精品资料2022年收藏计算机信息系统安全等级保护数据库安全技术要求

《精品资料2022年收藏计算机信息系统安全等级保护数据库安全技术要求》由会员分享，可在线阅读，更多相关《精品资料2022年收藏计算机信息系统安全等级保护数据库安全技术要求（11页珍藏版）》请在装配图网上搜索。

1、信息安全技术 网络脆弱性扫描产品安全技术要求修订说明1 工作简要过程1.1 任务来源近年来，随着黑客技术的不断发展以及网络非法入侵事件的激增，国内网络安全产品市场也呈现出良好的发展态势，各种品牌的防火墙产品、入侵检测产品等已经达到了相当可观的规模。最近几年，网络脆弱性扫描产品的出现，为网络安全产品厂商提供了一个展现自身技术水平的更高层次舞台，市场上，各种实现脆弱性扫描功能的产品层出不穷，发展迅速，标准GB/T 20278-2006 信息安全技术 网络脆弱性扫描产品技术要求已不能满足现在产品的发展需求，另一方面，为了更好地配合等级保护工作的开展，为系统等级保护在产品层面上的具体实施提供依据，需要

2、对该标准进行合理的修订，通过对该标准的修订，将更加全面系统的阐述网络脆弱性扫描产品的安全技术要求，并对其进行合理的分级。本标准编写计划由中国国家标准化管理委员会2010年下达，计划号20101497-T-469，由公安部第三研究所负责制定，具体修订工作由公安部计算机信息系统安全产品质量监督检验中心承担。1.2 参考国内外标准情况该标准修订过程中，主要参考了：GB 17859-1999 计算机信息系统安全保护等级划分准则GB/T 20271-2006 信息安全技术 信息系统安全通用技术要求GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求GB/T 18336.2-2008

3、 信息技术 安全技术 信息技术安全性评估准则 第二部分：安全功能要求GB/T 18336.3-2008 信息技术 安全技术 信息技术安全性评估准则 第三部分：安全保证要求GA/T 404-2002 信息技术 网络安全漏洞扫描产品技术要求GB/T 20278-2006 信息安全技术 网络脆弱性扫描产品技术要求GB/T 20280-2006信息安全技术 网络脆弱性扫描产品测试评价方法MSTL_JGF_04-017 信息安全技术 主机安全漏洞扫描产品检验规范1.3 主要工作过程1）成立修订组2010年11月在我中心成立了由顾建新具体负责的标准修订组，共由5人组成，包括俞优、顾建新、张笑笑、陆臻、顾健

4、。2）制定工作计划修订组首先制定了修订工作计划，并确定了修订组人员例会及时沟通交流工作情况。3）确定修订内容经标准修订小组研究决定，以网络脆弱性扫描产品发展的动向为研究基础，以等级保护相关要求为标准框架，修订完成信息安全技术 网络脆弱性扫描产品安全技术要求。4）修订工作简要过程按照修订进度要求，修订组人员首先对所参阅的产品、文档以及标准进行反复阅读与理解，并查阅有关资料，编写标准修订提纲。在对提纲进行交流和修改的基础上，开始具体修订工作。2010年11月至2011年1月，对国内外网络脆弱性扫描产品，相关技术文档以及有关标准进行前期基础调研。在调研期间，我们主要对我中心历年检测产品的记录、报告以

5、及各产品的技术文档材料进行了筛选、汇总、分析，对国内外网络脆弱性扫描产品的发展动向进行了研究，以及进行了对国内外相关产品的技术文档和标准分析理解等工作。2011年1月至3月进行了草稿的编写工作。以我修订组人员收集的资料为基础，依据修订提纲，在不断的讨论和研究中，完善内容，最终形成了本标准的草稿。2011年3月至5月，我们收集了国内相关产品的主要生产厂家信息，以邮件形式向他们征求意见，包括北京神州绿盟信息安全科技股份有限公司、解放军信息安全研究中心等单位。2011年5月，单位内部组织第一次标准讨论会，由标准修订组成员汇报标准的修订情况并接受其他同事的质询，会后根据本次讨论会的意见，对标准内容进行

6、了修改。2011年8月，单位内部组织第二次标准讨论会，由标准修订组成员汇报标准的修订情况并接受其他同事的质询，会后根据本次讨论会的意见，对标准内容进行了修改。2011年12月，WG5专家评审会在上海组织召开了对标准征求意见稿的专家评审会，评审组由吉增瑞等多位专家组成，与会专家对草稿（第三稿）进行了讨论，并提出相关修改意见，会后修订组再次认真对专家意见进行了分析和处理，随后形成了草稿（第四稿）。2012年6月，单位内部组织第三次标准讨论会，由标准修订组成员汇报标准的修订情况并接受其他同事的质询，会后根据本次讨论会的意见，对标准内容进行了修改，形成了草稿（第五稿），在本次讨论会中，做出了一个非常重

7、要的修改，就是将标准名称改为信息安全技术 网络脆弱性扫猫产品安全技术要求，同时对标准的整体结构也进行了调整，按照基本级和增强级分开描述的形式修订，以便于读者的阅读，并保持与其他同类国标一致。2012年7月26日， WG5专家组在北京对标准草稿再次进行评审，与会专家包括赵战生、王立福、崔书昆、冯惠、袁文恭、卿斯汉、肖京华、杨建军、罗锋盈等。专家组对草稿（第五稿）提出若干意见，并一致同意形成标准征求意见稿。会后，按照专家意见，对标准内容进行了修改。本次修改的主要内容包括：标准封面、目录、前言中的若干描述；标准排版；规范性引用文件中引用词汇标准更新；定义与术语。通过本次修改完善后，形成征求意见稿（第

8、一稿）， 2012年9月18日，收到WG5工作组投票意见，七家参与投票的单位中，有四家赞成，三家赞成但需要修改，根据中科网威、江南天安、中国信息安全认证中心三家单位提出的意见进行了修改，通过本次修改，将产品的术语定义“扫描”和“网络脆弱性扫描”进行了进一步的推敲和明确；删除了“可允许网络性能的少量降低”和“远程保密传输”这两项描述比较含糊的要求，形成征求意见稿（第二稿）。2 确定标准主要内容的论据2.1 修订目标和原则2.1.1 修订目标本标准的修订目标是：对网络脆弱性扫描类产品提出产品功能要求、产品自身安全要求以及产品保证要求，使之适用于我国脆弱性扫描产品的研究、开发、测试、评估以及采购。2

9、.1.2 修订原则为了使我国网络脆弱性扫描产品的开发工作从一开始就与国家标准保持一致，本标准的编写参考了国家有关标准，主要有GA/T 698-2007、GB/T 17859-1999、GB/T 20271-2006、GB/T 22239-2008和GB/T 18336-2008第二、三部分。本标准又要符合我国的实际情况，遵从我国有关法律、法规的规定。具体原则与要求如下：1）先进性标准是先进经验的总结，同时也是技术的发展趋势。目前，我国网络脆弱性扫描类产品种类繁多，功能良莠不齐，要制定出先进的信息安全技术标准，必须参考国内外先进技术和标准，吸收其精华，制定出具有先进水平的标准。本标准的编写始终遵

10、循这一原则。 2）实用性标准必须是可用的，才有实际意义。因此本标准的编写是在对国内外标准的相关技术内容消化、吸收的基础上，结合我国的实际情况，制定出符合我国国情的、可操作性强的标准。3）兼容性本标准既要与国际接轨，更要与我国现有的政策、法规、标准、规范等相一致。修订组在对标准起草过程中始终遵循此原则，其内容符合我国已经发布的有关政策、法律和法规。2.2 对网络脆弱性扫描类产品的理解2.2.1 网络脆弱性扫描产品脆弱性扫描是一项重要的安全技术，它采用模拟攻击的形式对网络系统组成元素（服务器、工作站、路由器和防火墙等）可能存在的安全漏洞进行逐项检查，根据检查结果提供详细的脆弱性描述和修补方案，形成

11、系统安全性分析报告，从而为网络管理员完善网络系统提供依据。通常，我们将完成脆弱性扫描的软件、硬件或软硬一体的组合称为脆弱性扫描产品。脆弱性扫描产品的分类根据工作模式，脆弱性扫描产品分为主机脆弱性扫描产品和网络脆弱性扫描产品。其中前者基于主机，通过在主机系统本地运行代理程序来检测系统脆弱性，例如针对操作系统和数据库的扫描产品。后者基于网络，通过请求/应答方式远程检测目标网络和主机系统的安全脆弱性。例如Satan 和ISS Internet Scanner等。针对检测对象的不同，脆弱性扫描产品还可分为网络扫描产品、操作系统扫描产品、WWW服务扫描产品、数据库扫描产品以及无线网络扫描产品。脆弱性扫描

12、产品通常以三种形式出现：单一的扫描软件，安装在计算机或掌上电脑上，例如ISS Internet Scanner；基于客户机（管理端）/服务器（扫描引擎）模式或浏览器/服务器模式，通常为软件，安装在不同的计算机上，也有将扫描引擎做成硬件的，例如Nessus；也有作为其他安全产品的组件，例如防御安全评估就是防火墙的一个组件。网络脆弱性扫描产品通过远程检测目标主机TCP/IP不同端口的服务，记录目标给予的应答，来搜集目标主机上的各种信息，然后与系统的漏洞库进行匹配，如果满足匹配条件，则认为安全漏洞存在；或者通过模拟黑客的攻击手法对目标主机进行攻击，如果模拟攻击成功，则认为安全漏洞存在。主机脆弱性扫描

13、产品则通过在主机本地的代理程序对系统配置、注册表、系统日志、文件系统或数据库活动进行监视扫描，搜集他们的信息，然后与系统的漏洞库进行比较，如果满足匹配条件，则认为安全漏洞存在。在匹配原理上，目前脆弱性扫描产品大都采用基于规则的匹配技术，即通过对网络系统安全脆弱性、黑客攻击案例和网络系统安全配置的分析，形成一套标准安全脆弱性的特征库，在此基础上进一步形成相应的匹配规则，由扫描产品自动完成扫描分析工作。 端口扫描技术网络脆弱性扫描是建立在端口扫描的基础上的，支持TCP/IP协议的主机和设备，都是以开放端口来提供服务，端口可以说是系统对外的窗口，安全漏洞也往往通过端口暴露出来。因此，网络脆弱性扫描产

14、品为了提高扫描效率，首先需要判断系统的哪些端口是开放的，然后对开放的端口执行某些扫描脚本，进一步寻找安全漏洞。扫描产品一般集成了以下几种主要的端口扫描技术。 TCP SYN扫描通常称为“半打开”扫描，这是因为扫描程序不必要打开一个完全的TCP连接。扫描程序发送的是一个SYN数据包，好象准备打开一个实际的连接并等待反应一样（参考TCP的三次握手建立一个TCP连接的过程）。一个SYN/ACK的返回信息表示端口处于侦听状态。一个RST返回，表示端口没有处于侦听状态。 TCP FIN扫描TCP FIN扫描的思路是关闭的端口使用适当的RST来回复FIN数据包，而打开的端口会忽略对FIN数据包的回复。这种

15、方法与系统实现有一定的关系，有的系统不管端口是否打开，都回复RST，在这种情况下，该扫描方法就不适用了，但可以区分Unix和Windows NT TCP connect（）扫描这是最基本的TCP扫描。操作系统提供的connect（）系统调用，用来与每一个感兴趣的目标计算机的端口进行连接。如果端口处于侦听状态，那么connect（）就能成功。否则，这个端口是不能用的，即没有提供服务。 FIN+URG+PUSH扫描向目标主机发送一个FIN、URG和PUSH 分组，根据RFC793，如果目标主机的相应端口是关闭的，那么应该返回一个RST标志。 NULL扫描通过发送一个没有任何标志位的TCP包，根据R

16、FC793，如果目标主机的相应端口是关闭的，它应该发送回一个RST数据包。 UDP ICMP端口不能到达扫描在向一个未打开的UDP端口发送一个数据包时，许多主机会返回一个ICMP_PORT_UNREACH 错误。这样就能发现哪个端口是关闭的。UDP和ICMP错误都不保证能到达，因此这种扫描器必须能够重新传输丢失的数据包。这种扫描方法速度很慢，因为RFC对ICMP错误消息的产生速率做了规定。 安全漏洞特征定义 目前，脆弱性扫描产品多数采用基于特征的匹配技术，与基于误用检测技术的入侵检测系统相类似。扫描产品首先通过请求/应答，或通过执行攻击脚本，来搜集目标主机上的信息，然后在获取的信息中寻找漏洞特

17、征库定义的安全漏洞，如果有，则认为安全漏洞存在。可以看到，安全漏洞能否发现很大程度上取决于漏洞特征的定义。扫描器发现的安全漏洞应该符合国际标准，这是对扫描器的基本要求。但是由于扫描器的开发商大都自行定义标准，使得安全漏洞特征的定义不尽相同。漏洞特征库通常是在分析网络系统安全漏洞、黑客攻击案例和网络系统安全配置的基础上形成的。对于网络安全漏洞，人们还需要分析其表现形式，检查它在某个连接请求情况下的应答信息；或者通过模式攻击的形式，查看模拟攻击过程中目标的应答信息，从应答信息中提取安全漏洞特征。漏洞特征的定义如同入侵检测系统中对攻击特征的定义，是开发漏洞扫描系统的主要工作，其准确直接关系到漏洞扫描

18、系统性能的好坏。这些漏洞特征，有的存在于单个应答数据包中，有的存在于多个应答数据包中，还有的维持在一个网络连接之中。因此，漏洞特征定义的难度很大，需要反复验证和测试。目前，国内许多漏洞扫描产品直接基于国外的一些源代码进行开发。利用现成的漏洞特征库，使系统的性能基本能够与国外保持同步，省掉不少工作量，但核心内容并不能很好掌握。从长远发展来看，我国需要有自主研究安全漏洞特征库实力的扫描类产品开发商，以掌握漏洞扫描的核心技术。漏洞特征定义之所以重要，在于其直接决定了漏洞扫描产品的性能。在讨论入侵检测技术时，我们经常会谈到误报率和漏报率，其实这个问题漏洞扫描产品也同样存在，只不过因为入侵检测还利用了异

19、常检测技术，以及受网络流量等因素影响，使得这个问题更加突出罢了。作为特征匹配技术本身，它的误报率和漏报率是比较低的。一个定义非常好的漏洞特征，就会使误报率和漏报率很低；反之，一个定义得不好的漏洞特征，就会使误报率和漏报率较高。从网络安全的角度看，一个安全扫描过程是非常从容的（不象入侵检测需要面对复杂多变的网络流量和攻击），所以误报率和漏报率完全取决于漏洞特征的定义。漏洞特征库的多少决定了脆弱性扫描产品能够发现安全漏洞的数量，所以这是衡量一个脆弱性扫描产品功能强弱的重要因素。这需要引出脆弱性特征库升级（即产品升级）问题。由于每天都有可能出现新的安全漏洞，而基于特征匹配的脆弱性扫描技术不可能发现未

20、知的安全漏洞，所以特征库的及时升级就显得尤为重要。 模拟攻击脚本定制扫描目标的信息，例如操作系统类型版本号、网络服务旗帜和一些安全漏洞，扫描产品都可以通过发送一些请求包来得到。但是确定安全漏洞是否存在，扫描产品不得不依靠模拟攻击的方式来进行。一般情况下，扫描产品尝试对某个安全漏洞进行攻击，如果攻击成功，就能证明安全漏洞存在，扫描产品作为一个安全工具应该对网络系统无损或损害很小。事实上，扫描产品并不真正对目标主机进行攻击，而是采用定制的脚本模拟对系统进行攻击，然后对过程和结果进行分析。攻击脚本的定制对于安全扫描和安全漏洞的验证都十分关键，也是扫描产品的关键技术之一。模拟攻击脚本与漏洞特征库紧密相

21、关，需要获取包含脆弱性特征的信息。事实上，模拟攻击脚本是实际攻击的一个简化版或弱化版，达到获取信息的目的即可，而不需要把目标攻瘫或获取根权限。例如模拟的拒绝服务攻击脚本，一旦发现系统出现异常时就会立刻停止攻击。探测弱口令之类安全漏洞的脚本，则会利用账户简单交换、长度较短和易猜解的口令进行尝试，而不会像口令破解程序那样会去穷尽整个搜索空间。模拟攻击脚本的定制参照于实际攻击的过程。针对某个具体的安全漏洞，人们需要首先利用实际攻击工具进行攻击，记录下攻击的每一个步骤、目标应答和结果信息，分析这些信息，在其中寻找脆弱性特征，最后定制模拟攻击脚本。由于有些安全漏洞存在于一个主体或表现在攻击过程中，所以一

22、个模拟攻击脚本有时能够检测到多个安全漏洞。我们在看一个脆弱性扫描产品的技术说明书时，经常会看到产品有多少种攻击手法，能够发现多少种安全漏洞，这里所说的攻击手法就是指模拟的攻击脚本。通常，模拟攻击脚本越多，扫描器能够发现的安全漏洞种类就越多，功能也就越强大。 技术趋势从最初的专门为UNIX系统编写的具有简单功能的小程序发展到现在，脆弱性扫描系统已经成为能够运行在各种操作系统平台上、具有复杂功能的商业程序。脆弱性扫描产品的发展正呈现出以下趋势。 系统评估愈发重要目前多数脆弱性扫描产品只能够简单地把各个扫描器测试项的执行结果（目标主机信息、安全漏洞信息和补救建议等）罗列出来提供给测试者，而不对信息进

23、行任何分析处理。少数脆弱性扫描产品能够将扫描结果整理形成报表，依据一些关键词（如IP地址和风险等级等）对扫描结果进行归纳总结，但是仍然没有分析扫描结果 ，缺乏对网络安全状况的整体评估，也不会提出解决方案。在系统评估方面，我国的国标已明确提出系统评估分析应包括目标的风险等级评估、同一目标多次扫描形式的趋势分析、多个目标扫描后结果的总体分析、关键脆弱性扫描信息的摘要和主机间的比较分析等等，而不能仅仅将扫描结果进行简单罗列。应该说，脆弱性扫描技术已经对扫描后的评估越来越重视。下一代的脆弱性扫描系统不但能够扫描安全漏洞，还能够智能化地协助管理人员评估网络的安全状况，并给出安全建议。为达这一目的，开发厂

24、商需要在脆弱性扫描产品中集成安全评估专家系统。专家系统应能够从网络安全策略、风险评估、脆弱性评估、脆弱性修补、网络结构和安全体系等多个方面综合对网络系统进行安全评估。 插件技术和专用脚本语言插件就是信息收集或模拟攻击的脚本，每个插件都封装着一个或者多个漏洞的测试手段。通常，脆弱性扫描产品是借助于主扫描程序通过用插件的方法来执行扫描，通过添加新的插件就可以使扫描产品增加新的功能，扫描更多的脆弱性。如果能够格式化插件的编写规范并予以公布，用户或者第三方就可以自己编写插件来扩展扫描器的功能。插件技术可使扫描产品的结构清晰，升级维护变的相对简单，并具有非常强的扩展性。目前，大多数扫描产品其实已采用了基

25、于插件的技术，但各开发商自行规定接口规范，还没有达到严格的规范水平。专用脚本语言是一种更高级的插件技术，用户使用专用脚本语言可以大大扩展扫描器的功能。这些脚本语言语法通常比较简单直观，十几行代码就可以定制一个安全漏洞的检测，为扫描器添加新的检测项目。专用脚本语言的使用，简化了编写新插件的编程工作，使扩展扫描产品功能的工作变的更加方便，能够更快跟上安全漏洞出现的速度。 网络拓扑扫描网络拓扑扫描目前还被大多数扫描器所忽略。随着系统评估的愈发重要，网络拓扑结构正成为安全体系中的一个重要因素。拓扑扫描能够识别网络上的各种设备以及设备的连接关系，能够识别子网或VLAN的划分，能够发现网络的不合理连接，并

26、以图形方式将这种结构展现在用户面前。 拓扑扫描能够在非法的网络接入，失效的网络隔离和网络异常中断等方面发挥关键作用，网络拓扑扫描正成为安全评估的重要手段。 安全设备有效性检测防火墙、入侵检测系统等安全设备已经取得了广泛的使用，这些安全设备的效果如何却很少引起人们的关注和测试。以防火墙配置为例，如果它在交换（透明）模式（无IP地址）下工作，脆弱性扫描产品将无法对它进行有效检测，防火墙工作有效与否就无从得知。未来的脆弱性扫描产品将会采用闭环路式结构，能够接入防火墙的两端进行有效性测试，检测其访问控制措施、抗攻击措施是否与安全策略一致。 支持CVE国际标准在设计扫描程序或制定应对策略时，不同的厂商对

27、漏洞的称谓完全不同。CVE是一个有关安全漏洞和信息泄露标准名称的列表，CVE（Common Vulnerabilities and Exposures）的目标是将众所周知的安全漏洞和信息泄露的名称标准化。CVE的编委包括多个安全信息相关组织，由商业安全工具供应商、学术界成员、研究机构、政府机构和安全专家组成。通过开放与合作的讨论，这些组织将决定哪些安全漏洞和信息泄露问题将被包括在CVE中，然后在决定它们的通用名称和对这些条目的描述。 软件固化和安全的OS平台由于脆弱性扫描产品是模拟攻击举动的安全工具，这就对该类产品自身的安全性提出了要求。产品本身的安全性主要指产品的抗攻击性能，如果软件本身或者

28、软件的运行平台无法保证安全性，扫描器就有可能感染病毒、木马等有害程序，影响用户的使用。由于软件产品无法杜绝被感染的可能，脆弱性扫描产品正在向硬件化的方向发展，高档产品还在FLASH、文件系统、通信接口等方面采用非通用程序，以彻底杜绝被恶意程序攻击和感染的可能。 支持分布式扫描目前的用户网络越来越复杂，没有划分VLAN的单一网络越来越少见。多个子网之间一般都有访问限制，不同子网之间还设有防火墙。这些限制会对跨网段的扫描产生影响，使扫描结果不准确。今后的扫描产品必须能够进行分布式扫描，以便对网络接点进行彻底、全面的检查。 2.2.2 与等级保护的关系原标准GB/T 20278-2006 信息安全技

29、术 网络脆弱性扫描产品技术要求在制定时没有考虑与GB/T20271-2006 信息安全技术 信息系统通用安全技术要求和GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求之间的相互关系。该类标准只是将网络脆弱性扫描产品粗分为基本级和增强级两个级别，且与“基本要求”和“通用要求”中的划分没有对应关系，不利于该类产品在系统等级保护推行中产品选择方面的有效对应。GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求的网络安全管理，从第一级就要求“定期进行网络系统漏洞扫描，对发现的网络系统安全漏洞进行及时的修补”，GB/T 20271-2006 信息安全技术

30、信息系统通用安全技术要求中的信息系统安全性检测分析，从第二级开始要求“操作系统安全性检测分析、数据库管理系统安全性检测分析、网络系统安全性检测分析、应用系统安全性检测分析和硬件系统安全性检测分析的要求，运用有关工具，检测所选用和/或开发的操作系统、数据库管理系统、网络系统、应用系统、硬件系统的安全性，并通过对检测结果的分析，按系统审计保护级的要求，对存在的安全问题加以改进。”本次在对原标准的修订过程中，对于产品本身的安全保护要求，主要参考了GB/T 17859-1999、GB/T 20271-2006、GB/T 18336-2008、GB/T 22239-2008等，以等级保护的思路编写制定了

31、自身安全功能要求和保证要求。对于产品提供服务功能的安全保护能力方面，现阶段是以产品功能强弱以及配合等级保护安全、审计等要素进行分级的。通过对标准意见的不断收集以及修改，将产品提供的功能与等级保护安全要素产生更密切的联系，以便有能力参与到系统等级保护相关要素的保护措施中去。2.2.3 与原标准的区别1) 标准结构更加清晰规范，全文按照产品安全功能要求、自身安全功能要求和安全保证要求三部分进行整理修订，与其他信息安全产品标准的编写结构保持一致。2）删除原标准中性能部分的要求，将原来有关扫描速度、稳定性和容错性，以及脆弱性发现能力等重新整理，作为功能部分予以要求，同时，考虑到原来对于误报率和漏报滤的

32、模糊描述以及实际测试的操作性较差，删除了这两项内容的要求。3）对于产品功能要求的逻辑结构进行重新整理，按照信息获取，端口扫描，脆弱性扫描，报告的先后顺序进行修订，使得产品的功能要求在描述上逐步递进，易于读者的理解，并且结合产品的功能强弱进行分级。4) 对于产品的自身安全功能要求和安全保证要求，充分参考了等级保护的要求，对其进行了重新分级，使得该标准在应用时更能有效指导产品的开发和检测，使得产品能更加有效的应用于系统的等级保护工作。5）将标准名称修改为信息安全技术 网络脆弱性扫描产品安全技术要求，增加了“安全”二字，体现出这个标准的内容是规定了产品的安全要求，而非其它电器、尺寸、环境等标准要求。

33、6）将原标准中“网络脆弱性扫描”的定义修改为“通过网络对目标网络系统安全隐患进行远程探测的过程，它对网络系统进行安全脆弱性检测和分析，从而发现可能被入侵者利用的漏洞，并可以提出一定的防范和补救措施建议。”作为扫描类产品，在发现系统脆弱性的同时，还要求“能够采取一定的补救措施。”这显然是不合理的，而且这也不应该是该类产品需要具备的功能，所以将产品定义的最后修改为“并可以提出一定的防范和补救措施建议。”，提出补救建议就足够了。7）删除了原标准中的“数据库脆弱性”，数据库的安全性要求很多，现在市场上已经出现了专门针对数据库安全性扫描的一类产品，该要求不应该作为本产品中具备的一个小项提出，故将其删除。

34、8）删除了原标准中的“安装与操作控制”，该要求涉及的内容属于产品的安装与使用，不是产品应具备的功能要求，故删除，新标准修订后在产品的安全保证要求中有所提及。9）删除了原标准中的“与IDS 产品的互动”、“与防火墙产品的互动”、“与其它应用程序之间的互动”，如果脆弱性扫描产品作为一套完整的大型系统中的一部分，要求具备这些可以与IDS、防火墙等联动的功能是非常有必要的，当扫描设备发现网络系统中存在某些脆弱性后，可以与其他设备联动进行自动修复或者进行提前防护，对整套系统起到了一个很好的自动化保护功能，但是作为一个独立的扫描产品，也提出这些要求，无疑使得产品的要求过于苛刻，而且从市场上的产品来看，基本

35、上也都不具备这些功能，所以在标准修订时，弱化了此部分的要求，不再要求能与这些设备进行联动，只要具备基本通用接口即可。10）新增了在产品升级过程中要求对升级包的认证功能，现在的扫描产品主要都是通过特征比对的方式进行脆弱性发现，如果设备本身的特征库出现错误，那扫描结果将不堪设想，所以对于产品的升级包提出了更高的要求，必须保证是产品开发商提供的，未经非授权修改的。11）新增了扫描结果的比对分析功能，通过对多个设备的同时扫描，可以横向比对出哪个设备存在的漏洞最多，或者可以对同个设备进行多次扫描，纵向比对出同一个设备的漏洞趋势，是否有所改观或者更加恶化。12）在产品自身安全要求中新增了鉴别数据保护、鉴别

36、失败处理、超时锁定、远程管理等功能，通过这些要求的加入，使得产品的自身安全要求更高，便于产品的使用和管理。2.2.4 主要概念的说明为了便于理解本标准内容，现将本标准的主要概念说明如下。1）扫描 scan使用技术工具对目标系统进行探测，查找目标系统中存在的安全隐患的过程。2）网络脆弱性扫描 network vulnerability scan通过网络对目标网络系统安全隐患进行远程探测的过程，它对网络系统进行安全脆弱性检测和分析，从而发现可能被入侵者利用的漏洞，并可以提出一定的防范和补救措施建议。3 与国内外现行同类标准的对比信息安全技术 网络脆弱性扫描产品安全技术要求标准在修订过程中，参考了国

37、内外相关的标准，结合当前国内外网络脆弱性扫描产品的发展情况，系统地描述了产品的功能要求、自身安全要求和保证要求。这些技术是在对国内外现有技术及标准进行吸收、消化的基础上，考虑了我国国情制定的。本次是对原有国标GB/T 20278-2006 信息安全技术 网络脆弱性扫描产品技术要求的修订，在修订过程中，重新整理了内容和结构，结合等级保护的要求重新进行了分级，在内容和结构上趋于完整化、可行化和系统化。4 贯彻标准的要求和实施建议本标准是对网络脆弱性扫描产品安全技术要求的详细描述，为生产、测试和评估信息过滤产品提供指导性意见。建议将本标准作为国家标准在全国推荐实施。 信息安全技术 网络脆弱性扫描产品安全技术要求修订组 2012年9月- 11 -