GA∕T 1558-2019 信息安全技术 基于IPv6的高性能网络脆弱性扫描产品安全技术要求(公共安全).pdf
《GA∕T 1558-2019 信息安全技术 基于IPv6的高性能网络脆弱性扫描产品安全技术要求(公共安全).pdf》由会员分享,可在线阅读,更多相关《GA∕T 1558-2019 信息安全技术 基于IPv6的高性能网络脆弱性扫描产品安全技术要求(公共安全).pdf(18页珍藏版)》请在咨信网上搜索。
1、ICS 35.240 A.90 GA 中 华 人 民 共 和 国 公 共 安 全 行 业 标 准 GA/T XXXXXXXX 信息安全技术 基于 IPv6 的高性能网络脆弱性扫描产品安全技术要求 Information security technology Security technical requirements for IPv6-based high-performance network vulnerability scanners (报批稿) XXXX - XX - XX 发布 XXXX - XX - XX 实施 中华人民共和国公安部 发 布 GA/T XXXXXXXX I 目
2、次 前言 . II 1 范围 . 1 2 规范性引用文件 . 1 3 术语和定义 . 1 4 缩略语 . 2 5 基于 IPv6 的高性能网络脆弱性扫描产品描述 . 2 6 总体说明 . 2 6.1 安全技术要求分类 . 2 6.2 安全等级划分 . 2 7 安全功能要求 . 2 7.1 信息获取 . 2 7.2 脆弱性扫描内容 . 3 7.3 扫描结果分析处理 . 5 7.4 扫描配置 . 6 7.5 扫描对象的安全性 . 6 7.6 扫描速度调节 . 6 7.7 并发扫描 . 7 7.8 升级能力 . 7 7.9 互动性要求 . 7 8 自身安全功能要求 . 7 8.1 标识与鉴别 . 7
3、 8.2 安全管理 . 8 8.3 审计日志 . 8 9 环境适应性要求 . 8 9.1 支持纯 IPv6 网络环境 . 8 9.2 IPv6 网络环境下自身管理 . 9 10 安全保障要求 . 9 10.1 开发 . 9 10.2 指导性文档 . 10 10.3 生命周期支持 . 10 10.4 测试 . 11 10.5 脆弱性评定 . 11 11 不同安全等级要求 . 11 11.1 安全功能要求 . 11 11.2 自身安全功能要求 . 13 11.3 安全保障要求 . 13 GA/T XXXXXXXX II 前 言 本标准按照GB/T 1.1-2009给出的规则起草。 本标准由公安部网
4、络安全保卫局提出。 本标准由公安部信息系统安全标准化技术委员会归口。 本标准起草单位:公安部计算机信息系统安全产品质量监督检验中心。 本标准主要起草人:顾建新、宋好好、杨春华、李毅、陆臻、沈亮、顾健。 GA/T XXXXXXXX 1 信息安全技术 基于 IPv6 的高性能网络脆弱性扫描产品安全技术要求 1 范围 本标准规定了基于IPv6的高性能网络脆弱性扫描产品的安全功能要求、 自身安全功能要求、 环境适应性要求、安全保障要求以及不同安全等级要求。 本标准适用于基于IPv6的网络脆弱性扫描产品的设计、开发及测试。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。 凡是注日期的引用文件
5、, 仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T 18336.3-2015 信息技术 安全技术 信息技术安全评估准则 第3部分:安全保障组件 GB/T 20278-2013 信息安全技术 网络脆弱性扫描产品安全技术要求 GB/T 25069-2010 信息安全技术 术语 3 术语和定义 GB/T 18336.3-2015、GB/T 20278-2013和GB/T 25069-2010界定的以及下列术语和定义适用于本文件。 3.1 扫描 scan 使用技术工具对目标系统进行探测,查找目标系统中存在安全隐患的过程。 3.2 脆弱性 vu
6、lnerability 网络系统中可能被利用并造成危害的弱点。 3.3 网络脆弱性扫描 network vulnerability scan 通过网络对目标系统安全隐患进行远程探测, 检查和分析其安全脆弱性, 从而发现可能被入侵者利用的安全隐患,并提出一定的防范和补救措施建议。 3.4 旗标 banner 由应用程序发送的一段信息,通常包括欢迎语、应用程序名称和版本等信息。 GA/T XXXXXXXX 2 4 缩略语 下列缩略语适用于本文件。 CVE:通用脆弱性知识库(Common Vulnerabilities and Exposures) NETBIOS:网络基本输入输出系统(NETwor
7、k Basic Input/Output System) NFS:网络文件系统(Network File System) RPC:远程过程调用(Remote Procedure Call) SMB:服务器消息块(Server Message Block) 5 基于 IPv6 的高性能网络脆弱性扫描产品描述 本标准提出了基于IPv6 的高性能网络脆弱性扫描产品的安全功能要求和安全保障要求。网络脆弱性扫描产品是指利用扫描手段检测目标网络系统中可能被入侵者利用的安全隐患的软件或软硬件组合的产品,该产品可根据预先定义的策略或者其他要求,对目标网络系统中的指定设备进行端口扫描,检查其开放的服务, 并进一
8、步探测各个服务程序的配置信息以及存在的安全问题, 从而实现对目标网络系统的脆弱性扫描。此外,适用于下一代互联网网络环境的高性能网络脆弱性扫描产品,还要求能够支持IPv6、IPv4/IPv6过渡技术的网络环境,并具备较高的处理性能,可实现对多个目标的同时扫描。 网络脆弱性扫描产品的应用环境要求产品与被扫描系统的各网络设备或者主机应处于连通状态, 中途无其他网络安全设备的防护。 6 总体说明 6.1 安全技术要求分类 本标准将基于IPv6的高性能网络脆弱性扫描产品的安全技术要求分为安全功能要求、 自身安全功能要求、环境适应性要求和安全保障要求。其中,安全功能要求是对基于IPv6的高性能网络脆弱性扫
9、描产品应具备的安全功能提出具体要求,包括信息获取、脆弱性扫描内容、扫描结果分析处理、扫描配置、扫描对象的安全性等;自身安全功能要求包括标识与鉴别、安全管理和审计日志;安全保障要求针对基于IPv6的高性能网络脆弱性扫描产品的生命周期过程提出具体的要求,例如开发、指导性文档、生命周期支持和测试等。 6.2 安全等级划分 基于IPv6的高性能网络脆弱性扫描产品的安全等级按照其安全功能要求、 自身安全功能要求和安全保障要求的强度划分为基本级和增强级,其中安全保障要求参考了GB/T 18336.3-2015。 7 安全功能要求 7.1 信息获取 7.1.1 端口扫描 7.1.1.1 TCP 端口 产品应
10、能扫描目标设备的所有TCP端口,检查其是否开启。 GA/T XXXXXXXX 3 7.1.1.2 UDP 端口 产品应能扫描目标设备的所有UDP端口,检查其是否开启。 7.1.1.3 端口协议分析 产品应能判断目标设备开启的TCP/UDP端口所对应的通用服务或应用协议。 7.1.2 操作系统探测 产品应能对目标设备的操作系统类型和版本号进行探测。 7.1.3 服务旗标 产品应能获取目标设备已开启的各项通用服务的旗标。 7.1.4 其他信息 产品应能对目标设备的其他信息进行探测,例如网络配置信息、运行状态信息等。 7.2 脆弱性扫描内容 7.2.1 浏览器脆弱性 产品应能检查目标设备与浏览器安全
11、相关的信息和配置, 发现危险或不合理的配置, 并提出相应的安全性建议。检查项目应包括: a) 浏览器版本号; b) 浏览器安全设置; c) 浏览器自身脆弱性; d) 其他安全隐患。 7.2.2 邮件服务脆弱性 产品应能检查目标设备中,使用POP3、SMTP等电子邮件相关协议的服务程序的安全问题,检查项目应包括: a) 服务程序旗标和版本号; b) 服务程序本身的脆弱性,包括: 对输入缺乏合法性检查; 不能正确处理异常情况。 c) 服务器的危险或错误配置,包括: 允许EXPN和VRFY命令; 允许邮件转发; 其他不安全配置。 d) 其他安全隐患。 7.2.3 FTP 服务脆弱性 产品应能检查目标
12、设备中,提供FTP服务的应用程序的安全问题,检查项目应包括: a) 服务程序旗标和版本号; b) 服务程序本身的脆弱性,包括: 对输入缺乏合法性检查; GA/T XXXXXXXX 4 不能正确处理异常情况。 c) 服务器的危险或错误配置,包括: 允许匿名登录; 使用了默认口令; 允许危险命令; 其他不安全配置。 d) 其他安全隐患。 7.2.4 DNS 服务脆弱性 产品应能检查目标设备中,提供DNS服务的安全问题,检查项目应包括: a) 服务程序旗标和版本号; b) 服务程序本身的脆弱性,包括: 对输入缺乏合法性检查; 不能正确处理异常情况。 c) 其他安全隐患。 7.2.5 RPC 服务脆弱
13、性 产品应能检查目标设备中, 使用了RPC协议的服务程序的安全问题, 检查是否开启了危险的RPC服务。 7.2.6 SNMP 服务脆弱性 产品应能检查目标设备中,使用了SNMP协议的服务程序的安全问题,检查项目应包括: a) SNMP 版本信息; b) SNMP 口令脆弱性检查; c) 检查 SNMP 服务是否会暴露下列系统敏感信息,包括: TCP端口表; UDP端口表; 服务列表; 进程列表; 路由表; 网络接口设备表。 7.2.7 口令脆弱性 产品应能采用字典或穷举等方法检查目标系统用户口令的健壮性,检查项目应包括: a) 系统是否使用了用户名称经过简单变换后的口令; b) 系统是否使用了
14、易猜测口令。 7.2.8 操作系统脆弱性 产品应能检查目标操作系统特有的脆弱性,检查项目应包括: a) 系统安全设置,包括: 注册表项目访问权限设置; 审核策略设置; 系统口令策略设置。 b) 操作系统版本和补丁安装情况检查; GA/T XXXXXXXX 5 c) 其他相关检查。 7.2.9 NFS 服务脆弱性 产品应能检查NFS服务相关的脆弱性。 7.2.10 文件共享脆弱性 产品应能检查目标设备中使用的NETBIOS或SMB共享,发现危险的设置,检查项目应包括: a) 重要目录被共享; b) 共享目录可被匿名用户写入; c) 是否使用了缺省或过于简单的共享口令; d) SAMBA 服务器软
15、件的版本号。 7.2.11 路由器/交换机脆弱性 产品应能检查路由器、交换机及其开启服务相关的脆弱性。 7.2.12 木马端口脆弱性 产品应能检查常见木马使用的默认端口是否开启, 并对扫描得到的开启端口进行测试分析, 对未知服务和已知木马做出警告。 7.2.13 其他已知 TCP/IP 服务脆弱性 产品应能检查目标设备中,其他使用了TCP/IP协议的服务程序的安全问题,检查项目应包括: a) 服务程序旗标和版本号; b) 服务程序本身的脆弱性,包括: 对输入缺乏合法性检查; 不能正确处理异常情况。 c) 服务程序的错误配置。 7.3 扫描结果分析处理 7.3.1 结果浏览 产品应提供扫描结果浏
16、览功能。 7.3.2 脆弱性修补建议 产品能对发现的脆弱性提出修补建议,脆弱性修补建议满足下列要求: a) 对不同的操作系统类型提出针对性的脆弱性修补方法; b) 脆弱性描述应详细,提供的脆弱性修补方法应确保其合理性和可用性。 7.3.3 结果入库 扫描结果应能写入结果数据库。 7.3.4 报告生成 产品应能根据扫描结果生成相应的报告,报告要求包括如下内容: a) 各脆弱点的 CVE 编号、详细信息、补救建议等; GA/T XXXXXXXX 6 b) 目标的风险等级评估,将扫描脆弱点按风险严重程度分级,并明确标出; c) 多个目标扫描后的汇总结果; d) 关键脆弱性扫描信息的摘要。 7.3.5
17、 报告输出 报告应能输出为通用的文档格式,例如PDF、DOC、HTML等。 7.3.6 结果导入导出 可对扫描结果数据执行导入导出操作。 7.3.7 报告定制 报告内容应能根据用户要求进行定制生成。 7.3.8 结果比对 产品应提供对同一目标多次扫描结果或者不同主机间扫描结果的比对功能, 并能根据比对结果生成比对报告。 7.4 扫描配置 7.4.1 扫描策略 产品应提供方便的定制策略的方法,可以指定扫描地址范围、端口范围、脆弱性类型等。 7.4.2 计划任务 产品应能定制扫描计划,可以定时启动或者按周期执行扫描任务。 7.4.3 已知账号/口令扫描 产品应能使用目标系统的已知账号/口令对其进行
18、更有效的扫描。 7.5 扫描对象的安全性 7.5.1 对目标系统所在网络性能的影响 扫描不应影响目标网络的正常工作。 7.5.2 对目标系统的影响 扫描不应影响目标系统的正常工作, 避免使用攻击方法进行测试; 在使用某些可能对目标系统产生不良后果的扫描手段时,产品在测试开始前应能给目标系统或者目标系统管理员明确的提示。 7.5.3 扫描报文标识 产品在对目标设备进行扫描时,所发出的扫描报文中应有标识其产品名称或者产品生产单位的信息。 7.6 扫描速度调节 产品应能通过调整并发数量的方法对扫描速度进行调节。 GA/T XXXXXXXX 7 7.7 并发扫描 产品应能支持不少于1000个目标设备的
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- GAT 1558-2019 信息安全技术 基于IPv6的高性能网络脆弱性扫描产品安全技术要求公共安全 GA 1558 2019 信息 安全技术 基于 IPv6 性能 网络 脆弱 扫描 产品 要求
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【曲****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【曲****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。
链接地址:https://www.zixin.com.cn/doc/89156.html