GBT20278-2006 信息安全技术 网络脆弱性扫描产品技术要求

GBT20278-2006 信息安全技术 网络脆弱性扫描产品技术要求 范围 本标准规定了采用传输控制协议和网际协议（TCP/IP）的网络脆弱性扫描产品的技术要求，提出网络脆弱性扫描产品实现的安全目标及环境，给出产品基本功能、增强功能和安全保证要求，本标准适用于通过网络对系统和设备进行脆弱性扫描的安全产品的研制、生产和认证。 本标准不适用于专门对数据库系统进行脆弱性扫描的产品。 2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适合于木标准，然而，鼓励根据木标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。 GB/T 5271.8-2001 信息技术 词汇 第 8 部分：安全（idt ISO/IEC 2382-8：1998） 扫描 sean使用脆弱性扫描产品进行探测，找到网络中的主机系统存在的安全隐患的过程。 3.2威胁 threat可能对网络系统和设备或网络所有者造成损害的事故的潜在原因。 3.3脆弱性 vulnerability网络系统和设备中能被利用并造成危害的弱点。 3.4宿主机 local host运行网络脆弱性扫描产品的计算机。 3.5目标主机 target host网络脆弱性扫描产品对其进行风险分析的计算机. 3.6网络脆弱性扫描 network volnerability sean通过网络远程检测目标网络系统安全隐患的探测过程，它对网络系统和设备进行安全脆弱性检测和分析，从而发现可能被人侵者利用的漏洞，并采取一定的防范和补救措施。 3.7网络脆弱性扫描产品 network vulnerability scanner能够完成网络脆弱性扫描功能的产品。 3.8误报 false positives报告了不存在的脆弱性。 3.9漏报 false negatives没有报告出实际存在的脆弱性。 3.10旗标 banner由应用程序发送的一段讯息，通常包括欢迎语、应用程序名称和版本等信息。 4 缩略语和记法约定 4.1 缩略语 CGI公共网关接口 Common Gateway Interface CVE通用脆弱性知识库 Common Vulnerabilities and Exposures DNS域名系统 Domain Name System DOS拒绝服务 Denia！Of Service FTP文件传输协议 File Transfer Protocol TDS人侵检测系統 Intrusion Detection System NFS网络文件系统 Network File System POPRPCSMB邮局协议 Post Office Protocol远程过程调用 Remote Procedure Call服务器消息块协议 Server Message Block Protocol SNMP简单网络管理协议 Simple Network Management Protocol TCP传输控制协议 Transport Control Protocol UDP用户数据报协议 User Datagram Protocol 4.2 记法约定 本标准对网络脆弱性扫描产品进行了分级。本标准中的规定，凡未特殊说明，均为基本型产品要求，对于增强型产品的要求，标准中将进行特殊说明或用斜体表示。 5 网络脆弱性扫描产品分级 5.1 基本型 该级的网络脆弱性扫描产品应具备7.1及9.1中规定的基本功能要求和保证要求。 5.2 增强型 该级的网络脆弱性扫描产品除满足基本型产品各项要求外，还必须符合7.7及9.2中规定的扩展功能和保证要求。 6 使用环境 宿主机与目标主机应处于连通状态，且宿主机应满足网络脆弱性扫描产品的软硬件配置要求。 7.2 自身安全要求7.2.1 身份鉴别 只有授权管理员才能使用网络脆弱性扫描产品的完整功能，对于授权管理员、普通管理员和审计员至少采用一种身份鉴别方式（例如：用户名和口令）对其进行身份鉴别。 7.2.2 适用限制 网络脆弱性扫描产品应提供对产品扫描范围进行限制的手段，如限制产品可扫描的具体 IP 地址。 7.2.3 敏感信息保护 策略定制时，一些敏感信息可能被涉及，应采取相应措施来保证敏感信息的机密性和完整性，例如对用户口令进行加密存储。 7.2.4 软件使用记录 对软件的以下使用应有完整的日志记录，使于审计跟踪和分析： 管理员登录；b）扫描操作过程；c）扫描结果分析处理；d）产品升级；e）其他使用。 7.2.5 扫描数据包标记 网络脆弱性扫描产品扫描数据包应具备厂商自身特征，并将特征公开。 7.2.6 扫描结果安全 应采取相应措施来保证扫描结果的机密性和完整性，扫描结果应能够导人、导出及删除。 7.3 安全功能要求 7.3.1 脆弱性扫描 7.3.1.1 浏览器脆弱性 检查和浏览器安全相关的信息和配置，发现危险或不合理的配置，并提出相应的安全性建议。检查项目应包括： a）浏览器版本号. b）浏览器安全设置，包括： 1）ActiveX 控件和插件； 2）Cookies 设置； 3）Java 权限设置； 4）脚本设置；5）下载设置； 6）用户登录验证设置； 7）其他设置。 e）其他由于操作系统或软件未升级带来的安全隐忠。 7.3.1.2 邮件服务脆弱性 检查使用了rOP3、SMTP等电子邮件相关协议的服务程序的安全问题，检查项目应包括： 1）设计错误； 2）对输入缺乏合法性检查； 3）不能正确处理异常情况。 c）服务器的危险或错误配置： 1）是否允许 EXPN 和 VRFY 命令； 2）是否允许邮件转发； 3）其他安全配置。 d）其他由于操作系统或软件未升级带来的安全隐患。 7.3.1.3 FTP 服务脆弱性检查使用了FTP协议的服务程序的安全问题，检查项目应包括b）服务程序本身的脆弱性。 a）服务程序旗标、版本号. 1）设计错误； 2）对输入缺乏合法性检查；3）不能正确处理异常情况。 c）服务器的危险或错误配置： 1）是否允许匿名登录； 2）是否使用了默认口令； 3）是否允许危险命令， 4）其他安全配置。 d）.其他由于操作系统或软件未升级带来的安全隐患。