信息技术网络安全漏洞扫描产品技术要求.doc

ICS中华人民共和国公共平安行业标准GA/T ××××— xxxx信息技术网络平安漏洞扫描产品技术要求Information technology— Technical requirements for vulnerability scanner ofnetwork security〔报批稿〕××××-××-××发布 ××××-××-××实施中华人民共和国公安部 发布目 次前 言..............................................................................II引 言.............................................................................III1 范围.................................................................................12 标准性引用文件.......................................................................13 术语和定义...........................................................................14 缩略语和记法约定.....................................................................14.1 缩略语..............................................................................14.2 记法约定............................................................................15 网络平安漏洞扫描产品概述.............................................................25.1 引言................................................................................25.2 系统组成、结构......................................................................25.3 产品分级............................................................................25.4 使用环境............................................................................36 功能要求.............................................................................36.1 根本级网络平安漏洞扫描产品功能组件..................................................36.2 自身平安功能要求....................................................................36.3 平安功能要求........................................................................36.4 管理功能要求........................................................................77 性能要求.............................................................................77.1 速度................................................................................87.2 稳定性和容错性......................................................................87.3 漏洞发现能力........................................................................87.4 误报率..............................................................................87.5 漏报率..............................................................................88 增强级网络平安漏洞扫描产品扩展技术要求...............................................88.1 自主访问控制........................................................................88.2 身份鉴别............................................................................88.3 客体重用............................................................................98.4 数据完整性..........................................................................98.5 审计................................................................................98.6 功能要求............................................................................99 平安保证要求........................................................................109.1 配置管理保证.......................................................................109.2 交付和操作保证.....................................................................109.3 开发过程保证.......................................................................109.4 指南文件保证.......................................................................109.5 测试保证...........................................................................119.6 脆弱性分析保证.....................................................................11前 言本标准由公安部公共信息网络平安监察局提出。

本标准由公安部信息系统平安标准化技术委员会归口本标准由北京中科网威信息技术、公安部第三研究所负责起草本标准主要起草人：清黛、潘玉珣、杨威、余立新、肖江、刘兵、丁宇征引 言本标准规定了网络平安漏洞扫描产品的技术要求，提出了该类产品应具备的功能要求、性能要求和平安保证要求并根据功能和性能要求的不同将网络平安漏洞扫描产品进行了分级本标准的目的是为网络平安漏洞扫描产品的研制、开发、测评和采购提供技术支持和指导使用符合本标准的网络平安漏洞扫描产品可对网络进行脆弱性检查，对发现的平安隐患提出解决建议，从而提高网络系统的平安性信息技术 网络平安漏洞扫描产品技术要求1 范围本标准规定了采用传输控制协议/网间协议〔TCP/IP〕的网络平安漏洞扫描产品的功能要求、性能要求、增强级产品扩展技术要求和平安保证要求本标准适用于对计算机信息系统进行人工或自动漏洞扫描的平安产品的研制、开发、测评和采购2 标准性引用文件以下文件中的条款通过本标准的引用而成为本标准的条款但凡注日期的引用文件，其随后所有的修改单〔不包括勘误的内容〕或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。

但凡不注日期的引用文件，其最新版本适用于本标准GB/T 5271.8-2001 信息技术 词汇 第8局部：平安〔idt ISO/IEC 2382-8:1998〕3 术语和定义中确立的及以下术语适用于本标准3.1 误报 false positives由于漏洞扫描产品本身的缺陷或不完善导致产品输出了错误扫描结果的现象3.2 漏报 false negatives由于漏洞扫描产品本身的缺陷或不完善导致某些实际存在的平安漏洞未被探测到的现象4 缩略语和记法约定4.1 缩略语CGI 公共网关接口 Common Gateway InterfaceDNS 域名系统 Domain Name SystemDOS 拒绝效劳 Denial Of ServiceFTP 文件传送协议 File Transfer ProtocolHTTP 超文本传送协议 Hypertext Transfer ProtocolTCP 传输控制协议 Transmission Control ProtocolIP 网间协议 Internet ProtocolUDP 用户数据报协议 User Datagram ProtocolNETBIOS 网络根本输入输出系统 NETwork Basic Input Outpu。