GB/T 20278-2013信息安全技术网络脆弱性扫描产品安全技术要求

ICS35040

L80.

中华人民共和国国家标准

GB/T20278—2013

代替

GB/T20278—2006

信息安全技术

网络脆弱性扫描产品安全技术要求

Informationsecuritytechnology—

Securitytechnicalrequirementsfornetworkvulnerabilityscanners

2013-12-31发布2014-07-15实施

中华人民共和国国家质量监督检验检疫总局发布

中国国家标准化管理委员会

GB/T20278—2013

目次

前言

…………………………Ⅰ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

缩略语

4……………………1

网络脆弱性扫描产品等级划分

5…………2

等级划分说明

5.1………………………2

等级划分

5.2……………2

使用环境

6…………………6

基本级安全技术要求

7……………………6

安全功能要求

7.1………………………6

自身安全要求

7.2………………………10

安全保证要求

7.3………………………12

增强级安全技术要求

8……………………14

安全功能要求

8.1………………………14

自身安全要求

8.2………………………19

安全保证要求

8.3………………………21

GB/T20278—2013

前言

本标准按照给出的规则起草

GB/T1.1—2009。

本标准代替信息安全技术网络脆弱性扫描产品技术要求本标准与

GB/T20278—2006《》,

的主要差异如下

GB/T20278—2006:

标准名称修改为信息安全技术网络脆弱性扫描产品安全技术要求

———《》;

修改了网络脆弱性扫描的定义见

———“”(3.3);

删除了服务的脆弱性见版的

———“NIS”(20067.3.1.8);

删除了数据库脆弱性见版的

———“”(20067.3.1.18);

删除了端口见版的

———“RPC”(20067.3.4.1);

删除了服务见版的

———“NT”(20067.3.4.5);

删除了报警功能见版的

———“”(20067.4.4.1);

删除了安装与操作控制见版的

———“”(20067.5);

删除了与产品的互动与防火墙产品的互动与其他应用程序之间的互动见

———“IDS”“”“”(2006

版的和

7.7.4.2、7.7.4.3、7.7.4.48);

删除了性能要求

———“”;

新增了在产品升级过程中升级安全措施要求

———;

新增了扫描结果的比对分析功能

———;

在产品自身安全要求中新增了鉴别数据保护鉴别失败处理超时锁定或注销远程管理等

———、、、

功能

;

调整了标准的整体结构按照产品安全功能要求自身安全要求和安全保证要求三部分描述

———,、,

同时细化了产品自身安全的要求项明确了审计功能要求的内容

,,。

本标准由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本文件某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任

,。

本标准起草单位公安部计算机信息系统安全产品质量监督检验中心启明星辰信息技术有限公

:、

司北京中科网威信息技术有限公司

、。

本标准主要起草人顾建新陆臻俞优顾健赵婷王志佳王红虹明旭

:、、、、、、、。

Ⅰ

GB/T20278—2013

信息安全技术

网络脆弱性扫描产品安全技术要求

1范围

本标准规定了网络脆弱性扫描产品的安全功能要求自身安全要求和安全保证要求并根据安全技

、,

术要求的不同对网络脆弱性扫描产品进行了分级

。

本标准适用于网络脆弱性扫描产品的研制生产和检测

、。

2规范性引用文件

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

。,()。

计算机信息系统安全保护等级划分准则

GB17859—1999

信息技术信息技术安全性评估准则第部分安全保证要求

GB/T18336.3—20083:

信息安全技术术语

GB/T25069—2010

3术语和定义

和中界定的以及下列术语和定义适用于本文件

GB17859—1999GB/T25069—2010。

31

.

扫描scan

使用技术工具对目标系统进行探测查找目标系统中存在的安全隐患的过程

,。

32

.

脆弱性vulnerability

网络系统中可能被利用并造成危害的弱点