信息安全技术 网络脆弱性扫描产品技术要求.docx

《信息安全技术 网络脆弱性扫描产品技术要求.docx》由会员分享，可在线阅读，更多相关《信息安全技术 网络脆弱性扫描产品技术要求.docx（13页珍藏版）》请在优知文库上搜索。

1、ICS35.(M()I.80OB中华人民共和国国家标准GBfT202782006信息安全技术网络脆弱性扫描产品技术要求Informationsecuritytechno1.ogy-Techniquerequirementfornetworkvu1.nerabi1.ityscanners2006-12-01实施2006-05-13发布中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会前蜩；I引鲍：II1范阳12Be范性引用文件13术语和定义14缩珞语和记法约定24.1缩珞语24.2记法钝定25网络脆弱性招描产M分级25.1 基本型25.2 增强型26使用环境27功能要求37.1 基本

2、型网络脆烟性扫描产品功能组件37.2 自身安全要求37.3 安全功能要求47.4 管理要求87.5 安装与操作控制97.6 增期型网络脆弱性扫描产M功能组件97.7 增强型网络腌弱性扫描产品扩展功能要求108性能要求108.1速度108.2稳定性和容错性108.3漏洞发现能力1084误报率1085漏报率109保证要求119.1 基本型H9.2 增强型12冏录A（资料性附录）网络脆弱性扫描产品介绍16A.1脆崩性扫描技术16A.2网络脆弱性扫描产M简介16A.3体系结构16参考文献18图A1.网络脆弱性扫描产品的系统基本组成16表1甚本型网络腑弱性扫描产品功能要求3表2增强型网络脆弱性扫描产品功

3、能要求9前鳗言（略）信息安全技术网络脆弱性扫描产品技术要求1葩围本标准规定了采用传输控制协议和网际协议（TCP/IP）的网络腌弱性扫描产品的技术要求，提出网络脆弱性扫描产品实现的安全目标及环境,给出产品基本功能、增强功能和安全保证要求.本标准适用于通过网络对系统和设备进行脆弱性扫描的安全产品的研制、生产和认证。本标准不适用于专门对数据圈系统进行脆密性招播的产品.2规楚性引用文件下列文件中的条款通过本标准的引用而成为本部分的条款.凡是注日期的引用文件其随后所行的修改单（不包括勘误的内容）或者修订版均不适合于本标准，但鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本，凡是不注日期的引文

4、，其最新版本适用于本标准.GB.T5271.8-2001信息技术词汇第8部分：安全（idHSO”EC2382-8:1998）3术语和定义GB/T5271.8-2001确立的以及下列术语和定义适用于本标准。3.1扫描scan使用脆弱性扫描产从进行探测,找到网格中的主机系统存在的安全隐患的过程.3.2威胁threat可能对网络系统和设符或网络所有者造成损害的事故的潜在原因。3.3脆弱性Vu1.nerabiIity网络系统和设；中能被利用并造成危杏的弱戊。3.4宿主机1.oca1.host运行网络脆弱性扫描产M的计算机.3.5目标主机targethost网络脆弱性扫描产品对其进行风险分析的计算机，3

5、.6网络脆弱性扫描networkvu1.nerabi1.ityscan通过网络远程检测目标网络系统安全的也的探测过程，它对网络系统和设备进行安全脆弱性检测和分析,从而发现可能被入侵者利用的漏洞,并采取一定的防范和补救措施.3.7网络脆弱性扫描产品networkvu1.nerabi1.ityscanner能城完成网络脆弱性扫描功能的产品.7功能要求7.1 基本型网络腌弱性扫描产品功能组件基本型网络脆弱性扫描产品的功能组件由表1所列项I1.祖成O表基本型网络脆弱性扫描产品功能要求功能分类功能组件自身安全要求身份鉴别适用限制敢停信息保护使用记录扫描数据包标记扫描结果安全安全功能要求脆弱性扫描网络旁路

6、检查信息获取端口和服务扫描管理要求管理员访问扫描结果分析处理扫描策略定制扫描对象的安全性升级能力使用要求安装与操作控制7.2 自身安全要求721身份鉴别只有授权管理员才能使用网络脆弱性扫描产品的完整功能,对于授权管理员、普通管理员和审计员至少采用一种身份鉴别方式（例如：用户名和口令）对其进行身份鉴别.7.2.2适用限制网络腌弱性扫描产品应提供对产品扫描范困进行限制的手段，如限制产品可扫描的具体IP地址。723敏感信息保护策略定制时,一些敏感信息可能被涉及,应采取相应措施来保证收感信息的机密性和完整性,例如财用户口令进行加密存偌。7.24使用记录对软件的以下使用应有完整的F1.志记录，便于审计跟

7、踪和分析：n）管理员登录：b）扫描操作过程：c）扫描结果分析处理；d）产品升级；e）其他使用。7.2.5扫描数据包标记9保证要求9.1 基本型9.1.1. 置管理a）开发者应为网络脆弱性扫描产品的不同版本提供曜一的标识；b）开发者应针对不同用户提供唯一的授权标识；c）要求配置项.应有唯一的标识.9.1.2. 全功能开发过程9.1.3. 1功能设计a）功能设计应当使用非形式化风格来描述网络脆弱性扫描产品安全功能与其外部接口；b）功能设计应当是内在一致的：c）功能设计应当描述使用所有外部网络脆弱性扫描产品安全功能按1.I的目的与方法,适当的时候,要提供结果影响例外情况和拙误信息的细15;（1）功I

8、fe设计应当完整地去示网络脆弱性扫描产品安全功能。9.1.4. 1.2.2表示对应性a）开发者应在网络痂弱性扫描产品安全功能表示的所有相邻对之间提供对应性分析：b）对于网络脆弱性扫描产品安全功能入示的每个相邻对，分析应阐明：较为抽象的安全功能非示的所有相关安全功能，应在较具体的安全功能表示中得到正确而完整地细化。9.1.5. 试9.1.6. 1功能测试）开发者应冽试安全功能，将结果文档化并提供测试文档：b）测试文档应包括测试计划、测试规程、测试报告.测试计划应标识要测试的安全功能,并描述测试的目标，测试规程应标识要执行的测试，并描述邪个安全功能的测试概况，这英概况包括对其他测试结果的顺序依赖性

9、，测试报告的内容包括预期的测试结果和实际测试结果。9.1.7. 1.3.2覆盖分析a）开发者应提供测试瓶盖的分析结果：b）测试股Iift的分析结果应衣明测试文档中所标识的测试与安全功Ife设计中所描述的安全功能是对应的.9.1.8. 导性文档9.1.9. 1管理员指南a）开发者应提供系统管理员使用的管理员指南：b）管理员指南应说明以下内容：D网络脆弱性扫描产品可以使用的管理功能和接口：2）怎样安全地管理网络脆弱性扫描产品：3）在安全处理环境中应诳行控制的功能和权限：D所有对与网络脆弱性扫描产品的安全操作有关的用户行为的假设：5）所有受管理员控制的安全参数，如果可能，应指明安全值；6）短一种与管

10、理功能有关的安全相关事件，包括而安全功能所控制的实体的安全特性进行的改变；7）所有与系统管埋员有关的11环境的安全要求.c）管理员指南应与为评估而提供的其他所有文件保持一致。9.1.10. 1.4.2用户指南a）开发者应提供用户指南：b）用户指向应说明以下内容：1）网络腌弱性扫描产品的非管理用户可使用的安全功能和接口：2） M络腌弱性扫描产品提供给用户的安全功能和接1：1的用法；3）用户可获取但应受安全处理环境控制的所有功能和权限：0刈络脆弱性扫描产品安全操作中用户所应承担的职费：5）与用户有关的IT环境的所有安全要求.C）用户指南应与为评估而提供的其他所有文件保持一致。9.1.5交付与运行a

11、）开发者应提供文档说明网络脆弱性扫描产品的安装、生成和启动的过程：b）上述过程中不应向非产品使用者提供网络拓扑信息.9.16生命周期支持a）开发者应提供开发安全文件：b）开发安全文件应描述在网络脆弱性扫描产品的开发环境中，为保护网络脆弱性扫描产品设计和实现的机密性和完整性，而在物理上、程序上、人员上以及其他方面所采取的必要的安全措施.开发安全文件还应提供在网络腌弱性扫描产品的开发和推妒过程中执行安全措梏的证据.9.2增强型9.2.1配置管理9.2.1.1授权机制a）开发者应使用配置管理系统并提供配置管理文档，为网络舱训性扫描产品的不同版本提供唯一的标识：b）配置管理系统应对所有的配置项作出睢一

12、的标识，并保证只有经过授权才能修改配置项；c）配置管理文档应包括配置清单和配置管理计划.在IE置清单中,应对每一配置项给出相应的描述：在配置管理计划中,应描述配比管理系统是如何使用的.实施的配置管理应与配巴管理计一相一致:d）配置管理文档还应描述对配置项给出唯一标识的方法，井提供所有的配置项得到有效地维护的证据.9.2.1.2配置管理范围a）开发者应提供配置管理文档：b）配汽管理文档应说明配置管理系统至少能跟踪：网络脆弱性扫描产品实现表示、设计文档、测试文档、用户文档、管理员文档和配置管理文档，并描述配置管理系统是如何堪踪配置项的.9.2.2安全功能开发过程9.2.2.1功诧设计a）功能设计应

13、当使用非形式化风格来描述网络腌弱性扫描产品安全功Ife与其外部接口：b）功能设计应当是内在一致的：c）功能设计应当描述使用所有外部网络腌弱性扫描产品安全功能接口的目的与方法，适当的时候，要提供结果影响例外情况和出错信息的细节：d）功能设计应当完整地表示网络脆划性扫描产品安全功能.922.2高层设计球开发者应提供网络腌弱性打描产品安全功能的高层设计;b）高层设计应以非形式方法表述并且是内在一致的。为说明安全功能的结构，高层设计应将安全功能分解为各个安全功能f系统进行描述，并阐明如何将有助于加强网络脆弱性扫描产M安全功能的子系统和其他子系统分开.而于每一个安全功能子系统,高层设计应描述其提供的安全

14、功能.标识其所有接口以及哪些接口是外部可见的，描述其所有接口的使用目的与方法,并提供安全功能子系统的作用、例外情况和出错信息的细节。高层设计还应标识安全功能要求的所有基础性的硬件、固件和软件，并且支持由这些硬件、固件或软件所实现的保护机制.9.2.2.3低层设计a）开发者应提供网络脆弱性扫描产品安全功能的低层设计；b）低层设计应是非形式化、内在一致的，在描述网络脆弱性扫描产品安全功能时，低层设计应采用模块术谙,说明每一个安全功能模块的H的.并标识安全功能模块的所行接11和安全功旎模块可为外部所见的接口，以及安全功能模块所有接口的目的与方法，适当时，还应提供接口的作用、例外情况和祐说信息的细节：

15、C）低层设计还应包括以下内容：1）以安全功能性术语及模块的依赖性术语，定义模块间的相互关系；2）说明如何提供每一个安全策略的强化功能：3）说明如何将网络脆弱性扫描产品加强安全策略的模块和其他模块分离开。9.2.2.4表示对应性a）开发者应在网络脆弱性扫描产品安全功能去示的所有相邻对之间提供对应性分析；b）时于网络脆弱性扫描产品安全功能表示的每个相邻对，分析应阐明：较为抽象的安全功能表示的所有相关安全功能，应在较具体的安全功能表示中得到正确而完整地细化。9.2.3测试9.2,3.1功能则试a）开发者应测试安全功能,将结果文档化并提供测试文档：b）测试文档应包括测试计划、测试过程、测试报告.测试计划应标识要测试的安全功能并描述刈试的目标.测试过程应标识要执行的刈试