（高清版）GBT 20278-2022 信息安全技術(shù) 網(wǎng)絡(luò)脆弱性掃描產(chǎn)品安全技術(shù)要求和測試評價方法

代替GB/T20278—2013,GB/T20280—2006信息安全技術(shù)網(wǎng)絡(luò)脆弱性掃描產(chǎn)品安全技術(shù)要求和測試評價方法國家市場監(jiān)督管理總局GB/T20278—2022 I1范圍 2規(guī)范性引用文件 3術(shù)語和定義 4縮略語 5網(wǎng)絡(luò)脆弱性掃描產(chǎn)品描述 26安全技術(shù)要求 26.1概述 26.2基本級安全要求 56.3增強(qiáng)級安全要求 7測試評價方法 7.1測試環(huán)境 7.2測試工具 7.3基本級測試評價方法 7.4增強(qiáng)級測試評價方法 參考文獻(xiàn) I本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。本文件代替GB/T20278—2013《信息安全技術(shù)網(wǎng)絡(luò)脆弱性掃描產(chǎn)品安全技術(shù)要求》和GB/T20280—2006《信息安全技術(shù)網(wǎng)絡(luò)脆弱性掃描產(chǎn)品測試評價方法》,與GB/T20278—2013相比，除結(jié)構(gòu)調(diào)整和編輯性改動外，主要技術(shù)變化如下：a)增加了“網(wǎng)絡(luò)脆弱性掃描產(chǎn)品描述”的內(nèi)容(見第5章);b)增加了“掃描報文標(biāo)識”的要求(見.3和.3);c)增加了“并發(fā)掃描”的要求(見和);d)增加了“支撐系統(tǒng)安全”的要求(見和);e)增加了“通信保密性”的要求(見);f)增加了“環(huán)境適應(yīng)性要求(有則適用)”的內(nèi)容，其中主要是明確了產(chǎn)品對IPv6的支持能力，包括支持純IPv6網(wǎng)絡(luò)環(huán)境的掃描能力、IPv6網(wǎng)絡(luò)環(huán)境下的自身管理能力以及雙協(xié)議棧的要求(見6.2.3和6.3.3);g)增加了“測試評價方法”的內(nèi)容(見第7章);h)刪除了“掃描IP地址限制”的要求(見2013年版的8.1.8);i)刪除了“易用性”的要求(見2013年版的);j)修改了“脆弱性掃描內(nèi)容”,將原標(biāo)準(zhǔn)中要求的15項掃描要求重新整理分為5類掃描要求(見和,2013年版的7.1.2),在增強(qiáng)級中還提出了對云環(huán)境和工控設(shè)備目標(biāo)對象的掃描要求(見.6和.7);k)修改了各級的“安全保證要求”為“安全保障要求”(見6.2.4和6.3.4,2013年版的7.3和8.3)。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別專利的責(zé)任。本文件由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(SAC/TC260)提出并歸口。本文件起草單位：公安部第三研究所、北京神州綠盟科技有限公司、網(wǎng)神信息技術(shù)(北京)股份有限公司、北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司、啟明星辰信息技術(shù)集團(tuán)股份有限公司、上海國際技貿(mào)聯(lián)合有限公司、中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心、西安交大捷普網(wǎng)絡(luò)科技有限公司、北京中科網(wǎng)威信息技術(shù)有限公司、上海市信息安全測評認(rèn)證中心、工業(yè)和信息化部計算機(jī)與微電子發(fā)展研究中心(中國軟件評測中心)、新華三技術(shù)有限公司、中國電子科技集團(tuán)公司第十五研究所(信息產(chǎn)業(yè)信息安全測評中心)、國家工業(yè)信息安全發(fā)展研究中心、陜西省網(wǎng)絡(luò)與信息安全測評中心、國網(wǎng)新疆電力有限公司電力科學(xué)研究院、中國科學(xué)院信息工程研究所、中國電力科學(xué)研究院有限公司信息通信研究所、中國信息通信研究院、遠(yuǎn)江盛邦(北京)網(wǎng)絡(luò)安全科技股份有限公司、北京通和實益電信科學(xué)技術(shù)研究所有限公司、上海斗象信息科技有限公司、深圳市聯(lián)軟科技股份有限公司、北京知道創(chuàng)宇信息技術(shù)股份有限公司。本文件及其所替代文件的歷次版本發(fā)布情況為：——2006年首次發(fā)布為GB/T20278—2006,2013年第一次修訂；——本次為第二次修訂，并入了GB/T20280—2006《信息安全技術(shù)網(wǎng)絡(luò)脆弱性掃描產(chǎn)品測試評1信息安全技術(shù)網(wǎng)絡(luò)脆弱性掃描產(chǎn)品安全技術(shù)要求和測試評價方法本文件規(guī)定了網(wǎng)絡(luò)脆弱性掃描產(chǎn)品的安全技術(shù)要求和測試評價方法。本文件適用于脆弱性掃描產(chǎn)品的設(shè)計、開發(fā)與測試。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范化引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T25069信息安全技術(shù)術(shù)語3術(shù)語和定義GB/T25069界定的以及下列術(shù)語和定義適用于本文件。使用技術(shù)工具對目標(biāo)系統(tǒng)進(jìn)行探測，查找目標(biāo)系統(tǒng)中存在安全弱點的過程。網(wǎng)絡(luò)脆弱性掃描networkvulnerabilityscan通過網(wǎng)絡(luò)對目標(biāo)系統(tǒng)安全弱點進(jìn)行遠(yuǎn)程探測，檢查和分析其安全脆弱性，從而發(fā)現(xiàn)可能被入侵者利用的安全弱點，并提出一定的防范和補(bǔ)救措施建議。應(yīng)用程序發(fā)送的一段信息。注：通常包括歡迎語、應(yīng)用程序名稱和版本等信息。支撐系統(tǒng)supportingsystem支撐網(wǎng)絡(luò)脆弱性掃描設(shè)備運行的操作系統(tǒng)。4縮略語下列縮略語適用于本文件。CNNVD:中國國家信息安全漏洞庫(ChinaNationalVulnerabilityDatabaseofInformationSecurity)CVE:通用漏洞披露(CommonVulnerabilitiesandExposures)FTP:文件傳輸協(xié)議(FileTransferProtocol)2RPC:遠(yuǎn)程過程調(diào)用(RemoteProcedureCall)TCP:傳輸控制協(xié)議(TransmissionControlProtocol)UDP:用戶數(shù)據(jù)報協(xié)議(UserDatagramProtocol)5網(wǎng)絡(luò)脆弱性掃描產(chǎn)品描述網(wǎng)絡(luò)脆弱性掃描產(chǎn)品是指利用掃描手段檢測目標(biāo)網(wǎng)絡(luò)系統(tǒng)中可能存在的安全弱點的軟件或軟硬件組合的產(chǎn)品。該產(chǎn)品可根據(jù)預(yù)先定義的策略或者其他要求，對目標(biāo)網(wǎng)絡(luò)中的指定設(shè)備進(jìn)行端口掃描，檢查其開放的服務(wù)，并進(jìn)一步探測各個服務(wù)程序的配置信息以及存在的安全問題，從而實現(xiàn)對目標(biāo)網(wǎng)絡(luò)系統(tǒng)的脆弱性掃描。對于適用于下一代互聯(lián)網(wǎng)網(wǎng)絡(luò)環(huán)境的網(wǎng)絡(luò)脆弱性掃描產(chǎn)品，還能夠支持IPv6、IPv4/IPv6過渡技術(shù)的網(wǎng)絡(luò)環(huán)境，并具備較高的處理性能，可實現(xiàn)對多個目標(biāo)的并發(fā)掃描。網(wǎng)絡(luò)脆弱性掃描產(chǎn)品在應(yīng)用過程中與被掃描系統(tǒng)的各網(wǎng)絡(luò)設(shè)備或者主機(jī)處于連通狀態(tài)，網(wǎng)絡(luò)路徑中不存在其他安全防護(hù)或者檢測設(shè)備的干擾。6安全技術(shù)要求6.1概述本文件將網(wǎng)絡(luò)脆弱性掃描產(chǎn)品的安全技術(shù)要求分為安全功能要求、自身安全保護(hù)要求、環(huán)境適應(yīng)性要求和安全保障要求四方面。其中，安全功能要求是對產(chǎn)品應(yīng)具備的安全功能提出的具體要求，包括信升級能力等；自身安全保護(hù)要求包括身份鑒別、管理員管理、安全審計和支撐系統(tǒng)安全；環(huán)境適應(yīng)性要求提出了產(chǎn)品支持IPv6網(wǎng)絡(luò)環(huán)境進(jìn)行工作和管理的要求；安全保障要求針對產(chǎn)品的生命周期過程提出具體的要求，包括開發(fā)、指導(dǎo)性文檔、生命周期支持和測試等。本文件將網(wǎng)絡(luò)脆弱性掃描產(chǎn)品的安全等級分為基本級和增強(qiáng)級，如表1、表2、表3和表4所示。安全功能與自身安全保護(hù)的強(qiáng)弱、以及安全保障要求的高低是等級劃分的具體依據(jù)，安全等級突出安全特性。與基本級內(nèi)容相比，增強(qiáng)級中要求有所增加或變更的內(nèi)容在正文中通過“宋體加粗”表示。表1安全功能要求等級劃分表安全功能要求基本級增強(qiáng)級信息獲取端口掃描TCP端口*興**端口協(xié)議分析*服務(wù)旗標(biāo)**存活判斷**其他信息 興3表1安全功能要求等級劃分表(續(xù))安全功能要求基本級增強(qiáng)級脆弱性掃描內(nèi)容操作系統(tǒng)脆弱性興興數(shù)據(jù)庫脆弱性*興應(yīng)用服務(wù)脆弱性興興網(wǎng)絡(luò)設(shè)備脆弱性興興口令脆弱性**云環(huán)境脆弱性興工控設(shè)備脆弱性(有則適用) 興掃描結(jié)果分析處理結(jié)果瀏覽※興脆弱性修補(bǔ)建議※￥報告生成興興報告輸出*興結(jié)果導(dǎo)入導(dǎo)出 興報告定制 興結(jié)果比對——興報告發(fā)送興掃描配置掃描策略興興計劃任務(wù)興興任務(wù)管理**已知賬號/口令掃描※掃描對象的安全性對目標(biāo)系統(tǒng)所在網(wǎng)絡(luò)性能的影響興興對目標(biāo)系統(tǒng)的影響※×掃描報文標(biāo)識興興掃描速度調(diào)節(jié)*興并發(fā)掃描**升級能力興中斷恢復(fù)￥互動性要求興“*”表示具有該要求，“**”表示要求有所增強(qiáng)，“—”表示不適用。4表2自身安全保護(hù)要求等級劃分表自身安全保護(hù)要求基本級增強(qiáng)級身份鑒別管理員鑒別**鑒別信息要求**鑒別失敗的處理※※鑒別數(shù)據(jù)保護(hù)￥￥超時設(shè)置￥￥管理地址限制*會話鎖定興管理員管理標(biāo)識唯一性￥*管理員屬性定義**安全行為管理*興管理員角色興安全審計審計日志生成興興審計日志可理解性*※審計日志查閱￥%受限的審計日志查閱￥￥可選審計查閱**數(shù)據(jù)存儲告警*通信保密性興支撐系統(tǒng)安全**“*”表示具有該要求，“**”表示要求有所增強(qiáng)，“—”表示不適用。表3環(huán)境適應(yīng)性要求等級劃分表環(huán)境適應(yīng)性要求基本級增強(qiáng)級支持純IPv6網(wǎng)絡(luò)環(huán)境興興IPv6網(wǎng)絡(luò)環(huán)境下自身管理*￥雙協(xié)議棧**“*”表示具有該要求，“**”表示要求有所增強(qiáng)，“—”表示不適用。表4安全保障要求等級劃分表安全保障要求基本級增強(qiáng)級開發(fā)安全架構(gòu)￥×功能規(guī)范興實現(xiàn)表示￥產(chǎn)品設(shè)計*5表4安全保障要求等級劃分表(續(xù))安全保障要求基本級增強(qiáng)級指導(dǎo)性文檔操作用戶指南興興準(zhǔn)備程序*興生命周期支持配置管理能力興配置管理范圍興交付程序**開發(fā)安全興生命周期定義 興工具和技術(shù)*測試測試覆蓋※測試深度 一興功能測試*興獨立測試興興脆弱性評定興“*”表示具有該要求，“**”表示要求有所增強(qiáng)，“—”表示不適用。6.2基本級安全要求6.2.1安全功能要求信息獲取產(chǎn)品應(yīng)能掃描目標(biāo)設(shè)備的所有TCP端口，檢查其是否開啟。產(chǎn)品應(yīng)能掃描目標(biāo)設(shè)備的所有UDP端口，檢查其是否開啟。產(chǎn)品應(yīng)能判斷目標(biāo)設(shè)備開啟的TCP/UDP端口所對應(yīng)的通用服務(wù)或應(yīng)用協(xié)議。產(chǎn)品應(yīng)能獲取目標(biāo)設(shè)備已開啟的各項通用服務(wù)的旗標(biāo)。產(chǎn)品應(yīng)能對目標(biāo)設(shè)備是否在線進(jìn)行存活判斷。6產(chǎn)品應(yīng)能探測目標(biāo)主機(jī)操作系統(tǒng)的脆弱性，檢查項目包括：a)操作系統(tǒng)名稱、版本和補(bǔ)丁安裝情況；b)系統(tǒng)安全設(shè)置；c)其他相關(guān)檢查。產(chǎn)品應(yīng)能探測目標(biāo)主機(jī)所安裝數(shù)據(jù)庫的脆弱性，檢查項目包括：a)數(shù)據(jù)庫名稱、版本和補(bǔ)丁安裝情況；b)數(shù)據(jù)庫安全設(shè)置；c)其他相關(guān)檢查。產(chǎn)品應(yīng)能探測目標(biāo)主機(jī)中所安裝的各類應(yīng)用服務(wù)的脆弱性，檢查項目包括：a)各應(yīng)用服務(wù)名稱、版本；b)各應(yīng)用服務(wù)的安全設(shè)置；c)其他相關(guān)檢查。產(chǎn)品應(yīng)能探測不同網(wǎng)絡(luò)設(shè)備(包括但不限于交換機(jī)、路由器、防火墻等)的系統(tǒng)版本和特有的脆弱性。產(chǎn)品應(yīng)能探測目標(biāo)操作系統(tǒng)，以及不同應(yīng)用服務(wù)用戶口令的脆弱性，檢查項目包括：a)系統(tǒng)是否使用了用戶名稱經(jīng)過簡單變換后的口令；b)系統(tǒng)是否使用了易猜測口令。產(chǎn)品應(yīng)提供掃描結(jié)果瀏覽功能。產(chǎn)品應(yīng)能對發(fā)現(xiàn)的脆弱性提出修補(bǔ)建議，脆弱性修補(bǔ)建議滿足下列要求：a)對不同的操作系統(tǒng)類型提出針對性的脆弱性修補(bǔ)方法；b)脆弱性描述應(yīng)詳細(xì)，提供的脆弱性修補(bǔ)方法應(yīng)確保其合理性和可用性。產(chǎn)品應(yīng)能根據(jù)掃描結(jié)果生成相應(yīng)的報告，報告要求包括如下內(nèi)容：a)各脆弱點的CVE編號或者CNNVD編號、詳細(xì)信息、補(bǔ)救建議等；b)目標(biāo)的風(fēng)險等級評估，將掃描脆弱點按風(fēng)險嚴(yán)重程度分級，并明確標(biāo)出；7c)多個目標(biāo)掃描后的匯總結(jié)果；d)關(guān)鍵脆弱性掃描信息的摘要。報告應(yīng)能輸出為通用的文檔格式，包括但不限于PDF、DOC、HTML、WPS、OFD等。產(chǎn)品應(yīng)提供方便的定制策略的方法，可以指定掃描地址范圍、端口范圍、脆弱性類型等。產(chǎn)品應(yīng)能定制掃描計劃，可以定時啟動或者按周期執(zhí)行掃描任務(wù)。任務(wù)的執(zhí)行進(jìn)度。掃描對象的安全性.1對目標(biāo)系統(tǒng)所在網(wǎng)絡(luò)性能的影響掃描不應(yīng)影響目標(biāo)網(wǎng)絡(luò)的正常工作，能調(diào)整對網(wǎng)絡(luò)流量的占用大小或者占用較少網(wǎng)絡(luò)流量(不超過帶寬總量的10%)。掃描不應(yīng)影響目標(biāo)系統(tǒng)的正常工作，避免使用攻擊方法進(jìn)行測試。產(chǎn)品在對目標(biāo)設(shè)備進(jìn)行掃描時，所發(fā)出的掃描報文中應(yīng)有標(biāo)識其產(chǎn)品名稱或者產(chǎn)品生產(chǎn)單位的信息。產(chǎn)品應(yīng)能對掃描速度進(jìn)行調(diào)節(jié)。產(chǎn)品應(yīng)能支持不少于60個目標(biāo)設(shè)備IP的并發(fā)掃描。產(chǎn)品應(yīng)能對系統(tǒng)版本和脆弱性特征庫進(jìn)行更新，并滿足以下要求：a)產(chǎn)品體系結(jié)構(gòu)的設(shè)計應(yīng)有利于產(chǎn)品的升級，方便升級操作；b)支持手動或者自動升級操作。8產(chǎn)品應(yīng)在管理員執(zhí)行任何與安全功能相關(guān)的操作之前對管理員身份進(jìn)行鑒別。在采用基于口令的鑒別信息時，產(chǎn)品應(yīng)對管理員設(shè)置的口令進(jìn)行復(fù)雜度檢查，確保管理員口令滿足一定的復(fù)雜度要求；當(dāng)存在默認(rèn)口令時，系統(tǒng)應(yīng)提示管理員對默認(rèn)口令進(jìn)行修改，以減少用戶身份被冒用的風(fēng)險；產(chǎn)品應(yīng)提供鑒別信息定期更換功能，當(dāng)鑒別信息使用時間達(dá)到使用期限閾值前，應(yīng)提示管理員進(jìn)行修改。當(dāng)管理員鑒別嘗試失敗連續(xù)達(dá)到指定次數(shù)后，產(chǎn)品應(yīng)阻止管理員進(jìn)一步的鑒別請求，并將有關(guān)信息生成審計事件。最多失敗次數(shù)僅由授權(quán)管理員設(shè)定。產(chǎn)品應(yīng)保護(hù)鑒別數(shù)據(jù)不被未授權(quán)查閱和修改。產(chǎn)品應(yīng)具有管理員登錄超時重新鑒別功能。在設(shè)定的時間段內(nèi)沒有任何操作的情況下，鎖定或終止會話，需要再次進(jìn)行身份鑒別才能夠重新使用產(chǎn)品，最大超時時間僅由授權(quán)管理員設(shè)定。產(chǎn)品應(yīng)保證所設(shè)置的管理員標(biāo)識全局唯一。產(chǎn)品應(yīng)為每一個管理員保存安全屬性表，屬性應(yīng)包拈：管理員標(biāo)識、鑒別數(shù)據(jù)、授權(quán)信息或管理組信產(chǎn)品應(yīng)僅允許授權(quán)管理員對產(chǎn)品進(jìn)行功能設(shè)置、參數(shù)修改、安全策略變更，以及啟用/停用等操作。產(chǎn)品應(yīng)生成以下事件的審計日志：a)管理員的登錄成功和失??；b)對掃描策略進(jìn)行設(shè)置、修改、啟用/停用等操作；9c)對管理員或者角色進(jìn)行增加、刪除和屬性修改的操作。產(chǎn)品應(yīng)在每一個審計日志記錄中記錄事件發(fā)生的日期、時間、用戶標(biāo)識、事件描述和結(jié)果。若采用遠(yuǎn)程登錄方式還應(yīng)記錄管理主機(jī)的IP地址。審計數(shù)據(jù)的記錄方式應(yīng)便于管理員理解，以便對審計日志進(jìn)行分析。產(chǎn)品應(yīng)為授權(quán)管理員提供審計日志查閱功能，方便管理員查看審計結(jié)果。除了具有明確的訪問權(quán)限的授權(quán)管理員之外，產(chǎn)品應(yīng)禁止所有其他用戶對審計日志的訪問。應(yīng)支持按照一定條件對審計日志進(jìn)行檢索或排序。產(chǎn)品的支撐系統(tǒng)應(yīng)：a)進(jìn)行必要的裁剪，不提供多余的組件或網(wǎng)絡(luò)服務(wù)；b)重啟過程中，掃描任務(wù)配置和日志信息不丟失；6.2.3環(huán)境適應(yīng)性要求(有則適用)產(chǎn)品應(yīng)支持純IPv6網(wǎng)絡(luò)環(huán)境，能夠在純IPv6網(wǎng)絡(luò)環(huán)境下正常工作，實現(xiàn)對目標(biāo)設(shè)備的掃描。產(chǎn)品應(yīng)支持在IPv6網(wǎng)絡(luò)環(huán)境下的自身管理，實現(xiàn)對產(chǎn)品的管理操作。產(chǎn)品應(yīng)支持IPv4/IPv6雙棧網(wǎng)絡(luò)環(huán)境，能夠在IPv4/IPv6雙棧網(wǎng)絡(luò)環(huán)境下正常工作，實現(xiàn)對目標(biāo)設(shè)備的掃描。6.2.4安全保障要求開發(fā)者應(yīng)提供產(chǎn)品安全功能和自身安全保護(hù)的安全架構(gòu)描述，安全架構(gòu)描述應(yīng)滿足以下要求：a)與產(chǎn)品設(shè)計文檔中對安全功能和自身安全保護(hù)實施抽象描述的級別一致；b)描述與安全功能和自身安全保護(hù)要求一致的產(chǎn)品安全功能和自身安全保護(hù)的安全域；c)描述產(chǎn)品安全功能和自身安全保護(hù)初始化過程為何是安全的；d)證實產(chǎn)品安全功能和自身安全保護(hù)能夠防止被破壞；e)證實產(chǎn)品安全功能和自身安全保護(hù)能夠防止安全特性被旁路。開發(fā)者應(yīng)提供完備的功能規(guī)范說明，功能規(guī)范說明應(yīng)滿足以下要求：a)完全描述產(chǎn)品的安全功能和自身安全保護(hù)；b)描述所有安全功能和自身安全保護(hù)接口的目的與使用方法；c)標(biāo)識和描述每個安全功能和自身安全保護(hù)接口相關(guān)的所有參數(shù)；d)描述安全功能和自身安全保護(hù)接口相關(guān)的安全功能和自身安全保護(hù)實施行為；e)描述由安全功能和自身安全保護(hù)實施行為處理而引起的直接錯誤消息；f)證實安全功能和自身安全保護(hù)要求到安全功能和自身安全保護(hù)接口的追溯。開發(fā)者應(yīng)提供產(chǎn)品設(shè)計文檔，產(chǎn)品設(shè)計文檔應(yīng)滿足以下要求：a)根據(jù)子系統(tǒng)描述產(chǎn)品結(jié)構(gòu)；b)標(biāo)識和描述產(chǎn)品安全功能和自身安全保護(hù)的所有子系統(tǒng)；c)描述安全功能和自身安全保護(hù)所有子系統(tǒng)間的相互作用；d)提供的映射關(guān)系能夠證實設(shè)計中描述的所有行為能夠映射到調(diào)用它的安全功能和自身安全保護(hù)接口。開發(fā)者應(yīng)提供明確和合理的操作用戶指南，操作用戶指南與為評估而提供的其他所有文檔保持一致，對每一種用戶角色的描述應(yīng)滿足以下要求：a)描述在安全處理環(huán)境中被控制的用戶可訪問的功能和特權(quán)，包含適當(dāng)?shù)木拘畔?；b)描述如何以安全的方式使用產(chǎn)品提供的可用接口；c)描述可用功能和接口，尤其是受用戶控制的所有安全參數(shù)；d)明確說明與需要執(zhí)行的用戶可訪問功能有關(guān)的每一種安全相關(guān)事件，包括改變安全功能和自身安全保護(hù)所控制實體的安全特性；e)標(biāo)識產(chǎn)品運行的所有可能狀態(tài)(包括操作導(dǎo)致的失敗或者操作性錯誤),以及它們與維持安全運行之間的因果關(guān)系和聯(lián)系；f)充分實現(xiàn)安全目的所執(zhí)行的安全策略。開發(fā)者應(yīng)提供產(chǎn)品及其準(zhǔn)備程序，準(zhǔn)備程序描述應(yīng)滿足以下要求：a)描述與開發(fā)者交付程序相一致的安全接收所交付產(chǎn)品必需的所有步驟；b)描述安全安裝產(chǎn)品及其運行環(huán)境必需的所有步驟。開發(fā)者的配置管理能力應(yīng)滿足以下要求：a)為產(chǎn)品的不同版本提供唯一的標(biāo)識；b)使用配置管理系統(tǒng)對組成產(chǎn)品的所有配置項進(jìn)行維護(hù)，并唯一標(biāo)識配置項；c)提供配置管理文檔，配置管理文檔描述用于唯一標(biāo)識配置項的方法。.2配置管理范圍開發(fā)者應(yīng)提供產(chǎn)品配置項列表，并說明配置項的開發(fā)者。配置項列表至少包含產(chǎn)品、安全保障要求的評估證據(jù)和產(chǎn)品的組成部分。開發(fā)者應(yīng)使用一定的交付程序交付產(chǎn)品，并將交付過程文檔化。在給用戶方交付產(chǎn)品的各版本時，交付文檔應(yīng)描述為維護(hù)安全所必需的所有程序。開發(fā)者應(yīng)提供測試覆蓋文檔，測試覆蓋描述應(yīng)表明測試文檔中所標(biāo)識的測試與功能規(guī)范中所描述的產(chǎn)品的安全功能和自身安全保護(hù)間的對應(yīng)性。開發(fā)者應(yīng)測試產(chǎn)品安全功能和自身安全保護(hù)，將結(jié)果文檔化并提供測試文檔。測試文檔應(yīng)包括以下內(nèi)容：a)測試計劃，標(biāo)識要執(zhí)行的測試，并描述執(zhí)行每個測試的方案，這些方案包括對于其他測試結(jié)果的任何順序依賴性；b)預(yù)期的測試結(jié)果，表明測試成功后的預(yù)期輸出；c)實際測試結(jié)果和預(yù)期的測試結(jié)果的對比。開發(fā)者應(yīng)提供一組與其自測安全功能和自身安全保護(hù)時使用的同等資源，以用于安全功能和自身安全保護(hù)的抽樣測試。脆弱性評定基于已標(biāo)識的潛在脆弱性，產(chǎn)品應(yīng)能抵抗具有基本攻擊潛力的攻擊者的攻擊。6.3增強(qiáng)級安全要求6.3.1安全功能要求信息獲取產(chǎn)品應(yīng)能掃描目標(biāo)設(shè)備的所有TCP端口，檢查其是否開啟。產(chǎn)品應(yīng)能掃描目標(biāo)設(shè)備的所有UDP端口，檢查其是否開啟。產(chǎn)品應(yīng)能判斷目標(biāo)設(shè)備開啟的TCP/UDP端口所對應(yīng)的通用服務(wù)或應(yīng)用協(xié)議，并能探測在非標(biāo)準(zhǔn)端口上使用的通用服務(wù)或應(yīng)用協(xié)議。產(chǎn)品應(yīng)能獲取目標(biāo)設(shè)備已開啟的各項通用服務(wù)的旗標(biāo)。產(chǎn)品應(yīng)能對目標(biāo)設(shè)備是否在線進(jìn)行存活判斷。產(chǎn)品應(yīng)能對目標(biāo)設(shè)備的其他信息進(jìn)行探測，包括但不限于網(wǎng)絡(luò)設(shè)備類型識別、嵌入式設(shè)備類型識別、智能終端類型識別、虛擬化組件類型識別、安全防護(hù)設(shè)備識別等。產(chǎn)品應(yīng)能探測目標(biāo)主機(jī)操作系統(tǒng)的脆弱性，檢查項目包括：a)操作系統(tǒng)名稱、版本和補(bǔ)丁安裝情況；b)系統(tǒng)安全設(shè)置；c)其他相關(guān)檢查。產(chǎn)品應(yīng)能探測目標(biāo)主機(jī)所安裝數(shù)據(jù)庫的脆弱性，檢查項目包括：a)數(shù)據(jù)庫名稱、版本和補(bǔ)丁安裝情況；b)數(shù)據(jù)庫安全設(shè)置；c)其他相關(guān)檢查。產(chǎn)品應(yīng)能探測目標(biāo)主機(jī)中所安裝的各類應(yīng)用服務(wù)的脆弱性，檢查項目包括：a)各應(yīng)用服務(wù)名稱、版本；b)各應(yīng)用服務(wù)的安全設(shè)置；c)其他相關(guān)檢查。產(chǎn)品應(yīng)能探測不同網(wǎng)絡(luò)設(shè)備(包括但不限于交換機(jī)、路由器、防火墻等)的系統(tǒng)版本和特有的脆弱性。產(chǎn)品應(yīng)能探測目標(biāo)操作系統(tǒng)，以及不同應(yīng)用服務(wù)用戶口令的脆弱性，檢查項目包括：a)系統(tǒng)是否使用了用戶名稱經(jīng)過簡單變換后的口令；b)系統(tǒng)是否使用了易猜測口令。產(chǎn)品應(yīng)能支持對云環(huán)境下的對象進(jìn)行探測掃描，檢查對象包括OpenStack、KVM、VMWare等，可發(fā)現(xiàn)其存在的脆弱性。.7工控設(shè)備脆弱性(有則適用)產(chǎn)品應(yīng)能支持對工控環(huán)境下的設(shè)備進(jìn)行探測掃描，檢查項目包括：a)對工業(yè)控制設(shè)備的識別和端口掃描；b)對工業(yè)控制設(shè)備通信協(xié)議的檢測，如Modbus/TCP、S7Comm、DNP3.0、Ethernet/IP等；c)對工業(yè)控制設(shè)備的脆弱性檢測。產(chǎn)品應(yīng)提供掃描結(jié)果瀏覽功能。產(chǎn)品能對發(fā)現(xiàn)的脆弱性提出修補(bǔ)建議，脆弱性修補(bǔ)建議滿足下列要求：a)對不同的操作系統(tǒng)類型提出針對性的脆弱性修補(bǔ)方法；b)脆弱性描述應(yīng)詳細(xì)，提供的脆弱性修補(bǔ)方法應(yīng)確保其合理性和可用性。產(chǎn)品應(yīng)能根據(jù)掃描結(jié)果生成相應(yīng)的報告，報告要求包括如下內(nèi)容：a)各脆弱點的CVE編號或者CNNVD編號、詳細(xì)信息、補(bǔ)救建議等；b)目標(biāo)的風(fēng)險等級評估，將掃描脆弱點按風(fēng)險嚴(yán)重程度分級，并明確標(biāo)出；c)多個目標(biāo)掃描后的匯總結(jié)果；d)關(guān)鍵脆弱性掃描信息的摘要。報告應(yīng)能輸出為通用的文檔格式，包括但不限于PDF、DOC、HTML、WPS、OFD等。可對掃描結(jié)果數(shù)據(jù)執(zhí)行導(dǎo)入導(dǎo)出操作。報告內(nèi)容應(yīng)能根據(jù)用戶要求進(jìn)行定制生成。產(chǎn)品應(yīng)提供對同一目標(biāo)多次掃描結(jié)果或者不同主機(jī)間掃描結(jié)果的比對功能，并能根據(jù)比對結(jié)果生成比對報告。產(chǎn)品能夠設(shè)置定制化任務(wù)，在掃描完成后能夠根據(jù)需要將掃描結(jié)果或者報告自動發(fā)送至指定位置，包括但不限于郵箱或FTP服務(wù)器等。產(chǎn)品應(yīng)提供方便的定制策略的方法，可以指定掃描地址范圍、端口范圍、脆弱性類型等。產(chǎn)品應(yīng)能定制掃描計劃，可以定時啟動或者按周期執(zhí)行掃描任務(wù)。任務(wù)的執(zhí)行進(jìn)度。產(chǎn)品應(yīng)能使用目標(biāo)系統(tǒng)的已知賬號/口令對其進(jìn)行更有效的掃描。.1對目標(biāo)系統(tǒng)所在網(wǎng)絡(luò)性能的影響掃描不應(yīng)影響目標(biāo)網(wǎng)絡(luò)的正常工作，能調(diào)整對網(wǎng)絡(luò)流量的占用大小或者占用較少網(wǎng)絡(luò)流量(不超過帶寬總量的10%)。掃描不應(yīng)影響目標(biāo)系統(tǒng)的正常工作，避免使用攻擊方法進(jìn)行測試。產(chǎn)品在對目標(biāo)設(shè)備進(jìn)行掃描時，所發(fā)出的掃描報文中應(yīng)有標(biāo)識其產(chǎn)品名稱或者產(chǎn)品生產(chǎn)單位的信息。產(chǎn)品應(yīng)能對掃描速度進(jìn)行調(diào)節(jié)。產(chǎn)品應(yīng)能支持不少于60個目標(biāo)設(shè)備的并發(fā)掃描。產(chǎn)品應(yīng)能對系統(tǒng)版本和脆弱性特征庫進(jìn)行更新，并滿足以下要求。a)產(chǎn)品體系結(jié)構(gòu)的設(shè)計應(yīng)有利于產(chǎn)品的升級，方便升級操作。b)支持手動或者自動升級操作。c)具備升級安全措施，以防止得到錯誤的或偽造的產(chǎn)品升級包。包括但不限于采取身份驗證、數(shù)字簽名以及數(shù)據(jù)傳輸加密等手段。產(chǎn)品在執(zhí)行掃描任務(wù)過程中，若遇到異常斷電、斷網(wǎng)等情況，在環(huán)境恢復(fù)正常后，可選擇恢復(fù)繼續(xù)執(zhí)行掃描任務(wù)。0互動性要求產(chǎn)品應(yīng)具備或至少采用一個標(biāo)準(zhǔn)的、開放的接口。遵循該接口規(guī)范，可為其他類型安全產(chǎn)品編寫相應(yīng)的程序模塊，達(dá)到與網(wǎng)絡(luò)脆弱性掃描產(chǎn)品進(jìn)行互動的目的。6.3.2自身安全保護(hù)要求身份鑒別產(chǎn)品應(yīng)在管理員執(zhí)行任何與安全功能相關(guān)的操作之前對管理員身份進(jìn)行鑒別。在采用基于口令的鑒別信息時，產(chǎn)品應(yīng)對管理員設(shè)置的口令進(jìn)行復(fù)雜度檢查，確保管理員口令滿足一定的復(fù)雜度要求；當(dāng)存在默認(rèn)口令時，系統(tǒng)應(yīng)提示管理員對默認(rèn)口令進(jìn)行修改，以減少用戶身份被冒用的風(fēng)險；產(chǎn)品應(yīng)提供鑒別信息定期更換功能，當(dāng)鑒別信息使用時間達(dá)到使用期限閾值前，應(yīng)提示管理員進(jìn)行修改。.3鑒別失敗的處理當(dāng)管理員鑒別嘗試失敗連續(xù)達(dá)到指定次數(shù)后，產(chǎn)品應(yīng)阻止管理員進(jìn)一步的鑒別請求，并將有關(guān)信息生成審計事件。最多失敗次數(shù)僅由授權(quán)管理員設(shè)定。產(chǎn)品應(yīng)保護(hù)鑒別數(shù)據(jù)不被未授權(quán)查閱和修改。產(chǎn)品應(yīng)具有管理員登錄超時重新鑒別功能。在設(shè)定的時間段內(nèi)沒有任何操作的情況下，鎖定或終止會話，需要再次進(jìn)行身份鑒別才能夠重新使用產(chǎn)品，最大超時時間僅由授權(quán)管理員設(shè)定。產(chǎn)品應(yīng)對管理員登錄的地址進(jìn)行限制。產(chǎn)品應(yīng)允許管理員鎖定當(dāng)前的交互會話，鎖定后需要再次進(jìn)行身份鑒別才能夠重新管理產(chǎn)品。管理員管理產(chǎn)品應(yīng)保證所設(shè)置的管理員標(biāo)識全局唯一。.2管理員屬性定義產(chǎn)品應(yīng)為每一個管理員保存安全屬性表，屬性應(yīng)包括：管理員標(biāo)識、鑒別數(shù)據(jù)、授權(quán)信息或管理組信息、其他安全屬性等。產(chǎn)品應(yīng)僅允許授權(quán)管理員對產(chǎn)品進(jìn)行功能設(shè)置、參數(shù)修改、安全策略變更，以及啟用/停用等操作。產(chǎn)品應(yīng)能設(shè)置多個不同權(quán)限的角色，并應(yīng)保證每一個角色標(biāo)識是全局唯一的。產(chǎn)品應(yīng)生成以下事件的審計日志：a)管理員的登錄成功和失?。籦)對掃描策略進(jìn)行設(shè)置、修改、啟用/停用等操作；c)對管理員或者角色進(jìn)行增加、刪除和屬性修改的操作。產(chǎn)品應(yīng)在每一個審計日志記錄中記錄事件發(fā)生的日期、時間、用戶標(biāo)識、事件描述和結(jié)果。若采用遠(yuǎn)程登錄方式還應(yīng)記錄管理主機(jī)的IP地址。審計數(shù)據(jù)的記錄方式應(yīng)便于管理員理解，以便對審計日志進(jìn)行分析。產(chǎn)品應(yīng)為授權(quán)管理員提供審計日志查閱功能，方便管理員查看審計結(jié)果。除了具有明確的訪問權(quán)限的授權(quán)管理員之外，產(chǎn)品應(yīng)禁止所有其他用戶對審計日志的訪問。應(yīng)支持按照一定條件對審計日志進(jìn)行檢索或排序。產(chǎn)品應(yīng)在數(shù)據(jù)存儲空間將耗盡等情況時，自動產(chǎn)生告警，產(chǎn)生告警的剩余存儲空間大小應(yīng)由管理員自主設(shè)定。產(chǎn)品若分為多個組件或者通過遠(yuǎn)程方式進(jìn)行管理，應(yīng)確保遠(yuǎn)程傳輸數(shù)據(jù)的保密性。產(chǎn)品的支撐系統(tǒng)應(yīng)：a)進(jìn)行必要的裁剪，不提供多余的組件或網(wǎng)絡(luò)服務(wù)；b)重啟過程中，掃描任務(wù)配置和日志信息不丟失；6.3.3環(huán)境適應(yīng)性要求(有則適用)產(chǎn)品應(yīng)支持純IPv6網(wǎng)絡(luò)環(huán)境，能夠在純IPv6網(wǎng)絡(luò)環(huán)境下正常工作，實現(xiàn)對目標(biāo)設(shè)備的掃描。產(chǎn)品應(yīng)支持在IPv6網(wǎng)絡(luò)環(huán)境下的自身管理，實現(xiàn)對產(chǎn)品的管理操作。產(chǎn)品應(yīng)支持IPv4/IPv6雙棧網(wǎng)絡(luò)環(huán)境，能夠在IPv4/IPv6雙棧網(wǎng)絡(luò)環(huán)境下正常工作，實現(xiàn)對目標(biāo)設(shè)備的掃描。6.3.4安全保障要求開發(fā)者應(yīng)提供產(chǎn)品安全功能和自身安全保護(hù)的安全架構(gòu)描述，安全架構(gòu)描述應(yīng)滿足以下要求：a)與產(chǎn)品設(shè)計文檔中對安全功能和自身安全保護(hù)實施抽象描述的級別一致；b)描述與安全功能和自身安全保護(hù)要求一致的產(chǎn)品安全功能和自身安全保護(hù)的安全域；c)描述產(chǎn)品安全功能和自身安全保護(hù)初始化過程為何是安全的；d)證實產(chǎn)品安全功能和自身安全保護(hù)能夠防止被破壞；e)證實產(chǎn)品安全功能和自身安全保護(hù)能夠防止安全特性被旁路。開發(fā)者應(yīng)提供完備的功能規(guī)范說明，功能規(guī)范說明應(yīng)滿足以下要求：a)完全描述產(chǎn)品的安全功能和自身安全保護(hù)；b)描述所有安全功能和自身安全保護(hù)接口的目的與使用方法；c)標(biāo)識和描述每個安全功能和自身安全保護(hù)接口相關(guān)的所有參數(shù)；d)描述安全功能和自身安全保護(hù)接口相關(guān)的安全功能和自身安全保護(hù)實施行為；e)描述由安全功能和自身安全保護(hù)實施行為處理而引起的直接錯誤消息；f)證實安全功能和自身安全保護(hù)要求到安全功能和自身安全保護(hù)接口的追溯；g)描述安全功能和自身安全保護(hù)實施過程中，與安全功能和自身安全保護(hù)接口相關(guān)的所有行為；h)描述可能由安全功能和自身安全保護(hù)接口的調(diào)用而引起的所有直接錯誤消息。開發(fā)者應(yīng)提供全部安全功能和自身安全保護(hù)的實現(xiàn)表示，實現(xiàn)表示應(yīng)滿足以下要求：a)提供產(chǎn)品設(shè)計描述與實現(xiàn)表示實例之間的映射，并證明其一致性；b)按詳細(xì)級別定義產(chǎn)品安全功能和自身安全保護(hù)，詳細(xì)程度達(dá)到無須進(jìn)一步設(shè)計就能生成安全功能和自身安全保護(hù)的程度；c)以開發(fā)人員使用的形式提供。開發(fā)者應(yīng)提供產(chǎn)品設(shè)計文檔，產(chǎn)品設(shè)計文檔應(yīng)滿足以下要求：a)根據(jù)子系統(tǒng)描述產(chǎn)品結(jié)構(gòu)；b)標(biāo)識和描述產(chǎn)品安全功能和自身安全保護(hù)的所有子系統(tǒng)；c)描述安全功能和自身安全保護(hù)所有子系統(tǒng)間的相互作用；d)提供的映射關(guān)系能夠證實設(shè)計中描述的所有行為能夠映射到調(diào)用它的安全功能和自身安全保護(hù)接口；e)根據(jù)模塊描述安全功能和自身安全保護(hù)；f)提供安全功能和自身安全保護(hù)子系統(tǒng)到模塊間的映射關(guān)系；g)描述所有安全功能和自身安全保護(hù)實現(xiàn)模塊，包括其目的及與其他模塊間的相互作用；h)描述所有實現(xiàn)模塊的安全功能和自身安全保護(hù)要求相關(guān)接口、其他接口的返回值、與其他模塊間的相互作用及調(diào)用的接口；i)描述所有安全功能和自身安全保護(hù)的支撐或相關(guān)模塊，包括其目的及與其他模塊間的相互作用。指導(dǎo)性文檔.1操作用戶指南開發(fā)者應(yīng)提供明確和合理的操作用戶指南，操作用戶指南與為評估而提供的其他所有文檔保持一致，對每一種用戶角色的描述應(yīng)滿足以下要求：a)描述在安全處理環(huán)境中被控制的用戶可訪問的功能和特權(quán)，包含適當(dāng)?shù)木拘畔?；b)描述如何以安全的方式使用產(chǎn)品提供的可用接口；c)描述可用功能和接口，尤其是受用戶控制的所有安全參數(shù)；d)明確說明與需要執(zhí)行的用戶可訪問功能有關(guān)的每一種安全相關(guān)事件，包括改變安全功能和自身安全保護(hù)所控制實體的安全特性；e)標(biāo)識產(chǎn)品運行的所有可能狀態(tài)(包括操作導(dǎo)致的失敗或者操作性錯誤),以及它們與維持安全運行之間的因果關(guān)系和聯(lián)系；f)充分實現(xiàn)安全目的所執(zhí)行的安全策略。開發(fā)者應(yīng)提供產(chǎn)品及其準(zhǔn)備程序，準(zhǔn)備程序描述應(yīng)滿足以下要求：a)描述與開發(fā)者交付程序相一致的安全接收所交付產(chǎn)品必需的所有步驟；b)描述安全安裝產(chǎn)品及其運行環(huán)境必需的所有步驟。生命周期支持.1配置管理能力開發(fā)者的配置管理能力應(yīng)滿足以下要求：a)為產(chǎn)品的不同版本提供唯一的標(biāo)識；b)使用配置管理系統(tǒng)對組成產(chǎn)品的所有配置項進(jìn)行維護(hù)，并唯一標(biāo)識配置項；c)提供配置管理文檔，配置管理文檔描述用于唯一標(biāo)識配置項的方法；d)配置管理系統(tǒng)提供一種自動方式來支持產(chǎn)品的生成，通過該方式確保只能對產(chǎn)品的實現(xiàn)表示進(jìn)行已授權(quán)的改變；e)配置管理文檔包括一個配置管理計劃，配置管理計劃描述如何使用配置管理系統(tǒng)開發(fā)產(chǎn)品。實施的配置管理與配置管理計劃相一致；f)配置管理計劃描述用來接受修改過的或新建的作為產(chǎn)品組成部分的配置項的程序。.2配置管理范圍開發(fā)者應(yīng)提供產(chǎn)品配置項列表，并說明配置項的開發(fā)者。配置項列表應(yīng)包含以下內(nèi)容：a)產(chǎn)品、安全保障要求的評估證據(jù)和產(chǎn)品的組成部分；b)實現(xiàn)表示、安全缺陷報告及其解決狀態(tài)。開發(fā)者應(yīng)使用一定的交付程序交付產(chǎn)品，并將交付過程文檔化。在給用戶方交付產(chǎn)品的各版本時，交付文檔應(yīng)描述為維護(hù)安全所必需的所有程序。開發(fā)者應(yīng)提供開發(fā)安全文檔。開發(fā)安全文檔應(yīng)描述在產(chǎn)品的開發(fā)環(huán)境中，為保護(hù)產(chǎn)品設(shè)計和實現(xiàn)的保密性和完整性所必需的所有物理的、程序的、人員的和其他方面的安全措施。開發(fā)者應(yīng)建立一個生命周期模型對產(chǎn)品的開發(fā)和維護(hù)進(jìn)行的必要控制，并提供生命周期定義文檔描述用于開發(fā)和維護(hù)產(chǎn)品的模型。開發(fā)者應(yīng)明確定義用于開發(fā)產(chǎn)品的工具，并提供開發(fā)工具文檔無歧義地定義實現(xiàn)中每個語句的含義和所有依賴于實現(xiàn)的選項的含義。開發(fā)者應(yīng)提供測試覆蓋文檔，測試覆蓋描述應(yīng)滿足以下要求：a)表明測試文檔中所標(biāo)識的測試與功能規(guī)范中所描述的產(chǎn)品的安全功能和自身安全保護(hù)間的對應(yīng)性；b)表明上述對應(yīng)性是完備的，并證實功能規(guī)范中的所有安全功能和自身安全保護(hù)接口都進(jìn)行了測試。開發(fā)者應(yīng)提供測試深度的分析。測試深度分析描述應(yīng)滿足以下要求：a)證實測試文檔中的測試與產(chǎn)品設(shè)計中的安全功能和自身安全保護(hù)子系統(tǒng)和實現(xiàn)模塊之間的一致性；b)證實產(chǎn)品設(shè)計中的所有安全功能和自身安全保護(hù)子系統(tǒng)、實現(xiàn)模塊都已經(jīng)進(jìn)行過測試。開發(fā)者應(yīng)測試產(chǎn)品安全功能和自身安全保護(hù)，將結(jié)果文檔化并提供測試文檔。測試文檔應(yīng)包括以下內(nèi)容：a)測試計劃，標(biāo)識要執(zhí)行的測試，并描述執(zhí)行每個測試的方案，這些方案包括對于其他測試結(jié)果的任何順序依賴性；b)預(yù)期的測試結(jié)果，表明測試成功后的預(yù)期輸出；c)實際測試結(jié)果和預(yù)期的測試結(jié)果的對比。開發(fā)者應(yīng)提供一組與其自測安全功能和自身安全保護(hù)時使用的同等資源，以用于安全功能和自身安全保護(hù)的抽樣測試?；谝褬?biāo)識的潛在脆弱性，產(chǎn)品應(yīng)能抵抗具有中等攻擊潛力的攻擊者的攻擊。7測試評價方法7.1測試環(huán)境網(wǎng)絡(luò)脆弱性掃描產(chǎn)品安全功能測試的典型網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖1所示。網(wǎng)絡(luò)協(xié)議分析工具被測網(wǎng)絡(luò)脆弱性掃描設(shè)備路山器交換機(jī)產(chǎn)品管理客戶端測試日標(biāo)靶機(jī)1測試日標(biāo)靶機(jī)2圖1網(wǎng)絡(luò)脆弱性掃描產(chǎn)品功能測試典型網(wǎng)絡(luò)拓?fù)鋱D測試設(shè)備包括測試所需的交換機(jī)/路由器、模擬靶機(jī)、網(wǎng)絡(luò)協(xié)議分析儀，以及網(wǎng)絡(luò)脆弱性掃描產(chǎn)品控制臺等。其中，模擬靶機(jī)可以為多臺安裝不同操作系統(tǒng)和應(yīng)用軟件的實體機(jī)或者虛擬機(jī)。7.2測試工具可用的測試工具包括但不限于：截取網(wǎng)絡(luò)背景流量的專用網(wǎng)絡(luò)協(xié)議分析儀，存在各類預(yù)置好脆弱性問題的靶機(jī)。只要有利于科學(xué)、公正、可重復(fù)地得到脆弱性掃描產(chǎn)品的測試結(jié)果，可采取多種測試工具和測試方法對產(chǎn)品進(jìn)行測試。7.3基本級測試評價方法7.3.1安全功能要求測試對TCP端口的測試評價方法如下所示。a)測試方法：1)使用虛擬機(jī)模擬或者真實設(shè)備作為掃描對象，在目標(biāo)系統(tǒng)上開放已知TCP端口；2)根據(jù)產(chǎn)品說明書設(shè)置掃描策略，使用產(chǎn)品對目標(biāo)系統(tǒng)進(jìn)行掃描；3)檢查掃描所發(fā)現(xiàn)的TCP端口是否與已知開放的端口一致。b)預(yù)期結(jié)果：產(chǎn)品能夠識別開啟的TCP端口。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。對UDP端口的測試評價方法如下所示。a)測試方法：1)使用虛擬機(jī)模擬或者真實設(shè)備作為掃描對象，在目標(biāo)系統(tǒng)上開放已知UDP端口；2)根據(jù)產(chǎn)品說明書設(shè)置掃描策略，使用產(chǎn)品對目標(biāo)系統(tǒng)進(jìn)行掃描；3)檢查掃描所發(fā)現(xiàn)的UDP端口是否與已知開放的端口一致。b)預(yù)期結(jié)果：產(chǎn)品能夠識別開啟的UDP端口。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。對端口協(xié)議分析的測試評價方法如下所示。a)測試方法：1)使用虛擬機(jī)模擬或者真實設(shè)備作為掃描對象，在目標(biāo)系統(tǒng)上開放已知TCP/UDP端口；2)根據(jù)產(chǎn)品說明書設(shè)置掃描策略，使用產(chǎn)品對目標(biāo)系統(tǒng)進(jìn)行掃描；3)檢查掃描所發(fā)現(xiàn)的TCP/UDP端口所對應(yīng)的通用服務(wù)或者應(yīng)用協(xié)議是否正確。b)預(yù)期結(jié)果：產(chǎn)品能夠識別開啟的TCP/UDP端口所對應(yīng)的服務(wù)或者應(yīng)用層協(xié)議。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。對服務(wù)旗標(biāo)的測試評價方法如下所示。a)測試方法：1)使用虛擬機(jī)模擬或者真實設(shè)備作為掃描對象；2)根據(jù)產(chǎn)品說明書設(shè)置掃描策略，使用產(chǎn)品對目標(biāo)系統(tǒng)進(jìn)行掃描；3)檢查掃描是否可以獲取目標(biāo)系統(tǒng)中的各項服務(wù)旗標(biāo)，并檢查其是否正確。b)預(yù)期結(jié)果；產(chǎn)品能夠通過掃描獲取目標(biāo)系統(tǒng)各項已開啟常用服務(wù)的旗標(biāo)。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。對存活判斷的測試評價方法如下所示。a)測試方法：1)使用虛擬機(jī)模擬或者真實設(shè)備作為檢查對象；2)根據(jù)產(chǎn)品說明書進(jìn)行操作，檢查目標(biāo)對象是否存活；3)檢查是否可以根據(jù)實際情況判斷目標(biāo)主機(jī)屬于存活或者離線。b)預(yù)期結(jié)果：產(chǎn)品能夠通過探測判斷目標(biāo)主機(jī)屬于存活或者離線狀態(tài)。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。脆弱性掃描內(nèi)容對操作系統(tǒng)脆弱性的測試評價方法如下所示。a)測試方法：1)使用虛擬機(jī)或者真實主機(jī)作為掃描對象，操作系統(tǒng)中預(yù)置部分脆弱性；2)根據(jù)產(chǎn)品說明書設(shè)置掃描策略，使用產(chǎn)品對目標(biāo)系統(tǒng)進(jìn)行掃描；3)檢查掃描結(jié)果中是否包括有關(guān)操作系統(tǒng)名稱、版本和補(bǔ)丁安裝情況，以及其他相關(guān)設(shè)置脆弱性信息。b)預(yù)期結(jié)果：產(chǎn)品能探測出目標(biāo)操作系統(tǒng)特有的脆弱性，包括操作系統(tǒng)名稱、版本和補(bǔ)丁安裝情況，以及其他相關(guān)脆弱性信息。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。對數(shù)據(jù)庫脆弱性的測試評價方法如下所示。a)測試方法：1)使用在虛擬機(jī)或者真實主機(jī)中安裝的不同數(shù)據(jù)庫作為掃描對象，目標(biāo)數(shù)據(jù)庫中預(yù)置部分脆弱性；2)根據(jù)產(chǎn)品說明書設(shè)置掃描策略，使用產(chǎn)品對目標(biāo)數(shù)據(jù)庫進(jìn)行掃描；3)檢查掃描結(jié)果中是否包括有關(guān)數(shù)據(jù)庫名稱、版本和補(bǔ)丁安裝情況，以及其他方面的相關(guān)脆弱性信息。b)預(yù)期結(jié)果：產(chǎn)品能夠探測出目標(biāo)數(shù)據(jù)庫的名稱、版本和補(bǔ)丁安裝情況，以及其他方面的相關(guān)脆弱性信息。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。對應(yīng)用服務(wù)脆弱性的測試評價方法如下所示。a)測試方法：1)在虛擬機(jī)或者真實主機(jī)上開啟或者安裝FTP、郵件、RPC、Web等應(yīng)用服務(wù)，分別預(yù)置部分脆弱性，作為掃描對象進(jìn)行掃描；2)根據(jù)產(chǎn)品說明書設(shè)置掃描策略，使用產(chǎn)品對目標(biāo)系統(tǒng)進(jìn)行掃描；3)檢查掃描結(jié)果中是否包括有關(guān)不同應(yīng)用服務(wù)程序的名稱、版本號、服務(wù)程序本身的脆弱性、以及其他方面的安全脆弱性信息。b)預(yù)期結(jié)果：產(chǎn)品能夠探測出目標(biāo)主機(jī)中所開放的各類應(yīng)用服務(wù)的名稱、版本號、服務(wù)程序本身的脆弱性，以及其他方面的安全脆弱性信息。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。對網(wǎng)絡(luò)設(shè)備脆弱性的測試評價方法如下所示。a)測試方法：1)使用路由器、交換機(jī)或者防火墻設(shè)備作為掃描對象；2)根據(jù)產(chǎn)品說明書設(shè)置掃描策略，使用產(chǎn)品對目標(biāo)設(shè)備進(jìn)行掃描；3)檢查掃描結(jié)果中是否包括有關(guān)路由器、交換機(jī)、防火墻的系統(tǒng)版本及其開啟相關(guān)服務(wù)的脆弱性信息。b)預(yù)期結(jié)果：產(chǎn)品能夠通過掃描檢查路由器、交換機(jī)、防火墻的系統(tǒng)版本及其開啟服務(wù)相關(guān)的脆弱性。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。對口令脆弱性的測試評價方法如下所示。a)測試方法：1)使用虛擬機(jī)或者真實主機(jī)作為掃描對象，在目標(biāo)主機(jī)上的操作系統(tǒng)以及各種服務(wù)中預(yù)置部分脆弱性口令；2)根據(jù)產(chǎn)品說明書設(shè)置掃描策略，使用產(chǎn)品對目標(biāo)系統(tǒng)進(jìn)行掃描；3)檢查掃描結(jié)果中是否包括目標(biāo)操作系統(tǒng)以及不同服務(wù)用戶的脆弱性口令。b)預(yù)期結(jié)果：產(chǎn)品能探測出目標(biāo)操作系統(tǒng)以及不同服務(wù)用戶口令的脆弱性，包括使用了用戶名稱經(jīng)過簡單變換后的口令、其他易猜測的口令等。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。對結(jié)果瀏覽的測試評價方法如下所示。a)測試方法：1)使用虛擬機(jī)模擬或者真實設(shè)備作為掃描對象；2)根據(jù)產(chǎn)品說明書設(shè)置掃描策略，使用產(chǎn)品對目標(biāo)系統(tǒng)進(jìn)行掃描；3)掃描完成后，檢查產(chǎn)品是否提供對掃描結(jié)果的瀏覽功能。b)預(yù)期結(jié)果：產(chǎn)品提供掃描結(jié)果瀏覽功能。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。對脆弱性修補(bǔ)建議的測試評價方法如下所示。a)測試方法：1)根據(jù)產(chǎn)品文檔說明，檢查產(chǎn)品是否對掃描發(fā)現(xiàn)的脆弱性提出修補(bǔ)建議；2)檢查是否能夠針對不同的操作系統(tǒng)提出有針對性的脆弱性修補(bǔ)方法，而且所提供的修補(bǔ)方法合理可用。b)預(yù)期結(jié)果：產(chǎn)品能對不同的操作系統(tǒng)類型提出有針對性的脆弱性修補(bǔ)方法，而且所提供的修補(bǔ)方法合理c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。對報告生成的測試評價方法如下所示。a)測試方法：1)根據(jù)產(chǎn)品文檔說明，檢測產(chǎn)品是否能夠生成掃描結(jié)果報告；2)檢查報告中是否包含有關(guān)漏洞的CVE編號或者CNNVD編號、詳細(xì)描述，以及針對所發(fā)現(xiàn)漏洞的補(bǔ)救建議等內(nèi)容；3)報告中是否有將所發(fā)現(xiàn)的各個脆弱點按照風(fēng)險嚴(yán)重程度進(jìn)行分級；4)是否可實現(xiàn)對多個目標(biāo)進(jìn)行同時掃描，并生成結(jié)果的總體報告；5)是否可針對關(guān)鍵的掃描信息生成摘要報告。b)預(yù)期結(jié)果：產(chǎn)品能根據(jù)掃描結(jié)果生成相應(yīng)的報告，報告包括以下內(nèi)容：1)各脆弱點的CVE編號或者CNNVD編號、詳細(xì)信息、補(bǔ)救建議等；2)目標(biāo)的風(fēng)險等級評估，將掃描脆弱點按風(fēng)險嚴(yán)重程度分級，并明確標(biāo)出；3)多個目標(biāo)掃描后的結(jié)果的總體報告；4)對關(guān)鍵的脆弱性掃描信息可生成摘要報告。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。對報告輸出的測試評價方法如下所示。a)測試方法：1)根據(jù)文檔說明，檢查產(chǎn)品的報告導(dǎo)出方式；2)檢查產(chǎn)品是否能夠按照PDF、DOC、HTML、WPS、OFD等多種通用文檔格式中的一種或者多種導(dǎo)出報告。b)預(yù)期結(jié)果：報告可按照PDF、DOC、HTML、WPS、OFD等通用格式中的一種或者多種導(dǎo)出。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。對掃描策略的測試評價方法如下所示。a)測試方法：1)根據(jù)產(chǎn)品說明文檔，檢查其提供的策略定制方法；2)檢查產(chǎn)品是否可以根據(jù)掃描地址范圍、端口范圍、脆弱性類型等參數(shù)制定掃描策略。b)預(yù)期結(jié)果：產(chǎn)品可以根據(jù)掃描地址范圍、端口范圍、脆弱性類型等制定掃描策略。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。對計劃任務(wù)的測試評價方法如下所示。a)測試方法：1)根據(jù)產(chǎn)品說明手冊，檢查產(chǎn)品是否具備定制掃描計劃的功能；2)檢查產(chǎn)品是否可以定制掃描計劃，可以定時啟動掃描任務(wù)、按周期執(zhí)行掃描任務(wù)等。b)預(yù)期結(jié)果：產(chǎn)品具備定制掃描計劃的功能，可以設(shè)置定時啟動或者按周期執(zhí)行掃描任務(wù)。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。對任務(wù)管理的測試評價方法如下所示。a)測試方法：1)根據(jù)產(chǎn)品說明手冊，檢查產(chǎn)品是否具備執(zhí)行掃描任務(wù)啟用、停用、中止、繼續(xù)、刪除等操作2)驗證產(chǎn)品的各項任務(wù)管理操作功能是否都能生效；3)在產(chǎn)品管理界面上是否可以查看到某一個掃描任務(wù)的執(zhí)行進(jìn)度。b)預(yù)期結(jié)果：除等操作；2)針對某一個掃描任務(wù)，可通過進(jìn)度條或者百分比等方式直觀地展示其執(zhí)行進(jìn)度。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。.1對目標(biāo)系統(tǒng)所在網(wǎng)絡(luò)性能的影響對目標(biāo)系統(tǒng)所在網(wǎng)絡(luò)性能的影響的測試評價方法如下所示。a)測試評價方法：1)根據(jù)產(chǎn)品說明手冊，檢查產(chǎn)品是否具備使用網(wǎng)絡(luò)流量大小的調(diào)節(jié)功能；2)在未執(zhí)行掃描和執(zhí)行掃描任務(wù)過程中，分別使用網(wǎng)絡(luò)協(xié)議分析儀抓取網(wǎng)絡(luò)流量，比對兩種情況下的帶寬變化情況，一般要求掃描所占用的帶寬不能超過帶寬總量的10%。b)預(yù)期結(jié)果：產(chǎn)品可調(diào)節(jié)網(wǎng)絡(luò)流量占用大小，或者可根據(jù)目標(biāo)網(wǎng)絡(luò)的實際帶寬情況，自動控制在帶寬總量的10%以內(nèi)。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。對目標(biāo)系統(tǒng)的影響的測試評價方法如下所示。a)測試方法：根據(jù)產(chǎn)品說明手冊，檢查產(chǎn)品在進(jìn)行掃描時，是否會影響目標(biāo)系統(tǒng)的正常工作，是否使用了攻擊方法進(jìn)行測試。b)預(yù)期結(jié)果：產(chǎn)品掃描任務(wù)不影響目標(biāo)系統(tǒng)的正常工作，不使用攻擊方法進(jìn)行測試。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。對掃描報文標(biāo)識的測試評價方法如下所示。a)測試方法：1)使用虛擬機(jī)模擬或者真實設(shè)備作為掃描對象；2)根據(jù)產(chǎn)品說明書設(shè)置掃描策略，使用產(chǎn)品對目標(biāo)系統(tǒng)進(jìn)行掃描；3)在掃描過程中，使用網(wǎng)絡(luò)抓包工具截取掃描報文，檢查報文中是否含有標(biāo)識其產(chǎn)品名稱或者產(chǎn)品生產(chǎn)單位的信息。b)預(yù)期結(jié)果：產(chǎn)品在對目標(biāo)設(shè)備進(jìn)行掃描時，所發(fā)出的掃描報文中含有標(biāo)識其產(chǎn)品名稱或者產(chǎn)品生產(chǎn)單位的信息。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。對掃描速度調(diào)節(jié)的測試評價方法如下所示。a)測試方法：1)根據(jù)產(chǎn)品說明手冊，檢查產(chǎn)品是否具備掃描速度調(diào)節(jié)措施；2)檢查產(chǎn)品是否可以通過設(shè)置或者調(diào)整一定的技術(shù)參數(shù)實現(xiàn)對掃描速度的調(diào)節(jié)，包括但不限于調(diào)整掃描線程或者進(jìn)程的并發(fā)數(shù)等。b)預(yù)期結(jié)果：可通過設(shè)置或者調(diào)整一定的技術(shù)參數(shù)實現(xiàn)對掃描速度的調(diào)節(jié)。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。對并發(fā)掃描的測試評價方法如下所示。a)測試方法：1)使用虛擬機(jī)模擬或者真實設(shè)備作為掃描對象；2)根據(jù)產(chǎn)品說明書設(shè)置掃描策略，檢查產(chǎn)品是否可以同時對60個或者更多的目標(biāo)系統(tǒng)進(jìn)行并發(fā)掃描。b)預(yù)期結(jié)果：產(chǎn)品能支持不少于60個目標(biāo)設(shè)備的并發(fā)掃描。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。對升級能力測試評價方法如下所示。a)測試方法：1)根據(jù)產(chǎn)品說明手冊，檢查產(chǎn)品是否提供對系統(tǒng)版本和脆弱性特征庫的更新功能；2)檢查產(chǎn)品的升級方式和途徑，是否提供了比較方便的升級途徑，例如直接連接升級服務(wù)器實現(xiàn)自動在線升級，或者可以手動導(dǎo)入升級文件實現(xiàn)本地升級。b)預(yù)期結(jié)果：1)產(chǎn)品的體系結(jié)構(gòu)設(shè)計有利于產(chǎn)品的升級，操作方便；2)產(chǎn)品能夠?qū)ο到y(tǒng)版本和脆弱性特征庫進(jìn)行更新，支持手動或者自動升級操作。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。7.3.2自身安全功能測試對管理員鑒別的測試評價方法如下所示。a)測試方法：登錄產(chǎn)品管理界面，檢查是否在執(zhí)行所有功能之前都要求首先進(jìn)行身份認(rèn)證。b)預(yù)期結(jié)果：1)在管理員執(zhí)行任何與安全功能相關(guān)的操作之前都應(yīng)對管理員進(jìn)行鑒別；2)登錄之前允許做的操作，應(yīng)僅限于輸入登錄信息、查看登錄幫助等操作；3)允許管理員在登錄后執(zhí)行與其安全功能相關(guān)的各類操作時，不再重復(fù)認(rèn)證。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。對鑒別信息要求的測試評價方法如下所示。a)測試方法：1)對采用基于口令作為鑒別信息的產(chǎn)品，在設(shè)置或修改管理員口令時，檢查產(chǎn)品是否對管理員設(shè)置的口令進(jìn)行復(fù)雜度檢查，是否滿足口令復(fù)雜度要求；2)當(dāng)產(chǎn)品初始化存在默認(rèn)口令時，檢查產(chǎn)品是否會提示管理員對默認(rèn)口令進(jìn)行修改；3)檢查產(chǎn)品是否提供鑒別信息定期更換功能，當(dāng)鑒別信息使用時間達(dá)到使用期限閾值前，是否提示管理員進(jìn)行修改。b)預(yù)期結(jié)果：1)對采用基于口令作為鑒別信息的產(chǎn)品，產(chǎn)品支持對管理員設(shè)置的口令進(jìn)行復(fù)雜度檢查，確保管理員口令滿足一定的復(fù)雜度要求；2)當(dāng)存在默認(rèn)口令時，產(chǎn)品應(yīng)提示管理員對默認(rèn)口令進(jìn)行修改；3)提供鑒別信息定期更換功能，當(dāng)鑒別信息使用時間達(dá)到使用期限閾值前，提示管理員進(jìn)行修改。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。對鑒別失敗的處理的測試評價方法如下所示。a)測試方法：1)檢查產(chǎn)品的安全功能是否可定義管理員鑒別嘗試的最大允許失敗次數(shù)；2)檢查產(chǎn)品的安全功能是否可定義當(dāng)管理員鑒別嘗試失敗連續(xù)達(dá)到指定次數(shù)后，采取相應(yīng)的措施、阻止管理員進(jìn)一步的鑒別請求；3)嘗試多次失敗的管理員鑒別行為，檢查到達(dá)指定的鑒別失敗次數(shù)后，產(chǎn)品是否采取了相應(yīng)的措施，并生成了審計事件。b)預(yù)期結(jié)果：1)產(chǎn)品具備定義管理員鑒別嘗試的最大允許失敗次數(shù)的功能；2)產(chǎn)品可定義當(dāng)管理員鑒別嘗試失敗連續(xù)達(dá)到指定次數(shù)后，采取相應(yīng)的措施(如鎖定該賬號);3)當(dāng)管理員鑒別嘗試失敗連續(xù)達(dá)到指定次數(shù)后，系統(tǒng)應(yīng)鎖定該賬號，并將有關(guān)信息生成審計事件；4)最多失敗次數(shù)僅由授權(quán)管理員設(shè)定。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。對鑒別數(shù)據(jù)保護(hù)的測試評價方法如下所示。a)測試方法：1)檢查產(chǎn)品是否僅允許指定權(quán)限的管理員可查閱或修改身份鑒別數(shù)據(jù)；2)以非授權(quán)管理員的身份嘗試查閱或修改身份鑒別數(shù)據(jù)。b)預(yù)期結(jié)果：1)產(chǎn)品僅允許指定權(quán)限的管理員查閱或修改身份鑒別數(shù)據(jù)；2)非授權(quán)管理員無法查閱或修改身份鑒別數(shù)據(jù)。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。對超時設(shè)置的測試評價方法如下所示。a)測試方法：1)檢查產(chǎn)品是否具有管理員登錄超時重新鑒別功能；2)設(shè)定管理員登錄超時重新鑒別的時間段，登錄管理員后在設(shè)定的時間段內(nèi)沒有任何操作，檢查產(chǎn)品是否鎖定或終止了會話，管理員是否需要再次進(jìn)行身份鑒別才能夠重新管理和使用產(chǎn)品；3)檢查最大超時時間是否僅由授權(quán)管理員設(shè)定。b)預(yù)期結(jié)果：1)產(chǎn)品具有登錄超時重新鑒別功能；2)任何登錄管理員在設(shè)定的時間段內(nèi)沒有任何操作的情況下，都被鎖定或終止了會話，管理員需要再次進(jìn)行身份鑒別才能夠重新管理和使用產(chǎn)品；3)最大超時時間僅由授權(quán)管理員設(shè)定。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。對標(biāo)識唯一性的測試評價方法如下所示。a)測試方法：1)嘗試定義多個管理員；2)嘗試添加一個已有標(biāo)識的管理員；3)檢查產(chǎn)品是否提示該標(biāo)識管理員已存在，拒絕具有相同標(biāo)識管理員的添加。b)預(yù)期結(jié)果：1)產(chǎn)品應(yīng)允許定義多個管理員；2)應(yīng)保證每一個管理員標(biāo)識是全局唯一的，不允許一個管理員標(biāo)識用于多個管理員。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。對管理員屬性定義的測試評價方法如下所示。a)測試方法：定義分屬于不同角色的多個管理員，檢查輸入的管理員信息是否都能被保存。b)預(yù)期結(jié)果：產(chǎn)品應(yīng)為每一個管理員保存其安全屬性，包括：管理員標(biāo)識、鑒別數(shù)據(jù)(如密碼)、授權(quán)信息或管理員組信息、其他安全屬性等，輸入的管理員信息無丟失現(xiàn)象發(fā)生。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。對安全行為管理的測試評價方法如下所示。a)測試方法：1)檢查產(chǎn)品的安全功能是否明確規(guī)定僅限于指定的授權(quán)管理員能對產(chǎn)品的功能進(jìn)行設(shè)置、修改、啟用/停用等操作；2)檢查指定的授權(quán)管理員對產(chǎn)品進(jìn)行功能設(shè)置、參數(shù)修改、安全策略變更，以及啟用/停用等操作前，是否應(yīng)先登錄才能操作。b)預(yù)期結(jié)果：1)產(chǎn)品僅限于指定授權(quán)管理員才能對產(chǎn)品進(jìn)行功能設(shè)置、參數(shù)修改、安全策略變更，以及啟用/停用等操作；2)指定的授權(quán)管理員對產(chǎn)品進(jìn)行功能設(shè)置、參數(shù)修改、安全策略變更，以及啟用/停用等操作前，都應(yīng)先通過身份鑒別。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。審計日志生成的測試評價方法如下所示。a)測試方法：1)嘗試進(jìn)行.1要求的各項操作，觸發(fā)審計事件；2)查看審計日志是否包括事件發(fā)生的日期、時間、用戶標(biāo)識、事件描述和結(jié)果；3)若產(chǎn)品支持遠(yuǎn)程管理，查看審計日志是否記錄管理主機(jī)的IP地址。b)預(yù)期結(jié)果：1)產(chǎn)品能夠針對上述事件生成審計日志，日志內(nèi)容包括事件發(fā)生的日期、時間、用戶標(biāo)識、事件描述和結(jié)果；2)當(dāng)產(chǎn)品支持遠(yuǎn)程管理時，審計日志能夠記錄管理主機(jī)的IP地址。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。對審計日志可理解性的測試評價方法如下所示。a)測試方法：檢查產(chǎn)品審計日志中的所有審計記錄內(nèi)容是否便于理解(至少包括能便于理解的描述內(nèi)容以及審計數(shù)據(jù)本身)。b)預(yù)期結(jié)果：產(chǎn)品提供為人理解的審計日志。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。對審計日志查閱的測試評價方法如下所示。a)測試方法：1)以授權(quán)管理員身份嘗試從審計日志中讀取全部審計信息；2)檢查產(chǎn)品是否為授權(quán)管理員提供從審計日志中讀取全部審計信息的功能。b)預(yù)期結(jié)果：產(chǎn)品為授權(quán)管理員提供從審計日志中讀取全部審計信息的功能。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。對受限的審計日志查閱的測試評價方法如下所示。a)測試方法：分別模擬授權(quán)與非授權(quán)管理員訪問審計日志，檢查產(chǎn)品安全功能是否僅允許授權(quán)管理員訪問審計日志。b)預(yù)期結(jié)果：產(chǎn)品限制審計日志的訪問。除了具有明確訪問權(quán)限的授權(quán)管理員之外，禁止所有其他用戶對審計日志的訪問。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。對可選審計查閱的測試評價方法如下所示。a)測試方法：檢查產(chǎn)品是否能夠支持按照一定條件，包括但不限于時間、主體、客體等對審計日志進(jìn)行檢索或排序。b)預(yù)期結(jié)果：產(chǎn)品支持按照一定條件對審計日志進(jìn)行檢索或排序。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。對支撐系統(tǒng)安全的測評方法如下所示。a)測評方法：1)查看開發(fā)者文檔，并驗證產(chǎn)品的支撐系統(tǒng)是否進(jìn)行了必要的裁剪，是否不提供多余的組件或網(wǎng)絡(luò)服務(wù)；2)重啟系統(tǒng)，驗證掃描任務(wù)的配置和日志信息是否不丟失；3)對系統(tǒng)進(jìn)行安全性測試，驗證是否不含已知的中、高、超危安全漏洞。b)預(yù)期結(jié)果：1)產(chǎn)品支撐系統(tǒng)進(jìn)行了必要的裁剪，不提供多余的組件或網(wǎng)絡(luò)服務(wù)；2)重啟過程中，安全掃描任務(wù)的配置和日志信息不丟失；c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。7.3.3環(huán)境適應(yīng)性要求對支持純IPv6網(wǎng)絡(luò)環(huán)境的測試評價方法如下所示。a)測試方法：搭建純IPv6網(wǎng)絡(luò)環(huán)境，檢測產(chǎn)品是否能夠在純IPv6網(wǎng)絡(luò)環(huán)境下正常工作。b)預(yù)期結(jié)果：產(chǎn)品能夠在純IPv6網(wǎng)絡(luò)環(huán)境下正常工作，實現(xiàn)對目標(biāo)設(shè)備的掃描。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。對IPv6網(wǎng)絡(luò)環(huán)境下自身管理的測試評價方法如下所示。a)測試方法：搭建IPv6網(wǎng)絡(luò)環(huán)境，檢測產(chǎn)品是否支持在IPv6網(wǎng)絡(luò)環(huán)境下進(jìn)行身份鑒別、安全審計、任務(wù)管理、策略配置等管理操作。b)預(yù)期結(jié)果：產(chǎn)品能夠在IPv6網(wǎng)絡(luò)環(huán)境下進(jìn)行身份鑒別、安全審計、任務(wù)管理、策略配置等管理操作。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。對雙協(xié)議棧的測試評價方法如下所示。a)測試方法：搭建IPv4/IPv6雙棧網(wǎng)絡(luò)環(huán)境，檢測產(chǎn)品是否能夠在IPv4/IPv6雙棧網(wǎng)絡(luò)環(huán)境下正常工作。b)預(yù)期結(jié)果：產(chǎn)品能夠在IPv4/IPv6雙棧網(wǎng)絡(luò)環(huán)境下正常工作，實現(xiàn)對目標(biāo)設(shè)備的掃描。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。7.3.4安全保障測試安全架構(gòu)的測試評價方法如下所示。a)測試方法：檢查開發(fā)者是否提供以下安全架構(gòu)的證據(jù)，并檢查開發(fā)者提供的信息是否滿足證據(jù)的內(nèi)容和形式的所有要求：1)與產(chǎn)品設(shè)計文檔中對安全功能和自身安全保護(hù)實施抽象描述的級別一致；2)描述與安全功能和自身安全保護(hù)要求一致的產(chǎn)品安全功能和自身安全保護(hù)的安全域；3)描述產(chǎn)品安全功能和自身安全保護(hù)初始化過程為何是安全的；4)證實產(chǎn)品安全功能和自身安全保護(hù)能夠防止被破壞；5)證實產(chǎn)品安全功能和自身安全保護(hù)能夠防止安全特性被旁路。b)預(yù)期結(jié)果：開發(fā)者提供的信息應(yīng)滿足上述要求。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。功能規(guī)范的測試評價方法如下所示。a)測試方法：檢查開發(fā)者是否提供以下功能規(guī)范的證據(jù)，并檢查開發(fā)者提供的信息是否滿足證據(jù)的內(nèi)容和形式的所有要求：1)完全描述產(chǎn)品的安全功能和自身安全保護(hù)；2)描述所有安全功能和自身安全保護(hù)接口的目的與使用方法；3)標(biāo)識和描述每個安全功能和自身安全保護(hù)接口相關(guān)的所有參數(shù)；4)描述安全功能和自身安全保護(hù)接口相關(guān)的安全功能和自身安全保護(hù)實施行為；5)描述由安全功能和自身安全保護(hù)實施行為處理而引起的直接錯誤消息；6)證實安全功能和自身安全保護(hù)要求到安全功能和自身安全保護(hù)接口的追溯。b)預(yù)期結(jié)果：開發(fā)者提供的信息應(yīng)滿足上述要求。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。產(chǎn)品設(shè)計的測試評價方法如下所示。a)測試方法：檢查開發(fā)者是否提供以下產(chǎn)品設(shè)計的證據(jù)，并檢查開發(fā)者提供的信息是否滿足證據(jù)的內(nèi)容和形式的所有要求：1)根據(jù)子系統(tǒng)描述產(chǎn)品結(jié)構(gòu)；2)標(biāo)識和描述產(chǎn)品安全功能和自身安全保護(hù)的所有子系統(tǒng)；3)描述安全功能和自身安全保護(hù)所有子系統(tǒng)間的相互作用；4)提供的映射關(guān)系能夠證實設(shè)計中描述的所有行為能夠映射到調(diào)用它的安全功能和自身安全保護(hù)接口。b)預(yù)期結(jié)果：開發(fā)者提供的信息應(yīng)滿足上述要求。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。操作用戶指南的測試評價方法如下所示。a)測試方法：檢查開發(fā)者是否提供明確和合理的操作用戶指南，并檢查開發(fā)者提供的信息是否滿足證據(jù)的內(nèi)容和形式的所有要求：1)描述在安全處理環(huán)境中被控制的用戶可訪問的功能和特權(quán)，包含適當(dāng)?shù)木拘畔ⅲ?)描述如何以安全的方式使用產(chǎn)品提供的可用接口；3)描述可用功能和接口，尤其是受用戶控制的所有安全參數(shù)；4)明確說明與需要執(zhí)行的用戶可訪問功能有關(guān)的每一種安全相關(guān)事件，包括改變安全功能和自身安全保護(hù)所控制實體的安全特性；5)標(biāo)識產(chǎn)品運行的所有可能狀態(tài)(包括操作導(dǎo)致的失敗或者操作性錯誤),以及它們與維持安全運行之間的因果關(guān)系和聯(lián)系；6)充分實現(xiàn)安全目的所執(zhí)行的安全策略。b)預(yù)期結(jié)果：開發(fā)者提供的信息應(yīng)滿足上述要求。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。準(zhǔn)備程序的測試評價方法如下所示。a)測試方法：檢查開發(fā)者是否提供以下準(zhǔn)備程序的證據(jù)，并檢查開發(fā)者提供的信息是否滿足證據(jù)的內(nèi)容和形式的所有要求：1)描述與開發(fā)者交付程序相一致的安全接收所交付產(chǎn)品必需的所有步驟；2)描述安全安裝產(chǎn)品及其運行環(huán)境必需的所有步驟。b)預(yù)期結(jié)果：開發(fā)者提供的信息應(yīng)滿足上述要求。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。配置管理能力的測試評價方法如下所示。a)測試方法：檢查開發(fā)者是否提供以下配置管理能力的證據(jù)，并檢查開發(fā)者提供的信息是否滿足內(nèi)容和形式的所有要求：1)檢查開發(fā)者是否為不同版本的產(chǎn)品提供唯一的標(biāo)識；2)現(xiàn)場檢查配置管理系統(tǒng)是否對所有的配置項做出唯一的標(biāo)識，且配置管理系統(tǒng)是否對配置項進(jìn)行了維護(hù)；3)檢查開發(fā)者提供的配置管理文檔，是否描述了對配置項進(jìn)行唯一標(biāo)識的方法。b)預(yù)期結(jié)果：開發(fā)者提供的信息和現(xiàn)場活動證據(jù)內(nèi)容應(yīng)滿足上述要求。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。配置管理范圍的測試評價方法如下所示。a)測試方法：檢查開發(fā)者是否提供以下配置管理范圍的證據(jù)，并檢查開發(fā)者提供的信息是否滿足內(nèi)容和形式的所有要求：1)檢查開發(fā)者提供的配置項列表；2)配置項列表是否描述了組成產(chǎn)品的全部配置項及相應(yīng)的開發(fā)者。b)預(yù)期結(jié)果：開發(fā)者提供的信息和現(xiàn)場活動證據(jù)內(nèi)容應(yīng)滿足上述要求。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。交付程序的測試評價方法如下所示。a)測試方法：檢查開發(fā)者是否提供以下交付程序的證據(jù)，并檢查開發(fā)者提供的信息是否滿足內(nèi)容和形式的所有要求：1)現(xiàn)場檢查開發(fā)者是否使用一定的交付程序交付產(chǎn)品；2)檢查開發(fā)者是否使用文檔描述交付過程，文檔中是否包含以下內(nèi)容：在給用戶方交付系統(tǒng)的各版本時，為維護(hù)安全所必需的所有程序。b)預(yù)期結(jié)果：開發(fā)者提供的信息和現(xiàn)場活動證據(jù)內(nèi)容應(yīng)滿足上述要求。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。測試覆蓋證的測試評價方法如下所示。a)測試方法：檢查開發(fā)者提供的測試覆蓋文檔，在測試覆蓋證據(jù)中，是否表明測試文檔中所標(biāo)識的測試與功能規(guī)范中所描述的產(chǎn)品的安全功能和自身安全保護(hù)是對應(yīng)的，檢查開發(fā)者提供的信息是否滿足內(nèi)容和形式的所有要求。b)預(yù)期結(jié)果：開發(fā)者提供的信息應(yīng)滿足上述要求。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。功能測試的測試評價方法如下所示。a)測試方法：檢查開發(fā)者是否提供的以下功能測試的證據(jù)，并檢查開發(fā)者提供的信息是否滿足內(nèi)容和形式的所有要求：1)檢查開發(fā)者提供的測試文檔，是否包括測試計劃、預(yù)期的測試結(jié)果和實際測試結(jié)果；2)檢查測試計劃是否標(biāo)識了要測試的安全功能和自身安全保護(hù)，是否描述了每個安全功能和自身安全保護(hù)的測試方案(包括對其他測試結(jié)果的順序依賴性);3)檢查期望的測試結(jié)果是否表明測試成功后的預(yù)期輸出；4)檢查實際測試結(jié)果是否表明每個被測試的安全功能和自身安全保護(hù)能按照規(guī)定進(jìn)行運作。b)預(yù)期結(jié)果：開發(fā)者提供的信息應(yīng)滿足上述要求。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。獨立測試的測試評價方法如下所示。a)測試方法：檢查開發(fā)者提供的測試集合是否與其自測系統(tǒng)功能時使用的測試集合相一致，以用于安全功能和自身安全保護(hù)的抽樣測試，并檢查開發(fā)者提供的資源是否滿足內(nèi)容和形式的所有要求。b)預(yù)期結(jié)果：開發(fā)者提供的資源應(yīng)滿足上述要求。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。脆弱性評定的測試評價方法如下所示。a)測試方法：1)從用戶可能破壞安全策略的明顯途徑出發(fā)，按照安全機(jī)制定義的安全強(qiáng)度級別，對產(chǎn)品進(jìn)行脆弱性分析；2)判斷產(chǎn)品是否能夠抵抗基本型攻擊。b)預(yù)期結(jié)果：滲透性測試結(jié)果應(yīng)表明產(chǎn)品能夠抵抗基本型攻擊。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。7.4增強(qiáng)級測試評價方法7.4.1安全功能要求對TCP端口的測試評價方法如下所示。a)測試方法：1)使用虛擬機(jī)模擬或者真實設(shè)備作為掃描對象，在目標(biāo)系統(tǒng)上開放已知TCP端口；2)根據(jù)產(chǎn)品說明書設(shè)置掃描策略，使用產(chǎn)品對目標(biāo)系統(tǒng)進(jìn)行掃描；3)檢查掃描所發(fā)現(xiàn)的TCP端口是否與已知開放的端口一致。b)預(yù)期結(jié)果：產(chǎn)品能夠識別開啟的TCP端口。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。對UDP端口的測試評價方法如下所示。a)測試方法：1)使用虛擬機(jī)模擬或者真實設(shè)備作為掃描對象，在目標(biāo)系統(tǒng)上開放已知UDP端口；2)根據(jù)產(chǎn)品說明書設(shè)置掃描策略，使用產(chǎn)品對目標(biāo)系統(tǒng)進(jìn)行掃描；3)檢查掃描所發(fā)現(xiàn)的UDP端口是否與已知開放的端口一致。b)預(yù)期結(jié)果：產(chǎn)品能夠識別開啟的UDP端口。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。對端口協(xié)議分析的測試評價方法如下所示。a)測試方法：1)使用虛擬機(jī)模擬或者真實設(shè)備作為掃描對象，在目標(biāo)系統(tǒng)上開放已知TCP/UDP端口，在非標(biāo)準(zhǔn)端口上使用的某些通用服務(wù)或者應(yīng)用協(xié)議；2)根據(jù)產(chǎn)品說明書設(shè)置掃描策略，使用產(chǎn)品對目標(biāo)系統(tǒng)進(jìn)行掃描；3)檢查掃描所發(fā)現(xiàn)的TCP/UDP端口所對應(yīng)的通用服務(wù)或者應(yīng)用協(xié)議是否正確，非標(biāo)準(zhǔn)端口所對應(yīng)的通用服務(wù)或者應(yīng)用協(xié)議是否正確。b)預(yù)期結(jié)果：產(chǎn)品能夠識別開啟的TCP/UDP端口所對應(yīng)的服務(wù)或者應(yīng)用層協(xié)議，能夠識別非標(biāo)準(zhǔn)端口上使用的通用服務(wù)或應(yīng)用協(xié)議。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。對服務(wù)旗標(biāo)的測試評價方法如下所示。a)測試方法：1)使用虛擬機(jī)模擬或者真實