GB∕T 20278-2022 信息安全技术 网络脆弱性扫描产品安全技术要求和测试评价方法.pdf

书 书 书犐 犆犛 犆犆犛犔 中 华 人 民 共 和 国 国 家 标 准犌犅犜 代替犌犅犜 ，犌犅犜 信息安全技术网络脆弱性扫描产品安全技术要求和测试评价方法犐 狀 犳 狅 狉犿犪 狋 犻 狅 狀狊 犲 犮 狌 狉 犻 狋 狔狋 犲 犮 犺 狀 狅 犾 狅 犵 狔犛 犲 犮 狌 狉 犻 狋 狔狋 犲 犮 犺 狀 犻 犮 犪 犾狉 犲 狇 狌 犻 狉 犲犿犲 狀 狋 狊犪 狀 犱狋 犲 狊 狋 犻 狀 犵犪 狊 狊 犲 狊 狊犿犲 狀 狋犪 狆 狆 狉 狅 犪 犮 犺 犲 狊犳 狅 狉狀 犲 狋 狑狅 狉 犽狏 狌 犾 狀 犲 狉 犪 犫 犻 犾 犻 狋 狔狊 犮 犪 狀 狀 犲 狉 狊 发布 实施国 家 市 场 监 督 管 理 总 局国 家 标 准 化 管 理 委 员 会发 布目次前言范围规范性引用文件术语和定义缩略语网络脆弱性扫描产品描述安全技术要求 概述 基本级安全要求 增强级安全要求 测试评价方法 测试环境 测试工具 基本级测试评价方法 增强级测试评价方法 参考文献 犌犅犜 前言本文件按照 标准化工作导则第部分：标准化文件的结构和起草规则的规定起草。本文件代替 信息安全技术网络脆弱性扫描产品安全技术要求和 信息安全技术网络脆弱性扫描产品测试评价方法，与 相比，除结构调整和编辑性改动外，主要技术变化如下：）增加了“网络脆弱性扫描产品描述”的内容（见第章）；）增加了“扫描报文标识”的要求（见 和 ）；）增加了“并发扫描”的要求（见 和 ）；）增加了“支撑系统安全”的要求（见 和 ）；）增加了“通信保密性”的要求（见 ）；）增加了“环境适应性要求（有则适用）”的内容，其中主要是明确了产品对 的支持能力，包括支持纯 网络环境的扫描能力、网络环境下的自身管理能力以及双协议栈的要求（见 和 ）；）增加了“测试评价方法”的内容（见第章）；）删除了“扫描 地址限制”的要求（见 年版的 ）；）删除了“易用性”的要求（见 年版的 ）；）修改了“脆弱性扫描内容”，将原标准中要求的 项扫描要求重新整理分为类扫描要求（见 和 ，年版的 ），在增强级中还提出了对云环境和工控设备目标对象的扫描要求（见 和 ）；）修改了各级的“安全保证要求”为“安全保障要求”（见 和 ，年版的 和）。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国信息安全标准化技术委员会（）提出并归口。本文件起草单位：公安部第三研究所、北京神州绿盟科技有限公司、网神信息技术（北京）股份有限公司、北京天融信网络安全技术有限公司、启明星辰信息技术集团股份有限公司、上海国际技贸联合有限公司、中国网络安全审查技术与认证中心、西安交大捷普网络科技有限公司、北京中科网威信息技术有限公司、上海市信息安全测评认证中心、工业和信息化部计算机与微电子发展研究中心（中国软件评测中心）、新华三技术有限公司、中国电子科技集团公司第十五研究所（信息产业信息安全测评中心）、国家工业信息安全发展研究中心、陕西省网络与信息安全测评中心、国网新疆电力有限公司电力科学研究院、中国科学院信息工程研究所、中国电力科学研究院有限公司信息通信研究所、中国信息通信研究院、远江盛邦（北京）网络安全科技股份有限公司、北京通和实益电信科学技术研究所有限公司、上海斗象信息科技有限公司、深圳市联软科技股份有限公司、北京知道创宇信息技术股份有限公司。本文件主要起草人：顾建新、宋好好、陆臻、顾健、沈亮、尹航、陈昕宇、熊毅、秦兰、曹宁、申永波、何建锋、宋伟、徐佟海、郭永振、杨洪起、刘健、刘志尧、巨腾飞、李明轩、陈佳、闫兆腾、严敏辉、许子先、于忠臣、闻蕾、谢忱、侯俊、崔兆。本文件及其所替代文件的历次版本发布情况为：年首次发布为 ，年第一次修订；本次为第二次修订，并入了 信息安全技术网络脆弱性扫描产品测试评价方法的内容。犌犅犜 信息安全技术网络脆弱性扫描产品安全技术要求和测试评价方法范围本文件规定了网络脆弱性扫描产品的安全技术要求和测试评价方法。本文件适用于脆弱性扫描产品的设计、开发与测试。规范性引用文件下列文件中的内容通过文中的规范化引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。信息安全技术术语术语和定义 界定的以及下列术语和定义适用于本文件。扫描狊 犮 犪 狀使用技术工具对目标系统进行探测，查找目标系统中存在安全弱点的过程。网络脆弱性扫描狀 犲 狋 狑狅 狉 犽狏 狌 犾 狀 犲 狉 犪 犫 犻 犾 犻 狋 狔狊 犮 犪 狀通过网络对目标系统安全弱点进行远程探测，检查和分析其安全脆弱性，从而发现可能被入侵者利用的安全弱点，并提出一定的防范和补救措施建议。旗标犫 犪 狀 狀 犲 狉应用程序发送的一段信息。注：通常包括欢迎语、应用程序名称和版本等信息。支撑系统狊 狌 狆 狆 狅 狉 狋 犻 狀 犵狊 狔 狊 狋 犲犿支撑网络脆弱性扫描设备运行的操作系统。缩略语下列缩略语适用于本文件。：中国国家信息安全漏洞库（）：通用漏洞披露（）：文件传输协议（）犌犅犜 ：远程过程调用（）：传输控制协议（）：用户数据报协议（）网络脆弱性扫描产品描述网络脆弱性扫描产品是指利用扫描手段检测目标网络系统中可能存在的安全弱点的软件或软硬件组合的产品。该产品可根据预先定义的策略或者其他要求，对目标网络中的指定设备进行端口扫描，检查其开放的服务，并进一步探测各个服务程序的配置信息以及存在的安全问题，从而实现对目标网络系统的脆弱性扫描。对于适用于下一代互联网网络环境的网络脆弱性扫描产品，还能够支持 、过渡技术的网络环境，并具备较高的处理性能，可实现对多个目标的并发扫描。网络脆弱性扫描产品在应用过程中与被扫描系统的各网络设备或者主机处于连通状态，网络路径中不存在其他安全防护或者检测设备的干扰。安全技术要求 概述 要求分类本文件将网络脆弱性扫描产品的安全技术要求分为安全功能要求、自身安全保护要求、环境适应性要求和安全保障要求四方面。其中，安全功能要求是对产品应具备的安全功能提出的具体要求，包括信息获取、脆弱性扫描内容、扫描结果分析处理、扫描配置、扫描对象的安全性、扫描速度调节、并发扫描和升级能力等；自身安全保护要求包括身份鉴别、管理员管理、安全审计和支撑系统安全；环境适应性要求提出了产品支持 网络环境进行工作和管理的要求；安全保障要求针对产品的生命周期过程提出具体的要求，包括开发、指导性文档、生命周期支持和测试等。安全等级本文件将网络脆弱性扫描产品的安全等级分为基本级和增强级，如表、表、表和表所示。安全功能与自身安全保护的强弱、以及安全保障要求的高低是等级划分的具体依据，安全等级突出安全特性。与基本级内容相比，增强级中要求有所增加或变更的内容在正文中通过“宋体加粗”表示。表安全功能要求等级划分表安全功能要求基本级增强级信息获取端口扫描端口端口端口协议分析服务旗标存活判断其他信息犌犅犜 表安全功能要求等级划分表（续）安全功能要求基本级增强级脆弱性扫描内容操作系统脆弱性数据库脆弱性应用服务脆弱性网络设备脆弱性口令脆弱性云环境脆弱性工控设备脆弱性（有则适用）扫描结果分析处理结果浏览脆弱性修补建议报告生成报告输出结果导入导出报告定制结果比对报告发送扫描配置扫描策略计划任务任务管理已知账号口令扫描扫描对象的安全性对目标系统所在网络性能的影响对目标系统的影响扫描报文标识扫描速度调节并发扫描升级能力中断恢复互动性要求“”表示具有该要求，“”表示要求有所增强，“”表示不适用。犌犅犜 表自身安全保护要求等级划分表自身安全保护要求基本级增强级身份鉴别管理员鉴别鉴别信息要求鉴别失败的处理鉴别数据保护超时设置管理地址限制会话锁定管理员管理标识唯一性管理员属性定义安全行为管理管理员角色安全审计审计日志生成审计日志可理解性审计日志查阅受限的审计日志查阅可选审计查阅数据存储告警通信保密性支撑系统安全“”表示具有该要求，“”表示要求有所增强，“”表示不适用。表环境适应性要求等级划分表环境适应性要求基本级增强级支持纯 网络环境 网络环境下自身管理双协议栈“”表示具有该要求，“”表示要求有所增强，“”表示不适用。表安全保障要求等级划分表安全保障要求基本级增强级开发安全架构功能规范实现表示产品设计犌犅犜 表安全保障要求等级划分表（续）安全保障要求基本级增强级指导性文档操作用户指南准备程序生命周期支持配置管理能力配置管理范围交付程序开发安全生命周期定义工具和技术测试测试覆盖测试深度功能测试独立测试脆弱性评定“”表示具有该要求，“”表示要求有所增强，“”表示不适用。基本级安全要求 安全功能要求 信息获取 端口扫描 犜犆犘端口产品应能扫描目标设备的所有端口，检查其是否开启。犝犇犘端口产品应能扫描目标设备的所有端口，检查其是否开启。端口协议分析产品应能判断目标设备开启的端口所对应的通用服务或应用协议。服务旗标产品应能获取目标设备已开启的各项通用服务的旗标。存活判断产品应能对目标设备是否在线进行存活判断。犌犅犜 脆弱性扫描内容 操作系统脆弱性产品应能探测目标主机操作系统的脆弱性，检查项目包括：）操作系统名称、版本和补丁安装情况；）系统安全设置；）其他相关检查。数据库脆弱性产品应能探测目标主机所安装数据库的脆弱性，检查项目包括：）数据库名称、版本和补丁安装情况；）数据库安全设置；）其他相关检查。应用服务脆弱性产品应能探测目标主机中所安装的各类应用服务的脆弱性，检查项目包括：）各应用服务名称、版本；）各应用服务的安全设置；）其他相关检查。网络设备脆弱性产品应能探测不同网络设备（包括但不限于交换机、路由器、防火墙等）的系统版本和特有的脆弱性。口令脆弱性产品应能探测目标操作系统，以及不同应用服务用户口令的脆弱性，检查项目包括：）系统是否使用了用户名称经过简单变换后的口令；）系统是否使用了易猜测口令。扫描结果分析处理 结果浏览产品应提供扫描结果浏览功能。脆弱性修补建议产品应能对发现的脆弱性提出修补建议，脆弱性修补建议满足下列要求：）对不同的操作系统类型提出针对性的脆弱性修补方法；）脆弱性描述应详细，提供的脆弱性修补方法应确保其合理性和可用性。报告生成产品应能根据扫描结果生成相应的报告，报告要求包括如下内容：）各脆弱点的编号或者编号、详细信息、补救建议等；）目标的风险等级评估，将扫描脆弱点按风险严重程度分级，并明确标出；犌犅犜 ）多个目标扫描后的汇总结果；）关键脆弱性扫描信息的摘要。报告输出报告应能输出为通用的文档格式，包括但不限于、等。扫描配置 扫描策略产品应提供方便的定制策略的方法，可以指定扫描地址范围、端口范围、脆弱性类型等。计划任务产品应能定制扫描计划，可以定时启动或者按周期执行扫描任务。任务管理产品应具备易用的操作管理能力，扫描任务可执行启用、停用、中止、继续、删除等操作，可展示扫描任务的执行进度。扫描对象的安全性 对目标系统所在网络性能的影响扫描不应影响目标网络的正常工作，能调整对网络流量的占用大小或者占用较少网络流量（不超过带宽总量的）。对目标系统的影响扫描不应影响目标系统的正常工作，避免使用攻击方法进行测试。扫描报文标识产品在对目标设备进行扫描时，所发出的扫描报文中应有标识其产品名称或者产品生产单位的信息。扫描速度调节产品应能对扫描速度进行调节。并发扫描产品应能支持不少于 个目标设备 的并发扫描。升级能力产品应能对系统版本和脆弱性特征库进行更新，并满足以下要求：）产品体系结构的设计应有利于产品的升级，方便升级操作；）支持手动或者自动升级操作。犌犅犜 自身安全保护要求 身份鉴别 管理员鉴别产品应在管理员执行任何与安全功能相关的操作之前对管理员身份进行鉴别。鉴别信息要求在采用基于口令的鉴别信息时，产品应对管理员设置的口令进行复杂度检查，确保管理员口令满足一定的复杂度要求；当存在默认口令时，系统应提示管理员对默认口令进行修改，以减少用户身份被冒用的风险；产品应提供鉴别信息定期更换功能，当鉴别信息使用时间达到使用期限阈值前，应提示管理员进行修改。鉴别失败的处理当管理员鉴别尝试失