GBT20280-2006 信息安全技术 网络脆弱性扫描产品测试评价方法

范围 本标准规定了对采用传输控制协议和网际协议（TCP/IP）的网络脆弱性扫描产品的测试、评价方法。 本标准适用于对计算机信息系统进行人工或自动的网络騰弱性扫描的安全产品的评测、研发和应用。 本标准不适用于专门对数据库系统进行脆弱性扫描的产品。 2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。 GB/T 5271，8-2001 信息技术 词汇 第8部分：安全（idt ISO/IEC 2382-8：1998） GB/T 20278-2006 信息安全技术 网络脆弱性扫描产品安全技术要求3 术语和定义 GB/T 5271.8-2001和GB/T 20278-2006确立的术语和定义适用于本标准。 符号、缩略语和记法约定 4.1 符号和缩略语 CGI公共网关接口 Common Gateway Interface CVE通用魔弱性知识库 Common Vulnerabilities and Exposures DNS域名系统 Domain Name System DOS拒绝服务 Denial Of Service FTP文件传输协议 File Transfer Protocol IDS人侵检测系統 Intrusion Detection System IP网际协议 Internet Protacol NETBIOS网络基本输入输出系统 NETwork Basic Input Output System NFSPOPRPC网络文件系统 邮局协议 远程过程调用 SMB服务器消息块协议 SNMP简单网络管理协议 TCP传输控制协议 Network File System Post Office Protocol Remote Procedure Call Server Message Block Protocol Simple Network Management Protocol Transport Control Protocol UDP用户数据报协议 User Datagram Protocol 4.2 记法约定 a） 选择：用于从对某一功能要求的陈述中突出一个或多个选项，用带下划线的斜体字表示。 b） 说明：本标准对网络脆弱性扫描产品测评进行了分级论述。本标准中的规定，凡未特殊说明，均为基本型产品要求，增强型产品的测评项目、测试内容和测试评价结果用斜体字表示。 56网络脆弱性扫描产品概述 网络脆弱性扫描产品的简介、体系结构及产品分级见GB/T 20278-2006的第5章和附录A测试环境 网络脆弱性扫描产品测试环境如图1，图1中各项设备的作用见表1： 7.1 基本型 7.1.1 基本功能 7.1.1.1 自身安全性要求 7.1.1.1.1 身份鉴别 a）评价内容：见 GB/T 20278—2006 中 7.2.1 的内容，b）测试评价方法： 1）根据网络脆弱性扫描产品版本发行说明、管理员手册、配置管理文档等，启动图1中网络脆弱性扫描产品A 和 B 71.112通管理 评价根据网络脆弱性扫描产品版本发行说明、用户手册、高层设计文档、测试文档等，启动图1中网络脆弱性扫描产品A和B，进行管理配置、启动扫描等操作；c）测试评价结果：记录测试结果并对该结果是否符合测试评价方法要求作出判断，如网络脆弱性扫描 晶是否能够限制产品可扫描的具体IP地址。 7.1.1.1.3 敏感信息保护 aל 评价内容：见GB/T 20278-2006 中7.2.3 的内容；b）测试评价方法根据网络脆弱性扫描产品版本发行说明、用户手册、高层设计文档、测试文档等，启动图1中网络脆弱性扫描产品A和B，进行管理配置、启动扫描等操作；c）测试评价结果：记录测试结果并对该结果是否符合测试评价方法要求作出判断，如是否对策略信息进有加密、敏感信息规避等。 7.1.1.1.4 软件使用记录 a）评价内容，观GB/T 20278—2006 中 7.2.4 的内容，b）测试评价方法：根据网络脆弱性扫描产品版本发行说明、用户手册、管理员手册等，启动图1中据网络脆弱性扫描产品 A 和 B，进行下列操作，观察日志变化1）管理员登录； 2）扫描操作过程心 3）扫描结果分析处理； 4）产品升级；5）其他使用。 c） 测试评价结果：记录测试结果并对该结果是否符合测试评价方法要求作出判断， 7.1.1.1.6 扫描结果安全 a）评价内容：见 GB/T 20278——2006 中 7.2.6 的内容。 b）测试评价方法： 1）根据网络脆弱性扫描产品版本发行说明、用户手册、管理员手册、高层设计文档、低层设计文档等，启动图 1 中网络脆弱性扫描产品 A 和 B.执行扫描功能； 2）直接利用数据库工具查证扫描结果； 3）对扫描结果进行导入、导出及删除操作。 c）测试评价结果：记录测试结果并对该结果是否符合测试评价方法要求作出判断， 7.1.1.2 安全功能要求 7.1.1.2.1 脆弱性扫描 a）评价内容：见 GB/T 20278—2006 中 7.3.1 的内容。 b）测试评价方法： 1）根据网络脆弱性扫描产品版本发行说明、安装手册、用户手册、管理员手册、配置管理文档、测试文档、高层设计文档等，确定测试对象（产品、扫描对象等），按照 GB/T20278— 2006 中 7.3.1 及其注解给出的细节，分别编写测试用例。 2）对照测试用例，目标主机分别安装并启动相应的应用程序，启动图1中网络脆弱性扫描产品 A 和 B，分别对被扫描机器进行扫描，并根据扫描结果，手工对比网络脆弱性扫描产品是否能够正确的发现危险或不合理的配置等安全问题，并能提出相应的安全性建议。 3）检查扫描结果中详细描述是否准确。 4）按产品提供的安全性建议进行脆弱性修复后，再次进行测试，检查产品是否报告相应的脆弱性。 e）测试评价结果：记录测试结果并对该结果是否符合测试评价方法要求作出判断。 7.1.1.2.2 网络旁路检查 a）评价内容：见 GB/T 20278—2006 中 7.3.2 的内容。 b）测试评价方法： 1）在被扫描的网络环境中，配置一个拨号上网或代理服务器或其他网络旁路服务； 2）根据管理员手册、用户手册等，启动图 1 中网络脆弱性扫描产品 B，查看扫播结果是否能够发现网络旁路服务。 c）测试评价结果：记录测试结果并对该结果是否符合测试评价方法要求作出判断。 7.1.1.2.3 信息获取 a）评价内容：见 GB/T 20278—2006 中 7.3.3 的内容。 b）测试评价方法： 1）根据管理员手册和用户手册等，启动图 1 中网络脆弱性扫描产品 A 和 B.对以下条目进行扫描： ——操作系统，包括类型、版本号等；