《信息安全技术网络脆弱性扫描产品安全技术要求》修订说明1 工作简要过程1.1 任务来源近年来，随着黑客技术的不断发展以及网络非法入侵事件的激增，国内网络安全产品市场也呈现出良好的发展态势，各种品牌的防火墙产品、入侵检测产品等已经达到了相当可观的规模。

最近几年，网络脆弱性扫描产品的出现，为网络安全产品厂商提供了一个展现自身技术水平的更高层次舞台，市场上，各种实现脆弱性扫描功能的产品层出不穷，发展迅速，标准《GB/T 20278-2006 信息安全技术网络脆弱性扫描产品技术要求》已不能满足现在产品的发展需求，另一方面，为了更好地配合等级保护工作的开展，为系统等级保护在产品层面上的具体实施提供依据，需要对该标准进行合理的修订，通过对该标准的修订，将更加全面系统的阐述网络脆弱性扫描产品的安全技术要求，并对其进行合理的分级。

本标准编写计划由中国国家标准化管理委员会2010年下达，计划号20101497-T-469，由公安部第三研究所负责制定，具体修订工作由公安部计算机信息系统安全产品质量监督检验中心承担。

1.2 参考国内外标准情况该标准修订过程中，主要参考了：—GB 17859-1999 计算机信息系统安全保护等级划分准则—GB/T 20271-2006 信息安全技术信息系统安全通用技术要求—GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求—GB/T 18336.2-2008 信息技术安全技术信息技术安全性评估准则第二部分：安全功能要求—GB/T 18336.3-2008 信息技术安全技术信息技术安全性评估准则第三部分：安全保证要求—GA/T 404-2002 信息技术网络安全漏洞扫描产品技术要求—GB/T 20278-2006 信息安全技术网络脆弱性扫描产品技术要求—GB/T 20280-2006信息安全技术网络脆弱性扫描产品测试评价方法—MSTL_JGF_04-017 信息安全技术主机安全漏洞扫描产品检验规范1.3 主要工作过程1）成立修订组2010年11月在我中心成立了由顾建新具体负责的标准修订组，共由5人组成，包括俞优、顾建新、张笑笑、陆臻、顾健。

2）制定工作计划修订组首先制定了修订工作计划，并确定了修订组人员例会及时沟通交流工作情况。

3）确定修订内容经标准修订小组研究决定，以网络脆弱性扫描产品发展的动向为研究基础，以等级保护相关要求为标准框架，修订完成《信息安全技术网络脆弱性扫描产品安全技术要求》。

4）修订工作简要过程按照修订进度要求，修订组人员首先对所参阅的产品、文档以及标准进行反复阅读与理解，并查阅有关资料，编写标准修订提纲。

在对提纲进行交流和修改的基础上，开始具体修订工作。

2010年11月至2011年1月，对国内外网络脆弱性扫描产品，相关技术文档以及有关标准进行前期基础调研。

在调研期间，我们主要对我中心历年检测产品的记录、报告以及各产品的技术文档材料进行了筛选、汇总、分析，对国内外网络脆弱性扫描产品的发展动向进行了研究，以及进行了对国内外相关产品的技术文档和标准分析理解等工作。

2011年1月至3月进行了草稿的编写工作。

以我修订组人员收集的资料为基础，依据修订提纲，在不断的讨论和研究中，完善内容，最终形成了本标准的草稿。

2011年3月至5月，我们收集了国内相关产品的主要生产厂家信息，以邮件形式向他们征求意见，包括北京神州绿盟信息安全科技股份有限公司、解放军信息安全研究中心等单位。

2011年5月，单位内部组织第一次标准讨论会，由标准修订组成员汇报标准的修订情况并接受其他同事的质询，会后根据本次讨论会的意见，对标准内容进行了修改。

2011年8月，单位内部组织第二次标准讨论会，由标准修订组成员汇报标准的修订情况并接受其他同事的质询，会后根据本次讨论会的意见，对标准内容进行了修改。

2011年12月，WG5专家评审会在上海组织召开了对标准征求意见稿的专家评审会，评审组由吉增瑞等多位专家组成，与会专家对草稿（第三稿）进行了讨论，并提出相关修改意见，会后修订组再次认真对专家意见进行了分析和处理，随后形成了草稿（第四稿）。

2012年6月，单位内部组织第三次标准讨论会，由标准修订组成员汇报标准的修订情况并接受其他同事的质询，会后根据本次讨论会的意见，对标准内容进行了修改，形成了草稿（第五稿），在本次讨论会中，做出了一个非常重要的修改，就是将标准名称改为《信息安全技术网络脆弱性扫猫产品安全技术要求》，同时对标准的整体结构也进行了调整，按照基本级和增强级分开描述的形式修订，以便于读者的阅读，并保持与其他同类国标一致。

2012年7月26日，WG5专家组在北京对标准草稿再次进行评审，与会专家包括赵战生、王立福、崔书昆、冯惠、袁文恭、卿斯汉、肖京华、杨建军、罗锋盈等。

专家组对草稿（第五稿）提出若干意见，并一致同意形成标准征求意见稿。

会后，按照专家意见，对标准内容进行了修改。

本次修改的主要内容包括：标准封面、目录、前言中的若干描述；标准排版；规范性引用文件中引用词汇标准更新；定义与术语。

通过本次修改完善后，形成征求意见稿（第一稿），2012年9月18日，收到WG5工作组投票意见，七家参与投票的单位中，有四家赞成，三家赞成但需要修改，根据中科网威、江南天安、中国信息安全认证中心三家单位提出的意见进行了修改，通过本次修改，将产品的术语定义“扫描”和“网络脆弱性扫描”进行了进一步的推敲和明确；删除了“可允许网络性能的少量降低”和“远程保密传输”这两项描述比较含糊的要求，形成征求意见稿（第二稿）。

2 确定标准主要内容的论据2.1 修订目标和原则2.1.1 修订目标本标准的修订目标是：对网络脆弱性扫描类产品提出产品功能要求、产品自身安全要求以及产品保证要求，使之适用于我国脆弱性扫描产品的研究、开发、测试、评估以及采购。

2.1.2 修订原则为了使我国网络脆弱性扫描产品的开发工作从一开始就与国家标准保持一致，本标准的编写参考了国家有关标准，主要有GA/T 698-2007、GB/T 17859-1999、GB/T 20271-2006、GB/T 22239-2008和GB/T 18336-2008第二、三部分。

本标准又要符合我国的实际情况，遵从我国有关法律、法规的规定。

具体原则与要求如下：1）先进性标准是先进经验的总结，同时也是技术的发展趋势。

目前，我国网络脆弱性扫描类产品种类繁多，功能良莠不齐，要制定出先进的信息安全技术标准，必须参考国内外先进技术和标准，吸收其精华，制定出具有先进水平的标准。

本标准的编写始终遵循这一原则。

2）实用性标准必须是可用的，才有实际意义。

因此本标准的编写是在对国内外标准的相关技术内容消化、吸收的基础上，结合我国的实际情况，制定出符合我国国情的、可操作性强的标准。

3）兼容性本标准既要与国际接轨，更要与我国现有的政策、法规、标准、规范等相一致。

修订组在对标准起草过程中始终遵循此原则，其内容符合我国已经发布的有关政策、法律和法规。

2.2 对网络脆弱性扫描类产品的理解2.2.1 网络脆弱性扫描产品脆弱性扫描是一项重要的安全技术，它采用模拟攻击的形式对网络系统组成元素（服务器、工作站、路由器和防火墙等）可能存在的安全漏洞进行逐项检查，根据检查结果提供详细的脆弱性描述和修补方案，形成系统安全性分析报告，从而为网络管理员完善网络系统提供依据。

通常，我们将完成脆弱性扫描的软件、硬件或软硬一体的组合称为脆弱性扫描产品。

脆弱性扫描产品的分类根据工作模式，脆弱性扫描产品分为主机脆弱性扫描产品和网络脆弱性扫描产品。

其中前者基于主机，通过在主机系统本地运行代理程序来检测系统脆弱性，例如针对操作系统和数据库的扫描产品。

后者基于网络，通过请求/应答方式远程检测目标网络和主机系统的安全脆弱性。

例如Satan 和ISS Internet Scanner等。

针对检测对象的不同，脆弱性扫描产品还可分为网络扫描产品、操作系统扫描产品、WWW 服务扫描产品、数据库扫描产品以及无线网络扫描产品。

脆弱性扫描产品通常以三种形式出现：单一的扫描软件，安装在计算机或掌上电脑上，例如ISS Internet Scanner；基于客户机（管理端）/服务器（扫描引擎）模式或浏览器/服务器模式，通常为软件，安装在不同的计算机上，也有将扫描引擎做成硬件的，例如Nessus；也有作为其他安全产品的组件，例如防御安全评估就是防火墙的一个组件。

网络脆弱性扫描产品通过远程检测目标主机TCP/IP不同端口的服务，记录目标给予的应答，来搜集目标主机上的各种信息，然后与系统的漏洞库进行匹配，如果满足匹配条件，则认为安全漏洞存在；或者通过模拟黑客的攻击手法对目标主机进行攻击，如果模拟攻击成功，则认为安全漏洞存在。

主机脆弱性扫描产品则通过在主机本地的代理程序对系统配置、注册表、系统日志、文件系统或数据库活动进行监视扫描，搜集他们的信息，然后与系统的漏洞库进行比较，如果满足匹配条件，则认为安全漏洞存在。

在匹配原理上，目前脆弱性扫描产品大都采用基于规则的匹配技术，即通过对网络系统安全脆弱性、黑客攻击案例和网络系统安全配置的分析，形成一套标准安全脆弱性的特征库，在此基础上进一步形成相应的匹配规则，由扫描产品自动完成扫描分析工作。

端口扫描技术网络脆弱性扫描是建立在端口扫描的基础上的，支持TCP/IP协议的主机和设备，都是以开放端口来提供服务，端口可以说是系统对外的窗口，安全漏洞也往往通过端口暴露出来。

因此，网络脆弱性扫描产品为了提高扫描效率，首先需要判断系统的哪些端口是开放的，然后对开放的端口执行某些扫描脚本，进一步寻找安全漏洞。

扫描产品一般集成了以下几种主要的端口扫描技术。

TCP SYN扫描通常称为“半打开”扫描，这是因为扫描程序不必要打开一个完全的TCP连接。

扫描程序发送的是一个SYN数据包，好象准备打开一个实际的连接并等待反应一样（参考TCP的三次握手建立一个TCP连接的过程）。

一个SYN/ACK的返回信息表示端口处于侦听状态。

一个RST返回，表示端口没有处于侦听状态。

TCP FIN扫描TCP FIN扫描的思路是关闭的端口使用适当的RST来回复FIN数据包，而打开的端口会忽略对FIN 数据包的回复。

这种方法与系统实现有一定的关系，有的系统不管端口是否打开，都回复RST，在这种情况下，该扫描方法就不适用了，但可以区分Unix和Windows NTTCP connect（）扫描这是最基本的TCP扫描。

操作系统提供的connect（）系统调用，用来与每一个感兴趣的目标计算机的端口进行连接。

如果端口处于侦听状态，那么connect（）就能成功。

否则，这个端口是不能用的，即没有提供服务。

FIN+URG+PUSH扫描向目标主机发送一个FIN、URG和PUSH 分组，根据RFC793，如果目标主机的相应端口是关闭的，那么应该返回一个RST标志。