信息技术 网络安全漏洞扫描产品技术要求

ICS
中华人民共和国公共安全行业标准
GA/T ××××— xxxx
信息技术
网络安全漏洞扫描产品技术要求
Information technology— Technical requirements for vulnerability scanner of network security
（报批稿）
××××-××-××发布××××-××-××实施
中华人民共和国公安部发布
目次
前言 (II)
引言 (III)
1 范围 (1)
2 规范性引用文件 (1)
3 术语和定义 (1)
4 缩略语和记法约定 (1)
4.1 缩略语 (1)
4.2 记法约定 (1)
5 网络安全漏洞扫描产品概述 (2)
5.1 引言 (2)
5.2 系统组成、结构 (2)
5.3 产品分级 (2)
5.4 使用环境 (3)
6 功能要求 (3)
6.1 基本级网络安全漏洞扫描产品功能组件 (3)
6.2 自身安全功能要求 (3)
6.3 安全功能要求 (3)
6.4 管理功能要求 (7)
7 性能要求 (7)
7.1 速度 (8)
7.2 稳定性和容错性 (8)
7.3 漏洞发现能力 (8)
7.4 误报率 (8)
7.5 漏报率 (8)
8 增强级网络安全漏洞扫描产品扩展技术要求 (8)
8.1 自主访问控制 (8)
8.2 身份鉴别 (8)
8.3 客体重用 (9)
8.4 数据完整性 (9)
8.5 审计 (9)
8.6 功能要求 (9)
9 安全保证要求 (10)
9.1 配置管理保证 (10)
9.2 交付和操作保证 (10)
9.3 开发过程保证 (10)
9.4 指南文件保证 (10)
9.5 测试保证 (11)
9.6 脆弱性分析保证 (11)
本标准由公安部公共信息网络安全监察局提出。

本标准由公安部信息系统安全标准化技术委员会归口。

本标准由北京中科网威信息技术有限公司、公安部第三研究所负责起草。

本标准主要起草人：清黛、潘玉珣、杨威、余立新、肖江、刘兵、丁宇征。

本标准规定了网络安全漏洞扫描产品的技术要求，提出了该类产品应具备的功能要求、性能要求和安全保证要求。

并根据功能和性能要求的不同将网络安全漏洞扫描产品进行了分级。

本标准的目的是为网络安全漏洞扫描产品的研制、开发、测评和采购提供技术支持和指导。

使用符合本标准的网络安全漏洞扫描产品可对网络进行脆弱性检查，对发现的安全隐患提出解决建议，从而提高网络系统的安全性。

信息技术网络安全漏洞扫描产品技术要求
1 范围
本标准规定了采用传输控制协议/网间协议（TCP/IP）的网络安全漏洞扫描产品的功能要求、性能要求、增强级产品扩展技术要求和安全保证要求。

本标准适用于对计算机信息系统进行人工或自动漏洞扫描的安全产品的研制、开发、测评和采购。

2 规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。

凡是不注日期的引用文件，其最新版本适用于本标准。

GB/T 5271.8-2001 信息技术词汇第8部分：安全（idt ISO/IEC 2382-8:1998）
3 术语和定义
GB/T 5271.8-2001中确立的及以下术语适用于本标准。

3.1 误报 false positives
由于漏洞扫描产品本身的缺陷或不完善导致产品输出了错误扫描结果的现象。

3.2 漏报 false negatives
由于漏洞扫描产品本身的缺陷或不完善导致某些实际存在的安全漏洞未被探测到的现象。

4 缩略语和记法约定
4.1 缩略语
CGI 公共网关接口 Common Gateway Interface
DNS 域名系统 Domain Name System
DOS 拒绝服务 Denial Of Service
FTP 文件传送协议 File Transfer Protocol
HTTP 超文本传送协议 Hypertext Transfer Protocol
TCP 传输控制协议 Transmission Control Protocol
IP 网间协议 Internet Protocol
UDP 用户数据报协议 User Datagram Protocol
NETBIOS 网络基本输入输出系统 NETwork Basic Input Output System
NFS 网络文件系统 Network File System
NIS 网络信息服务 Network Information Service
POP 邮局协议 Post Office Protocol
RPC 远程过程调用 Remote Procedure Call
SMB 服务器消息块 Server Message Block
SMTP 简单邮件传送协议 Simple Mail Transfer Protocol
SNMP 简单网络管理协议 Simple Network Management Protocol
4.2 记法约定
细化：用于增加某一功能要求的细节，从而进一步限制该项要求。

对功能要求的细化用黑体字表示。

选项：用于从对某一功能要求的陈述中突出一个或多个选项，用带下划线的斜体字表示。

说明项：本标准对网络安全漏洞扫描产品进行了分级。

本标准中的要求，凡未特殊说明，均为基本
级产品要求；对于增强级产品的特殊要求，将增加说明项进行特殊说明。

5 网络安全漏洞扫描产品概述
5.1 引言
网络安全漏洞扫描产品的功能是对计算机系统和网络进行检查，发现其脆弱性，对其安全状况进行评估、风险分析、安全趋势分析，并对发现的安全隐患提出针对性的解决方案和建议，从而提高计算机系统和网络的安全性。

5.2 系统组成、结构
5.2.1 系统组成
系统由四个模块构成，模块间的关系如图1所示。

5.2.2 界面
界面部分主要完成以下的功能：
a) 负责接受并处理用户输入、定制扫描策略、开始和终止扫描、定制评估分析报告等；
b) 显示系统工作状态。

5.2.3 扫描引擎
扫描引擎部分主要完成以下的功能：
a) 响应界面指令；
b) 读取扫描策略数据库，并依此制定执行方案；
c) 执行扫描方案，启动扫描进程和线程，并进行调度管理。

d) 将扫描结果存档保存。

5.2.4 结果评估分析
结果评估分析部分主要完成以下的功能：
a) 读取数据库中的扫描结果信息；
b) 形成扫描报告。

5.2.5 数据库
数据库部分主要完成以下的功能：
a) 存放扫描结果、定制策略内容、脆弱性描述及其解决方法；
b) 提供数据查询和管理功能。

5.3 产品分级
5.3.1 基本级
该级别的网络安全漏洞扫描产品应满足第6、7、9章规定的功能要求、性能要求和安全保证要求。

5.3.2 增强级
该级别的网络安全漏洞扫描产品除满足基本级产品各项要求外，还必须满足第8章规定的扩展技术
要求。

5.4 使用环境
5.4.1 硬件环境
符合本标准的产品可在兼容计算机上安装使用。

5.4.2 软件环境
符合本标准的产品适用于当前流行的各种操作系统（如：Windows系列操作系统或Unix/Linux操作系统）。

5.4.3 网络环境
为使漏洞扫描顺利进行以及扫描结果更加准确，安装漏洞扫描产品的主机应与被扫描的主机处于相同的网段。

6 功能要求
6.1 基本级网络安全漏洞扫描产品功能组件
基本级网络安全漏洞扫描产品的功能组件由表1所列项目组成。

表1 基本级网络安全漏洞扫描产品功能要求
6.2 自身安全功能要求
6.2.1 身份鉴别
只有授权管理员才能使用网络安全漏洞扫描产品的完整功能，对于授权管理员至少应采用用户名/口令方式对其进行身份认证。

6.2.2 数据完整性
网络安全漏洞扫描产品应确保用户信息、策略信息和关键程序的数据完整性。

应采取必要的手段对其完整性自动进行检验。

6.2.3 审计日志
对产品的使用（包括登录、扫描分析等）应产生审计日志记录。

6.3 安全功能要求
6.3.1 脆弱性扫描
6.3.1.1 浏览器脆弱性
网络安全漏洞扫描产品应检查与浏览器安全相关的信息和配置，发现危险或不合理的配置，并提出相应的安全性建议。

检查项目应包括：
a) 浏览器版本号；
b) 浏览器安全设置；
c) 其他由于操作系统或软件升级带来的安全隐患。

6.3.1.2 邮件服务脆弱性
网络安全漏洞扫描产品应检查使用了POP3、SMTP等电子邮件相关协议的服务程序的安全问题，检查项目应包括：
a) 服务程序旗标和版本号；
b) 服务程序本身的漏洞，包括：
——设计错误；
——对输入缺乏合法性检查；
——不能正确处理异常情况。

c) 服务器的危险或错误配置，包括：
——是否允许EXPN 和VRFY 命令；
——是否允许邮件转发；
——其它安全配置。

d) 其它由于操作系统或软件升级带来的安全隐患。

6.3.1.3 FTP 服务脆弱性
网络安全漏洞扫描产品应检查使用了FTP协议的服务程序的安全问题，检查项目应包括：
a) 服务程序旗标和版本号；
b) 服务程序本身的漏洞，包括：
——设计错误；
——对输入缺乏合法性检查；
——不能正确处理异常情况。

c) 服务器的危险或错误配置，包括：
——是否允许匿名登录；
——是否使用了默认口令；
——是否允许危险命令；
——其它安全配置。

d) 其它由于操作系统或软件升级带来的安全隐患。

6.3.1.4 Web 服务脆弱性
网络安全漏洞扫描产品应检查使用了HTTP协议的服务程序的安全问题，检查项目应包括：
a) 服务程序旗标和版本号；
b) 服务程序本身的漏洞，包括：
——设计错误；
——对输入缺乏合法性检查；
——不能正确处理异常情况。

c) 服务器上运行的脚本及CGI 程序的漏洞；
d) 服务器的危险或错误配置，包括：
——文件属性错误；
——目录属性错误；
——其它安全配置。

e) 其它由于操作系统或软件升级带来的安全隐患。

6.3.1.5 DNS 服务脆弱性
网络安全漏洞扫描产品应检查DNS 服务的安全问题，检查项目应包括：
a) 服务程序旗标和版本号；
b) 服务程序本身的漏洞，包括：
——设计错误；
——对输入缺乏合法性检查；
——不能正确处理异常情况。

c) 其它由于操作系统或软件升级带来的安全隐患。

6.3.1.6 其它已知TCP/IP 服务脆弱性
网络安全漏洞扫描产品应检查其它使用了TCP/IP协议的服务程序的安全问题，检查项目应包括：
a) 服务程序的旗标和版本号；
b) 服务程序本身的漏洞，包括：
——设计错误；
——对输入缺乏合法性检查；
——不能正确处理异常情况。

c) 服务程序的错误配置。

6.3.1.7 RPC 服务的脆弱性
网络安全漏洞扫描产品应检查使用了RPC协议的服务程序的安全问题，检查是否开启了危险的RPC服务。

6.3.1.8 NIS 服务的脆弱性
网络安全漏洞扫描产品应检查使用了NIS协议的服务程序的安全问题，检查是否开启了危险的NIS服务。

6.3.1.9 SNMP 服务的脆弱性
网络安全漏洞扫描产品应检查使用了SNMP协议的服务程序的安全问题，检查项目应包括：
a) SNMP 口令脆弱性检查；
b) 检查SNMP 服务是否会暴露下列系统敏感信息，包括：
——TCP 端口表；
——UDP 端口表；
——服务列表；
——进程列表；
——路由表；
——网络接口设备表。

6.3.1.10 口令脆弱性
网络安全漏洞扫描产品应检查系统帐户口令的健壮性，检查项目应包括：
——系统是否使用了帐户名称经过简单变换后的口令；
——系统是否使用了易猜测口令；
——使用字典，检查系统是否使用了易猜测的口令；
——使用穷举法猜测口令以验证系统帐户口令的强度。

6.3.1.11 NT 用户、组、口令、共享、注册表等脆弱性
网络安全漏洞扫描产品应检查Windows NT/2000/XP特有的一些脆弱性，检查项目应包括：
a) 系统安全设置，包括：
——注册表项目访问权限设置；
——审核策略设置；
——系统口令策略设置。

b) Windows NT/2000/XP Service Pack 版本和补丁安装情况检查；
c) 其它关于用户、组、口令、共享、注册表等脆弱性的检查。

6.3.1.12 木马
网络安全漏洞扫描产品应检查常见木马使用的默认端口是否开启，并对扫描得到的开启端口进行测试分析。

6.3.1.13 NT 服务
网络安全漏洞扫描产品应检查Windows NT/2000/XP服务开启情况，检查项目应包括：
a) 获取将当前启动的NT服务列表；
b) 将当前启动的NT服务列表与用户定义的“已知NT服务列表”相比较，给出“未知NT服务列表”；
c) 检查是否启动了具有一定危险性的NT服务。

6.3.1.14 NFS 服务脆弱性
网络安全漏洞扫描产品应检查NFS服务相关的脆弱性。

6.3.1.15 路由器/交换机脆弱性
网络安全漏洞扫描产品应检查路由器/交换机及其开启服务相关的脆弱性。

6.3.1.16 DOS 攻击脆弱性
网络安全漏洞扫描产品应能使用实际攻击手法对目标主机进行真实的攻击，以检查目标主机对已知DOS攻击的抵御能力。

6.3.1.17 文件共享
网络安全漏洞扫描产品应检查使用的NETBIOS或SMB共享，发现危险的设置，检查项目应包括：
a) SAMBA服务器软件的版本号；
b) 重要目录被共享；
c) 共享目录可被匿名用户写入；
d) 是否使用了缺省或过于简单的共享口令。

6.3.1.18 其它
网络安全漏洞扫描产品应对未归入6.3.1.1至6.3.1.17各条的系统脆弱性进行扫描检查并给出扫描结果。

6.3.2 网络旁路检查
网络安全漏洞扫描产品应检查目标系统网络中是否存在网络旁路，如代理服务器，拨号上网等。

6.3.3 信息获取
6.3.3.1 操作系统探测
网络安全漏洞扫描产品应能对操作系统类型和版本号进行探测。

6.3.3.2 服务旗标
网络安全漏洞扫描产品应能获取已开启的各项TCP/IP服务的旗标。

6.3.3.3 其他信息
网络安全漏洞扫描产品应能对下列的信息进行探测：
a) 系统硬件信息；
b) 系统软件配置信息；
c) 系统网络配置信息；
d) 共享目录信息；
e) 系统运行状态信息。

6.3.4 端口和服务扫描
6.3.4.1 RPC 端口
网络安全漏洞扫描产品应能获取运行的RPC服务及其所在的RPC端口信息。

6.3.4.2 TCP 端口
网络安全漏洞扫描产品应能扫描所有TCP端口，检查其是否开启。

6.3.4.3 UDP 端口
网络安全漏洞扫描产品应能扫描所有UDP端口，检查其是否开启。

6.3.4.4 端口协议分析
就扫描得到的已开启的TCP/UDP端口，网络安全漏洞扫描产品应能判断相应端口对应的服务或使用的协议。

6.3.4.5 NT 服务
网络安全漏洞扫描产品应能获取目标主机上已启动的NT服务列表。

6.4 管理功能要求
6.4.1 访问控制
网络安全漏洞扫描产品应确保只有授权管理员才能访问网络安全漏洞扫描产品，即只允许授权管理员有配置和使用网络安全漏洞扫描产品的能力。

6.4.2 扫描结果分析处理
6.4.2.1 扫描结果应能写入数据库。

6.4.2.2 可对结果数据库执行导入导出操作。

6.4.2.3 网络安全漏洞扫描产品应能对结果数据库进行查询并形成报告，报告可分为下列类别：
a) 脆弱性报告，包括各脆弱点的详细信息、补救建议等；
b) 对目标主机扫描后的信息获取结果生成相应的报告；
c) 脆弱性分析报告，包括：
——目标的风险等级评估报告；
——同一目标多次扫描形成的趋势分析报告；
——多个目标扫描后的结果的总体报告；
——对关键的漏洞扫描信息可生成摘要报告；
——针对主机间进行比较的结果生成报告。

6.4.2.4 报告应能根据用户要求进行定制。

6.4.2.5 报告应可输出为通用的文档格式。

6.4.2.6 网络安全漏洞扫描产品应提供扫描结果数据库浏览功能。

6.4.3 扫描策略定制
6.4.3.1 网络安全漏洞扫描产品应能使用目标系统的已知账号/口令对其进行更有效的扫描。

6.4.3.2 网络安全漏洞扫描产品应能定制扫描项目及属性。

6.4.3.3 网络安全漏洞扫描产品应能对策略定制操作形成审计记录。

6.4.3.4 网络安全漏洞扫描产品应提供方便的定制策略的方法。

6.4.4 扫描对象的安全性
6.4.4.1 扫描预通知
在开始进行漏洞扫描前，漏洞扫描产品应向被扫描主机发送警告信息，通知该主机即将对其进行扫描测试。

6.4.4.2 对目标系统所在网络性能的影响
扫描应不影响网络的正常工作，但可允许网络性能的少量降低。

6.4.4.3 对目标系统的影响
扫描应尽量避免影响目标系统的正常工作，尽量避免使用攻击方法进行测试；在使用某些可能对目标系统产生不良后果的扫描手段时（如使用DOS等攻击测试手段），网络安全漏洞扫描产品在测试开始前给出告警提示并要求用户进行确认。

6.4.5 升级能力
6.4.5.1 网络安全漏洞扫描产品应具有升级能力。

产品体系结构的设计应有利于产品的升级操作。

6.4.5.2 对网络安全漏洞扫描产品至少可进行手动升级操作，更新漏洞特征库。

7 性能要求
7.1 速度
7.1.1 网络安全漏洞扫描产品应采取合理的设计和必要的技术手段以保证扫描速度。

7.1.2 网络安全漏洞扫描产品应可通过调整扫描线程或进程数目等方法对扫描速度进行调节。

7.2 稳定性和容错性
7.2.1 主界面不应失去响应或非正常退出。

7.2.2 扫描进度不应停滞不前。

7.2.3 扫描任务应可随时停止。

7.3 漏洞发现能力
网络安全漏洞扫描产品的技术文档应给出系统能够扫描的漏洞数目，并针对漏洞给出详细描述。

7.4 误报率
网络安全漏洞扫描产品的技术文档应标明该系统的误报率，并指明所使用的测试方法、测试工具、测试环境和测试步骤。

7.5 漏报率
网络安全漏洞扫描产品的技术文档应标明该系统的漏报率，并指明所使用的测试方法、测试工具、测试环境和测试步骤。

8 增强级网络安全漏洞扫描产品扩展技术要求
8.1 自主访问控制
8.1.1 属性定义
网络安全漏洞扫描产品应为每个管理角色规定与之相关的安全属性，例如管理角色标识、鉴别信息、隶属组、权限等。

8.1.2 属性初始化
网络安全漏洞扫描产品应提供使用默认值对创建的每个管理角色的属性进行初始化的能力。

8.1.3 本地密码文件保护
网络安全漏洞扫描产品应采取某种措施（如加密）保证本地密码文件的安全。

8.1.4 远程管理
如果网络安全漏洞扫描产品采取了控制台和扫描引擎相分离的的体系结构，控制台对扫描引擎的访问应可控制，如采取身份验证措施等。

8.1.5 适用范围限制
网络安全漏洞扫描产品在漏洞探测的强度和深度上应进行一定的控制，以避免对被扫描系统造成严重危害。

8.2 身份鉴别
8.2.1 在任何操作前的身份鉴别
在某个管理角色需要执行任何管理功能之前，网络安全漏洞扫描产品应对该管理角色的身份进行鉴别，并将鉴别的结果生成审计记录。

8.2.2 重鉴别
对于某个已通过身份鉴别的管理角色，当其空闲操作的时间超过了规定值后，在该管理角色需要执行某项管理功能之前，网络安全漏洞扫描产品应对该管理角色的身份重新进行鉴别。

8.2.3 鉴别数据保护
网络安全漏洞扫描产品应保证鉴别数据不被未授权查阅、修改和破坏。

8.2.4 鉴别失败处理
网络安全漏洞扫描产品应为管理员登录设定一个授权管理员可修改的鉴别尝试次数，当管理员的不成功登录尝试超过该次数时，系统应阻止管理员的进一步鉴别请求，例如帐号失效一段时间，或者锁定该管理员帐号直至超级管理
员恢复该管理员的被鉴别能力。

8.3 客体重用
在某个管理角色通过身份鉴别后，网络安全漏洞扫描产品应确保不提供前一次注销的管理角色的任何信息，包括鉴别信息、扫描策略信息和扫描日志等。

8.4 数据完整性
网络安全漏洞扫描产品应采取某种保护措施（如加密）保证敏感信息（如用户鉴别信息、扫描策略信息和扫描日志等）的保密性和完整性。

对加密的敏感数据应能进行数据完整性检验。

8.5 审计
8.5.1 审计记录
网络安全漏洞扫描产品应为下列可审计事件生成审计记录：
a) 审计功能的开启和关闭；
b) 任何读取、修改和破坏审计数据的尝试；
c) 任何对鉴别机制的使用；
d) 所有使用鉴别机制的请求；
e) 任何对系统配置参数的修改（设置和更新），无论成功与否。

8.5.2 审计数据管理
网络安全漏洞扫描产品应确保只有授权管理员才能读取、修改或删除审计数据。

8.5.3 存储管理
当审计记录占用的存储空间达到规定的存储空间大小时，应能自动删除部分旧的日志记录，以保证审计功能的正常运行。

8.6 功能要求
8.6.1 漏洞修补建议
增强级网络安全漏洞扫描产品应能对发现的漏洞提出修补建议，漏洞修补建议应满足下列要求：
a) 应针对不同的操作系统类型提出针对性的漏洞修补方法；
b) 漏洞描述应详细，提供的漏洞修补方法应经过验证；
c) 当发现目标主机存在漏洞后，可根据漏洞表现形式采取相应的措施，如对部分漏洞进行自动修复等。

8.6.2 扫描结果信息
网络安全漏洞扫描产品提供的扫描结果应包含该产品的特定信息。

8.6.3 扫描IP 地址限制
网络安全漏洞扫描产品应采取某种措施，对系统可以扫描的IP地址进行限制，即只允许对授权地址和地址段进行扫描。

网络安全漏洞扫描产品提供的扫描结果应包含该产品的特定信息。

8.6.4 隐蔽信道分析
网络安全漏洞扫描产品应采取某种措施，确保扫描信息没有被未授权的第三方截取。

8.6.5 智能化
增强级网络安全漏洞扫描产品应能在使用上部分实现智能化，包括：
a) 自动扫描并处理结果，并将新出现的危险情况通知管理员；
b) 自动判断目标属性，进行相应扫描。

8.6.6 互动性要求
8.6.6.1 与防火墙产品的互动
增强级网络安全漏洞扫描产品应能与防火墙产品通过标准的接口共享扫描信息，以增强网络的防护能力，例如将扫描得到的木马及其绑定的端口信息通知防火墙，使防火墙动态调整自身的过滤规则，封堵相应的端口。

8.6.6.2 与防病毒产品的互动
增强级网络安全漏洞扫描产品应能与防病毒产品以标准的接口共享扫描信息（如木马和蠕虫病毒等），以增强网络的防病毒能力。

增强级网络安全漏洞扫描产品应可将扫描得到的病毒信息通知防病毒产品，使防病毒产品立即启动相应的杀毒程序，对网络进行查杀病毒操作。

8.6.6.3 互动接口
网络安全漏洞扫描产品应提供或采用一个标准的、开放的接口。

遵照该接口规范，可为其它类型安全产品编写相应的程序模块，达到与网络安全漏洞扫描产品进行互动的目的。

8.6.7 产品升级
8.6.7.1 自动升级
网络安全漏洞扫描产品能定期搜索互联网，自动下载系统升级包，下载完毕后能自动运行升级程序进行升级。

升级过程可暂时终止系统服务程序的运行，升级完成后能重新启动服务程序，按照先前的策略继续运行。

8.6.7.2 升级控制
自动升级应采取某种机制，以防止得到错误的或伪造的系统升级包。

例如采取身份验证、数字签名以及数据传输加密等手段。

9 安全保证要求
9.1 配置管理保证
网络安全漏洞扫描产品的开发应满足下列配置管理保证要求：
a) 开发者应使用配置管理系统；
b) 开发者应提供配置管理文件；
c) 配置管理文件应包括一个配置目录；
d) 配置目录应描述网络安全漏洞扫描产品的各个配置项目。

9.2 交付和操作保证
网络安全漏洞扫描产品的交付和操作应满足下列要求：
a) 开发者应以文件方式说明用于网络安全漏洞扫描产品的安全安装、生成和启动的过程；
b) 说明文件中应描述网络安全漏洞扫描产品的安全安装、生成和启动所必须的步骤；
c) 应确定安装、生成和启动程序最终产生了安全的配置。

9.3 开发过程保证
网络安全漏洞扫描产品的开发过程应保证：
a) 开发者应提供网络安全漏洞扫描产品的功能规范；
b) 开发者应提供网络安全漏洞扫描产品的安全策略；
c) 功能规范应包括能证明安全功能已完全实现了的证据。

9.4 指南文件保证
9.4.1 管理员指南
开发者应提供管理员指南，管理员指南应满足下列要求：
a) 管理员指南应描述管理员可使用的管理功能和接口；
b) 管理员指南应描述如何以安全的方式管理网络安全漏洞扫描产品；
c) 管理员指南应当包含在安全处理环境中必须进行控制的功能和权限的警告；
d) 管理员指南应当描述所有与产品的安全运行有关的用户行为的假设；
e) 管理员指南应当描述所有受管理员控制的安全参数，合适时，应指明安全值；
f) 管理员指南应当与其它文档保持一致；
g) 管理员指南应当描述与管理员有关的IT 环境的所有安全要求。

9.4.2 用户指南
开发者应提供用户指南，用户指南应满足下列要求：
a) 用户指南应描述用户可使用的安全功能和接口；
b) 用户指南应包含使用网络安全漏洞扫描产品提供的安全功能的指导；
c) 对于应该控制在安全的处理环境中的功能和特权，用户指南应有警告；
d) 用户指南应描述那些用户可见的安全功能之间的相互作用。

9.5 测试保证
对网络安全漏洞扫描产品的测试应该满足下列要求：
a) 开发者应向国家授权的信息安全产品测评认证机构提供用于测试的网络安全漏洞扫描产品；
b) 网络安全漏洞扫描产品应适合于测试；
c) 开发者应提供一个对测试覆盖范围的分析；
d) 测试覆盖范围分析应证明测试文件中确定的测试项目能覆盖网络安全漏洞扫描产品的安全功能；
e) 开发者应测试网络安全漏洞扫描产品的安全功能，并记录其结果；。