计算机信息系统安全等级保护数据库安全技术要求

《信息安全技术网络脆弱性扫描产品安全技术要求》

修订说明

1 工作简要过程

1.1 任务来源

近年来，随着黑客技术的不断发展以及网络非法入侵事件的激增，国内网络安全产品市场也呈现出良好的发展态势，各种品牌的防火墙产品、入侵检测产品等已经达到了相当可观的规模。最近几年，网络脆弱性扫描产品的出现，为网络安全产品厂商提供了一个展现自身技术水平的更高层次舞台，市场上，各种实现脆弱性扫描功能的产品层出不穷，发展迅速，标准《GB/T 20278-2006 信息安全技术网络脆弱性扫描产品技术要求》已不能满足现在产品的发展需求，另一方面，为了更好地配合等级保护工作的开展，为系统等级保护在产品层面上的具体实施提供依据，需要对该标准进行合理的修订，通过对该标准的修订，将更加全面系统的阐述网络脆弱性扫描产品的安全技术要求，并对其进行合理的分级。本标准编写计划由中国国家标准化管理委员会2010年下达，计划号20101497-T-469，由公安部第三研究所负责制定，具体修订工作由公安部计算机信息系统安全产品质量监督检验中心承担。

1.2 参考国内外标准情况

该标准修订过程中，主要参考了：

—GB 17859-1999 计算机信息系统安全保护等级划分准则

—GB/T 20271-2006 信息安全技术信息系统安全通用技术要求

—GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求

—GB/T 18336.2-2008 信息技术安全技术信息技术安全性评估准则第二部分：安全功能要求—GB/T 18336.3-2008 信息技术安全技术信息技术安全性评估准则第三部分：安全保证要求—GA/T 404-2002 信息技术网络安全漏洞扫描产品技术要求

—GB/T 20278-2006 信息安全技术网络脆弱性扫描产品技术要求

—GB/T 20280-2006信息安全技术网络脆弱性扫描产品测试评价方法

—MSTL_JGF_04-017 信息安全技术主机安全漏洞扫描产品检验规范

1.3 主要工作过程

1）成立修订组

2010年11月在我中心成立了由顾建新具体负责的标准修订组，共由5人组成，包括俞优、顾建新、张笑笑、陆臻、顾健。

2）制定工作计划

修订组首先制定了修订工作计划，并确定了修订组人员例会及时沟通交流工作情况。

3）确定修订内容

经标准修订小组研究决定，以网络脆弱性扫描产品发展的动向为研究基础，以等级保护相关要求为标准框架，修订完成《信息安全技术网络脆弱性扫描产品安全技术要求》。

4）修订工作简要过程

按照修订进度要求，修订组人员首先对所参阅的产品、文档以及标准进行反复阅读与理解，并查阅有关资料，编写标准修订提纲。在对提纲进行交流和修改的基础上，开始具体修订工作。

2010年11月至2011年1月，对国内外网络脆弱性扫描产品，相关技术文档以及有关标准进行前期基础调研。在调研期间，我们主要对我中心历年检测产品的记录、报告以及各产品的技术文档材料进行了筛选、汇总、分析，对国内外网络脆弱性扫描产品的发展动向进行了研究，以及进行了对国内外相关产品的技术文档和标准分析理解等工作。

2011年1月至3月进行了草稿的编写工作。以我修订组人员收集的资料为基础，依据修订提纲，在不断的讨论和研究中，完善内容，最终形成了本标准的草稿。

2011年3月至5月，我们收集了国内相关产品的主要生产厂家信息，以邮件形式向他们征求意见，包括北京神州绿盟信息安全科技股份有限公司、解放军信息安全研究中心等单位。

2011年5月，单位内部组织第一次标准讨论会，由标准修订组成员汇报标准的修订情况并接受其他同事的质询，会后根据本次讨论会的意见，对标准内容进行了修改。

2011年8月，单位内部组织第二次标准讨论会，由标准修订组成员汇报标准的修订情况并接受其他同事的质询，会后根据本次讨论会的意见，对标准内容进行了修改。

2011年12月，WG5专家评审会在上海组织召开了对标准征求意见稿的专家评审会，评审组由吉增瑞等多位专家组成，与会专家对草稿（第三稿）进行了讨论，并提出相关修改意见，会后修订组再次认真对专家意见进行了分析和处理，随后形成了草稿（第四稿）。

2012年6月，单位内部组织第三次标准讨论会，由标准修订组成员汇报标准的修订情况并接受其他同事的质询，会后根据本次讨论会的意见，对标准内容进行了修改，形成了草稿（第五稿），在本次讨论会中，做出了一个非常重要的修改，就是将标准名称改为《信息安全技术网络脆弱性扫猫产品安全技术要求》，同时对标准的整体结构也进行了调整，按照基本级和增强级分开描述的形式修订，以便于读者的阅读，并保持与其他同类国标一致。

2012年7月26日，WG5专家组在北京对标准草稿再次进行评审，与会专家包括赵战生、王立福、崔书昆、冯惠、袁文恭、卿斯汉、肖京华、杨建军、罗锋盈等。专家组对草稿（第五稿）提出若干意见，并一致同意形成标准征求意见稿。会后，按照专家意见，对标准内容进行了修改。本次修改的主要内容包括：标准封面、目录、前言中的若干描述；标准排版；规范性引用文件中引用词汇标准更新；定义与术语。通过本次修改完善后，形成征求意见稿（第一稿），

2012年9月18日，收到WG5工作组投票意见，七家参与投票的单位中，有四家赞成，三家赞成但需要修改，根据中科网威、江南天安、中国信息安全认证中心三家单位提出的意见进行了修改，通过本次修改，将产品的术语定义“扫描”和“网络脆弱性扫描”进行了进一步的推敲和明确；删除了“可允许网络性能的少量降低”和“远程保密传输”这两项描述比较含糊的要求，形成征求意见稿（第二稿）。

2 确定标准主要内容的论据

2.1 修订目标和原则

2.1.1 修订目标

本标准的修订目标是：对网络脆弱性扫描类产品提出产品功能要求、产品自身安全要求以及产品保证要求，使之适用于我国脆弱性扫描产品的研究、开发、测试、评估以及采购。

2.1.2 修订原则

为了使我国网络脆弱性扫描产品的开发工作从一开始就与国家标准保持一致，本标准的编写参考了国家有关标准，主要有GA/T 698-2007、GB/T 17859-1999、GB/T 20271-2006、GB/T 22239-2008和GB/T 18336-2008第二、三部分。本标准又要符合我国的实际情况，遵从我国有关法律、法规的规定。具体原则与要求如下：

1）先进性

标准是先进经验的总结，同时也是技术的发展趋势。目前，我国网络脆弱性扫描类产品种类繁多，功能良莠不齐，要制定出先进的信息安全技术标准，必须参考国内外先进技术和标准，吸收其精华，制定出具有先进水平的标准。本标准的编写始终遵循这一原则。

2）实用性

标准必须是可用的，才有实际意义。因此本标准的编写是在对国内外标准的相关技术内容消化、吸收的基础上，结合我国的实际情况，制定出符合我国国情的、可操作性强的标准。

3）兼容性

本标准既要与国际接轨，更要与我国现有的政策、法规、标准、规范等相一致。修订组在对标准起草过程中始终遵循此原则，其内容符合我国已经发布的有关政策、法律和法规。

2.2 对网络脆弱性扫描类产品的理解

2.2.1 网络脆弱性扫描产品

脆弱性扫描是一项重要的安全技术，它采用模拟攻击的形式对网络系统组成元素（服务器、工作站、路由器和防火墙等）可能存在的安全漏洞进行逐项检查，根据检查结果提供详细的脆弱性描述和修补方案，形成系统安全性分析报告，从而为网络管理员完善网络系统提供依据。通常，我们将完成脆弱性扫描的软件、硬件或软硬一体的组合称为脆弱性扫描产品。

脆弱性扫描产品的分类

根据工作模式，脆弱性扫描产品分为主机脆弱性扫描产品和网络脆弱性扫描产品。其中前者基于主机，通过在主机系统本地运行代理程序来检测系统脆弱性，例如针对操作系统和数据库的扫描产品。后者基于网络，通过请求/应答方式远程检测目标网络和主机系统的安全脆弱性。例如Satan 和ISS Internet Scanner等。针对检测对象的不同，脆弱性扫描产品还可分为网络扫描产品、操作系统扫描产品、WWW 服务扫描产品、数据库扫描产品以及无线网络扫描产品。