标准解读

《GB/T 20278-2022 信息安全技术 网络脆弱性扫描产品安全技术要求和测试评价方法》相比于之前的《GB/T 20278-2013》与《GB/T 20280-2006》,主要在以下几个方面进行了更新和调整:

  1. 技术要求细化与增强:新版标准对网络脆弱性扫描产品的安全技术要求做了进一步的细化,特别是在扫描准确性、扫描效率、以及扫描范围等方面提出了更高的标准。这反映了随着信息技术的发展,对网络安全产品性能要求的提升。

  2. 合规性和安全性扩展:考虑到近年来数据保护法规的增多,如GDPR等,新标准加强了对隐私保护和合规性要求的考量,确保脆弱性扫描活动在合法合规的前提下进行,避免侵犯用户隐私。

  3. 测试评价方法优化:为适应技术进步和安全威胁的新变化,2022版标准对测试评价方法进行了优化,引入了更多自动化测试工具和技术,提高了测试的全面性和准确性,同时增强了对未知漏洞检测能力的评估。

  4. 云环境与新兴技术覆盖:鉴于云计算、物联网(IoT)、容器技术等新兴领域的快速发展,新标准扩展了对这些新技术环境下的网络脆弱性扫描要求,确保其适用性和有效性。

  5. 报告与管理要求升级:对于扫描结果的报告格式、内容详细度以及后续风险管理流程,新标准提供了更具体的指导,强调了报告的可读性和操作性,便于用户快速理解并采取行动。

  6. 互操作性和兼容性:为了促进不同厂商产品的兼容与互操作,新标准可能包含了关于接口标准化、数据交换格式等方面的要求,以支持更广泛的生态系统集成。


如需获取更多详尽信息,请直接参考下方经官方授权发布的权威标准文档。

....

查看全部

  • 现行
  • 正在执行有效
  • 2022-03-09 颁布
  • 2022-10-01 实施
©正版授权
GB-T 20278-2022 信息安全技术 网络脆弱性扫描产品安全技术要求和测试评价方法(高清版)_第1页
GB-T 20278-2022 信息安全技术 网络脆弱性扫描产品安全技术要求和测试评价方法(高清版)_第2页
GB-T 20278-2022 信息安全技术 网络脆弱性扫描产品安全技术要求和测试评价方法(高清版)_第3页
GB-T 20278-2022 信息安全技术 网络脆弱性扫描产品安全技术要求和测试评价方法(高清版)_第4页
免费预览已结束,剩余60页可下载查看

下载本文档

GB-T 20278-2022 信息安全技术 网络脆弱性扫描产品安全技术要求和测试评价方法(高清版)-免费下载试读页

文档简介

ICS35030

CCSL.80

中华人民共和国国家标准

GB/T20278—2022

代替GB/T20278—2013GB/T20280—2006

,

信息安全技术网络脆弱性扫描产品

安全技术要求和测试评价方法

Informationsecuritytechnology—Securitytechnicalrequirementsandtesting

assessmentapproachesfornetworkvulnerabilityscanners

2022-03-09发布2022-10-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T20278—2022

目次

前言

…………………………Ⅰ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

缩略语

4……………………1

网络脆弱性扫描产品描述

5………………2

安全技术要求

6……………2

概述

6.1…………………2

基本级安全要求

6.2……………………5

增强级安全要求

6.3……………………11

测试评价方法

7……………20

测试环境

7.1……………20

测试工具

7.2……………20

基本级测试评价方法

7.3………………21

增强级测试评价方法

7.4………………36

参考文献

……………………59

GB/T20278—2022

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GB/T1.1—2020《1:》

起草

本文件代替信息安全技术网络脆弱性扫描产品安全技术要求和

GB/T20278—2013《》

信息安全技术网络脆弱性扫描产品测试评价方法与相

GB/T20280—2006《》,GB/T20278—2013

比除结构调整和编辑性改动外主要技术变化如下

,,:

增加了网络脆弱性扫描产品描述的内容见第章

a)“”(5);

增加了扫描报文标识的要求见和

b)“”(.3.3);

增加了并发扫描的要求见和

c)“”();

增加了支撑系统安全的要求见和

d)“”();

增加了通信保密性的要求见

e)“”();

增加了环境适应性要求有则适用的内容其中主要是明确了产品对的支持能力包

f)“()”,IPv6,

括支持纯网络环境的扫描能力网络环境下的自身管理能力以及双协议栈的要求

IPv6、IPv6

见和

(6.2.36.3.3);

增加了测试评价方法的内容见第章

g)“”(7);

删除了扫描地址限制的要求见年版的

h)“IP”(20138.1.8);

删除了易用性的要求见年版的

i)“”(2013);

修改了脆弱性扫描内容将原标准中要求的项扫描要求重新整理分为类扫描要求见

j)“”,155(

和年版的在增强级中还提出了对云环境和工控设备目标对象的

,20137.1.2),

扫描要求见和

(.6.7);

修改了各级的安全保证要求为安全保障要求见和年版的和

k)“”“”(6.2.46.3.4,20137.38.3)。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

。。

本文件由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本文件起草单位公安部第三研究所北京神州绿盟科技有限公司网神信息技术北京股份有限

:、、()

公司北京天融信网络安全技术有限公司启明星辰信息技术集团股份有限公司上海国际技贸联合有

、、、

限公司中国网络安全审查技术与认证中心西安交大捷普网络科技有限公司北京中科网威信息技术

、、、

有限公司上海市信息安全测评认证中心工业和信息化部计算机与微电子发展研究中心中国软件评

、、(

测中心新华三技术有限公司中国电子科技集团公司第十五研究所信息产业信息安全测评中心国

)、、()、

家工业信息安全发展研究中心陕西省网络与信息安全测评中心国网新疆电力有限公司电力科学研究

、、

院中国科学院信息工程研究所中国电力科学研究院有限公司信息通信研究所中国信息通信研究院

、、、、

远江盛邦北京网络安全科技股份有限公司北京通和实益电信科学技术研究所有限公司上海斗象信

()、、

息科技有限公司深圳市联软科技股份有限公司北京知道创宇信息技术股份有限公司

、、。

本文件主要起草人顾建新宋好好陆臻顾健沈亮尹航陈昕宇熊毅秦兰曹宁申永波

:、、、、、、、、、、、

何建锋宋伟徐佟海郭永振杨洪起刘健刘志尧巨腾飞李明轩陈佳闫兆腾严敏辉许子先

、、、、、、、、、、、、、

于忠臣闻蕾谢忱侯俊崔兆

、、、、。

本文件及其所替代文件的历次版本发布情况为

:

年首次发布为年第一次修订

———2006GB/T20278—2006,2013;

本次为第二次修订并入了信息安全技术网络脆弱性扫描产品测试评

———,GB/T20280—2006《

价方法的内容

》。

GB/T20278—2022

信息安全技术网络脆弱性扫描产品

安全技术要求和测试评价方法

1范围

本文件规定了网络脆弱性扫描产品的安全技术要求和测试评价方法

本文件适用于脆弱性扫描产品的设计开发与测试

、。

2规范性引用文件

下列文件中的内容通过文中的规范化引用而构成本文件必不可少的条款其中注日期的引用文

。,

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

,;,()

本文件

信息安全技术术语

GB/T25069

3术语和定义

界定的以及下列术语和定义适用于本文件

GB/T25069。

31

.

扫描scan

使用技术工具对目标系统进行探测查找目标系统中存在安全弱点的过程

,。

32

.

网络脆弱性

温馨提示

  • 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
  • 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
  • 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。

评论

0/150

提交评论