信息安全技术 网络脆弱性扫描产品安全技术要求 编制说明文档格式.docx

1、人员人员分类公安部第三研究所顾建新课题负责人宋好好课题骨干陆臻顾健沈亮上海国际技贸联合有限公司曹宁其他研究人员陶俊杰中国网络安全审查技术与认证中心申永波北京神州绿盟科技有限公司李晔磊尹航网神信息技术（北京）股份有限公司杨柳北京天融信网络安全技术有限公司雷晓锋安高峰深信服科技股份有限公司叶润国制定工作计划标准修订组首先制定了修订工作计划，并确定了修订组人员例会及时沟通交流工作情况，主要工作时间节点如下表：时间进度安排2019.9-2019.11征集标准参编单位，组建标准编制组；召开项目启动会，完善标准草案；在信安标委“会议周”上汇报标准编制情况；提交项目进展及经费执行情况报告。2019.12-2

2、020.2以多种形式征求专家和相关单位意见，完善标准草案、编制说明、意见处理汇总表；组织中期评审会，对项目进展及经费执行情况进行评审。2020.3-2020.5标准草案提交工作组，并在信安标委“会议周”上汇报标准编制情况；根据意见修改标准文本，经工作组全会审议通过，形成征求意见稿，完善标准编制说明、意见处理汇总表；2020.6-2020.8修改完善标准文本、编制说明、意见处理汇总表；按照合同要求，完成项目任务及财务验收工作。确定修订内容经标准修订小组研究决定，以网络脆弱性扫描产品的发展动向为研究基础，以等级保护相关标准为标准框架，对GB/T 20278-2013信息安全技术 网络脆弱性扫描产品

3、安全技术要求国家标准的内容进行修订。修订工作简要过程按照修订进度要求，修订组人员首先对所参阅的产品、文档以及标准进行反复阅读与理解，并查阅有关资料，编写修订提纲。在对提纲进行交流和修改的基础上，开始具体标准的修订工作。草稿2019年4月至2019年8月，对国内外网络脆弱性扫描产品的相关技术文档以及有关标准进行前期基础调研。在调研期间，我们主要对我中心历年检测产品的记录、报告以及各产品的技术文档材料进行了筛选、汇总、分析，对国内外网络脆弱性扫描产品的发展动向进行了研究，以及进行了对国内外相关产品的技术文档和标准分析理解等工作，对原标准的内容进行了修订，形成了本标准的草稿。工作组讨论稿2019年1

4、0月9日，公安部三所检测中心在北京组织召开了本标准的启动会，10月11日，标委会在北京组织召开了对标准内容的预评审会议，与会专家来自于中国信息安全测评中心、北京江南天安科技有限公司、电子标准四院、北信源、国信中心等多家单位。经过评审，对标准草稿提出了修改意见，主要是提出了在标准正文中增加了“测试评价方法”部分的内容，并将标准内容按照基本级和增强级分别描述。征求意见稿2019年10月，全国信息安全标准化技术委员会在重庆组织了2019年第二次工作组“会议周”活动。10月28日上午，WG5工作组专家和成员单位对该标准“工作组讨论稿”进行了评审讨论，并提出了修改意见。会后，根据专家意见，标准编制组对标

5、准内容进行了修订。2019年11月19日，在上海组织了一次申请参与编制单位的集中讨论会，共计有20多家单位的技术负责人和代表到场，对标准内容再次进行了集中讨论，并最终形成标准征求意见稿。2标准主要内容修订原则为了使网络脆弱性扫描产品国标一开始就与现有其他国家标准保持一致，本标准的修订参考了现行的其他国家标准，主要有GB/T 22239-2019、GB/T 18336-2015。本标准符合我国的实际情况，遵从我国有关法律、法规的规定。具体原则与要求如下：1. 实用性原则标准必须是可用的，才有实际意义，本标准在修订过程中严格按照流程对产品的现状、技术等相关领域展开系统的、全面的调研工作，注重与相关

6、产品生产单位的交流，使得标准更贴近产品实际情况，保证操作性。2. 先进性原则标准是先进经验的总结，同时也是技术的发展趋势。要制定出先进的行业标准，必须广泛了解市场上主流产品的功能，吸收其精华，制定出具有先进水平的标准。本标准的编写始终遵循这一原则。3. 兼容性原则本标准与我国现有的政策、法规、标准、规范等相一致。修订组在对标准起草过程中始终遵循此原则，其内容符合我国已经发布的有关政策、法律和法规。标准内容标准结构本标准的编写格式和方法依照GB/T1.1-2009 标准化工作导则 第一部分：标准的结构和编写规则。本标准主要结构包括如下内容：1. 范围2. 规范性引用文件3. 术语与定义 4. 缩

7、略语5. 网络脆弱性扫描产品描述6. 安全技术要求7. 测试评价方法主要内容和等级划分本标准将网络脆弱性扫描产品的安全技术要求分为安全功能要求、自身安全保护要求、环境适应性要求和安全保障要求四个大类。其中，安全功能要求是对网络脆弱性扫描产品应具备的安全功能提出的具体要求，包括信息获取、脆弱性扫描内容、扫描结果分析处理、扫描配置、扫描对象的安全性等；自身安全保护要求把包括身份鉴别、管理员管理和安全审计；环境适应性要求提出了产品支持IPv6网络环境进行工作和管理的要求；安全保障要求针对网络脆弱性扫描产品的生命周期过程提出具体的要求，包括开发、指导性文档、生命周期支持和测试等。本标准将网络脆弱性扫描

8、产品的安全等级分为基本级和增强级，如表1、表2、表3和表4所示。安全功能与自身安全保护的强弱、以及安全保障要求的高低是等级划分的具体依据，安全等级突出安全特性。与基本级内容相比，增强级中要求有所增加或变更的内容在正文中通过“宋体加粗”表示。表1安全功能要求等级划分表安全功能要求基本级增强级信息获取端口扫描TCP端口*UDP端口端口协议分析*服务旗标其他信息脆弱性扫描内容操作系统脆弱性数据库脆弱性应用服务脆弱性网络设备脆弱性口令脆弱性表1（续）扫描结果分析处理结果浏览脆弱性修补建议报告生成报告输出结果导入导出报告定制结果比对报告发送扫描配置扫描策略计划任务已知帐号/口令扫描扫描对象的安全性对目标

9、系统所在网络性能的影响对目标系统的影响扫描报文标识扫描速度调节并发扫描升级能力互动性要求1注： “*”表示具有该要求，“*”表示要求有所增强，“”表示不适用。表2自身安全保护要求等级划分表自身安全保护要求身份鉴别管理员鉴别鉴别信息要求鉴别失败的处理鉴别数据保护超时设置管理地址限制会话锁定管理员管理标识唯一性管理员属性定义安全行为管理管理员角色安全审计审计日志生成审计日志可理解性审计日志查阅受限的审计日志查阅可选审计查阅数据存储告警2注：“*”表示具有该要求，“*”表示要求有所增强，“”表示不适用。表3环境适应性要求等级划分表环境适应性要求支持纯IPv6网络环境IPv6网络环境下自身管理双协议栈

10、3注：表4安全保障要求等级划分表安全保障要求开发安全架构功能规范实现表示产品设计指导性文档操作用户指南准备程序生命周期支持配置管理能力配置管理范围交付程序开发安全生命周期定义工具和技术测试测试覆盖测试深度功能测试独立测试脆弱性评定4注：新旧国家标准对比本标准代替GB/T 202782013信息安全技术 网络脆弱性扫描产品安全技术要求，本标准与GB/T 202782013的主要差异如下：a） 增加了“产品描述”章节的内容；b） 增加对“环境适应性要求”章节的内容，其中主要是明确了产品对IPv6的支持能力，包括支持纯IPv6网络环境的扫描能力、IPv6网络环境下的自身管理能力以及双协议栈的要求；c

11、） 目前现行的是18336.3-2015版本，将规范性引用文件中引用的2008版修改为2015版本；d） 增加了“并发扫描”的要求；e） 增加了“扫描报文的标识”的要求；f） 增加了“测评评价方法”的内容；g） 全文按照基本级和增强级分别描述；h） 将原标准中的“7.1.2 脆弱性扫描”要求的15项扫描要求重新整理分类为6类扫描要求；i） 删除了原标准中的“8.1.8 扫描IP地址限制”的要求；j） 删除了原标准中的“8.2.2.2 易用性”的要求。3标准验证、分析与论证修订的背景和意义2014年，由习总书记亲自担任组长的中央网络安全和信息化建设领导小组的成立将网络安全上升到国家战略高度，20

12、17年，网络安全法正式施行，明确规定了个人信息受保护，并对关键信息基础设施的运营者应尽的安全义务提出了法律层面的要求，这使得网络安全防护由自发自觉行为上升为应尽的义务范畴，也为信息安全行业的发展带来了极大的机遇和挑战。2019年1月，在全国信息安全标准化技术委员会发布的关于应发的通知中，明确提出将GB/T 20278-2013 信息安全技术 网络脆弱性扫描产品安全技术要求作为拟支持修订的国家标准；2017年6月，由国家互联网信息办公室、工业和信息化部、公安部、国家认证认可监督管理委员会，四部委联合发布的关于发布的公告中，针对网络脆弱性扫描产品提出了明确的性能要求“最大并行扫描IP数量60”；在

13、2012年底，由国家发改委办公厅发布的关于组织实施2012年下一代互联网信息安全专项有关事项的通知（发改办高技2012287号）中明确重点支持的满足下一代互联网发展需要的高性能网络信息安全产品中就包括了下一代互联网网络脆弱性扫描产品，通知中要求该类产品应具备的主要功能包括“支持对IPv4/IPv6设备的漏洞扫描，对IPv4和IPv6双协议栈网络设备和服务节点的漏洞扫描、对所发掘出的安全漏洞进行自动更新等，可应用在IPv4和IPv6环境下，支持多线程并发扫描大于1000”。但是，目前现有的网络脆弱性扫描产品国家标准中并不涉及这些内容，无法对该类产品的设计、开发及测试工作提出指引效果。 随着云计算

14、、移动互联网、物联网、智慧城市的推进和普及，由于系统自身漏洞的存在而带来的网络攻击花样繁多，造成的影响也会越来越严重。网络安全问题已成为影响国家全局和长远利益的急待解决的重大关键问题。网络安全同食品安全一样已经为普通百姓所能切身感受，诸如隐私泄露、盗号行为、勒索病毒、服务中断等都严重影响了个人的生活和甚至对个人利益产生了损害。因此，要给提供网络服务的系统自身筑起坚固的“长城”才能更好地防御各类网络攻击，只有自身漏洞少，才能有效降低被入侵攻击的可能。保障信息安全除了完善的法律规章、严格的管理制度等要素外，网络安全产品则是站在了直接与网络犯罪行为针锋相对的前沿阵地，常见的网络安全产品如果存在质量问

15、题，不但起不到应有的保护作用，反而可能成为攻击者的帮凶，直接影响到国计民生的方方面面。网络脆弱性扫描产品就是这样一款可实现“自我体检”的产品，可以对目标操作系统、网络设备进行脆弱性分析和风险排查，以便及时指导设备管理员针对漏洞打好补丁，加固安全防线。该类产品在政府及企事业单位中得到了广泛的应用，是网络安全中的一个大类产品，而这类产品的相关标准的指导、指引意义就显得非常重要了。本项目拟对GB/T 20278-2013进行修订，对网络脆弱性扫描的安全功能要求、自身安全功能要求和安全保证要求的内容进行重新整理，从而使得修订后的技术要求能够更好的与现行产品的技术发展趋势相对应，能够适用于现行以及将来网

16、络环境下的扫描需求，最终促进网络脆弱性扫描这类产品的实际推广应用，推进我们国家网络安全法的有效落地实施。修订的目的GB/T 20278-2013是2013年颁布的、适用于网络脆弱性扫描产品的国家标准，该标准对网络脆弱性扫描产品进行了两个等级的划分，以基本级和增强级进行描述。主要组成为：安全功能要求、自身安全功能要求和安全保证要求。a） 修订GB/T 20278-2013的目的和意义之一随着网络技术的不断发展，系统漏洞逐步暴露，对网络、主机和系统资源安全的威胁不断增加，对网络脆弱性扫描产品自身安全功能和安全技术要求也在不断提高。随着云计算、移动互联网、物联网、智慧城市的推进和普及，网络脆弱性扫描

17、产品的部署方式和访问方式也要求能适应新的需求，对新的扫描方式和虚拟机等对象也要增加具体的处理措施，因此，我们需要对6年前颁布执行的国家标准GB/T 20278-2013进行修订、更新，才能够有效的保障信息网络的安全，进而支撑国家网络安全法的有效落地。b） 修订GB/T 20278-2013的目的和意义之二随着联网技术的发展，尤其是IPv6技术的推广，要求网络脆弱性扫描产品可以应用在IPv6网络环境下实现对目标设备的扫描，但原国标GB/T 20278-2013中对产品的技术要求并没有提出对IPv6环境的支持，也没有关于性能方面的要求。因此，我们需要对GB/T 20278-2013中的产品技术要求

18、进行重新整理，增加有关IPv6应用环境支持能力的要求，并对产品可以实现的并发扫描能力也要提出具体的要求，以满足产品能在下一代网络环境下正常工作，实现对较大规模目标设备的高性能扫描，有效发现目标设备存在的系统脆弱性和网络漏洞。c） 修订GB/T 20278-2013的目的和意义之三GB/T 20278-2013在编制时参考了GB/T 18336-2008等标准，但GB/T 18336的版本已更新为2015版，使得产品的安全保障要求与最新版的GB/T 18336-2015不一致，例如：2015版将“保证”（assurance）改为“保障”、将“6 安全保证要求”改为“6 安全保障组件”、增加了“6

19、.3 组合保障包结构”等。因此，需要根据最新的GB/T 18336-2015等标准文件作为引用参考，对GB/T 20278-2013进行修订，使得修订后的GB/T 20278在产品安全保障要求方面与现行安全标准体系要求相统一。d） 修订GB/T 20278-2013的目的和意义之四为配合网络安全法的落地实施，2017年6月1日，网信办、公安部、工信部和认监委联合发布公告关于发布的公告，其中，就网络脆弱性扫描产品的性能提出了要求，但GB/T 20278-2013中并没有相关要求。因此，需要对GB/T 20278-2013的性能指标进行修订，使高性能网络脆弱性扫描产品的性能要求与目录（第一批）中该

20、类产品的性能要求保持一致。此外，关于印发的通知中提出，GB/T 20278-2013作为拟支持修订的国家标准。4国内外标准对比情况修订后的GB/T 20278-XXXX信息安全技术 网络脆弱性扫描产品安全技术要求国家标准参考国内外相关标准，结合当前国内外网络脆弱性扫描产品发展情况，系统地描述了网络脆弱性扫描产品技术要求。这些技术是在对国内外现有技术及标准进行吸收、消化的基础上，考虑了我国国情制定的。无同类型产品国际标准，或者国内其他行业的相关产品标准。5与有关的现行法律、法规和强制性国家标准的关系本标准为修订推荐性国标，修订后建议沿用原标准为推荐性国标。不触犯国家现行法律法规，不与强制性国标相

21、冲突。6重大分歧意见的处理经过和依据本标准修订制过程中，如标准修订组内部出现重大意见分歧，由标准修订组组长组织召开内部调解会解决；如标准修订单位之间出现重大意见分歧，由标准修订承担单位组织召开参编单位调解会解决；如征求意见过程中，各厂家，特别是各部委意见与标准编制组之间出现重大意见分歧，由全国信息安全标准化技术委员会组织召开协调会解决。7国家标准作为强制性国家标准或推荐性国家标准的建议本标准是对GB/T 20278-2013信息安全技术 网络脆弱性扫描产品安全技术要求的修订，建议沿用原标准为推荐性国标。8贯彻国家标准的要求和措施建议网络脆弱性扫描产品是指通过扫描手段检测目标网络系统中可能被入侵者利用的安全隐患的软件或软硬件组合的产品，这是信息安全系统中的一个重要保障单元，建议本标准作为国标推荐实施。9废止现行有关标准的建议本标准是对GB/T 20278-2013信息安全技术 网络脆弱性扫描产品安全技术要求的修订，建议修订稿发布后废止原标准GB/T 20278-2013。网络脆弱性扫描产品国标修订组2019年12月