【国家标准(GB)】 信息安全技术 网络脆弱性扫描产品测试评价方法

ICS 35.040
中华人民共和国国家标准
GB/T20280—2006
信息安全技术
网络脆弱性扫描产品测试评价方法Information security technology.Testing and evaluation approaches for network vulnerability scanners061214000077
2006-05-31发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
2006-12-01实施
1范围
2规范性引用文件
3术语和定义
4符号、缩略语和记法约定
4.1符号和缩略语
4.2记法约定
5网络脆弱性扫描产品概述
6渺试环境
测试评价方法及步骤
7.1基本型
基本功能
性能要求
安保证要求
增强型
基本功能及性能….
增强功能
安全保证费求
附录A（规范性附录）产品厂商向测试单位捉供的测试证据.A.1基本型
增强型
参考文献
图1网络脆弱性扫描产品测试环境拓扑图表丨环境说明·
-YYKAONTKAca
GB/T20280—2006
本标准的附录A为规范性附录
本标准由全国信息安全标化技术委员会提出并归口。本标准由北京中科网威信息技术有限公司、公安部十一局负责起草。本标准主要起节人：肖江、陆驿、杨威、刘伟、刘兵、丁宇征。-rYYKAONTKAca
GB/T 20280—2006
GB/T20280—2006
本标准规定了网络脆弱性描产品的测评方法，包括网络脆弱性扫描产品测评的内容，测评功能目标及测试环境，给出产品基本功能、增强功能和安全保证要求必须达到的具体日标。本标准的日的是为网络脆弱性扫描产品的研制、生产和认证提供技术支持和指导。正确使用符合木标准的评价活动，其结果可以得到确认，检测对象可以对网络进行脆弱性检查，对发现的安全隐患提出解决建议，从而提高了产品的质量。1范围
信息安全技术
网络脆弱性扫描产品测试评价方法-YYKAONTKAca
GB/T 20280—-2006
本标准规定了对采用传输控制协议和网际协议（TCP/IP)的网络脑弱性扫描产品的测试、评价方法。
本标准适用于对计算机信息系统进行人工或白动的网络脆弱性扫描的安全产品的评测、研发和应用。
本标推不适用于婆门对数据库系统进行脆弱性扫描的产品。2规范性引用文件
下刻文件中的条款通过本标准的用而成为本标谁的条款，是注上期的用文件，其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准，然而，鼓励根据本标难达成协议的各方研究是杏可使这些文件的最新版本。凡是不注口期的引用文件，其最新版本适用于本标，GB/T 5271.8—2001信息技术词汇第8部分：安全(id1 ISO/IFC 2382-8：1998)GB/T 20278一2006信息安全技术网络脆弱性扫描产品安全技术要求3术语和定义
GB/T5271.8—2001和GB/T20278—2006确立的术语和定义适用于木标准。4符号、缩略语和记法约定
4.1符号和缩略语
NETBIOS
4.2记法约定
公共网美接口
通用脆弱性知认库
域名系统
拒绝服务
文件传输协议
人慢检测系统
网际协议
网络基本输人输出系统
网络文件系统
邮局协议
远程过程调用
服务器消息块协议
简单网络管理协议
传输控制协议
用户数据报协议
Comon Galeway nlerfare
Comman Vulnerabilities and ExposuresDomain Name System
Denial Of Service
Filr: Transfer Protocol
Intrusion Detection System
[nternet Protacol
NETworkBasicInputOutputSystemNetwork File System
Post Office Prolucul
Kemote Procedure Call
Server Message Block ProtocolSimpleNctwarkManagcmcnt PratocolTransport Control Prototol
User Datagram Protocol
a）选择：用丁从对某一功能要求的陈述中突出一个或多个选项，用带下划线的斜体字表示。GB/T20280—2006
说明：本标准对网络脆弱性扫描产品测评进行了分级论述。本标准中的规定，凡未特殊说明，b)
均为基本型产品要求，增强型产品的测评项目、测试内容和测试评价结果用斜体字表示。5网络脆弱性扫描产品概述
网络脆弱性扫描产品的简介、体系结构及产品分级见GB/T20278—2006的第5章和附录A。测试环境
网络脆弱性扫描产品测试环境如图1，图1中各项设备的作用见表1：CHINA
网络脆弱性打
路由器
脆弱作扫描文品A
脆弱性扫描产品
防火墙
Unix服务器
Linux服务器
Windows服务器
其他设备
网络脆弱性扫描产品测试环境拓扑图表1环境说明
Linux服务器
Windows服务器
网络脑弱性扫描产品
Unix服务器
其他设各
脆弱性扫描产品A，部署在目标网络之外，进行远程扫描脆弱性扫描产品B，部署差目标网络内部，进行网内扫措隔离网段
被扫描机器
被扫措机器
被扫描机器
被扫描机器，包括路由器、交换机等等注：根据情况，“其他设备”的数目和种类可以调整。被扫描主机应至少运行如下服务：HTTP、FTP、POP3、SMTP、SQLSERVER、ORACLEUNIX和LINUX服务器应运行NFS服务。
服务器应运行常见木马。
服务器宜运行其他具有脆弱性的服务，宜选择脆弱性较常见和造成危害较严重的服务。2
7测试评价方法及步骤
7.1基本型
7.1.1基本功能
7.1.1.1自身安全性要求
7.1.1.1.1身份鉴别
a）评价内容：见GB/T20278—2006中7.2.1的内容。b）测试评价方法：
-YYKAONTKAca
GB/T20280—2006
1）根据网络脆弱性扫描产品版本发行说明、管理员手册、配置管理文档等，启动图1中网络脆弱性扫描产品A和B；
2）以授权管理员身份分别登录启动图1中网络脆弱性扫描产品A和B，运行创建普通管理员等操作
c）测试评价结果，记录测试结果并对该结果是否符合测试评价方法要求作出判断。7.1.1.1.2适用限制
a）评价内睿：见GB/T20278—2006中7.2.2的内容；b）测试评价务法：根据网络脆弱性扫描产品版本发行说明、用户手册、高层设计文档、测试文档等，启动图1中网络脆弱性扫描产品A和B，进行管理配置、启动扫描等操作；测试评价结果：记录测试结果并对该结果是否符合测试评价方法要求作出判断，如网络脆弱性扫描产品是否能够限制产品可扫描的具体IP地址。7. 1. 1. 1. 3
敏感信息保护
ay评价内容：见GB/T20278—2006中7.2.3的内容；b）测试评价方法根据网络脆弱性扫描产品版本发行说明、用户手册高层设计文档、测试文档等，启动图1中网络脆弱性扫描产品A和B，进行管理配置、启动扫描等操作；测试评价结果：记录测试结果并对该结果是否符合测试评价方法要求作出判断，如是否对策略信息进行加密、敏感信息规避等。软件使用记录
7. 1.1.1.4
a）评价内容，见GB/T20278-2006中7.2.4的内容。b）测试评价方法：根据网络脆弱性扫描产品版本发行说明、用户手册、管理员手册等，启动图1中网络脆弱性扫描产品A和B，进行下列操作，观察日志变化：1）管理员登录：
扫描操作过程
扫描结果分析处理；
产品升级：
其他使用。
c）测试评价结果：记录测试结果并对该结果是否符合测试评价方法要求作出判断。7.1.1.1.5扫描数据包标记
a）评价内容：见GB/T20278—2006中7.2.5的内容。b）测试评价方法：
1）根据网络脆弱性扫描产品版本发行说明、用户手册、管理员手册、高层设计文档、低层设计文档等，启动图1中网络脆弱性扫描产品A和B，执行扫描功能；2）通过抓包工具（例如：Tcpdump等）捕获网络脆弱性扫描产品扫描数据包，并对捕获数据进行分析。
c）测试评价结果：记录测试结果并对该结果是否符合测试评价方法要求作出判断。3
GB/T 20280-2006
7. 1. 1. 1. 6
扫描结果安全
2）评价内容见GB/T20278—2006中7.2.6的内穿，b）测试评价方法：
1）根据网络脆弱性扫描产品版本发行说明、用户手册、管理员于册.高层设计文档低层设计文档等，启动图1中网络脆弱性扫描产品A和B.执行扫描功能；2）直接利用数据库丁具查证扫描结果；3）对扫描结果进行导人、导出及谢除操作。2）测试评价结果：记录测试结果并对该结果是否符合测试评价方法要求作出判断。7.1. 1. 2安全功能要求
7. 1. 1. 2. 1 脆弱性扫描
a）评价内容：见G13/T20278—2006中7.3.1的内容。b）测试评价方法：
1）根据网络脆弱性扫描产品版本发行说明、安装手册，用手册、管理员手册.配置管理文档、测试文档、高层设计文档等，确定测试对象（产品、扫描对象等），按照GB/T20278一2006中7.3.1及其注解给出的细节，分别编写测试用例。对照测试用例·且标主机分别安装并启动相应的应用程序。启动图1中网络脆弱性扫描产2）
品A和B，分别对被扫描机器进行扫描，并根据扫描结果，于工对比网络脆弱性扫描产品是否能够正确的发现危险或不合理的配置等安全间题，并能提出相应的安全性建议3）捡查扫描结果中详细描述是否准确。4）按产品捉供的安全性建议进行脆弱性修复后，再次进行测试，检查产品是否报告栉应的跪弱性。
测试评价结果：记录测试结果并对该结果是否符合测试评价方法要求作出判断。C
7.1.1.2.2网络旁路检查
a）评价内容：见GB/T202782006中7.3.2的内容。h）测试评价方法：
1）在被扫描的网络环境中，配置一个拨号上网或代理服务器或其他网络旁路服务，2）根据管理员手册、用户于册等，启动图1中网络脆弱性扫描产品B，查石扫描结果是否能够发现网络务路服务。
）测试评价结果：记录测试结果并对该结果是否符测试评价方法要求作出判断。7.1.1.2.3信息获取
a）评价内容：见G/\202782006中7.3.3的内容b)
测试评价方法：
1）根据管理员于册和用户手等，启动图1中网络脆弱性扫描产品A和B，对以下条日进行扫描：
操作系统，包括类型、版本号等；-TCP/IP服务旗标：
系统硬件信息：
一系统软件配置信息：
其他网络配置信息；
共享口录信息：
系统运行状态倍息等。
2）对比扫描结果，
c）测试评价结果：记录测试结果并对该结果是否符合测试评价方法要求作出判断。4
7.1.1.2.4端口和服务扫推
8）评价内容：见GB/T20278—2006中7.3.4的内容。1）测试评价方法：
-YYKAONTKAca
GB/T 20280--2006
根据管理员手册猎用广手册等，启动图1中网络脆弱性扫描产品八和1，配置产品策略，针对以下端口和服务进行扫描：RPC端
-TCP 端 1 ;
-UDF 端口;
端口协议分析：
-NT服务。
2）手T.对比扫描绪果。
c）测试评价结果：记录测试结果并对该结果是否符合测试评价方法要求作出判断，应符合：获得RPC服务及所在的RPC端门信息；1
2）应能检查TCP端口是否开启；3）应能检查UDP端口是否开启：就扫描得到的已开启的TC'P/UIDP端口，能够判断相应端口对应的服务或使用的协议：4）下载标准就来标准下载网
获取启动的VT服务列表。
7. 1. 1. 3管理要求
7. 1. 1. 3. 1
管理员访间
a）评价内容：见GB/T 20278—2006中7.4.1的内容。测证评价方法：
1）根据安装手册、管理员手册、测试文档等，启动网络脆弱性扫描产品A和3，检测管理员访问功能；
查看授校管理贯访问权限·并设置逊管理员权限：3）
验证普通管理员权限。
c）测试评价结果：记录测试结果并对该结果是否符合测试评价方法要求作出判断，应符合：[）只有授权管理员小能访问网络脆弱性扫描产品，即只允许授权告理员有配置、使用网络脆弱性扫描产品的能力；
2）普通管理员部分具有由授权管理员分配的配置或使用网络脆弱性扫描产品的能力。7.1.1.3.2扫描结果分析处理
a）评价内容：见GB/T20278—2006中7.4.2的内容。b）测试评价方法：
1）根据附录A中浏试证据1述测试过程产生的结果，手工比对：2）利用网络跪弱性扫描产品软件对扫描结果逊行导人、导出、删除定制报先、输出报告、浏览漏洞数据库等；
仔细查看形成的拦描结果报岱。3
c）测试评价结果：记录测试结果并对该结果是否衍合测试评价方法要求作出判断，应符合：1）扫捕结果写入数据库；
2）扫描结果可导人导出彻底測除；3）可按照不同的分类定制报告（例如：以时间、用户组分类）；A）报告可输出成标准格式，包括HTML.RTF、PIF等格式；5）川提供全面灵活的扫描结果数据库浏览功能；6）可提供包括以下内容的扫描结果报告：5
GB/T20280—2006
脆弱性报告，包括各脆弱点的详细信息、补救建议等，补救建议合理并有效；可对目标主机扫描后的信息获取结果生成相应的报告；脆弱性分析报告，包括：
·目标的风险等级评估报告；明确将扫描脆弱点分成极度危险漏洞、危险漏洞和轻度危险漏洞：
。同一目标多次扫描形成的趋势分析报告；·多个目标扫描后的结果的总体报告：·对关键的网络脆弱性扫描信息可生成摘要报告：·针对主机问进行比较的结果生成报告。7.1.1.3.3扫描策略定制
a）评价内容：见GB/T202782006中7.4.3的内容。b）测试评价方法：
1）根据网络脆弱性扫描产品版本发行说明、安装手册管理员手册、配置管理文档、测试文档、高层设计文档等，启动图1中网络脆弱性扫描产品A和B确认是否具有定制策略方法：
定制已知账号和口令、扫描项目及属性、定时启动等策略，进行扫描；2）
3）查看日志，验证审计功能
测试评价结果：记录测试结果并对该结果是否符合测试评价方法要求作出判断，应符合：1）能使用自标的己知账号和口令对目标进行更有效的扫描；2）
能定制扫描项目及属性，形成计划任务等策略：具有完整的H志及审计功能；
提供方便的定制策略的方法
7.1.1.3.4扫描对象的安全性
评价内容见GB/T202782006中7.4.4的内容a）
b）测试评价方法
1）查看网络瞻弱性扫描产品版本发行说明、安装手册、管理员手册、配置管理文档、测试文档、高层设计文档等，并启动图1中网络脆弱性扫描产品A和B；对报警功能进行验证，观察目标系统网络性能。2）
测试评价结果：论录测试结果并对该结果是否符合测试评价方法要求作出判断，应符合：c）
1）能够在开始扫描前宿主机向目标主机发送一个警告信息，提示该主机将要接受扫描测试，
扫描时对网络的正常一作无明显影响：2）
使用DOS等攻击测试手段时，测试开始前向用户发出的明确提示中，说明了该类测试的3）
危害性，用户可以采取确认与否操作。7.1.1.3.5升级能力
a）评价内容：见GB/T20278—2006中7.4.5的内容；b）测试评价方法：查看网络脆弱性扫描产品版本发行说明、安装手册、用户手册等，启动图1产品A和B，根据用户手册检查产品是否具备升级更新能力；测试评价结果：记录测试结果并对该结果是否符合测试评价方法要求作出判断，应符合：升级c）
操作方便、自动化，能够进行手工升级和漏洞库增加操作。7.1.1.4使用要求
7.1.1.4.1安装与操作控制
a）评价内容：见GB/T20278—2006中7.5的内容。6
-YYKAONTKAca
GB/T20280—2006
b）：测试评价方法：查看网络脆弱性扫描产品版本发行说明、安装手册，管理员手册、配置管理文档，对网络脆弱性扫描产品进行实际安装、操作。测试评价结果：记录测试结果并对该结果是否符合测试评价方法要求作出判断，应符合：1）随机文档中对网络脆弱性扫描产品安装、管理、操作的可控性有说明，网络脆弱性扫描产品实行发行许可措施（例如：发行序列号、根据安装计算机信息生成许可等）；2）网络脆弱性扫描产品扫描过程可随时停止，并且能断点保存，随时恢复；3）网络脆弱性扫描产品扫描过程中，能执行键盘锁定功能和屏幕保护功能。7.1.2性能要求
7.1.2.1速度
a）评价内容：见GB/T20278—2006中8.1的内容b）
测试评价方法：
1）根据网络脆弱性扫描产品安装手册、管理员手册，测试文档、高层设计文档、产品版本发行说明及产品运行界面（或面板），龙启动图1中网络脆弱性扫描产品A和B；检查网络脆弱性扫描产品是否采取了有效的设计或技术手段来提高扫描速度（例如：能2）
提供通过调整线程或者进程数目来调节扫描速度），并实际操作验证其对速度的影响。测试评价结果：记录测试结果并对该结果是否符合测试评价方法要求作出判断，应符合：网络脆弱性扫描产品采取了有效的设计或技术手段，能够提高扫描速度7.1.2.2稳定性和容错性
a）评价内客：见GB/T202782006中8.2的内容。b）测试评价方法：
观察上述网络脆弱性扫描产品测试过程，确定产品是否能够避免以下问题出现.
主界面失去响应或非正常退出；扫描进度停滞不前。
反复试用网络脆弱性扫描产品。2）
测试评价结果：记录测试结果并对该结果是否符合测试评价方法要求作出判断，应符合：无界e
面失去响应，扫描进度停带不前或非正常退出现象7.1.2.3漏洞发现能力
a）评价内容：见GB/T202782006中8.3的内容：测试评价方法查看网络脆弱性扫描产品版本发行说明、安装于册、管理员于册、配置管理文b
档：试用网络脆弱化扫描产品：测试评价结果：记录审查结果并对该结果是否符合测试评价方法要求作出判断，应符合：网络脆弱性扫描产品的技术文档及产品界面中给出系统能够扫描的漏洞数目，并针对漏洞给出详细描述。
7.1.2.4误报率
a）评价内容：见GB/T202782006中8.4的内容。b）测试评价方法：查看网络脆弱性扫描产品版本发行说明、安装手册、管理员手册、配置管理文档；试用网络脆弱性扫描产品。测试评价结果：记录审查结果并对该结果是否符合测试评价方法要求作出判断，应符合：网络脆弱性扫描产品的技术文档标明了该系统的误报率，并指明所使用的测试方法、测试工具、测试坏境和测试步骤。
7.1.2.5漏报率
a）评价内容：见GB/T20278—2006中8.5的内容。b）测试评价方法：查看网络脆弱性扫描产品版本发行说明、安装手册、管理员手册、配置管理文
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。