收藏
下载资源 加入VIP免费专享

信息安全技术 网络脆弱性扫描产品技术要求.docx

上传人:夺命阿水 文档编号:1521602 上传时间:2024-07-17 格式:DOCX 页数:13 大小:32.80KB
返回 下载 相关 举报
信息安全技术 网络脆弱性扫描产品技术要求.docx_第1页
第1页 / 共13页
信息安全技术 网络脆弱性扫描产品技术要求.docx_第2页
第2页 / 共13页
信息安全技术 网络脆弱性扫描产品技术要求.docx_第3页
第3页 / 共13页
信息安全技术 网络脆弱性扫描产品技术要求.docx_第4页
第4页 / 共13页
信息安全技术 网络脆弱性扫描产品技术要求.docx_第5页
第5页 / 共13页
点击查看更多>>
资源描述

《信息安全技术 网络脆弱性扫描产品技术要求.docx》由会员分享,可在线阅读,更多相关《信息安全技术 网络脆弱性扫描产品技术要求.docx(13页珍藏版)》请在课桌文档上搜索。

1、ICS35.(M()I.80OB中华人民共和国国家标准GBfT202782006信息安全技术网络脆弱性扫描产品技术要求Informationsecuritytechno1.ogy-Techniquerequirementfornetworkvu1.nerabi1.ityscanners2006-12-01实施2006-05-13发布中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会前蜩;I引鲍:II1范阳12Be范性引用文件13术语和定义14缩珞语和记法约定24.1缩珞语24.2记法钝定25网络脆弱性招描产M分级25.1 基本型25.2 增强型26使用环境27功能要求37.1 基本

2、型网络脆烟性扫描产品功能组件37.2 自身安全要求37.3 安全功能要求47.4 管理要求87.5 安装与操作控制97.6 增期型网络脆弱性扫描产M功能组件97.7 增强型网络腌弱性扫描产品扩展功能要求108性能要求108.1速度108.2稳定性和容错性108.3漏洞发现能力1084误报率1085漏报率109保证要求119.1 基本型H9.2 增强型12冏录A(资料性附录)网络脆弱性扫描产品介绍16A.1脆崩性扫描技术16A.2网络脆弱性扫描产M简介16A.3体系结构16参考文献18图A1.网络脆弱性扫描产品的系统基本组成16表1甚本型网络腑弱性扫描产品功能要求3表2增强型网络脆弱性扫描产品功

3、能要求9前鳗言(略)信息安全技术网络脆弱性扫描产品技术要求1葩围本标准规定了采用传输控制协议和网际协议(TCP/IP)的网络腌弱性扫描产品的技术要求,提出网络脆弱性扫描产品实现的安全目标及环境,给出产品基本功能、增强功能和安全保证要求.本标准适用于通过网络对系统和设备进行脆弱性扫描的安全产品的研制、生产和认证。本标准不适用于专门对数据圈系统进行脆密性招播的产品.2规楚性引用文件下列文件中的条款通过本标准的引用而成为本部分的条款.凡是注日期的引用文件其随后所行的修改单(不包括勘误的内容)或者修订版均不适合于本标准,但鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本,凡是不注日期的引文

4、,其最新版本适用于本标准.GB.T5271.8-2001信息技术词汇第8部分:安全(idHSO”EC2382-8:1998)3术语和定义GB/T5271.8-2001确立的以及下列术语和定义适用于本标准。3.1扫描scan使用脆弱性扫描产从进行探测,找到网格中的主机系统存在的安全隐患的过程.3.2威胁threat可能对网络系统和设符或网络所有者造成损害的事故的潜在原因。3.3脆弱性Vu1.nerabiIity网络系统和设;中能被利用并造成危杏的弱戊。3.4宿主机1.oca1.host运行网络脆弱性扫描产M的计算机.3.5目标主机targethost网络脆弱性扫描产品对其进行风险分析的计算机,3

5、.6网络脆弱性扫描networkvu1.nerabi1.ityscan通过网络远程检测目标网络系统安全的也的探测过程,它对网络系统和设备进行安全脆弱性检测和分析,从而发现可能被入侵者利用的漏洞,并采取一定的防范和补救措施.3.7网络脆弱性扫描产品networkvu1.nerabi1.ityscanner能城完成网络脆弱性扫描功能的产品.7功能要求7.1 基本型网络腌弱性扫描产品功能组件基本型网络脆弱性扫描产品的功能组件由表1所列项I1.祖成O表基本型网络脆弱性扫描产品功能要求功能分类功能组件自身安全要求身份鉴别适用限制敢停信息保护使用记录扫描数据包标记扫描结果安全安全功能要求脆弱性扫描网络旁路

6、检查信息获取端口和服务扫描管理要求管理员访问扫描结果分析处理扫描策略定制扫描对象的安全性升级能力使用要求安装与操作控制7.2 自身安全要求721身份鉴别只有授权管理员才能使用网络脆弱性扫描产品的完整功能,对于授权管理员、普通管理员和审计员至少采用一种身份鉴别方式(例如:用户名和口令)对其进行身份鉴别.7.2.2适用限制网络腌弱性扫描产品应提供对产品扫描范困进行限制的手段,如限制产品可扫描的具体IP地址。723敏感信息保护策略定制时,一些敏感信息可能被涉及,应采取相应措施来保证收感信息的机密性和完整性,例如财用户口令进行加密存偌。7.24使用记录对软件的以下使用应有完整的F1.志记录,便于审计跟

7、踪和分析:n)管理员登录:b)扫描操作过程:c)扫描结果分析处理;d)产品升级;e)其他使用。7.2.5扫描数据包标记9保证要求9.1 基本型9.1.1. 置管理a)开发者应为网络脆弱性扫描产品的不同版本提供曜一的标识;b)开发者应针对不同用户提供唯一的授权标识;c)要求配置项.应有唯一的标识.9.1.2. 全功能开发过程9.1.3. 1功能设计a)功能设计应当使用非形式化风格来描述网络脆弱性扫描产品安全功能与其外部接口;b)功能设计应当是内在一致的:c)功能设计应当描述使用所有外部网络脆弱性扫描产品安全功能按1.I的目的与方法,适当的时候,要提供结果影响例外情况和拙误信息的细15;(1)功I

8、fe设计应当完整地去示网络脆弱性扫描产品安全功能。9.1.4. 1.2.2表示对应性a)开发者应在网络痂弱性扫描产品安全功能表示的所有相邻对之间提供对应性分析:b)对于网络脆弱性扫描产品安全功能入示的每个相邻对,分析应阐明:较为抽象的安全功能非示的所有相关安全功能,应在较具体的安全功能表示中得到正确而完整地细化。9.1.5. 试9.1.6. 1功能测试)开发者应冽试安全功能,将结果文档化并提供测试文档:b)测试文档应包括测试计划、测试规程、测试报告.测试计划应标识要测试的安全功能,并描述测试的目标,测试规程应标识要执行的测试,并描述邪个安全功能的测试概况,这英概况包括对其他测试结果的顺序依赖性

9、,测试报告的内容包括预期的测试结果和实际测试结果。9.1.7. 1.3.2覆盖分析a)开发者应提供测试瓶盖的分析结果:b)测试股Iift的分析结果应衣明测试文档中所标识的测试与安全功Ife设计中所描述的安全功能是对应的.9.1.8. 导性文档9.1.9. 1管理员指南a)开发者应提供系统管理员使用的管理员指南:b)管理员指南应说明以下内容:D网络脆弱性扫描产品可以使用的管理功能和接口:2)怎样安全地管理网络脆弱性扫描产品:3)在安全处理环境中应诳行控制的功能和权限:D所有对与网络脆弱性扫描产品的安全操作有关的用户行为的假设:5)所有受管理员控制的安全参数,如果可能,应指明安全值;6)短一种与管

10、理功能有关的安全相关事件,包括而安全功能所控制的实体的安全特性进行的改变;7)所有与系统管埋员有关的11环境的安全要求.c)管理员指南应与为评估而提供的其他所有文件保持一致。9.1.10. 1.4.2用户指南a)开发者应提供用户指南:b)用户指向应说明以下内容:1)网络腌弱性扫描产品的非管理用户可使用的安全功能和接口:2) M络腌弱性扫描产品提供给用户的安全功能和接1:1的用法;3)用户可获取但应受安全处理环境控制的所有功能和权限:0刈络脆弱性扫描产品安全操作中用户所应承担的职费:5)与用户有关的IT环境的所有安全要求.C)用户指南应与为评估而提供的其他所有文件保持一致。9.1.5交付与运行a

11、)开发者应提供文档说明网络脆弱性扫描产品的安装、生成和启动的过程:b)上述过程中不应向非产品使用者提供网络拓扑信息.9.16生命周期支持a)开发者应提供开发安全文件:b)开发安全文件应描述在网络脆弱性扫描产品的开发环境中,为保护网络脆弱性扫描产品设计和实现的机密性和完整性,而在物理上、程序上、人员上以及其他方面所采取的必要的安全措施.开发安全文件还应提供在网络腌弱性扫描产品的开发和推妒过程中执行安全措梏的证据.9.2增强型9.2.1配置管理9.2.1.1授权机制a)开发者应使用配置管理系统并提供配置管理文档,为网络舱训性扫描产品的不同版本提供唯一的标识:b)配置管理系统应对所有的配置项作出睢一

12、的标识,并保证只有经过授权才能修改配置项;c)配置管理文档应包括配置清单和配置管理计划.在IE置清单中,应对每一配置项给出相应的描述:在配置管理计划中,应描述配比管理系统是如何使用的.实施的配置管理应与配巴管理计一相一致:d)配置管理文档还应描述对配置项给出唯一标识的方法,井提供所有的配置项得到有效地维护的证据.9.2.1.2配置管理范围a)开发者应提供配置管理文档:b)配汽管理文档应说明配置管理系统至少能跟踪:网络脆弱性扫描产品实现表示、设计文档、测试文档、用户文档、管理员文档和配置管理文档,并描述配置管理系统是如何堪踪配置项的.9.2.2安全功能开发过程9.2.2.1功诧设计a)功能设计应

13、当使用非形式化风格来描述网络腌弱性扫描产品安全功Ife与其外部接口:b)功能设计应当是内在一致的:c)功能设计应当描述使用所有外部网络腌弱性扫描产品安全功能接口的目的与方法,适当的时候,要提供结果影响例外情况和出错信息的细节:d)功能设计应当完整地表示网络脆划性扫描产品安全功能.922.2高层设计球开发者应提供网络腌弱性打描产品安全功能的高层设计;b)高层设计应以非形式方法表述并且是内在一致的。为说明安全功能的结构,高层设计应将安全功能分解为各个安全功能f系统进行描述,并阐明如何将有助于加强网络脆弱性扫描产M安全功能的子系统和其他子系统分开.而于每一个安全功能子系统,高层设计应描述其提供的安全

14、功能.标识其所有接口以及哪些接口是外部可见的,描述其所有接口的使用目的与方法,并提供安全功能子系统的作用、例外情况和出错信息的细节。高层设计还应标识安全功能要求的所有基础性的硬件、固件和软件,并且支持由这些硬件、固件或软件所实现的保护机制.9.2.2.3低层设计a)开发者应提供网络脆弱性扫描产品安全功能的低层设计;b)低层设计应是非形式化、内在一致的,在描述网络脆弱性扫描产品安全功能时,低层设计应采用模块术谙,说明每一个安全功能模块的H的.并标识安全功能模块的所行接11和安全功旎模块可为外部所见的接口,以及安全功能模块所有接口的目的与方法,适当时,还应提供接口的作用、例外情况和祐说信息的细节:

15、C)低层设计还应包括以下内容:1)以安全功能性术语及模块的依赖性术语,定义模块间的相互关系;2)说明如何提供每一个安全策略的强化功能:3)说明如何将网络脆弱性扫描产品加强安全策略的模块和其他模块分离开。9.2.2.4表示对应性a)开发者应在网络脆弱性扫描产品安全功能去示的所有相邻对之间提供对应性分析;b)时于网络脆弱性扫描产品安全功能表示的每个相邻对,分析应阐明:较为抽象的安全功能表示的所有相关安全功能,应在较具体的安全功能表示中得到正确而完整地细化。9.2.3测试9.2,3.1功能则试a)开发者应测试安全功能,将结果文档化并提供测试文档:b)测试文档应包括测试计划、测试过程、测试报告.测试计

16、划应标识要测试的安全功能并描述刈试的目标.测试过程应标识要执行的刈试.并描述每个安全功能的测试概况.这些概况包括对其他测试站果的顺序依赖性,测试报告的内容包括预期的测试结果和实际测试结果。92.3.2覆盖分析a)开发者应提供测试置靛的分析结果:b)测试攫盅的分析结果应表明测试文档中所标识的测试与安全功能设计中所描述的安全功能是对应的,且该对应是完整的.9. 2.3.3深度a)开发者应提供测试深度的分析:b)在深度分析中,应说明测试文档中所标识的对安全功能的测试.足以表明该安全功能和高层设计是一致的.10. 2.3.4独立性测试开发者应提供证据证明,开发者提供的网络脆弱性扫描产品经过独立的第三方

17、测试并通过.11. .4指导性文档12. 2.4.1管理员指南a)开发者应提供系统管理员使用的管理员指南:b)管理员指南应说明以下内容:D网络脆弱性扫描产品管理员可以使用的管理功能和接口;2)怎样安全地管理网络脆弱性扫描产M:3)在安全处理环境中应迸行控制的功能和权限:4)所有对与网络脆弱性扫描产品的安全操作有关的用户行为的假设;5)所有受管理员控制的安全参数.如果可能,应指明安全值:6)每一种与管理功能有关的安全相关事件,包括对安全功能所捽制的实体的安全特性进行的改变;7)所有与系统管理M有关的IT环境的安全要求.c)管理员指南应与为评估而提供的其他所有文件保持一致.9.2.4.2用户指南n

18、)开发者应提供用户指南:b)用户指南应说明以下内容:D网络脆弱性扫描产品的非管理用户可使用的安全功能和接口:2)网络脆弱性扫描产品提供给用户的安全功能和接11的用法:3)用户可获取但应受安全处理环境控制的所有功能和权限:力网络腌弱性扫描产品安全操作中用户所应承担的职员:5)与用户有关的IT环境的所有安全要求.C)用户指南应与为评估而提供的其他所有文件保持一致。9.2.5脆弱性评定?.25.1指南检查a)开发者应提供指南性文档;b)在指南性文档中,应确定对网络脆弱性扫描产品的所有可能的操作方式(包括失败和操作失误后的操作)、它们的后果以及对于保持安全操作的意义。指南性文档中还应列出所有目标环境的

19、假设以及所有外部安全措施(包括外部程序的、物理的或人员的控制)的要求,指南性文档应是完整的、清晰的、一致的、合理的。9.2.5.2脆弱性分析a)开发者应从用户可旎破坏安全策略的明显途径出发.对网络脆弱性扫描产品的各种功能进行分析并提供文档.对被确定的脆弱性,开发者应明确记录采取的措施;b)对每一条脆弱性,应有证据显示在使用网络脆圜性扫描产品的环境中该脆加性不能被利用.在文档中.还需证明经过标识脱烟性的网络脆弱性扫描产品可以抵御明显的穿透性攻击.9.2.6交付与运行9.2.6.1交付a)开发者脚使用一定的交付程序交付网络脆弱性扫描产品并将交付过程文档化;b)交付文档应描述在给用户方交付网络脆弱性

20、扫描产品的各版本时,为维护安全所必需的所有程序:c)上述过程中不应向非产品使用者提供惮络拓扑信息.9.2.6.2安装生成开发者应提供文档说明网络脆弱性扫描产品的安装、生成和启动的过程,92.7生命周期支持9.2.7.1开发安全a)开发者应提供开发安全文件:b)开发安全文件应描述在网络脆弱性扫描产品的开发环境中,为保护河络脆弱性扫描产品设计和实现的机密性和完整性,而在物理上、程序上、人员上以及其他方面所采取的必要的安全措施,开发安全文件还应提供在网络脆弱性扫描产品的开发和缎护过程中执行安全措施的证据,9.2.7.2生命周期模型a)开发者应建立生命冏期模型并提供生命用期定义文档:b)在生命周期定义

21、文档中,应描述用于开发和维护网络脆弱性扫描产品的模型.为了对网络脆弱性扫描产品开发和维护进行必要的控制.该模型应提供相应的支持.9.2.7.3工具和技术a)开发钟应标识用于开发网络脆明性扫描产品的工具,并对开发工具中已选择的依赖实现的选项文档化:b)在开发工具文档中,应明确定义所有用于实现的开发工具和实现中年个语句的含义,以及所有聪于实现的选项的含义.附录A(资料性附录网络脆弱性扫描产品介绍A1.的弱性扫描技术脆弱性扫描技术是一类重要的网络安全技术,脆弱性扫描技术与防火墙、入侵检测等技术互相配合,能第有效提高网络的安全性。通过对网络的扫描,网络管理员可以了解网络的安全配置和运行的应用限务,及时

22、发现安全漏洞,评估网络风险等级,网络管理员可以根据扫描的结果修补网络安全漏洞和系统中的错误配置,在黑客攻击前进行防范.脆弱性扫描是一种主动的防危措施.脆弱性扫描技术主要分为两类:主机脆弱性扫描技术和网络脆弱性扫描技术。网络脆弱性扫描技术主要针对网络系统和设;中不合适的设徨、腌弱的口令以及其他同安全规则抵触的对象,通过网络进行检资和提出补救方法等:而主机脆明性扫描技术则是直接在被扫描主机上对主机系统进行扫描并记录系统的反应,从而发现其中的漏洞,弁提出补救方法.本标准针对采用了网络脆弱性扫描技术的产品提出相关技术要求。A.2网络脆弱性扫描产品简介网络脆加性扫描产M的功能是对计算机系统和网络设备进行

23、安全评估分析,即进行安全相关的检查.发现其漏洞和脆弱性,对系统的安全状况进行评估、风险分析、安全趋势分析,对发现的问题提出解决方案和建议,从而提高网络系统安全性能。图A1.网络脆弱性扫描产品的系统基本组成A.3体系结构A.3.!系统组成臻统的基本组成由四个模块构成,模块间的关系如图A1.所示.分布式系统由一个以上扫描引军和我他三个模块组成。A.3.2界面界面部分主要完成以下的功能:a)负贡接受并处理用户怆入、定制扫描镜略、开始和终止扫描、定制评估分析报告等:b)显示系统工作状态。A.33扫描引擎扫描用孥部分主要完成以下的功能:a)响应界面指令:b)读取扫描策略数据库,并依此制定执行方案:C)执

24、行扫描方案,启动扫描进程和线程,并进行调度管理;(1)将扫描结果存档保存。A.3.4结果评估分析结果评估分析部分主要完成以下的功能:a)读取数据库中扫描结果信息:b)形成结果报告。A.3.5数据库数据库部分主要完成以下的功能:a)存放扫描结果、定制策略内容、脆弱性描述及其解决方法:b)提供数据查询、管理功能.叁考文献(;B/T(;B/TGB/T9387.2-199517859-199918336.1-2001伯息套统开放系统互连基本参考模型第2部分:安全体系结构计算机信息系统安全保护等级划分准则(idtIS0IEC151081:GB/T18336.2-2001(idtISO/IEC15108-2;GB/T18336.3-2001(idtISO/IEC154083:信息技术1999)信息技术1999信息技术1999)安全技术安全技术安全技术IS信息技术安全性评估准则第1部分:简介和般模型信息技术安全性评估准则第2部分:安全功能要求信息技术安全性评估准则第3部分:安全保证要求

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 在线阅读 > 生活休闲


备案号:宁ICP备20000045号-1

经营许可证:宁B2-20210002

宁公网安备 64010402000986号