1、ICS 35.040L 80 中 华 人 民 共 和 国 国 家 标 准GB/T 20278XXXX代替 GB/T 20278-2006 信息安全技术信息安全技术 网络脆弱性扫描产品安全技术要求Information security technology Security technique requirement for network vulnerability scanners 在提交反馈意见时,请将您知道的相关专利连同支持性文件一并附上(征求意见稿)(本稿完成日期:2012-09-20)XXXX - XX - XX 发布 XXXX - XX - XX 实施GB/T 20278XXXX
2、I目 次前言 II1 范围 12 规范性引用文件 13 术语和定义 14 缩略语 15 网络脆弱性扫描产品等级划分 25.1 等级划分说明 25.2 等级划分 26 使用环境 57 基本级安全技术要求 57.1 安全功能要求 57.2 自身安全功能要求 .107.3 安全保证要求 .108 增强级安全技术要求 .118.1 安全功能要求 .118.2 自身安全功能要求 .178.3 安全保证要求 .18参考文献 23GB/T 20278XXXXII前 言本标准按照GB/T 1.1-2009给出的规则起草。本标准代替GB/T 20278-2006信息安全技术 网络脆弱性扫描产品技术要求。本标准与
3、GB/T 20278-2006的主要差异如下:1) 标准名称修改为信息安全技术 网络脆弱性扫描产品安全技术要求;2) 将GB/T 20278-2006中“网络脆弱性扫描”的定义修改为“提出一定的防范和补救措施建议。”;3) 删除了GB/T 20278-2006中的“NIS服务的脆弱性”;4) 删除了GB/T 20278-2006中的“数据库脆弱性”;5) 删除了GB/T 20278-2006中的“RPC端口”;6) 删除了GB/T 20278-2006中的“NT服务”;7) 删除了GB/T 20278-2006中的“报警功能”;8) 删除了GB/T 20278-2006中的“安装与操作控制”;
4、9) 删除了GB/T 20278-2006中的“与IDS 产品的互动”、“与防火墙产品的互动”、“与其它应用程序之间的互动”; 10) 删除了GB/T 20278-2006中的“性能要求”;11) 新增了在产品升级过程中要求对升级包的认证功能; 12) 新增了扫描结果的比对分析功能;13) 在产品自身安全要求中新增了鉴别数据保护、鉴别失败处理、超时锁定、远程管理等功能;14) 调整了标准的整体结构,按照产品功能要求、自身安全要求和保证要求三部分描述,同时,细化了产品自身安全的要求项,明确了审计功能要求的内容。本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本标准起草单位:
5、公安部计算机信息系统安全产品质量监督检验中心、启明星辰信息技术有限公司、北京中科网威信息技术有限公司、公安部网络安全保卫局。本标准主要起草人:邱郅华、顾健等。 GB/T 20278XXXX1信息安全技术 网络脆弱性扫描产品安全技术要求1 范围本标准规定了网络脆弱性扫描产品的安全功能要求、自身安全功能要求和安全保证要求,并根据安全技术要求的不同对网络脆弱性扫描产品进行了分级。本标准适用于网络脆弱性扫描产品的研制、生产和检测。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
6、GB/T 25069-2010 信息安全技术 术语GB 17859-1999 计算机信息系统安全保护划分准则3 术语和定义GB/T 25069-2010和GB 17859-1999中确立的及以下术语和定义适用于本文件。3.1 扫描 scan使用技术工具对目标系统进行探测,查找目标系统中存在的安全隐患的过程。3.2 脆弱性 vulnerability网络系统中可能被利用并造成危害的弱点。3.3 网络脆弱性扫描 network vulnerability scan通过网络对目标网络系统安全隐患进行远程探测的过程,它对网络系统进行安全脆弱性检测和分析,从而发现可能被入侵者利用的漏洞,并可以提出一定的
7、防范和补救措施建议。3.4 旗标 banner由应用程序发送的一段讯息,通常包括欢迎语、应用程序名称和版本等信息。 4 缩略语下列缩略语适用于本文件。 GB/T 20278XXXX2CGI DNS DoS公共网关接口 域名系统 拒绝服务(Common Gateway Interface)(Domain Name System)(Denial Of Service)FTP 文件传送协议 (File Transfer Protocol)HTTP 超文本传送协议 (Hypertext Transfer Protocol)TCP 传输控制协议 (Transmission Control Protoco
8、l)IP 网间协议 (Internet Protocol)UDPNETBIOS用户数据报协议网络基本输入输出系统(User Datagram Protocol)(NETwork Basic Input Output System)NFS 网络文件系统 (Network File System)POP3 邮局协议第三版 (Post Office Protocol 3)RPCSMB远程过程调用服务器消息块(Remote Procedure Call)(Server Message Block)SMTP 简单邮件传送协议 (Simple Mail Transfer Protocol)SNMP 简单网
9、络管理协议 (Simple Network Management Protocol)5 网络脆弱性扫描产品等级划分5.1 等级划分说明5.1.1 基本级本级规定了网络脆弱性扫描产品的基本功能要求,通过一定的用户标识和鉴别来限制对产品功能配置的使用和数据访问的控制,使用户具备自主安全保护的能力,保证网络脆弱性扫描产品的正常运行。通过扫描信息的获取,针对扫描结果提供基本的分析处理能力,并能生成报告,提出了基本的安全保证要求内容,以保证产品的正常使用。自身安全功能要求和安全保证要求参考了GB 178591999 计算机信息系统安全保护划分准则 第一级:用户自主保护级的相关要求。5.1.2 增强级本级
10、的网络脆弱性扫描产品除具备上述基本级产品要求的全部功能以外,对管理员进一步划分了不同的安全管理角色,以细化对产品管理权限的控制,加入了审计功能,使得管理员的各项操作行为都是可追踪的。同时,还增加了扫描结果的比对、已知帐号下的进一步扫描、升级安全、扫描IP地址限制、智能化扫描、互动性要求等内容,使得产品具备的功能要求更加全面,使用更加方便,产品自身的安全要求进一步提高,产品的安全保证要求也更加系统化,覆盖了产品开发到使用的全部阶段。自身安全功能要求和安全保证要求参考了GB 178591999 计算机信息系统安全保护划分准则 第二级:系统审计保护级相关要求。 5.2 等级划分网络脆弱性扫描产品的等
11、级划分如下表、表和表3 所示。对网络脆弱性扫描产品的等级评定是依据下面三个表格综合评定得出的,符合基本级的网络脆弱性扫描产品应满足表、表和表3中所表明的基本级产品应满足的所有项目;符合增强级的网络脆弱性扫描产品应满足表、表和表3所标明的增强级产品应满足的所有项目。GB/T 20278XXXX3表 1 安全功能要求等级划分表安全功能要求 基本级 增强级TCP端口 * *UDP端口 * *端口扫描端口协议分析 * *操作系统探测 * *服务旗标 * *信息获取其他信息 * *浏览器脆弱性 * *邮件服务脆弱性 * *FTP 服务脆弱性 * *Web 服务脆弱性 * *DNS 服务脆弱性 * *其他
12、已知 TCP/IP 服务脆弱性 * *RPC 服务的脆弱性 * *SNMP 服务的脆弱性 * *弱口令 * *Windows 操作系统用户、组、口令、共享、注册表等脆弱性 * *木马 * *NFS 服务脆弱性 * *路由器/交换机脆弱性 * *DoS 攻击脆弱性 * *脆弱性扫描内容文件共享 * *结果入库 * *结果导入导出 *报告生成 * *报告定制 *报告输出 * *结果浏览 * *脆弱性修补建议 * *扫描结果分析处理结果比对 *扫描策略 * *计划任务 * *扫描配置已知帐号/口令扫描 *对目标系统所在网络性能的影响 * *扫描对象的安全性 对目标系统的影响 * *升级能力 * *扫
13、描速度 * *扫描IP地址限制 *GB/T 20278XXXX4表 1(续)安全功能要求 基本级 增强级智能化 *互动性要求 *注:“*”表示具有该要求表 2 自身安全功能要求等级划分表自身安全功能要求 基本级 增强级属性定义 * *属性初始化 * *用户标识唯一性标识 * *基本鉴别 * *鉴别数据保护 * *鉴别失败处理 *标识与鉴别身份鉴别超时锁定或注销 *安全管理功能 * *易用性 * *角色管理 *安全管理远程管理 有则适用审计日志生成 *审计日志保存 *审计日志审计日志管理 *注:“*”表示具有该要求表 3 安全保证要求等级划分表安全保证要求 基本级 增强级版本号 * *配置项 *
14、配置管理能力授权控制 *配置管理配置管理覆盖 *交付程序 *交付与运行安装、生成和启动程序 * *非形式化功能规范 * *描述性高层设计 *高层设计安全加强的高层设计 *开发非形式化对应性证实 * *GB/T 20278XXXX5安全保证要求 基本级 增强级管理员指南 * *指导性文档用户指南 * *生命周期支持 *覆盖证据 *测试覆盖覆盖分析 *测试深度 *功能测试 *一致性 * *测试独立测试 抽样 *指南审查 *产品安全功能强度评估 *脆弱性分析保证开发者脆弱性分析 *注:“*”表示具有该要求注:基本级和增强级的具体要求分别进行描述,其中“加粗宋体字”表示增强级较基本级中增加的内容。6
15、使用环境网络脆弱性扫描产品与被扫描系统的各网络设备或者主机应处于连通状态,途中无其它网络安全设备的防护。7 基本级安全技术要求7.1 安全功能要求7.1.1 信息获取7.1.1.1 端口扫描7.1.1.1.1 TCP 端口网络脆弱性扫描产品应能扫描所有TCP端口,检查其是否开启。7.1.1.1.2 UDP 端口网络脆弱性扫描产品应能扫描所有UDP端口,检查其是否开启。7.1.1.1.3 端口协议分析就扫描得到的已开启的TCP/UDP端口,网络脆弱性扫描产品应能判断相应端口对应的通用服务或使用的协议。7.1.1.2 操作系统探测网络脆弱性扫描产品应能对操作系统类型和版本号进行探测。GB/T 20
16、278XXXX67.1.1.3 服务旗标网络脆弱性扫描产品应能获取已开启的各项常用服务的旗标。7.1.1.4 其他信息网络脆弱性扫描产品应能对其他信息进行探测,例如网络配置信息、运行状态信息等。7.1.2 脆弱性扫描内容7.1.2.1 浏览器脆弱性网络脆弱性扫描产品应能检查与浏览器安全相关的信息和配置,发现危险或不合理的配置,并提出 相应的安全性建议。检查项目应包括:a) 浏览器版本号;b) 浏览器安全设置;c) 浏览器自身脆弱性;d) 其他安全隐患。7.1.2.2 邮件服务脆弱性网络脆弱性扫描产品应能检查使用了POP3、SMTP等电子邮件相关协议的服务程序的安全问题,检查 项目应包括:a)
17、服务程序旗标和版本号;b) 服务程序本身的脆弱性,包括:对输入缺乏合法性检查;不能正确处理异常情况。c) 服务器的危险或错误配置,包括:是否允许 EXPN 和 VRFY 命令;是否允许邮件转发;其他安全配置。d) 其他安全隐患。7.1.2.3 FTP 服务脆弱性网络脆弱性扫描产品应能检查使用了FTP协议的服务程序的安全问题,检查项目应包括:a) 服务程序旗标和版本号;b) 服务程序本身的脆弱性,包括:对输入缺乏合法性检查;不能正确处理异常情况。c) 服务器的危险或错误配置,包括:是否允许匿名登录;是否使用了默认口令;是否允许危险命令;其他安全配置。d) 其他安全隐患。7.1.2.4 Web 服
18、务脆弱性GB/T 20278XXXX7网络脆弱性扫描产品应能检查使用了HTTP协议的服务程序的安全问题,检查项目应包括: a) 服务程序旗标和版本号;b) 服务程序本身的脆弱性,包括:对输入缺乏合法性检查;不能正确处理异常情况。c) 服务器上运行的脚本及 CGI 程序的脆弱性;d) 服务器的危险或错误配置,包括:文件属性错误;目录属性错误;其他安全配置。e) 其他安全隐患。7.1.2.5 DNS 服务脆弱性网络脆弱性扫描产品应能检查 DNS 服务的安全问题,检查项目应包括:a) 服务程序旗标和版本号;b) 服务程序本身的脆弱性,包括:对输入缺乏合法性检查;不能正确处理异常情况。c) 其他安全隐
19、患。7.1.2.6 其他已知 TCP/IP 服务脆弱性网络脆弱性扫描产品应能检查其他使用了TCP/IP协议的服务程序的安全问题,检查项目应包括:a) 服务程序旗标和版本号;b) 服务程序本身的脆弱性,包括:对输入缺乏合法性检查;不能正确处理异常情况。c) 服务程序的错误配置。7.1.2.7 RPC 服务的脆弱性网络脆弱性扫描产品应能检查使用了RPC 协议的服务程序的安全问题,检查是否开启了危险的RPC 服务。7.1.2.8 SNMP 服务的脆弱性网络脆弱性扫描产品应能检查使用了SNMP 协议的服务程序的安全问题,检查项目应包括:a) SNMP 口令脆弱性检查;b) 检查 SNMP 服务是否会暴
20、露下列系统敏感信息,包括:TCP 端口表;UDP 端口表;服务列表;进程列表;路由表;网络接口设备表。GB/T 20278XXXX87.1.2.9 弱口令网络脆弱性扫描产品应能采用字典或穷举等方法检查系统帐户口令的健壮性,检查项目应包括:系统是否使用了帐户名称经过简单变换后的口令;系统是否使用了易猜测口令。7.1.2.10 Windows 操作系统用户、组、口令、共享、注册表等脆弱性网络脆弱性扫描产品应能检查Windows 操作系统特有的一些脆弱性,检查项目应包括:a) 系统安全设置,包括: 注册表项目访问权限设置; 审核策略设置; 系统口令策略设置。b) 操作系统版本和补丁安装情况检查;c)
21、 其他相关检查。7.1.2.11 木马网络脆弱性扫描产品应能检查常见木马使用的默认端口是否开启,并对扫描得到的开启端口进行测试分析,对未知服务和已知木马做出警告。7.1.2.12 NFS 服务脆弱性网络脆弱性扫描产品应能检查NFS服务相关的脆弱性。7.1.2.13 路由器/交换机脆弱性网络脆弱性扫描产品应能检查路由器、交换机及其开启服务相关的脆弱性。7.1.2.14 DoS 攻击脆弱性网络脆弱性扫描产品应能使用实际攻击手法对目标主机进行真实的攻击,以检查目标主机对已知 DoS攻击的抵御能力。7.1.2.15 文件共享网络脆弱性扫描产品应能检查使用的NETBIOS 或SMB共享,发现危险的设置,
22、检查项目应包括:a) 重要目录被共享;b) 共享目录可被匿名用户写入;c) 是否使用了缺省或过于简单的共享口令;d) SAMBA 服务器软件的版本号。7.1.3 扫描结果分析处理7.1.3.1 结果入库扫描结果应能写入结果数据库。7.1.3.2 报告生成网络脆弱性扫描产品应能对结果数据库进行查询并形成报告,报告可分为下列类别:a) 脆弱性报告,包括各脆弱点的 CVE 号、详细信息、补救建议等;GB/T 20278XXXX9b) 对目标主机扫描后的信息获取结果生成相应的报告;c) 脆弱性分析报告,包括: 目标的风险等级评估报告,将扫描脆弱点按风险严重程度分级,并明确标出; 多个目标扫描后的结果的
23、总体报告; 对关键的脆弱性扫描信息可生成摘要报告。7.1.3.3 报告输出报告应可输出为通用的文档格式,例如:PDF、Word、HTML等。7.1.3.4 结果浏览网络脆弱性扫描产品应提供扫描结果浏览功能。7.1.3.5 脆弱性修补建议网络脆弱性扫描产品应能对发现的脆弱性提出修补建议,脆弱性修补建议应满足下列要求:a) 对不同的操作系统类型提出针对性的脆弱性修补方法;b) 脆弱性描述应详细,提供的脆弱性修补方法应确保其合理性和可用性。7.1.4 扫描配置7.1.4.1 扫描策略网络脆弱性扫描产品应提供方便的定制策略的方法,可以指定扫描地址范围、端口范围、脆弱性类型等。7.1.4.2 计划任务网
24、络脆弱性扫描产品应能定制扫描计划,可以定时启动或者按周期执行扫描任务。7.1.5 扫描对象的安全性7.1.5.1 对目标系统所在网络性能的影响扫描应不影响网络的正常工作。7.1.5.2 对目标系统的影响扫描应避免影响目标系统的正常工作,避免使用攻击方法进行测试;在使用某些可能对目标系统产生不良后果的扫描手段时(如使用DoS等攻击测试手段),网络脆弱性扫描产品在测试开始前给用户明确的提示。7.1.6 升级能力网络脆弱性扫描产品应能够对 脆弱性特征库进行更新:a) 产品体系结构的设计应有利于产品的升级操作,升级操作方便;b) 支持手动或者自动升级操作。7.1.7 扫描速度网络脆弱性扫描产品应提供合
25、理的扫描速度,可通过调整扫描线程或进程数目等方法对扫描速度进行调节。GB/T 20278XXXX107.2 自身安全功能要求7.2.1 标识与鉴别7.2.1.1 用户标识7.2.1.1.1 属性定义网络脆弱性扫描产品应为每个管理角色规定与之相关的安全属性,例如管理角色标识、鉴别信息、隶属组、权限等。7.2.1.1.2 属性初始化网络脆弱性扫描产品应提供使用默认值对创建的每个管理角色的属性进行初始化的能力。7.2.1.1.3 唯一性标识网络脆弱性扫描产品应为用户提供唯一标识。同时将用户的身份标识与该用户的所有可审计能力相关联。7.2.1.2 身份鉴别7.2.1.2.1 基本鉴别网络脆弱性扫描产品
26、应在执行任何与管理员相关功能之前鉴别用户的身份。7.2.1.2.2 鉴别数据保护网络脆弱性扫描产品应保证鉴别数据不被未授权查阅或修改。7.2.2 安全管理7.2.2.1 安全管理功能应允许管理员对产品进行管理:a) 授权管理员应能对安全属性进行查看;b) 授权管理员应能对安全属性进行修改;c) 授权管理员应能启动、关闭全部或部分安全功能;d) 授权管理员应能制定和修改各种安全策略。7.2.2.2 易用性网络脆弱性扫描产品 应能够稳定的运行,并提供方便易用的管理界面 :a) 提供准确、直观的扫描进度显示,便于用户了解扫描过程;b) 扫描任务应能随时暂停或者终止。7.3 安全保证要求7.3.1 配
27、置管理开发者应为产品的不同版本提供唯一的标识。7.3.2 交付与运行GB/T 20278XXXX11开发者应提供文档说明产品的安装、生成和启动的过程。7.3.3 开发7.3.3.1 非形式化功能规范开发者应提供一个功能规范,功能规范应满足以下要求:a) 使用非形式化风格来描述产品安全功能及其外部接口;b) 是内在一致的;c) 描述所有外部接口的用途与使用方法,适当时应提供效果、例外情况和错误消息的细节;d) 完备地表示产品安全功能。7.3.3.2 非形式化对应性证实开发者应提供产品安全功能表示的所有相邻对之间提供对应性分析。对于产品安全功能所表示的每个相邻对,分析应阐明,较为抽象的安全功能表示
28、的所有相关安全功能,应在较具体的安全功能表示中得到正确且完备地细化。7.3.4 指导性文档7.3.4.1 管理员指南开发者应提供管理员指南,管理员指南应与为评估而提供的其他所有文档保持一致。管理员指南应说明以下内容:a) 管理员可使用的管理功能和接口;b) 怎样安全地管理产品;c) 在安全处理环境中应被控制的功能和权限;d) 所有对与产品的安全操作有关的用户行为的假设;e) 所有受管理员控制的安全参数,如果可能,应指明安全值;f) 每一种与管理功能有关的安全相关事件,包括对安全功能所控制实体的安全特性进行的改变;g) 所有与管理员有关的 IT 环境安全要求。7.3.4.2 用户指南开发者应提供
29、用户指南,用户指南应与为评估而提供的其他所有文档保持一致。用户指南应说明以下内容:a) 产品的非管理员用户可使用的安全功能和接口;b) 产品提供给用户的安全功能和接口的使用方法;c) 用户可获取但应受安全处理环境所控制的所有功能和权限;d) 产品安全操作中用户所应承担的职责;e) 与用户有关的 IT 环境的所有安全要求。7.3.5 测试开发者应提供适合测试的产品,提供的测试集合应与其自测产品功能时使用的测试集合相一致。8 增强级安全技术要求GB/T 20278XXXX128.1 安全功能要求8.1.1 信息获取8.1.1.1 端口扫描8.1.1.1.1 TCP 端口网络脆弱性扫描产品应能扫描所
30、有TCP端口,检查其是否开启。8.1.1.1.2 UDP 端口网络脆弱性扫描产品应能扫描所有UDP端口,检查其是否开启。8.1.1.1.3 端口协议分析就扫描得到的已开启的TCP/UDP端口,网络脆弱性扫描产品应能判断相应端口对应的通用服务或使用的协议。8.1.1.2 操作系统探测网络脆弱性扫描产品应能对操作系统类型和版本号进行探测。8.1.1.3 服务旗标网络脆弱性扫描产品应能获取已开启的各项常用服务的旗标。8.1.1.4 其他信息网络脆弱性扫描产品应能对其他信息进行探测,例如网络配置信息、运行状态信息等。8.1.2 脆弱性扫描内容8.1.2.1 浏览器脆弱性网络脆弱性扫描产品应能检查与浏览
31、器安全相关的信息和配置,发现危险或不合理的配置,并提出 相应的安全性建议。检查项目应包括:a) 浏览器版本号;b) 浏览器安全设置;c) 浏览器自身 0 脆弱性;d) 其他安全隐患。8.1.2.2 邮件服务脆弱性网络脆弱性扫描产品应能检查使用了POP3、SMTP等电子邮件相关协议的服务程序的安全问题,检查 项目应包括:a) 服务程序旗标和版本号;b) 服务程序本身的脆弱性,包括:对输入缺乏合法性检查;不能正确处理异常情况。c) 服务器的危险或错误配置,包括:是否允许 EXPN 和 VRFY 命令;GB/T 20278XXXX13是否允许邮件转发;其他安全配置。d) 其他安全隐患。8.1.2.3
32、 FTP 服务脆弱性网络脆弱性扫描产品应能检查使用了FTP协议的服务程序的安全问题,检查项目应包括:a) 服务程序旗标和版本号;b) 服务程序本身的脆弱性,包括:对输入缺乏合法性检查;不能正确处理异常情况。c) 服务器的危险或错误配置,包括:是否允许匿名登录;是否使用了默认口令;是否允许危险命令;其他安全配置。d) 其他安全隐患。8.1.2.4 Web 服务脆弱性网络脆弱性扫描产品应能检查使用了HTTP协议的服务程序的安全问题,检查项目应包括: a) 服务程序旗标和版本号;b) 服务程序本身的脆弱性,包括:对输入缺乏合法性检查;不能正确处理异常情况。c) 服务器上运行的脚本及 CGI 程序的脆
33、弱性;d) 服务器的危险或错误配置,包括:文件属性错误;目录属性错误;其他安全配置。e) 其他安全隐患。8.1.2.5 DNS 服务脆弱性网络脆弱性扫描产品应能检查 DNS 服务的安全问题,检查项目应包括:a) 服务程序旗标和版本号;b) 服务程序本身的脆弱性,包括:对输入缺乏合法性检查;不能正确处理异常情况。c) 其他安全隐患。8.1.2.6 其他已知 TCP/IP 服务脆弱性网络脆弱性扫描产品应能检查其他使用了TCP/IP协议的服务程序的安全问题,检查项目应包括:a) 服务程序旗标和版本号;b) 服务程序本身的脆弱性,包括:对输入缺乏合法性检查;GB/T 20278XXXX14不能正确处理
34、异常情况。c) 服务程序的错误配置。8.1.2.7 RPC 服务的脆弱性网络脆弱性扫描产品应能检查使用了RPC 协议的服务程序的安全问题,检查是否开启了危险的RPC 服务。8.1.2.8 SNMP 服务的脆弱性网络脆弱性扫描产品应能检查使用了SNMP 协议的服务程序的安全问题,检查项目应包括:a) SNMP 口令脆弱性检查;b) 检查 SNMP 服务是否会暴露下列系统敏感信息,包括:TCP 端口表;UDP 端口表;服务列表;进程列表;路由表;网络接口设备表。8.1.2.9 弱口令网络脆弱性扫描产品应能采用字典或穷举等方法检查系统帐户口令的健壮性,检查项目应包括:系统是否使用了帐户名称经过简单变
35、换后的口令;系统是否使用了易猜测口令。8.1.2.10 Windows 操作系统用户、组、口令、共享、注册表等脆弱性网络脆弱性扫描产品应能检查Windows 操作系统特有的一些脆弱性,检查项目应包括:a) 系统安全设置,包括: 注册表项目访问权限设置; 审核策略设置; 系统口令策略设置。b) 操作系统版本和补丁安装情况检查;c) 其他相关检查。8.1.2.11 木马网络脆弱性扫描产品应能检查常见木马使用的默认端口是否开启,并对扫描得到的开启端口进行测试分析,对未知服务和已知木马做出警告。8.1.2.12 NFS 服务脆弱性网络脆弱性扫描产品应能检查NFS服务相关的脆弱性。8.1.2.13 路由
36、器/交换机脆弱性网络脆弱性扫描产品应能检查路由器、交换机及其开启服务相关的脆弱性。8.1.2.14 DoS 攻击脆弱性GB/T 20278XXXX15网络脆弱性扫描产品应能使用实际攻击手法对目标主机进行真实的攻击,以检查目标主机对已知 DoS攻击的抵御能力。8.1.2.15 文件共享网络脆弱性扫描产品应能检查使用的NETBIOS 或SMB共享,发现危险的设置,检查项目应包括:a) 重要目录被共享;b) 共享目录可被匿名用户写入;c) 是否使用了缺省或过于简单的共享口令;d) SAMBA 服务器软件的版本号。8.1.3 扫描结果分析处理8.1.3.1 结果入库扫描结果应能写入结果数据库。8.1.
37、3.2 结果导入导出可对结果数据库执行导入导出操作。8.1.3.3 报告生成网络脆弱性扫描产品应能对结果数据库进行查询并形成报告,报告可分为下列类别:a) 脆弱性报告,包括各脆弱点的 CVE 号、详细信息、补救建议等;b) 对目标主机扫描后的信息获取结果生成相应的报告;c) 脆弱性分析报告,包括: 目标的风险等级评估报告,将扫描脆弱点按风险严重程度分级,并明确标出; 多个目标扫描后的结果的总体报告; 对关键的脆弱性扫描信息可生成摘要报告。8.1.3.4 报告定制报告内容应能根据用户要求进行定制。8.1.3.5 报告输出报告应可输出为通用的文档格式,例如:PDF、Word、HTML等。8.1.3
38、.6 结果浏览网络脆弱性扫描产品应提供扫描结果浏览功能。8.1.3.7 脆弱性修补建议网络脆弱性扫描产品应能对发现的脆弱性提出修补建议,脆弱性修补建议应满足下列要求:a) 对不同的操作系统类型提出针对性的脆弱性修补方法;b) 脆弱性描述应详细,提供的脆弱性修补方法应确保其合理性和可用性。8.1.3.8 结果比对GB/T 20278XXXX16网络脆弱性扫描产品应提供对同一目标多次扫描结果或者不同主机间扫描结果的比对功能,并能根据比对结果生成比对报告。8.1.4 扫描配置8.1.4.1 扫描策略网络脆弱性扫描产品应提供方便的定制策略的方法,可以指定扫描地址范围、端口范围、脆弱性类型等。8.1.4
39、.2 计划任务网络脆弱性扫描产品应能定制扫描计划,可以定时启动或者按周期执行扫描任务。8.1.4.3 已知账号/口令扫描网络脆弱性扫描产品应能使用目标系统的已知账号/口令对其进行更有效的扫描。8.1.5 扫描对象的安全性8.1.5.1 对目标系统所在网络性能的影响扫描应不影响网络的正常工作。8.1.5.2 对目标系统的影响扫描应避免影响目标系统的正常工作,避免使用攻击方法进行测试;在使用某些可能对目标系统产生不良后果的扫描手段时(如使用DoS等攻击测试手段),网络脆弱性扫描产品在测试开始前给目标系统或者目标系统管理员明确的提示。8.1.6 升级能力网络脆弱性扫描产品应能够对 脆弱性特征库进行更
40、新:a) 产品体系结构的设计应有利于产品的升级操作,升级操作方便;b) 支持手动或者自动升级操作。c) 具备升级安全措施, 以防止得到错误的或伪造的系统升级包。 例如采取身份验证、 数字签名以及数据传输加密等手段。8.1.7 扫描速度网络脆弱性扫描产品应提供合理的扫描速度,可通过调整扫描线程或进程数目等方法对扫描速度进行调节。8.1.8 扫描 IP 地址限制网络脆弱性扫描产品应提供对产品扫描范围进行限制的手段。8.1.9 智能化网络脆弱性扫描产品应能在使用上部分实现智能化,包括:a) 自动判断目标属性,根据不同操作系统和设备类型自动选择扫描策略进行相应扫描;b) 自动处理结果,并将新出现的危险
41、情况通知管理员。GB/T 20278XXXX178.1.10 互动性要求网络脆弱性扫描产品应提供或采用一个标准的、开放的接口。遵照该接口规范,可为其他类型安全产品编写相应的程序模块,达到与网络脆弱性扫描产品进行互动的目的。8.2 自身安全功能要求8.2.1 标识与鉴别8.2.1.1 用户标识8.2.1.1.1 属性定义网络脆弱性扫描产品应为每个管理角色规定与之相关的安全属性,例如管理角色标识、鉴别信息、隶属组、权限等。8.2.1.1.2 属性初始化网络脆弱性扫描产品应提供使用默认值对创建的每个管理角色的属性进行初始化的能力。8.2.1.1.3 唯一性标识网络脆弱性扫描产品应为用户提供唯一标识。
42、同时将用户的身份标识与该用户的所有可审计能力相关联。8.2.1.2 身份鉴别8.2.1.2.1 基本鉴别网络脆弱性扫描产品应在执行任何与管理员相关功能之前鉴别用户的身份。8.2.1.2.2 鉴别数据保护网络脆弱性扫描产品应保证鉴别数据不被未授权查阅或修改。8.2.1.2.3 鉴别失败处理网络脆弱性扫描产品应提供一定的鉴别失败处理措施(如设置最大登陆失败次数、采用图片校验码等),防止暴力猜测密码。8.2.1.2.4 超时锁定或注销网络脆弱性扫描产品应具有登录超时锁定或注销功能。在设定的时间段内没有任何操作的情况下,终止会话,需要再次进行身份鉴别才能够重新操作。最大超时时间仅由授权管理员设定。8.
43、2.2 安全管理8.2.2.1 安全管理功能应允许管理员对产品进行管理:a) 授权管理员应能对安全属性进行查看;b) 授权管理员应能对安全属性进行修改;c) 授权管理员应能启动、关闭全部或部分安全功能;d) 授权管理员应能制定和修改各种安全策略。GB/T 20278XXXX188.2.2.2 易用性网络脆弱性扫描产品 应能够稳定的运行,并提供方便易用的管理界面 :a) 提供准确、直观的扫描进度显示,便于用户了解扫描过程;b) 扫描任务应可随时暂停或者终止。8.2.2.3 角色管理网络脆弱性扫描产品应能对管理员角色进行区分:a) 具有至少两种不同权限的管理员角色,如操作员、安全员、审计员等;b)
44、 应根据不同的功能模块,自定义各种不同权限角色,并可对管理员分配角色。8.2.2.4 远程管理若网络脆弱性扫描产品的控制台提供远程管理功能,应能对可远程管理的主机地址进行限制。8.2.3 审计日志8.2.3.1 审计日志生成应对以下事件生成审计日志:a) 管理员的登录成功和失败;b) 对安全策略进行更改的操作;c) 因鉴别尝试不成功的次数超出了设定的限值,导致的会话连接终止; d) 对管理员、管理角色进行增加、删除和属性修改的操作;e) 对审计记录的备份和删除;f) 扫描任务的启动、暂停、停止等操作;g) 管理员的其他操作。产品应在每一个审计日志记录中记录事件发生的日期、时间、用户标识、事件描
45、述和结果。若采用远程登录方式对产品进行管理还应记录管理主机的地址。8.2.3.2 审计日志保存审计日志应能存储于永久性存储介质中。8.2.3.3 审计日志管理应提供下列审计日志管理功能:a) 只允许授权管理员访问审计日志;b) 提供对审计日志的查询功能; c) 授权管理员应能保存、删除和清空审计日志。8.3 安全保证要求8.3.1 配置管理8.3.1.1 配置管理能力8.3.1.1.1 版本号开发者应为产品的不同版本提供唯一的标识。GB/T 20278XXXX198.3.1.1.2 配置项开发者应使用配置管理系统并提供配置管理文档。配置管理文档应包括一个配置清单,配置清单应唯一标识组成产品的所
46、有配置项并对配置项进行描述,还应描述对配置项给出唯一标识的方法,并提供所有的配置项得到有效维护的证据。8.3.1.1.3 授权控制开发者提供的配置管理文档应包括一个配置管理计划,配置管理计划应描述如何使用配置管理系统。实施的配置管理应与配置管理计划相一致。开发者应提供所有的配置项得到有效地维护的证据,并应保证只有经过授权才能修改配置项。8.3.1.2 配置管理覆盖配置管理范围至少应包括产品交付与运行文档、开发文档、指导性文档、生命周期支持文档、测试文档、脆弱性分析文档和配置管理文档,从而确保它们的修改是在一个正确授权的可控方式下进行的。配置管理文档至少应能跟踪上述内容,并描述配置管理系统是如何
47、跟踪这些配置项的。8.3.2 交付与运行8.3.2.1 交付程序开发者应使用一定的交付程序交付产品,并将交付过程文档化。交付文档应描述在给用户方交付产品的各版本时,为维护安全所必需的所有程序。8.3.2.2 安装、生成和启动程序开发者应提供文档说明产品的安装、生成和启动的过程。8.3.3 开发8.3.3.1 非形式化功能规范开发者应提供一个功能规范,功能规范应满足以下要求:a) 使用非形式化风格来描述产品安全功能及其外部接口;b) 是内在一致的;c) 描述所有外部接口的用途与使用方法,适当时应提供效果、例外情况和错误消息的细节;d) 完备地表示产品安全功能。8.3.3.2 高层设计8.3.3.
48、2.1 描述性高层设计开发者应提供产品安全功能的高层设计,高层设计应满足以下要求:a) 表示应是非形式化的;b) 是内在一致的;c) 按子系统描述安全功能的结构;d) 描述每个安全功能子系统所提供的安全功能性;e) 标识安全功能所要求的任何基础性的硬件、固件或软件,以及在这些硬件、固件或软件中实现的支持性保护机制所提供功能的一个表示;GB/T 20278XXXX20f) 标识安全功能子系统的所有接口;g) 标识安全功能子系统的哪些接口是外部可见的。8.3.3.2.2 安全加强的高层设计开发者提供的安全加强的高层设计应满足以下要求:a) 描述产品的功能子系统所有接口的用途与使用方法,适当时应提供
49、效果、例外情况和错误消息的细节;b) 把产品分成安全策略实施和其它子系统来描述。8.3.3.3 非形式化对应性证实开发者应提供产品安全功能表示的所有相邻对之间提供对应性分析。对于产品安全功能所表示的每个相邻对,分析应阐明,较为抽象的安全功能表示的所有相关安全功能,应在较具体的安全功能表示中得到正确且完备地细化。8.3.4 指导性文档8.3.4.1 管理员指南开发者应提供管理员指南,管理员指南应与为评估而提供的其他所有文档保持一致。管理员指南应说明以下内容:a) 管理员可使用的管理功能和接口;b) 怎样安全地管理产品;c) 在安全处理环境中应被控制的功能和权限;d) 所有对与产品的安全操作有关的用户行为的假设;e) 所有受管理员控制的安全参数
