书 书 书犐犆犛 ３５ ． ０３０ 犆犆犛犔 ８０ 中华人民共和国国家标准 犌犅 ／ 犜 ２０２７８ — ２０２２ 代替 犌犅 ／ 犜 ２０２７８ — ２０１３ ， 犌犅 ／ 犜 ２０２８０ — ２００６ 信息安全技术 　 网络脆弱性扫描产品安全技术要求和测试评价方法 犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔 — 犛犲犮狌狉犻狋狔狋犲犮犺狀犻犮犪犾狉犲狇狌犻狉犲犿犲狀狋狊犪狀犱狋犲狊狋犻狀犵犪狊狊犲狊狊犿犲狀狋犪狆狆狉狅犪犮犺犲狊犳狅狉狀犲狋狑狅狉犽狏狌犾狀犲狉犪犫犻犾犻狋狔狊犮犪狀狀犲狉狊 ２０２２  ０３  ０９ 发布 ２０２２  １０  ０１ 实施 国家市场监督管理总局 国家标准化管理委员会 发布目 　　 次 前言 Ⅰ ………………………………………………………………………………………………………… １ 　 范围 １ ……………………………………………………………………………………………………… ２ 　 规范性引用文件 １ ………………………………………………………………………………………… ３ 　 术语和定义 １ ……………………………………………………………………………………………… ４ 　 缩略语 １ …………………………………………………………………………………………………… ５ 　 网络脆弱性扫描产品描述 ２ ……………………………………………………………………………… ６ 　 安全技术要求 ２ …………………………………………………………………………………………… 　 ６．１ 　 概述 ２ ………………………………………………………………………………………………… 　 ６．２ 　 基本级安全要求 ５ …………………………………………………………………………………… 　 ６．３ 　 增强级安全要求 １１ …………………………………………………………………………………… ７ 　 测试评价方法 ２０ …………………………………………………………………………………………… 　 ７．１ 　 测试环境 ２０ …………………………………………………………………………………………… 　 ７．２ 　 测试工具 ２０ …………………………………………………………………………………………… 　 ７．３ 　 基本级测试评价方法 ２１ ……………………………………………………………………………… 　 ７．４ 　 增强级测试评价方法 ３６ ……………………………………………………………………………… 参考文献 ５９ …………………………………………………………………………………………………… 犌犅 ／ 犜 ２０２７８ — ２０２２ 前 　　 言 　　 本文件按照 ＧＢ ／ Ｔ１．１ — ２０２０ 《 标准化工作导则 　 第 １ 部分 ： 标准化文件的结构和起草规则 》 的规定起草 。 本文件代替 ＧＢ ／ Ｔ２０２７８ — ２０１３ 《 信息安全技术 　 网络脆弱性扫描产品安全技术要求 》 和 ＧＢ ／ Ｔ２０２８０ — ２００６ 《 信息安全技术 　 网络脆弱性扫描产品测试评价方法 》， 与 ＧＢ ／ Ｔ２０２７８ — ２０１３ 相比 ， 除结构调整和编辑性改动外 ， 主要技术变化如下 ： ａ ） 　 增加了 “ 网络脆弱性扫描产品描述 ” 的内容 （ 见第 ５ 章 ）； ｂ ） 　 增加了 “ 扫描报文标识 ” 的要求 （ 见 ６．２．１．５．３ 和 ６．３．１．５．３ ）； ｃ ） 　 增加了 “ 并发扫描 ” 的要求 （ 见 ６．２．１．７ 和 ６．３．１．７ ）； ｄ ） 　 增加了 “ 支撑系统安全 ” 的要求 （ 见 ６．２．２．４ 和 ６．３．２．５ ）； ｅ ） 　 增加了 “ 通信保密性 ” 的要求 （ 见 ６．３．２．４ ）； ｆ ） 　 增加了 “ 环境适应性要求 （ 有则适用 ）” 的内容 ， 其中主要是明确了产品对 ＩＰｖ６ 的支持能力 ， 包括支持纯 ＩＰｖ６ 网络环境的扫描能力 、 ＩＰｖ６ 网络环境下的自身管理能力以及双协议栈的要求 （ 见 ６．２．３ 和 ６．３．３ ）； ｇ ） 　 增加了 “ 测试评价方法 ” 的内容 （ 见第 ７ 章 ）； ｈ ） 　 删除了 “ 扫描 ＩＰ 地址限制 ” 的要求 （ 见 ２０１３ 年版的 ８．１．８ ）； ｉ ） 　 删除了 “ 易用性 ” 的要求 （ 见 ２０１３ 年版的 ８．２．２．２ ）； ｊ ） 　 修改了 “ 脆弱性扫描内容 ”， 将原标准中要求的 １５ 项扫描要求重新整理分为 ５ 类扫描要求 （ 见 ６．２．１．２ 和 ６．３．１．２ ， ２０１３ 年版的 ７．１．２ ）， 在增强级中还提出了对云环境和工控设备目标对象的扫描要求 （ 见 ６．３．１．２．６ 和 ６．３．１．２．７ ）； ｋ ） 　 修改了各级的 “ 安全保证要求 ” 为 “ 安全保障要求 ”（ 见 ６．２．４ 和 ６．３．４ ， ２０１３ 年版的 ７．３ 和 ８．３ ）。 请注意本文件的某些内容可能涉及专利 。 本文件的发布机构不承担识别专利的责任 。 本文件由全国信息安全标准化技术委员会 （ ＳＡＣ ／ ＴＣ２６０ ） 提出并归口 。 本文件起草单位 ： 公安部第三研究所 、 北京神州绿盟科技有限公司 、 网神信息技术 （ 北京 ） 股份有限公司 、 北京天融信网络安全技术有限公司 、 启明星辰信息技术集团股份有限公司 、 上海国际技贸联合有限公司 、 中国网络安全审查技术与认证中心 、 西安交大捷普网络科技有限公司 、 北京中科网威信息技术有限公司 、 上海市信息安全测评认证中心 、 工业和信息化部计算机与微电子发展研究中心 （ 中国软件评测中心 ）、 新华三技术有限公司 、 中国电子科技集团公司第十五研究所 （ 信息产业信息安全测评中心 ）、 国家工业信息安全发展研究中心 、 陕西省网络与信息安全测评中心 、 国网新疆电力有限公司电力科学研究院 、 中国科学院信息工程研究所 、 中国电力科学研究院有限公司信息通信研究所 、 中国信息通信研究院 、 远江盛邦 （ 北京 ） 网络安全科技股份有限公司 、 北京通和实益电信科学技术研究所有限公司 、 上海斗象信息科技有限公司 、 深圳市联软科技股份有限公司 、 北京知道创宇信息技术股份有限公司 。 本文件主要起草人 ： 顾建新 、 宋好好 、 陆臻 、 顾健 、 沈亮 、 尹航 、 陈昕宇 、 熊毅 、 秦兰 、 曹宁 、 申永波 、 何建锋 、 宋伟 、 徐佟海 、 郭永振 、 杨洪起 、 刘健 、 刘志尧 、 巨腾飞 、 李明轩 、 陈佳 、 闫兆腾 、 严敏辉 、 许子先 、 于忠臣 、 闻蕾 、 谢忱 、 侯俊 、 崔兆 。 本文件及其所替代文件的历次版本发布情况为 ：——— ２００６ 年首次发布为 ＧＢ ／ Ｔ２０２７８ — ２００６ ， ２０１３ 年第一次修订 ；——— 本次为第二次修订 ， 并入了 ＧＢ ／ Ｔ２０２８０ — ２００６ 《 信息安全技术 　 网络脆弱性扫描产品测试评价方法 》 的内容 。 Ⅰ 犌犅 ／ 犜 ２０２７８ — ２０２２ 信息安全技术 　 网络脆弱性扫描产品安全技术要求和测试评价方法 １ 　 范围 本文件规定了网络脆弱性扫描产品的安全技术要求和测试评价方法 。 本文件适用于脆弱性扫描产品的设计 、 开发与测试 。 ２ 　 规范性引用文件 下列文件中的内容通过文中的规范化引用而构成本文件必不可少的条款 。 其中 ， 注日期的引用文 件 ， 仅该日期对应的版本适用于本文件 ； 不注日期的引用文件 ， 其最新版本 （ 包括所有的修改单 ） 适用于 本文件 。 ＧＢ ／ Ｔ２５０６９ 　 信息安全技术 　 术语 ３ 　 术语和定义 ＧＢ ／ Ｔ２５０６９ 界定的以及下列术语和定义适用于本文件 。 ３ ． １ 扫描 　 狊犮犪狀 使用技术工具对目标系统进行探测 ， 查找目标系统中存在安全弱点的过程 。 ３ ． ２ 网络脆弱性扫描 　 狀犲狋狑狅狉犽狏狌犾狀犲狉犪犫犻犾犻狋狔狊犮犪狀 通过网络对目标系统安全弱点进行远程探测 ， 检查和分析其安全脆弱性 ， 从而发现可能被入侵者利 用的安全弱点 ， 并提出一定的防范和补救措施建议 。 ３ ． ３ 旗标 　 犫犪狀狀犲狉 应用程序发送的一段信息 。 注 ： 通常包括欢迎语 、 应用程序名称和版本等信息 。 ３ ． ４ 支撑系统 　 狊狌狆狆狅狉狋犻狀犵狊狔狊狋犲犿 支撑网络脆弱性扫描设备运行的操作系统 。 ４ 　 缩略语 下列缩略语适用于本文件 。 ＣＮＮＶＤ ： 中国国家信息安全漏洞库 （ ＣｈｉｎａＮａｔｉｏｎａｌＶｕｌｎｅｒａｂｉｌｉｔｙＤａｔａｂａｓｅｏｆＩｎｆｏｒｍａｔｉｏｎＳｅｃｕｒｉｔｙ ） ＣＶＥ ： 通用漏洞披露 （ ＣｏｍｍｏｎＶｕｌｎｅｒａｂｉｌｉｔｉｅｓａｎｄＥｘｐｏｓｕｒｅｓ ） ＦＴＰ ： 文件传输协议 （ ＦｉｌｅＴｒａｎｓｆｅｒＰｒｏｔｏｃｏｌ ） １ 犌犅 ／ 犜 ２０２７８ — ２０２２ ＲＰＣ ： 远程过程调用 （ ＲｅｍｏｔｅＰｒｏｃｅｄｕｒｅＣａｌｌ ） ＴＣＰ ： 传输控制协议 （ ＴｒａｎｓｍｉｓｓｉｏｎＣｏｎｔｒｏｌＰｒｏｔｏｃｏｌ ） ＵＤＰ ： 用户数据报协议 （ ＵｓｅｒＤａｔａｇｒａｍＰｒｏｔｏｃｏｌ ） ５ 　 网络脆弱性扫描产品描述 网络脆弱性扫描产品是指利用扫描手段检测目标网络系统中可能存在的安全弱点的软件或软硬件 组合的产品 。 该产品可根据预先定义的策略或者其他要求 ， 对目标网络中的指定设备