第一章 技术要求清单
1.1 设备技术要求
1.1.1 功能要求
在选购或部署SSL VPN设备时,首先需要明确其核心功能是否符合国家和行业的安全基准。下面这份清单可以帮助你进行快速核对。
| 检查项 |
技术要求与合规基准 |
核查说明/依据来源 |
| 1.1 工作模式 |
必须支持客户端—服务端模式;可选支持网关—网关模式 |
GM/T 0025-2023 核心功能要求 |
| 1.2 随机数生成 |
随机数应由多路硬件噪声源产生 |
产品规范中对随机数发生器的硬件要求 |
| 1.3 密钥交换与更新 |
应具有密钥交换功能,协商产生工作密钥。必须支持按时间周期更新密钥:客户端—服务端模式最长更新周期 ≤ 8小时;网关—网关模式最长更新周期 ≤ 1小时 |
GM/T 0024/0025 对密钥交换和更新周期的明确规定 |
| 1.4 访问控制 |
应具备细粒度访问控制功能:对网络访问至少控制到IP地址、协议和端口;对Web资源访问至少控制到URL;支持基于用户/用户组及时间进行控制 |
产品规范中对访问控制颗粒度的要求 |
| 1.5 身份鉴别 |
服务端鉴别为必备功能,应采用基于数字证书(符合GM/T 0015)或标识算法(如SM9)的机制。客户端鉴别为可选功能 |
技术规范中关于身份鉴别的规定 |
1.1.2 硬件要求
硬件是密码运算和安全防护的基石,其合规性直接决定了整个系统的安全等级。
| 检查项 |
技术要求与合规基准 |
核查说明/依据来源 |
| 1.6 密码部件 |
应采用通过商用密码检测认证的密码模块或安全芯片执行密码运算和密钥管理 |
产品安全的强制性要求 |
| 1.7 对外接口 |
必须具有:工作网口至少两个(内网接口、外网接口);管理接口包括本地维护接口和远程管理接口 |
产品硬件构成的基本要求 |
| 1.8 可靠性 |
平均无故障工作时间(MTBF)应不低于10,000小时 |
产品规范中的量化性能指标 |
| 1.9 硬件安全 |
硬件应符合GM/T 0028《密码模块安全技术要求》对物理安全的规定 |
关联性标准要求 |
1.2 运维配置要求
1.2.1 管理员配置
安全始于管理,对于身份鉴别等高权限操作,必须有严格的制度和技术保障。
| 检查项 |
技术要求与合规基准 |
核查说明/依据来源 |
| 2.1 分权管理 |
必须实现系统管理员、安全管理员、系统审计员三权分立,职责分离 |
安全管理与审计的核心制度 |
| 2.2 管理员登录安全 |
身份鉴别应通过数字证书认证;登录方式应结合硬件介质(如UKey)与登录口令;错误口令或非法身份登录尝试次数限制应 ≤ 5次(或半小时内≤8次);管理通道应通过加密通道进行 |
运维安全配置的具体要求 |
1.2.2 远程管理与日志
便捷的远程管理和详尽的日志记录是保障系统持续合规和事后审计的关键。
| 检查项 |
技术要求与合规基准 |
核查说明/依据来源 |
| 2.3 远程管理功能 |
应提供接口支持远程:合规性验证(SM2/SM3/SM4算法及随机性)、参数查询、状态监控、日志查询、远程控制、时间同步 |
运维便捷性与集中管控能力要求 |
| 2.4 日志记录内容 |
必须记录:管理员操作行为、用户访问行为、异常事件 |
审计与追溯的基础 |
| 2.5 日志格式与功能 |
格式至少包括事件日期、时间、主体身份和事件内容;功能应提供日志记录、查看和导出功能 |
日志管理的规范性要求 |
1.3 默认策略要求
设备出厂或初次上电时的默认策略,是防护的第一道屏障,应遵循“安全基线”原则。
| 检查项 |
技术要求与合规基准 |
核查说明/依据来源 |
| 3.1 不安全协议禁用 |
默认应拒绝支持SSL 2.0、SSL 3.0、TLS 1.0等存在已知安全漏洞的协议 |
出厂安全基线 |
| 3.2 弱算法禁用 |
默认应拒绝支持存在安全问题或安全强度不足的密码算法或算法套件 |
出厂安全基线 |
| 3.3 合规算法套件 |
默认使用的密码技术和算法套件应符合国家标准和行业标准(优先采用SM系列算法) |
合规性默认配置 |
| 3.4 部署模式 |
禁止使用旁路模式 |
测评实施指引中的明确要求 |
| 3.5 认证模式 |
用户登录认证模式默认值宜设置为强安全策略(如all,即通过所有已配置认证方式) |
设备配置的强安全默认值示例 |
1.4 基线配置要求
1.4.1 证书与密钥
证书和密钥是信任的基石,其全生命周期管理必须严格受控。
| 检查项 |
技术要求与合规基准 |
核查说明/依据来源 |
| 4.1 产品证书 |
必须核查设备持有在有效期内的商用密码产品认证证书,且证书信息与实际部署产品一致 |
密评中产品合规性核查的首要步骤 |
| 4.2 证书策略 |
网关应维护其信任的CA机构列表和客户端证书列表 |
身份鉴别信任体系的基础配置 |
| 4.3 密钥存储与生命周期 |
存储:工作密钥产生后应保存在易失性存储器中;更新与销毁:达到更新条件立即更换,连接断开、设备断电时必须销毁;私钥保护:私钥应有安全保护措施,不以明文形式存储在不可控环境中 |
密钥安全管理的核心要求 |
| 4.4 初始化责任 |
除厂商必要操作外,系统配置、密钥的生成与管理、管理员的产生均应由用户完成 |
确保用户对关键安全要素的控制权 |
| 4.5 配置数据安全 |
所有配置数据应保证其在设备中的完整性、可靠性;管理员进入管理界面必须通过身份鉴别 |
配置防篡改与管理安全 |
| 4.6 敏感参数管理 |
包括密钥在内的敏感安全参数,其全生命周期管理应符合GM/T 0028要求 |
关联性标准要求 |
1.5 基线安全要求
这些是衡量SSL VPN网关是否真正发挥安全效用的核心检查点。
| 检查项 |
技术要求与合规基准 |
核查说明/依据来源 |
| 5.1 身份鉴别 |
对于使用数字证书的场景,应实现双向身份鉴别。客户端标识及参数应在网关维护的信任列表中 |
密评中“身份鉴别”单元的检查要点 |
| 5.2 数据通信机密性 |
预期受保护的数据应全部被SSL VPN记录层协议加密保护(基于SM2算法的需符合GB/T 38636-2020) |
密评中“通信安全”单元的检查要点 |
| 5.3 管理通道安全 |
远程管理通道应使用安全的协议建立,实现身份鉴别、数据机密性和完整性保护 |
管理安全的具体体现 |
| 5.4 漏洞与协议抵御 |
产品版本不应存在已知的密码相关安全漏洞;设备应能正确拒绝使用不安全协议或弱算法套件发起的握手请求 |
通过主动探测进行安全性验证 |
| 5.5 密码模块等级合规 |
产品使用的密码模块等级,应满足信息系统网络安全等级保护级别对应的密码模块安全等级要求 |
合规判定的依据之一 |
| 5.6 严重不符合项判定 |
若使用存在安全问题或安全强度不足的密码算法/技术,或关键安全检测项不满足要求,可判定为严重不符合项 |
测评结果判定的关键规则 |
| 5.7 人员与操作 |
三员分立:岗位职责明确区分,同一人不得兼任两个或以上角色;规范操作:操作人员应经专门培训 |
“管理安全”单元的人员与制度要求 |
第二章 实体部署指引与串/并联实现
2.1 核心部署模式定义与要求
SSL VPN网关产品的实体部署分为物理串联和物理并联两种模式,两者核心区别在于流量是否物理上必经网关设备。
部署模式对比
| 部署方式 |
定义与目标 |
标准符合性要求 |
核心原则 |
| 物理串联(桥模式/Bridge Mode) |
指从物理网络拓扑上,用户必须经过网关才能访问到受保护的应用 |
必备模式。根据GM/T 0026及相关商用密码应用指南,物理串联是安全认证网关(含SSL VPN功能)产品的必备且推荐的标准部署模式 |
所有进出受保护网络的流量,物理路径必须流经网关进行身份鉴别、加密和访问控制 |
| 物理并联(单臂模式/Gateway Mode) |
指从物理网络拓扑上,用户可以不经过网关就访问到受保护的应用 |
可选模式。产品在支持串联模式之外,可以支持并联部署方式,以满足特定网络架构的灵活性需求 |
必须实现“逻辑串联”。即通过应用服务器或防火墙上的逻辑判断,强制所有合法访问流量最终必须经过网关处理 |
⚠️ 关键红线:根据技术要求,SSL VPN设备禁止使用旁路模式进行网关配置。此处的“旁路模式”即指未能实现“逻辑串联”效果的无效并联部署。任何并联部署方案,若不能通过技术手段确保流量“逻辑上”经过网关,则视为不合规。
2.2 拓扑结构与典型部署场景
2.2.1 串联部署拓扑(物理串联)
串联部署逻辑清晰,安全边界明确,是标准的网关部署形态。
拓扑结构:网关设备以“网闸”形式直接串联在数据通信的物理链路中。
典型数据流(以网关—网关模式为例):分支机构子网 ↔ SSL VPN网关(本地) ↔ 公网 ↔ SSL VPN网关(对端)↔ 总部子网
部署特点:所有跨网络边界的通讯均建立在VPN加密隧道之上,网关是转发路径上的物理必经节点。
2.2.2 并联部署拓扑(物理并联)
并联部署对现有网络拓扑改动小,便于实现平滑割接和不中断业务升级。
拓扑结构:网关设备以“单臂”方式旁路挂接在核心交换机或防火墙的某个端口上。
典型数据流:用户流量到达网络接入设备(如防火墙)后,通过预先配置的策略路由(PBR)、访问控制列表(ACL)或VRRP虚地址引流等技术,将需要加密传输的特定流量引导至并联部署的SSL VPN网关。网关完成解密和身份验证后,再将合法流量“注入”回网络,由接入设备转发至最终目的地。
部署特点:
- 依赖精密策略:实现“逻辑串联”完全依赖于接入设备上精准的流量识别与引导策略
- 分流转发:非VPN流量(如普通互联网访问)不经过网关,直接由接入设备转发,实现业务分流
2.3 配置步骤通用指引
2.5.1 基础网络与接口配置
| 部署模式 |
配置要求 |
| 串联模式 |
为SSL VPN网关的内、外网接口(至少2个)分别配置IP地址,使其成为网络中的路由节点。确保其内外网路由可达 |
| 并联模式 |
为SSL VPN网关的业务接口配置一个与管理网络可达的IP地址(通常处于内部核心网段)。网关不作为主路径上的路由节点 |
2.5.2 SSL服务与安全策略配置
- 在网关上创建SSL VPN服务实例,配置服务监听地址与端口(如IP:6443)
- 配置密码算法套件,默认及优先启用国密TLCP协议及ECC_SM4_CBC_SM3等国密套件
- 配置身份鉴别策略,加载信任的CA证书列表
- 对于网关—网关模式,需配置对端网关证书验证;对于客户端接入,配置用户证书验证策略
- 定义“保护域”(Protected Domain),即本端和对端需要加密通信的子网范围
2.5.3 路由与流量引导配置
| 部署模式 |
配置要点 |
| 串联模式 |
在网关自身及相邻网络设备上配置静态或动态路由,确保需要互访的子网流量路径经过SSL VPN网关 |
| 并联模式 |
在网络接入设备(如防火墙、核心交换机)上进行配置:流量识别配置ACL、策略路由PBR指向SSL VPN网关、访问控制强化 |
2.6 并联部署实践方法
并联模式是实现业务平滑上线或设备更换的关键。其核心是在不改变物理布线的情况下,通过逐步启用网络策略,将业务流量“引流”至新部署的网关。
第三章 关键设备配置信息条目与密码合规接入点位
3.1 关键配置信息条目
为确保SSL VPN设备上线即合规,以下配置是必须在实施阶段完成并核查的核心条目:
3.1.1 密码算法与协议配置
| 配置条目 |
配置目的与依据 |
关键配置参数/命令示例 |
测评检查要点 |
| 默认协议与算法套件 |
禁用不安全协议,默认启用国密套件,符合GM/T 0025-2023基线要求 |
禁用:SSL 2.0/3.0、TLS 1.0、SHA-1等弱算法;启用:国密TLCP协议及ECC_SM4_CBC_SM3或等效国密套件 |
核查出厂或初始化后默认策略,确认不安全协议已禁用,国密套件为默认首选 |
| 服务器端SSL策略 |
为SSL VPN网关配置服务端密码套件和证书 |
ssl server-policy (在策略内绑定国密算法套件及SM2服务器证书) |
检查引用的策略中,密码套件是否为合规国密算法(SM2/SM3/SM4) |
| 工作密钥更新策略 |
强制会话密钥定期更新,满足GM/T 0025-2023对更新周期的要求 |
配置密钥更新周期:客户端—服务端模式≤8小时,网关—网关模式≤1小时 |
验证密钥更新机制是否生效,核查更新周期是否符合要求 |
3.1.2 身份鉴别配置
| 配置条目 |
配置目的与依据 |
关键配置参数/命令示例 |
测评检查要点 |
| 服务端鉴别 |
实现服务器端身份鉴别,采用数字证书或SM9标识算法 |
配置服务器证书验证策略,加载可信CA证书链 |
验证服务器证书验证机制,检查证书链完整性 |
| 客户端鉴别 |
实现客户端身份鉴别,可采用数字证书或动态口令 |
配置客户端证书验证或多因素认证机制 |
验证客户端鉴别机制,测试不同认证方式 |
| 管理员认证 |
管理员登录采用数字证书+UKey+口令的组合认证 |
配置管理员证书认证,启用UKey绑定 |
验证管理员登录安全性,测试认证失败处理 |
3.1.3 访问控制配置
| 配置条目 |
配置目的与依据 |
关键配置参数/命令示例 |
测评检查要点 |
| 网络层访问控制 |
对网络访问控制到IP地址、协议和端口 |
配置ACL规则,定义允许/拒绝的源IP、目的IP、协议和端口 |
验证访问控制规则是否生效,测试边界控制 |
| 应用层访问控制 |
对Web资源访问控制到URL级别 |
配置URL访问策略,绑定用户/用户组和时间策略 |
验证资源访问控制,测试基于时间的控制 |
| 用户组策略 |
基于用户/用户组进行权限管理 |
配置用户组,绑定资源访问策略 |
验证用户组权限划分,检查职责分离 |
3.1.4 日志与审计配置
| 配置条目 |
配置目的与依据 |
关键配置参数/命令示例 |
测评检查要点 |
| 操作日志 |
记录管理员所有操作行为 |
启用审计功能,配置日志级别和存储策略 |
验证日志记录完整性,检查关键操作审计 |
| 访问日志 |
记录用户访问行为详细信息 |
配置访问日志格式,包含用户、时间、IP、资源、流量 |
验证访问日志完整性,测试日志查询功能 |
| 告警日志 |
记录异常事件和安全告警 |
配置安全告警规则,设置告警阈值和通知方式 |
验证告警机制,测试异常检测能力 |
3.2 密码合规接入点位
3.2.2 关键合规检查点
| 检查点 |
检查内容 |
达标标准 |
| 密码模块 |
设备使用的密码模块等级 |
第三级系统应采用满足GB/T 37092第二级及以上的密码产品 |
| 协议合规 |
SSL/TLS协议版本 |
禁用SSL 2.0/3.0、TLS 1.0,启用TLS 1.2及以上或国密TLCP |
| 算法套件 |
密码算法套件 |
优先使用SM2/SM3/SM4等国密算法,禁止使用弱算法 |
| 密钥更新 |
会话密钥更新周期 |
客户端—服务端模式≤8小时,网关—网关模式≤1小时 |
| 身份鉴别 |
鉴别机制 |
双向身份鉴别,证书验证通过 |
| 管理通道 |
远程管理安全 |
管理通道加密,授权终端访问 |
| 日志审计 |
日志记录完整性 |
覆盖所有管理员操作和用户访问行为 |
第四章 典型案例分析:多分支机构SSL VPN部署安全评估
4.1 案例背景与网络架构
4.1.1 场景描述
某等保三级信息系统部署在三个异地分支机构机房A、B、C中,为保护A和C、B和C互联网通信链路安全,各机房均部署了SSL VPN安全网关。SSL VPN安全网关具有商用密码产品认证证书且密码模块安全等级为二级。分支机构机房A、B通过在网络边界处部署防火墙进行访问控制。
4.1.3 防火墙安全策略
| 防火墙 |
源地址 |
目的地址 |
目的端口 |
动作 |
说明 |
| F1 |
203.0.113.10 |
10.10.1.100 |
1600 |
允许 |
外部IP访问内部文件服务器 |
| F1 |
Any |
10.10.1.10 |
6443 |
允许 |
访问SSL VPN网关V1 |
| F2 |
Any |
10.10.2.10 |
6443 |
允许 |
访问SSL VPN网关V2 |
| F2 |
Any |
10.10.2.1 |
80/443 |
允许 |
访问应用服务器 |
4.3 安全风险分析
4.3.2 防火墙配置导致的安全风险分析
风险识别:旁路部署风险
结合防火墙安全策略表分析,该系统中防火墙配置信息会导致以下安全风险:
SSL VPN安全网关部署方式均为旁路部署,旁路部署容易被绕过,无法真正实现保护A和C、B和C互联网通信链路安全的目的。
详细分析:
- 防火墙F1的策略允许外部IP 203.0.113.10访问内部文件服务器的10.10.1.100:1600端口
- 防火墙F2的策略允许外部访问内部SSL VPN网关V2的10.10.2.10:6443端口
这表明SSL VPN网关采用了“旁路部署”(并联模式)。
风险后果:
旁路部署的风险在于,防火墙规则直接放行了特定外部IP对内部应用服务器的访问(如文件服务器的1600端口)。这使得攻击者在一定条件下(如伪装源IP或找到其他漏洞)能够绕过SSL VPN网关建立的安全信道。SSL VPN网关所提供的身份鉴别、通信数据机密性和完整性保护等功能形同虚设。用户或数据可以不经过密码技术的保护环节,直接与内部应用通信。
主要安全风险: SSL VPN被旁路绕过,通信链路未能得到应有的密码保护。
对于商用密码产品认证的安全认证网关(如SSL VPN网关),为确保证书鉴别、密钥协商等密码功能对通信链路的强制保护,物理串联是必备的部署模式。旁路部署为可选模式,且必须通过逻辑串联(如策略路由)确保所有访问受保护资源的流量必须经过网关。
攻击者或非授权用户,在获取或伪造了允许的源IP地址后,可能完全绕过SSL VPN网关,直接与内部应用服务器建立通信。SSL VPN网关提供的基于证书的双向身份鉴别、通信数据机密性(加密)和完整性(校验)等密码保护措施对这部分旁路流量完全失效。
4.3.3 SSL VPN使用安全风险分析
风险识别:工作密钥更新周期过长
结合日志分析,该系统在使用SSL VPN安全网关方面存在以下安全风险:
工作密钥更新周期过长,不符合国家标准对于SSL VPN网关-网关模式通信的安全要求。
日志证据:
- 首次建立:08:01:06,客户端IP 10.10.3.10(这是分支机构C的SSL VPN网关V3)与10.10.2.10:6443(分支机构B的SSL VPN网关V2)成功建立SSL连接,并“SSL工作密钥更新成功”
- 密钥重新协商:12:03:22,同一客户端IP 10.10.3.10重新发起SSL协商,并再次“SSL工作密钥更新成功”
- 时间计算:两次工作密钥成功更新(即完整SSL协商)的间隔为4小时2分钟(12:03:22 - 08:01:06)
密钥更新周期要求:
SSL VPN工作密钥的更新周期要求取决于其部署模式:
| 部署模式 |
密钥更新周期要求 |
| 客户端-服务端(Client-Server)模式 |
工作密钥更新周期不超过8小时 |
| 网关-网关(Site-to-Site, B2B)模式 |
工作密钥更新周期应不超过1小时 |
本场景中,10.10.3.10(C分支网关V3)与10.10.2.10:6443(B分支网关V2)之间的连接,属于典型的分支机构间互访的网关-网关(B2B)模式。
实际密钥使用时间: 4小时2分钟,远超过标准规定的“网关-网关模式1小时”上限。
安全风险:
过长的密钥使用时间会:
- 增加密码被破译风险:密钥在通信中使用的时长越长,被攻击者通过密码分析、窃取等方式破解的可能性就越大
- 减弱通信保护强度:一旦工作密钥在有效期内泄露或失效,期间传输的所有加密数据都可能面临被解密和篡改的风险
- 违反国家标准:该做法直接违反了GM/T 0025-2014《SSL VPN技术规范》等相关标准中关于密钥应及时更新的安全要求
4.4 整改建议
针对案例中发现的两个主要安全风险,提出以下整改建议:
4.4.1 部署模式整改
| 风险项 |
整改措施 |
优先级 |
| 旁路部署 |
将SSL VPN网关改为物理串联部署,确保所有流量必须经过网关 |
高 |
| 逻辑串联缺失 |
如采用并联模式,必须通过策略路由确保流量“逻辑上”经过网关 |
高 |
| 防火墙策略过宽 |
收紧防火墙策略,取消不必要的直接访问规则 |
中 |
4.4.2 密钥管理整改
| 风险项 |
整改措施 |
优先级 |
| 密钥更新周期过长 |
将网关-网关模式的密钥更新周期调整为不超过1小时 |
高 |
| 密钥更新机制 |
启用自动密钥更新机制,确保密钥定期刷新 |
高 |
| 密钥生命周期 |
建立密钥失效后的应急处理流程 |
中 |
第五章 测评实施:SSL VPN 网关
如何对已部署的SSL VPN网关进行有效性验证?以下是基于标准实践的测评方法。
5.1 端口探测与服务识别
5.1.1 测评方法
采用工具测试方式,如使用端口扫描工具,探测SSL VPN服务常用的TCP 443端口。视产品而定,建议通过访谈和配置检查加以确认实际端口号配置情况。
5.1.2 测评步骤
首先通过访谈SSL VPN网关管理员,了解产品的实际端口配置情况,确认测试端口范围。然后使用端口扫描工具(如Nmap)对目标主机执行扫描任务,记录开放端口及对应的服务类型。将扫描结果与访谈获取的配置信息进行比对,确认是否存在异常端口开放情况。
5.1.3 判定标准
SSL VPN服务端口应按照产品文档正确配置;不应存在未授权的额外端口开放;如发现异常端口,需进一步分析其用途及安全性。
5.2 协议分析与密码套件验证
5.2.1 测评方法
采用工具测试方式,如使用协议分析工具,抓取SSL协议握手阶段的数据报文,确认网络连接地址,解析密码套件标识以确认算法是否符合GM/T 0024标准要求。
5.2.2 测评步骤
启动协议分析工具(如Wireshark),设置捕获条件为目标SSL VPN网关的443端口。触发SSL连接建立,观察握手过程中的ClientHello和ServerHello报文。解析密码套件(Cipher Suite)字段,提取算法标识信息。对照GM/T 0024标准要求,验证算法是否符合规范。
5.2.4 判定标准
符合GM/T 0024标准要求的密码套件判定为合格;使用国际算法或不符合国密要求的算法判定为不合格;未检测到密码套件信息的需重新测试。
5.3 数字证书验证
5.3.1 测评方法
采用工具测试方式,如使用协议分析工具、数字证书校验工具等,抓取并验证SSL协议握手阶段传输的数字证书及其证书链。
5.3.2 测评步骤
通过协议分析工具捕获SSL握手过程中的证书交换报文。提取服务器证书及完整证书链信息。使用证书校验工具验证证书的有效期、颁发机构、证书链完整性等关键属性。检查证书是否由合法的国密认证机构颁发,证书用途是否包含服务器认证。
5.3.4 判定标准
证书链完整、有效期有效、颁发机构可信的判定为合格;证书过期、证书链不完整或颁发机构不可信的判定为不合格。
5.4 安全策略配置检查
5.4.1 测评方法
采用配置检查方式,登录到SSL VPN网关上,查看安全策略配置信息,确认网络连接地址、密码算法、数字证书、抗重放设置等;或是查看SSL VPN网关日志文件,检查与密钥管理、密码运算相关的日志记录。
5.4.4 判定标准
安全策略配置完全符合要求的判定为合格;存在任何不符合安全基线配置要求的判定为不合格,需进行整改。
5.5 密钥更新策略检查
5.5.1 测评方法
采用配置检查方式,登录到SSL VPN网关上,查看工作密钥更新策略。
5.5.3 判定标准
根据SSL VPN工作模式,密钥更新周期要求有所不同:
| 工作模式 |
密钥最长更新时间要求 |
| 客户端-服务端模式 |
不超过8小时 |
| 网关-网关模式 |
不超过1小时 |
满足上述时间要求的判定为合格;超过规定时间的判定为不合格。
5.6 身份鉴别安全检查
5.6.1 硬件认证装置检查
检查SSL VPN网关的管理员角色在登录网关时是否采用智能密码钥匙、智能IC卡等硬件装置进行身份鉴别。采用硬件认证装置的为推荐配置。
5.6.2 登录口令要求
登录口令需满足以下安全要求:口令长度不小于8个字符;口令需至少由两种类型字符组成(数字、字母、特殊字符);不允许使用弱口令或默认口令。
5.6.3 登录失败限制
登录尝试限制需满足以下要求:使用错误口令或非法身份登录的次数限制在半小时内不大于8次;超过限制后应采取锁定账户或延迟响应等措施。
5.6.4 判定标准
完全满足上述身份鉴别要求的判定为合格;存在任何一项不符合要求的判定为不合格。
附录三:核查使用说明
本指南各项要求均源于国家标准、行业规范及测评实践。测评人员可逐项核查并记录符合情况;厂商与运维人员可将其作为产品配置、部署及日常维护的基准。实际应用中,请以相关标准的最新正式版本为准。
关键参考标准
| 标准编号 |
标准名称 |
适用范围 |
| GM/T 0025-2023 |
SSL VPN技术规范 |
产品功能要求 |
| GM/T 0026 |
安全认证网关产品规范 |
网关部署要求 |
| GM/T 0028 |
密码模块安全技术要求 |
硬件安全要求 |
| GB/T 38636-2020 |
信息安全技术传输层密码协议(TLCP) |
通信安全要求 |
| GM/T 0015 |
基于SM2密码算法的数字证书格式 |
证书格式要求 |
| GB/T 37092 |
信息安全技术密码模块安全要求 |
密码模块分级 |
希望这份详尽的SSL VPN网关部署与测评指南能为您的安全建设工作提供清晰的路径。更多关于网络安全和商用密码应用的深度讨论与资源,欢迎访问云栈社区与我们交流。
发表于 2026-2-14 04:03:34
|
查看: 35|
回复: 0
