ICS 35.030 CCS L 80
中华人民共和国国家标准
GB/T 20278—2022
代替GB/T 20278—2013，GB/T 20280—2006
信息安全技术 网络脆弱性扫描产品安全技术要求和测试评价方法
Information security technology——Security technical requirements and testing assessment approaches for network vulnerability scanners
2022-03-09发布2022-10-01实施
国家市场监督管理总局发布
国家标准化管理委员会
GB/T 20278—2022
信息安全技术 网络脆弱性扫描产品安全技术要求和测试评价方法
1 范围
本文件规定了网络脆弱性扫描产品的安全技术要求和测试评价方法。本文件适用于脆弱性扫描产品的设计、开发与测试。
2 规范性引用文件
下列文件中的内容通过文中的规范化引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。
GB/T 25069 信息安全技术 术语
3 术语和定义
GB/T 25069界定的以及下列术语和定义适用于本文件。3.1
扫描 scan
使用技术工具对目标系统进行探测，查找目标系统中存在安全弱点的过程。3.2
网络脆弱性扫描 network vulnerability scan
通过网络对目标系统安全弱点进行远程探测，检查和分析其安全脆弱性，从而发现可能被入侵者利用的安全弱点，并提出一定的防范和补救措施建议。3.3
旗标 banner
应用程序发送的一段信息。
注：通常包括欢迎语、应用程序名称和版本等信息。3.4
支撑系统 supporting system
支撑网络脆弱性扫描设备运行的操作系统。
4 缩略语
下列缩略语适用于本文件。
CNNVD：中国国家信息安全漏洞库（China National Vulnerability Database of Information Security）CVE：通用漏洞披露（Common Vulnerabilities and Exposures）FTP：文件传输协议（File Transfer Protocol）

GB/T 20278-2022

RPC：远程过程调用（Remote Procedure Call）TCP：传输控制协议（Transmission Control Protocol）UDP：用户数据报协议（User Datagram Protocol）

5 网络脆弱性扫描产品描述

网络脆弱性扫描产品是指利用扫描手段检测目标网络系统中可能存在的安全弱点的软件或软硬件组合的产品。该产品可根据预先定义的策略或者其他要求，对目标网络中的指定设备进行端口扫描，检查其开放的服务，并进一步探测各个服务程序的配置信息以及存在的安全问题，从而实现对目标网络系统的脆弱性扫描。对于适用于下一代互联网网络环境的网络脆弱性扫描产品，还能够支持IPv6、IPv4/IPv6过渡技术的网络环境，并具备较高的处理性能，可实现对多个目标的并发扫描。

网络脆弱性扫描产品在应用过程中与被扫描系统的各网络设备或者主机处于连通状态，网络路径中不存在其他安全防护或者检测设备的干扰。

6 安全技术要求

6.1 概述6.1.1 要求分类

本文件将网络脆弱性扫描产品的安全技术要求分为安全功能要求、自身安全保护要求、环境适应性要求和安全保障要求四方面。其中，安全功能要求是对产品应具备的安全功能提出的具体要求，包括信息获取、脆弱性扫描内容、扫描结果分析处理、扫描配置、扫描对象的安全性、扫描速度调节、并发扫描和升级能力等；自身安全保护要求包括身份鉴别、管理员管理、安全审计和支撑系统安全；环境适应性要求提出了产品支持IPv6网络环境进行工作和管理的要求；安全保障要求针对产品的生命周期过程提出具体的要求，包括开发、指导性文档、生命周期支持和测试等。6.1.2 安全等级

本文件将网络脆弱性扫描产品的安全等级分为基本级和增强级，如表1、表2、表3和表4所示。安全功能与自身安全保护的强弱、以及安全保障要求的高低是等级划分的具体依据，安全等级突出安全特性。与基本级内容相比，增强级中要求有所增加或变更的内容在正文中通过“宋体加粗”表示。

表1 安全功能要求等级划分表

GB/T 20278-2022
RPC：远程过程调用（Remote Procedure Call）TCP：传输控制协议（Transmission Control Protocol）UDP：用户数据报协议（User Datagram Protocol）
5 网络脆弱性扫描产品描述
网络脆弱性扫描产品是指利用扫描手段检测目标网络系统中可能存在的安全弱点的软件或软硬件组合的产品。该产品可根据预先定义的策略或者其他要求，对目标网络中的指定设备进行端口扫描，检查其开放的服务，并进一步探测各个服务程序的配置信息以及存在的安全问题，从而实现对目标网络系统的脆弱性扫描。对于适用于下一代互联网网络环境的网络脆弱性扫描产品，还能够支持IPv6、IPv4/IPv6过渡技术的网络环境，并具备较高的处理性能，可实现对多个目标的并发扫描。
网络脆弱性扫描产品在应用过程中与被扫描系统的各网络设备或者主机处于连通状态，网络路径中不存在其他安全防护或者检测设备的干扰。
6 安全技术要求
6.1 概述6.1.1 要求分类
本文件将网络脆弱性扫描产品的安全技术要求分为安全功能要求、自身安全保护要求、环境适应性要求和安全保障要求四方面。其中，安全功能要求是对产品应具备的安全功能提出的具体要求，包括信息获取、脆弱性扫描内容、扫描结果分析处理、扫描配置、扫描对象的安全性、扫描速度调节、并发扫描和升级能力等；自身安全保护要求包括身份鉴别、管理员管理、安全审计和支撑系统安全；环境适应性要求提出了产品支持IPv6网络环境进行工作和管理的要求；安全保障要求针对产品的生命周期过程提出具体的要求，包括开发、指导性文档、生命周期支持和测试等。6.1.2 安全等级
本文件将网络脆弱性扫描产品的安全等级分为基本级和增强级，如表1、表2、表3和表4所示。安全功能与自身安全保护的强弱、以及安全保障要求的高低是等级划分的具体依据，安全等级突出安全特性。与基本级内容相比，增强级中要求有所增加或变更的内容在正文中通过“宋体加粗”表示。
表1 安全功能要求等级划分表