標準解讀

《GB/T 20278-2013 信息安全技術 網絡脆弱性掃描產品安全技術要求》相比其前版《GB/T 20278-2006 信息安全技術 網絡脆弱性掃描產品技術要求》,主要在以下幾個方面進行了更新與完善:

  1. 安全要求強化:2013版標準更加強調了產品的安全性,增加了對網絡脆弱性掃描產品在操作安全、數據安全、通信安全等方面的技術要求,確保在進行掃描作業(yè)時不對目標系統(tǒng)造成不必要的影響或損害。

  2. 技術規(guī)范升級:鑒于信息技術的快速發(fā)展,新版標準對掃描技術、漏洞識別能力、報告生成等方面提出了更高要求,包括支持更多協(xié)議和應用的安全檢測,以及提高了對最新漏洞的快速響應能力。

  3. 合規(guī)性擴展:2013版標準結合了最新的國際安全標準和合規(guī)要求,如ISO/IEC 27001等,對產品的合規(guī)性評估框架進行了調整,確保產品能夠滿足更廣泛的國際安全標準和法律法規(guī)要求。

  4. 性能指標細化:新標準對網絡脆弱性掃描產品的性能指標進行了更加詳細的定義,包括掃描速度、并發(fā)能力、誤報率與漏報率等,為產品性能的評測提供了更為具體的標準。

  5. 用戶界面與可操作性:考慮到用戶體驗的重要性,2013版標準對產品的人機交互界面提出了指導性要求,強調界面友好性、操作便捷性和結果易理解性,便于用戶高效地使用和管理。

  6. 維護與升級機制:新增了關于產品更新維護的要求,強調廠商應提供定期的漏洞庫更新服務,以及產品本身的升級路徑,以應對不斷變化的安全威脅環(huán)境。

  7. 測試與認證方法:為確保產品的符合性,新標準詳細規(guī)定了測試方法和認證流程,為第三方評測機構提供了更為明確的評估依據,增強了標準的實施可行性和權威性。


如需獲取更多詳盡信息,請直接參考下方經官方授權發(fā)布的權威標準文檔。

....

查看全部

  • 被代替
  • 已被新標準代替,建議下載現(xiàn)行標準GB/T 20278-2022
  • 2013-12-31 頒布
  • 2014-07-15 實施
?正版授權
GB/T 20278-2013信息安全技術網絡脆弱性掃描產品安全技術要求_第1頁
GB/T 20278-2013信息安全技術網絡脆弱性掃描產品安全技術要求_第2頁
GB/T 20278-2013信息安全技術網絡脆弱性掃描產品安全技術要求_第3頁
GB/T 20278-2013信息安全技術網絡脆弱性掃描產品安全技術要求_第4頁
免費預覽已結束,剩余28頁可下載查看

下載本文檔

文檔簡介

ICS35040

L80.

中華人民共和國國家標準

GB/T20278—2013

代替

GB/T20278—2006

信息安全技術

網絡脆弱性掃描產品安全技術要求

Informationsecuritytechnology—

Securitytechnicalrequirementsfornetworkvulnerabilityscanners

2013-12-31發(fā)布2014-07-15實施

中華人民共和國國家質量監(jiān)督檢驗檢疫總局發(fā)布

中國國家標準化管理委員會

GB/T20278—2013

目次

前言

…………………………Ⅰ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術語和定義

3………………1

縮略語

4……………………1

網絡脆弱性掃描產品等級劃分

5…………2

等級劃分說明

5.1………………………2

等級劃分

5.2……………2

使用環(huán)境

6…………………6

基本級安全技術要求

7……………………6

安全功能要求

7.1………………………6

自身安全要求

7.2………………………10

安全保證要求

7.3………………………12

增強級安全技術要求

8……………………14

安全功能要求

8.1………………………14

自身安全要求

8.2………………………19

安全保證要求

8.3………………………21

GB/T20278—2013

前言

本標準按照給出的規(guī)則起草

GB/T1.1—2009。

本標準代替信息安全技術網絡脆弱性掃描產品技術要求本標準與

GB/T20278—2006《》,

的主要差異如下

GB/T20278—2006:

標準名稱修改為信息安全技術網絡脆弱性掃描產品安全技術要求

———《》;

修改了網絡脆弱性掃描的定義見

———“”(3.3);

刪除了服務的脆弱性見版的

———“NIS”(20067.3.1.8);

刪除了數據庫脆弱性見版的

———“”(20067.3.1.18);

刪除了端口見版的

———“RPC”(20067.3.4.1);

刪除了服務見版的

———“NT”(20067.3.4.5);

刪除了報警功能見版的

———“”(20067.4.4.1);

刪除了安裝與操作控制見版的

———“”(20067.5);

刪除了與產品的互動與防火墻產品的互動與其他應用程序之間的互動見

———“IDS”“”“”(2006

版的和

7.7.4.2、7.7.4.3、7.7.4.48);

刪除了性能要求

———“”;

新增了在產品升級過程中升級安全措施要求

———;

新增了掃描結果的比對分析功能

———;

在產品自身安全要求中新增了鑒別數據保護鑒別失敗處理超時鎖定或注銷遠程管理等

———、、、

功能

;

調整了標準的整體結構按照產品安全功能要求自身安全要求和安全保證要求三部分描述

———,、,

同時細化了產品自身安全的要求項明確了審計功能要求的內容

,,。

本標準由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本文件某些內容可能涉及專利本文件的發(fā)布機構不承擔識別這些專利的責任

,。

本標準起草單位公安部計算機信息系統(tǒng)安全產品質量監(jiān)督檢驗中心啟明星辰信息技術有限公

:、

司北京中科網威信息技術有限公司

、。

本標準主要起草人顧建新陸臻俞優(yōu)顧健趙婷王志佳王紅虹明旭

:、、、、、、、。

GB/T20278—2013

信息安全技術

網絡脆弱性掃描產品安全技術要求

1范圍

本標準規(guī)定了網絡脆弱性掃描產品的安全功能要求自身安全要求和安全保證要求并根據安全技

、,

術要求的不同對網絡脆弱性掃描產品進行了分級

。

本標準適用于網絡脆弱性掃描產品的研制生產和檢測

、。

2規(guī)范性引用文件

下列文件對于本文件的應用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

計算機信息系統(tǒng)安全保護等級劃分準則

GB17859—1999

信息技術信息技術安全性評估準則第部分安全保證要求

GB/T18336.3—20083:

信息安全技術術語

GB/T25069—2010

3術語和定義

和中界定的以及下列術語和定義適用于本文件

GB17859—1999GB/T25069—2010。

31

.

掃描scan

使用技術工具對目標系統(tǒng)進行探測查找目標系統(tǒng)中存在的安全隱患的過程

,。

32

.

脆弱性vulnerability

網絡系統(tǒng)中可能被利用并造成危害的弱點

溫馨提示

  • 1. 本站所提供的標準文本僅供個人學習、研究之用,未經授權,嚴禁復制、發(fā)行、匯編、翻譯或網絡傳播等,侵權必究。
  • 2. 本站所提供的標準均為PDF格式電子版文本(可閱讀打?。驍底稚唐返奶厥庑?,一經售出,不提供退換貨服務。
  • 3. 標準文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質量問題。

評論

0/150

提交評論