【国家标准(GB)】 信息安全技术 网络脆弱性扫描产品技术要求

声明：本资料仅供学习和交流，严禁用于商业用途！GB/T20278—-2006
信息安全技术
网络脆弱性扫描产品技术要求
1范围
本标准规定了采用传输控制协议和网际协议（TCP/IP）的网络脆弱性扫描产品的技术要求，提出网络脆弱性扫描产品实现的安全目标及环境，给出产品基本功能、增强功能和安全保证要求。本标准适用于通过网络对系统和设备进行脆弱性扫描的安全产品的研制、生产和认证。本标准不适用于专门对数据库系统进行脆弱性扫描的产品。2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适合于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。GB/T5271.8—2001信息技术词汇第8部分：安全（idtISO/IEC2382-8：1998）3术语和定义
月录T载1HTTP下列BIAUZHUN.YS168.COM扫描scan
使用脆弱性扫描产品进行探测，找到网络中的主机系统存在的安全隐患的过程。3.2
威胁threat
可能对网络系统和设备或网络所有者造成损害的事故的潜在原因。3.3
脆弱性vulnerability
网络系统和设备中能被利用并造成危害的弱点。3.4
宿主机localhost
运行网络脆弱性扫描产品的计算机。3.5
目标主机targethost
网络脆弱性扫描产品对其进行风险分析的计算机。3.6
网络脆弱性扫描network vulnerabilityscan通过网络远程检测目标网络系统安全隐患的探测过程，它对网络系统和设备进行安全脆弱性检测和分析，从而发现可能被人侵者利用的漏洞，并采取一定的防范和补救措施。3.7
网络脆弱性扫描产品networkyulnerabilityscanner能够完成网络脆弱性扫描功能的产品。TKAONKAa
声明：本资料仅供学习和交流，严禁用于商业用途！GB/T20278—2006
误报falsepositives
报告了不存在的脆弱性。
漏报false negatives
没有报告出实际存在的脆弱性。3.10
旗标banner
由应用程序发送的一段讯息，通常包括欢迎语、应用程序名称和版本等信息。4
缩略语和记法约定
缩略语
公共网关接口
通用脆弱性知识库
域名系统
拒绝服务
文件传输协议
入侵检测系统
网际协议
目录下载馨基HTTB系统
4.2记法约定
网络文件系统
邮局协议
远程过程调用
服务器消息块协议
简单网络管理协议
传输控制协议
用户数据报协议
CommonGatewayInterface
CommonVulnerabilities andExposuresDomain Name System
Denial Of Service
File Transfer Protocol
Intrusion Detection System
BLAOZHUNuYS168. COM
Network File System
Post Office Protocol
Remote Procedure Call
Server Message Block ProtocolSimpleNetworkManagementProtocolTransport Control Protocol
User Datagram Protocol
本标准对网络脆弱性扫描产品进行了分级。本标准中的规定，凡未特殊说明，均为基本型产品要求，对于增强型产品的要求，标准中将进行特殊说明或用斜体表示。5网络脆弱性扫描产品分级
5.1基本型
该级的网络脆弱性扫描产品应具备7.1及9.1中规定的基本功能要求和保证要求。5.2增强型
该级的网络脆弱性扫描产品除满足基本型产品各项要求外，还必须符合7.7及9.2中规定的扩展功能和保证要求。
6使用环境
宿主机与目标主机应处于连通状态，且宿主机应满足网络脆弱性扫描产品的软硬件配置要求。2
声明：本资料仅供学习和交流，严禁用于商业用途！GB/T20278—2006
7功能要求
7.1基本型网络脆弱性扫描产品功能组件基本型网络脆弱性扫描产品的功能组件由表1所列项目组成。基本型网络脆弱性扫描产品功能要求表1
功能分类
自身安全要求
安全功能要求
功能组件
身份鉴别
适用限制
敏感信息保护
使用记录
扫描数据包标记
扫描结果安全
脆弱性扫描
网络旁路检查
信息获取
端口和服务扫描
管理员访间
扫描结果分析处理
录下载：HTTP：/BIAOZHUNYS168.COM扫描对象的安全性
升级能力
使用要求
7.2自身安全要求
7.2.1身份鉴别
安装与操作控制
只有授权管理员才能使用网络脆弱性扫描产品的完整功能，对于授权管理员、普通管理员和审计员至少采用一种身份鉴别方式（例如：用户名和口令）对其进行身份鉴别。7.2.2适用限制
网络脆弱性扫描产品应提供对产品扫描范围进行限制的手段，如限制产品可扫描的具体IP地址。7.2.3敏感信息保护
策略定制时，一些敏感信息可能被涉及，应采取相应措施来保证敏感信息的机密性和完整性，例如对用户口令进行加密存储。
7.2.4软件使用记录
对软件的以下使用应有完整的日志记录，便于审计跟踪和分析：管理员登录
扫描操作过程；
扫描结果分析处理；
d）产品升级；
e）其他使用。
7.2.5扫描数据包标记
网络脆弱性扫描产品扫描数据包应具备厂商自身特征，并将特征公开。TTTKANKAa
声明：本资料仅供学习和交流，严禁用于商业用途GB/T20278--2006
7.2.6扫描结果安全
应采取相应措施来保证扫描结果的机密性和完整性，扫描结果应能够导人，导出及删除。7.3安全功能要求
7.3.1脆弱性扫描
7.3.1.1浏览器脆弱性
检查和浏览器安全相关的信息和配置，发现危险或不合理的配置，并提出相应的安全性建议。检查项目应包括：
浏览器版本号。
浏览器安全设置，包括：
ActiveX控件和插件：
Cookies设置，
Java权限设置；
脚本设置；
下载设置；
用户登录验证设置；
其他设置。
c）其他由于操作系统或软件未升级带来的安全隐患。7.3.1.2邮件服务脆弱性
检查使用了POP3、SMTP等电子邮件相关协议的服务程序的安全间题，检查项目应包括：目录裁TTP：//BIAOZHUN.YS168.COMa)服务程序旗标、版本号
1）设计错误；
2）对输入缺乏合法性检查；
3）不能正确处理异常情况。
服务器的危险或错误配置：
1）是否允许EXPN和VRFY命令，
2）是否允许邮件转发；
其他安全配置。
d）其他由于操作系统或软件未升级带来的安全隐患。7.3.1.3FTP服务脆弱性
检查使用了FTP协议的服务程序的安全问题，检查项目应包括：服务程序旗标、版本号。
服务程序本身的脆弱性：
1）设计错误；
对输人缺乏合法性检查；
不能正确处理异常情况。
服务器的危险或错误配置：
是否允许匿名登录；
是否使用了默认口令
是否允许危险命令；
其他安全配置。
d）其他由于操作系统或软件未升级带来的安全隐患。4
声明：本资料仅供学习和交流，严禁用于商业用途GB/T20278--2006
7.3.1.4Web服务脆弱性
检查使用了HTTP协议的服务程序的安全问题，检查项目应包括：服务程序旗标、版本号。
服务程序本身的脆弱性：
1）设计错误；
2）对输人缺乏合法性检查；
3）不能正确处理异常情况。
服务器上运行的脚本及CGI程序的脆弱性。服务器的危险或错误配置：
1）文件属性错误；
2）目录属性错误；
3）其他安全配置。
e）其他由于操作系统或软件未升级带来的安全隐患。7.3.1.5DNS服务脆弱性
检查DNS服务的安全问题，检查项目应包括：服务程序旗标、版本号。
服务程序本身的脆弱性：
1）设计错误；
2）对输入缺乏合法性检查；
3）不能正确处理异常情况。
录其迪载作系统乳竹P级带*的BAOZHUN.YS168.COM3.其他已TeP/服务脆弱性
检查其他使用了TCP/IP协议的服务程序的安全问题，检查项目应包括：a）服务程序的旗标、版本号。
服务程序本身的脆弱性：
1）设计错误；
2）对输人缺乏合法性检查；
3）不能正确处理异常情况。
c）服务程序的错误配置。
7.3.1.7RPC服务的脆弱性
检查使用了RPC协议的服务程序的安全问题，检查是否开启了危险的RPC服务。7.3.1.8NIS服务的脆弱性
检查使用了NIS协议的服务程序的安全问题，检查是否开启了危险的NIS服务。7.3.1.9SNMP服务的脆弱性
SNMP服务的脆弱性包括：
a）SNMP口令脆弱性检查。
b）检查SNMP服务是否导致下列的系统敏感信息泄露：1）TCP端口表；
2）UDP端口表；
存储设备信息；
服务列表；
共享目录，
进程列表；
TTKAONTKAca
声明：本资料仅供学习和交流，严禁用于商业用途！GB/T20278—2006
路由表；
8）软件安装信息；
9）设备表；
10）网络接口设备表；
11）用户名列表。
其他相关检查。
7.3.1.10口令脆弱性
检查系统账户口令的健壮性，检查项目应包括：系统是否使用了账户名称经过简单变换后的口令；a
系统是否使用了其他易猜口令；b)）
使用字典，检查系统是否使用了易猜测的口令；有条件使用穷举法猜测口令以验证系统账户口令的强度，例如：口令长度小于5，且只采用英d)
文字母或数字等。
7.3.1.11Windows操作系统用户、组、口令、共享、注册表等脆弱性检查Windows操作系统特有的一些脆弱性，检查项目应包括：a）安全设置：
1）注册表项目访问权限设置。
2）审核策略设置：
审核账号登录；
审核账号管理；
目录下载系统ITTP：//BIAOZHUN.YS168.COM单核特权使用；
审核目录服务访问；
审核过程追踪；
审核对象访问；
一审核登录事件；
审核策略更改。
系统口令策略设置：
检查是否允许空连接；
检查“口令字长度最小值”设置；-检查“口令字最长存留期”设置；检查“口令字最短存留期”设置；检查“强制密码历史”设置；
账号是否能改变其口令：
-账号长时间未登录；
账号失败的登录次数过多；
账号“密码永不过期”；
账号口令长期未改变；
账号禁用。
操作系统版本和补丁安装情况检查。b）
c）其他相关检查。
7.3.1.12木马
检查常见木马使用的默认端口是否开启，并对扫描得到的开启端口进行测试分析，对未知服务和已声明：本资料仅供学习和交流，严禁用于商业用途GB/T20278--2006
知木马做出警告。
7.3.1.13NT服务
检查Windows操作系统服务开启情况，检查项目应包括：a）将当前启动的NT服务列表与用户定义的“已知NT服务列表”相比较，给出“未知NT服务列表”；
b）检查是否启动了具有一定危险性的NT服务。7.3.1.14NFS服务脆弱性
检查NFS服务相关的脆弱性。
7.3.1.15路由器、交换机脆弱性检查路由器、交换机及其开启服务相关的脆弱性。7.3.1.16DOS攻击脆弱性
使用实际攻击手法对目标服务器进行真实的攻击，以检查目标服务器对已知DOS攻击的抵御能力。7.3.1.17文件共享
检查使用的NETBIOS或SMB共享，发现危险的设置，检查项目应包括：a）重要目录被共享；
共享目录可被置名用户写人；
是否使用了缺省或过于简单的共享口令；c）
d）SAMBA服务器软件的版本号。7.3.1.18数据库脆弱性
检查网络数据库相关的脆弱性，检查项目应包括：1录用载秀为空HTTP：／/BIAOZHUN.YS168.COM服务器的版本号。
7.3.1.19其他
未归于以上各门类的系统脆弱性。7.3.2网络旁路检查
检查目标系统网段中是否存在连通外网网络旁路，如代理服务器、拨号上网等。7.3.3信息获取
7.3.3.1操作系统探测
网络脆弱性扫描产品应能对操作系统类型、版本号进行探测。7.3.3.2服务旗标
网络脆弱性扫描产品应能获取已开启的各项TCP/IP服务的旗标。7.3.3.3网络其他信息
网络脆弱性扫描产品应能对下列的信息进行探测：a)
系统硬件信息；
系统软件配置信息；
系统网络配置信息；
共享目录信息；
系统运行状态信息。
端口和服务扫描
7.3.4.1RPC端口
获取运行的RPC服务及其所在的RPC端口信息。7.3.4.2TCP端口
扫描所有TCP端口，检查其是否开启。TTTKANKAa
声明：本资料仅供学习和交流，严禁用于商业用途GB/T20278—2006
7.3.4.3UDP端口
扫描所有UDP端口，检查其是否开启。7.3.4.4端口协议分析此内容来自标准下载网
就扫描得到的已开启的TCP/UDP端口，应能判断相应端口对应的服务或使用的协议。7.3.4.5NT服务
获取启动的NT服务列表。
7.4管理要求
7.4.1管理员访问
7.4.1.1授权管理员
网络脆弱性扫描产品应确保只有授权管理员才能使用所有网络脆弱性扫描产品功能，包括对普通管理员的授权。
7.4.1.2普通管理员
由授权管理员基于角色的管理给予普通管理员最低程序的许可来完成任务，即只允许普通管理员部分具有配置或使用网络脆弱性扫描产品的能力。7.4.1.3审计员
由授权管理员基于角色的管理给予审计员最低程序的许可来完成任务，即只允许审计员部分具有查看审计日志的能力。
7.4.2扫描结果分析处理
a）从扫描结果数据库形成报告，包括：1）脆弱性报告，包括各脆弱点的详细信息、补救建议等，补救建议应确保其合理性和可用性。可素机TT鸟获取车?BTAO艺HUN.YS168.COM目录
脆弱程务析报告，包括：
目标的风险等级评估报告；将扫描脆弱点按严重程度分级，并明确标出；同一目标多次扫描形成的趋势分析报告；一多个目标扫描后的结果的总体报告；对关键的网络弱性扫描信息可生成摘要报告；针对主机间进行比较的结果生成报告。b）扫描结果写人数据库。
扫描结果可导人、导出和删除。e)
可按照不同的分类定制报告。
报告可输出成标准格式，至少包括HTML、RTF、PDF等格式。f
提供全面灵活的扫描结巢数据库浏览功能。7.4.3
扫描策略定制
能够使用目标的已知账号和口令对目标进行更有效的扫描；b)
定制扫描项目及属性，形成计划任务等策略，具有完整的日志及审计功能；
提供方便的定制策略的方法（如：定时启动等）。d）
7.4.4扫描对象的安全性
7.4.4.1报警功能
在开始扫描前宿主机应向目标主机发送一个警告信息，提示该主机将要接受扫描测试，以避免网络脆弱性扫描产品被人侵者用作网络人侵工具。7.4.4.2对目标系统所在网络性能的影响扫描应不影响网络的正常工作，允许网络性能的少量降低。8
声明：本资料仅供学习和交流，严禁用于商业用途GB/T20278-2006
7.4.4.3对目标系统的影响
网络脆弱性扫描产品应在脆弱性探测的强度和深度上提供一定的控制手段，以避免对被扫描系统造成严重危害。扫描宜避免影响目标系统的正常工作，宜避免使用攻击方法进行测试；在必要时使用DOS等攻击测试手段，测试开始前要给用户明确的提示，说明该类测试的危害并要求用户进行确认。7.4.5升级能力
网络脆弱性扫描产品应能根据技术的发展进行升级和更新。产品体系结构的设计应有利于产品的升级操作。
对网络脆弱性扫描产品的升级操作应遵循方便性、及时性和自动化原则。b)
对网络安全漏洞扫描产品至少可进行手动升级操作，更新漏洞特征库。c
7.5安装与操作控制
安装与操作时应确保对网络脆弱性扫描产品的安装、管理、操作都是安全可控的；网络脆弱性扫描产品扫描过程应可随时停止，并且能断点保存，随时恢复；网络脆弱性扫描产品扫描过程中，应提供键盘锁定功能和屏幕保护功能。c)
7.6增强型网络脆弱性扫描产品功能组件增强型网络脆弱性扫描产品的功能要求由表2所列项目组成，其中标记为斜体的项目为增强型网络脆弱性扫描产品所应满足的扩展技术要求。表2增强型网络脆弱性扫描产品功能要求功能分类
功能组件
身份鉴别
目录亨载：HTTP：//BIAOZHUIN.YS168.COM使用记录
脆弱性扫描
网络旁路检查
安全功能要求
性能要求
管理要求
使用要求
互动性要求
信意获取
端口和服务扫描
脆弱性修补
稳定性和容错性
管理员访间
扫结果分析处理
扫描策略定制
扫描对象的安全性
升级能力
安装与操作控制
智能化
互动接口
与IDS产品的互动
与防火墙产品的互动
与其他应用程序之间的互动
TTTKANKAca
声明：本资料仅供学习和交流，严禁用于商业用途GB/T20278--2006
7.7增强型网络脆弱性扫描产品扩展功能要求7.7.1身份鉴别
只有授权管理员才能使用网络脆弱性扫描产品的完整功能，对于授权管理员、普通管理员至少采用一种身份鉴别方式（例如：用户名和口令）对其进行身份鉴别。且底层设计上应留有接口，方便更换身份鉴别方式。
7.7.2脆弱性修补
增强型网络脆弱性扫描产品应能对发现的脆弱性进行修补，脆弱性描述应与通用的脆弱性描述（例如：CVE、CNCVE等）兼容，脆弱性修补应满足下列要求a）应针对不同的操作系统类型提出针对性的脆弱性修补方法；b）提供的脆弱性修补方法应确保有效。7.7.3智能化
增强型网络脆弱性扫描产品应能在使用上部分实现智能化，包括：a）自动处理结果，并将新出现的危险情况通知管理员；b）自动判断目标属性，进行相应扫描。.7.7.4互动性要求
7.7.4.1互动接口
网络脆弱性扫描产品应提供或采用一个标准的、开放的接口。遵照该接口规范，可为其他类型安全产品编写相应的程序模块，达到与网络安全漏洞扫描产品进行互动的目的。7.7.4.2与IDS产品的互动
增强型网络脆弱性扫描产品应满足以下要求：日录下载TTPEBIAOZHUN*YS168.COM习能接收盗品发出的指是漏滴扫措请尿并进行相位拍洁7.7.4.3与防火墙产品的互动
增强型网络脆弱性扫描产品应能与防火墙产品共享扫描信息，以增强网络的防护能力，例如将扫描得到的木马及其绑定的端口信息通知防火墙，使防火墙动态调整自身的过滤规则，封堵相应的端口。7.7.4.4与其他应用程序之间的互动增强型网络脆弱性扫描产品应能在发现严重脆弱性（例如：病毒等）时操作其他应用程序，对脆弱性做出响应。例如：通过邮件程序通知管理员等。8性能要求
8.1速度
应可通过调整扫描线程或进程数目等技术手段对扫描速度进行调节。8.2稳定性和容错性
a）主界面不应失去响应或非正常退出；b）扫描进度不应停滞不前。
8.3漏洞发现能力
网络脆弱性扫描产品的技术文档应给出系统能够扫措的漏洞数目，并针对漏洞给出详细描述。8.4误报率
网络脆弱性扫描产品的技术文档应标明该系统的误报率，并指明所使用的测试方法、测试工具、测试环境和测试步骤。
8.5漏报率
网络脆弱性扫描产品的技术文档应标明该系统的漏报率，并指明所使用的测试方法、测试工具、测试环境和测试步骤。
声明：本资料仅供学习和交流，严禁用于商业用途GB/T20278-—2006
9保证要求
9.1基本型
9.1.1配暨管理
a）开发者应为网络脆弱性扫描产品的不同版本提供惟一的标识；b）开发者应针对不同用户提供惟一的授权标识，要求配置项应有惟一的标识。
9.1.2安全功能开发过程
9.1.2.1功能设计
功能设计应当使用非形式化风格来描述网络脆弱性扫描产品安全功能与其外部接口；a)
b）功能设计应当是内在一致的；功能设计应当描述使用所有外部网络脆弱性扫描产品安全功能接口的自的与方法，适当的时候，要提供结果影响例外情况和错误信息的细节：d）功能设计应当完整地表示网络脆弱性扫描产品安全功能。9.1.2.2表示对应性
a）开发者应在网络脆弱性扫描产品安全功能表示的所有相邻对之间提供对应性分析；b）对于网络脆弱性扫描产品安全功能表示的每个相邻对，分析应阐明：较为抽象的安全功能表示的所有相关安全功能，应在较具体的安全功能表示中得到正确而完整地细化。9.1.3测试
9.1.3.1功能测试
日a录开发考试安全功能特果文档化并超供理ACZHUN，YS168COM水测试文应包括测试计划、测试规程、测试报告。测试针划应标识要测试的安全场能，并描述测试的目标。测试规程应标识要执行的测试，并描述每个安全功能的测试概况，这些概况包括对其他测试结果的顺序依赖性。测试报告的内容包括预期的测试结果和实际测试结果。9.1.3.2覆盖分析
a）开发者应提供测试覆盖的分析结果；b）测试覆盖的分析结果应表明测试文档中所标识的测试与安全功能设计中所描述的安全功能是对应的。
9.1.4指导性文档
9.1.4.1管理员指南
开发者应提供系统管理员使用的管理员指南。管理员指南应说明以下内容：
1）网络脆弱性扫描产品可以使用的管理功能和接口；2）
怎样安全地管理网络脆弱性扫描产品；3)
在安全处理环境中应进行控制的功能和权限；所有对与网络脆弱性扫描产品的安全操作有关的用户行为的假设：4）
所有受管理员控制的安全参数，如果可能，应指明安全值；每一种与管理功能有关的安全相关事件，包括对安全功能所控制的实体的安全特性进行的改变；
所有与系统管理员有关的IT环境的安全要求。c）管理员指南应与为评估面提供的其他所有文件保持一致。9.1.4.2用户指南
a）开发者应提供用户指南。
TTTKAONYKAca
声明：本资料仅供学习和交流，严禁用于商业用途GB/T20278-2006
用户指南应说明以下内容：
1）网络脆弱性扫描产品的非管理用户可使用的安全功能和接口；2）网络脆弱性扫描产品提供给用户的安全功能和接口的用法；3）用户可获取但应受安全处理环境控制的所有功能和权限；4)
网络脆弱性扫描产品安全操作中用户所应承担的职责；5）与用户有关的IT环境的所有安全要求。用户指南应与为评估面提供的其他所有文件保持一致。c）
交付与运行
开发者应提供文档说明网络脆弱性扫描产品的安装、生成和启动的过程；a)
b）上述过程中不应向非产品使用者提供网络拓扑信息。9.1.6
生命周期支持
开发者应提供开发安全文件。
开发安全文件应描述在网络脆弱性扫描产品的开发环境中，为保护网络脆弱性扫描产品设计b)
和实现的机密性和完整性，而在物理上、程序上、人员上以及其他方面所采取的必要的安全措施。开发安全文件还应提供在网络脆弱性扫描产品的开发和维护过程中执行安全措施的证据。
9.2增强型
9.2.1配置管理
9.2.1.1授权机制
a）开发者应使用配置管理系统并提供配置管理文档，为网络脆弱性扫描产品的不同版本提供惟且录载：HTTP./BIAOZHUNYS168COM1水配置管连杀统应对尿有的配置预作出惟一的袜识异保证更有经过授权才能修改配置项。配置管理文档应包括配置清单和配置管理计划。在配置清单中，应对每一配置项给出相应的c
描述；在配置管理计划中，应描述配置管理系统是如何使用的。实施的配置管理应与配置管理计划相一致。
配置管理文档还应描述对配置项给出惟一标识的方法，并提供所有的配置项得到有效地维护d)
的证据。
9.2.1.2配置管理范围
开发者应提供配置管理文档；
配置管理文档应说明配置管理系统至少能跟踪：网络脆弱性扫描产品实现表示、设计文档、测b)
试文档、用户文档、管理员文档和配置管理文档，并描述配置管理系统是如何跟踪配置项的。9.2.25
安全功能开发过程
9.2.2.1功能设计
功能设计应当使用非形式化风格来描述网络脆弱性扫描产品安全功能与其外部接口；a
功能设计应当是内在一致的；
功能设计应当描述使用所有外部网络脆弱性扫描产品安全功能接口的目的与方法，适当的时候，要提供结果影响例外情况和出错信息的细节；d)
功能设计应当完整地表示网络脆弱性扫描产品安全功能。9.2.2.2
高层设计
开发者应提供网络脆弱性扫描产品安全功能的高层设计。a)
高层设计应以非形式方法表述并且是内在一致的。为说明安全功能的结构，高层设计应将安b）
全功能分解为各个安全功能子系统进行描述，并阐明如何将有助于加强网络脆弱性扫描产品安全功能的子系统和其他子系统分开。对于每一个安全功能子系统，高层设计应描述其提供12
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。