GMT 0025-2023 SSL VPN网关产品规范

代替GM/T0025—2014SSLVPN网关产品规范国家密码管理局发布IGM/T0025—2023 12规范性引用文件 1 1 15密码算法和密钥种类 25.1算法要求 25.2密钥种类 26SSLVPN网关产品要求 26.1产品功能要求 2 46.3产品安全性要求 46.4产品管理要求 5 76.6过程保护 7 7 77.1检测说明 77.2外观和结构的检查 8 87.4产品功能检测 8 9 97.7硬件检测 8判定规则 Ⅲ本文件按照GB/T定起草。本文件代替GM/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规0025—2014《SSLVPN网关产品规范》,与GM/T0025—2014相比，除结构调整和编辑性改动外，主要技术变化如下：)、GM/T0050(见6.4.1)、GM/T0062(见.3和GM/Z4001(见第2章),删除了GB/T17964和GM/T0014(见2014年版的第2章)b)删除了术语“密码算法”(见2014年版的3.1.1)、“密码杂凑算法”(见2014年版的对称密码算法/公钥密码算法”(见2014年版的3.1.3)、“对称密码算法”(见2014年版的3.1.4)、“分组密码算法”(见2014年版的3.1.5)、“密文分组链接工作模式(见2014年版的3.1.6)初始化向量/值”(见2014年版的3.1.7)、“数字证书”(见2014年版的3.1.8)、“SSL2014年版的3.1.11屋e)增加了对随机数生成的描述(见6.1f)更改了产品性能参数要限的描述(页522014年版的5.2);g)更改了密钥安全的播还C631,201版的);h)增加了敏感参数配置安全6322);i)增加了应符合GM/T0028对硬件模瑛物理宴至现定的凿述(见6.3.23);j)增加了应管合GM/T-0028对软件/固作安全的规定和软件非级相关要求的描述(见k)增加了远程管理(见6.4.1);1)增加了一些管理员口令量化的指标(见);m)增加了设备管理中注册和监控(.2);n)更改了“随机数发生器”的要求(见6.5.3,2014年版的5.4.p)增加了“检测说明”“外观和结构检查”和提交文档的检查”(见7.1,7.2和7.3);q)增加了安全管理检测的检测方法的描述(见7.6);r)增加了敏感参数配置安全检测的描述(见);s)增加了远程管理检测的描述(见);t)增加了硬件要求的检测方法的描述(见7.7);u)更改了判定规则(见第8章，2014年版的第7章)。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由密码行业标准化技术委员会提出并归口。本文件起草单位：格尔软件股份有限公司、无锡江南信息安全工程技术中心、山东得安信息技术有限公司、北京信安世纪科技股份有限公司、飞天诚信股份有限公司、广东省电子商务认证有限公司、北京国脉信安科技有限公司、中电信量子信息科技集团有限公司、山东渔翁信息技术股份有限公司、天融——2014年首次发布为GM/T0025—2014;12规范性引用文件本文件。GB/T98133计算机通用规范第3部分：服务器GB/T15153.1远动段备及系统第2部分：工作条件第1篇；电源和电磁兼容性GB/T25069信息安全技术术语GM/T0005随机性检测胍范GM/T0016智能密码钥匙密码应用接收规范GM/T0050密码设备管理设备笔理技术规范GM/T0062密码产品随题数GM/Z4001密码术语CBC:密码分组链接(CipherBlockChaining)GCM:Galois计数器模式(GaloisCounterMode)SSL:安全套接层协议(SecureSockeTLCP:传输层密码协议(TransportLayerCryptographyProtocol)VPN:虚拟专用网络(VirtualPrivateNetwork)23451)参数查询2)状态监测63)远程控制4)时间同步78被检测设备研制单位应按照具备资质的商用密码检测、认证机构的检测要求提交相工作模式下，一个网关保护的客户主机应能访问到另密钥交换协议应按照(M于30024的要市进行。则结果应符合的要求。身份鉴别应按照GM/T0024的要求进行。检测结果应符合6.1.5的要求。从客户端访间服务端保护的内网服务器，应只能访问到授权的资源。检测结果应符合6.1.6的密钥更新应按照GM/T0024的要求进行。检测结果应符合6.1.7的要求。用户通过SSLVPN访问HTTP应用时，应用系统可从HTTP请求信息中获取用户信息。监测结果应符合6.1.9的要求。9使用漏洞扫描工具探测系统的端口和服务，并审查厂商提供的设计文档和厂商提交的产品安全性承诺，应符合相应产品规范的要求。检测结果应符合的要求。SSLVPN网关的客户端产品应能通过数字签名等技术实现完整性的自校验功能。检测结果应符合的要求。系统管理员、安全管理员、系统审计员应具备各自的分权管理职责。检测结果应符合的要求。管理员应能通过基于数字证事技术的身份整别，并通过加密通道对SSLWPN网关进行管理配置，管理员应能通过被授权的终端登录到SSLVEN网关进行相应的配置操作。检测结果应符合可以查看并导出日志证志格式应合相品规指的要水二检测结果应符合的要求。用非法的身份或错误的口令登录，系统应拒绝；当连续重试次数到达系统设定的限制值时系统应锁定；用合法的身份和正确口令登录，应能进入管理界面，进行相应的管理操作。检测结果应符合对设备进行初始化操作，结果应