标准解读

GB/T 20280-2006《信息安全技术 网络脆弱性扫描产品测试评价方法》是中国的一项国家标准,旨在为网络脆弱性扫描产品的性能和功能提供一套统一的评估与测试准则。该标准详细规定了如何对这类产品进行系统化、标准化的测试,以确保它们能够有效地识别并报告网络系统中的安全漏洞,从而帮助用户提升网络安全防护水平。以下是该标准的主要内容概览:

  1. 范围:明确了标准适用的对象是网络脆弱性扫描产品,这类产品主要用于自动检测计算机网络及其中各类设备、系统的安全弱点,包括但不限于操作系统漏洞、服务漏洞、配置缺陷等。

  2. 术语和定义:对涉及的关键词汇如“网络脆弱性”、“扫描器”、“漏洞数据库”等进行了明确界定,为后续内容的理解和执行提供了统一的语言基础。

  3. 测试环境:描述了进行产品测试应满足的基本环境要求,包括测试网络的构建、测试用例的选择原则以及安全控制措施,以确保测试过程的准确性和安全性。

  4. 测试项和指标:详细列出了对网络脆弱性扫描产品进行评价的具体测试项目和评价指标,涵盖功能性测试(如扫描范围、扫描速度、漏洞识别准确性)、性能测试(如资源消耗、稳定性)和安全性测试(如自我保护能力)等多个维度。

  5. 测试方法:针对每一项测试指标,规定了具体的测试步骤、数据收集和分析方法。这包括模拟攻击测试、误报率与漏报率的计算、扫描策略灵活性验证等,以全面评估产品的效能。

  6. 评价准则:基于测试结果,确立了评判产品是否合格或优秀的一系列标准。这些准则有助于量化产品的表现,并为用户提供选择产品的参考依据。

  7. 测试报告:规范了测试完成后应编制的报告格式和内容要求,包括测试概况、测试过程、发现的问题、评估结论及改进建议,确保测试结果的透明度和可追溯性。


如需获取更多详尽信息,请直接参考下方经官方授权发布的权威标准文档。

....

查看全部

  • 被代替
  • 已被新标准代替,建议下载现行标准GB/T 20278-2022
  • 2006-05-31 颁布
  • 2006-12-01 实施
©正版授权
GB/T 20280-2006信息安全技术网络脆弱性扫描产品测试评价方法_第1页
GB/T 20280-2006信息安全技术网络脆弱性扫描产品测试评价方法_第2页
GB/T 20280-2006信息安全技术网络脆弱性扫描产品测试评价方法_第3页
GB/T 20280-2006信息安全技术网络脆弱性扫描产品测试评价方法_第4页
GB/T 20280-2006信息安全技术网络脆弱性扫描产品测试评价方法_第5页
免费预览已结束,剩余23页可下载查看

下载本文档

GB/T 20280-2006信息安全技术网络脆弱性扫描产品测试评价方法-免费下载试读页

文档简介

ICS35.040L80中华人民共和国国家标准GB/T20280—2006信息安全技术网络脆弱性扫描产品测试评价方法Informationsecuritytechnology-Testingandevaluationapproachesfornetworkvulnerabilityscanners2006-05-31发布2006-12-01实施中华人民共和国国家质量监督检验检疫总局爱布中国国家标准化管理委员会

GB/T20280—2006三前言引言1范围2规范性引用文件3术语和定义4符号、缩略语和记法约定·4.1符号和缩略语4.2记法约定………5网络脆弱性扫描产品概述67测试评价方法及步骠7.1基本型7.1.1基本功能7.1.2性能要求7.1.3安全保证要求7.2增强型…·…………….7.2.1基本功能及性能….3安全保证要求附录A(规范性附录)产品厂商向测试单位提供的测试证据19A.1基本型1oA.2增强型00060006666000006000006000000000060000000000000019参考文献图1网络脆弱性扫描产品测试环境拓扑图表1环境说明

GB/T20280—2006前本标准的附录A为规范性附录本标准由全国信息安全标准化技术委员会提出并归口本标准由北京中科网威信息技术有限公司、公安部十一局负责起草本标准主要起草人:肖江、陆驿、杨威、刘伟、刘兵、丁宇征。

GB/T20280—2006本标准规定了网络脆弱性扫描产品的测评方法,包括网络脆弱性扫描产品测评的内容,测评功能目标及测试环境.给出产品基本功能、增强功能和安全保证要求必须达到的具体目标。本标准的目的是为网络脆弱性扫描产品的研制、生产和认证提供技术支持和指导。正确使用符合本标准的评价活动.其结果可以得到确认,检测对象可以对网络进行脆弱性检查,对发现的安全隐患提出解决建议,从而提高了产品的质量。

GB/T20280—2006信息安全技术网络脆弱性扫描产品测试评价方法范围本标准规定了对采用传输控制协议和网际协议(TCP/IP)的网络脆弱性扫描产品的测试、评价方法。本标准适用于对计算机信息系统进行人工或自动的网络脆弱性扫描的安全产品的评测、研发和应用。本标准不适用于专门对数据库系统进行脆弱性扫描的产品。规规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勒误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。GB/T5271.8-2001信息技术词汇第8部分:安全(idtISO/IEC2382-8:1998)GB/T20278—2006信息安全技术网络脆弱性扫描产品安全技术要求语和定义GB/T5271.8-2001和GB/T20278-2006确立的术语和定义适用于本标准!符号、缩略语和记法约定4.1符号和缩略语CGI公共网关接口CommonGatewaylnterfaceCVE通用脆弱性知识库CommonVulnerabilitiesandExposuresDNS域名系统DomainNameSystemDOS拒绝服务DenialOfServiceFTP文件传输协议FileTransferProtocol入侵检测系统lntrusionDetectionSystem网际协议InternetProtocolNETBIOS网络基本输入输出系统NETworkBasicInputOutputSystemNFS网络文件系统NetworkEileSystemPOP邮局协议PostOfficeProtocolRPC远程过程调用RemoteProcedureCall服务器消息块协议SMBServerMessageBlockProtocol简单网络管理协议SNMPSimpleNetworkManagcmentProtocolTCP传输控制协议TransportCont

温馨提示

  • 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
  • 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
  • 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。

评论

0/150

提交评论