為了規范全國VPN產品的開發與應用，保障公共信息網絡安全，根據公安部公共信息網絡安全監察局的要求，本規范對VPN產品提出了安全功能要求和保證要求，作為對其進行檢測的依據。
本規范由中華人民共和國公安部公共信息網絡安全監察局提出。
本規范起草單位：公安部計算機信息系統安全產品質量監督檢驗中心。
公安部計算機信息系統安全產品質量監督檢驗中心負責對本規范的解釋、提升和更改。

信息技術VPN產品安全檢驗規范
1.范圍
本規范規定了信息技術VPN產品的安全功能要求和保證要求。
本規范適用于信息技術VPN產品的生產及檢測。

2.術語和定義
2.1虛擬專用網VPN(Virtual Private Network)
VPN是一種虛擬的專用網絡，它采用隧道技術，將專用網絡中的數據封裝在隧道中，通過公用網絡進行傳輸。

2.2 隧道（Tunnel）
在隧道的起點將待傳輸的原始信息經過封裝處理后嵌入另一種協議的數據包內，像普通數據包一樣在網絡中進行傳輸。在隧道的終點，從封裝的數據包中提取出原始信息。
能夠實現隧道技術的協議主要有L2TP、GRE、IPSec 和MPLS協議。

2.3 IPSec
IPSec是由IETF的IPSec 工作組提出的將安全機制引入TCP/IP網絡的一系列標準，是一組開放的網絡安全協議的總稱。
主要有認證頭協議（Authentication Header，簡稱AH）、封裝安全載荷協議（Encapsulating Security Payload，簡稱ESP）和Internet密鑰交換協議（Internet Key Exchange，簡稱IKE）。還有兩個重要的策略數據結構：安全關聯數據庫（Security Association ,簡稱SAD）和安全策略數據庫（Security Policy , 簡稱SPD）。
IPSec提供了完整性、認證和加密等安全功能。主要有兩種工作方式：隧道模式和傳輸模式。

3 信息技術VPN產品的安全功能
3.1 標識
要求在用戶對VPN資源訪問之前，VPN安全功能應對用戶進行標識。在遠程訪問VPN中，應先對遠程用戶進行標識。

3.2 鑒別
在遠程訪問VPN中，在VPN隧道建立前VPN安全功能應對遠程用戶進行鑒別。當用戶對VPN資源訪問之前，VPN安全功能也應先對提出該動作要求的用戶身份進行身份鑒別。同時虛擬專用網設備應對用戶進行設備級驗證，可通過數據鏈路層的MAC地址、網絡層的IP地址或機器名進行鑒別。當進行鑒別時，VPN安全功能應盡量只向用戶反饋最少的信息（如：輸入的字符數，鑒別的成功或失?。?/p>

3.3 鑒別失敗處理
VPN管理員應設定鑒別失敗的次數不多于某個固定次數如3次。當達到固定次數時，VPN安全功能應進行審計記錄，終止對該用戶鑒別，使該用戶賬戶無效或該登錄點無效，并提醒VPN管理員進行處理。

3.4 審計事件
VPN安全功能應為可審計事件生成審計記錄。審計記錄應包括以下內容：事件的日期和時間，事件的類型，主客體身份，事件的結果（成功或失?。徲嫈祿子诶斫猓槐晃词跈嘈薷?。VPN主要的審計事件包括：
－用戶鑒別失敗事件；
－授權用戶的一般操作；
－VPN隧道的建立和刪除；
－用戶數據完整性校驗失敗；
－用戶數據解密失??；
－根據策略數據包被丟棄事件；

3.5 審計查閱
安全審計查閱工具應具有：
a)審計查閱：為授權用戶提供獲得和解釋審計信息的能力。
b)有限審計查閱：在審計查閱的基礎上，審計查閱工具應禁止具有讀訪問權限以外的用戶讀取審計信息。