6.3 安全管理要求

6.3 安全管理要求

6.3.1　系統管理要求

系統管理要求按照不同安全性要求，分為基本要求和增強要求，具體如下：

a) 基本要求

1) 應對IPSec VPN設備運行狀況、網絡流量、用戶行為、管理員行為等進行日志記錄；

2) 應對管理員進行角色設置與權限分離；

3) 應對網絡設備的管理員登錄地址進行限制；

4) 身份鑒別信息應具有不易被冒用的特點，口令應有復雜度要求并定期更換；

5) 應啟用IPSec VPN登錄失敗處理功能，設置采取結束會話、限制非法登錄次數和當網絡登錄連接超時自動退出等措施；

6) 當對IPSec VPN設備進行遠程管理時，應采用SSH、SSL等安全方式保護傳輸安全。

b) 增強要求

對于安全性要求較高的情況，如安全等級保護第三級及以上的信息系統應用IPSec VPN時，除滿足基本要求外，還應符合以下要求：

1) 應按照業務服務的重要性來指定帶寬分配優先級別；

2) 應根據設備記錄數據進行分析，并定期由第三方審計系統生成審計報表；

3) 應對管理員身份認證采取兩種或兩種以上組合鑒別技術；

4) 應由內部人員或上級單位定期進行安全檢查，檢查內容包括現有安全技術措施的有效性、安全配置與安全策略的一致性等；

5) IPSec VPN客戶端應采用由國家認證的CA中心所頒發的證書實現IKE協商；

6) IPSec VPN客戶端的證書應采用智能密碼鑰匙等硬件介質。

6.3.2　數字證書管理要求

6.3.2.1　設備數字證書管理

設備證書應遵循PKI相關標準，將單位、區域等關鍵信息在證書DN中列出。

網關的設備證書的有效期宜大于網關的生命周期。

6.3.2.2　客戶端數字證書管理

IPSec VPN客戶端證書宜采用智能密碼鑰匙等硬件介質承載的證書。

客戶端證書丟失或損壞時，應當及時到證書頒發部門辦理掛失、吊銷、重新注冊等手續。

6.3.3　地址管理要求

6.3.3.1　地址規劃

應對IPSec VPN網關及客戶端地址進行統一規劃，遵循唯一性、連續性和可擴展性原則。

6.3.3.2　地址分配

客戶端可從網關的DHCP地址池中獲取地址，網關外網口地址宜采用公網地址或對外服務地址，網關內網口地址宜采用私有地址或內部互聯地址

6.3.4　其他要求

密鑰管理、數據管理、人員管理和設備管理應符合GM/T 0022-2014中6.3的相關要求。