删除）违规算法的列表；ｅ）　维护过滤ＩＰ列表，建立白名单机制；２犌犕／犜００５２—２０１６ｆ）　统计全网中ＶＰＮ设备的通信次数；ｇ）　提供对历史数据的查询和统计分析。５．３　管理应用层本标准涉及的管理应用是ＶＰＮ设备的监察管理。对于ＶＰＮ设备的监察管理，应通过抓取和检测ＶＰＮ密钥协商阶段的数据包，分析网络中ＶＰＮ设备应用情况，对违规ＶＰＮ设备告警，确保ＶＰＮ设备的合法合规。５．４　管理平台层对管理平台层的要求遵循ＧＭ／Ｔ００５０—２０１６的５．５。５．５　犞犘犖设备的监察设备层ＶＰＮ设备的监察设备接受管理代理的管理，并遵循ＧＭ／Ｔ００５０—２０１６的５．６和ＧＭ／Ｔ００５３— ２０１６的５．３和５．４。ＶＰＮ设备的监察设备部署在被监察网络的出入口，对网络内所有ＶＰＮ设备通过旁路抓包的方式进行监察管理，负责接收管理应用层通过设备管理平台和安全通道下发的策略和指令，解析指令，并将执行结果返回。ＶＰＮ设备监察设备的逻辑结构如图２所示。图２　犞犘犖设备的监察设备示意图　　ＶＰＮ设备的监察设备的主要功能有：ａ）　高速数据包采集功能，实现对网络核心交换设备的实时数据采集分析。ｂ）　ＶＰＮ通信发现功能，支持对ＩＰＳｅｃ、ＳＳＬ的协议分析。ｃ）　加密算法判定功能，针对发现的ＶＰＮ通信，提取相应加密算法标识等相关信息，对是否属合法密码算法进行判定。ｄ）　ＶＰＮ设备定位功能，对发现的正在使用的ＶＰＮ设备，定位设备所在网络地址或网段地址。将合法的ＶＰＮ设备信息，记录到数据库