犐犆犛35.040 犔8 0: — 备案号 58557 2017 中华人民共和国密码行业标准 犌犕/犜0052—2016 密码设备管理 犞犘犖 设备监察管理规范 犆狉狔狆狋狅犵狉犪狆犺犻犮犲狇狌犻狆犿犲狀狋犿犪狀犪犵犲犿犲狀狋— 犕狅狀犻狋狅狉犻狀犵犿犪狀犪犵犲犿犲狀狋狊狆犲犮犻犳犻犮犪狋犻狅狀狅犳犞犘犖犲狇狌犻狆犿犲狀狋 20161223 发布 20161223 实施 国家密码管理局 发 布 犌犕/犜0052—2016 目    次 前言 ………………………………………………………………………………………………………… Ⅰ 引言 ………………………………………………………………………………………………………… Ⅱ 1  范围 ……………………………………………………………………………………………………… 1 2  规范性引用文件 ………………………………………………………………………………………… 1 3  术语和定义 ……………………………………………………………………………………………… 1 4  缩略语 …………………………………………………………………………………………………… 2 5 VPN 设备的监察管理体系 ……………………………………………………………………………… 2  5.1  体系结构 …………………………………………………………………………………………… 2  5.2  功能要求 …………………………………………………………………………………………… 2  5.3  管理应用层 ………………………………………………………………………………………… 3  5.4  管理平台层 ………………………………………………………………………………………… 3  5.5 VPN 设备的监察设备层 …………………………………………………………………………… 3  5.6  安全通信 …………………………………………………………………………………………… 4  5.7 VPN 设备的监察管理流程 ………………………………………………………………………… 4 6 VPN 设备的监察数据采集规则 ………………………………………………………………………… 5  6.1  过滤规则 …………………………………………………………………………………………… 5  6.2  基于IPSecVPN 协议的检测规则 ………………………………………………………………… 6  6.3  基于 SSLVPN 协议的检测规则 ………………………………………………………………… 7 7 VPN 设备的监察管理消息定义 ………………………………………………………………………… 7  7.1  概述 ………………………………………………………………………………………………… 7  7.2 VPN 设备的监察设备配置消息 …………………………………………………………………… 8  7.3  过滤规则消息 ……………………………………………………………………………………… 8  7.4 VPN 设备的监察设备告警消息 …………………………………………………………………… 9 附录 A (资料性附录)  消息的 XML 定义举例 ………………………………………………………… 11  A.1 VPN 设备的监察设备配置消息的 XML 定义 ………………………………………………… 11  A.2 VPN 设备的监察设备过滤规则消息的 XML 定义 …………………………………………… 11  A.3 VPN 设备的监察设备告警消息的 XML 定义 ………………………………………………… 12 参考文献 …………………………………………………………………………………………………… 14 犌犕/犜0052—2016 前    言    本标准按照 GB/T1.1—2009 给出的规则起草 。 GM/T0052《密码设备管理  VPN 设备监察管理规范 》是密码设备管理类规范之一 。 该类规范由 一个基础规范和系列管理应用规范组成 ,目前包括 : ——— 基础规范 :GM/T0050  密码设备管理   设备管理技术规范 ; ——— 管理应用规范 :GM/T0051  密码设备管理   对称密钥管理规范 ; ——— 管理应用规范 :GM/T0052  密码设备管理  VPN 设备监察管理规范 ; ——— 管理应用规范 :GM/T0053  密码设备管理   远程监控与合规性检验接口数据规范 。 本标准凡涉及密码算法相关内容 ,按国家有关法规实施 。 本标准由密码行业标准化技术委员会提出并归口 。 本标准起草单位 :上海信息安全工程技术研究中心 、上海交通大学信息安全学院 、上海鹏越惊虹信 息技术发展有限公司 、上海华堂网络有限公司 、卫士通信息产业股份有限公司 、上海天融信网络安全技 术有限公司 、上海信昊信息科技有限公司 。 本标准主要起草人 :王隽 、田立 、周志洪 、黄志荣 、廖烨 、邹铷 、袁峰 、潘淑媛 、王贺刚 、李俊山 、张元臣 、 吕明忠 、潘利民 、李高健 。 Ⅰ 犌犕/犜0052—2016 引    言    本标准依据 GM/T0050《密码设备管理   设备管理技术规范》中密码设备管理平台架构 ,提出针对 重要信息系统与网络中 VPN 设备的监察管理规范 ,包括管理体系 、管理流程 、管理消息格式等 。 本标 准采用的安全通道 ,依据 GM/T0050 中的管理应用接口建立 ,相关内容请参考 GM/T0050。 Ⅱ 犌犕/犜0052—2016 密码设备管理 犞犘犖 设备监察管理规范 1  范围 本标准规定了重要信息系统与网络中的 VPN 设备的监察管理 ,以发现和定位网络中的非法 VPN 设备 ,并检测合法设备在使用过程中的违规操作 。 本标准适用于 VPN 设备监察管理系统及监察设备的研发与应用 ,也可用于指导检测该类监察 设备 。 2  规范性引用文件 下列文件对于本文件的应用是必不可少的 。 凡是注日期的引用文件 ,仅注日期的版本适用于本文 件 。 凡是不注日期的引用文件 ,其最新版本(包括所有的修改单)适用于本文件 。 GM/T0022—2014 IPSecVPN 技术规范 GM/T0024—2014 SSLVPN 技术规范 GM/T0050—2016  密码设备管理   设备管理技术规范 GM/T0053—2016  密码设备管理   远程监控与合规性检验接口数据规范 3  术语和定义 3.1 下列术语和定义适用于本文件 。 犞犘犖 设备  犞犘犖犱犲狏犻犮犲 利用 VPN 技术实现网络中安全通信服务的设备 。 本标准中的 VPN 设备指 IPsecVPN 和 SSL VPN 设备 ,包括采用IPsec、SSL 协议的符合国家标准的网络密码机 。 3.2 犞犘犖 设备的监察设备  犞犘犖犮狅犿狆犾犻犪狀犮犲犿狅狀犻狋狅狉犻狀犵犪犵犲狀犮狔 按照监察管理应用规则 ,实现对被监测网络中的目的数据包进行过滤分析 ,并上报关键信息的网络 设备 。 3.3 伯克利封包过滤器  犫犲狉犽犲犾犲狔狆犪犮犽犲狋犳犻犾狋犲狉 工作在操作系统内核的数据包捕获机制 ,先将链路层的数据包捕获再过滤 ,最后提供给应用层特定 的过滤后的数据包 。 3.4 白名单  狑犺犻狋犲犾犻狊狋 对已在国家密码管理主管部门备过案 ,并且“已知为良好 ”的 VPN 设备名单 ,管理应用层用来标识 安全可信的合规设备列表 。 白名单中的信息包括 :设备的注册IP 地址 、设备的密码算法标识等信息 。 1 犌犕/犜0052—2016 4  缩略语 下列缩略语适用于本文件 。 BPF:伯克利封包过滤器(BerkeleyPacketFilter) IPSec:IP 安全协议(InternetProtocolSecurity) ISAKMP:网络安全关联和密钥管理协议 (InternetSecurity AssociationandKey Management Protocol) PDU:分包数据单元(PackageDataUnit) SSL:安全套接层(SecureSocketLayer) VPN:虚拟专用网(VirtualPrivateNetwork) 5 犞犘犖 设备的监察管理体系 5.1  体系结构 VPN 设备监察管理体系遵循 GM/T0050—2016 的 5.3,其体系结构如图 1 所示 。 图 1 犞犘犖 设备监察管理体系结构图    以下 5.3、5.4、5.5 详细描述图 1 中的各层内容 。 5.2  功能要求 监察管理系统的功能要求为 : a)  在线获取 VPN 设备的监察数据 ; b) 分析这些监察数据 ,判断 VPN 设备的应用是否合规 ; c)  若发现不合规的 VPN 设备 ,则实时告警和取证分析 ; d) 维护(新增 、修改和删除)违规算法的列表 ; e)  维护过滤IP 列表 ,建立白名单机制 ; 2 犌犕/犜0052—2016 f)  统计全网中 VPN 设备的通信次数 ; g) 提供对历史数据的查询和统计分析 。 5.3  管理应用层 本标准涉及的管理应用是 VPN 设备的监察管理 。 对于 VPN 设备的监察管理 ,应通过抓取和检测 VPN 密钥协商阶段的数据包 ,分析网络中 VPN 设 备应用情况 ,对违规 VPN 设备告警 ,确保 VPN 设备的合法合规 。 5.4  管理平台层 对管理平台层的要求遵循 GM/T0050—2016 的 5.5。 5.5 犞犘犖 设备的监察设备层 VPN 设备的监察设备接受管理代理的管理 ,并遵循 GM/T0050—2016 的 5.6 和 GM/T0053— 2016 的 5.3 和 5.4。 VPN 设备的监察设备部署在被监察网络的出入口 ,对网络内所有 VPN 设备通过旁路抓包的方式 进行监察管理 ,负责接收管理应用层通过设备管理平台和安全通道下发的策略和指令 ,解析指令 ,并将 执行结果返回 。 VPN 设备监察设备的逻辑结构如图 2 所示 。 图 2 犞犘犖 设备的监察设备示意图   VPN 设备的监察设备的主要功能有 : a)  高速数据包采集功能 ,实现对网络核心交换设备的实时数据采集分析 。 b) VPN 通信发现功能 ,支持对IPSec、SSL 的协议分析 。 c)  加密算法判定功能 ,针对发现的 VPN 通信 ,提取相应加密算法标识等相关信息 ,对是否属合 法密码算法进行判定 。 d) VPN 设备定位功能 ,对发现的正在使用的 VPN 设备 ,定位设备所在网络地址或网段地址 。 将 合法的 VPN 设备信息 ,记录到数据库

pdf文档 GM/T 0052-2016 密码设备管理 VPN设备监察管理规范

文档预览
中文文档 18 页 50 下载 1000 浏览 0 评论 0 收藏 3.0分
温馨提示:本文档共18页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
GM/T 0052-2016 密码设备管理 VPN设备监察管理规范 第 1 页 GM/T 0052-2016 密码设备管理 VPN设备监察管理规范 第 2 页 GM/T 0052-2016 密码设备管理 VPN设备监察管理规范 第 3 页
下载文档到电脑,方便使用
本文档由 路人甲2022-05-14 08:55:43上传分享
给文档打分
您好可以输入 255 个字符
网站域名是多少( 答案:github5.com )
评论列表
  • 暂时还没有评论,期待您的金玉良言