《信息安全技術(shù) 網(wǎng)絡(luò)脆弱性掃描產(chǎn)品安全技術(shù)要求》編制說明

1工作簡要過程

1.1任務(wù)來源

近年來，隨著黑客技術(shù)的不斷發(fā)展以及網(wǎng)絡(luò)非法入侵事件的激增，國內(nèi)網(wǎng)絡(luò)安全產(chǎn)品市場也呈現(xiàn)出

良好的發(fā)展態(tài)勢，各種品牌的防火墻產(chǎn)品、入侵檢測產(chǎn)品等已經(jīng)達(dá)到了相當(dāng)可觀的規(guī)模。最近幾年，網(wǎng)

絡(luò)脆弱性掃描產(chǎn)品的出現(xiàn)，為網(wǎng)絡(luò)安全產(chǎn)品廠商提供了一個(gè)展現(xiàn)自身技術(shù)水平的更高層次舞臺，市場上，

各種實(shí)現(xiàn)脆弱性掃描功能的產(chǎn)品層出不窮，發(fā)展迅速，標(biāo)準(zhǔn)《GB/T20278-2006信息安全技術(shù)網(wǎng)絡(luò)脆

弱性掃描產(chǎn)品技術(shù)要求》已不能滿足現(xiàn)在產(chǎn)品的發(fā)展需求，另一方面，為了更好地配合等級保護(hù)工作的

開展，為系統(tǒng)等級保護(hù)在產(chǎn)品層面上的具體實(shí)施提供依據(jù)，需要對該標(biāo)準(zhǔn)進(jìn)行合理的修訂，通過對該標(biāo)

準(zhǔn)的修訂，將更加全面系統(tǒng)的闡述網(wǎng)絡(luò)脆弱性掃描產(chǎn)品的安全技術(shù)要求，并對其進(jìn)行合理的分級。本標(biāo)

準(zhǔn)編寫計(jì)劃由中國國家標(biāo)準(zhǔn)化管理委員會2010年下達(dá)，計(jì)劃號20101497-T-469，由公安部第三研究所

負(fù)責(zé)制定，具體修訂工作由公安部計(jì)算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心承擔(dān)。

1.2參考國內(nèi)外標(biāo)準(zhǔn)情況

該標(biāo)準(zhǔn)修訂過程中，主要參考了：

—GB17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則

—GB/T20271-2006信息安全技術(shù)信息系統(tǒng)安全通用技術(shù)要求

—GB/T22239-2008信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求

—GB/T18336.2-2008信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則第二部分：安全功能要求

—GB/T18336.3-2008信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則第三部分：安全保證要求

—GA/T404-2002信息技術(shù)網(wǎng)絡(luò)安全漏洞掃描產(chǎn)品技術(shù)要求

—GB/T20278-2006信息安全技術(shù)網(wǎng)絡(luò)脆弱性掃描產(chǎn)品技術(shù)要求

—GB/T20280-2006信息安全技術(shù)網(wǎng)絡(luò)脆弱性掃描產(chǎn)品測試評價(jià)方法

—MSTL_JGF_04-017信息安全技術(shù)主機(jī)安全漏洞掃描產(chǎn)品檢驗(yàn)規(guī)范

1.3主要工作過程

1）成立修訂組

2010年11月在我中心成立了由顧建新具體負(fù)責(zé)的標(biāo)準(zhǔn)修訂組，共由5人組成，包括俞優(yōu)、顧建新、

張笑笑、陸臻、顧健。

2）制定工作計(jì)劃

修訂組首先制定了修訂工作計(jì)劃，并確定了修訂組人員例會及時(shí)溝通交流工作情況。

3）確定修訂內(nèi)容

經(jīng)標(biāo)準(zhǔn)修訂小組研究決定，以網(wǎng)絡(luò)脆弱性掃描產(chǎn)品發(fā)展的動向?yàn)檠芯炕A(chǔ)，以等級保護(hù)相關(guān)要求為

標(biāo)準(zhǔn)框架，修訂完成《信息安全技術(shù)網(wǎng)絡(luò)脆弱性掃描產(chǎn)品安全技術(shù)要求》。

4）修訂工作簡要過程

按照修訂進(jìn)度要求，修訂組人員首先對所參閱的產(chǎn)品、文檔以及標(biāo)準(zhǔn)進(jìn)行反復(fù)閱讀與理解，并查閱

有關(guān)資料，編寫標(biāo)準(zhǔn)修訂提綱。在對提綱進(jìn)行交流和修改的基礎(chǔ)上，開始具體修訂工作。

-1-

2010年11月至2011年1月，對國內(nèi)外網(wǎng)絡(luò)脆弱性掃描產(chǎn)品，相關(guān)技術(shù)文檔以及有關(guān)標(biāo)準(zhǔn)進(jìn)行前

期基礎(chǔ)調(diào)研。在調(diào)研期間，我們主要對我中心歷年檢測產(chǎn)品的記錄、報(bào)告以及各產(chǎn)品的技術(shù)文檔材料進(jìn)

行了篩選、匯總、分析，對國內(nèi)外網(wǎng)絡(luò)脆弱性掃描產(chǎn)品的發(fā)展動向進(jìn)行了研究，以及進(jìn)行了對國內(nèi)外相

關(guān)產(chǎn)品的技術(shù)文檔和標(biāo)準(zhǔn)分析理解等工作。

2011年1月至3月進(jìn)行了草稿的編寫工作。以我修訂組人員收集的資料為基礎(chǔ)，依據(jù)修訂提綱，

在不斷的討論和研究中，完善內(nèi)容，最終形成了本標(biāo)準(zhǔn)的草稿。

2011年3月至5月，我們收集了國內(nèi)相關(guān)產(chǎn)品的主要生產(chǎn)廠家信息，以郵件形式向他們征求意見，

包括北京神州綠盟信息安全科技股份有限公司、解放軍信息安全研究中心等單位。

2011年5月，單位內(nèi)部組織第一次標(biāo)準(zhǔn)討論會，由標(biāo)準(zhǔn)修訂組成員匯報(bào)標(biāo)準(zhǔn)的修訂情況并接受其

他同事的質(zhì)詢，會后根據(jù)本次討論會的意見，對標(biāo)準(zhǔn)內(nèi)容進(jìn)行了修改。

2011年8月，單位內(nèi)部組織第二次標(biāo)準(zhǔn)討論會，由標(biāo)準(zhǔn)修訂組成員匯報(bào)標(biāo)準(zhǔn)的修訂情況并接受其

他同事的質(zhì)詢，會后根據(jù)本次討論會的意見，對標(biāo)準(zhǔn)內(nèi)容進(jìn)行了修改。

2011年12月，WG5專家評審會在上海組織召開了對標(biāo)準(zhǔn)征求意見稿的專家評審會，評審組由吉

增瑞等多位專家組成，與會專家對草稿（第三稿）進(jìn)行了討論，并提出相關(guān)修改意見，會后修訂組再次

認(rèn)真對專家意見進(jìn)行了分析和處理，隨后形成了草稿（第四稿）。

2012年6月，單位內(nèi)部組織第三次標(biāo)準(zhǔn)討論會，由標(biāo)準(zhǔn)修訂組成員匯報(bào)標(biāo)準(zhǔn)的修訂情況并接受其

他同事的質(zhì)詢，會后根據(jù)本次討論會的意見，對標(biāo)準(zhǔn)內(nèi)容進(jìn)行了修改，形成了草稿（第五稿），在本次

討論會中，做出了一個(gè)非常重要的修改，就是將標(biāo)準(zhǔn)名稱改為《信息安全技術(shù)網(wǎng)絡(luò)脆弱性掃貓產(chǎn)品安

全技術(shù)要求》，同時(shí)對標(biāo)準(zhǔn)的整體結(jié)構(gòu)也進(jìn)行了調(diào)整，按照基本級和增強(qiáng)級分開描述的形式修訂，以便

于讀者的閱讀，并保持與其他同類國標(biāo)一致。

2012年7月26日，WG5專家組在北京對標(biāo)準(zhǔn)草稿再次進(jìn)行評審，與會專家包括趙戰(zhàn)生、王立福、

崔書昆、馮惠、袁文恭、卿斯?jié)h、肖京華、楊建軍、羅鋒盈等。專家組對草稿（第五稿）提出若干意見，

并一致同意形成標(biāo)準(zhǔn)征求意見稿。會后，按照專家意見，對標(biāo)準(zhǔn)內(nèi)容進(jìn)行了修改。本次修改的主要內(nèi)容

包括：標(biāo)準(zhǔn)封面、目錄、前言中的若干描述；標(biāo)準(zhǔn)排版；規(guī)范性引用文件中引用詞匯標(biāo)準(zhǔn)更新；定義與

術(shù)語。通過本次修改完善后，形成征求意見稿（第一稿），

2012年9月18日，收到WG5工作組投票意見，七家參與投票的單位中，有四家贊成，三家贊成

但需要修改，根據(jù)中科網(wǎng)威、江南天安、中國信息安全認(rèn)證中心三家單位提出的意見進(jìn)行了修改，通過

本次修改，將產(chǎn)品的術(shù)語定義“掃描”和“網(wǎng)絡(luò)脆弱性掃描”進(jìn)行了進(jìn)一步的推敲和明確；刪除了“可

允許網(wǎng)絡(luò)性能的少量降低”和“遠(yuǎn)程保密傳輸”這兩項(xiàng)描述比較含糊的要求，形成征求意見稿（第二稿）。

2確定標(biāo)準(zhǔn)主要內(nèi)容的論據(jù)

2.1修訂目標(biāo)和原則

2.1.1修訂目標(biāo)

本標(biāo)準(zhǔn)的修訂目標(biāo)是：對網(wǎng)絡(luò)脆弱性掃描類產(chǎn)品提出產(chǎn)品功能要求、產(chǎn)品自身安全要求以及產(chǎn)品保

證要求，使之適用于我國脆弱性掃描產(chǎn)品的研究、開發(fā)、測試、評估以及采購。

-2-

2.1.2修訂原則

為了使我國網(wǎng)絡(luò)脆弱性掃描產(chǎn)品的開發(fā)工作從一開始就與國家標(biāo)準(zhǔn)保持一致，本標(biāo)準(zhǔn)的編寫參考了

國家有關(guān)標(biāo)準(zhǔn)，主要有GA/T698-2007、GB/T17859-1999、GB/T20271-2006、GB/T22239-2008和GB/T

18336-2008第二、三部分。本標(biāo)準(zhǔn)又要符合我國的實(shí)際情況，遵從我國有關(guān)法律、法規(guī)的規(guī)定。具體

原則與要求如下：

1）先進(jìn)性

標(biāo)準(zhǔn)是先進(jìn)經(jīng)驗(yàn)的總結(jié)，同時(shí)也是技術(shù)的發(fā)展趨勢。目前，我國網(wǎng)絡(luò)脆弱性掃描類產(chǎn)品種類繁多，

功能良莠不齊，要制定出先進(jìn)的信息安全技術(shù)標(biāo)準(zhǔn)，必須參考國內(nèi)外先進(jìn)技術(shù)和標(biāo)準(zhǔn)，吸收其精華，制

定出具有先進(jìn)水平的標(biāo)準(zhǔn)。本標(biāo)準(zhǔn)的編寫始終遵循這一原則。

2）實(shí)用性

標(biāo)準(zhǔn)必須是可用的，才有實(shí)際意義。因此本標(biāo)準(zhǔn)的編寫是在對國內(nèi)外標(biāo)準(zhǔn)的相關(guān)技術(shù)內(nèi)容消化、吸

收的基礎(chǔ)上，結(jié)合我國的實(shí)際情況，制定出符合我國國情的、可操作性強(qiáng)的標(biāo)準(zhǔn)。

3）兼容性

本標(biāo)準(zhǔn)既要與國際接軌，更要與我國現(xiàn)有的政策、法規(guī)、標(biāo)準(zhǔn)、規(guī)范等相一致。修訂組在對標(biāo)準(zhǔn)起

草過程中始終遵循此原則，其內(nèi)容符合我國已經(jīng)發(fā)布的有關(guān)政策、法律和法規(guī)。

2.2對網(wǎng)絡(luò)脆弱性掃描類產(chǎn)品的理解

2.2.1網(wǎng)絡(luò)脆弱性掃描產(chǎn)品

脆弱性掃描是一項(xiàng)重要的安全技術(shù)，它采用模擬攻擊的形式對網(wǎng)絡(luò)系統(tǒng)組成元素（服務(wù)器、工作站、

路由器和防火墻等）可能存在的安全漏洞進(jìn)行逐項(xiàng)檢查，根據(jù)檢查結(jié)果提供詳細(xì)的脆弱性描述和修補(bǔ)方

案，形成系統(tǒng)安全性分析報(bào)告，從而為網(wǎng)絡(luò)管理員完善網(wǎng)絡(luò)系統(tǒng)提供依據(jù)。通常，我們將完成脆弱性掃

描的軟件、硬件或軟硬一體的組合稱為脆弱性掃描產(chǎn)品。

脆弱性掃描產(chǎn)品的分類

根據(jù)工作模式，脆弱性掃描產(chǎn)品分為主機(jī)脆弱性掃描產(chǎn)品和網(wǎng)絡(luò)脆弱性掃描產(chǎn)品。其中前者基于主

機(jī)，通過在主機(jī)系統(tǒng)本地運(yùn)行代理程序來檢測系統(tǒng)脆弱性，例如針對操作系統(tǒng)和數(shù)據(jù)庫的掃描產(chǎn)品。后

者基于網(wǎng)絡(luò)，通過請求/應(yīng)答方式遠(yuǎn)程檢測目標(biāo)網(wǎng)絡(luò)和主機(jī)系統(tǒng)的安全脆弱性。例如Satan和ISSInternet

Scanner等。針對檢測對象的不同，脆弱性掃描產(chǎn)品還可分為網(wǎng)絡(luò)掃描產(chǎn)品、操作系統(tǒng)掃描產(chǎn)品、WWW

服務(wù)掃描產(chǎn)品、數(shù)據(jù)庫掃描產(chǎn)品以及無線網(wǎng)絡(luò)掃描產(chǎn)品。

脆弱性掃描產(chǎn)品通常以三種形式出現(xiàn)：單一的掃描軟件，安裝在計(jì)算機(jī)或掌上電腦上，例如ISS

InternetScanner；基于客戶機(jī)（管理端）/服務(wù)器（掃描引擎）模式或?yàn)g覽器/服務(wù)器模式，通常為軟件，

安裝在不同的計(jì)算機(jī)上，也有將掃描引擎做成硬件的，例如Nessus；也有作為其他安全產(chǎn)品的組件，

例如防御安全評估就是防火墻的一個(gè)組件。

-3-

網(wǎng)絡(luò)脆弱性掃描產(chǎn)品通過遠(yuǎn)程檢測目標(biāo)主機(jī)TCP/IP不同端口的服務(wù)，記錄目標(biāo)給予的應(yīng)答，來搜

集目標(biāo)主機(jī)上的各種信息，然后與系統(tǒng)的漏洞庫進(jìn)行匹配，如果滿足匹配條件，則認(rèn)為安全漏洞存在；

或者通過模擬黑客的攻擊手法對目標(biāo)主機(jī)進(jìn)行攻擊，如果模擬攻擊成功，則認(rèn)為安全漏洞存在。

主機(jī)脆弱性掃描產(chǎn)品則通過在主機(jī)本地的代理程序?qū)ο到y(tǒng)配置、注冊表、系統(tǒng)日志、文件系統(tǒng)或數(shù)

據(jù)庫活動進(jìn)行監(jiān)視掃描，搜集他們的信息，然后與系統(tǒng)的漏洞庫進(jìn)行比較，如果滿足匹配條件，則認(rèn)為

安全漏洞存在。

在匹配原理上，目前脆弱性掃描產(chǎn)品大都采用基于規(guī)則的匹配技術(shù)，即通過對網(wǎng)絡(luò)系統(tǒng)安全脆弱性、

黑客攻擊案例和網(wǎng)絡(luò)系統(tǒng)安全配置的分析，形成一套標(biāo)準(zhǔn)安全脆弱性的特征庫，在此基礎(chǔ)上進(jìn)一步形成

相應(yīng)的匹配規(guī)則，由掃描產(chǎn)品自動完成掃描分析工作。

端口掃描技術(shù)

網(wǎng)絡(luò)脆弱性掃描是建立在端口掃描的基礎(chǔ)上的，支持TCP/IP協(xié)議的主機(jī)和設(shè)備，都是以開放端口

來提供服務(wù)，端口可以說是系統(tǒng)對外的窗口，安全漏洞也往往通過端口暴露出來。因此，網(wǎng)絡(luò)脆弱性掃

描產(chǎn)品為了提高掃描效率，首先需要判斷系統(tǒng)的哪些端口是開放的，然后對開放的端口執(zhí)行某些掃描腳

本，進(jìn)一步尋找安全漏洞。掃描產(chǎn)品一般集成了以下幾種主要的端口掃描技術(shù)。

TCPSYN掃描

通常稱為“半打開”掃描，這是因?yàn)閽呙璩绦虿槐匾蜷_一個(gè)完全的TCP連接。掃描程序發(fā)送的

是一個(gè)SYN數(shù)據(jù)包，好象準(zhǔn)備打開一個(gè)實(shí)際的連接并等待反應(yīng)一樣（參考TCP的三次握手建立一個(gè)

TCP連接的過程）。一個(gè)SYN/ACK的返回信息表示端口處于偵聽狀態(tài)。一個(gè)RST返回，表示端口沒有

處于偵聽狀態(tài)。

TCPFIN掃描

TCPFIN掃描的思路是關(guān)閉的端口使用適當(dāng)?shù)腞ST來回復(fù)FIN數(shù)據(jù)包，而打開的端口會忽略對FIN

數(shù)據(jù)包的回復(fù)。這種方法與系統(tǒng)實(shí)現(xiàn)有一定的關(guān)系，有的系統(tǒng)不管端口是否打開，都回復(fù)RST，在這

種情況下，該掃描方法就不適用了，但可以區(qū)分Unix和WindowsNT

TCPconnect（）掃描

這是最基本的TCP掃描。操作系統(tǒng)提供的connect（）系統(tǒng)調(diào)用，用來與每一個(gè)感興趣的目標(biāo)計(jì)算

機(jī)的端口進(jìn)行連接。如果端口處于偵聽狀態(tài)，那么connect（）就能成功。否則，這個(gè)端口是不能用的，

即沒有提供服務(wù)。

FIN+URG+PUSH掃描

-4-

向目標(biāo)主機(jī)發(fā)送一個(gè)FIN、URG和PUSH分組，根據(jù)RFC793，如果目標(biāo)主機(jī)的相應(yīng)端口是關(guān)閉

的，那么應(yīng)該返回一個(gè)RST標(biāo)志。

NULL掃描

通過發(fā)送一個(gè)沒有任何標(biāo)志位的TCP包，根據(jù)RFC793，如果目標(biāo)主機(jī)的相應(yīng)端口是關(guān)閉的，它應(yīng)

該發(fā)送回一個(gè)RST數(shù)據(jù)包。

UDPICMP端口不能到達(dá)掃描

在向一個(gè)未打開的UDP端口發(fā)送一個(gè)數(shù)據(jù)包時(shí)，許多主機(jī)會返回一個(gè)ICMP_PORT_UNREACH錯(cuò)

誤。這樣就能發(fā)現(xiàn)哪個(gè)端口是關(guān)閉的。UDP和ICMP錯(cuò)誤都不保證能到達(dá)，因此這種掃描器必須能夠

重新傳輸丟失的數(shù)據(jù)包。這種掃描方法速度很慢，因?yàn)镽FC對ICMP錯(cuò)誤消息的產(chǎn)生速率做了規(guī)定。

安全漏洞特征定義

目前，脆弱性掃描產(chǎn)品多數(shù)采用基于特征的匹配技術(shù)，與基于誤用檢測技術(shù)的入侵檢測系統(tǒng)相類似。

掃描產(chǎn)品首先通過請求/應(yīng)答，或通過執(zhí)行攻擊腳本，來搜集目標(biāo)主機(jī)上的信息，然后在獲取的信息中

尋找漏洞特征庫定義的安全漏洞，如果有，則認(rèn)為安全漏洞存在。可以看到，安全漏洞能否發(fā)現(xiàn)很大程

度上取決于漏洞特征的定義。

掃描器發(fā)現(xiàn)的安全漏洞應(yīng)該符合國際標(biāo)準(zhǔn)，這是對掃描器的基本要求。但是由于掃描器的開發(fā)商大

都自行定義標(biāo)準(zhǔn)，使得安全漏洞特征的定義不盡相同。

漏洞特征庫通常是在分析網(wǎng)絡(luò)系統(tǒng)安全漏洞、黑客攻擊案例和網(wǎng)絡(luò)系統(tǒng)安全配置的基礎(chǔ)上形成的。

對于網(wǎng)絡(luò)安全漏洞，人們還需要分析其表現(xiàn)形式，檢查它在某個(gè)連接請求情況下的應(yīng)答信息；或者

通過模式攻擊的形式，查看模擬攻擊過程中目標(biāo)的應(yīng)答信息，從應(yīng)答信息中提取安全漏洞特征。漏洞特

征的定義如同入侵檢測系統(tǒng)中對攻擊特征的定義，是開發(fā)漏洞掃描系統(tǒng)的主要工作，其準(zhǔn)確直接關(guān)系到

漏洞掃描系統(tǒng)性能的好壞。這些漏洞特征，有的存在于單個(gè)應(yīng)答數(shù)據(jù)包中，有的存在于多個(gè)應(yīng)答數(shù)據(jù)包

中，還有的維持在一個(gè)網(wǎng)絡(luò)連接之中。因此，漏洞特征定義的難度很大，需要反復(fù)驗(yàn)證和測試。目前，

國內(nèi)許多漏洞掃描產(chǎn)品直接基于國外的一些源代碼進(jìn)行開發(fā)。利用現(xiàn)成的漏洞特征庫，使系統(tǒng)的性能基

本能夠與國外保持同步，省掉不少工作量，但核心內(nèi)容并不能很好掌握。從長遠(yuǎn)發(fā)展來看，我國需要有

自主研究安全漏洞特征庫實(shí)力的掃描類產(chǎn)品開發(fā)商，以掌握漏洞掃描的核心技術(shù)。

漏洞特征定義之所以重要，在于其直接決定了漏洞掃描產(chǎn)品的性能。在討論入侵檢測技術(shù)時(shí)，我們

經(jīng)常會談到誤報(bào)率和漏報(bào)率，其實(shí)這個(gè)問題漏洞掃描產(chǎn)品也同樣存在，只不過因?yàn)槿肭謾z測還利用了異

常檢測技術(shù)，以及受網(wǎng)絡(luò)流量等因素影響，使得這個(gè)問題更加突出罷了。作為特征匹配技術(shù)本身，它的

誤報(bào)率和漏報(bào)率是比較低的。一個(gè)定義非常好的漏洞特征，就會使誤報(bào)率和漏報(bào)率很低；反之，一個(gè)定

-5-

義得不好的漏洞特征，就會使誤報(bào)率和漏報(bào)率較高。從網(wǎng)絡(luò)安全的角度看，一個(gè)安全掃描過程是非常從

容的（不象入侵檢測需要面對復(fù)雜多變的網(wǎng)絡(luò)流量和攻擊），所以誤報(bào)率和漏報(bào)率完全取決于漏洞特征

的定義。

漏洞特征庫的多少決定了脆弱性掃描產(chǎn)品能夠發(fā)現(xiàn)安全漏洞的數(shù)量，所以這是衡量一個(gè)脆弱性掃描

產(chǎn)品功能強(qiáng)弱的重要因素。這需要引出脆弱性特征庫升級（即產(chǎn)品升級）問題。由于每天都有可能出現(xiàn)

新的安全漏洞，而基于特征匹配的脆弱性掃描技術(shù)不可能發(fā)現(xiàn)未知的安全漏洞，所以特征庫的及時(shí)升級

就顯得尤為重要。

模擬攻擊腳本定制

掃描目標(biāo)的信息，例如操作系統(tǒng)類型版本號、網(wǎng)絡(luò)服務(wù)旗幟和一些安全漏洞，掃描產(chǎn)品都可以通過

發(fā)送一些請求包來得到。但是確定安全漏洞是否存在，掃描產(chǎn)品不得不依靠模擬攻擊的方式來進(jìn)行。一

般情況下，掃描產(chǎn)品嘗試對某個(gè)安全漏洞進(jìn)行攻擊，如果攻擊成功，就能證明安全漏洞存在，掃描產(chǎn)品

作為一個(gè)安全工具應(yīng)該對網(wǎng)絡(luò)系統(tǒng)無損或損害很小。事實(shí)上，掃描產(chǎn)品并不真正對目標(biāo)主機(jī)進(jìn)行攻擊，

而是采用定制的腳本模擬對系統(tǒng)進(jìn)行攻擊，然后對過程和結(jié)果進(jìn)行分析。

攻擊腳本的定制對于安全掃描和安全漏洞的驗(yàn)證都十分關(guān)鍵，也是掃描產(chǎn)品的關(guān)鍵技術(shù)之一。模擬

攻擊腳本與漏洞特征庫緊密相關(guān)，需要獲取包含脆弱性特征的信息。事實(shí)上，模擬攻擊腳本是實(shí)際攻擊

的一個(gè)簡化版或弱化版，達(dá)到獲取信息的目的即可，而不需要把目標(biāo)攻癱或獲取根權(quán)限。例如模擬的拒

絕服務(wù)攻擊腳本，一旦發(fā)現(xiàn)系統(tǒng)出現(xiàn)異常時(shí)就會立刻停止攻擊。探測弱口令之類安全漏洞的腳本，則會

利用賬戶簡單交換、長度較短和易猜解的口令進(jìn)行嘗試，而不會像口令破解程序那樣會去窮盡整個(gè)搜索

空間。

模擬攻擊腳本的定制參照于實(shí)際攻擊的過程。針對某個(gè)具體的安全漏洞，人們需要首先利用實(shí)際攻

擊工具進(jìn)行攻擊，記錄下攻擊的每一個(gè)步驟、目標(biāo)應(yīng)答和結(jié)果信息，分析這些信息，在其中尋找脆弱性

特征，最后定制模擬攻擊腳本。由于有些安全漏洞存在于一個(gè)主體或表現(xiàn)在攻擊過程中，所以一個(gè)模擬

攻擊腳本有時(shí)能夠檢測到多個(gè)安全漏洞。我們在看一個(gè)脆弱性掃描產(chǎn)品的技術(shù)說明書時(shí)，經(jīng)常會看到產(chǎn)

品有多少種攻擊手法，能夠發(fā)現(xiàn)多少種安全漏洞，這里所說的攻擊手法就是指模擬的攻擊腳本。通常，

模擬攻擊腳本越多，掃描器能夠發(fā)現(xiàn)的安全漏洞種類就越多，功能也就越強(qiáng)大。

技術(shù)趨勢

從最初的專門為UNIX系統(tǒng)編寫的具有簡單功能的小程序發(fā)展到現(xiàn)在，脆弱性掃描系統(tǒng)已經(jīng)成為能

夠運(yùn)行在各種操作系統(tǒng)平臺上、具有復(fù)雜功能的商業(yè)程序。脆弱性掃描產(chǎn)品的發(fā)展正呈現(xiàn)出以下趨勢。

系統(tǒng)評估愈發(fā)重要

-6-

目前多數(shù)脆弱性掃描產(chǎn)品只能夠簡單地把各個(gè)掃描器測試項(xiàng)的執(zhí)行結(jié)果（目標(biāo)主機(jī)信息、安全漏洞

信息和補(bǔ)救建議等）羅列出來提供給測試者，而不對信息進(jìn)行任何分析處理。少數(shù)脆弱性掃描產(chǎn)品能夠

將掃描結(jié)果整理形成報(bào)表，依據(jù)一些關(guān)鍵詞（如IP地址和風(fēng)險(xiǎn)等級等）對掃描結(jié)果進(jìn)行歸納總結(jié)，但

是仍然沒有分析掃描結(jié)果，缺乏對網(wǎng)絡(luò)安全狀況的整體評估，也不會提出解決方案。

在系統(tǒng)評估方面，我國的國標(biāo)已明確提出系統(tǒng)評估分析應(yīng)包括目標(biāo)的風(fēng)險(xiǎn)等級評估、同一目標(biāo)多次

掃描形式的趨勢分析、多個(gè)目標(biāo)掃描后結(jié)果的總體分析、關(guān)鍵脆弱性掃描信息的摘要和主機(jī)間的比較分

析等等，而不能僅僅將掃描結(jié)果進(jìn)行簡單羅列。應(yīng)該說，脆弱性掃描技術(shù)已經(jīng)對掃描后的評估越來越重

視。下一代的脆弱性掃描系統(tǒng)不但能夠掃描安全漏洞，還能夠智能化地協(xié)助管理人員評估網(wǎng)絡(luò)的安全狀

況，并給出安全建議。為達(dá)這一目的，開發(fā)廠商需要在脆弱性掃描產(chǎn)品中集成安全評估專家系統(tǒng)。專家

系統(tǒng)應(yīng)能夠從網(wǎng)絡(luò)安全策略、風(fēng)險(xiǎn)評估、脆弱性評估、脆弱性修補(bǔ)、網(wǎng)絡(luò)結(jié)構(gòu)和安全體系等多個(gè)方面綜

合對網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全評估。

插件技術(shù)和專用腳本語言

插件就是信息收集或模擬攻擊的腳本，每個(gè)插件都封裝著一個(gè)或者多個(gè)漏洞的測試手段。通常，脆

弱性掃描產(chǎn)品是借助于主掃描程序通過用插件的方法來執(zhí)行掃描，通過添加新的插件就可以使掃描產(chǎn)品

增加新的功能，掃描更多的脆弱性。如果能夠格式化插件的編寫規(guī)范并予以公布，用戶或者第三方就可

以自己編寫插件來擴(kuò)展掃描器的功能。插件技術(shù)可使掃描產(chǎn)品的結(jié)構(gòu)清晰，升級維護(hù)變的相對簡單，并

具有非常強(qiáng)的擴(kuò)展性。目前，大多數(shù)掃描產(chǎn)品其實(shí)已采用了基于插件的技術(shù)，但各開發(fā)商自行規(guī)定接口

規(guī)范，還沒有達(dá)到嚴(yán)格的規(guī)范水平。

專用腳本語言是一種更高級的插件技術(shù)，用戶使用專用腳本語言可以大大擴(kuò)展掃描器的功能。這些

腳本語言語法通常比較簡單直觀，十幾行代碼就可以定制一個(gè)安全漏洞的檢測，為掃描器添加新的檢測

項(xiàng)目。專用腳本語言的使用，簡化了編寫新插件的編程工作，使擴(kuò)展掃描產(chǎn)品功能的工作變的更加方便，

能夠更快跟上安全漏洞出現(xiàn)的速度。

網(wǎng)絡(luò)拓?fù)鋻呙?/p>

網(wǎng)絡(luò)拓?fù)鋻呙枘壳斑€被大多數(shù)掃描器所忽略。隨著系統(tǒng)評估的愈發(fā)重要，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)正成為安全

體系中的一個(gè)重要因素。拓?fù)鋻呙枘軌蜃R別網(wǎng)絡(luò)上的各種設(shè)備以及設(shè)備的連接關(guān)系，能夠識別子網(wǎng)或

VLAN的劃分，能夠發(fā)現(xiàn)網(wǎng)絡(luò)的不合理連接，并以圖形方式將這種結(jié)構(gòu)展現(xiàn)在用戶面前。

拓?fù)鋻呙枘軌蛟诜欠ǖ木W(wǎng)絡(luò)接入，失效的網(wǎng)絡(luò)隔離和網(wǎng)絡(luò)異常中斷等方面發(fā)揮關(guān)鍵作用，網(wǎng)絡(luò)拓?fù)鋻?/p>

描正成為安全評估的重要手段。

安全設(shè)備有效性檢測

-7-

防火墻、入侵檢測系統(tǒng)等安全設(shè)備已經(jīng)取得了廣泛的使用，這些安全設(shè)備的效果如何卻很少引起人

們的關(guān)注和測試。以防火墻配置為例，如果它在交換（透明）模式（無IP地址）下工作，脆弱性掃描

產(chǎn)品將無法對它進(jìn)行有效檢測，防火墻工作有效與否就無從得知。未來的脆弱性掃描產(chǎn)品將會采用閉環(huán)

路式結(jié)構(gòu)，能夠接入防火墻的兩端進(jìn)行有效性測試，檢測其訪問控制措施、抗攻擊措施是否與安全策略

一致。

支持CVE國際標(biāo)準(zhǔn)

在設(shè)計(jì)掃描程序或制定應(yīng)對策略時(shí)，不同的廠商對漏洞的稱謂完全不同。CVE是一個(gè)有關(guān)安全漏

洞和信息泄露標(biāo)準(zhǔn)名稱的列表，CVE（CommonVulnerabilitiesandExposures）的目標(biāo)是將眾所周知的安

全漏洞和信息泄露的名稱標(biāo)準(zhǔn)化。CVE的編委包括多個(gè)安全信息相關(guān)組織，由商業(yè)安全工具供應(yīng)商、

學(xué)術(shù)界成員、研究機(jī)構(gòu)、政府機(jī)構(gòu)和安全專家組成。通過開放與合作的討論，這些組織將決定哪些安全

漏洞和信息泄露問題將被包括在CVE中，然后在決定它們的通用名稱和對這些條目的描述。

軟件固化和安全的OS平臺

由于脆弱性掃描產(chǎn)品是模擬攻擊舉動的安全工具，這就對該類產(chǎn)品自身的安全性提出了要求。產(chǎn)品

本身的安全性主要指產(chǎn)品的抗攻擊性能，如果軟件本身或者軟件的運(yùn)行平臺無法保證安全性，掃描器就

有可能感染病毒、木馬等有害程序，影響用戶的使用。由于軟件產(chǎn)品無法杜絕被感染的可能，脆弱性掃

描產(chǎn)品正在向硬件化的方向發(fā)展，高檔產(chǎn)品還在FLASH、文件系統(tǒng)、通信接口等方面采用非通用程序，

以徹底杜絕被惡意程序攻擊和感染的可能。

支持分布式掃描

目前的用戶網(wǎng)絡(luò)越來越復(fù)雜，沒有劃分VLAN的單一網(wǎng)絡(luò)越來越少見。多個(gè)子網(wǎng)之間一般都有訪問

限制，不同子網(wǎng)之間還設(shè)有防火墻。這些限制會對跨網(wǎng)段的掃描產(chǎn)生影響，使掃描結(jié)果不準(zhǔn)確。今后的

掃描產(chǎn)品必須能夠進(jìn)行分布式掃描，以便對網(wǎng)絡(luò)接點(diǎn)進(jìn)行徹底、全面的檢查。

2.2.2與等級保護(hù)的關(guān)系

原標(biāo)準(zhǔn)《GB/T20278-2006信息安全技術(shù)網(wǎng)絡(luò)脆弱性掃描產(chǎn)品技術(shù)要求》在制定時(shí)沒有考慮與

《GB/T20271-2006信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求》和《GB/T22239-2008信息安全技術(shù)

信息系統(tǒng)安全等級保護(hù)基本要求》之間的相互關(guān)系。該類標(biāo)準(zhǔn)只是將網(wǎng)絡(luò)脆弱性掃描產(chǎn)品粗分為基本級

和增強(qiáng)級兩個(gè)級別，且與“基本要求”和“通用要求”中的劃分沒有對應(yīng)關(guān)系，不利于該類產(chǎn)品在系統(tǒng)

等級保護(hù)推行中產(chǎn)品選擇方面的有效對應(yīng)?！禛B/T22239-2008信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)

基本要求》的網(wǎng)絡(luò)安全管理，從第一級就要求“定期進(jìn)行網(wǎng)絡(luò)系統(tǒng)漏洞掃描，對發(fā)現(xiàn)的網(wǎng)絡(luò)系統(tǒng)安全漏

洞進(jìn)行及時(shí)的修補(bǔ)”，《GB/T20271-2006信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求》中的信息系統(tǒng)安

-8-

全性檢測分析，從第二級開始要求“操作系統(tǒng)安全性檢測分析、數(shù)據(jù)庫管理系統(tǒng)安全性檢測分析、網(wǎng)絡(luò)

系統(tǒng)安全性檢測分析、應(yīng)用系統(tǒng)安全性檢測分析和硬件系統(tǒng)安全性檢測分析的要求，運(yùn)用有關(guān)工具，檢

測所選用和/或開發(fā)的操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、應(yīng)用系統(tǒng)、硬件系統(tǒng)的安全性，并通過

對檢測結(jié)果的分析，按系統(tǒng)審計(jì)保護(hù)級的要求，對存在的安全問題加以改進(jìn)。”

本次在對原標(biāo)準(zhǔn)的修訂過程中，對于產(chǎn)品本身的安全保護(hù)要求，主要參考了GB/T17859-1999、GB/T

20271-2006、GB/T18336-2008、GB/T22239-2008等，以等級保護(hù)的思路編寫制定了自身安全功能要求

和保證要求。對于產(chǎn)品提供服務(wù)功能的安全保護(hù)能力方面，現(xiàn)階段是以產(chǎn)品功能強(qiáng)弱以及配合等級保護(hù)

安全、審計(jì)等要素進(jìn)行分級的。通過對標(biāo)準(zhǔn)意見的不斷收集以及修改，將產(chǎn)品提供的功能與等級保護(hù)安

全要素產(chǎn)生更密切的聯(lián)系，以便有能力參與到系統(tǒng)等級保護(hù)相關(guān)要素的保護(hù)措施中去。

2.2.3與原標(biāo)準(zhǔn)的區(qū)別

1)標(biāo)準(zhǔn)結(jié)構(gòu)更加清晰規(guī)范，全文按照產(chǎn)品安全功能要求、自身安全功能要求和安全保證要求三部

分進(jìn)行整理修訂，與其他信息安全產(chǎn)品標(biāo)準(zhǔn)的編寫結(jié)構(gòu)保持一致。

2）刪除原標(biāo)準(zhǔn)中性能部分的要求，將原來有關(guān)掃描速度、穩(wěn)定性和容錯(cuò)性，以及脆弱性發(fā)現(xiàn)能力

等重新整理，作為功能部分予以要求，同時(shí)，考慮到原來對于誤報(bào)率和漏報(bào)濾的模糊描述以及實(shí)際測試

的操作性較差，刪除了這兩項(xiàng)內(nèi)容的要求。

3）對于產(chǎn)品功能要求的邏輯結(jié)構(gòu)進(jìn)行重新整理，按照信息獲取，端口掃描，脆弱性掃描，報(bào)告的

先后順序進(jìn)行修訂，使得產(chǎn)品的功能要求在描述上逐步遞進(jìn)，易于讀者的理解，并且結(jié)合產(chǎn)品的功能強(qiáng)

弱進(jìn)行分級。

4)對于產(chǎn)品的自身安全功能要求和安全保證要求，充分參考了等級保護(hù)的要求，對其進(jìn)行了重新

分級，使得該標(biāo)準(zhǔn)在應(yīng)用時(shí)更能有效指導(dǎo)產(chǎn)品的開發(fā)和檢測，使得產(chǎn)品能更加有效的應(yīng)用于系統(tǒng)的等級

保護(hù)工作。

5）將標(biāo)準(zhǔn)名稱修改為《信息安全技術(shù)網(wǎng)絡(luò)脆弱性掃描產(chǎn)品安全技術(shù)要求》，增加了“安全”二字，

體現(xiàn)出這個(gè)標(biāo)準(zhǔn)的內(nèi)容是規(guī)定了產(chǎn)品的安全要求，而非其它電器、尺寸、環(huán)境等標(biāo)準(zhǔn)要求。

6）將原標(biāo)準(zhǔn)中“網(wǎng)絡(luò)脆弱性掃描”的定義修改為“通過網(wǎng)絡(luò)對目標(biāo)網(wǎng)絡(luò)系統(tǒng)安全隱患進(jìn)行遠(yuǎn)程探

測的過程，它對網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全脆弱性檢測和分析，從而發(fā)現(xiàn)可能被入侵者利用的漏洞，并可以提出

一定的防范和補(bǔ)救措施建議?！弊鳛閽呙桀惍a(chǎn)品，在發(fā)現(xiàn)系統(tǒng)脆弱性的同時(shí)，還要求“能夠采取一定的

補(bǔ)救措施?！边@顯然是不合理的，而且這也不應(yīng)該是該類產(chǎn)品需要具備的功能，所以將產(chǎn)品定義的最后

修改為“并可以提出一定的防范和補(bǔ)救措施建議。”，提出補(bǔ)救建議就足夠了。

7）刪除了原標(biāo)準(zhǔn)中的“數(shù)據(jù)庫脆弱性”，數(shù)據(jù)庫的安全性要求很多，現(xiàn)在市場上已經(jīng)出現(xiàn)了專門

針對數(shù)據(jù)庫安全性掃描的一類產(chǎn)品，該要求不應(yīng)該作為本產(chǎn)品中具備的一個(gè)小項(xiàng)提出，故將其刪除。

-9-

8）刪除了原標(biāo)準(zhǔn)中的“安裝與操作控制”，該要求涉及的內(nèi)容屬于產(chǎn)品的安裝與使用，不是產(chǎn)品

應(yīng)具備的功能要求，故刪除，新標(biāo)準(zhǔn)修訂后在產(chǎn)品的安全保證要求中有所提及。

9）刪除了原標(biāo)準(zhǔn)中的“與IDS產(chǎn)品的互動”、“與防火墻產(chǎn)品的互動”、“與其它應(yīng)用程序之間的互

動”，如果脆弱性掃描產(chǎn)品作為一套完整的大型系統(tǒng)中的一部分，要求具備這些可以與IDS、防火墻等

聯(lián)動的功能是非常有必要的，當(dāng)掃描設(shè)備發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中存在某些脆弱性后，可以與其他設(shè)備聯(lián)動進(jìn)行

自動