1、ICS中華人民共和國公共平安行業標準GA/T ×××× xxxx信息技術網絡平安漏洞掃描產品技術要求Information technology Technical requirements for vulnerability scanner ofnetwork security報批稿××××-××-××發布 ××××-××-××實施中華人民共和國公安部 發布目 次前 言.II引 言.III1 范

2、圍.12 標準性引用文件.13 術語和定義.14 縮略語和記法約定.14.1 縮略語.14.2 記法約定.15 網絡平安漏洞掃描產品概述.25.1 引言.25.2 系統組成、結構.25.3 產品分級.25.4 使用環境.36 功能要求.36.1 根本級網絡平安漏洞掃描產品功能組件.36.2 自身平安功能要求.36.3 平安功能要求.36.4 管理功能要求.77 性能要求.77.1 速度.87.2 穩定性和容錯性.87.3 漏洞發現能力.87.4 誤報率.87.5 漏報率.88 增強級網絡平安漏洞掃描產品擴展技術要求.88.1 自主訪問控制.88.2 身份鑒別.88.3 客體重用.98.4 數據

3、完整性.98.5 審計.98.6 功能要求.99 平安保證要求.109.1 配置管理保證.109.2 交付和操作保證.109.3 開發過程保證.109.4 指南文件保證.109.5 測試保證.119.6 脆弱性分析保證.11前 言本標準由公安部公共信息網絡平安監察局提出。本標準由公安部信息系統平安標準化技術委員會歸口。本標準由北京中科網威信息技術、公安部第三研究所負責起草。本標準主要起草人：清黛、潘玉珣、楊威、余立新、肖江、劉兵、丁宇征。引 言本標準規定了網絡平安漏洞掃描產品的技術要求，提出了該類產品應具備的功能要求、性能要求和平安保證要求。并根據功能和性能要求的不同將網絡平安漏洞掃描產品進行

4、了分級。本標準的目的是為網絡平安漏洞掃描產品的研制、開發、測評和采購提供技術支持和指導。使用符合本標準的網絡平安漏洞掃描產品可對網絡進行脆弱性檢查，對發現的平安隱患提出解決建議，從而提高網絡系統的平安性。信息技術 網絡平安漏洞掃描產品技術要求1 范圍本標準規定了采用傳輸控制協議/網間協議TCP/IP的網絡平安漏洞掃描產品的功能要求、性能要求、增強級產品擴展技術要求和平安保證要求。本標準適用于對計算機信息系統進行人工或自動漏洞掃描的平安產品的研制、開發、測評和采購。2 標準性引用文件以下文件中的條款通過本標準的引用而成為本標準的條款。但凡注日期的引用文件，其隨后所有的修改單不包括勘誤的內容或修訂

5、版均不適用于本標準，然而，鼓勵根據本標準達成協議的各方研究是否可使用這些文件的最新版本。但凡不注日期的引用文件，其最新版本適用于本標準。GB/T 5271.8-2001 信息技術 詞匯 第8局部：平安idt ISO/IEC 2382-8:19983 術語和定義中確立的及以下術語適用于本標準。3.1 誤報 false positives由于漏洞掃描產品本身的缺陷或不完善導致產品輸出了錯誤掃描結果的現象。3.2 漏報 false negatives由于漏洞掃描產品本身的缺陷或不完善導致某些實際存在的平安漏洞未被探測到的現象。4 縮略語和記法約定4.1 縮略語CGI 公共網關接口 Common Ga

6、teway InterfaceDNS 域名系統 Domain Name SystemDOS 拒絕效勞 Denial Of ServiceFTP 文件傳送協議 File Transfer ProtocolHTTP 超文本傳送協議 Hypertext Transfer ProtocolTCP 傳輸控制協議 Transmission Control ProtocolIP 網間協議 Internet ProtocolUDP 用戶數據報協議 User Datagram ProtocolNETBIOS 網絡根本輸入輸出系統 NETwork Basic Input Output SystemNFS 網絡文件

7、系統 Network File SystemNIS 網絡信息效勞 Network Information ServicePOP 郵局協議 Post Office ProtocolRPC 遠程過程調用 Remote Procedure CallSMB 效勞器消息塊 Server Message BlockSMTP 簡單郵件傳送協議 Simple Mail Transfer ProtocolSNMP 簡單網絡管理協議 Simple Network Management Protocol4.2 記法約定細化：用于增加某一功能要求的細節，從而進一步限制該項要求。對功能要求的細化用黑體字表示。選項：用于

8、從對某一功能要求的陳述中突出一個或多個選項，用帶下劃線的斜體字表示。說明項：本標準對網絡平安漏洞掃描產品進行了分級。本標準中的要求，凡未特殊說明，均為根本級產品要求；對于增強級產品的特殊要求，將增加說明項進行特殊說明。5 網絡平安漏洞掃描產品概述5.1 引言網絡平安漏洞掃描產品的功能是對計算機系統和網絡進行檢查，發現其脆弱性，對其平安狀況進行評估、風險分析、平安趨勢分析，并對發現的平安隱患提出針對性的解決方案和建議，從而提高計算機系統和網絡的平安性。5.2 系統組成、結構5.2.1 系統組成系統由四個模塊構成，模塊間的關系如圖1所示。5.2.2 界面界面局部主要完成以下的功能：a) 負責接受并

9、處理用戶輸入、定制掃描策略、開始和終止掃描、定制評估分析報告等；b) 顯示系統工作狀態。5.2.3 掃描引擎掃描引擎局部主要完成以下的功能：a) 響應界面指令；b) 讀取掃描策略數據庫，并依此制定執行方案；c) 執行掃描方案，啟動掃描進程和線程，并進行調度管理。d) 將掃描結果存檔保存。5.2.4 結果評估分析結果評估分析局部主要完成以下的功能：a) 讀取數據庫中的掃描結果信息；b) 形成掃描報告。5.2.5 數據庫數據庫局部主要完成以下的功能：a) 存放掃描結果、定制策略內容、脆弱性描述及其解決方法；b) 提供數據查詢和管理功能。5.3 產品分級5.3.1 根本級該級別的網絡平安漏洞掃描產品

10、應滿足第6、7、9章規定的功能要求、性能要求和平安保證要求。5.3.2 增強級該級別的網絡平安漏洞掃描產品除滿足根本級產品各項要求外，還必須滿足第8章規定的擴展技術要求。5.4 使用環境5.4.1 硬件環境符合本標準的產品可在兼容計算機上安裝使用。5.4.2 軟件環境符合本標準的產品適用于當前流行的各種操作系統如：Windows系列操作系統或Unix/Linux操作系統。5.4.3 網絡環境為使漏洞掃描順利進行以及掃描結果更加準確，安裝漏洞掃描產品的主機應與被掃描的主機處于相同的網段。6 功能要求6.1 根本級網絡平安漏洞掃描產品功能組件根本級網絡平安漏洞掃描產品的功能組件由表1所列工程組成。

11、表1 根本級網絡平安漏洞掃描產品功能要求6.2 自身平安功能要求6.2.1 身份鑒別只有授權管理員才能使用網絡平安漏洞掃描產品的完整功能，對于授權管理員至少應采用用戶名/口令方式對其進行身份認證。6.2.2 數據完整性網絡平安漏洞掃描產品應確保用戶信息、策略信息和關鍵程序的數據完整性。應采取必要的手段對其完整性自動進行檢驗。6.2.3 審計日志對產品的使用包括登錄、掃描分析等應產生審計日志記錄。6.3 平安功能要求6.3.1 脆弱性掃描 瀏覽器脆弱性網絡平安漏洞掃描產品應檢查與瀏覽器平安相關的信息和配置，發現危險或不合理的配置，并提出相應的平安性建議。檢查工程應包括：a) 瀏覽器

12、版本號；b) 瀏覽器平安設置；c) 其他由于操作系統或軟件升級帶來的平安隱患。 郵件效勞脆弱性網絡平安漏洞掃描產品應檢查使用了POP3、SMTP等電子郵件相關協議的效勞程序的平安問題，檢查工程應包括：a) 效勞程序旗標和版本號；b) 效勞程序本身的漏洞，包括：設計錯誤；對輸入缺乏合法性檢查；不能正確處理異常情況。c) 效勞器的危險或錯誤配置，包括：是否允許EXPN 和VRFY 命令；是否允許郵件轉發；其它平安配置。d) 其它由于操作系統或軟件升級帶來的平安隱患。 FTP 效勞脆弱性網絡平安漏洞掃描產品應檢查使用了FTP協議的效勞程序的平安問題，檢查工程應包括：a)

13、效勞程序旗標和版本號；b) 效勞程序本身的漏洞，包括：設計錯誤；對輸入缺乏合法性檢查；不能正確處理異常情況。c) 效勞器的危險或錯誤配置，包括：是否允許匿名登錄；是否使用了默認口令；是否允許危險命令；其它平安配置。d) 其它由于操作系統或軟件升級帶來的平安隱患。 Web 效勞脆弱性網絡平安漏洞掃描產品應檢查使用了HTTP協議的效勞程序的平安問題，檢查工程應包括：a) 效勞程序旗標和版本號；b) 效勞程序本身的漏洞，包括：設計錯誤；對輸入缺乏合法性檢查；不能正確處理異常情況。c) 效勞器上運行的腳本及CGI 程序的漏洞；d) 效勞器的危險或錯誤配置，包括：文件屬性錯誤；目錄屬性錯誤

14、；其它平安配置。e) 其它由于操作系統或軟件升級帶來的平安隱患。 DNS 效勞脆弱性網絡平安漏洞掃描產品應檢查DNS 效勞的平安問題，檢查工程應包括：a) 效勞程序旗標和版本號；b) 效勞程序本身的漏洞，包括：設計錯誤；對輸入缺乏合法性檢查；不能正確處理異常情況。c) 其它由于操作系統或軟件升級帶來的平安隱患。 其它TCP/IP 效勞脆弱性網絡平安漏洞掃描產品應檢查其它使用了TCP/IP協議的效勞程序的平安問題，檢查工程應包括：a) 效勞程序的旗標和版本號；b) 效勞程序本身的漏洞，包括：設計錯誤；對輸入缺乏合法性檢查；不能正確處理異常情況。c) 效勞程序的錯誤配置

15、。 RPC 效勞的脆弱性網絡平安漏洞掃描產品應檢查使用了RPC協議的效勞程序的平安問題，檢查是否開啟了危險的RPC效勞。 NIS 效勞的脆弱性網絡平安漏洞掃描產品應檢查使用了NIS協議的效勞程序的平安問題，檢查是否開啟了危險的NIS效勞。 SNMP 效勞的脆弱性網絡平安漏洞掃描產品應檢查使用了SNMP協議的效勞程序的平安問題，檢查工程應包括：a) SNMP 口令脆弱性檢查；b) 檢查SNMP 效勞是否會暴露以下系統敏感信息，包括：TCP 端口表；UDP 端口表；效勞列表；進程列表；路由表；網絡接口設備表。0 口令脆弱性網絡平安漏洞掃描產品

16、應檢查系統帳戶口令的健壯性，檢查工程應包括：系統是否使用了帳戶名稱經過簡單變換后的口令；系統是否使用了易猜想口令；使用字典，檢查系統是否使用了易猜想的口令；使用窮舉法猜想口令以驗證系統帳戶口令的強度。1 NT 用戶、組、口令、共享、注冊表等脆弱性網絡平安漏洞掃描產品應檢查Windows NT/2000/XP特有的一些脆弱性，檢查工程應包括：a) 系統平安設置，包括： 注冊表工程訪問權限設置； 審核策略設置； 系統口令策略設置。b) Windows NT/2000/XP Service Pack 版本和補丁安裝情況檢查；c) 其它關于用戶、組、口令、共享、注冊表等脆弱性的檢查。6.

17、3.1.12 木馬網絡平安漏洞掃描產品應檢查常見木馬使用的默認端口是否開啟，并對掃描得到的開啟端口進行測試分析。3 NT 效勞網絡平安漏洞掃描產品應檢查Windows NT/2000/XP效勞開啟情況，檢查工程應包括：a) 獲取將當前啟動的NT效勞列表；b) 將當前啟動的NT效勞列表與用戶定義的“NT效勞列表相比擬，給出“未知NT效勞列表；c) 檢查是否啟動了具有一定危險性的NT效勞。4 NFS 效勞脆弱性網絡平安漏洞掃描產品應檢查NFS效勞相關的脆弱性。5 路由器/交換機脆弱性網絡平安漏洞掃描產品應檢查路由器/交換機及其開啟效勞相關的脆弱性。6.3.

18、1.16 DOS 攻擊脆弱性網絡平安漏洞掃描產品應能使用實際攻擊手法對目標主機進行真實的攻擊，以檢查目標主機對DOS攻擊的抵御能力。7 文件共享網絡平安漏洞掃描產品應檢查使用的NETBIOS或SMB共享，發現危險的設置，檢查工程應包括：a) SAMBA效勞器軟件的版本號；b) 重要目錄被共享；c) 共享目錄可被匿名用戶寫入；d) 是否使用了缺省或過于簡單的共享口令。8 其它網絡平安漏洞掃描產品應對未歸入至各條的系統脆弱性進行掃描檢查并給出掃描結果。6.3.2 網絡旁路檢查網絡平安漏洞掃描產品應檢查目標系統網絡中是否存在網絡旁路，如代理效勞器，撥號上網等。6.3.3

19、信息獲取 操作系統探測網絡平安漏洞掃描產品應能對操作系統類型和版本號進行探測。 效勞旗標網絡平安漏洞掃描產品應能獲取已開啟的各項TCP/IP效勞的旗標。 其他信息網絡平安漏洞掃描產品應能對以下的信息進行探測：a) 系統硬件信息；b) 系統軟件配置信息；c) 系統網絡配置信息；d) 共享目錄信息；e) 系統運行狀態信息。6.3.4 端口和效勞掃描 RPC 端口網絡平安漏洞掃描產品應能獲取運行的RPC效勞及其所在的RPC端口信息。 TCP 端口網絡平安漏洞掃描產品應能掃描所有TCP端口，檢查其是否開啟。 UDP 端

20、口網絡平安漏洞掃描產品應能掃描所有UDP端口，檢查其是否開啟。 端口協議分析就掃描得到的已開啟的TCP/UDP端口，網絡平安漏洞掃描產品應能判斷相應端口對應的效勞或使用的協議。 NT 效勞網絡平安漏洞掃描產品應能獲取目標主機上已啟動的NT效勞列表。6.4 管理功能要求6.4.1 訪問控制網絡平安漏洞掃描產品應確保只有授權管理員才能訪問網絡平安漏洞掃描產品，即只允許授權管理員有配置和使用網絡平安漏洞掃描產品的能力。6.4.2 掃描結果分析處理 掃描結果應能寫入數據庫。 可對結果數據庫執行導入導出操作。 網絡平安漏洞掃描產品應能

21、對結果數據庫進行查詢并形成報告，報告可分為以下類別：a) 脆弱性報告，包括各脆弱點的詳細信息、補救建議等；b) 對目標主機掃描后的信息獲取結果生成相應的報告；c) 脆弱性分析報告，包括： 目標的風險等級評估報告； 同一目標屢次掃描形成的趨勢分析報告； 多個目標掃描后的結果的總體報告； 對關鍵的漏洞掃描信息可生成摘要報告； 針對主機間進行比擬的結果生成報告。 報告應能根據用戶要求進行定制。 報告應可輸出為通用的文檔格式。 網絡平安漏洞掃描產品應提供掃描結果數據庫瀏覽功能。6.4.3 掃描策略定制 網絡平安漏洞掃描產品應能使用目標系統的賬號/

22、口令對其進行更有效的掃描。 網絡平安漏洞掃描產品應能定制掃描工程及屬性。 網絡平安漏洞掃描產品應能對策略定制操作形成審計記錄。 網絡平安漏洞掃描產品應提供方便的定制策略的方法。6.4.4 掃描對象的平安性 掃描預通知在開始進行漏洞掃描前，漏洞掃描產品應向被掃描主機發送警告信息，通知該主機即將對其進行掃描測試。 對目標系統所在網絡性能的影響掃描應不影響網絡的正常工作，但可允許網絡性能的少量降低。 對目標系統的影響掃描應盡量防止影響目標系統的正常工作，盡量防止使用攻擊方法進行測試；在使用某些可能對目標系統產生不良后

23、果的掃描手段時如使用DOS等攻擊測試手段，網絡平安漏洞掃描產品在測試開始前給出告警提示并要求用戶進行確認。6.4.5 升級能力 網絡平安漏洞掃描產品應具有升級能力。產品體系結構的設計應有利于產品的升級操作。 對網絡平安漏洞掃描產品至少可進行手動升級操作，更新漏洞特征庫。7 性能要求7.1 速度7.1.1 網絡平安漏洞掃描產品應采取合理的設計和必要的技術手段以保證掃描速度。7.1.2 網絡平安漏洞掃描產品應可通過調整掃描線程或進程數目等方法對掃描速度進行調節。7.2 穩定性和容錯性7.2.1 主界面不應失去響應或非正常退出。7.2.2 掃描進度不應停滯不前。7.2.3

24、 掃描任務應可隨時停止。7.3 漏洞發現能力網絡平安漏洞掃描產品的技術文檔應給出系統能夠掃描的漏洞數目，并針對漏洞給出詳細描述。7.4 誤報率網絡平安漏洞掃描產品的技術文檔應標明該系統的誤報率，并指明所使用的測試方法、測試工具、測試環境和測試步驟。7.5 漏報率網絡平安漏洞掃描產品的技術文檔應標明該系統的漏報率，并指明所使用的測試方法、測試工具、測試環境和測試步驟。8 增強級網絡平安漏洞掃描產品擴展技術要求8.1 自主訪問控制8.1.1 屬性定義網絡平安漏洞掃描產品應為每個管理角色規定與之相關的平安屬性，例如管理角色標識、鑒別信息、隸屬組、權限等。8.1.2 屬性初始化網絡平安漏洞掃描產品應提

25、供使用默認值對創立的每個管理角色的屬性進行初始化的能力。8.1.3 本地密碼文件保護網絡平安漏洞掃描產品應采取某種措施如加密保證本地密碼文件的平安。8.1.4 遠程管理如果網絡平安漏洞掃描產品采取了控制臺和掃描引擎相別離的的體系結構，控制臺對掃描引擎的訪問應可控制，如采取身份驗證措施等。8.1.5 適用范圍限制網絡平安漏洞掃描產品在漏洞探測的強度和深度上應進行一定的控制，以防止對被掃描系統造成嚴重危害。8.2 身份鑒別8.2.1 在任何操作前的身份鑒別在某個管理角色需要執行任何管理功能之前，網絡平安漏洞掃描產品應對該管理角色的身份進行鑒別，并將鑒別的結果生成審計記錄。8.2.2 重鑒別對于某個

26、已通過身份鑒別的管理角色，當其空閑操作的時間超過了規定值后，在該管理角色需要執行某項管理功能之前，網絡平安漏洞掃描產品應對該管理角色的身份重新進行鑒別。8.2.3 鑒別數據保護網絡平安漏洞掃描產品應保證鑒別數據不被未授權查閱、修改和破壞。8.2.4 鑒別失敗處理網絡平安漏洞掃描產品應為管理員登錄設定一個授權管理員可修改的鑒別嘗試次數，當管理員的不成功登錄嘗試超過該次數時，系統應阻止管理員的進一步鑒別請求，例如帳號失效一段時間，或者鎖定該管理員帳號直至超級管理員恢復該管理員的被鑒別能力。8.3 客體重用在某個管理角色通過身份鑒別后，網絡平安漏洞掃描產品應確保不提供前一次注銷的管理角色的任何信息，

27、包括鑒別信息、掃描策略信息和掃描日志等。8.4 數據完整性網絡平安漏洞掃描產品應采取某種保護措施如加密保證敏感信息如用戶鑒別信息、掃描策略信息和掃描日志等的保密性和完整性。對加密的敏感數據應能進行數據完整性檢驗。8.5 審計8.5.1 審計記錄網絡平安漏洞掃描產品應為以下可審計事件生成審計記錄：a) 審計功能的開啟和關閉；b) 任何讀取、修改和破壞審計數據的嘗試；c) 任何對鑒別機制的使用；d) 所有使用鑒別機制的請求；e) 任何對系統配置參數的修改設置和更新，無論成功與否。8.5.2 審計數據管理網絡平安漏洞掃描產品應確保只有授權管理員才能讀取、修改或刪除審計數據。8.5.3 存儲管理當審計

28、記錄占用的存儲空間到達規定的存儲空間大小時，應能自動刪除局部舊的日志記錄，以保證審計功能的正常運行。8.6 功能要求8.6.1 漏洞修補建議增強級網絡平安漏洞掃描產品應能對發現的漏洞提出修補建議，漏洞修補建議應滿足以下要求：a) 應針對不同的操作系統類型提出針對性的漏洞修補方法；b) 漏洞描述應詳細，提供的漏洞修補方法應經過驗證；c) 當發現目標主機存在漏洞后，可根據漏洞表現形式采取相應的措施，如對局部漏洞進行自動修復等。8.6.2 掃描結果信息網絡平安漏洞掃描產品提供的掃描結果應包含該產品的特定信息。8.6.3 掃描IP 地址限制網絡平安漏洞掃描產品應采取某種措施，對系統可以掃描的IP地址進

29、行限制，即只允許對授權地址和地址段進行掃描。網絡平安漏洞掃描產品提供的掃描結果應包含該產品的特定信息。8.6.4 隱蔽信道分析網絡平安漏洞掃描產品應采取某種措施，確保掃描信息沒有被未授權的第三方截取。8.6.5 智能化增強級網絡平安漏洞掃描產品應能在使用上局部實現智能化，包括：a) 自動掃描并處理結果，并將新出現的危險情況通知管理員；b) 自動判斷目標屬性，進行相應掃描。8.6.6 互動性要求 與防火墻產品的互動增強級網絡平安漏洞掃描產品應能與防火墻產品通過標準的接口共享掃描信息，以增強網絡的防護能力，例如將掃描得到的木馬及其綁定的端口信息通知防火墻，使防火墻動態調整自身的過濾規

30、那么，封堵相應的端口。 與防病毒產品的互動增強級網絡平安漏洞掃描產品應能與防病毒產品以標準的接口共享掃描信息如木馬和蠕蟲病毒等，以增強網絡的防病毒能力。增強級網絡平安漏洞掃描產品應可將掃描得到的病毒信息通知防病毒產品，使防病毒產品立即啟動相應的殺毒程序，對網絡進行查殺病毒操作。 互動接口網絡平安漏洞掃描產品應提供或采用一個標準的、開放的接口。遵照該接口標準，可為其它類型平安產品編寫相應的程序模塊，到達與網絡平安漏洞掃描產品進行互動的目的。8.6.7 產品升級 自動升級網絡平安漏洞掃描產品能定期搜索互聯網，自動下載系統升級包，下載完畢后能自動運行升級程序

31、進行升級。升級過程可暫時終止系統效勞程序的運行，升級完成后能重新啟動效勞程序，按照先前的策略繼續運行。 升級控制自動升級應采取某種機制，以防止得到錯誤的或偽造的系統升級包。例如采取身份驗證、數字簽名以及數據傳輸加密等手段。9 平安保證要求 配置管理保證網絡平安漏洞掃描產品的開發應滿足以下配置管理保證要求：a) 開發者應使用配置管理系統；b) 開發者應提供配置管理文件；c) 配置管理文件應包括一個配置目錄；d) 配置目錄應描述網絡平安漏洞掃描產品的各個配置工程。9.2 交付和操作保證網絡平安漏洞掃描產品的交付和操作應滿足以下要求：a) 開發者應以文件方式說明用于網絡平安漏洞掃描產品的平安安裝、生成和啟動的過程；b) 說明文件中應描述網絡平安漏洞掃描產品的平安安裝、生成和啟動所必須的步驟；c) 應確定安裝、生成和啟動程序最終產生了平安的配置。9.3 開發過程保證網絡平安漏洞掃描產品的開發過程應保證：a