1、ICS 35.020 L 09 GA 中华人民共和国公共安全行业标准GA/T 404-2002 信息技术网络安全漏洞扫描产品技术要求Information technology-Technical requirements for vulnerability scanner of network security 2002-12-11发布2003皿05-01实施中华人民共和国公安部发布GAjT 404-2002 目次引言. . 11 I 范围.2 规范性引用文件3 术语和定义4 缩略语和记法约定.4. 1 缩略语14.2 记法约定.5 网络安全漏洞扫描产品概述25. 1 引言25. 2 系统组
2、成与结构.5.3 产品分级5.4 使用环境36 功能要求.6. 1 基本级网络安全漏洞扫描产品功能组件6.2 自身安全功能要求.6. 3 安全功能要求46.4 管理功能要求.7 性能要求87. 1 速度87.2 稳定性和容错性.87.3 漏洞发现能力87.4 误报率87.5 漏报率.8 8 增强级网络安全漏洞扫描产品扩展技术要求88. 1 自主访问控制.8 8. 2 身份鉴别.8. 3 客体重用8.4 数据完整性.8. 5 审计8. 6 功能要求.9 安全保证要求109.1 配置管理保证109. 2 交付和操作保证109.3 开发过程保证9.4 指南文件保证9. 5 测试保证9. 6 脆弱性分
3、析保证前言本标准由公安部公共信息网络安全监察局提出。本标准由公安部信息系统安全标准化技术委员会归口。本标准由北京中科网威信息技术有限公司、公安部第三研究所负责起草。本标准主要起草人:潘玉肉、杨威、清黛、余立新、肖江、刘兵、丁字征。GA/T 404-2002 GA/T 404-2002 引本标准规定了网络安全漏洞扫描产品的技术要求,提出了该类产品应具备的功能要求、性能要求和安全保证要求。并根据功能和性能要求的不同将网络安全漏洞扫描产品进行了分级。本标准的目的是为网络安全漏洞扫描产品的研制、开发、测评和采购提供技术支持和指导。使用符合本标准的网络安全漏洞扫描产品可对网络进行脆弱性检查,对发现的安全
4、隐患提出解决建议,从而提高网络系统的安全性。H GA/T 404-2002 信息技术网络安全漏洞扫描产品技术要求1 范围本标准规定了采用传输控制协议/网间协议(TCP/I凹的网络安全漏洞扫描产品的功能要求、性能要求、增强级产品扩展技术要求和安全保证要求。本标准适用于对计算机信息系统进行人工或自动漏洞扫描的安全产品的研制、开发、测评和采购。2 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适
5、用于本标准。GB/T 5271. 8 信息技术词汇第8部分:安全(idtISO/IEC 2382-8: 1998) 3 术语和定义GB/T 527 1. 8中确立的及以下术语适用于本标准。3.1 误报false positives 由于漏洞扫描产品本身的缺陷或不完善导致产品输出了错误扫描结果的现象。3.2 漏报false negatives 由于漏洞扫描产品本身的缺陷或不完善导致某些实际存在的安全漏洞未被探测到的现象。4 缩畸语和记法约定4. 1 缩略语CGI 公共网关接口Common Gateway Interface DNS 域名系统Domain Name System DOS 拒绝服务D
6、enial of Service FTP 文件传送协议File Transfer Protocol HTTP 超文本传送协议Hypertext Transfer Protocol TCP 传输控制协议Transmission Control Protocol IP 网间协议Internet Protocol UDP 用户数据报协议User Datagram Protocol NETBIOS 网络基本输入输出系统Network Basic Input Output System NFS 网络文件系统Network File System NIS 网络信息服务Network Information
7、 Service POP 邮局协议Post Office Protocol GA/T 404-2002 RPC 5MB SMTP SNMP 4.2 记法约定远程过程调用服务器消息块简单邮件传送协议简单网络管理协议Remote Procedure Call Server肌lessageBlock SimpleMail Transfer Protocol Simple Network Management Protocol 细化:用于增加某一功能要求的细节,从而进一步限制该项要求。对功能要求的细化用黑体字表示。选项:用于从对某功能要求的陈述中突出一个或多个选项,用带r划线的斜体字表示。说明项:本标
8、准对网络安全漏洞扫革F节日过f了,.葫本标准中的要求,凡未特殊说明,均为基本级产品要求;对于增强级产品的5 网络安全漏洞扫描产5. 1 引言网络安全漏洞评估、风险分析、统和网络的安5. 2. 2 界面界面部分主要完a) 负责接受并处b) 5. 2. 3 扫描引擎扫描引擎部分主要完成以下的功能:a) 响应界面指令;b) 读取扫描策略数据库,并依此制定执行方案;c) 执行扫描方案,启动扫描进程和线程,并进行调度管理;d) 将扫描结果存档保存。5. 2.4 结果评估分析结果评估分析部分主要完成以下的功能:a) 读取数据库中的扫描结果信息;b) 形成扫描报告。2 弱性,对其安全状况进行议,从而提高计算
9、机系GA/T 404-2002 5. 2.5 数据库数据库部分主要完成以下的功能:a) 存放扫描结果、定制策略内容、脆弱性描述及其解决方法;b) 提供数据查询和管理功能。5. 3 产品分级5. 3.1 基本级该级别的网络安全漏洞扫描产品应满足第6、7、9章规定的功能要求、性能要求和安全保证要求。5.3.2 增强级该级别的网络安全漏洞扫描产术要求。5. 4 使用环境5.4. 1 硬件环境符合本标准的产管理功能要求6. 2 自身安全功能要求6. 2. 1 身份鉴别求外,还必须满足第8章规定的扩展技扫描结果分析处理扫描策略定制扫描对象的安全性升级能力只有授权管理员才能使用网络安全漏洞扫描产品的完整功
10、能,对于授权管理员至少应采用用户名/口令方式对其进行身份认证。3 GA/T 404-2002 6.2.2 鼓据完整性网络安全漏洞扫描产品应确保用户信息、策略信息和关键程序的数据完整性。应采取必要的手段对其完整性自动进行检验。6.2.3 审计日志对产品的使用(包括登录、扫描分析等)应产生审计日志记录。6.3 安全功能要求6.3. 1 脆弱性扫描6. 3. 1. 1 浏览器脆弱性网络安全漏洞扫描产品应检查与浏览器安全相关的信息和配置,发现危险或不合理的配置,并提出相应的安全性建议。检查项目应包括:a) 浏览器版本号;b) 浏览器安全设置;。其他由于操作系统或软件升级带来的安全隐患。6.3. 1.
11、2 邮件服务脆弱性网络安全漏洞扫描产品应检查使用了POP3、SMTP等电子邮件相关协议的服务程序的安全问题,检查项目应包括:a) 服务程序旗标和版本号。b) 服务程序本身的漏洞,包括:一一设计错误;一一一对输入缺乏合法性检查;一一不能正确处理异常情况。c) 服务器的危险或错误配置,包括:一一是否允许EXPN和VRFY命令;一是否允许邮件转发;一一一其他安全配置。d) 其他由于操作系统或软件升级带来的安全隐患。6.3.1.3 FTP服务脆弱性网络安全漏洞扫描产品应检查使用了FTP协议的服务程序的安全问题,检查项目应包括:a) 服务程序旗标和版本号。b) 服务程序本身的漏洞,包括:一一设计错误;一
12、对输入缺乏合法性检查;一一不能正确处理异常情况。c) 服务器的危险或错误配置,包括:是否允许匿名登录;一一是否使用了默认口令;一是否允许危险命令;其他安全配置。d) 其他由于操作系统或软件升级带来的安全隐患。6.3.1.4 Web服务脆弱性网络安全漏洞扫描产品应检查使用了HTTP协议的服务程序的安全问题,检查项目应包括:a) 服务程序旗标和版本号。b) 服务程序本身的漏洞,包括:设计错误;4 对输入缺乏合法性检查;一不能正确处理异常情况。c) 服务器上运行的脚本及CGI程序的漏洞。d) 服务器的危险或错误配置,包括:一一文件属性错误;目录属性错误;一一其他安全配置。e) 其他由于操作系统或软件
13、升级带来的安全隐患。6.3.1.5 DNS服务脆弱性网络安全漏洞扫描产品应检查DNS服务的安全问题,检查项目应包括:a) 服务程序旗标和版本号。b) 服务程序本身的漏洞,包括z一一设计错误;对输入缺乏合法性检查;一不能正确处理异常情况。c) 其他由于操作系统或软件升级带来的安全隐患。6.3. 1. 6 其他已知TCP/IP服务脆弱性GA/T 404-2002 网络安全漏洞扫描产品应检查其他使用了TCP/IP协议的服务程序的安全问题,检查项目应包括:a) 服务程序的旗标和版本号。b) 服务程序本身的漏洞,包括:一一设计错误;对输入缺乏合法性检查;不能正确处理异常情况。c) 服务程序的错误配置。6
14、.3. 1. 7 RPC服务的脆弱性网络安全漏洞扫描产品应检查使用了RPC协议的服务程序的安全问题,检查是否开启了危险的RPC服务。6.3. 1. 8 NIS服务的脆弱性网络安全漏洞扫描产品应检查使用了NIS协议的服务程序的安全问题,检查是否开启了危险的NIS服务。6. 3. 1. 9 SNMP服务的脆弱性网络安全漏洞扫描产品应检查使用了SNMP协议的服务程序的安全问题,检查项目应包括:a) SNMP口令脆弱性检查。b) 检查SNMP服务是否会暴露下列系统敏感信息,包括:TCP端口表;UDP端口表;一二服务列表;一-进程列表;一一路由表;一一网络接口设备表。6.3. 1. 10 口令脆弱性网络
15、安全漏洞扫描产品应检查系统账户口令的健壮性,检查项目应包括:一一系统是否使用了账户名称经过简单变换后的口令;5 GA/T 404-2002 一一系统是否使用了易猜测口令;一一使用字典,检查系统是否使用了易猜测的口令;一一使用穷举法猜测口令以验证系统账户口令的强度。6. 3. 1.11 NT用户、组、口令、共享、注册表等脆弱性网络安全漏洞扫描产品应检查WindowsNT /2000/XP特有的一些脆弱性,检查项目应包括:a) 系统安全设置,包括:b) 二一注册表项目访问权限设置;-一审核策略设置;c) 其他关于用户、6. 3. 1. 12 木马网络安全漏洞扫测试分析。a) 获取b) 将当务c)检
16、6. 3. 1. 14 网络安6. 3. 1. 15 网络安6. 3. 1. 16 网络安6. 3. 1. 17 文件网络安全漏洞a) b) c) 共享目录可被匿d) 是否使用了缺省或6.3. 1. 18 其他扫描得到的开启端口进行,给出未知NT服检查目标主机对己设置,检查项目应包括:网络安全漏洞扫描产品应对未归入6.3. 1. 1至6.3. 1. 17各条的系统脆弱性进行扫描检查并给出扫描结果。6.3.2 网络旁路检查网络安全漏洞扫描产品应检查目标系统网络中是否存在网络旁路,如代理服务器,拨号上网等。6.3. 3 信息获取6.3. 3. 1 操作系统探测网络安全漏洞扫描产品应能对操作系统类型
17、和版本号进行探测。6.3. 3.2 服务旗标网络安全漏洞扫描产品应能获取已开启的各项TCP/IP服务的旗标。6 6. 3. 3. 3 其他信息网络安全漏洞扫描产品应能对下列的信息进行探测:a) 系统硬件信息;b) 系统软件配置信息;c) 系统网络配置信息;d) 共享目录信息;e) 系统运行状态、信息。6.3.4 端口和服务扫描6. 3. 4. 1 RPC端口网络安全漏洞扫描产品应能6. 4 管理功百6. 4.1 访问网络安全6.4.2 扫描,6.4.2.1扫f国6.4.2.2 可对6.4.2.3 网络a) 脆弱性11b ) 6.4. 2. 4 报告应能根据用户要求进行定制。6.4. 2.5 报
18、告应可输出为通用的文档格式。6.4.2.6 网络安全漏洞扫描产品应提供扫描结果数据库浏览功能。6. 4. 3 扫描策略定制GA/T 404-2002 应端口对!茧的服务或6. 4. 3.1 网络安全漏洞扫描产品应能使用目标系统的已知账号/口令对其进行更有效的扫描。6. 4. 3.2 网络安全漏洞扫描产品应能定制扫描项目及属性。6. 4. 3. 3 网络安全漏洞扫描产品应能对策略定制操作形成审计记录。6. 4. 3.4 网络安全漏洞扫描产品应提供方便的定制策略的方法。7 GA/T 404-2002 6.4.4 扫描对象的安全性6.4.4.1 扫描预通知在开始进行漏洞扫描前,漏洞扫描产品应向被扫描
19、主机发送警告信息,通知该主机即将对其进行扫描测试。6.4.4.2 对目标系统所在网络性能的影响扫描应不影响网络的正常工作,但可允许网络性能的少量降低。6.4.4.3 对目标系统的影响扫描应尽量避免影响目标系统的正常工作,尽量避免使用攻击方法进行测试;在使用某些可能对了标系统产生不良后果的扫描手段时(如使用DOS等攻击测试手段),网络安全漏洞扫描产品在测试开始前给出告警提示并要求用户进行确认。6.4.5 升级能力6.4.5.1 网络安全漏洞扫描产品应具有升级能力。产品体系结构的设计应有利于产品的升级操作。6.4.5.2 对网络安全漏洞扫描产品至少可进行子动升级操作,更新漏洞特征库。7 性能要求7
20、. 1 速度7. 1. 1 网络安全漏洞扫描产品应采取合理的设计和必要的技术手段以保证扫描速度。7. 1. 2 网络安全漏洞扫描产品应可通过调整扫描线程或进程数目等方法对扫描速度进行调节。7.2 稳定性和窑错性7.2. 1 主界面不应失去响应或非正常退出。7.2.2 扫描进度不应停捕不前。7.2.3 扫描任务应可随时停止。7.3 漏洞发现能力网络安全漏洞扫描产品的技术文档应给出系统能够扫描的漏洞数目,并针对漏洞给出详细描述。7.4 误报率网络安全漏洞扫描产品的技术文档应标明该系统的误报率,并指明所使用的测试方法、测试工具、测试环境和测试步骤。7.5 漏报率网络安全漏洞扫描产品的技术文档应标明该
21、系统的漏报率,并指明所使用的测试方法、测试工具、测试环境和测试步骤。8 增强级网络安全漏洞扫描产品扩展技术要求8. 1 自主访问控制8. 1. 1 属性定义网络安全漏洞扫描产品应为每个管理角色规定与之相关的安全属性,例如管理角色标识、鉴别信息、隶属组、权限等。8.1.2 属性初始化网络安全漏洞扫描产品应提供使用默认值对创建的每个管理角色的属性进行初始化的能力。8. 1.3 本地密码文件保护网络安全漏洞扫描产品应采取某种措施(如加密)保证本地密码文件的安全。8.1.4 远程管理如果网络安全漏洞扫描严品采取了控制台和扫描引擎相分离的体系结构,控制台对扫描引擎的访问应可控制,如采取身份验证措施等bG
22、A/T 404-2002 8.1.5 适用范围限制网络安全漏洞扫描产品在漏洞探测的强度和深度上应进行一定的控制,以避免对被扫描系统造成严重危害。8.2 身份鉴别8.2. 1 在任何操作前的身份鉴别在某个管理角色需要执行任何管理功能之前,网络安全漏洞扫描产品应对该管理角色的身份进行鉴别,并将鉴别的结果生成审计记录。8.2.2 重鉴别对于某个己通过身份鉴别的管理角色,当其全闲操作的时间超过了规定值后,在眩管理角色需要执行某项管理功能之前,网络安全漏洞扫描产品应对该管理角色的身份重新进行鉴别。8.2.3 鉴别数据保护网络安全漏洞扫描产品应保证鉴别数据不被未授权查阅、修改和破坏。8.2.4 鉴别失败处
23、理网络安全漏洞扫描产品应为管理员登录设定一个授权管理员可修改的鉴别尝试次数,当管理员的不成功登录尝试超过该次数时,系统应阻止管理员的进一步鉴别请求,例如账号失效一段时间,或者锁定该管理员账号直至超级管理员恢复该管理员的被鉴别能力。8.3 寄体重用在某个管理角色通过身份鉴别后,网络安全漏洞扫描产品应确保不提供前一次注销的管理角色的任何信息,包括鉴别信息、扫描策略信息和扫描日志等。8.4 数据完整性网络安全漏洞扫描产品应采取某种保护措施(如加密)保证敏感信息(如用户鉴别信息、扫描策略信息和扫描日志等)的保密性和完整性。对加密的敏感数据应能进行数据完整性检验。8.5 审计8.5. 1 审计记录网络安
24、全漏洞扫描产品应为下列可审计事件生成审计记录:a) 审计功能的开启和关闭;b) 任何读取、修改和破坏审计数据的尝试;c) 任何对鉴别机制的使用;d) 所有使用鉴别机制的请求pe) 任何对系统配置参数的修改(设置和更新),无论成功与否。8.5.2 审计数据管理网络安全漏洞扫描产品应确保只有授权管理员才能读取、修改或删除审计数据。8.5.3 存储管理当审计记录占用的存储空间达到规定的存储空间大小时,应能自动删除部分旧的日志记录,以保证审计功能的正常运行。8.6 功能要求8.6. 1 漏洞修补建议增强级网络安全漏洞扫描产品应能对发现的漏洞提出修补建议,漏洞修补建以应满足下列要求:a) 应针对不同的操
25、作系统类型提出针对性的漏洞修补方法;b) 漏洞描述应详细,提供的漏洞修补方法应经过验证;c) 当发现目标主机存在漏洞后,可根据漏洞表现形式采取相应的措施,如对部分漏洞进行自动修复等。9 GA/ T 404-2002 8.6.2 扫描结果信息网络安全漏洞扫描产品提供的扫描结果应包含该产品的特定信息。8.6.3 扫描IP地址限制网络安全漏洞扫描产品应采取某种措施,对系统可以扫描的IP地址进行限制,即只允许对授权地址和地址段进行扫描。网络安全漏洞扫描产品提供的扫描结果应包含该产品的特定信息。8. 6.4 隐蔽信道分析网络安全漏洞扫描产品应采取某种措施,确保扫描信息没有被未授权的第三方截取。8. 6.
26、7 产品升级8.6.7. 1 自动升级网络安全漏洞进行升级。升级过程9 安全保证要求9.1 配置管理保证网络安全漏洞扫描产品的开发应满足下a) 开发者应使用配置管理系统;b) 开发者应提供配置管理文件;c) 配置管理文件应包括一个配置目录;d) 配置目录应描述网络安全漏洞扫描产品的各个配置项目。9.2 交付和操作保证网络安全漏洞扫描产品的交付和操作应满足下列要求:,口E为其他类型安a) 开发者应以文件方式说明用于网络安全漏洞扫描产品的安全安装、生成和启动的过程;b) 说明文件中应描述网络安全漏洞扫描产品的安全安装、生成和启动所必须的步骤;10 c) 应确定安装、生成和启动程序最终产生f安全的配
27、置。9.3 开发过程保证网络安全漏洞扫描产品的开发过程应保证:a) 开发者应提供网络安全漏洞扫描产品的功能规范;b) 开发者应提供网络安全漏洞扫描产品的安全策略;c) 功能规范应包括能证明安全功能已完全实现了的证据。9.4 指南文件保证9.4.1 管理员指南开发者应提供管理员指南,管理员指南应满足下列要求:a) 管理员指南应描述管理员可使用的管理功能和接口;b) 管理员指南应描述如何以安全的方式管理网络安全漏洞扫描产品;c) 管理员指南应当包含在安全处理环境中必须进行控制的功能和权限的警告;d) 管理员指南应当描述所有与产品的安全运行有关的用户行为的假设;e) 管理员指南应当描述所有受管理员控
28、制的安全参数,合适时,应指明安全值;f) 管理员指南应当与其他文档保持一致;g) 管理员指南应当描述与管理员有关的IT环境的所有安全要求。9.4.2 用户指南开发者应提供用户指南,用户指南应满足下列要求:a) 用户指南应描述用户可使用的安全功能和接口;b) 用户指南应包含使用网络安全漏洞扫描产品提供的安全功能的指导;c) 对于应该控制在安全的处理环境中的功能和特权,用户指南应有警告;d) 用户指南应描述那些用户可见的安全功能之间的相E作用。9.5 测试保证对网络安全漏洞扫描产品的测试应该满足下列要求:GA(T 404-2002 a) 开发者应向国家授权的信息安全产品测评认证机构提供用于测试的网
29、络安全漏洞扫描产品;b) 网络安全漏洞扫描产品应适合于测试;c) 开发者应提供一个对测试覆盖范围的分析;d) 测试覆盖范围分析应证明测试文件中确定的测试项目能覆盖网络安全漏洞扫描产品的安全功能;e) 开发者应测试网络安全漏洞扫描产品的安全功能,并记录其结果;f) 开发者应提供测试文件:g) 测试文件应由测试计划、测试过程描述和测试结果组成;h) 测试计划应确定将要测试的安全功能,并描述将要达到的测试目标;i) 测试过程的描述应确定将要进行的测试,并描述测试每一安全功能的实际情况;j) 开发者得到的测试结果应能证明每一项安全功能与设计口标相符。9.6 脆弱性分析保证对网络安全漏洞扫描产品的脆弱性
30、分析应该满足下列要求:的开发者应确定网络安全漏洞扫描产品适合作安全功能强度分析的安全机制;b) 开发者应对确定的每一机制进行安全功能强度分析。如l密与鉴别机制庇满足有关规定和标准;c) 对于安全功能对抗威胁的能力,网络安全漏洞扫描产品安全功能强度分析应能判定所标明的安全机制对其产生的影响;d) 网络安全漏洞扫描产品安全功能强度分析应证明所标明的安全功能强度与安全目标是一致的。NOON-可0寸同司。中华人民共和国公共安全行业标准信息技术网络安全漏洞扫描产品技术要求GA/T 404-2002 导中国标准出版社出版北京复兴门外三里河北街16号邮政编码:100045 电话:(j8523946中国标准出版社秦皇岛印刷厂印刷新华书店北京发行所发行各地新华书店经售68517548 开本880X1230 1/16 印张l字数27千字2003年3月第一版2003年3月第一次印刷印数1-800JG 定价12.00网址书号:155066 2-15002 版权专有侵权必究举报电话:(01068533533 GA/T 404-2002
