中国标准英文版 数据库收录: 159759 更新: 2024-03-28

GB/T 20278-2013

标准搜索结果: 'GB/T 20278-2013'
标准号码内文价格美元第2步(购买)交付天数标准名称相关标准状态
GB/T 20278-2013 英文版 125 GB/T 20278-2013 3分钟内自动发货[PDF],有增值税发票。 信息安全技术 网络脆弱性扫描产品安全技术要求 GB/T 20278-2013 作废

基本信息
标准编号 GB/T 20278-2013 (GB/T20278-2013)
中文名称 信息安全技术 网络脆弱性扫描产品安全技术要求
英文名称 Information security technology - Security technical requirements for network vulnerability scanners
行业 国家标准 (推荐)
中标分类 L80
国际标准分类 35.040
字数估计 42,464
旧标准 (被替代) GB/T 20278-2006
引用标准 GB 17859-1999; GB/T 18336.3-2008; GB/T 25069-2010
起草单位 公安部计算机信息系统安全产品质量监督检验中心
归口单位 全国信息安全标准化技术委员会
标准依据 国家标准公告2013年第27号
提出机构 全国信息安全标准化技术委员会(SAC/TC 260)
发布机构 中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会
范围 本标准规定了网络脆弱性扫描产品的安全功能要求、自身安全要求和安全保证要求, 并根据安全技术要求的不同对网络脆弱性扫描产品进行了分级。本标准适用于网络脆弱性扫描产品的研制、生产和检测。

GB/T 20278-2013: 信息安全技术 网络脆弱性扫描产品安全技术要求
GB/T 20278-2013 英文名称: Information security technology -- Security technical requirements for network vulnerability scanners
ICS 35.040
L80
中华人民共和国国家标准
代替GB/T 20278-2006
信息安全技术
网络脆弱性扫描产品安全技术要求
1 范围
本标准规定了网络脆弱性扫描产品的安全功能要求、自身安全要求和安全保证要求,并根据安全技
术要求的不同对网络脆弱性扫描产品进行了分级。
本标准适用于网络脆弱性扫描产品的研制、生产和检测。
5 网络脆弱性扫描产品等级划分
5.1 等级划分说明
5.1.1 基本级
本级规定了网络脆弱性扫描产品的基本功能要求,通过一定的用户标识和身份鉴别限制对产品功
能的使用和数据访问的控制,使产品具备自主安全保护的能力,保证网络脆弱性扫描产品的正常运行,
具备审计功能要求,使得管理员的各项操作行为和扫描事件都是可追踪的。通过扫描信息的获取,针对
扫描结果提供基本的分析处理能力,并生成报告。其自身安全要求依据GB 17859-1999中系统审计
保护级的相关要求,安全保证要求依据GB/T 18336.3-2008中规定的EAL2级要求。
5.1.2 增强级
本级的网络脆弱性扫描产品除具备上述基本级要求的全部内容以外,对管理员进一步划分了不同
的安全管理角色,以细化对产品管理权限的控制,同时,还增加了扫描结果的导入导出,扫描结果的比
对、已知账号/口令下的扫描、升级安全措施、扫描IP地址限制、互动性要求、审计存储安全等内容,使得
产品具备的功能要求更加全面,使用更加方便。产品自身安全要求依据GB 17859-1999中安全标记
保护级的相关要求,产品的安全保证要求覆盖了产品从开发到使用的全部阶段,依据GB/T 18336.3-
2008中规定的EAL4级要求,并在此基础上,将脆弱性分析要求提升到可以抵御中等攻击潜力的攻击者发起的攻击。
5.2 等级划分
网络脆弱性扫描产品的等级划分如表1、表2和表3所示。对网络脆弱性扫描产品的等级评定是
依据这三个表格综合评定得出的,符合基本级的网络脆弱性扫描产品应满足表1、表2和表3中所标明
的基本级产品应满足的所有项目;符合增强级的网络脆弱性扫描产品应满足表1、表2和表3所标明的
增强级产品应满足的所有项目。
6 使用环境
网络脆弱性扫描产品与被扫描系统的各网络设备或者主机应处于连通状态,中途无其他网络安全设备的防护。
7 基本级安全技术要求
7.1 安全功能要求
7.1.1 信息获取
7.1.1.1 端口扫描
7.1.1.1.1 TCP端口网络脆弱性扫描产品应能扫描所有TCP端口,检查其是否开启。
7.1.1.1.2 UDP端口网络脆弱性扫描产品应能扫描所有UDP端口,检查其是否开启。
7.1.1.1.3 端口协议分析
就扫描得到的已开启的TCP/UDP端口,网络脆弱性扫描产品应能判断相应端口对应的通用服务或使用的协议。
7.1.1.2 操作系统探测网络脆弱性扫描产品应能对操作系统类型和版本号进行探测。
7.1.1.3 服务旗标网络脆弱性扫描产品应能获取已开启的各项常用服务的旗标。
7.1.1.4 其他信息网络脆弱性扫描产品应能对其他信息进行探测,例如网络配置信息、运行状态信息等。
7.1.2 脆弱性扫描内容
7.1.2.1 浏览器脆弱性
网络脆弱性扫描产品应能检查与浏览器安全相关的信息和配置,发现危险或不合理的配置,并提出
相应的安全性建议。检查项目应包括:
a) 浏览器版本号;
b) 浏览器安全设置;
c) 浏览器自身脆弱性;
d) 其他安全隐患。
7.1.2.2 邮件服务脆弱性
网络脆弱性扫描产品应能检查使用了POP3、SMTP等电子邮件相关协议的服务程序的安全问题,
检查项目应包括:
a) 服务程序旗标和版本号。
b) 服务程序本身的脆弱性,包括:
---对输入缺乏合法性检查;
---不能正确处理异常情况。
c) 服务器的危险或错误配置,包括:
---允许EXPN和VRFY命令;
---允许邮件转发;
---其他不安全配置。
d) 其他安全隐患。
7.1.2.3 FTP服务脆弱性
网络脆弱性扫描产品应能检查使用了FTP协议的服务程序的安全问题,检查项目应包括:
a) 服务程序旗标和版本号。
b) 服务程序本身的脆弱性,包括:
---对输入缺乏合法性检查;
---不能正确处理异常情况。
c) 服务器的危险或错误配置,包括:
---允许匿名登录;
---使用了默认口令;
---允许危险命令;
---其他不安全配置。
d) 其他安全隐患。
7.1.2.4 Web服务脆弱性
网络脆弱性扫描产品应能检查提供 Web服务程序的安全问题,检查项目应包括:
a) 服务程序旗标和版本号。
b) 服务程序本身的脆弱性,包括:
---对输入缺乏合法性检查;
---不能正确处理异常情况。
c) 服务器上运行的脚本及CGI程序的脆弱性。
d) 服务器的危险或错误配置,包括:
---文件属性错误;
---目录属性错误;
---其他不安全配置。
e) 其他安全隐患。
7.1.2.5 DNS服务脆弱性
网络脆弱性扫描产品应能检查DNS服务的安全问题,检查项目应包括:
a) 服务程序旗标和版本号。
b) 服务程序本身的脆弱性,包括:
---对输入缺乏合法性检查;
---不能正确处理异常情况。
c) 其他安全隐患。
7.1.2.6 其他已知TCP/IP服务脆弱性
网络脆弱性扫描产品应能检查其他使用了TCP/IP协议的服务程序的安全问题,检查项目应包括:
a) 服务程序旗标和版本号。
b) 服务程序本身的脆弱性,包括:
---对输入缺乏合法性检查;
---不能正确处理异常情况。
c) 服务程序的错误配置。
7.1.2.7 RPC服务的脆弱性
网络脆弱性扫描产品应能检查使用了RPC协议的服务程序的安全问题,检查是否开启了危险的RPC服务。
7.1.2.8 SNMP服务的脆弱性
网络脆弱性扫描产品应能检查使用了SNMP协议的服务程序的安全问题,检查项目应包括:
a) SNMP口令脆弱性检查。
b) 检查SNMP服务是否会暴露下列系统敏感信息,包括:
7.1.2.9 弱口令
网络脆弱性扫描产品应能采用字典或穷举等方法检查系统用户口令的健壮性,检查项目应包括:
---系统是否使用了用户名称经过简单变换后的口令;
---系统是否使用了易猜测口令。
7.1.2.10 Windows操作系统用户、组、口令、共享、注册表等脆弱性
网络脆弱性扫描产品应能检查 Windows操作系统特有的一些脆弱性,检查项目应包括:
a) 系统安全设置,包括:
---注册表项目访问权限设置;
---审核策略设置;
---系统口令策略设置。
b) 操作系统版本和补丁安装情况检查。
c) 其他相关检查。
7.1.2.11 木马
网络脆弱性扫描产品应能检查常见木马使用的默认端口是否开启,并对扫描得到的开启端口进行
测试分析,对未知服务和已知木马做出警告。
7.1.2.12 NFS服务脆弱性
网络脆弱性扫描产品应能检查NFS服务相关的脆弱性。
7.1.2.13 路由器/交换机脆弱性
网络脆弱性扫描产品应能检查路由器、交换机及其开启服务相关的脆弱性。
7.1.2.14 DoS攻击脆弱性
网络脆弱性扫描产品应能使用实际攻击手法对目标主机进行真实的攻击,以检查目标主机对已知
DoS攻击的抵御能力。
7.1.2.15 文件共享
网络脆弱性扫描产品应能检查使用的NETBIOS或SMB共享,发现危险的设置,检查项目应包括:
a) 重要目录被共享;
b) 共享目录可被匿名用户写入;
c) 是否使用了缺省或过于简单的共享口令;
d) SAMBA服务器软件的版本号。
7.1.3 扫描结果分析处理
7.1.3.1 结果入库扫描结果应能写入结果数据库。
7.1.3.2 报告生成
网络脆弱性扫描产品应能根据扫描结果生成相应的报告,报告具备要求包括如下内容:
a) 各脆弱点的CVE号、详细信息、补救建议等;
b) 目标的风险等级评估,将扫描脆弱点按风险严重程度分级,并明确标出;
c) 多个目标扫描后的结果的总体报告;
d) 对关键的脆弱性扫描信息可生成摘要报告。
7.1.3.3 报告输出报告应可输出为通用的文档格式,例如PDF、DOC、HTML等。
7.1.3.4 结果浏览网络脆弱性扫描产品应提供扫描结果浏览功能。
7.1.3.5 脆弱性修补建议
网络脆弱性扫描产品应能对发现的脆弱性提出修补建议,脆弱性修补建议应满足下列要求:
a) 对不同的操作系统类型提出针对性的脆弱性修补方法;
b) 脆弱性描述应详细,提供的脆弱性修补方法应确保其合理性和可用性。
7.1.4 扫描配置
7.1.4.1 扫描策略
网络脆弱性扫描产品应提供方便的定制策略的方法,可以指定扫描地址范围、端口范围、脆弱性类型等。
7.1.4.2 计划任务
网络脆弱性扫描产品应能定制扫描计划,可以定时启动或者按周期执行扫描任务。
7.1.5 扫描对象的安全性
7.1.5.1 对目标系统所在网络性能的影响扫描应不影响网络的正常工作。
7.1.5.2 对目标系统的影响
扫描应不影响目标系统的正常工作,避免使用攻击方法进行测试;在使用某些可能对目标系统产生
不良后果的扫描手段时(如使用DoS攻击等测试手段),网络脆弱性扫描产品应在测试开始前给目标系
统或者目标系统管理员明确的提示。
7.1.6 升级能力
网络脆弱性扫描产品应能够对脆弱性特征库进行更新:
a) 产品体系结构的设计应有利于产品的升级,方便升级操作;
b) 支持手动或者自动升级操作。
7.1.7 扫描速度
网络脆弱性扫描产品应提供合理的扫描速度,可通过调整扫描线程或进程数目等方法对扫描速度进行调节。
7.2 自身安全要求
7.2.1 标识与鉴别
7.2.1.1 用户标识
7.2.1.1.1 属性定义
网络脆弱性扫描产品应为每个管理角色规定与之相关的安全属性,例如管理角色标识、鉴别信息、隶属组、权限等。
7.2.1.1.2 属性初始化
网络脆弱性扫描产品应提供使用默认值对创建的每个管理角色的属性进行初始化的能力。
7.2.1.1.3 唯一性标识
网络脆弱性扫描产品应为用户提供唯一标识,同时将用户的身份标识与该用户的所有可审计能力相关联。
7.2.1.2 身份鉴别
7.2.1.2.1 基本鉴别网络脆弱性扫描产品应在执行任何与管理员相关功能之前鉴别用户的身份。
7.2.1.2.2 鉴别数据保护网络脆弱性扫描产品应保证鉴别数据不被未授权查阅或修改。
7.2.2 安全管理
7.2.2.1 安全管理功能网络脆弱性扫描产品应保证授权管理员具备以下管理权限:
a) 查看安全属性;
b) 修改安全属性;
c) 启动、关闭全部或部分安全功能;
d......
   
       隐私   ·  优质产品   ·  退款政策   ·  公平交易   ·  关于我们
宁德梧三商贸有限公司 (营业执照期限:2019-2049年. 纳税人识别号:91350900MA32WE2Q2X)
对公账号开户银行:中国建设银行 | 账户名称:宁德梧三商贸有限公司 | 账户号码:35050168730700000955
本公司专职于中国国家标准行业标准英文版