为了规范全国VPN产品的开发与应用，保障公共信息网络安全，根据公安部公共信息网络安全监察局的要求，本规范对VPN产品提出了安全功能要求和保证要求，作为对其进行检测的依据。
本规范由中华人民共和国公安部公共信息网络安全监察局提出。
本规范起草单位：公安部计算机信息系统安全产品质量监督检验中心。
公安部计算机信息系统安全产品质量监督检验中心负责对本规范的解释、提升和更改。

信息技术VPN产品安全检验规范
1.范围
本规范规定了信息技术VPN产品的安全功能要求和保证要求。
本规范适用于信息技术VPN产品的生产及检测。

2.术语和定义
2.1虚拟专用网VPN(Virtual Private Network)
VPN是一种虚拟的专用网络，它采用隧道技术，将专用网络中的数据封装在隧道中，通过公用网络进行传输。

2.2 隧道（Tunnel）
在隧道的起点将待传输的原始信息经过封装处理后嵌入另一种协议的数据包内，像普通数据包一样在网络中进行传输。在隧道的终点，从封装的数据包中提取出原始信息。
能够实现隧道技术的协议主要有L2TP、GRE、IPSec 和MPLS协议。

2.3 IPSec
IPSec是由IETF的IPSec 工作组提出的将安全机制引入TCP/IP网络的一系列标准，是一组开放的网络安全协议的总称。
主要有认证头协议（Authentication Header，简称AH）、封装安全载荷协议（Encapsulating Security Payload，简称ESP）和Internet密钥交换协议（Internet Key Exchange，简称IKE）。还有两个重要的策略数据结构：安全关联数据库（Security Association ,简称SAD）和安全策略数据库（Security Policy , 简称SPD）。
IPSec提供了完整性、认证和加密等安全功能。主要有两种工作方式：隧道模式和传输模式。

3 信息技术VPN产品的安全功能
3.1 标识
要求在用户对VPN资源访问之前，VPN安全功能应对用户进行标识。在远程访问VPN中，应先对远程用户进行标识。

3.2 鉴别
在远程访问VPN中，在VPN隧道建立前VPN安全功能应对远程用户进行鉴别。当用户对VPN资源访问之前，VPN安全功能也应先对提出该动作要求的用户身份进行身份鉴别。同时虚拟专用网设备应对用户进行设备级验证，可通过数据链路层的MAC地址、网络层的IP地址或机器名进行鉴别。当进行鉴别时，VPN安全功能应尽量只向用户反馈最少的信息（如：输入的字符数，鉴别的成功或失败）。

3.3 鉴别失败处理
VPN管理员应设定鉴别失败的次数不多于某个固定次数如3次。当达到固定次数时，VPN安全功能应进行审计记录，终止对该用户鉴别，使该用户账户无效或该登录点无效，并提醒VPN管理员进行处理。

3.4 审计事件
VPN安全功能应为可审计事件生成审计记录。审计记录应包括以下内容：事件的日期和时间，事件的类型，主客体身份，事件的结果（成功或失败）。审计数据应易于理解，不被未授权修改。VPN主要的审计事件包括：
－用户鉴别失败事件；
－授权用户的一般操作；
－VPN隧道的建立和删除；
－用户数据完整性校验失败；
－用户数据解密失败；
－根据策略数据包被丢弃事件；

3.5 审计查阅
安全审计查阅工具应具有：
a)审计查阅：为授权用户提供获得和解释审计信息的能力。
b)有限审计查阅：在审计查阅的基础上，审计查阅工具应禁止具有读访问权限以外的用户读取审计信息。