信息安全技术 网络脆弱性扫描产品安全技术要求 编制说明.docx

1、信息安全技术 网络脆弱性扫描产品安全技术要求 编制说明信息安全技术 网络脆弱性扫描产品安全技术要求和测试评价方法编制说明1工作简况任务来源2019年1月17日，全国信息安全标准化技术委员会发布了“关于印发2019年网络安全国家标准项目申报指南的通知”，将GB/T 20278-2013信息安全技术 网络脆弱性扫描产品安全技术要求列为拟支持的国家标准修订项目；2月26日，由上海国际技贸联合有限公司牵头，公安部第三研究所等六家单位共同参与提出了对该标准进行修订的申请；8月21日，全国信息安全标准化技术委员会秘书处发布了全国信息安全标准化技术委员会关于2019年网络安全标准项目立项的通知（信安秘字20

2、19050号），本标准修订工作正式获得立项，并于9月11号，签订了网络安全国家标准项目任务书。本标准由全国信息安全标准化技术委员会（SAC/TC260）提出并归口，由中国电子技术标准化研究院组织，由上海国际技贸联合有限公司负责承担。协作单位在接到修订GB/T 20278-2013信息安全技术 网络脆弱性扫描产品安全技术要求国家标准的立项任务后，9月20日，上海国际技贸联合有限公司在网上发布了召集单位参与标准编制的通知，受到了业内各大科研机构、测评认证机构和主要产品生产厂商的大力支持，共计收到杭州安恒信息技术股份有限公司等43家单位的参与编制申请。主要工作过程前期调研在申请GB/T 20278-

3、2013信息安全技术 网络脆弱性扫描产品安全技术要求国家标准修订任务之前，标准修订组就已经开始了前期调研工作。参考资料在前期调研过程中，标准修订组主要参考了以下标准、产品和相关资料。1、GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求2、GB/T 18336-2015 信息技术 安全技术 信息技术安全性评估准则3、近两年到本检测中心所送检的该类产品及其技术资料现状研究随着互联网技术的飞速发展，特别是IPv6网络环境的逐步推广，企业和个人用户在享受网络带来便利的同时，网络安全的威胁也越来越严重，网络蠕虫、黑客攻击无时无刻不在威胁着用户的网络系统，尤其是安全漏洞所引发的安全事

4、件愈演愈烈，针对系统漏洞进行的网络攻击给用户造成了巨大的破坏，而广大用户往往在病毒爆发之后或者安全事件出现之后才想到进行漏洞的弥补，而此时损失已经无法弥补。为此，市场上出现了网络脆弱性扫描产品，网络脆弱性扫描产品是对计算机系统和网络设备进行检查，发现其脆弱性，对其安全状况进行评估、风险分析，并对发现的安全隐患提出针对性的解决方案和建议，供网络管理员可以有针对性的对系统进行修补，从而进一步提高计算机系统和网络环境的安全性。这样就可以有效地发现漏洞并预防入侵事件的发生，因此，在网络系统建设中部署网络脆弱性扫描产品是非常必要的。目前该类产品可参考现行国标GB/T 20278-2013 信息安全技术

5、网络脆弱性扫描产品技术要求进行研发生产、检测、采购，但该国家标准在制定时并没有考虑对IPv6网络环境的支持，而且GB/T 20278-2013信息安全技术 网络脆弱性扫描产品技术要求在编制时参考的 GB/T 18336-2008信息技术 安全技术 信息技术安全性评估准则等标准都已更新，标准分级原则不够清晰，以及随着网络技术的不断发展，网络漏洞层出不穷，对网络、主机和系统资源安全的威胁不断增加，对网络脆弱性扫描产品的安全功能要求不断提高等原因，GB/T 20278-2013已不能适用于现在的国家网络安全标准体系的要求，我们需要对6年前颁布执行的国家标准进行修订、更新，才能够有效的保障信息网络的安

6、全，进而支撑国家网络安全法的有效落地。本标准修订工作的目标是根据网络脆弱性扫描产品的新技术和新特性、最新版的GB/T 18336-2015信息技术 安全技术 信息技术安全性评估准则，从安全功能要求和安全保障要求等方面，研究网络脆弱性扫描产品的安全技术要求和等级划分，形成相应的国家标准。修订的国家标准可以给开发厂商进行指导，研发出更贴近市场需要、功能更为完善的网络脆弱性扫描产品；同时，通过对产品的分级，来区分产品的安全功能强度和安全保障能力，也能为用户采购产品时提供参考。修订组成立在接到GB/T 20278-2013信息安全技术 网络脆弱性扫描产品安全技术要求国家标准修订任务之后，2019年9月

7、，成立了由顾建新作为组长的标准修订组，主要包括成员单位和参与人员如下表：单位名称人员人员分类公安部第三研究所顾建新课题负责人公安部第三研究所宋好好课题骨干公安部第三研究所陆臻课题骨干公安部第三研究所顾健课题骨干公安部第三研究所沈亮课题骨干上海国际技贸联合有限公司曹宁其他研究人员上海国际技贸联合有限公司陶俊杰其他研究人员中国网络安全审查技术与认证中心申永波其他研究人员北京神州绿盟科技有限公司李晔磊其他研究人员北京神州绿盟科技有限公司尹航课题骨干网神信息技术（北京）股份有限公司杨柳课题骨干北京天融信网络安全技术有限公司雷晓锋其他研究人员北京天融信网络安全技术有限公司安高峰课题骨干深信服科技股份有限

8、公司叶润国课题骨干制定工作计划标准修订组首先制定了修订工作计划，并确定了修订组人员例会及时沟通交流工作情况，主要工作时间节点如下表：时间进度安排2019.9-2019.11征集标准参编单位，组建标准编制组；召开项目启动会，完善标准草案；在信安标委“会议周”上汇报标准编制情况；提交项目进展及经费执行情况报告。2019.12-2020.2以多种形式征求专家和相关单位意见，完善标准草案、编制说明、意见处理汇总表；组织中期评审会，对项目进展及经费执行情况进行评审。2020.3-2020.5标准草案提交工作组，并在信安标委“会议周”上汇报标准编制情况；根据意见修改标准文本，经工作组全会审议通过，形成征求

9、意见稿，完善标准编制说明、意见处理汇总表；提交项目进展及经费执行情况报告。2020.6-2020.8修改完善标准文本、编制说明、意见处理汇总表；按照合同要求，完成项目任务及财务验收工作。确定修订内容经标准修订小组研究决定，以网络脆弱性扫描产品的发展动向为研究基础，以等级保护相关标准为标准框架，对GB/T 20278-2013信息安全技术 网络脆弱性扫描产品安全技术要求国家标准的内容进行修订。修订工作简要过程按照修订进度要求，修订组人员首先对所参阅的产品、文档以及标准进行反复阅读与理解，并查阅有关资料，编写修订提纲。在对提纲进行交流和修改的基础上，开始具体标准的修订工作。草稿2019年4月至20

10、19年8月，对国内外网络脆弱性扫描产品的相关技术文档以及有关标准进行前期基础调研。在调研期间，我们主要对我中心历年检测产品的记录、报告以及各产品的技术文档材料进行了筛选、汇总、分析，对国内外网络脆弱性扫描产品的发展动向进行了研究，以及进行了对国内外相关产品的技术文档和标准分析理解等工作，对原标准的内容进行了修订，形成了本标准的草稿。工作组讨论稿2019年10月9日，公安部三所检测中心在北京组织召开了本标准的启动会，10月11日，标委会在北京组织召开了对标准内容的预评审会议，与会专家来自于中国信息安全测评中心、北京江南天安科技有限公司、电子标准四院、北信源、国信中心等多家单位。经过评审，对标准草

11、稿提出了修改意见，主要是提出了在标准正文中增加了“测试评价方法”部分的内容，并将标准内容按照基本级和增强级分别描述。征求意见稿2019年10月，全国信息安全标准化技术委员会在重庆组织了2019年第二次工作组“会议周”活动。10月28日上午，WG5工作组专家和成员单位对该标准“工作组讨论稿”进行了评审讨论，并提出了修改意见。会后，根据专家意见，标准编制组对标准内容进行了修订。2019年11月19日，在上海组织了一次申请参与编制单位的集中讨论会，共计有20多家单位的技术负责人和代表到场，对标准内容再次进行了集中讨论，并最终形成标准征求意见稿。2标准主要内容修订原则为了使网络脆弱性扫描产品国标一开始

12、就与现有其他国家标准保持一致，本标准的修订参考了现行的其他国家标准，主要有GB/T 22239-2019、GB/T 18336-2015。本标准符合我国的实际情况，遵从我国有关法律、法规的规定。具体原则与要求如下：1. 实用性原则标准必须是可用的，才有实际意义，本标准在修订过程中严格按照流程对产品的现状、技术等相关领域展开系统的、全面的调研工作，注重与相关产品生产单位的交流，使得标准更贴近产品实际情况，保证操作性。2. 先进性原则标准是先进经验的总结，同时也是技术的发展趋势。要制定出先进的行业标准，必须广泛了解市场上主流产品的功能，吸收其精华，制定出具有先进水平的标准。本标准的编写始终遵循这一

13、原则。3. 兼容性原则本标准与我国现有的政策、法规、标准、规范等相一致。修订组在对标准起草过程中始终遵循此原则，其内容符合我国已经发布的有关政策、法律和法规。标准内容标准结构本标准的编写格式和方法依照GB/T1.1-2009 标准化工作导则 第一部分：标准的结构和编写规则。本标准主要结构包括如下内容：1. 范围2. 规范性引用文件3. 术语与定义 4. 缩略语5. 网络脆弱性扫描产品描述6. 安全技术要求7. 测试评价方法主要内容和等级划分本标准将网络脆弱性扫描产品的安全技术要求分为安全功能要求、自身安全保护要求、环境适应性要求和安全保障要求四个大类。其中，安全功能要求是对网络脆弱性扫描产品应

14、具备的安全功能提出的具体要求，包括信息获取、脆弱性扫描内容、扫描结果分析处理、扫描配置、扫描对象的安全性等；自身安全保护要求把包括身份鉴别、管理员管理和安全审计；环境适应性要求提出了产品支持IPv6网络环境进行工作和管理的要求；安全保障要求针对网络脆弱性扫描产品的生命周期过程提出具体的要求，包括开发、指导性文档、生命周期支持和测试等。本标准将网络脆弱性扫描产品的安全等级分为基本级和增强级，如表1、表2、表3和表4所示。安全功能与自身安全保护的强弱、以及安全保障要求的高低是等级划分的具体依据，安全等级突出安全特性。与基本级内容相比，增强级中要求有所增加或变更的内容在正文中通过“宋体加粗”表示。表

15、1安全功能要求等级划分表安全功能要求基本级增强级信息获取端口扫描TCP端口*UDP端口*端口协议分析*服务旗标*其他信息*脆弱性扫描内容操作系统脆弱性*数据库脆弱性*应用服务脆弱性*网络设备脆弱性*口令脆弱性*表1（续）安全功能要求基本级增强级扫描结果分析处理结果浏览*脆弱性修补建议*报告生成*报告输出*结果导入导出*报告定制*结果比对*报告发送*扫描配置扫描策略*计划任务*已知帐号/口令扫描*扫描对象的安全性对目标系统所在网络性能的影响*对目标系统的影响*扫描报文标识*扫描速度调节*并发扫描*升级能力*互动性要求*1注： “*”表示具有该要求，“*”表示要求有所增强，“”表示不适用。表2自身

16、安全保护要求等级划分表自身安全保护要求基本级增强级身份鉴别管理员鉴别*鉴别信息要求*鉴别失败的处理*鉴别数据保护*超时设置*管理地址限制*会话锁定*管理员管理标识唯一性*管理员属性定义*安全行为管理*管理员角色*安全审计审计日志生成*审计日志可理解性*审计日志查阅*受限的审计日志查阅*可选审计查阅*数据存储告警*2注：“*”表示具有该要求，“*”表示要求有所增强，“”表示不适用。表3环境适应性要求等级划分表环境适应性要求基本级增强级支持纯IPv6网络环境*IPv6网络环境下自身管理*双协议栈*3注： “*”表示具有该要求，“*”表示要求有所增强，“”表示不适用。表4安全保障要求等级划分表安全保

17、障要求基本级增强级开发安全架构*功能规范*实现表示*产品设计*指导性文档操作用户指南*准备程序*生命周期支持配置管理能力*配置管理范围*交付程序*开发安全*生命周期定义*工具和技术*测试测试覆盖*测试深度*功能测试*独立测试*脆弱性评定*4注： “*”表示具有该要求，“*”表示要求有所增强，“”表示不适用。新旧国家标准对比本标准代替GB/T 202782013信息安全技术 网络脆弱性扫描产品安全技术要求，本标准与GB/T 202782013的主要差异如下：a) 增加了“产品描述”章节的内容；b) 增加对“环境适应性要求”章节的内容，其中主要是明确了产品对IPv6的支持能力，包括支持纯IPv6网

18、络环境的扫描能力、IPv6网络环境下的自身管理能力以及双协议栈的要求；c) 目前现行的是18336.3-2015版本，将规范性引用文件中引用的2008版修改为2015版本；d) 增加了“并发扫描”的要求；e) 增加了“扫描报文的标识”的要求；f) 增加了“测评评价方法”的内容；g) 全文按照基本级和增强级分别描述；h) 将原标准中的“7.1.2 脆弱性扫描”要求的15项扫描要求重新整理分类为6类扫描要求；i) 删除了原标准中的“8.1.8 扫描IP地址限制”的要求；j) 删除了原标准中的“8.2.2.2 易用性”的要求。3标准验证、分析与论证修订的背景和意义2014年，由习总书记亲自担任组长的

19、中央网络安全和信息化建设领导小组的成立将网络安全上升到国家战略高度，2017年，网络安全法正式施行，明确规定了个人信息受保护，并对关键信息基础设施的运营者应尽的安全义务提出了法律层面的要求，这使得网络安全防护由自发自觉行为上升为应尽的义务范畴，也为信息安全行业的发展带来了极大的机遇和挑战。2019年1月，在全国信息安全标准化技术委员会发布的关于应发的通知中，明确提出将GB/T 20278-2013 信息安全技术 网络脆弱性扫描产品安全技术要求作为拟支持修订的国家标准；2017年6月，由国家互联网信息办公室、工业和信息化部、公安部、国家认证认可监督管理委员会，四部委联合发布的关于发布的公告中，针

20、对网络脆弱性扫描产品提出了明确的性能要求“最大并行扫描IP数量60”；在2012年底，由国家发改委办公厅发布的关于组织实施2012年下一代互联网信息安全专项有关事项的通知（发改办高技2012287号）中明确重点支持的满足下一代互联网发展需要的高性能网络信息安全产品中就包括了下一代互联网网络脆弱性扫描产品，通知中要求该类产品应具备的主要功能包括“支持对IPv4/IPv6设备的漏洞扫描，对IPv4和IPv6双协议栈网络设备和服务节点的漏洞扫描、对所发掘出的安全漏洞进行自动更新等，可应用在IPv4和IPv6环境下，支持多线程并发扫描大于1000”。但是，目前现有的网络脆弱性扫描产品国家标准中并不涉及

21、这些内容，无法对该类产品的设计、开发及测试工作提出指引效果。 随着云计算、移动互联网、物联网、智慧城市的推进和普及，由于系统自身漏洞的存在而带来的网络攻击花样繁多，造成的影响也会越来越严重。网络安全问题已成为影响国家全局和长远利益的急待解决的重大关键问题。网络安全同食品安全一样已经为普通百姓所能切身感受，诸如隐私泄露、盗号行为、勒索病毒、服务中断等都严重影响了个人的生活和甚至对个人利益产生了损害。因此，要给提供网络服务的系统自身筑起坚固的“长城”才能更好地防御各类网络攻击，只有自身漏洞少，才能有效降低被入侵攻击的可能。保障信息安全除了完善的法律规章、严格的管理制度等要素外，网络安全产品则是站在

22、了直接与网络犯罪行为针锋相对的前沿阵地，常见的网络安全产品如果存在质量问题，不但起不到应有的保护作用，反而可能成为攻击者的帮凶，直接影响到国计民生的方方面面。网络脆弱性扫描产品就是这样一款可实现“自我体检”的产品，可以对目标操作系统、网络设备进行脆弱性分析和风险排查，以便及时指导设备管理员针对漏洞打好补丁，加固安全防线。该类产品在政府及企事业单位中得到了广泛的应用，是网络安全中的一个大类产品，而这类产品的相关标准的指导、指引意义就显得非常重要了。本项目拟对GB/T 20278-2013进行修订，对网络脆弱性扫描的安全功能要求、自身安全功能要求和安全保证要求的内容进行重新整理，从而使得修订后的技

23、术要求能够更好的与现行产品的技术发展趋势相对应，能够适用于现行以及将来网络环境下的扫描需求，最终促进网络脆弱性扫描这类产品的实际推广应用，推进我们国家网络安全法的有效落地实施。修订的目的GB/T 20278-2013是2013年颁布的、适用于网络脆弱性扫描产品的国家标准，该标准对网络脆弱性扫描产品进行了两个等级的划分，以基本级和增强级进行描述。主要组成为：安全功能要求、自身安全功能要求和安全保证要求。a) 修订GB/T 20278-2013的目的和意义之一随着网络技术的不断发展，系统漏洞逐步暴露，对网络、主机和系统资源安全的威胁不断增加，对网络脆弱性扫描产品自身安全功能和安全技术要求也在不断提

24、高。随着云计算、移动互联网、物联网、智慧城市的推进和普及，网络脆弱性扫描产品的部署方式和访问方式也要求能适应新的需求，对新的扫描方式和虚拟机等对象也要增加具体的处理措施，因此，我们需要对6年前颁布执行的国家标准GB/T 20278-2013进行修订、更新，才能够有效的保障信息网络的安全，进而支撑国家网络安全法的有效落地。b) 修订GB/T 20278-2013的目的和意义之二随着联网技术的发展，尤其是IPv6技术的推广，要求网络脆弱性扫描产品可以应用在IPv6网络环境下实现对目标设备的扫描，但原国标GB/T 20278-2013中对产品的技术要求并没有提出对IPv6环境的支持，也没有关于性能方

25、面的要求。因此，我们需要对GB/T 20278-2013中的产品技术要求进行重新整理，增加有关IPv6应用环境支持能力的要求，并对产品可以实现的并发扫描能力也要提出具体的要求，以满足产品能在下一代网络环境下正常工作，实现对较大规模目标设备的高性能扫描，有效发现目标设备存在的系统脆弱性和网络漏洞。c) 修订GB/T 20278-2013的目的和意义之三GB/T 20278-2013在编制时参考了GB/T 18336-2008等标准，但GB/T 18336的版本已更新为2015版，使得产品的安全保障要求与最新版的GB/T 18336-2015不一致，例如：2015版将“保证”(assurance)

26、改为“保障”、将“6 安全保证要求”改为“6 安全保障组件”、增加了“6.3 组合保障包结构”等。因此，需要根据最新的GB/T 18336-2015等标准文件作为引用参考，对GB/T 20278-2013进行修订，使得修订后的GB/T 20278在产品安全保障要求方面与现行安全标准体系要求相统一。d) 修订GB/T 20278-2013的目的和意义之四为配合网络安全法的落地实施，2017年6月1日，网信办、公安部、工信部和认监委联合发布公告关于发布的公告，其中，就网络脆弱性扫描产品的性能提出了要求，但GB/T 20278-2013中并没有相关要求。因此，需要对GB/T 20278-2013的性

27、能指标进行修订，使高性能网络脆弱性扫描产品的性能要求与目录（第一批）中该类产品的性能要求保持一致。此外，关于印发的通知中提出，GB/T 20278-2013作为拟支持修订的国家标准。4国内外标准对比情况修订后的GB/T 20278-XXXX信息安全技术 网络脆弱性扫描产品安全技术要求国家标准参考国内外相关标准，结合当前国内外网络脆弱性扫描产品发展情况，系统地描述了网络脆弱性扫描产品技术要求。这些技术是在对国内外现有技术及标准进行吸收、消化的基础上，考虑了我国国情制定的。无同类型产品国际标准，或者国内其他行业的相关产品标准。5与有关的现行法律、法规和强制性国家标准的关系本标准为修订推荐性国标，修

28、订后建议沿用原标准为推荐性国标。不触犯国家现行法律法规，不与强制性国标相冲突。6重大分歧意见的处理经过和依据本标准修订制过程中，如标准修订组内部出现重大意见分歧，由标准修订组组长组织召开内部调解会解决；如标准修订单位之间出现重大意见分歧，由标准修订承担单位组织召开参编单位调解会解决；如征求意见过程中，各厂家，特别是各部委意见与标准编制组之间出现重大意见分歧，由全国信息安全标准化技术委员会组织召开协调会解决。7国家标准作为强制性国家标准或推荐性国家标准的建议本标准是对GB/T 20278-2013信息安全技术 网络脆弱性扫描产品安全技术要求的修订，建议沿用原标准为推荐性国标。8贯彻国家标准的要求和措施建议网络脆弱性扫描产品是指通过扫描手段检测目标网络系统中可能被入侵者利用的安全隐患的软件或软硬件组合的产品，这是信息安全系统中的一个重要保障单元，建议本标准作为国标推荐实施。9废止现行有关标准的建议本标准是对GB/T 20278-2013信息安全技术 网络脆弱性扫描产品安全技术要求的修订，建议修订稿发布后废止原标准GB/T 20278-2013。网络脆弱性扫描产品国标修订组2019年12月