信息技术 网络安全漏洞扫描产品技术要求.docx
《信息技术 网络安全漏洞扫描产品技术要求.docx》由会员分享,可在线阅读,更多相关《信息技术 网络安全漏洞扫描产品技术要求.docx(23页珍藏版)》请在冰豆网上搜索。
信息技术网络安全漏洞扫描产品技术要求
ICS
中华人民共和国公共安全行业标准
GA/T××××—xxxx
信息技术
网络安全漏洞扫描产品技术要求
Informationtechnology—Technicalrequirementsforvulnerabilityscannerof
networksecurity
(报批稿)
××××-××-××发布××××-××-××实施
中华人民共和国公安部发布
目次
前言..............................................................................II
引言.............................................................................III
1范围.................................................................................1
2规范性引用文件.......................................................................1
3术语和定义...........................................................................1
4缩略语和记法约定.....................................................................1
4.1缩略语..............................................................................1
4.2记法约定............................................................................1
5网络安全漏洞扫描产品概述.............................................................2
5.1引言................................................................................2
5.2系统组成、结构......................................................................2
5.3产品分级............................................................................2
5.4使用环境............................................................................3
6功能要求.............................................................................3
6.1基本级网络安全漏洞扫描产品功能组件..................................................3
6.2自身安全功能要求....................................................................3
6.3安全功能要求........................................................................3
6.4管理功能要求........................................................................7
7性能要求.............................................................................7
7.1速度................................................................................8
7.2稳定性和容错性......................................................................8
7.3漏洞发现能力........................................................................8
7.4误报率..............................................................................8
7.5漏报率..............................................................................8
8增强级网络安全漏洞扫描产品扩展技术要求...............................................8
8.1自主访问控制........................................................................8
8.2身份鉴别............................................................................8
8.3客体重用............................................................................9
8.4数据完整性..........................................................................9
8.5审计................................................................................9
8.6功能要求............................................................................9
9安全保证要求........................................................................10
9.1配置管理保证.......................................................................10
9.2交付和操作保证.....................................................................10
9.3开发过程保证.......................................................................10
9.4指南文件保证.......................................................................10
9.5测试保证...........................................................................11
9.6脆弱性分析保证.....................................................................11
前言
本标准由公安部公共信息网络安全监察局提出。
本标准由公安部信息系统安全标准化技术委员会归口。
本标准由北京中科网威信息技术有限公司、公安部第三研究所负责起草。
本标准主要起草人:
清黛、潘玉珣、杨威、余立新、肖江、刘兵、丁宇征。
引言
本标准规定了网络安全漏洞扫描产品的技术要求,提出了该类产品应具备的功能要求、性能要求和安全保证要求。
并根据功能和性能要求的不同将网络安全漏洞扫描产品进行了分级。
本标准的目的是为网络安全漏洞扫描产品的研制、开发、测评和采购提供技术支持和指导。
使用符合本标准的网络安全漏洞扫描产品可对网络进行脆弱性检查,对发现的安全隐患提出解决建议,从而提高网络系统的安全性。
信息技术网络安全漏洞扫描产品技术要求
1范围
本标准规定了采用传输控制协议/网间协议(TCP/IP)的网络安全漏洞扫描产品的功能要求、性能要求、增强级产品扩展技术要求和安全保证要求。
本标准适用于对计算机信息系统进行人工或自动漏洞扫描的安全产品的研制、开发、测评和采购。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件,其最新版本适用于本标准。
GB/T5271.8-2001信息技术词汇第8部分:
安全(idtISO/IEC2382-8:
1998)
3术语和定义
GB/T5271.8-2001中确立的及以下术语适用于本标准。
3.1误报falsepositives
由于漏洞扫描产品本身的缺陷或不完善导致产品输出了错误扫描结果的现象。
3.2漏报falsenegatives
由于漏洞扫描产品本身的缺陷或不完善导致某些实际存在的安全漏洞未被探测到的现象。
4缩略语和记法约定
4.1缩略语
CGI公共网关接口CommonGatewayInterface
DNS域名系统DomainNameSystem
DOS拒绝服务DenialOfService
FTP文件传送协议FileTransferProtocol
HTTP超文本传送协议HypertextTransferProtocol
TCP传输控制协议TransmissionControlProtocol
IP网间协议InternetProtocol
UDP用户数据报协议UserDatagramProtocol
NETBIOS网络基本输入输出系统NETworkBasicInputOutputSystem
NFS网络文件系统NetworkFileSystem
NIS网络信息服务NetworkInformationService
POP邮局协议PostOfficeProtocol
RPC远程过程调用RemoteProcedureCall
SMB服务器消息块ServerMessageBlock
SMTP简单邮件传送协议SimpleMailTransferProtocol
SNMP简单网络管理协议SimpleNetworkManagementProtocol
4.2记法约定
细化:
用于增加某一功能要求的细节,从而进一步限制该项要求。
对功能要求的细化用黑体字表示。
选项:
用于从对某一功能要求的陈述中突出一个或多个选项,用带下划线的斜体字表示。
说明项:
本标准对网络安全漏洞扫描产品进行了分级。
本标准中的要求,凡未特殊说明,均为基本
级产品要求;对于增强级产品的特殊要求,将增加说明项进行特殊说明。
5网络安全漏洞扫描产品概述
5.1引言
网络安全漏洞扫描产品的功能是对计算机系统和网络进行检查,发现其脆弱性,对其安全状况进行评估、风险分析、安全趋势分析,并对发现的安全隐患提出针对性的解决方案和建议,从而提高计算机系统和网络的安全性。
5.2系统组成、结构
5.2.1系统组成
系统由四个模块构成,模块间的关系如图1所示。
5.2.2界面
界面部分主要完成以下的功能:
a)负责接受并处理用户输入、定制扫描策略、开始和终止扫描、定制评估分析报告等;
b)显示系统工作状态。
5.2.3扫描引擎
扫描引擎部分主要完成以下的功能:
a)响应界面指令;
b)读取扫描策略数据库,并依此制定执行方案;
c)执行扫描方案,启动扫描进程和线程,并进行调度管理。
d)将扫描结果存档保存。
5.2.4结果评估分析
结果评估分析部分主要完成以下的功能:
a)读取数据库中的扫描结果信息;
b)形成扫描报告。
5.2.5数据库
数据库部分主要完成以下的功能:
a)存放扫描结果、定制策略内容、脆弱性描述及其解决方法;
b)提供数据查询和管理功能。
5.3产品分级
5.3.1基本级
该级别的网络安全漏洞扫描产品应满足第6、7、9章规定的功能要求、性能要求和安全保证要求。
5.3.2增强级
该级别的网络安全漏洞扫描产品除满足基本级产品各项要求外,还必须满足第8章规定的扩展技术
要求。
5.4使用环境
5.4.1硬件环境
符合本标准的产品可在兼容计算机上安装使用。
5.4.2软件环境
符合本标准的产品适用于当前流行的各种操作系统(如:
Windows系列操作系统或Unix/Linux操作系统)。
5.4.3网络环境
为使漏洞扫描顺利进行以及扫描结果更加准确,安装漏洞扫描产品的主机应与被扫描的主机处于相同的网段。
6功能要求
6.1基本级网络安全漏洞扫描产品功能组件
基本级网络安全漏洞扫描产品的功能组件由表1所列项目组成。
表1基本级网络安全漏洞扫描产品功能要求
6.2自身安全功能要求
6.2.1身份鉴别
只有授权管理员才能使用网络安全漏洞扫描产品的完整功能,对于授权管理员至少应采用用户名/口令方式对其进行身份认证。
6.2.2数据完整性
网络安全漏洞扫描产品应确保用户信息、策略信息和关键程序的数据完整性。
应采取必要的手段对其完整性自动进行检验。
6.2.3审计日志
对产品的使用(包括登录、扫描分析等)应产生审计日志记录。
6.3安全功能要求
6.3.1脆弱性扫描
6.3.1.1浏览器脆弱性
网络安全漏洞扫描产品应检查与浏览器安全相关的信息和配置,发现危险或不合理的配置,并提出相应的安全性建议。
检查项目应包括:
a)浏览器版本号;
b)浏览器安全设置;
c)其他由于操作系统或软件升级带来的安全隐患。
6.3.1.2邮件服务脆弱性
网络安全漏洞扫描产品应检查使用了POP3、SMTP等电子邮件相关协议的服务程序的安全问题,检查项目应包括:
a)服务程序旗标和版本号;
b)服务程序本身的漏洞,包括:
——设计错误;
——对输入缺乏合法性检查;
——不能正确处理异常情况。
c)服务器的危险或错误配置,包括:
——是否允许EXPN和VRFY命令;
——是否允许邮件转发;
——其它安全配置。
d)其它由于操作系统或软件升级带来的安全隐患。
6.3.1.3FTP服务脆弱性
网络安全漏洞扫描产品应检查使用了FTP协议的服务程序的安全问题,检查项目应包括:
a)服务程序旗标和版本号;
b)服务程序本身的漏洞,包括:
——设计错误;
——对输入缺乏合法性检查;
——不能正确处理异常情况。
c)服务器的危险或错误配置,包括:
——是否允许匿名登录;
——是否使用了默认口令;
——是否允许危险命令;
——其它安全配置。
d)其它由于操作系统或软件升级带来的安全隐患。
6.3.1.4Web服务脆弱性
网络安全漏洞扫描产品应检查使用了HTTP协议的服务程序的安全问题,检查项目应包括:
a)服务程序旗标和版本号;
b)服务程序本身的漏洞,包括:
——设计错误;
——对输入缺乏合法性检查;
——不能正确处理异常情况。
c)服务器上运行的脚本及CGI程序的漏洞;
d)服务器的危险或错误配置,包括:
——文件属性错误;
——目录属性错误;
——其它安全配置。
e)其它由于操作系统或软件升级带来的安全隐患。
6.3.1.5DNS服务脆弱性
网络安全漏洞扫描产品应检查DNS服务的安全问题,检查项目应包括:
a)服务程序旗标和版本号;
b)服务程序本身的漏洞,包括:
——设计错误;
——对输入缺乏合法性检查;
——不能正确处理异常情况。
c)其它由于操作系统或软件升级带来的安全隐患。
6.3.1.6其它已知TCP/IP服务脆弱性
网络安全漏洞扫描产品应检查其它使用了TCP/IP协议的服务程序的安全问题,检查项目应包括:
a)服务程序的旗标和版本号;
b)服务程序本身的漏洞,包括:
——设计错误;
——对输入缺乏合法性检查;
——不能正确处理异常情况。
c)服务程序的错误配置。
6.3.1.7RPC服务的脆弱性
网络安全漏洞扫描产品应检查使用了RPC协议的服务程序的安全问题,检查是否开启了危险的RPC服务。
6.3.1.8NIS服务的脆弱性
网络安全漏洞扫描产品应检查使用了NIS协议的服务程序的安全问题,检查是否开启了危险的NIS服务。
6.3.1.9SNMP服务的脆弱性
网络安全漏洞扫描产品应检查使用了SNMP协议的服务程序的安全问题,检查项目应包括:
a)SNMP口令脆弱性检查;
b)检查SNMP服务是否会暴露下列系统敏感信息,包括:
——TCP端口表;
——UDP端口表;
——服务列表;
——进程列表;
——路由表;
——网络接口设备表。
6.3.1.10口令脆弱性
网络安全漏洞扫描产品应检查系统帐户口令的健壮性,检查项目应包括:
——系统是否使用了帐户名称经过简单变换后的口令;
——系统是否使用了易猜测口令;
——使用字典,检查系统是否使用了易猜测的口令;
——使用穷举法猜测口令以验证系统帐户口令的强度。
6.3.1.11NT用户、组、口令、共享、注册表等脆弱性
网络安全漏洞扫描产品应检查WindowsNT/2000/XP特有的一些脆弱性,检查项目应包括:
a)系统安全设置,包括:
——注册表项目访问权限设置;
——审核策略设置;
——系统口令策略设置。
b)WindowsNT/2000/XPServicePack版本和补丁安装情况检查;
c)其它关于用户、组、口令、共享、注册表等脆弱性的检查。
6.3.1.12木马
网络安全漏洞扫描产品应检查常见木马使用的默认端口是否开启,并对扫描得到的开启端口进行测试分析。
6.3.1.13NT服务
网络安全漏洞扫描产品应检查WindowsNT/2000/XP服务开启情况,检查项目应包括:
a)获取将当前启动的NT服务列表;
b)将当前启动的NT服务列表与用户定义的“已知NT服务列表”相比较,给出“未知NT服务列表”;
c)检查是否启动了具有一定危险性的NT服务。
6.3.1.14NFS服务脆弱性
网络安全漏洞扫描产品应检查NFS服务相关的脆弱性。
6.3.1.15路由器/交换机脆弱性
网络安全漏洞扫描产品应检查路由器/交换机及其开启服务相关的脆弱性。
6.3.1.16DOS攻击脆弱性
网络安全漏洞扫描产品应能使用实际攻击手法对目标主机进行真实的攻击,以检查目标主机对已知DOS攻击的抵御能力。
6.3.1.17文件共享
网络安全漏洞扫描产品应检查使用的NETBIOS或SMB共享,发现危险的设置,检查项目应包括:
a)SAMBA服务器软件的版本号;
b)重要目录被共享;
c)共享目录可被匿名用户写入;
d)是否使用了缺省或过于简单的共享口令。
6.3.1.18其它
网络安全漏洞扫描产品应对未归入6.3.1.1至6.3.1.17各条的系统脆弱性进行扫描检查并给出扫描结果。
6.3.2网络旁路检查
网络安全漏洞扫描产品应检查目标系统网络中是否存在网络旁路,如代理服务器,拨号上网等。
6.3.3信息获取
6.3.3.1操作系统探测
网络安全漏洞扫描产品应能对操作系统类型和版本号进行探测。
6.3.3.2服务旗标
网络安全漏洞扫描产品应能获取已开启的各项TCP/IP服务的旗标。
6.3.3.3其他信息
网络安全漏洞扫描产品应能对下列的信息进行探测:
a)系统硬件信息;
b)系统软件配置信息;
c)系统网络配置信息;
d)共享目录信息;
e)系统运行状态信息。
6.3.4端口和服务扫描
6.3.4.1RPC端口
网络安全漏洞扫描产品应能获取运行的RPC服务及其所在的RPC端口信息。
6.3.4.2TCP端口
网络安全漏洞扫描产品应能扫描所有TCP端口,检查其是否开启。
6.3.4.3UDP端口
网络安全漏洞扫描产品应能扫描所有UDP端口,检查其是否开启。
6.3.4.4端口协议分析
就扫描得到的已开启的TCP/UDP端口,网络安全漏洞扫描产品应能判断相应端口对应的服务或使用的协议。
6.3.4.5NT服务
网络安全漏洞扫描产品应能获取目标主机上已启动的NT服务列表。
6.4管理功能要求
6.4.1访问控制
网络安全漏洞扫描产品应确保只有授权管理员才能访问网络安全漏洞扫描产品,即只允许授权管理员有配置和使用网络安全漏洞扫描产品的能力。
6.4.2扫描结果分析处理
6.4.2.1扫描结果应能写入数据库。
6.4.2.2可对结果数据库执行导入导出操作。
6.4.2.3网络安全漏洞扫描产品应能对结果数据库进行查询并形成报告,报告可分为下列类别:
a)脆弱性报告,包括各脆弱点的详细信息、补救建议等;
b)对目标主机扫描后的信息获取结果生成相应的报告;
c)脆弱性分析报告,包括:
——目标的风险等级评估报告;
——同一目标多次扫描形成的趋势分析报告;
——多个目标扫描后的结果的总体报告;
——对关键的漏洞扫描信息可生成摘要报告;
——针对主机间进行比较的结果生成报告。
6.4.2.4报告应能根据用户要求进行定制。
6.4.2.5报告应可输出为通用的文档格式。
6.4.2.6网络安全漏洞扫描产品应提供扫描结果数据库浏览功能。
6.4.3扫描策略定制
6.4.3.1网络安全漏洞扫描产品应能使用目标系统的已知账号/口令对其进行更有效的扫描。
6.4.3.2网络安全漏洞扫描产品应能定制扫描项目及属性。
6.4.3.3网络安全漏洞扫描产品应能对策略定制操作形成审计记录。
6.4.3.4网络安全漏洞扫描产品应提供方便的定制策略的方法。
6.4.4扫描对象的安全性
6.4.4.1扫描预通知
在开始进行漏洞扫描前,漏洞扫描产品应向被扫描主机发送警告信息,通知该主机即将对其进行扫描测试。
6.4.4.2对目标系统所在网络性能的影响
扫描应不影响网络的正常工作,但可允许网络性能的少量降低。
6.4.4.3对目标系统的影响
扫描应尽量避免影响目标系统的正常工作,尽量避免使用