6.3 安全管理要求

6.3.1 密鑰管理

6.3.1.1 設備密鑰

設備密鑰是非對稱密鑰，包括簽名密鑰對和加密密鑰對。

簽名密鑰對由IPSec VPN產品自身產生，其公鑰應能被導出，由外部認證機構簽發簽名證書。

加密密鑰對由外部密鑰管理機構產生并由外部認證機構簽發加密證書。加密密鑰對的私鑰保護方法見GB/T 25056。

簽名證書、加密證書和加密密鑰對的私鑰應能被導入IPSec VPN產品中。

在IPSec VPN產品中，設備密鑰的私鑰應有安全保護措施。

設備密鑰應按設定的安全策略進行更新。

設備密鑰可以安全形式進行備份，并在需要時能夠恢復。

6.3.1.2 工作密鑰

工作密鑰在密鑰交換的第一階段產生，產生后應保存在易失性存儲器中，達到其更新條件后應立即更換，在連接斷開、設備斷電時應銷毀。

6.3.1.3 會話密鑰

會話密鑰在密鑰交換的第二階段產生，產生后應保存在易失性存儲器中，達到其更新條件后應立即更換，在連接斷開、設備斷電時應銷毀。

6.3.2 數據管理

6.3.2.1 配置數據管理

所有的配置數據應保證其在設備中的完整性、可靠性。應有管理界面對配置數據進行配置和管理，管理員進入管理界面應通過身份鑒別。

6.3.2.2 日志管理

IPSec VPN產品應提供日志功能，日志可被查看、導出。

日志內容包括：

a) 操作行為，包括登錄認證、參數配置、策略配置、密鑰管理等操作。

b) 安全事件，安全關聯的協商成功、協商失敗、過期等事件。

c) 異常事件，解密失敗、完整性校驗失敗等異常事件的統計。

6.3.3 管理員角色管理

IPSec VPN產品應設置管理員，進行設備參數配置、策略配置、設備密鑰的生成、導入、備份和恢復等操作。管理員應持有表征用戶身份（如證書、公私鑰對等）信息的硬件裝置，與登錄口令相結合登錄系統，進行管理操作前應通過身份鑒別。

登錄口令長度應不小于8個字符。登錄失敗重試次數不應超過8次。

6.3.4 設備管理

6.3.4.1 硬件安全

IPSec VPN產品應提供安全措施，保證密碼算法、密鑰、關鍵數據的存儲安全。

所有密碼運算應在獨立的密碼部件中進行。

除必需的通信接口和管理接口以外，不提供任何可供調試、跟蹤的外部接口。內部的調試、檢測接口應在產品定型后封閉。

6.3.4.2 軟件安全

所有的安全協議及管理軟件應自主實現。

操作系統應進行安全加固，裁減一切不需要的模塊，關閉所有不需要的端口和服務。

任何操作指令及其任意組合，不能泄露密鑰和敏感信息。

6.3.4.3 設備初始化

IPSec VPN產品的初始化，除必須由廠商進行的操作外，參數的配置、安全策略的配置、密鑰的生成和管理、管理員的產生等均應由用戶完成。

6.3.4.4 注冊和監控

IPSec VPN產品可具有向管理中心進行注冊的功能，同時接受管理中心對其運行狀態的實時監控管理。

與管理中心的通信應采用加密通道和身份鑒別等安全措施。

6.3.4.5 設備自檢

應對密碼運算部件等關鍵部件進行正確性檢查。

應對存儲的密鑰等敏感信息進行完整性檢查。

在檢查不通過時應報警并停止工作。

6.3.4.6 設備物理安全防護

在工藝設計、硬件配置等方面要采取相應的保護措施，保證設備基本的物理安全防護功能。