信息技术 网络安全漏洞扫描产品技术要求.docx

信息技术 网络安全漏洞扫描产品技术要求.docx

《信息技术 网络安全漏洞扫描产品技术要求.docx》由会员分享，可在线阅读，更多相关《信息技术 网络安全漏洞扫描产品技术要求.docx（19页珍藏版）》请在冰豆网上搜索。

信息技术网络安全漏洞扫描产品技术要求

ICS

中华人民共和国公共安全行业标准

GA/T××××—xxxx

信息技术

网络安全漏洞扫描产品技术要求

Informationtechnology—Technicalrequirementsforvulnerabilityscannerof

networksecurity

（报批稿）

××××-××-××发布××××-××-××实施

中华人民共和国公安部发布

目次

前言..............................................................................II

引言.............................................................................III

1范围.................................................................................1

2规范性引用文件.......................................................................1

3术语和定义...........................................................................1

4缩略语和记法约定.....................................................................1

4.1缩略语..............................................................................1

4.2记法约定............................................................................1

5网络安全漏洞扫描产品概述.............................................................2

5.1引言................................................................................2

5.2系统组成、结构......................................................................2

5.3产品分级............................................................................2

5.4使用环境............................................................................3

6功能要求.............................................................................3

6.1基本级网络安全漏洞扫描产品功能组件..................................................3

6.2自身安全功能要求....................................................................3

6.3安全功能要求........................................................................3

6.4管理功能要求........................................................................7

7性能要求.............................................................................7

7.1速度................................................................................8

7.2稳定性和容错性......................................................................8

7.3漏洞发现能力........................................................................8

7.4误报率..............................................................................8

7.5漏报率..............................................................................8

8增强级网络安全漏洞扫描产品扩展技术要求...............................................8

8.1自主访问控制........................................................................8

8.2身份鉴别............................................................................8

8.3客体重用............................................................................9

8.4数据完整性..........................................................................9

8.5审计................................................................................9

8.6功能要求............................................................................9

9安全保证要求........................................................................10

9.1配置管理保证.......................................................................10

9.2交付和操作保证.....................................................................10

9.3开发过程保证.......................................................................10

9.4指南文件保证.......................................................................10

9.5测试保证...........................................................................11

9.6脆弱性分析保证.....................................................................11

前言

本标准由公安部公共信息网络安全监察局提出。

本标准由公安部信息系统安全标准化技术委员会归口。

本标准由北京中科网威信息技术有限公司、公安部第三研究所负责起草。

本标准主要起草人：

清黛、潘玉珣、杨威、余立新、肖江、刘兵、丁宇征。

引言

本标准规定了网络安全漏洞扫描产品的技术要求，提出了该类产品应具备的功能要求、性能要求和安全保证要求。

并根据功能和性能要求的不同将网络安全漏洞扫描产品进行了分级。

本标准的目的是为网络安全漏洞扫描产品的研制、开发、测评和采购提供技术支持和指导。

使用符合本标准的网络安全漏洞扫描产品可对网络进行脆弱性检查，对发现的安全隐患提出解决建议，从而提高网络系统的安全性。

信息技术网络安全漏洞扫描产品技术要求

1范围

本标准规定了采用传输控制协议/网间协议（TCP/IP）的网络安全漏洞扫描产品的功能要求、性能要求、增强级产品扩展技术要求和安全保证要求。

本标准适用于对计算机信息系统进行人工或自动漏洞扫描的安全产品的研制、开发、测评和采购。

2规范性引用文件

下列文件中的条款通过本标准的引用而成为本标准的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。

凡是不注日期的引用文件，其最新版本适用于本标准。

GB/T5271.8-2001信息技术词汇第8部分：

安全（idtISO/IEC2382-8:

1998）

3术语和定义

GB/T5271.8-2001中确立的及以下术语适用于本标准。

3.1误报falsepositives

由于漏洞扫描产品本身的缺陷或不完善导致产品输出了错误扫描结果的现象。

3.2漏报falsenegatives

由于漏洞扫描产品本身的缺陷或不完善导致某些实际存在的安全漏洞未被探测到的现象。

4缩略语和记法约定

4.1缩略语

CGI公共网关接口CommonGatewayInterface

DNS域名系统DomainNameSystem

DOS拒绝服务DenialOfService

FTP文件传送协议FileTransferProtocol

HTTP超文本传送协议HypertextTransferProtocol

TCP传输控制协议TransmissionControlProtocol

IP网间协议InternetProtocol

UDP用户数据报协议UserDatagramProtocol

NETBIOS网络基本输入输出系统NETworkBasicInputOutputSystem

NFS网络文件系统NetworkFileSystem

NIS网络信息服务NetworkInformationService

POP邮局协议PostOfficeProtocol

RPC远程过程调用RemoteProcedureCall

SMB服务器消息块ServerMessageBlock

SMTP简单邮件传送协议SimpleMailTransferProtocol

SNMP简单网络管理协议SimpleNetworkManagementProtocol

4.2记法约定

细化：

用于增加某一功能要求的细节，从而进一步限制该项要求。

对功能要求的细化用黑体字表示。

选项：

用于从对某一功能要求的陈述中突出一个或多个选项，用带下划