GB-T 20278-2022 信息安全技術 網(wǎng)絡脆弱性掃描產(chǎn)品安全技術要求和測試評價方法(高清版）

ICS35030

CCSL.80

中華人民共和國國家標準

GB/T20278—2022

代替GB/T20278—2013GB/T20280—2006

,

信息安全技術網(wǎng)絡脆弱性掃描產(chǎn)品

安全技術要求和測試評價方法

Informationsecuritytechnology—Securitytechnicalrequirementsandtesting

assessmentapproachesfornetworkvulnerabilityscanners

2022-03-09發(fā)布2022-10-01實施

國家市場監(jiān)督管理總局發(fā)布

國家標準化管理委員會

GB/T20278—2022

目次

前言

…………………………Ⅰ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術語和定義

3………………1

縮略語

4……………………1

網(wǎng)絡脆弱性掃描產(chǎn)品描述

5………………2

安全技術要求

6……………2

概述

6.1…………………2

基本級安全要求

6.2……………………5

增強級安全要求

6.3……………………11

測試評價方法

7……………20

測試環(huán)境

7.1……………20

測試工具

7.2……………20

基本級測試評價方法

7.3………………21

增強級測試評價方法

7.4………………36

參考文獻

……………………59

GB/T20278—2022

前言

本文件按照標準化工作導則第部分標準化文件的結(jié)構(gòu)和起草規(guī)則的規(guī)定

GB/T1.1—2020《1:》

起草

。

本文件代替信息安全技術網(wǎng)絡脆弱性掃描產(chǎn)品安全技術要求和

GB/T20278—2013《》

信息安全技術網(wǎng)絡脆弱性掃描產(chǎn)品測試評價方法與相

GB/T20280—2006《》,GB/T20278—2013

比除結(jié)構(gòu)調(diào)整和編輯性改動外主要技術變化如下

,,:

增加了網(wǎng)絡脆弱性掃描產(chǎn)品描述的內(nèi)容見第章

a)“”(5);

增加了掃描報文標識的要求見和

b)“”(.3.3);

增加了并發(fā)掃描的要求見和

c)“”();

增加了支撐系統(tǒng)安全的要求見和

d)“”();

增加了通信保密性的要求見

e)“”();

增加了環(huán)境適應性要求有則適用的內(nèi)容其中主要是明確了產(chǎn)品對的支持能力包

f)“()”,IPv6,

括支持純網(wǎng)絡環(huán)境的掃描能力網(wǎng)絡環(huán)境下的自身管理能力以及雙協(xié)議棧的要求

IPv6、IPv6

見和

(6.2.36.3.3);

增加了測試評價方法的內(nèi)容見第章

g)“”(7);

刪除了掃描地址限制的要求見年版的

h)“IP”(20138.1.8);

刪除了易用性的要求見年版的

i)“”(2013);

修改了脆弱性掃描內(nèi)容將原標準中要求的項掃描要求重新整理分為類掃描要求見

j)“”,155(

和年版的在增強級中還提出了對云環(huán)境和工控設備目標對象的

,20137.1.2),

掃描要求見和

(.6.7);

修改了各級的安全保證要求為安全保障要求見和年版的和

k)“”“”(6.2.46.3.4,20137.38.3)。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機構(gòu)不承擔識別專利的責任

。。

本文件由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本文件起草單位公安部第三研究所北京神州綠盟科技有限公司網(wǎng)神信息技術北京股份有限

:、、()

公司北京天融信網(wǎng)絡安全技術有限公司啟明星辰信息技術集團股份有限公司上海國際技貿(mào)聯(lián)合有

、、、

限公司中國網(wǎng)絡安全審查技術與認證中心西安交大捷普網(wǎng)絡科技有限公司北京中科網(wǎng)威信息技術

、、、

有限公司上海市信息安全測評認證中心工業(yè)和信息化部計算機與微電子發(fā)展研究中心中國軟件評

、、(

測中心新華三技術有限公司中國電子科技集團公司第十五研究所信息產(chǎn)業(yè)信息安全測評中心國

)、、()、

家工業(yè)信息安全發(fā)展研究中心陜西省網(wǎng)絡與信息安全測評中心國網(wǎng)新疆電力有限公司電力科學研究

、、

院中國科學院信息工程研究所中國電力科學研究院有限公司信息通信研究所中國信息通信研究院

、、、、

遠江盛邦北京網(wǎng)絡安全科技股份有限公司北京通和實益電信科學技術研究所有限公司上海斗象信

()、、

息科技有限公司深圳市聯(lián)軟科技股份有限公司北京知道創(chuàng)宇信息技術股份有限公司

、、。

本文件主要起草人顧建新宋好好陸臻顧健沈亮尹航陳昕宇熊毅秦蘭曹寧申永波

:、、、、、、、、、、、

何建鋒宋偉徐佟海郭永振楊洪起劉健劉志堯巨騰飛李明軒陳佳閆兆騰嚴敏輝許子先

、、、、、、、、、、、、、

于忠臣聞蕾謝忱侯俊崔兆

、、、、。

本文件及其所替代文件的歷次版本發(fā)布情況為

:

年首次發(fā)布為年第一次修訂

———2006GB/T20278—2006,2013;

本次為第二次修訂并入了信息安全技術網(wǎng)絡脆弱性掃描產(chǎn)品測試評

———,GB/T20280—2006《

價方法的內(nèi)容

》。

Ⅰ

GB/T20278—2022

信息安全技術網(wǎng)絡脆弱性掃描產(chǎn)品

安全技術要求和測試評價方法

1范圍

本文件規(guī)定了網(wǎng)絡脆弱性掃描產(chǎn)品的安全技術要求和測試評價方法

。

本文件適用于脆弱性掃描產(chǎn)品的設計開發(fā)與測試

、。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范化引用而構(gòu)成本文件必不可少的條款其中注日期的引用文

。,

件僅該日期對應的版本適用于本文件不注日期的引用文件其最新版本包括所有的修改單適用于

,;,()

本文件

。

信息安全技術術語

GB/T25069

3術語和定義

界定的以及下列術語和定義適用于本文件

GB/T25069。

31

.

掃描scan

使用技術工具對目標系統(tǒng)進行探測查找目標系統(tǒng)中存在安全弱點的過程

,。

32

.

網(wǎng)絡脆弱性