《信息安全技术 网络脆弱性扫描产品安全技术要求》编制说明

1工作简要过程

1.1任务来源

近年来，随着黑客技术的不断发展以及网络非法入侵事件的激增，国内网络安全产品市场也呈现出

良好的发展态势，各种品牌的防火墙产品、入侵检测产品等已经达到了相当可观的规模。最近几年，网

络脆弱性扫描产品的出现，为网络安全产品厂商提供了一个展现自身技术水平的更高层次舞台，市场上，

各种实现脆弱性扫描功能的产品层出不穷，发展迅速，标准《GB/T20278-2006信息安全技术网络脆

弱性扫描产品技术要求》已不能满足现在产品的发展需求，另一方面，为了更好地配合等级保护工作的

开展，为系统等级保护在产品层面上的具体实施提供依据，需要对该标准进行合理的修订，通过对该标

准的修订，将更加全面系统的阐述网络脆弱性扫描产品的安全技术要求，并对其进行合理的分级。本标

准编写计划由中国国家标准化管理委员会2010年下达，计划号20101497-T-469，由公安部第三研究所

负责制定，具体修订工作由公安部计算机信息系统安全产品质量监督检验中心承担。

1.2参考国内外标准情况

该标准修订过程中，主要参考了：

—GB17859-1999计算机信息系统安全保护等级划分准则

—GB/T20271-2006信息安全技术信息系统安全通用技术要求

—GB/T22239-2008信息安全技术信息系统安全等级保护基本要求

—GB/T18336.2-2008信息技术安全技术信息技术安全性评估准则第二部分：安全功能要求

—GB/T18336.3-2008信息技术安全技术信息技术安全性评估准则第三部分：安全保证要求

—GA/T404-2002信息技术网络安全漏洞扫描产品技术要求

—GB/T20278-2006信息安全技术网络脆弱性扫描产品技术要求

—GB/T20280-2006信息安全技术网络脆弱性扫描产品测试评价方法

—MSTL_JGF_04-017信息安全技术主机安全漏洞扫描产品检验规范

1.3主要工作过程

1）成立修订组

2010年11月在我中心成立了由顾建新具体负责的标准修订组，共由5人组成，包括俞优、顾建新、

张笑笑、陆臻、顾健。

2）制定工作计划

修订组首先制定了修订工作计划，并确定了修订组人员例会及时沟通交流工作情况。

3）确定修订内容

经标准修订小组研究决定，以网络脆弱性扫描产品发展的动向为研究基础，以等级保护相关要求为

标准框架，修订完成《信息安全技术网络脆弱性扫描产品安全技术要求》。

4）修订工作简要过程

按照修订进度要求，修订组人员首先对所参阅的产品、文档以及标准进行反复阅读与理解，并查阅

有关资料，编写标准修订提纲。在对提纲进行交流和修改的基础上，开始具体修订工作。

-1-

2010年11月至2011年1月，对国内外网络脆弱性扫描产品，相关技术文档以及有关标准进行前

期基础调研。在调研期间，我们主要对我中心历年检测产品的记录、报告以及各产品的技术文档材料进

行了筛选、汇总、分析，对国内外网络脆弱性扫描产品的发展动向进行了研究，以及进行了对国内外相

关产品的技术文档和标准分析理解等工作。

2011年1月至3月进行了草稿的编写工作。以我修订组人员收集的资料为基础，依据修订提纲，

在不断的讨论和研究中，完善内容，最终形成了本标准的草稿。

2011年3月至5月，我们收集了国内相关产品的主要生产厂家信息，以邮件形式向他们征求意见，

包括北京神州绿盟信息安全科技股份有限公司、解放军信息安全研究中心等单位。

2011年5月，单位内部组织第一次标准讨论会，由标准修订组成员汇报标准的修订情况并接受其

他同事的质询，会后根据本次讨论会的意见，对标准内容进行了修改。

2011年8月，单位内部组织第二次标准讨论会，由标准修订组成员汇报标准的修订情况并接受其

他同事的质询，会后根据本次讨论会的意见，对标准内容进行了修改。

2011年12月，WG5专家评审会在上海组织召开了对标准征求意见稿的专家评审会，评审组由吉

增瑞等多位专家组成，与会专家对草稿（第三稿）进行了讨论，并提出相关修改意见，会后修订组再次

认真对专家意见进行了分析和处理，随后形成了草稿（第四稿）。

2012年6月，单位内部组织第三次标准讨论会，由标准修订组成员汇报标准的修订情况并接受其

他同事的质询，会后根据本次讨论会的意见，对标准内容进行了修改，形成了草稿（第五稿），在本次

讨论会中，做出了一个非常重要的修改，就是将标准名称改为《信息安全技术网络脆弱性扫猫产品安

全技术要求》，同时对标准的整体结构也进行了调整，按照基本级和增强级分开描述的形式修订，以便

于读者的阅读，并保持与其他同类国标一致。

2012年7月26日，WG5专家组在北京对标准草稿再次进行评审，与会专家包括赵战生、王立福、

崔书昆、冯惠、袁文恭、卿斯汉、肖京华、杨建军、罗锋盈等。专家组对草稿（第五稿）提出若干意见，

并一致同意形成标准征求意见稿。会后，按照专家意见，对标准内容进行了修改。本次修改的主要内容

包括：标准封面、目录、前言中的若干描述；标准排版；规范性引用文件中引用词汇标准更新；定义与

术语。通过本次修改完善后，形成征求意见稿（第一稿），

2012年9月18日，收到WG5工作组投票意见，七家参与投票的单位中，有四家赞成，三家赞成

但需要修改，根据中科网威、江南天安、中国信息安全认证中心三家单位提出的意见进行了修改，通过

本次修改，将产品的术语定义“扫描”和“网络脆弱性扫描”进行了进一步的推敲和明确；删除了“可

允许网络性能的少量降低”和“远程保密传输”这两项描述比较含糊的要求，形成征求意见稿（第二稿）。

2确定标准主要内容的论据

2.1修订目标和原则

2.1.1修订目标

本标准的修订目标是：对网络脆弱性扫描类产品提出产品功能要求、产品自身安全要求以及产品保

证要求，使之适用于我国脆弱性扫描产品的研究、开发、测试、评估以及采购。

-2-

2.1.2修订原则

为了使我国网络脆弱性扫描产品的开发工作从一开始就与国家标准保持一致，本标准的编写参考了

国家有关标准，主要有GA/T698-2007、GB/T17859-1999、GB/T20271-2006、GB/T22239-2008和GB/T

18336-2008第二、三部分。本标准又要符合我国的实际情况，遵从我国有关法律、法规的规定。具体

原则与要求如下：

1）先进性

标准是先进经验的总结，同时也是技术的发展趋势。目前，我国网络脆弱性扫描类产品种类繁多，

功能良莠不齐，要制定出先进的信息安全技术标准，必须参考国内外先进技术和标准，吸收其精华，制

定出具有先进水平的标准。本标准的编写始终遵循这一原则。

2）实用性

标准必须是可用的，才有实际意义。因此本标准的编写是在对国内外标准的相关技术内容消化、吸

收的基础上，结合我国的实际情况，制定出符合我国国情的、可操作性强的标准。

3）兼容性

本标准既要与国际接轨，更要与我国现有的政策、法规、标准、规范等相一致。修订组在对标准起

草过程中始终遵循此原则，其内容符合我国已经发布的有关政策、法律和法规。

2.2对网络脆弱性扫描类产品的理解

2.2.1网络脆弱性扫描产品

脆弱性扫描是一项重要的安全技术，它采用模拟攻击的形式对网络系统组成元素（服务器、工作站、

路由器和防火墙等）可能存在的安全漏洞进行逐项检查，根据检查结果提供详细的脆弱性描述和修补方

案，形成系统安全性分析报告，从而为网络管理员完善网络系统提供依据。通常，我们将完成脆弱性扫

描的软件、硬件或软硬一体的组合称为脆弱性扫描产品。

脆弱性扫描产品的分类

根据工作模式，脆弱性扫描产品分为主机脆弱性扫描产品和网络脆弱性扫描产品。其中前者基于主

机，通过在主机系统本地运行代理程序来检测系统脆弱性，例如针对操作系统和数据库的扫描产品。后

者基于网络，通过请求/应答方式远程检测目标网络和主机系统的安全脆弱性。例如Satan和ISSInternet

Scanner等。针对检测对象的不同，脆弱性扫描产品还可分为网络扫描产品、操作系统扫描产品、WWW

服务扫描产品、数据库扫描产品以及无线网络扫描产品。

脆弱性扫描产品通常以三种形式出现：单一的扫描软件，安装在计算机或掌上电脑上，例如ISS

InternetScanner；基于客户机（管理端）/服务器（扫描引擎）模式或浏览器/服务器模式，通常为软件，

安装在不同的计算机上，也有将扫描引擎做成硬件的，例如Nessus；也有作为其他安全产品的组件，

例如防御安全评估就是防火墙的一个组件。

-3-

网络脆弱性扫描产品通过远程检测目标主机TCP/IP不同端口的服务，记录目标给予的应答，来搜

集目标主机上的各种信息，然后与系统的漏洞库进行匹配，如果满足匹配条件，则认为安全漏洞存在；

或者通过模拟黑客的攻击手法对目标主机进行攻击，如果模拟攻击成功，则认为安全漏洞存在。

主机脆弱性扫描产品则通过在主机本地的代理程序对系统配置、注册表、系统日志、文件系统或数

据库活动进行监视扫描，搜集他们的信息，然后与系统的漏洞库进行比较，如果满足匹配条件，则认为

安全漏洞存在。

在匹配原理上，目前脆弱性扫描产品大都采用基于规则的匹配技术，即通过对网络系统安全脆弱性、

黑客攻击案例和网络系统安全配置的分析，形成一套标准安全脆弱性的特征库，在此基础上进一步形成

相应的匹配规则，由扫描产品自动完成扫描分析工作。

端口扫描技术

网络脆弱性扫描是建立在端口扫描的基础上的，支持TCP/IP协议的主机和设备，都是以开放端口

来提供服务，端口可以说是系统对外的窗口，安全漏洞也往往通过端口暴露出来。因此，网络脆弱性扫

描产品为了提高扫描效率，首先需要判断系统的哪些端口是开放的，然后对开放的端口执行某些扫描脚

本，进一步寻找安全漏洞。扫描产品一般集成了以下几种主要的端口扫描技术。

TCPSYN扫描

通常称为“半打开”扫描，这是因为扫描程序不必要打开一个完全的TCP连接。扫描程序发送的

是一个SYN数据包，好象准备打开一个实际的连接并等待反应一样（参考TCP的三次握手建立一个

TCP连接的过程）。一个SYN/ACK的返回信息表示端口处于侦听状态。一个RST返回，表示端口没有

处于侦听状态。

TCPFIN扫描

TCPFIN扫描的思路是关闭的端口使用适当的RST来回复FIN数据包，而打开的端口会忽略对FIN

数据包的回复。这种方法与系统实现有一定的关系，有的系统不管端口是否打开，都回复RST，在这

种情况下，该扫描方法就不适用了，但可以区分Unix和WindowsNT

TCPconnect（）扫描

这是最基本的TCP扫描。操作系统提供的connect（）系统调用，用来与每一个感兴趣的目标计算

机的端口进行连接。如果端口处于侦听状态，那么connect（）就能成功。否则，这个端口是不能用的，

即没有提供服务。

FIN+URG+PUSH扫描

-4-

向目标主机发送一个FIN、URG和PUSH分组，根据RFC793，如果目标主机的相应端口是关闭

的，那么应该返回一个RST标志。

NULL扫描

通过发送一个没有任何标志位的TCP包，根据RFC793，如果目标主机的相应端口是关闭的，它应

该发送回一个RST数据包。

UDPICMP端口不能到达扫描

在向一个未打开的UDP端口发送一个数据包时，许多主机会返回一个ICMP_PORT_UNREACH错

误。这样就能发现哪个端口是关闭的。UDP和ICMP错误都不保证能到达，因此这种扫描器必须能够

重新传输丢失的数据包。这种扫描方法速度很慢，因为RFC对ICMP错误消息的产生速率做了规定。

安全漏洞特征定义

目前，脆弱性扫描产品多数采用基于特征的匹配技术，与基于误用检测技术的入侵检测系统相类似。

扫描产品首先通过请求/应答，或通过执行攻击脚本，来搜集目标主机上的信息，然后在获取的信息中

寻找漏洞特征库定义的安全漏洞，如果有，则认为安全漏洞存在。可以看到，安全漏洞能否发现很大程

度上取决于漏洞特征的定义。

扫描器发现的安全漏洞应该符合国际标准，这是对扫描器的基本要求。但是由于扫描器的开发商大

都自行定义标准，使得安全漏洞特征的定义不尽相同。

漏洞特征库通常是在分析网络系统安全漏洞、黑客攻击案例和网络系统安全配置的基础上形成的。

对于网络安全漏洞，人们还需要分析其表现形式，检查它在某个连接请求情况下的应答信息；或者

通过模式攻击的形式，查看模拟攻击过程中目标的应答信息，从应答信息中提取安全漏洞特征。漏洞特

征的定义如同入侵检测系统中对攻击特征的定义，是开发漏洞扫描系统的主要工作，其准确直接关系到

漏洞扫描系统性能的好坏。这些漏洞特征，有的存在于单个应答数据包中，有的存在于多个应答数据包

中，还有的维持在一个网络连接之中。因此，漏洞特征定义的难度很大，需要反复验证和测试。目前，

国内许多漏洞扫描产品直接基于国外的一些源代码进行开发。利用现成的漏洞特征库，使系统的性能基

本能够与国外保持同步，省掉不少工作量，但核心内容并不能很好掌握。从长远发展来看，我国需要有

自主研究安全漏洞特征库实力的扫描类产品开发商，以掌握漏洞扫描的核心技术。

漏洞特征定义之所以重要，在于其直接决定了漏洞扫描产品的性能。在讨论入侵检测技术时，我们

经常会谈到误报率和漏报率，其实这个问题漏洞扫描产品也同样存在，只不过因为入侵检测还利用了异

常检测技术，以及受网络流量等因素影响，使得这个问题更加突出罢了。作为特征匹配技术本身，它的

误报率和漏报率是比较低的。一个定义非常好的漏洞特征，就会使误报率和漏报率很低；反之，一个定

-5-

义得不好的漏洞特征，就会使误报率和漏报率较高。从网络安全的角度看，一个安全扫描过程是非常从

容的（不象入侵检测需要面对复杂多变的网络流量和攻击），所以误报率和漏报率完全取决于漏洞特征

的定义。

漏洞特征库的多少决定了脆弱性扫描产品能够发现安全漏洞的数量，所以这是衡量一个脆弱性扫描

产品功能强弱的重要因素。这需要引出脆弱性特征库升级（即产品升级）问题。由于每天都有可能出现

新的安全漏洞，而基于特征匹配的脆弱性扫描技术不可能发现未知的安全漏洞，所以特征库的及时升级

就显得尤为重要。

模拟攻击脚本定制

扫描目标的信息，例如操作系统类型版本号、网络服务旗帜和一些安全漏洞，扫描产品都可以通过

发送一些请求包来得到。但是确定安全漏洞是否存在，扫描产品不得不依靠模拟攻击的方式来进行。一

般情况下，扫描产品尝试对某个安全漏洞进行攻击，如果攻击成功，就能证明安全漏洞存在，扫描产品

作为一个安全工具应该对网络系统无损或损害很小。事实上，扫描产品并不真正对目标主机进行攻击，

而是采用定制的脚本模拟对系统进行攻击，然后对过程和结果进行分析。

攻击脚本的定制对于安全扫描和安全漏洞的验证都十分关键，也是扫描产品的关键技术之一。模拟

攻击脚本与漏洞特征库紧密相关，需要获取包含脆弱性特征的信息。事实上，模拟攻击脚本是实际攻击

的一个简化版或弱化版，达到获取信息的目的即可，而不需要把目标攻瘫或获取根权限。例如模拟的拒

绝服务攻击脚本，一旦发现系统出现异常时就会立刻停止攻击。探测弱口令之类安全漏洞的脚本，则会

利用账户简单交换、长度较短和易猜解的口令进行尝试，而不会像口令破解程序那样会去穷尽整个搜索

空间。

模拟攻击脚本的定制参照于实际攻击的过程。针对某个具体的安全漏洞，人们需要首先利用实际攻

击工具进行攻击，记录下攻击的每一个步骤、目标应答和结果信息，分析这些信息，在其中寻找脆弱性

特征，最后定制模拟攻击脚本。由于有些安全漏洞存在于一个主体或表现在攻击过程中，所以一个模拟

攻击脚本有时能够检测到多个安全漏洞。我们在看一个脆弱性扫描产品的技术说明书时，经常会看到产

品有多少种攻击手法，能够发现多少种安全漏洞，这里所说的攻击手法就是指模拟的攻击脚本。通常，

模拟攻击脚本越多，扫描器能够发现的安全漏洞种类就越多，功能也就越强大。

技术趋势

从最初的专门为UNIX系统编写的具有简单功能的小程序发展到现在，脆弱性扫描系统已经成为能

够运行在各种操作系统平台上、具有复杂功能的商业程序。脆弱性扫描产品的发展正呈现出以下趋势。

系统评估愈发重要

-6-

目前多数脆弱性扫描产品只能够简单地把各个扫描器测试项的执行结果（目标主机信息、安全漏洞

信息和补救建议等）罗列出来提供给测试者，而不对信息进行任何分析处理。少数脆弱性扫描产品能够

将扫描结果整理形成报表，依据一些关键词（如IP地址和风险等级等）对扫描结果进行归纳总结，但

是仍然没有分析扫描结果，缺乏对网络安全状况的整体评估，也不会提出解决方案。

在系统评估方面，我国的国标已明确提出系统评估分析应包括目标的风险等级评估、同一目标多次

扫描形式的趋势分析、多个目标扫描后结果的总体分析、关键脆弱性扫描信息的摘要和主机间的比较分

析等等，而不能仅仅将扫描结果进行简单罗列。应该说，脆弱性扫描技术已经对扫描后的评估越来越重

视。下一代的脆弱性扫描系统不但能够扫描安全漏洞，还能够智能化地协助管理人员评估网络的安全状

况，并给出安全建议。为达这一目的，开发厂商需要在脆弱性扫描产品中集成安全评估专家系统。专家

系统应能够从网络安全策略、风险评估、脆弱性评估、脆弱性修补、网络结构和安全体系等多个方面综

合对网络系统进行安全评估。

插件技术和专用脚本语言

插件就是信息收集或模拟攻击的脚本，每个插件都封装着一个或者多个漏洞的测试手段。通常，脆

弱性扫描产品是借助于主扫描程序通过用插件的方法来执行扫描，通过添加新的插件就可以使扫描产品

增加新的功能，扫描更多的脆弱性。如果能够格式化插件的编写规范并予以公布，用户或者第三方就可

以自己编写插件来扩展扫描器的功能。插件技术可使扫描产品的结构清晰，升级维护变的相对简单，并

具有非常强的扩展性。目前，大多数扫描产品其实已采用了基于插件的技术，但各开发商自行规定接口

规范，还没有达到严格的规范水平。

专用脚本语言是一种更高级的插件技术，用户使用专用脚本语言可以大大扩展扫描器的功能。这些

脚本语言语法通常比较简单直观，十几行代码就可以定制一个安全漏洞的检测，为扫描器添加新的检测

项目。专用脚本语言的使用，简化了编写新插件的编程工作，使扩展扫描产品功能的工作变的更加方便，

能够更快跟上安全漏洞出现的速度。

网络拓扑扫描

网络拓扑扫描目前还被大多数扫描器所忽略。随着系统评估的愈发重要，网络拓扑结构正成为安全

体系中的一个重要因素。拓扑扫描能够识别网络上的各种设备以及设备的连接关系，能够识别子网或

VLAN的划分，能够发现网络的不合理连接，并以图形方式将这种结构展现在用户面前。

拓扑扫描能够在非法的网络接入，失效的网络隔离和网络异常中断等方面发挥关键作用，网络拓扑扫

描正成为安全评估的重要手段。

安全设备有效性检测

-7-

防火墙、入侵检测系统等安全设备已经取得了广泛的使用，这些安全设备的效果如何却很少引起人

们的关注和测试。以防火墙配置为例，如果它在交换（透明）模式（无IP地址）下工作，脆弱性扫描

产品将无法对它进行有效检测，防火墙工作有效与否就无从得知。未来的脆弱性扫描产品将会采用闭环

路式结构，能够接入防火墙的两端进行有效性测试，检测其访问控制措施、抗攻击措施是否与安全策略

一致。

支持CVE国际标准

在设计扫描程序或制定应对策略时，不同的厂商对漏洞的称谓完全不同。CVE是一个有关安全漏

洞和信息泄露标准名称的列表，CVE（CommonVulnerabilitiesandExposures）的目标是将众所周知的安

全漏洞和信息泄露的名称标准化。CVE的编委包括多个安全信息相关组织，由商业安全工具供应商、

学术界成员、研究机构、政府机构和安全专家组成。通过开放与合作的讨论，这些组织将决定哪些安全

漏洞和信息泄露问题将被包括在CVE中，然后在决定它们的通用名称和对这些条目的描述。

软件固化和安全的OS平台

由于脆弱性扫描产品是模拟攻击举动的安全工具，这就对该类产品自身的安全性提出了要求。产品

本身的安全性主要指产品的抗攻击性能，如果软件本身或者软件的运行平台无法保证安全性，扫描器就

有可能感染病毒、木马等有害程序，影响用户的使用。由于软件产品无法杜绝被感染的可能，脆弱性扫

描产品正在向硬件化的方向发展，高档产品还在FLASH、文件系统、通信接口等方面采用非通用程序，

以彻底杜绝被恶意程序攻击和感染的可能。

支持分布式扫描

目前的用户网络越来越复杂，没有划分VLAN的单一网络越来越少见。多个子网之间一般都有访问

限制，不同子网之间还设有防火墙。这些限制会对跨网段的扫描产生影响，使扫描结果不准确。今后的

扫描产品必须能够进行分布式扫描，以便对网络接点进行彻底、全面的检查。

2.2.2与等级保护的关系

原标准《GB/T20278-2006信息安全技术网络脆弱性扫描产品技术要求》在制定时没有考虑与

《GB/T20271-2006信息安全技术信息系统通用安全技术要求》和《GB/T22239-2008信息安全技术

信息系统安全等级保护基本要求》之间的相互关系。该类标准只是将网络脆弱性扫描产品粗分为基本级

和增强级两个级别，且与“基本要求”和“通用要求”中的划分没有对应关系，不利于该类产品在系统

等级保护推行中产品选择方面的有效对应。《GB/T22239-2008信息安全技术信息系统安全等级保护

基本要求》的网络安全管理，从第一级就要求“定期进行网络系统漏洞扫描，对发现的网络系统安全漏

洞进行及时的修补”，《GB/T20271-2006信息安全技术信息系统通用安全技术要求》中的信息系统安

-8-

全性检测分析，从第二级开始要求“操作系统安全性检测分析、数据库管理系统安全性检测分析、网络

系统安全性检测分析、应用系统安全性检测分析和硬件系统安全性检测分析的要求，运用有关工具，检

测所选用和/或开发的操作系统、数据库管理系统、网络系统、应用系统、硬件系统的安全性，并通过

对检测结果的分析，按系统审计保护级的要求，对存在的安全问题加以改进。”

本次在对原标准的修订过程中，对于产品本身的安全保护要求，主要参考了GB/T17859-1999、GB/T

20271-2006、GB/T18336-2008、GB/T22239-2008等，以等级保护的思路编写制定了自身安全功能要求

和保证要求。对于产品提供服务功能的安全保护能力方面，现阶段是以产品功能强弱以及配合等级保护

安全、审计等要素进行分级的。通过对标准意见的不断收集以及修改，将产品提供的功能与等级保护安

全要素产生更密切的联系，以便有能力参与到系统等级保护相关要素的保护措施中去。

2.2.3与原标准的区别

1)标准结构更加清晰规范，全文按照产品安全功能要求、自身安全功能要求和安全保证要求三部

分进行整理修订，与其他信息安全产品标准的编写结构保持一致。

2）删除原标准中性能部分的要求，将原来有关扫描速度、稳定性和容错性，以及脆弱性发现能力

等重新整理，作为功能部分予以要求，同时，考虑到原来对于误报率和漏报滤的模糊描述以及实际测试

的操作性较差，删除了这两项内容的要求。

3）对于产品功能要求的逻辑结构进行重新整理，按照信息获取，端口扫描，脆弱性扫描，报告的

先后顺序进行修订，使得产品的功能要求在描述上逐步递进，易于读者的理解，并且结合产品的功能强

弱进行分级。

4)对于产品的自身安全功能要求和安全保证要求，充分参考了等级保护的要求，对其进行了重新

分级，使得该标准在应用时更能有效指导产品的开发和检测，使得产品能更加有效的应用于系统的等级

保护工作。

5）将标准名称修改为《信息安全技术网络脆弱性扫描产品安全技术要求》，增加了“安全”二字，

体现出这个标准的内容是规定了产品的安全要求，而非其它电器、尺寸、环境等标准要求。

6）将原标准中“网络脆弱性扫描”的定义修改为“通过网络对目标网络系统安全隐患进行远程探

测的过程，它对网络系统进行安全脆弱性检测和分析，从而发现可能被入侵者利用的漏洞，并可以提出

一定的防范和补救措施建议。”作为扫描类产品，在发现系统脆弱性的同时，还要求“能够采取一定的

补救措施。”这显然是不合理的，而且这也不应该是该类产品需要具备的功能，所以将产品定义的最后

修改为“并可以提出一定的防范和补救措施建议。”，提出补救建议就足够了。

7）删除了原标准中的“数据库脆弱性”，数据库的安全性要求很多，现在市场上已经出现了专门

针对数据库安全性扫描的一类产品，该要求不应该作为本产品中具备的一个小项提出，故将其删除。

-9-

8）删除了原标准中的“安装与操作控制”，该要求涉及的内容属于产品的安装与使用，不是产品

应具备的功能要求，故删除，新标准修订后在产品的安全保证要求中有所提及。

9）删除了原标准中的“与IDS产品的互动”、“与防火墙产品的互动”、“与其它应用程序之间的互

动”，如果脆弱性扫描产品作为一套完整的大型系统中的一部分，要求具备这些可以与IDS、防火墙等

联动的功能是非常有必要的，当扫描设备发现网络系统中存在某些脆弱性后，可以与其他设备联动进行

自动