6.1.2.2 IPSEC VPN

推荐选择硬件实现VPN网关。

应选择VPN客户端硬件方式接入，避免选择VPN客户端软件接入。

应选择提供VPN客户端访问控制的产品。

应选择支持128位以上密钥加密的产品。

应选择提供使用双因素验证方式进行用户身份认证的产品，如增加动态口令验证方式。

应选择提供客户端安装防火墙和防病毒软件检查的产品。应选择提供客户端访问统计和审计功能的产品。

应严格限制具有VPN管理权限的用户，记录增加、修改和删除VPN合法用户的操作，定期查阅相关记录。

应建立口令策略，对口令进行控制，设定口令最短长度，最小复杂度，要求口令定期更换。 应采用双因素方式验证用户身份；对令牌、证书等验证方式设定令牌、证书的更新周期。

应对VPN客户端按照“最小权限”的原则进行严格访问控制，对VPN客户端的权限进行定期审查。 VPN产品如果不能实现访问控制能力，建议在VPN网关后串联防火墙进行访问控制。

应定期查阅统计和审计事件记录，查阅是否有违规和不安全事件发生。

VPN客户端要求安装个人防火墙和防病毒软件。

VPN客户端一段时间不用后，须断开VPN连接，最好同时断开Internet连接。与VPN厂商保持紧密联系或购买维护服务，及时升级安全补丁。

6.1.2.3 SSL VPN

应选择硬件实现VPN网关。

应选择支持128位以上密钥加密的产品。

应选择提供使用双因素验证方式进行用户身份认证的产品，如增加动态口令验证方式。

应选择提供客户端是否安装防火墙和防病毒软件检查的产品。

应选择选择提供客户端访问统计和审计功能的产品。

应选择提供客户端数据保护功能的产品。

应严格限制具有VPN管理权限的用户，记录增加、修改和删除VPN合法用户的操作，定期查阅相关记录。

应建立口令策略，对口令进行控制，设定口令最短长度，最小复杂度，要求口令定期更换。采用双因素方式验证用户身份；对令牌，证书等验证方式设定令牌，证书的更新周期。

应对VPN客户端按照“最小权限”的原则进行严格访问控制，对VPN客户端的权限进行定期审查。 应定期查阅统计和审计事件记录，查阅是否有违规和不安全事件发生。

VPN客户端要求安装个人防火墙和防病毒软件。

VPN客户端一段时间不用后，必须断开VPN连接，最好同时断开Internet连接。

与VPN厂商保持紧密联系或购买维护服务，及时升级安全补丁。

6.1.3 本地局域网

6.1.3.1 结构安全

应进行内外网隔离，处理银联卡交易信息的网络应与其他业务网络隔离。

应避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之间采取可靠的技术隔离手段。

应保证主要网络设备的业务处理能力具备冗余空间，满足业务高峰期需要。

国版权银所联 有 中