GB_T 20278-2022信息安全技術(shù) 網(wǎng)絡(luò)脆弱性掃描產(chǎn)品安全技術(shù)要求和測試評價方法_(高清-最新版）

ICS35030

CCSL.80

中華人民共和國國家標(biāo)準(zhǔn)

GB/T20278—2022

代替GB/T20278—2013GB/T20280—2006

,

信息安全技術(shù)網(wǎng)絡(luò)脆弱性掃描產(chǎn)品

安全技術(shù)要求和測試評價方法

Informationsecuritytechnology—Securitytechnicalrequirementsandtesting

assessmentapproachesfornetworkvulnerabilityscanners

2022-03-09發(fā)布2022-10-01實施

國家市場監(jiān)督管理總局發(fā)布

國家標(biāo)準(zhǔn)化管理委員會

GB/T20278—2022

目次

前言

…………………………Ⅰ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

縮略語

4……………………1

網(wǎng)絡(luò)脆弱性掃描產(chǎn)品描述

5………………2

安全技術(shù)要求

6……………2

概述

6.1…………………2

基本級安全要求

6.2……………………5

增強級安全要求

6.3……………………11

測試評價方法

7……………20

測試環(huán)境

7.1……………20

測試工具

7.2……………20

基本級測試評價方法

7.3………………21

增強級測試評價方法

7.4………………36

參考文獻

……………………59

GB/T20278—2022

前言

本文件按照標(biāo)準(zhǔn)化工作導(dǎo)則第部分標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則的規(guī)定

GB/T1.1—2020《1:》

起草

。

本文件代替信息安全技術(shù)網(wǎng)絡(luò)脆弱性掃描產(chǎn)品安全技術(shù)要求和

GB/T20278—2013《》

信息安全技術(shù)網(wǎng)絡(luò)脆弱性掃描產(chǎn)品測試評價方法與相

GB/T20280—2006《》,GB/T20278—2013

比除結(jié)構(gòu)調(diào)整和編輯性改動外主要技術(shù)變化如下

,,:

增加了網(wǎng)絡(luò)脆弱性掃描產(chǎn)品描述的內(nèi)容見第章

a)“”(5);

增加了掃描報文標(biāo)識的要求見和

b)“”(.3.3);

增加了并發(fā)掃描的要求見和

c)“”();

增加了支撐系統(tǒng)安全的要求見和

d)“”();

增加了通信保密性的要求見

e)“”();

增加了環(huán)境適應(yīng)性要求有則適用的內(nèi)容其中主要是明確了產(chǎn)品對的支持能力包

f)“()”,IPv6,

括支持純網(wǎng)絡(luò)環(huán)境的掃描能力網(wǎng)絡(luò)環(huán)境下的自身管理能力以及雙協(xié)議棧的要求

IPv6、IPv6

見和

(6.2.36.3.3);

增加了測試評價方法的內(nèi)容見第章

g)“”(7);

刪除了掃描地址限制的要求見年版的

h)“IP”(20138.1.8);

刪除了易用性的要求見年版的

i)“”(2013);

修改了脆弱性掃描內(nèi)容將原標(biāo)準(zhǔn)中要求的項掃描要求重新整理分為類掃描要求見

j)“”,155(

和年版的在增強級中還提出了對云環(huán)境和工控設(shè)備目標(biāo)對象的

,20137.1.2),

掃描要求見和

(.6.7);

修改了各級的安全保證要求為安全保障要求見和年版的和

k)“”“”(6.2.46.3.4,20137.38.3)。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機構(gòu)不承擔(dān)識別專利的責(zé)任

。。

本文件由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會提出并歸口

(SAC/TC260)。

本文件起草單位公安部第三研究所北京神州綠盟科技有限公司網(wǎng)神信息技術(shù)北京股份有限

:、、()

公司北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司啟明星辰信息技術(shù)集團股份有限公司上海國際技貿(mào)聯(lián)合有

、、、

限公司中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心西安交大捷普網(wǎng)絡(luò)科技有限公司北京中科網(wǎng)威信息技術(shù)

、、、

有限公司上海市信息安全測評認(rèn)證中心工業(yè)和信息化部計算機與微電子發(fā)展研究中心中國軟件評

、、(

測中心新華三技術(shù)有限公司中國電子科技集團公司第十五研究所信息產(chǎn)業(yè)信息安全測評中心國

)、、()、

家工業(yè)信息安全發(fā)展研究中心陜西省網(wǎng)絡(luò)與信息安全測評中心國網(wǎng)新疆電力有限公司電力科學(xué)研究

、、

院中國科學(xué)院信息工程研究所中國電力科學(xué)研究院有限公司信息通信研究所中國信息通信研究院

、、、、

遠(yuǎn)江盛邦北京網(wǎng)絡(luò)安全科技股份有限公司北京通和實益電信科學(xué)技術(shù)研究所有限公司上海斗象信

()、、

息科技有限公司深圳市聯(lián)軟科技股份有限公司北京知道創(chuàng)宇信息技術(shù)股份有限公司

、、。

本文件主要起草人顧建新宋好好陸臻顧健沈亮尹航陳昕宇熊毅秦蘭曹寧申永波

:、、、、、、、、、、、

何建鋒宋偉徐佟海郭永振楊洪起劉健劉志堯巨騰飛李明軒陳佳閆兆騰嚴(yán)敏輝許子先

、、、、、、、、、、、、、

于忠臣聞蕾謝忱侯俊崔兆

、、、、。

本文件及其所替代文件的歷次版本發(fā)布情況為

:

年首次發(fā)布為年第一次修訂

———2006GB/T20278—2006,2013;

本次為第二次修訂并入了信息安全技術(shù)網(wǎng)絡(luò)脆弱性掃描產(chǎn)品測試評

———,GB/T20280—2006《

價方法的內(nèi)容

》。

Ⅰ

GB/T20278—2022

信息安全技術(shù)網(wǎng)絡(luò)脆弱性掃描產(chǎn)品

安全技術(shù)要求和測試評價方法

1范圍

本文件規(guī)定了網(wǎng)絡(luò)脆弱性掃描產(chǎn)品的安全技術(shù)要求和測試評價方法

。

本文件適用于脆弱性掃描產(chǎn)品的設(shè)計開發(fā)與測試

、。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范化引用而構(gòu)成本文件必不可少的條款其中注日期的引用文

。,

件僅該日期對應(yīng)的版本適用于本文件不注日期的引用文件其最新版本包括所有的修改單適用于

,;,()

本文件

。

信息安全技術(shù)術(shù)語

GB/T25069

3術(shù)語和定義

界定的以及下列術(shù)語和定義適用于本文件

GB/T25069。

31

.

掃描scan

使用技術(shù)工具對目標(biāo)系統(tǒng)進行探測查找目標(biāo)系統(tǒng)中存在安全弱點的過程

,。

32

.

網(wǎng)絡(luò)脆弱性