计算机信息系统安全等级保护数据库安全技术要求-全国信息安全标准化.pdf

《信息安全技术 网络脆弱性扫描产品安全技术要求》 修订说明 1 工作简要过程 1.1 任务来源 近年来， 随着黑客技术的不断发展以及网络非法入侵事件的激增， 国内网络安全产品市场也呈现出 良好的发展态势，各种品牌的防火墙产品、入侵检测产品等已经达到了相当可观的规模。最近几年， 网 络脆弱性扫描产品的出现， 为网络安全产品厂商提供了一个展现自身技术水平的更高层次舞台， 市场上， 各种实现脆弱性扫描功能的产品层出不穷，发展迅速，标准《 GB/T 20278-2006 信息安全技术 网络脆 弱性扫描产品技术要求》 已不能满足现在产品的发展需求， 另一方面， 为了更好地配合等级保护工作的 开展， 为系统等级保护在产品层面上的具体实施提供依据， 需要对该标准进行合理的修订， 通过对该标 准的修订， 将更加全面系统的阐述网络脆弱性扫描产品的安全技术要求， 并对其进行合理的分级。 本标 准编写计划由中国国家标准化管理委员会 2010 年下达，计划号 T-469 ，由公安部第三研究所 负责制定，具体修订工作由公安部计算机信息系统安全产品质量监督检验中心承担。 1.2 参考国内外标准情况 该标准修订过程中，主要参考了： — GB 17859-1999 计算机信息系统安全保护等级划分准则 — GB/T 20271-2006 信息安全技术 信息系统安全通用技术要求 — GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求 — GB/T 18336.2-2008 信息技术 安全技术 信息技术安全性评估准则 第二部分：安全功能要求 — GB/T 18336.3-2008 信息技术 安全技术 信息技术安全性评估准则 第三部分：安全保证要求 — GA/T 404-2002 信息技术 网络安全漏洞扫描产品技术要求 — GB/T 20278-2006 信息安全技术 网络脆弱性扫描产品技术要求 — GB/T 20280-2006 信息安全技术 网络脆弱性扫描产品测试评价方法 — MSTL_JGF_04-017 信息安全技术 主机安全漏洞扫描产品检验规范 1.3 主要工作过程 1）成立修订组 2010 年 11 月在我中心成立了由顾建新具体负责的标准修订组， 共由 5 人组成， 包括俞优、 顾建新、 张笑笑、陆臻、顾健。 2 ）制定工作计划 修订组首先制定了修订工作计划，并确定了修订组人员例会及时沟通交流工作情况。 3）确定修订内容 - 1 - 经标准修订小组研究决定， 以网络脆弱性扫描产品发展的动向为研究基础， 以等级保护相关要求为 标准框架，修订完成《信息安全技术 网络脆弱性扫描产品安全技术要求》 。 4 ）修订工作简要过程 按照修订进度要求， 修订组人员首先对所参阅的产品、 文档以及标准进行反复阅读与理解， 并查阅 有关资料，编写标准修订提纲。在对提纲进行交流和修改的基础上，开始具体修订工作。 2010 年 11 月至 2011 年 1 月，对国内外网络脆弱性扫描产品，相关技术文档以及有关标准进行前 期基础调研。 在调研期间， 我们主要对我中心历年检测产品的记录、 报告以及各产品的技术文档材料进 行了筛选、 汇总、分析， 对国内外网络脆弱性扫描产品的发展动向进行了研究，以及进行了对国内外相 关产品的技术文档和标准分析理解等工作。 2011 年 1 月至 3 月进行了草稿的编写工作。以我修订组人员收集的资料为基础，依据修