精品資料（2021-2022年收藏）計算機信息系統(tǒng)安全等級保護(hù)數(shù)據(jù)庫安全技術(shù)要求

1、信息安全技術(shù) 網(wǎng)絡(luò)脆弱性掃描產(chǎn)品安全技術(shù)要求修訂說明1 工作簡要過程1.1 任務(wù)來源近年來，隨著黑客技術(shù)的不斷發(fā)展以及網(wǎng)絡(luò)非法入侵事件的激增，國內(nèi)網(wǎng)絡(luò)安全產(chǎn)品市場也呈現(xiàn)出良好的發(fā)展態(tài)勢，各種品牌的防火墻產(chǎn)品、入侵檢測產(chǎn)品等已經(jīng)達(dá)到了相當(dāng)可觀的規(guī)模。最近幾年，網(wǎng)絡(luò)脆弱性掃描產(chǎn)品的出現(xiàn)，為網(wǎng)絡(luò)安全產(chǎn)品廠商提供了一個展現(xiàn)自身技術(shù)水平的更高層次舞臺，市場上，各種實現(xiàn)脆弱性掃描功能的產(chǎn)品層出不窮，發(fā)展迅速，標(biāo)準(zhǔn)GB/T 20278-2006 信息安全技術(shù) 網(wǎng)絡(luò)脆弱性掃描產(chǎn)品技術(shù)要求已不能滿足現(xiàn)在產(chǎn)品的發(fā)展需求，另一方面，為了更好地配合等級保護(hù)工作的開展，為系統(tǒng)等級保護(hù)在產(chǎn)品層面上的具體實施提供依據(jù)，需要

2、對該標(biāo)準(zhǔn)進(jìn)行合理的修訂，通過對該標(biāo)準(zhǔn)的修訂，將更加全面系統(tǒng)的闡述網(wǎng)絡(luò)脆弱性掃描產(chǎn)品的安全技術(shù)要求，并對其進(jìn)行合理的分級。本標(biāo)準(zhǔn)編寫計劃由中國國家標(biāo)準(zhǔn)化管理委員會2010年下達(dá)，計劃號20101497-T-469，由公安部第三研究所負(fù)責(zé)制定，具體修訂工作由公安部計算機信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗中心承擔(dān)。1.2 參考國內(nèi)外標(biāo)準(zhǔn)情況該標(biāo)準(zhǔn)修訂過程中，主要參考了：GB 17859-1999 計算機信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則GB/T 20271-2006 信息安全技術(shù) 信息系統(tǒng)安全通用技術(shù)要求GB/T 22239-2008 信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)基本要求GB/T 18336.2-2008

3、 信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評估準(zhǔn)則 第二部分：安全功能要求GB/T 18336.3-2008 信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評估準(zhǔn)則 第三部分：安全保證要求GA/T 404-2002 信息技術(shù) 網(wǎng)絡(luò)安全漏洞掃描產(chǎn)品技術(shù)要求GB/T 20278-2006 信息安全技術(shù) 網(wǎng)絡(luò)脆弱性掃描產(chǎn)品技術(shù)要求GB/T 20280-2006信息安全技術(shù) 網(wǎng)絡(luò)脆弱性掃描產(chǎn)品測試評價方法MSTL_JGF_04-017 信息安全技術(shù) 主機安全漏洞掃描產(chǎn)品檢驗規(guī)范1.3 主要工作過程1）成立修訂組2010年11月在我中心成立了由顧建新具體負(fù)責(zé)的標(biāo)準(zhǔn)修訂組，共由5人組成，包括俞優(yōu)、顧建新、張笑笑、陸臻、顧健

4、。2）制定工作計劃修訂組首先制定了修訂工作計劃，并確定了修訂組人員例會及時溝通交流工作情況。3）確定修訂內(nèi)容經(jīng)標(biāo)準(zhǔn)修訂小組研究決定，以網(wǎng)絡(luò)脆弱性掃描產(chǎn)品發(fā)展的動向為研究基礎(chǔ)，以等級保護(hù)相關(guān)要求為標(biāo)準(zhǔn)框架，修訂完成信息安全技術(shù) 網(wǎng)絡(luò)脆弱性掃描產(chǎn)品安全技術(shù)要求。4）修訂工作簡要過程按照修訂進(jìn)度要求，修訂組人員首先對所參閱的產(chǎn)品、文檔以及標(biāo)準(zhǔn)進(jìn)行反復(fù)閱讀與理解，并查閱有關(guān)資料，編寫標(biāo)準(zhǔn)修訂提綱。在對提綱進(jìn)行交流和修改的基礎(chǔ)上，開始具體修訂工作。2010年11月至2011年1月，對國內(nèi)外網(wǎng)絡(luò)脆弱性掃描產(chǎn)品，相關(guān)技術(shù)文檔以及有關(guān)標(biāo)準(zhǔn)進(jìn)行前期基礎(chǔ)調(diào)研。在調(diào)研期間，我們主要對我中心歷年檢測產(chǎn)品的記錄、報告以

5、及各產(chǎn)品的技術(shù)文檔材料進(jìn)行了篩選、匯總、分析，對國內(nèi)外網(wǎng)絡(luò)脆弱性掃描產(chǎn)品的發(fā)展動向進(jìn)行了研究，以及進(jìn)行了對國內(nèi)外相關(guān)產(chǎn)品的技術(shù)文檔和標(biāo)準(zhǔn)分析理解等工作。2011年1月至3月進(jìn)行了草稿的編寫工作。以我修訂組人員收集的資料為基礎(chǔ)，依據(jù)修訂提綱，在不斷的討論和研究中，完善內(nèi)容，最終形成了本標(biāo)準(zhǔn)的草稿。2011年3月至5月，我們收集了國內(nèi)相關(guān)產(chǎn)品的主要生產(chǎn)廠家信息，以郵件形式向他們征求意見，包括北京神州綠盟信息安全科技股份有限公司、解放軍信息安全研究中心等單位。2011年5月，單位內(nèi)部組織第一次標(biāo)準(zhǔn)討論會，由標(biāo)準(zhǔn)修訂組成員匯報標(biāo)準(zhǔn)的修訂情況并接受其他同事的質(zhì)詢，會后根據(jù)本次討論會的意見，對標(biāo)準(zhǔn)內(nèi)容進(jìn)行

6、了修改。2011年8月，單位內(nèi)部組織第二次標(biāo)準(zhǔn)討論會，由標(biāo)準(zhǔn)修訂組成員匯報標(biāo)準(zhǔn)的修訂情況并接受其他同事的質(zhì)詢，會后根據(jù)本次討論會的意見，對標(biāo)準(zhǔn)內(nèi)容進(jìn)行了修改。2011年12月，WG5專家評審會在上海組織召開了對標(biāo)準(zhǔn)征求意見稿的專家評審會，評審組由吉增瑞等多位專家組成，與會專家對草稿（第三稿）進(jìn)行了討論，并提出相關(guān)修改意見，會后修訂組再次認(rèn)真對專家意見進(jìn)行了分析和處理，隨后形成了草稿（第四稿）。2012年6月，單位內(nèi)部組織第三次標(biāo)準(zhǔn)討論會，由標(biāo)準(zhǔn)修訂組成員匯報標(biāo)準(zhǔn)的修訂情況并接受其他同事的質(zhì)詢，會后根據(jù)本次討論會的意見，對標(biāo)準(zhǔn)內(nèi)容進(jìn)行了修改，形成了草稿（第五稿），在本次討論會中，做出了一個非常重

7、要的修改，就是將標(biāo)準(zhǔn)名稱改為信息安全技術(shù) 網(wǎng)絡(luò)脆弱性掃貓產(chǎn)品安全技術(shù)要求，同時對標(biāo)準(zhǔn)的整體結(jié)構(gòu)也進(jìn)行了調(diào)整，按照基本級和增強級分開描述的形式修訂，以便于讀者的閱讀，并保持與其他同類國標(biāo)一致。2012年7月26日， WG5專家組在北京對標(biāo)準(zhǔn)草稿再次進(jìn)行評審，與會專家包括趙戰(zhàn)生、王立福、崔書昆、馮惠、袁文恭、卿斯?jié)h、肖京華、楊建軍、羅鋒盈等。專家組對草稿（第五稿）提出若干意見，并一致同意形成標(biāo)準(zhǔn)征求意見稿。會后，按照專家意見，對標(biāo)準(zhǔn)內(nèi)容進(jìn)行了修改。本次修改的主要內(nèi)容包括：標(biāo)準(zhǔn)封面、目錄、前言中的若干描述；標(biāo)準(zhǔn)排版；規(guī)范性引用文件中引用詞匯標(biāo)準(zhǔn)更新；定義與術(shù)語。通過本次修改完善后，形成征求意見稿（第

8、一稿）， 2012年9月18日，收到WG5工作組投票意見，七家參與投票的單位中，有四家贊成，三家贊成但需要修改，根據(jù)中科網(wǎng)威、江南天安、中國信息安全認(rèn)證中心三家單位提出的意見進(jìn)行了修改，通過本次修改，將產(chǎn)品的術(shù)語定義“掃描”和“網(wǎng)絡(luò)脆弱性掃描”進(jìn)行了進(jìn)一步的推敲和明確；刪除了“可允許網(wǎng)絡(luò)性能的少量降低”和“遠(yuǎn)程保密傳輸”這兩項描述比較含糊的要求，形成征求意見稿（第二稿）。2 確定標(biāo)準(zhǔn)主要內(nèi)容的論據(jù)2.1 修訂目標(biāo)和原則2.1.1 修訂目標(biāo)本標(biāo)準(zhǔn)的修訂目標(biāo)是：對網(wǎng)絡(luò)脆弱性掃描類產(chǎn)品提出產(chǎn)品功能要求、產(chǎn)品自身安全要求以及產(chǎn)品保證要求，使之適用于我國脆弱性掃描產(chǎn)品的研究、開發(fā)、測試、評估以及采購。2

9、.1.2 修訂原則為了使我國網(wǎng)絡(luò)脆弱性掃描產(chǎn)品的開發(fā)工作從一開始就與國家標(biāo)準(zhǔn)保持一致，本標(biāo)準(zhǔn)的編寫參考了國家有關(guān)標(biāo)準(zhǔn)，主要有GA/T 698-2007、GB/T 17859-1999、GB/T 20271-2006、GB/T 22239-2008和GB/T 18336-2008第二、三部分。本標(biāo)準(zhǔn)又要符合我國的實際情況，遵從我國有關(guān)法律、法規(guī)的規(guī)定。具體原則與要求如下：1）先進(jìn)性標(biāo)準(zhǔn)是先進(jìn)經(jīng)驗的總結(jié)，同時也是技術(shù)的發(fā)展趨勢。目前，我國網(wǎng)絡(luò)脆弱性掃描類產(chǎn)品種類繁多，功能良莠不齊，要制定出先進(jìn)的信息安全技術(shù)標(biāo)準(zhǔn)，必須參考國內(nèi)外先進(jìn)技術(shù)和標(biāo)準(zhǔn)，吸收其精華，制定出具有先進(jìn)水平的標(biāo)準(zhǔn)。本標(biāo)準(zhǔn)的編寫始終遵

10、循這一原則。 2）實用性標(biāo)準(zhǔn)必須是可用的，才有實際意義。因此本標(biāo)準(zhǔn)的編寫是在對國內(nèi)外標(biāo)準(zhǔn)的相關(guān)技術(shù)內(nèi)容消化、吸收的基礎(chǔ)上，結(jié)合我國的實際情況，制定出符合我國國情的、可操作性強的標(biāo)準(zhǔn)。3）兼容性本標(biāo)準(zhǔn)既要與國際接軌，更要與我國現(xiàn)有的政策、法規(guī)、標(biāo)準(zhǔn)、規(guī)范等相一致。修訂組在對標(biāo)準(zhǔn)起草過程中始終遵循此原則，其內(nèi)容符合我國已經(jīng)發(fā)布的有關(guān)政策、法律和法規(guī)。2.2 對網(wǎng)絡(luò)脆弱性掃描類產(chǎn)品的理解2.2.1 網(wǎng)絡(luò)脆弱性掃描產(chǎn)品脆弱性掃描是一項重要的安全技術(shù)，它采用模擬攻擊的形式對網(wǎng)絡(luò)系統(tǒng)組成元素（服務(wù)器、工作站、路由器和防火墻等）可能存在的安全漏洞進(jìn)行逐項檢查，根據(jù)檢查結(jié)果提供詳細(xì)的脆弱性描述和修補方案，形成

11、系統(tǒng)安全性分析報告，從而為網(wǎng)絡(luò)管理員完善網(wǎng)絡(luò)系統(tǒng)提供依據(jù)。通常，我們將完成脆弱性掃描的軟件、硬件或軟硬一體的組合稱為脆弱性掃描產(chǎn)品。脆弱性掃描產(chǎn)品的分類根據(jù)工作模式，脆弱性掃描產(chǎn)品分為主機脆弱性掃描產(chǎn)品和網(wǎng)絡(luò)脆弱性掃描產(chǎn)品。其中前者基于主機，通過在主機系統(tǒng)本地運行代理程序來檢測系統(tǒng)脆弱性，例如針對操作系統(tǒng)和數(shù)據(jù)庫的掃描產(chǎn)品。后者基于網(wǎng)絡(luò)，通過請求/應(yīng)答方式遠(yuǎn)程檢測目標(biāo)網(wǎng)絡(luò)和主機系統(tǒng)的安全脆弱性。例如Satan 和ISS Internet Scanner等。針對檢測對象的不同，脆弱性掃描產(chǎn)品還可分為網(wǎng)絡(luò)掃描產(chǎn)品、操作系統(tǒng)掃描產(chǎn)品、WWW服務(wù)掃描產(chǎn)品、數(shù)據(jù)庫掃描產(chǎn)品以及無線網(wǎng)絡(luò)掃描產(chǎn)品。脆弱性掃描

12、產(chǎn)品通常以三種形式出現(xiàn)：單一的掃描軟件，安裝在計算機或掌上電腦上，例如ISS Internet Scanner；基于客戶機（管理端）/服務(wù)器（掃描引擎）模式或瀏覽器/服務(wù)器模式，通常為軟件，安裝在不同的計算機上，也有將掃描引擎做成硬件的，例如Nessus；也有作為其他安全產(chǎn)品的組件，例如防御安全評估就是防火墻的一個組件。網(wǎng)絡(luò)脆弱性掃描產(chǎn)品通過遠(yuǎn)程檢測目標(biāo)主機TCP/IP不同端口的服務(wù)，記錄目標(biāo)給予的應(yīng)答，來搜集目標(biāo)主機上的各種信息，然后與系統(tǒng)的漏洞庫進(jìn)行匹配，如果滿足匹配條件，則認(rèn)為安全漏洞存在；或者通過模擬黑客的攻擊手法對目標(biāo)主機進(jìn)行攻擊，如果模擬攻擊成功，則認(rèn)為安全漏洞存在。主機脆弱性掃描

13、產(chǎn)品則通過在主機本地的代理程序?qū)ο到y(tǒng)配置、注冊表、系統(tǒng)日志、文件系統(tǒng)或數(shù)據(jù)庫活動進(jìn)行監(jiān)視掃描，搜集他們的信息，然后與系統(tǒng)的漏洞庫進(jìn)行比較，如果滿足匹配條件，則認(rèn)為安全漏洞存在。在匹配原理上，目前脆弱性掃描產(chǎn)品大都采用基于規(guī)則的匹配技術(shù)，即通過對網(wǎng)絡(luò)系統(tǒng)安全脆弱性、黑客攻擊案例和網(wǎng)絡(luò)系統(tǒng)安全配置的分析，形成一套標(biāo)準(zhǔn)安全脆弱性的特征庫，在此基礎(chǔ)上進(jìn)一步形成相應(yīng)的匹配規(guī)則，由掃描產(chǎn)品自動完成掃描分析工作。 端口掃描技術(shù)網(wǎng)絡(luò)脆弱性掃描是建立在端口掃描的基礎(chǔ)上的，支持TCP/IP協(xié)議的主機和設(shè)備，都是以開放端口來提供服務(wù)，端口可以說是系統(tǒng)對外的窗口，安全漏洞也往往通過端口暴露出來。因此，網(wǎng)絡(luò)脆弱性掃描產(chǎn)

14、品為了提高掃描效率，首先需要判斷系統(tǒng)的哪些端口是開放的，然后對開放的端口執(zhí)行某些掃描腳本，進(jìn)一步尋找安全漏洞。掃描產(chǎn)品一般集成了以下幾種主要的端口掃描技術(shù)。 TCP SYN掃描通常稱為“半打開”掃描，這是因為掃描程序不必要打開一個完全的TCP連接。掃描程序發(fā)送的是一個SYN數(shù)據(jù)包，好象準(zhǔn)備打開一個實際的連接并等待反應(yīng)一樣（參考TCP的三次握手建立一個TCP連接的過程）。一個SYN/ACK的返回信息表示端口處于偵聽狀態(tài)。一個RST返回，表示端口沒有處于偵聽狀態(tài)。 TCP FIN掃描TCP FIN掃描的思路是關(guān)閉的端口使用適當(dāng)?shù)腞ST來回復(fù)FIN數(shù)據(jù)包，而打開的端口會忽略對FIN數(shù)據(jù)包的回復(fù)。這種

15、方法與系統(tǒng)實現(xiàn)有一定的關(guān)系，有的系統(tǒng)不管端口是否打開，都回復(fù)RST，在這種情況下，該掃描方法就不適用了，但可以區(qū)分Unix和Windows NT TCP connect（）掃描這是最基本的TCP掃描。操作系統(tǒng)提供的connect（）系統(tǒng)調(diào)用，用來與每一個感興趣的目標(biāo)計算機的端口進(jìn)行連接。如果端口處于偵聽狀態(tài)，那么connect（）就能成功。否則，這個端口是不能用的，即沒有提供服務(wù)。 FIN+URG+PUSH掃描向目標(biāo)主機發(fā)送一個FIN、URG和PUSH 分組，根據(jù)RFC793，如果目標(biāo)主機的相應(yīng)端口是關(guān)閉的，那么應(yīng)該返回一個RST標(biāo)志。 NULL掃描通過發(fā)送一個沒有任何標(biāo)志位的TCP包，根據(jù)R

16、FC793，如果目標(biāo)主機的相應(yīng)端口是關(guān)閉的，它應(yīng)該發(fā)送回一個RST數(shù)據(jù)包。 UDP ICMP端口不能到達(dá)掃描在向一個未打開的UDP端口發(fā)送一個數(shù)據(jù)包時，許多主機會返回一個ICMP_PORT_UNREACH 錯誤。這樣就能發(fā)現(xiàn)哪個端口是關(guān)閉的。UDP和ICMP錯誤都不保證能到達(dá)，因此這種掃描器必須能夠重新傳輸丟失的數(shù)據(jù)包。這種掃描方法速度很慢，因為RFC對ICMP錯誤消息的產(chǎn)生速率做了規(guī)定。 安全漏洞特征定義 目前，脆弱性掃描產(chǎn)品多數(shù)采用基于特征的匹配技術(shù)，與基于誤用檢測技術(shù)的入侵檢測系統(tǒng)相類似。掃描產(chǎn)品首先通過請求/應(yīng)答，或通過執(zhí)行攻擊腳本，來搜集目標(biāo)主機上的信息，然后在獲取的信息中尋找漏洞特

17、征庫定義的安全漏洞，如果有，則認(rèn)為安全漏洞存在?？梢钥吹?，安全漏洞能否發(fā)現(xiàn)很大程度上取決于漏洞特征的定義。掃描器發(fā)現(xiàn)的安全漏洞應(yīng)該符合國際標(biāo)準(zhǔn)，這是對掃描器的基本要求。但是由于掃描器的開發(fā)商大都自行定義標(biāo)準(zhǔn)，使得安全漏洞特征的定義不盡相同。漏洞特征庫通常是在分析網(wǎng)絡(luò)系統(tǒng)安全漏洞、黑客攻擊案例和網(wǎng)絡(luò)系統(tǒng)安全配置的基礎(chǔ)上形成的。對于網(wǎng)絡(luò)安全漏洞，人們還需要分析其表現(xiàn)形式，檢查它在某個連接請求情況下的應(yīng)答信息；或者通過模式攻擊的形式，查看模擬攻擊過程中目標(biāo)的應(yīng)答信息，從應(yīng)答信息中提取安全漏洞特征。漏洞特征的定義如同入侵檢測系統(tǒng)中對攻擊特征的定義，是開發(fā)漏洞掃描系統(tǒng)的主要工作，其準(zhǔn)確直接關(guān)系到漏洞掃描

18、系統(tǒng)性能的好壞。這些漏洞特征，有的存在于單個應(yīng)答數(shù)據(jù)包中，有的存在于多個應(yīng)答數(shù)據(jù)包中，還有的維持在一個網(wǎng)絡(luò)連接之中。因此，漏洞特征定義的難度很大，需要反復(fù)驗證和測試。目前，國內(nèi)許多漏洞掃描產(chǎn)品直接基于國外的一些源代碼進(jìn)行開發(fā)。利用現(xiàn)成的漏洞特征庫，使系統(tǒng)的性能基本能夠與國外保持同步，省掉不少工作量，但核心內(nèi)容并不能很好掌握。從長遠(yuǎn)發(fā)展來看，我國需要有自主研究安全漏洞特征庫實力的掃描類產(chǎn)品開發(fā)商，以掌握漏洞掃描的核心技術(shù)。漏洞特征定義之所以重要，在于其直接決定了漏洞掃描產(chǎn)品的性能。在討論入侵檢測技術(shù)時，我們經(jīng)常會談到誤報率和漏報率，其實這個問題漏洞掃描產(chǎn)品也同樣存在，只不過因為入侵檢測還利用了異

19、常檢測技術(shù)，以及受網(wǎng)絡(luò)流量等因素影響，使得這個問題更加突出罷了。作為特征匹配技術(shù)本身，它的誤報率和漏報率是比較低的。一個定義非常好的漏洞特征，就會使誤報率和漏報率很低；反之，一個定義得不好的漏洞特征，就會使誤報率和漏報率較高。從網(wǎng)絡(luò)安全的角度看，一個安全掃描過程是非常從容的（不象入侵檢測需要面對復(fù)雜多變的網(wǎng)絡(luò)流量和攻擊），所以誤報率和漏報率完全取決于漏洞特征的定義。漏洞特征庫的多少決定了脆弱性掃描產(chǎn)品能夠發(fā)現(xiàn)安全漏洞的數(shù)量，所以這是衡量一個脆弱性掃描產(chǎn)品功能強弱的重要因素。這需要引出脆弱性特征庫升級（即產(chǎn)品升級）問題。由于每天都有可能出現(xiàn)新的安全漏洞，而基于特征匹配的脆弱性掃描技術(shù)不可能發(fā)現(xiàn)未

20、知的安全漏洞，所以特征庫的及時升級就顯得尤為重要。 模擬攻擊腳本定制掃描目標(biāo)的信息，例如操作系統(tǒng)類型版本號、網(wǎng)絡(luò)服務(wù)旗幟和一些安全漏洞，掃描產(chǎn)品都可以通過發(fā)送一些請求包來得到。但是確定安全漏洞是否存在，掃描產(chǎn)品不得不依靠模擬攻擊的方式來進(jìn)行。一般情況下，掃描產(chǎn)品嘗試對某個安全漏洞進(jìn)行攻擊，如果攻擊成功，就能證明安全漏洞存在，掃描產(chǎn)品作為一個安全工具應(yīng)該對網(wǎng)絡(luò)系統(tǒng)無損或損害很小。事實上，掃描產(chǎn)品并不真正對目標(biāo)主機進(jìn)行攻擊，而是采用定制的腳本模擬對系統(tǒng)進(jìn)行攻擊，然后對過程和結(jié)果進(jìn)行分析。攻擊腳本的定制對于安全掃描和安全漏洞的驗證都十分關(guān)鍵，也是掃描產(chǎn)品的關(guān)鍵技術(shù)之一。模擬攻擊腳本與漏洞特征庫緊密相

21、關(guān)，需要獲取包含脆弱性特征的信息。事實上，模擬攻擊腳本是實際攻擊的一個簡化版或弱化版，達(dá)到獲取信息的目的即可，而不需要把目標(biāo)攻癱或獲取根權(quán)限。例如模擬的拒絕服務(wù)攻擊腳本，一旦發(fā)現(xiàn)系統(tǒng)出現(xiàn)異常時就會立刻停止攻擊。探測弱口令之類安全漏洞的腳本，則會利用賬戶簡單交換、長度較短和易猜解的口令進(jìn)行嘗試，而不會像口令破解程序那樣會去窮盡整個搜索空間。模擬攻擊腳本的定制參照于實際攻擊的過程。針對某個具體的安全漏洞，人們需要首先利用實際攻擊工具進(jìn)行攻擊，記錄下攻擊的每一個步驟、目標(biāo)應(yīng)答和結(jié)果信息，分析這些信息，在其中尋找脆弱性特征，最后定制模擬攻擊腳本。由于有些安全漏洞存在于一個主體或表現(xiàn)在攻擊過程中，所以一

22、個模擬攻擊腳本有時能夠檢測到多個安全漏洞。我們在看一個脆弱性掃描產(chǎn)品的技術(shù)說明書時，經(jīng)常會看到產(chǎn)品有多少種攻擊手法，能夠發(fā)現(xiàn)多少種安全漏洞，這里所說的攻擊手法就是指模擬的攻擊腳本。通常，模擬攻擊腳本越多，掃描器能夠發(fā)現(xiàn)的安全漏洞種類就越多，功能也就越強大。 技術(shù)趨勢從最初的專門為UNIX系統(tǒng)編寫的具有簡單功能的小程序發(fā)展到現(xiàn)在，脆弱性掃描系統(tǒng)已經(jīng)成為能夠運行在各種操作系統(tǒng)平臺上、具有復(fù)雜功能的商業(yè)程序。脆弱性掃描產(chǎn)品的發(fā)展正呈現(xiàn)出以下趨勢。 系統(tǒng)評估愈發(fā)重要目前多數(shù)脆弱性掃描產(chǎn)品只能夠簡單地把各個掃描器測試項的執(zhí)行結(jié)果（目標(biāo)主機信息、安全漏洞信息和補救建議等）羅列出來提供給測試者，而不對信息進(jìn)

23、行任何分析處理。少數(shù)脆弱性掃描產(chǎn)品能夠?qū)呙杞Y(jié)果整理形成報表，依據(jù)一些關(guān)鍵詞（如IP地址和風(fēng)險等級等）對掃描結(jié)果進(jìn)行歸納總結(jié)，但是仍然沒有分析掃描結(jié)果 ，缺乏對網(wǎng)絡(luò)安全狀況的整體評估，也不會提出解決方案。在系統(tǒng)評估方面，我國的國標(biāo)已明確提出系統(tǒng)評估分析應(yīng)包括目標(biāo)的風(fēng)險等級評估、同一目標(biāo)多次掃描形式的趨勢分析、多個目標(biāo)掃描后結(jié)果的總體分析、關(guān)鍵脆弱性掃描信息的摘要和主機間的比較分析等等，而不能僅僅將掃描結(jié)果進(jìn)行簡單羅列。應(yīng)該說，脆弱性掃描技術(shù)已經(jīng)對掃描后的評估越來越重視。下一代的脆弱性掃描系統(tǒng)不但能夠掃描安全漏洞，還能夠智能化地協(xié)助管理人員評估網(wǎng)絡(luò)的安全狀況，并給出安全建議。為達(dá)這一目的，開發(fā)廠

24、商需要在脆弱性掃描產(chǎn)品中集成安全評估專家系統(tǒng)。專家系統(tǒng)應(yīng)能夠從網(wǎng)絡(luò)安全策略、風(fēng)險評估、脆弱性評估、脆弱性修補、網(wǎng)絡(luò)結(jié)構(gòu)和安全體系等多個方面綜合對網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全評估。 插件技術(shù)和專用腳本語言插件就是信息收集或模擬攻擊的腳本，每個插件都封裝著一個或者多個漏洞的測試手段。通常，脆弱性掃描產(chǎn)品是借助于主掃描程序通過用插件的方法來執(zhí)行掃描，通過添加新的插件就可以使掃描產(chǎn)品增加新的功能，掃描更多的脆弱性。如果能夠格式化插件的編寫規(guī)范并予以公布，用戶或者第三方就可以自己編寫插件來擴展掃描器的功能。插件技術(shù)可使掃描產(chǎn)品的結(jié)構(gòu)清晰，升級維護(hù)變的相對簡單，并具有非常強的擴展性。目前，大多數(shù)掃描產(chǎn)品其實已采用了基

25、于插件的技術(shù)，但各開發(fā)商自行規(guī)定接口規(guī)范，還沒有達(dá)到嚴(yán)格的規(guī)范水平。專用腳本語言是一種更高級的插件技術(shù)，用戶使用專用腳本語言可以大大擴展掃描器的功能。這些腳本語言語法通常比較簡單直觀，十幾行代碼就可以定制一個安全漏洞的檢測，為掃描器添加新的檢測項目。專用腳本語言的使用，簡化了編寫新插件的編程工作，使擴展掃描產(chǎn)品功能的工作變的更加方便，能夠更快跟上安全漏洞出現(xiàn)的速度。 網(wǎng)絡(luò)拓?fù)鋻呙杈W(wǎng)絡(luò)拓?fù)鋻呙枘壳斑€被大多數(shù)掃描器所忽略。隨著系統(tǒng)評估的愈發(fā)重要，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)正成為安全體系中的一個重要因素。拓?fù)鋻呙枘軌蜃R別網(wǎng)絡(luò)上的各種設(shè)備以及設(shè)備的連接關(guān)系，能夠識別子網(wǎng)或VLAN的劃分，能夠發(fā)現(xiàn)網(wǎng)絡(luò)的不合理連接，并

26、以圖形方式將這種結(jié)構(gòu)展現(xiàn)在用戶面前。 拓?fù)鋻呙枘軌蛟诜欠ǖ木W(wǎng)絡(luò)接入，失效的網(wǎng)絡(luò)隔離和網(wǎng)絡(luò)異常中斷等方面發(fā)揮關(guān)鍵作用，網(wǎng)絡(luò)拓?fù)鋻呙枵蔀榘踩u估的重要手段。 安全設(shè)備有效性檢測防火墻、入侵檢測系統(tǒng)等安全設(shè)備已經(jīng)取得了廣泛的使用，這些安全設(shè)備的效果如何卻很少引起人們的關(guān)注和測試。以防火墻配置為例，如果它在交換（透明）模式（無IP地址）下工作，脆弱性掃描產(chǎn)品將無法對它進(jìn)行有效檢測，防火墻工作有效與否就無從得知。未來的脆弱性掃描產(chǎn)品將會采用閉環(huán)路式結(jié)構(gòu)，能夠接入防火墻的兩端進(jìn)行有效性測試，檢測其訪問控制措施、抗攻擊措施是否與安全策略一致。 支持CVE國際標(biāo)準(zhǔn)在設(shè)計掃描程序或制定應(yīng)對策略時，不同的廠商對

27、漏洞的稱謂完全不同。CVE是一個有關(guān)安全漏洞和信息泄露標(biāo)準(zhǔn)名稱的列表，CVE（Common Vulnerabilities and Exposures）的目標(biāo)是將眾所周知的安全漏洞和信息泄露的名稱標(biāo)準(zhǔn)化。CVE的編委包括多個安全信息相關(guān)組織，由商業(yè)安全工具供應(yīng)商、學(xué)術(shù)界成員、研究機構(gòu)、政府機構(gòu)和安全專家組成。通過開放與合作的討論，這些組織將決定哪些安全漏洞和信息泄露問題將被包括在CVE中，然后在決定它們的通用名稱和對這些條目的描述。 軟件固化和安全的OS平臺由于脆弱性掃描產(chǎn)品是模擬攻擊舉動的安全工具，這就對該類產(chǎn)品自身的安全性提出了要求。產(chǎn)品本身的安全性主要指產(chǎn)品的抗攻擊性能，如果軟件本身或者

28、軟件的運行平臺無法保證安全性，掃描器就有可能感染病毒、木馬等有害程序，影響用戶的使用。由于軟件產(chǎn)品無法杜絕被感染的可能，脆弱性掃描產(chǎn)品正在向硬件化的方向發(fā)展，高檔產(chǎn)品還在FLASH、文件系統(tǒng)、通信接口等方面采用非通用程序，以徹底杜絕被惡意程序攻擊和感染的可能。 支持分布式掃描目前的用戶網(wǎng)絡(luò)越來越復(fù)雜，沒有劃分VLAN的單一網(wǎng)絡(luò)越來越少見。多個子網(wǎng)之間一般都有訪問限制，不同子網(wǎng)之間還設(shè)有防火墻。這些限制會對跨網(wǎng)段的掃描產(chǎn)生影響，使掃描結(jié)果不準(zhǔn)確。今后的掃描產(chǎn)品必須能夠進(jìn)行分布式掃描，以便對網(wǎng)絡(luò)接點進(jìn)行徹底、全面的檢查。 2.2.2 與等級保護(hù)的關(guān)系原標(biāo)準(zhǔn)GB/T 20278-2006 信息安全技

29、術(shù) 網(wǎng)絡(luò)脆弱性掃描產(chǎn)品技術(shù)要求在制定時沒有考慮與GB/T20271-2006 信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求和GB/T 22239-2008 信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)基本要求之間的相互關(guān)系。該類標(biāo)準(zhǔn)只是將網(wǎng)絡(luò)脆弱性掃描產(chǎn)品粗分為基本級和增強級兩個級別，且與“基本要求”和“通用要求”中的劃分沒有對應(yīng)關(guān)系，不利于該類產(chǎn)品在系統(tǒng)等級保護(hù)推行中產(chǎn)品選擇方面的有效對應(yīng)。GB/T 22239-2008 信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)基本要求的網(wǎng)絡(luò)安全管理，從第一級就要求“定期進(jìn)行網(wǎng)絡(luò)系統(tǒng)漏洞掃描，對發(fā)現(xiàn)的網(wǎng)絡(luò)系統(tǒng)安全漏洞進(jìn)行及時的修補”，GB/T 20271-2006 信息安全技術(shù)

30、信息系統(tǒng)通用安全技術(shù)要求中的信息系統(tǒng)安全性檢測分析，從第二級開始要求“操作系統(tǒng)安全性檢測分析、數(shù)據(jù)庫管理系統(tǒng)安全性檢測分析、網(wǎng)絡(luò)系統(tǒng)安全性檢測分析、應(yīng)用系統(tǒng)安全性檢測分析和硬件系統(tǒng)安全性檢測分析的要求，運用有關(guān)工具，檢測所選用和/或開發(fā)的操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、應(yīng)用系統(tǒng)、硬件系統(tǒng)的安全性，并通過對檢測結(jié)果的分析，按系統(tǒng)審計保護(hù)級的要求，對存在的安全問題加以改進(jìn)?！北敬卧趯υ瓨?biāo)準(zhǔn)的修訂過程中，對于產(chǎn)品本身的安全保護(hù)要求，主要參考了GB/T 17859-1999、GB/T 20271-2006、GB/T 18336-2008、GB/T 22239-2008等，以等級保護(hù)的思路編寫制定了

31、自身安全功能要求和保證要求。對于產(chǎn)品提供服務(wù)功能的安全保護(hù)能力方面，現(xiàn)階段是以產(chǎn)品功能強弱以及配合等級保護(hù)安全、審計等要素進(jìn)行分級的。通過對標(biāo)準(zhǔn)意見的不斷收集以及修改，將產(chǎn)品提供的功能與等級保護(hù)安全要素產(chǎn)生更密切的聯(lián)系，以便有能力參與到系統(tǒng)等級保護(hù)相關(guān)要素的保護(hù)措施中去。2.2.3 與原標(biāo)準(zhǔn)的區(qū)別1) 標(biāo)準(zhǔn)結(jié)構(gòu)更加清晰規(guī)范，全文按照產(chǎn)品安全功能要求、自身安全功能要求和安全保證要求三部分進(jìn)行整理修訂，與其他信息安全產(chǎn)品標(biāo)準(zhǔn)的編寫結(jié)構(gòu)保持一致。2）刪除原標(biāo)準(zhǔn)中性能部分的要求，將原來有關(guān)掃描速度、穩(wěn)定性和容錯性，以及脆弱性發(fā)現(xiàn)能力等重新整理，作為功能部分予以要求，同時，考慮到原來對于誤報率和漏報濾的

32、模糊描述以及實際測試的操作性較差，刪除了這兩項內(nèi)容的要求。3）對于產(chǎn)品功能要求的邏輯結(jié)構(gòu)進(jìn)行重新整理，按照信息獲取，端口掃描，脆弱性掃描，報告的先后順序進(jìn)行修訂，使得產(chǎn)品的功能要求在描述上逐步遞進(jìn)，易于讀者的理解，并且結(jié)合產(chǎn)品的功能強弱進(jìn)行分級。4) 對于產(chǎn)品的自身安全功能要求和安全保證要求，充分參考了等級保護(hù)的要求，對其進(jìn)行了重新分級，使得該標(biāo)準(zhǔn)在應(yīng)用時更能有效指導(dǎo)產(chǎn)品的開發(fā)和檢測，使得產(chǎn)品能更加有效的應(yīng)用于系統(tǒng)的等級保護(hù)工作。5）將標(biāo)準(zhǔn)名稱修改為信息安全技術(shù) 網(wǎng)絡(luò)脆弱性掃描產(chǎn)品安全技術(shù)要求，增加了“安全”二字，體現(xiàn)出這個標(biāo)準(zhǔn)的內(nèi)容是規(guī)定了產(chǎn)品的安全要求，而非其它電器、尺寸、環(huán)境等標(biāo)準(zhǔn)要求。

33、6）將原標(biāo)準(zhǔn)中“網(wǎng)絡(luò)脆弱性掃描”的定義修改為“通過網(wǎng)絡(luò)對目標(biāo)網(wǎng)絡(luò)系統(tǒng)安全隱患進(jìn)行遠(yuǎn)程探測的過程，它對網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全脆弱性檢測和分析，從而發(fā)現(xiàn)可能被入侵者利用的漏洞，并可以提出一定的防范和補救措施建議?！弊鳛閽呙桀惍a(chǎn)品，在發(fā)現(xiàn)系統(tǒng)脆弱性的同時，還要求“能夠采取一定的補救措施?！边@顯然是不合理的，而且這也不應(yīng)該是該類產(chǎn)品需要具備的功能，所以將產(chǎn)品定義的最后修改為“并可以提出一定的防范和補救措施建議?！?，提出補救建議就足夠了。7）刪除了原標(biāo)準(zhǔn)中的“數(shù)據(jù)庫脆弱性”，數(shù)據(jù)庫的安全性要求很多，現(xiàn)在市場上已經(jīng)出現(xiàn)了專門針對數(shù)據(jù)庫安全性掃描的一類產(chǎn)品，該要求不應(yīng)該作為本產(chǎn)品中具備的一個小項提出，故將其刪除。8）刪除了原標(biāo)準(zhǔn)中的“安裝與操作控制”，該要求涉及的內(nèi)容屬于產(chǎn)品的安裝與使用，不是產(chǎn)品應(yīng)具備的功能要求，故刪除，新標(biāo)準(zhǔn)修訂后在產(chǎn)品的安全保證要求中有所提及。9）刪除了原標(biāo)準(zhǔn)中的“與IDS 產(chǎn)品的互動”、“與防火墻產(chǎn)品的互動