eICS 35.040 L80 中华人民共和国国家标准 GB/T 20278—2006 信息安全技术 网络脆弱性扫描产品技术要求 Information security technologyTechnique requirement for network vulnerability scanners 2006-05-13 发布 中华人民共和国国家质量监督检验检疫总局 中 国 国 家 标 准 化 管 理 委 员 会 2006-12-01 实施 发布 GB/T 20278—2006 目 次 前言 ................................................................................ I 引言 ............................................................................... II 1 范围 ................................................................................ 1 2 规范性引用文件 ...................................................................... 1 3 术语和定义 .......................................................................... 1 4 缩略语和记法约定 .................................................................... 2 4.1 缩略语 ............................................................................ 2 4.2 记法约定 .......................................................................... 2 5 网络脆弱性扫描产品分级 .............................................................. 2 5.1 基本型 ............................................................................ 2 5.2 增强型 ............................................................................ 2 6 使用环境 ............................................................................ 2 7 功能要求 ............................................................................ 3 7.1 基本型网络脆弱性扫描产品功能组件 .................................................. 3 7.2 自身安全要求 ...................................................................... 3 7.3 安全功能要求 ...................................................................... 4 7.4 管理要求 .......................................................................... 8 7.5 安装与操作控制 .................................................................... 9 7.6 增强型网络脆弱性扫描产品功能组件 .................................................. 9 7.7 增强型网络脆弱性扫描产品扩展功能要求 ............................................. 10 8 性能要求 ........................................................................... 10 8.1 速度 ............................................................................. 10 8.2 稳定性和容错性 ................................................................... 10 8.3 漏洞发现能力 ..................................................................... 10 8.4 误报率 ........................................................................... 10 8.5 漏报率 ........................................................................... 10 9 保证要求 ........................................................................... 11 9.1 基本型 ........................................................................... 11 9.2 增强型 ........................................................................... 12 附 录 A （资料性附录） 网络脆弱性扫描产品介绍 ........................................ 16 A.1 脆弱性扫描技术 ................................................................... 16 A.2 网络脆弱性扫描产品简介 ........................................................... 16 A.3 体系结构 ......................................................................... 16 参考文献 ............................................................................. 18 图 A1 网络脆弱性扫描产品的系统基本组成 .............................................. 16 表 1 表 2 基本型网络脆弱性扫描产品功能要求 ................................................ 3 增强型网络脆弱性扫描产品功能要求 ................................................ 9 前言 （略） I GB/T 20278—2006 引言 网络脆弱性扫描是检查网络安全性能的一种重要技术手段，其原理是对目标网络系统及设备可能存 在的已知网络脆弱性进行逐项检测，确定存在的安全隐患及危险程度，并提出解决建议。 II GB/T 20278—2006 信息安全技术 网络脆弱性扫描产品技术要求 1 范围 本标准规定了采用传输控制协议和网际协议（TCP/IP）的网络脆弱性扫描产品的技术要求，提出网 络脆弱性扫描产品实现的安全目标及环境，给出产品基本功能、增强功能和安全保证要求。 本标准适用于通过网络对系统和设备进行脆弱性扫描的安全产品的研制、生产和认证。 本标准不适用于专门对数据库系统进行脆弱性扫描的产品。 2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本部分的条款。凡是注日期的引用文件，其随后所有的 修改单（不包括勘误的内容）或者修订版均不适合于本标准，但鼓励根据本标准达成协议的各方研究是 否可使用这些文件的最新版本。凡是不注日期的引文，其最新版本适用于本标准。 GB/T 5271.8-2001 信息技术 词汇 第8部分：安全（idt ISO/IEC 2382-8:1998） 3 术语和定义 GB/T 5271.8-2001 确立的以及下列术语和定义适用于本标准。 3.1 扫描 scan 使用脆弱性扫描产品进行探测，找到网络中的主机系统存在的安全隐患的过程。 3.2 威胁 threat 可能对网络系统和设备或网络所有者造成损害的事故的潜在原因。 3.3 脆弱性 vulnerability 网络系统和设备中能被利用并造成危害的弱点。 3.4 宿主机 local host 运行网络脆弱性扫描产品的计算机。 3.5 目标主机 target host 网络脆弱性扫描产品对其进行风险分析的计算机。 3.6 网络脆弱性扫描 network vulnerability scan 通过网络远程检测目标网络系统安全隐患的探测过程，它对网络系统和设备进行安全脆弱性检测和 分析，从而发现可能被入侵者利用的漏洞，并采取一定的防范和补救措施。 3.7 网络脆弱性扫描产品 network vulnerability scanner 能够完成网络脆弱性扫描功能的产品。 1 GB/T 20278—2006 3.8 误报 false positives 报告了不存在的脆弱性。 3.9 漏报 false negatives 没有报告出实际存在的脆弱性。 3.10 旗标 banner 由应用程序发送的一段讯息，通常包括欢迎语、应用程序名称和版本等信息。 4 缩略语和记法约定 4.1 缩略语 CGI CVE DNS DOS FTP IDS IP NETBIOS NFS POP RPC SMB S