1工作簡要過程

1.1任務來源

近年來，隨著黑客技術的不斷發展以及網絡非法入侵事件的激增，國內網絡安全產品市場也呈現出

良好的發展態勢，各種品牌的防火墻產品、入侵檢測產品等已經達到了相當可觀的規模。最近幾年，網

絡脆弱性掃描產品的出現，為網絡安全產品廠商提供了一個展現自身技術水平的更高層次舞臺，市場上，

各種實現脆弱性掃描功能的產品層出不窮，發展迅速，標準《GB/T20278-2006信息安全技術網絡脆

弱性掃描產品技術要求》已不能滿足現在產品的發展需求，另一方面，為了更好地配合等級保護工作的

開展，為系統等級保護在產品層面上的具體實施提供依據，需要對該標準進行合理的修訂，通過對該標

準的修訂，將更加全面系統的闡述網絡脆弱性掃描產品的安全技術要求，并對其進行合理的分級。本標

準編寫計劃由中國國家標準化管理委員會2010年下達，計劃號20101497-T-469，由公安部第三研究所

負責制定，具體修訂工作由公安部計算機信息系統安全產品質量監督檢驗中心承擔。

1.2參考國內外標準情況

該標準修訂過程中，主要參考了：

—GB17859-1999計算機信息系統安全保護等級劃分準則

—GB/T20271-2006信息安全技術信息系統安全通用技術要求

—GB/T22239-2008信息安全技術信息系統安全等級保護基本要求

—GB/T18336.2-2008信息技術安全技術信息技術安全性評估準則第二部分：安全功能要求

—GB/T18336.3-2008信息技術安全技術信息技術安全性評估準則第三部分：安全保證要求

—GA/T404-2002信息技術網絡安全漏洞掃描產品技術要求

—GB/T20278-2006信息安全技術網絡脆弱性掃描產品技術要求

—GB/T20280-2006信息安全技術網絡脆弱性掃描產品測試評價方法

—MSTL_JGF_04-017信息安全技術主機安全漏洞掃描產品檢驗規范

1.3主要工作過程

1）成立修訂組

2010年11月在我中心成立了由顧建新具體負責的標準修訂組，共由5人組成，包括俞優、顧建新、

張笑笑、陸臻、顧健。

2）制定工作計劃

修訂組首先制定了修訂工作計劃，并確定了修訂組人員例會及時溝通交流工作情況。

3）確定修訂內容

經標準修訂小組研究決定，以網絡脆弱性掃描產品發展的動向為研究基礎，以等級保護相關要求為

標準框架，修訂完成《信息安全技術網絡脆弱性掃描產品安全技術要求》。

4）修訂工作簡要過程

按照修訂進度要求，修訂組人員首先對所參閱的產品、文檔以及標準進行反復閱讀與理解，并查閱

有關資料，編寫標準修訂提綱。在對提綱進行交流和修改的基礎上，開始具體修訂工作。

-1-

2010年11月至2011年1月，對國內外網絡脆弱性掃描產品，相關技術文檔以及有關標準進行前

期基礎調研。在調研期間，我們主要對我中心歷年檢測產品的記錄、報告以及各產品的技術文檔材料進

行了篩選、匯總、分析，對國內外網絡脆弱性掃描產品的發展動向進行了研究，以及進行了對國內外相

關產品的技術文檔和標準分析理解等工作。

2011年1月至3月進行了草稿的編寫工作。以我修訂組人員收集的資料為基礎，依據修訂提綱，

在不斷的討論和研究中，完善內容，最終形成了本標準的草稿。

2011年3月至5月，我們收集了國內相關產品的主要生產廠家信息，以郵件形式向他們征求意見，

包括北京神州綠盟信息安全科技股份有限公司、解放軍信息安全研究中心等單位。

2011年5月，單位內部組織第一次標準討論會，由標準修訂組成員匯報標準的修訂情況并接受其

他同事的質詢，會后根據本次討論會的意見，對標準內容進行了修改。

2011年8月，單位內部組織第二次標準討論會，由標準修訂組成員匯報標準的修訂情況并接受其

他同事的質詢，會后根據本次討論會的意見，對標準內容進行了修改。

2011年12月，WG5專家評審會在上海組織召開了對標準征求意見稿的專家評審會，評審組由吉

增瑞等多位專家組成，與會專家對草稿（第三稿）進行了討論，并提出相關修改意見，會后修訂組再次

認真對專家意見進行了分析和處理，隨后形成了草稿（第四稿）。

2012年6月，單位內部組織第三次標準討論會，由標準修訂組成員匯報標準的修訂情況并接受其

他同事的質詢，會后根據本次討論會的意見，對標準內容進行了修改，形成了草稿（第五稿），在本次

討論會中，做出了一個非常重要的修改，就是將標準名稱改為《信息安全技術網絡脆弱性掃貓產品安

全技術要求》，同時對標準的整體結構也進行了調整，按照基本級和增強級分開描述的形式修訂，以便

于讀者的閱讀，并保持與其他同類國標一致。

2012年7月26日，WG5專家組在北京對標準草稿再次進行評審，與會專家包括趙戰生、王立福、

崔書昆、馮惠、袁文恭、卿斯漢、肖京華、楊建軍、羅鋒盈等。專家組對草稿（第五稿）提出若干意見，

并一致同意形成標準征求意見稿。會后，按照專家意見，對標準內容進行了修改。本次修改的主要內容

包括：標準封面、目錄、前言中的若干描述；標準排版；規范性引用文件中引用詞匯標準更新；定義與

術語。通過本次修改完善后，形成征求意見稿（第一稿），

2012年9月18日，收到WG5工作組投票意見，七家參與投票的單位中，有四家贊成，三家贊成

但需要修改，根據中科網威、江南天安、中國信息安全認證中心三家單位提出的意見進行了修改，通過

本次修改，將產品的術語定義“掃描”和“網絡脆弱性掃描”進行了進一步的推敲和明確；刪除了“可

允許網絡性能的少量降低”和“遠程保密傳輸”這兩項描述比較含糊的要求，形成征求意見稿（第二稿）。

2確定標準主要內容的論據

2.1修訂目標和原則

2.1.1修訂目標

本標準的修訂目標是：對網絡脆弱性掃描類產品提出產品功能要求、產品自身安全要求以及產品保

證要求，使之適用于我國脆弱性掃描產品的研究、開發、測試、評估以及采購。

-2-

2.1.2修訂原則

為了使我國網絡脆弱性掃描產品的開發工作從一開始就與國家標準保持一致，本標準的編寫參考了

國家有關標準，主要有GA/T698-2007、GB/T17859-1999、GB/T20271-2006、GB/T22239-2008和GB/T

18336-2008第二、三部分。本標準又要符合我國的實際情況，遵從我國有關法律、法規的規定。具體

原則與要求如下：

1）先進性

標準是先進經驗的總結，同時也是技術的發展趨勢。目前，我國網絡脆弱性掃描類產品種類繁多，

功能良莠不齊，要制定出先進的信息安全技術標準，必須參考國內外先進技術和標準，吸收其精華，制

定出具有先進水平的標準。本標準的編寫始終遵循這一原則。

2）實用性

標準必須是可用的，才有實際意義。因此本標準的編寫是在對國內外標準的相關技術內容消化、吸

收的基礎上，結合我國的實際情況，制定出符合我國國情的、可操作性強的標準。

3）兼容性

本標準既要與國際接軌，更要與我國現有的政策、法規、標準、規范等相一致。修訂組在對標準起

草過程中始終遵循此原則，其內容符合我國已經發布的有關政策、法律和法規。

2.2對網絡脆弱性掃描類產品的理解

2.2.1網絡脆弱性掃描產品

脆弱性掃描是一項重要的安全技術，它采用模擬攻擊的形式對網絡系統組成元素（服務器、工作站、

路由器和防火墻等）可能存在的安全漏洞進行逐項檢查，根據檢查結果提供詳細的脆弱性描述和修補方

案，形成系統安全性分析報告，從而為網絡管理員完善網絡系統提供依據。通常，我們將完成脆弱性掃

描的軟件、硬件或軟硬一體的組合稱為脆弱性掃描產品。

脆弱性掃描產品的分類

根據工作模式，脆弱性掃描產品分為主機脆弱性掃描產品和網絡脆弱性掃描產品。其中前者基于主

機，通過在主機系統本地運行代理程序來檢測系統脆弱性，例如針對操作系統和數據庫的掃描產品。后

者基于網絡，通過請求/應答方式遠程檢測目標網絡和主機系統的安全脆弱性。例如Satan和ISSInternet

Scanner等。針對檢測對象的不同，脆弱性掃描產品還可分為網絡掃描產品、操作系統掃描產品、WWW

服務掃描產品、數據庫掃描產品以及無線網絡掃描產品。

脆弱性掃描產品通常以三種形式出現：單一的掃描軟件，安裝在計算機或掌上電腦上，例如ISS

InternetScanner；基于客戶機（管理端）/服務器（掃描引擎）模式或瀏覽器/服務器模式，通常為軟件，

安裝在不同的計算機上，也有將掃描引擎做成硬件的，例如Nessus；也有作為其他安全產品的組件，

例如防御安全評估就是防火墻的一個組件。

-3-

網絡脆弱性掃描產品通過遠程檢測目標主機TCP/IP不同端口的服務，記錄目標給予的應答，來搜

集目標主機上的各種信息，然后與系統的漏洞庫進行匹配，如果滿足匹配條件，則認為安全漏洞存在；

或者通過模擬黑客的攻擊手法對目標主機進行攻擊，如果模擬攻擊成功，則認為安全漏洞存在。

主機脆弱性掃描產品則通過在主機本地的代理程序對系統配置、注冊表、系統日志、文件系統或數

據庫活動進行監視掃描，搜集他們的信息，然后與系統的漏洞庫進行比較，如果滿足匹配條件，則認為

安全漏洞存在。

在匹配原理上，目前脆弱性掃描產品大都采用基于規則的匹配技術，即通過對網絡系統安全脆弱性、

黑客攻擊案例和網絡系統安全配置的分析，形成一套標準安全脆弱性的特征庫，在此基礎上進一步形成

相應的匹配規則，由掃描產品自動完成掃描分析工作。

端口掃描技術

網絡脆弱性掃描是建立在端口掃描的基礎上的，支持TCP/IP協議的主機和設備，都是以開放端口

來提供服務，端口可以說是系統對外的窗口，安全漏洞也往往通過端口暴露出來。因此，網絡脆弱性掃

描產品為了提高掃描效率，首先需要判斷系統的哪些端口是開放的，然后對開放的端口執行某些掃描腳

本，進一步尋找安全漏洞。掃描產品一般集成了以下幾種主要的端口掃描技術。

TCPSYN掃描

通常稱為“半打開”掃描，這是因為掃描程序不必要打開一個完全的TCP連接。掃描程序發送的

是一個SYN數據包，好象準備打開一個實際的連接并等待反應一樣（參考TCP的三次握手建立一個

TCP連接的過程）。一個SYN/ACK的返回信息表示端口處于偵聽狀態。一個RST返回，表示端口沒有

處于偵聽狀態。

TCPFIN掃描

TCPFIN掃描的思路是關閉的端口使用適當的RST來回復FIN數據包，而打開的端口會忽略對FIN

數據包的回復。這種方法與系統實現有一定的關系，有的系統不管端口是否打開，都回復RST，在這

種情況下，該掃描方法就不適用了，但可以區分Unix和WindowsNT

TCPconnect（）掃描

這是最基本的TCP掃描。操作系統提供的connect（）系統調用，用來與每一個感興趣的目標計算

機的端口進行連接。如果端口處于偵聽狀態，那么connect（）就能成功。否則，這個端口是不能用的，

即沒有提供服務。

FIN+URG+PUSH掃描

-4-

向目標主機發送一個FIN、URG和PUSH分組，根據RFC793，如果目標主機的相應端口是關閉

的，那么應該返回一個RST標志。

NULL掃描

通過發送一個沒有任何標志位的TCP包，根據RFC793，如果目標主機的相應端口是關閉的，它應

該發送回一個RST數據包。

UDPICMP端口不能到達掃描

在向一個未打開的UDP端口發送一個數據包時，許多主機會返回一個ICMP_PORT_UNREACH錯

誤。這樣就能發現哪個端口是關閉的。UDP和ICMP錯誤都不保證能到達，因此這種掃描器必須能夠

重新傳輸丟失的數據包。這種掃描方法速度很慢，因為RFC對ICMP錯誤消息的產生速率做了規定。

安全漏洞特征定義

目前，脆弱性掃描產品多數采用基于特征的匹配技術，與基于誤用檢測技術的入侵檢測系統相類似。

掃描產品首先通過請求/應答，或通過執行攻擊腳本，來搜集目標主機上的信息，然后在獲取的信息中

尋找漏洞特征庫定義的安全漏洞，如果有，則認為安全漏洞存在。可以看到，安全漏洞能否發現很大程

度上取決于漏洞特征的定義。

掃描器發現的安全漏洞應該符合國際標準，這是對掃描器的基本要求。但是由于掃描器的開發商大

都自行定義標準，使得安全漏洞特征的定義不盡相同。

漏洞特征庫通常是在分析網絡系統安全漏洞、黑客攻擊案例和網絡系統安全配置的基礎上形成的。

對于網絡安全漏洞，人們還需要分析其表現形式，檢查它在某個連接請求情況下的應答信息；或者

通過模式攻擊的形式，查看模擬攻擊過程中目標的應答信息，從應答信息中提取安全漏洞特征。漏洞特

征的定義如同入侵檢測系統中對攻擊特征的定義，是開發漏洞掃描系統的主要工作，其準確直接關系到

漏洞掃描系統性能的好壞。這些漏洞特征，有的存在于單個應答數據包中，有的存在于多個應答數據包

中，還有的維持在一個網絡連接之中。因此，漏洞特征定義的難度很大，需要反復驗證和測試。目前，

國內許多漏洞掃描產品直接基于國外的一些源代碼進行開發。利用現成的漏洞特征庫，使系統的性能基

本能夠與國外保持同步，省掉不少工作量，但核心內容并不能很好掌握。從長遠發展來看，我國需要有

自主研究安全漏洞特征庫實力的掃描類產品開發商，以掌握漏洞掃描的核心技術。

漏洞特征定義之所以重要，在于其直接決定了漏洞掃描產品的性能。在討論入侵檢測技術時，我們

經常會談到誤報率和漏報率，其實這個問題漏洞掃描產品也同樣存在，只不過因為入侵檢測還利用了異

常檢測技術，以及受網絡流量等因素影響，使得這個問題更加突出罷了。作為特征匹配技術本身，它的

誤報率和漏報率是比較低的。一個定義非常好的漏洞特征，就會使誤報率和漏報率很低；反之，一個定

-5-

義得不好的漏洞特征，就會使誤報率和漏報率較高。從網絡安全的角度看，一個安全掃描過程是非常從

容的（不象入侵檢測需要面對復雜多變的網絡流量和攻擊），所以誤報率和漏報率完全取決于漏洞特征

的定義。

漏洞特征庫的多少決定了脆弱性掃描產品能夠發現安全漏洞的數量，所以這是衡量一個脆弱性掃描

產品功能強弱的重要因素。這需要引出脆弱性特征庫升級（即產品升級）問題。由于每天都有可能出現

新的安全漏洞，而基于特征匹配的脆弱性掃描技術不可能發現未知的安全漏洞，所以特征庫的及時升級

就顯得尤為重要。

模擬攻擊腳本定制

掃描目標的信息，例如操作系統類型版本號、網絡服務旗幟和一些安全漏洞，掃描產品都可以通過

發送一些請求包來得到。但是確定安全漏洞是否存在，掃描產品不得不依靠模擬攻擊的方式來進行。一

般情況下，掃描產品嘗試對某個安全漏洞進行攻擊，如果攻擊成功，就能證明安全漏洞存在，掃描產品

作為一個安全工具應該對網絡系統無損或損害很小。事實上，掃描產品并不真正對目標主機進行攻擊，

而是采用定制的腳本模擬對系統進行攻擊，然后對過程和結果進行分析。

攻擊腳本的定制對于安全掃描和安全漏洞的驗證都十分關鍵，也是掃描產品的關鍵技術之一。模擬

攻擊腳本與漏洞特征庫緊密相關，需要獲取包含脆弱性特征的信息。事實上，模擬攻擊腳本是實際攻擊

的一個簡化版或弱化版，達到獲取信息的目的即可，而不需要把目標攻癱或獲取根權限。例如模擬的拒

絕服務攻擊腳本，一旦發現系統出現異常時就會立刻停止攻擊。探測弱口令之類安全漏洞的腳本，則會

利用賬戶簡單交換、長度較短和易猜解的口令進行嘗試，而不會像口令破解程序那樣會去窮盡整個搜索

空間。

模擬攻擊腳本的定制參照于實際攻擊的過程。針對某個具體的安全漏洞，人們需要首先利用實際攻

擊工具進行攻擊，記錄下攻擊的每一個步驟、目標應答和結果信息，分析這些信息，在其中尋找脆弱性

特征，最后定制模擬攻擊腳本。由于有些安全漏洞存在于一個主體或表現在攻擊過程中，所以一個模擬

攻擊腳本有時能夠檢測到多個安全漏洞。我們在看一個脆弱性掃描產品的技術說明書時，經常會看到產

品有多少種攻擊手法，能夠發現多少種安全漏洞，這里所說的攻擊手法就是指模擬的攻擊腳本。通常，

模擬攻擊腳本越多，掃描器能夠發現的安全漏洞種類就越多，功能也就越強大。

技術趨勢

從最初的專門為UNIX系統編寫的具有簡單功能的小程序發展到現在，脆弱性掃描系統已經成為能

夠運行在各種操作系統平臺上、具有復雜功能的商業程序。脆弱性掃描產品的發展正呈現出以下趨勢。

系統評估愈發重要

-6-

目前多數脆弱性掃描產品只能夠簡單地把各個掃描器測試項的執行結果（目標主機信息、安全漏洞

信息和補救建議等）羅列出來提供給測試者，而不對信息進行任何分析處理。少數脆弱性掃描產品能夠

將掃描結果整理形成報表，依據一些關鍵詞（如IP地址和風險等級等）對掃描結果進行歸納總結，但

是仍然沒有分析掃描結果，缺乏對網絡安全狀況的整體評估，也不會提出解決方案。

在系統評估方面，我國的國標已明確提出系統評估分析應包括目標的風險等級評估、同一目標多次

掃描形式的趨勢分析、多個目標掃描后結果的總體分析、關鍵脆弱性掃描信息的摘要和主機間的比較分

析等等，而不能僅僅將掃描結果進行簡單羅列。應該說，脆弱性掃描技術已經對掃描后的評估越來越重

視。下一代的脆弱性掃描系統不但能夠掃描安全漏洞，還能夠智能化地協助管理人員評估網絡的安全狀

況，并給出安全建議。為達這一目的，開發廠商需要在脆弱性掃描產品中集成安全評估專家系統。專家

系統應能夠從網絡安全策略、風險評估、脆弱性評估、脆弱性修補、網絡結構和安全體系等多個方面綜

合對網絡系統進行安全評估。

插件技術和專用腳本語言

插件就是信息收集或模擬攻擊的腳本，每個插件都封裝著一個或者多個漏洞的測試手段。通常，脆

弱性掃描產品是借助于主掃描程序通過用插件的方法來執行掃描，通過添加新的插件就可以使掃描產品

增加新的功能，掃描更多的脆弱性。如果能夠格式化插件的編寫規范并予以公布，用戶或者第三方就可

以自己編寫插件來擴展掃描器的功能。插件技術可使掃描產品的結構清晰，升級維護變的相對簡單，并

具有非常強的擴展性。目前，大多數掃描產品其實已采用了基于插件的技術，但各開發商自行規定接口

規范，還沒有達到嚴格的規范水平。

專用腳本語言是一種更高級的插件技術，用戶使用專用腳本語言可以大大擴展掃描器的功能。這些

腳本語言語法通常比較簡單直觀，十幾行代碼就可以定制一個安全漏洞的檢測，為掃描器添加新的檢測

項目。專用腳本語言的使用，簡化了編寫新插件的編程工作，使擴展掃描產品功能的工作變的更加方便，

能夠更快跟上安全漏洞出現的速度。

網絡拓撲掃描

網絡拓撲掃描目前還被大多數掃描器所忽略。隨著系統評估的愈發重要，網絡拓撲結構正成為安全

體系中的一個重要因素。拓撲掃描能夠識別網絡上的各種設備以及設備的連接關系，能夠識別子網或

VLAN的劃分，能夠發現網絡的不合理連接，并以圖形方式將這種結構展現在用戶面前。

拓撲掃描能夠在非法的網絡接入，失效的網絡隔離和網絡異常中斷等方面發揮關鍵作用，網絡拓撲掃

描正成為安全評估的重要手段。

安全設備有效性檢測

-7-

防火墻、入侵檢測系統等安全設備已經取得了廣泛的使用，這些安全設備的效果如何卻很少引起人

們的關注和測試。以防火墻配置為例，如果它在交換（透明）模式（無IP地址）下工作，脆弱性掃描

產品將無法對它進行有效檢測，防火墻工作有效與否就無從得知。未來的脆弱性掃描產品將會采用閉環

路式結構，能夠接入防火墻的兩端進行有效性測試，檢測其訪問控制措施、抗攻擊措施是否與安全策略

一致。

支持CVE國際標準

在設計掃描程序或制定應對策略時，不同的廠商對漏洞的稱謂完全不同。CVE是一個有關安全漏

洞和信息泄露標準名稱的列表，CVE（CommonVulnerabilitiesandExposures）的目標是將眾所周知的安

全漏洞和信息泄露的名稱標準化。CVE的編委包括多個安全信息相關組織，由商業安全工具供應商、

學術界成員、研究機構、政府機構和安全專家組成。通過開放與合作的討論，這些組織將決定哪些安全

漏洞和信息泄露問題將被包括在CVE中，然后在決定它們的通用名稱和對這些條目的描述。

軟件固化和安全的OS平臺

由于脆弱性掃描產品是模擬攻擊舉動的安全工具，這就對該類產品自身的安全性提出了要求。產品

本身的安全性主要指產品的抗攻擊性能，如果軟件本身或者軟件的運行平臺無法保證安全性，掃描器就

有可能感染病毒、木馬等有害程序，影響用戶的使用。由于軟件產品無法杜絕被感染的可能，脆弱性掃

描產品正在向硬件化的方向發展，高檔產品還在FLASH、文件系統、通信接口等方面采用非通用程序，

以徹底杜絕被惡意程序攻擊和感染的可能。

支持分布式掃描

目前的用戶網絡越來越復雜，沒有劃分VLAN的單一網絡越來越少見。多個子網之間一般都有訪問

限制，不同子網之間還設有防火墻。這些限制會對跨網段的掃描產生影響，使掃描結果不準確。今后的

掃描產品必須能夠進行分布式掃描，以便對網絡接點進行徹底、全面的檢查。

2.2.2與等級保護的關系

原標準《GB/T20278-2006信息安全技術網絡脆弱性掃描產品技術要求》在制定時沒有考慮與

《GB/T20271-2006信息安全技術信息系統通用安全技術要求》和《GB/T22239-2008信息安全技術

信息系統安全等級保護基本要求》之間的相互關系。該類標準只是將網絡脆弱性掃描產品粗分為基本級

和增強級兩個級別，且與“基本要求”和“通用要求”中的劃分沒有對應關系，不利于該類產品在系統

等級保護推行中產品選擇方面的有效對應。《GB/T22239-2008信息安全技術信息系統安全等級保護

基本要求》的網絡安全管理，從第一級就要求“定期進行網絡系統漏洞掃描，對發現的網絡系統安全漏

洞進行及時的修補”，《GB/T20271-2006信息安全技術信息系統通用安全技術要求》中的信息系統安

-8-

全性檢測分析，從第二級開始要求“操作系統安全性檢測分析、數據庫管理系統安全性檢測分析、網絡

系統安全性檢測分析、應用系統安全性檢測分析和硬件系統安全性檢測分析的要求，運用有關工具，檢

測所選用和/或開發的操作系統、數據庫管理系統、網絡系統、應用系統、硬件系統的安全性，并通過

對檢測結果的分析，按系統審計保護級的要求，對存在的安全問題加以改進。”

本次在對原標準的修訂過程中，對于產品本身的安全保護要求，主要參考了GB/T17859-1999、GB/T

20271-2006、GB/T18336-2008、GB/T22239-2008等，以等級保護的思路編寫制定了自身安全功能要求

和保證要求。對于產品提供服務功能的安全保護能力方面，現階段是以產品功能強弱以及配合等級保護

安全、審計等要素進行分級的。通過對標準意見的不斷收集以及修改，將產品提供的功能與等級保護安

全要素產生更密切的聯系，以便有能力參與到系統等級保護相關要素的保護措施中去。

2.2.3與原標準的區別

1)標準結構更加清晰規范，全文按照產品安全功能要求、自身安全功能要求和安全保證要求三部

分進行整理修訂，與其他信息安全產品標準的編寫結構保持一致。

2）刪除原標準中性能部分的要求，將原來有關掃描速度、穩定性和容錯性，以及脆弱性發現能力

等重新整理，作為功能部分予以要求，同時，考慮到原來對于誤報率和漏報濾的模糊描述以及實際測試

的操作性較差，刪除了這兩項內容的要求。

3）對于產品功能要求的邏輯結構進行重新整理，按照信息獲取，端口掃描，脆弱性掃描，報告的

先后順序進行修訂，使得產品的功能要求在描述上逐步遞進，易于讀者的理解，并且結合產品的功能強

弱進行分級。

4)對于產品的自身安全功能要求和安全保證要求，充分參考了等級保護的要求，對其進行了重新

分級，使得該標準在應用時更能有效指導產品的開發和檢測，使得產品能更加有效的應用于系統的等級

保護工作。

5）將標準名稱修改為《信息安全技術網絡脆弱性掃描產品安全技術要求》，增加了“安全”二字，

體現出這個標準的內容是規定了產品的安全要求，而非其它電器、尺寸、環境等標準要求。

6）將原標準中“網絡脆弱性掃描”的定義修改為“通過網絡對目標網絡系統安全隱患進行遠程探

測的過程，它對網絡系統進行安全脆弱性檢測和分析，從而發現可能被入侵者利用的漏洞，并可以提出

一定的防范和補救措施建議。”作為掃描類產品，在發現系統脆弱性的同時，還要求“能夠采取一定的

補救措施。”這顯然是不合理的，而且這也不應該是該類產品需要具備的功能，所以將產品定義的最后

修改為“并可以提出一定的防范和補救措施建議。”，提出補救建議就足夠了。

7）刪除了原標準中的“數據庫脆弱性”，數據庫的安全性要求很多，現在市場上已經出現了專門

針對數據庫安全性掃描的一類產品，該要求不應該作為本產品中具備的一個小項提出，故將其刪除。

-9-

8）刪除了原標準中的“安裝與操作控制”，該要求涉及的內容屬于產品的安裝與使用，不是產品

應具備的功能要求，故刪除，新標準修訂后在產品的安全保證要求中有所提及。

9）刪除了原標準中的“與IDS產品的互動”、“與防火墻產品的互動”、“與其它應用程序之間的互

動”，如果脆弱性掃描產品作為一套完整的大型系統中的一部分，要求具備這些可以與IDS、防火墻等

聯動的功能是非常有必要的，當掃描設備發現網絡系統中存在某些脆弱性后，可以與其他設備聯動進行

自動