信息技术 网络安全漏洞扫描产品技术要求Word文档格式.docx
《信息技术 网络安全漏洞扫描产品技术要求Word文档格式.docx》由会员分享,可在线阅读,更多相关《信息技术 网络安全漏洞扫描产品技术要求Word文档格式.docx(19页珍藏版)》请在冰豆网上搜索。
networksecurity
(报批稿)
-×
发布×
实施
中华人民共和国公安部发布
目次
前言..............................................................................II
引言.............................................................................III
1范围.................................................................................1
2规范性引用文件.......................................................................1
3术语和定义...........................................................................1
4缩略语和记法约定.....................................................................1
4.1缩略语..............................................................................1
4.2记法约定............................................................................1
5网络安全漏洞扫描产品概述.............................................................2
5.1引言................................................................................2
5.2系统组成、结构......................................................................2
5.3产品分级............................................................................2
5.4使用环境............................................................................3
6功能要求.............................................................................3
6.1基本级网络安全漏洞扫描产品功能组件..................................................3
6.2自身安全功能要求....................................................................3
6.3安全功能要求........................................................................3
6.4管理功能要求........................................................................7
7性能要求.............................................................................7
7.1速度................................................................................8
7.2稳定性和容错性......................................................................8
7.3漏洞发现能力........................................................................8
7.4误报率..............................................................................8
7.5漏报率..............................................................................8
8增强级网络安全漏洞扫描产品扩展技术要求...............................................8
8.1自主访问控制........................................................................8
8.2身份鉴别............................................................................8
8.3客体重用............................................................................9
8.4数据完整性..........................................................................9
8.5审计................................................................................9
8.6功能要求............................................................................9
9安全保证要求........................................................................10
9.1配置管理保证.......................................................................10
9.2交付和操作保证.....................................................................10
9.3开发过程保证.......................................................................10
9.4指南文件保证.......................................................................10
9.5测试保证...........................................................................11
9.6脆弱性分析保证.....................................................................11
前言
本标准由公安部公共信息网络安全监察局提出。
本标准由公安部信息系统安全标准化技术委员会归口。
本标准由北京中科网威信息技术有限公司、公安部第三研究所负责起草。
本标准主要起草人:
清黛、潘玉珣、杨威、余立新、肖江、刘兵、丁宇征。
引言
本标准规定了网络安全漏洞扫描产品的技术要求,提出了该类产品应具备的功能要求、性能要求和安全保证要求。
并根据功能和性能要求的不同将网络安全漏洞扫描产品进行了分级。
本标准的目的是为网络安全漏洞扫描产品的研制、开发、测评和采购提供技术支持和指导。
使用符合本标准的网络安全漏洞扫描产品可对网络进行脆弱性检查,对发现的安全隐患提出解决建议,从而提高网络系统的安全性。
1范围
本标准规定了采用传输控制协议/网间协议(TCP/IP)的网络安全漏洞扫描产品的功能要求、性能要求、增强级产品扩展技术要求和安全保证要求。
本标准适用于对计算机信息系统进行人工或自动漏洞扫描的安全产品的研制、开发、测评和采购。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件,其最新版本适用于本标准。
GB/T5271.8-2001信息技术词汇第8部分:
安全(idtISO/IEC2382-8:
1998)
3术语和定义
GB/T5271.8-2001中确立的及以下术语适用于本标准。
3.1误报falsepositives
由于漏洞扫描产品本身的缺陷或不完善导致产品输出了错误扫描结果的现象。
3.2漏报falsenegatives
由于漏洞扫描产品本身的缺陷或不完善导致某些实际存在的安全漏洞未被探测到的现象。
4缩略语和记法约定
4.1缩略语
CGI公共网关接口CommonGatewayInterface
DNS域名系统DomainNameSystem
DOS拒绝服务DenialOfService
FTP文件传送协议FileTransferProtocol
HTTP超文本传送协议HypertextTransferProtocol
TCP传输控制协议TransmissionControlProtocol
IP网间协议InternetProtocol
UDP用户数据报协议UserDatagramProtocol
NETBIOS网络基本输入输出系统NETworkBasicInputOutputSystem
NFS网络文件系统NetworkFileSystem
NIS网络信息服务NetworkInformationService
POP邮局协议PostOfficeProtocol
RPC远程过程调用RemoteProcedureCall
SMB服务器消息块ServerMessageBlock
SMTP简单邮件传送协议SimpleMailTransferProtocol
SNMP简单网络管理协议SimpleNetworkManagementProtocol
4.2记法约定
细化:
用于增加某一功能要求的细节,从而进一步限制该项要求。
对功能要求的细化用黑体字表示。
选项:
用于从对某一功能要求的陈述中突出一个或多个选项,用带下划