GB/T 20280-2006信息安全技術網絡脆弱性掃描產品測試評價方法

ICS35.040L80中華人民共和國國家標準GB/T20280—2006信息安全技術網絡脆弱性掃描產品測試評價方法Informationsecuritytechnology-Testingandevaluationapproachesfornetworkvulnerabilityscanners2006-05-31發(fā)布2006-12-01實施中華人民共和國國家質量監(jiān)督檢驗檢疫總局愛布中國國家標準化管理委員會

GB/T20280—2006三前言引言1范圍2規(guī)范性引用文件3術語和定義4符號、縮略語和記法約定·4.1符號和縮略語4.2記法約定………5網絡脆弱性掃描產品概述67測試評價方法及步驃7.1基本型7.1.1基本功能7.1.2性能要求7.1.3安全保證要求7.2增強型…·…………….7.2.1基本功能及性能….3安全保證要求附錄A（規(guī)范性附錄）產品廠商向測試單位提供的測試證據(jù)19A.1基本型1oA.2增強型00060006666000006000006000000000060000000000000019參考文獻圖1網絡脆弱性掃描產品測試環(huán)境拓撲圖表1環(huán)境說明

GB/T20280—2006前本標準的附錄A為規(guī)范性附錄本標準由全國信息安全標準化技術委員會提出并歸口本標準由北京中科網威信息技術有限公司、公安部十一局負責起草本標準主要起草人:肖江、陸驛、楊威、劉偉、劉兵、丁宇征。

GB/T20280—2006本標準規(guī)定了網絡脆弱性掃描產品的測評方法，包括網絡脆弱性掃描產品測評的內容，測評功能目標及測試環(huán)境.給出產品基本功能、增強功能和安全保證要求必須達到的具體目標。本標準的目的是為網絡脆弱性掃描產品的研制、生產和認證提供技術支持和指導。正確使用符合本標準的評價活動.其結果可以得到確認，檢測對象可以對網絡進行脆弱性檢查，對發(fā)現(xiàn)的安全隱患提出解決建議，從而提高了產品的質量。

GB/T20280—2006信息安全技術網絡脆弱性掃描產品測試評價方法范圍本標準規(guī)定了對采用傳輸控制協(xié)議和網際協(xié)議（TCP/IP)的網絡脆弱性掃描產品的測試、評價方法。本標準適用于對計算機信息系統(tǒng)進行人工或自動的網絡脆弱性掃描的安全產品的評測、研發(fā)和應用。本標準不適用于專門對數(shù)據(jù)庫系統(tǒng)進行脆弱性掃描的產品。規(guī)規(guī)范性引用文件下列文件中的條款通過本標準的引用而成為本標準的條款。凡是注日期的引用文件,其隨后所有的修改單(不包括勒誤的內容)或修訂版均不適用于本標準,然而，鼓勵根據(jù)本標準達成協(xié)議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標準。GB/T5271.8-2001信息技術詞匯第8部分：安全（idtISO/IEC2382-8:1998）GB/T20278—2006信息安全技術網絡脆弱性掃描產品安全技術要求語和定義GB/T5271.8-2001和GB/T20278-2006確立的術語和定義適用于本標準！符號、縮略語和記法約定4.1符號和縮略語CGI公共網關接口CommonGatewaylnterfaceCVE通用脆弱性知識庫CommonVulnerabilitiesandExposuresDNS域名系統(tǒng)DomainNameSystemDOS拒絕服務DenialOfServiceFTP文件傳輸協(xié)議FileTransferProtocol入侵檢測系統(tǒng)lntrusionDetectionSystem網際協(xié)議InternetProtocolNETBIOS網絡基本輸入輸出系統(tǒng)NETworkBasicInputOutputSystemNFS網絡文件系統(tǒng)NetworkEileSystemPOP郵局協(xié)議PostOfficeProtocolRPC遠程過程調用RemoteProcedureCall服務器消息塊協(xié)議SMBServerMessageBlockProtocol簡單網絡管理協(xié)議SNMPSimpleNetworkManagcmentProtocolTCP傳輸控制協(xié)議TransportCont